search

1. 🌐 مختبر التقاط وتحليل حزم الشبكة باستخدام Wireshark

  • 🎯 الهدف الأساسي: التقاط وتحليل حركة مرور الشبكة، فهم بنية الحزم تتبع المحادثات وتحديد المعلومات الحساسة باستخدام واجهة Wireshark الرسومية.

  • 🔧 الأدوات المستخدمة:

    • Wireshark: أداة تحليل حزم الشبكة الرسومية.

    • Nmap: أداة مسح الشبكة لتوليد حركة المرور.

    • متصفح ويب: لتوليد حركة مرور HTTP/HTTPS.

  • 📜 خطوات التنفيذ:

    1. ✨ التعرف على الشبكة وتوليد حركة المرور 🗣️ تحتاج تعرف الأجهزة الموجودة في الشبكة استخدم أداة nmap لمسح الشبكة وتوليد بعض حركة المرور التي يمكنك تحليلها لاحقًا.

    2. ✨ بدء التقاط الحزم في Wireshark 🗣️ بعد أن عرفت الأجهزة لو تبي تراقب الاتصالات تحتاج إلى تشغيل Wireshark عشان تعرف حركة المرور الي تمر .

      🔧 الخطوات:

      • افتح تطبيق Wireshark.

      • اختر واجهة الشبكة المناسبة (على سبيل المثال، ETH1).

      • انقر على أيقونة "الزعنفة" (fin) أو زر "بدء الالتقاط" (Start Capture).

      🗣️ إذا بدأ الالتقاط بيعرض الحزم التي تمر عبر الواجهة المختارة في الوقت الفعلي.

    3. ✨ حفظ الالتقاطات وتحليلها الأساسي 🗣️ لو التقطت حركة مرور كافية تقدر إيقاف الالتقاط وحفظه في ملف pcap أو pcapng بحيث تقدر تشوفه بعدين . 🔧 الخطوات:

      • انقر على زر "إيقاف الالتقاط" (Stop Capture).

      • من قائمة File، اختر Save As... وسمِّ الملف (على سبيل المثال، rando.pcapng).

    4. ✨ تخصيص عرض Wireshark 🗣️ لجعل التحليل أسهل لو تبي رؤية المعلومات الهامة بوضوح يمكنك تعديل تنسيق الوقت والأعمدة المعروضة. 🔧 الخطوات:

      • لتغيير تنسيق الوقت: اذهب إلى View > Time Display Format واختر UTC Date and Time of Day.

      • لتخصيص الأعمدة: اذهب إلى Edit > Preferences > Columns. يمكنك إضافة أعمدة لعناوين IP المصدر والوجهة والمنافذ.

    5. ✨ فهم تسلسل البروتوكولات والمحادثات 🗣️ لفهم أنواع البروتوكولات المستخدمة في الشبكة عرض التسلسل الهرمي للبروتوكولات كما لو أردت تتبع محادثة بين جهازين، يمكنك استخدام خيارات المحادثات ونقاط النهاية. 🔧 الخطوات:

      • اذهب إلى Statistics > Protocol Hierarchy.

      • اذهب إلى Statistics > Conversations أو Statistics > Endpoints. 🗣️ إذا عرضت هذه الإحصائيات، سترى توزيع البروتوكولات (مثل Ethernet, IPv4, TCP, UDP, ARP)، ومن يتحدث مع من على أي طبقة.

    6. ✨ تتبع تدفقات TCP/HTTP واستخلاص البيانات 🗣️ لو لقيت على حركة مرور مشبوهة أو أردت استخراج بيانات من اتصال (مثل بيانات دخول Telnet غير المشفرة أو محتوى صفحات الويب)، يمكنك تتبع تدفق TCP أو HTTP.

      🔧 الخطوات:

      • انقر بزر الماوس الأيمن على حزمة ضمن تدفق ترغب في تتبعه (مثل حزمة HTTP GET).

      • اختر Follow > TCP Stream أو Follow > HTTP Stream. 🗣️ إذا اخترت تتبع التدفق، سيعيد Wireshark بناء المحادثة الكاملة بين الطرفين وسيعرضها في نافذة منفصلة، مع تطبيق فلتر عرض خاص بذلك التدفق. هذا يسمح لك بقراءة البيانات بشكل نصي واضح، خاصةً إذا كانت الاتصالات غير مشفرة (مثل Telnet أو HTTP).

    7. ✨ تطبيق فلاتر العرض 🗣️ لو واجهت كمية هائلة من الحزم وتبي التركيز على أنواع معينة من حركة المرور يمكنك استخدام فلاتر العرض القوية في Wireshark. 🔧 الخطوات:

      • اكتب الفلتر المطلوب في شريط Apply a display filter أعلى الواجهة.

      • بعض الفلاتر الشائعة:

        • عرض حزم Telnet فقط:

          telnet

        • إزالة حزم ARP من العرض:

          not arp

        • عرض حركة المرور لجهاز IP معين:

          ip.addr == x.0.x.0

      🗣️ إذا قمت بتطبيق الفلاتر، بيعرض Wireshark فقط الحزم التي تتطابق مع معايير الفلتر الخاص بك، مما يسهل التحليل.

  • نقاط التحقق:

    • تمكنت من التقاط حركة المرور على الواجهة الصحيحة.

    • تمكنت من فتح وحفظ ملفات pcap.

    • تمكنت من تخصيص عرض الأعمدة وتغيير تنسيق الوقت.

    • تمكنت من تتبع تدفق TCP/HTTP وقراءة المحادثات.

    • تمكنت من تطبيق فلاتر عرض محددة بنجاح.

    • تمكنت من استخلاص كائنات (مثل الصور) من حركة مرور HTTP.

Previous👾Network-Based-Attacks LABNext2. 🐍 مختبر تحليل الحزم باستخدام T-shark (من سطر الأوامر)

Last updated