1# Wireshark | تحليل الشبكات وطرق التقاط الترافيك من الشبكة

1# Wireshark | تحليل الشبكات وطرق التقاط الترافيك من الشبكة

---------------------------------------------------

1# Wireshark - تحليل الشبكات وطرق التقاط الترافيك من الشبكة

السلام عليكم، تحليل traffic في النتوورك، Network analyzing أو Sniffing أو packet capturing. كل هذه المسميات، packet capture، Network analyzing، Sniffing فكرتها أني آخذ جزء من Data اللي قاعدة تنتقل في النتوورك وأحللها. يعني أنا عندي هذه التوبولوجي البسيطة، عندي PC 1، PC 2 عندي Switch وعندي السيرفر، هذه النتوورك، الباك جراوند ما قاعدين نشوفها، PC 1 يتواصل مع PC 2 ب Switchقاعد يوصل هذا traffic إلى السيرفر، فكرة packet capturing أو Network analyzing أني آخذ نسخة من هذا traffic بأي نقطة وأحلل هذه Data، أحلل هذا traffic. مثلا PC 1 بيرسل بينق إلى PC 2. ICMP Traffic آخذ نسخة من هذا traffic هذه Data من هذه النقطة أو من هذه النقطة أو من هذه النقطة أو من هذه النقطة آخذ هذه النسخة وأحلل هذا ICMP Traffic، أحلل Request وأحلل Response. مثلا PC 1 يتواصل مع السيرفر، فرضا هذا DNS server أو DHCP Server أو Active Directual DC مثلا بيسوي عملية authentication للPC 1 عشان يدخل على Domain. كل هذه الكمية الضخمة من traffic اللي تصير في background اللي ما نشوفها خلف الكواليس ممكن آخذ نسخة منها وأحللها ArpRequest، ArpReply هذه كلها ممكن أحللها في packet أو Network analyzer أو Network analyzing tool، أداة لتحليل النتوورك. ليش أستخدم أداة وآخذ نسخة من traffic عشان أحلل النتوورك؟ ممكن لغرض troubleshooting، عندي مشكلة في النتوورك فيه جهاز ما قاعد يوصل لجهاز ثاني ولا في عندي بطء في النتوورك ولا في جهاز ما قاعد يأخذ IP مثلا من DHCP server مو قاعدين يتواصلون مع بعض، كل هذه ممكن أفهمها لما أحلل traffic وأشوف وش اللي قاعد يصير بالضبط لما اقرأ الداتا اللي قاعدة تنتقل في النتوورك. ممكن أستخدم عملية تحليل أو تحليل الداتا في Security. لما أشوف إذا أخذت نسخة من traffic، فيه داتا مشبوهة، فيه مثلا arp message غريب، فيه محاولة man in the middle attack. كل هذه ممكن استخدمها لحماية النتوورك لSecurity. فتقريبا، هذه أشهر نقطتين ممكن أستفيد منها في Network analyzing أني أستخدمها لtroubleshooting كشخص مسؤول عن هذه النتوورك وفي Security لما أشوف داتا مشبوهة. أحاول أراقب نتوورك، واش الداتا اللي تنتقل من جهاز إلى جهاز ثاني.

النقطة الثانية هو أني كيف آخذ نسخة من traffic. أنا عندي نتوورك PC 1 موصل بكابل في Switch بكابل للسيفر بكابل لل PC 2، الداتا فعليا تنتقل من خلال هذا الكابل. طبعا ممكن كذلك عن طريق wireless. كيف آخذ النسخة من traffic أثناء مرورها بهذا الوسيط، الكابل أو wireless أو غيره؟

في عندي ثلاثة طرق. أولا، directly on the machine، يعني أنا أبغى آخذ نسخة من traffic اللي قاعدة توصل إلى PC 1 ومن PC 1 تطلع إلى Switch وServer إلى PC 2.

Directly on the machine يعني أثبت Network analyzer أو Network analyzer tool على PC 1 اللي هو نشرحه في هذه السلسلة اللي هو Wireshark. أثبت Wireshark على PC 1. لما أثبت Wireshark على PC 1 أنا بيصير عندي القدرة إني أحلل traffic اللي يوصل إلى PC 1 واللي يطلع من PC 1 إلى Network. فهذه Method إني أثبت المحلل الأداة اللي بستخدمها لتحليل traffic وهي الأداة اللي تأخذ نسخة من اللي traffic على machine directly اللي بحلل عليه اللي هي PC 1، ولكن في هذه الحالة، أنا أحلل traffic اللي يطلع من PC 1 واللي يوصل إلى PC 1. أنا بحلل هذا البورت، هذا النيك، فبحلل traffic فقط اللي يوصل إلى هذه النيك، إلى هذا البورت. مثلا PC 2 قاعد يتواصل مع الServer و Server قاعد يتواصل مع PC 2، فيه Request وفيه Reply بين PC 2 وServer. أبغى أشوف الCommunication أبغى أخذ نسخة من traffic اللي قاعدة تصير، هذه الConversation بين PC 2 وServer. طبعا ما أقدر إذا أنا ثبت Analyzer على PC 1. أنا لازم أفهم Data flow، لازم أفهم كيف الbehavior حق الأجهزة في الNetwork عشان أقدر أعرف وين الجهة اللي مفروض آخذ منها traffic. يعني غير منطقي تماما إنك تثبت Analyzer على PC 1 وتبغى تأخذ نسخة من traffic اللي قاعدة تصير بين PC 2 وServer، مستحيل. PC 2 يرسل traffic إلى Switch وSwitch يشوف الMac address حق الServer، يوصله إلى Server. فأصلا traffic ما بيروح إلى PC 1، فما بتقدر تحلله، ما يوصل هو إلى PC 1. هذه Method الأولى.

Method الثانية هي SPAN. SPAN هي feature في Switch من خلالها أقدر أخلي الSwitch يأخذ نسخة من traffic اللي يعدي من بورت معين ويرسله إلى بورت ثاني. يعني أنا ال network engineer في هذه ال infrastructure أو هذه ال network. ثبت الnetwork analyzer على PC1 لكن أبغى آخذ نسخة من traffic والcommunication اللي قاعدة تصير بين PC2 والserver. طيب وش أسوي الآن؟ traffic ما قاعد يجيني للPC1، كيف آخذ نسخة من traffic؟ عن طريق Span، على الSwitch، أقدر أخلي الSwitch يرسل نسخة من traffic اللي قاعد يعدي من هذا البورت مثلا أو نسخة من traffic اللي يعدي من خلال هذا البورت. فPC2 traffic يوصل إلى switch ويعدي إلى server، server إلى switch ويعدي الى PC2، فال communication تعدي من هذه ال 2 بورت. أقدر آخذ نسخة من الone of them أو اثنينهم وأقول الSwitch حول أو خذ نسخة من traffic اللي يعدي من هذا البورت وأرسلها إلى هذا البورت فيوصلني الى PC1. وعن طريق الnetwork analyzer عن طريق الwireshark، لما أقول network analyzer خلاص wireshark أو network analyzing tool، wireshark آخذ نسخة من هذا traffic وأقدر أحللها على PC1. ثبتت الأداة wireshark على pc1 ولكن قاعد أحلل communication remotely بين server وبين PC2.

Method الأخيرة هي Network Tab. Network Tab هو عبارة عن قطعة hardware مثلا أبغى أحلل للترافيك اللي يصير بين PC2 والswitch. أروح إلى هذا الكابل أشبك ال network Tabبحيث أن الswitch ينشبك بالnetwork tab قطعة hardware. يعني هذه فكرتها أن يكون فيها بورتات بين النقطتين وبورت ثالث يروح إلى PC اللي بحلل عليه، نشوفها الحين. فالswitch يكون موصل بالnetwork tab، هذه القطعة فهذا بورت الآن في الnetwork tab، هذه ال hardware. تقدر تبحث عنه في النت بتشوف القطعة كيف شكلها ومن الnetwork tab إلى pc2 وفيه بورت ثالث أشبك عليه جهازي، مثلا ال laptop. فأثبت الwireshark على ال laptop والnetwork tab يأخذ نسخة من ال traffic اللي يعدي من خلاله ويرسل عن طريق البورت اللي أشبك عليه جهازي. فأحلل ال traffic اللي يعدى من خلال هذا ال network tab، من خلال الwireshark على ال laptop. فهذه ال three methods اللي من خلالها آخذ نسخة من ال traffic.

بس هذي فكرة هذا المقطع، مقدمة. أتمنى يكون كل شي واضح. عندك خبرة عملية، عندك معلومة ممكن تفيدنا، ضيفها تحت في التعليقات. سلام.

// أجزاء المقطع //

Intro - 00:00

00:02 - Introduction to Network Packets Analysis

03:18 - Methods to Capture Network Packets

03:51 - Directly on the machine method

05:57 - SPAN method

07:31 - Network TAP method

08:47 - Introduction to Wireshark

// حساباتي //

Website: https://www.mralshabib.com

Telegram: https://t.me/mralshabiib

LinkedIn: https://www.linkedin.com/in/jassimalshabib

// للدعم المادي //

https://www.paypal.me/mralshabib

https://www.patreon.com/mralshabib

https://www.youtube.com/@MrALSHABIB/join

// للأعمال //

mralshabib@gmail.com

--------------------------------------------------------------

Keywords

تحليل الباكتات, وايرشارك, شبكات الكمبيوتر, أمن الشبكات, بروتوكولات الشبكة, TCP/IP, HTTP, DNS, تحليل البيانات, أدوات تحليل الشبكة, تعلم الأمن السيبراني, تدريب وايرشارك, دورة وايرشارك, تعلم وايرشارك, شرح وايرشارك, مقدمة في وايرشارك, كيفية استخدام وايرشارك, Network Packet Analysis, Wireshark, Computer Networks, Network Security, Network Protocols, TCP/IP, HTTP, DNS, Data Analysis, Network Analysis Tools, Learning Cybersecurity, Wireshark Training, Wireshark Course, Learning Wireshark, Wireshark Tutorial, Introduction to Wireshark, How to use Wireshark

#ccna #networking