search

2. 🐍 مختبر تحليل الحزم باستخدام T-shark (من سطر الأوامر)

  • 🎯 الهدف الأساسي: إجراء تحليل مستهدف ومؤتمت لحزم الشبكة من سطر الأوامر باستخدام T-shark، بما في ذلك تطبيق الفلاتر واستخراج حقول محددة.

  • 🔧 الأدوات المستخدمة:

    • T-shark: أداة تحليل حزم الشبكة من سطر الأوامر.

  • 📜 خطوات التنفيذ:

    1. ✨ قراءة ملف التقاط (pcap) وعرض واجهات الشبكة 🗣️ لو كان لديك ملف pcap محفوظ من Wireshark و تبي تعرف واجهات الشبكة المتاحة على جهازك . 🔧 الأوامر:

      t-shark -D
t-shark -r rando.pcapng

      🔗 ربط سلسلة الأدوات: إذا حفظت ملف pcap من Wireshark من الاب الي قبل استخدامه كمدخل لـ T-shark لتحليله من سطر الأوامر. 🗣️ إذا نفذت t-shark -D، بيعرض لك قائمة بواجهات الشبكة وإذا نفذت t-shark -r بتظهر لك جميع الحزم الموجودة في الملف، والتي قد تكون بالآلاف.

    2. ✨ عرض التسلسل الهرمي للبروتوكولات 🗣️ لو تبي تشوف ملخص سريع لأنواع البروتوكولات الموجودة في ملف الالتقاط استخدام خيار الإحصائيات (-z). 🔧 الأمر:

      t-shark -r rando.pcapng -z io,phs

      🗣️ إذا نفذت هذا الأمر بيعرض لك جدول يوضح عدد الحزم لكل بروتوكول ونسبتها المئوية، مثل Ethernet و IPv4 و TCP و UDP.

    3. ✨ تطبيق فلاتر العرض المستهدفة 🗣️ لو تبي تبحث عن أنواع معينة من حركة المرور استخدام الخيار -Y.

      🔧 الأوامر:

      • لعرض حزم HTTP فقط:

        t-shark -r rando.pcapng -Y "http" | more

      • لعرض حركة المرور بين عنواني IP محددين:

        t-shark -r rando.pcapng -Y "ip.src == 0.x.0.x && ip.dst == x.0.x.0" | more

      • لعرض طلبات GET فقط ضمن HTTP:

        t-shark -r rando.pcapng -Y "http.request.method == \"GET\"" | more

    4. ✨ استخرج حزم محددة من الحزم 🗣️ لو كنت تبحث عن معلومات محددة مثل أوقات الحزم، عناوين IP، أو عناوين URI استخدام الخيارين -T fields -e.

      🔧 الأوامر:

      • لاستخراج وقت الإطار، IP المصدر، و URI لطلبات HTTP GET:

        t-shark -r rando.pcapng -Y "http.request.method == \"GET\"" -T fields -e frame.time -e ip.src -e http.request.uri | more

      • للبحث عن حزم HTTP تحتوي على كلمة "password" واستخراج الحقول:

        t-shark -r rando.pcapng -Y "http contains \"password\"" -T fields -e frame.time -e ip.src -e http.request.uri | more

      • لاستخلاص ملفات تعريف الارتباط (cookies) من حركة مرور HTTP:

        t-shark -r rando.pcapng -Y "http.cookie" -T fields -e http.cookie | more

      • لتحديد وكيل المستخدم (User-Agent string) لجهاز معين (لتحديد نوع المتصفح/نظام التشغيل):

        t-shark -r rando.pcapng -Y "ip.src == 192.168.252.128 && http" -T fields -e http.user_agent | more

      🗣️ إذا استخدمت هذه الأوامر، سيعرض T-shark فقط المعلومات المحددة التي طلبتها في تنسيق نصي، مما يسهل معالجتها أو دمجها في سكريبتات أخرى.

  • نقاط التحقق:

    • تمكنت من تشغيل T-shark وقراءة ملفات pcap.

    • تمكنت من عرض إحصائيات البروتوكولات.

    • تمكنت من تطبيق فلاتر عرض متنوعة بنجاح.

    • تمكنت من استخراج حقول محددة من الحزم (مثل URIs، Cookies، User-Agents).

Previous1. 🌐 مختبر التقاط وتحليل حزم الشبكة باستخدام WiresharkNext3. 📡 مختبر تحليل حركة مرور Wi-Fi باستخدام Wireshark و T-shark

Last updated