Wireshark یکی از قدرتمند ترین و محبوب ترین ابزارهای تحلیل ترافیک شبکه است که به کاربران، امکان ضبط، مشاهده و بررسی بسته های عبوری از کارت شبکه را می دهد. این ابزار متن باز بوده و از آن در آموزش، عیب یابی شبکه، جرم شناسی دیجیتال و تحلیل امنیتی استفاده می شود.
در زمان درست، Wireshark یک ابزار بی رقیب است. اما اگر به عنوان اولین گزینه هنگام مشاهده کندی یا اختلال شبکه سراغ آن بروید، حجم زیاد بسته ها شما را گیج می کند.
وایرشارک زمانی بهترین عملکرد را دارد که مشکل مشخص باشد و شما به دنبال علت دقیق آن باشید.
مثال: اگر کاربران می گویند "سرور کنده!"، Wireshark با نمایش پکت های Drop شده می تواند نشان دهد که مشکل از زیرساخت شبکه است، نه سرور.
پیش نیازهای نصب
Wireshark نرم افزار سبکی است و روی سیستم هایی با حداقل منابع سخت افزاری و نرم افزاری، نصب می شود.
مراحل نصب Wireshark در ویندوز
در ادامه، نحوه نصب، تنظیم و استفاده از این ابزار روی سیستم عامل ویندوز را بهطور کامل آموزش می دهیم.
۱. دانلود نسخه مناسب
ابتدا نسخه متناسب با معماری سیستم خود (۳۲ یا ۶۴ بیت) را از سایت رسمی دانلود کنید:
https://www.wireshark.org/#download
2. اجرای فایل نصب
بعد از دانلود فایل نصبی، آن را اجرا کنید و مراحل زیر را طی کنید:
- صفحه Welcome to Wireshark ---> Next
- صفحه License Agreement ---> Noted
- صفحه Do you use Wireshark professionally? ---> Next
3. انتخاب کامپوننتها (Choose Components)
گزینه های زیر را فعال کنید:
- Wireshark: رابط گرافیکی اصلی نرمافزار
- TShark: نسخه خط فرمان؛ مناسب برای اسکریپتنویسی و تحلیل در سرورها
- گزینه Extcap: برای ضبط ترافیک از منابع خاص (اندروید، Wi-Fi، USB و …) – انتخاب این گزینه، اختیاری است.
4. تنظیمات اضافی (Additional Tasks)
توصیه می شود گزینه Associate File Extensions را فعال کنید تا فایل هایی با فرمت های pcap و pcapng ، مستقیماً با Wireshark باز شوند.
5. انتخاب محل نصب
مسیر دلخواه را انتخاب کنید و Next بزنید.
6. نصب Npcap
حتماً گزینه Install Npcap 1.xx را فعال کنید. بدون Npcap، Wireshark نمی تواند ترافیک زنده شبکه را Capture کند.
7. نصب USBPcap (اختیاری)
USBPcap برای ضبط ترافیک دستگاه های USB است. اگر نیاز ندارید، آن را غیرفعال بگذارید.
8. شروع نصب و تکمیل فرآیند
در این مرحله Wireshark نصب می شود و به صورت خودکار وارد مراحل نصب Npcap نیز خواهد شد. نصب Npcap را تایید کنید. پس از نصب Npcap، به صورت خودکار، ادامه فرآیند نصب Wireshark طی می شود.
پس از نصب Npcap، به صورت خودکار، ادامه فرآیند نصب Wireshark طی می شود.
9. پایان نصب
با انتخاب Finish، نصب کامل می شود.
آموزش استفاده از Wireshark
صفحه آغازین (Welcome Page)
پس از اجرا، لیست کارت های شبکه را مشاهده می کنید.
با انتخاب کارت شبکه مورد نظر، ضبط بسته های عبوری از آن، آغاز می شود.
پنجره اصلی از سه بخش تشکیل شده است:
1. Packet List Pane (لیست پکت ها): قسمت بالایی در شکل زیر
- نمایش ترتیب زمانی پکت ها
- نمایش IP مبدأ و مقصد
- نوع پروتکل و خلاصه پکت ها
2. Packet Details Pane (جزئیات پکت): قسمت پایین، راست در شکل زیر
در این بخش اطلاعات براساس لایه های مدل OSI قابل مشاهده است:
- Ethernet
- IP
- TCP / UDP
- Application Layer (مانندHTTP)
با کلیک روی هر لایه، جزئیات فنی آن نمایش داده میشود.
3. Packet Bytes Pane (بایت ها): قسمت پایین، چپ در شکل زیر
نمایش پکت به صورت Hex + ASCII
کلیدهای اصلی بالای صفحه
به ترتیب از راست به چپ:
- Start Capture - شروع ضبط
- Stop Capture - توقف ضبط
- Restart Capture - ضبط مجدد
انواع فیلترها در Wireshark
درWireshark ، دو نوع فیلتر وجود دارد که برای مشاهده ساده تر و تحلیل ترافیک شبکه استفاده می شوند:
1. Display Filter (فیلتر نمایش):
برای فیلتر کردن پکت های نمایش داده شده پس از ضبط استفاده می شود. مثال:
- فقط بسته های HTTP : http
- فقط بسته هایی از یک IP خاص : ip.addr == 192.168.1.10
- فقط بسته های TCP با پورت 80 : tcp.port == 80
- فقط بسته های Ping : icmp
منبع رسمی فیلترهای نمایش Wireshark:
https://wiki.wireshark.org/DisplayFilters
همچنین در بخش ضمائم این مقاله، یک فایل PDF شامل فیلترهای نمایش کاربردی جهت راهنمایی بیشتر، بارگذاری شده است.
2. Capture Filter (فیلتر ضبط):
فقط پکت های مشخص شده ضبط می شوند. مثال:
- فقط ترافیک از / به IP خاص : host 192.168.1.10
- فقط بسته های پورت 80 : port 80
- فقط TCP : tcp
- فقط بسته های بین دوIP : host 192.168.1.10 and host 192.168.1.20
منبع رسمی فیلترهای ضبط Wireshark:
https://wiki.wireshark.org/CaptureFilters
نمونه کاربردی استفاده از فیلترها(مثال عملی)
فرض کنید کارمندان می گویند: سایت شرکت خیلی کند باز می شود. برای تحلیل:
- کارت شبکه را انتخاب کنید و ضبط را شروع کنید.
- Display Filter را روی tcp قرار دهید.
- اندازه پکتها (Window Size) و انتقال های مجدد (Retransmission) را بررسی کنید.
- اگر پیوسته TCP Retransmission مشاهده کردید، مشکل از دراپ شدن پکت ها یا ضعف شبکه است، نه سرور.
این مثال یکی از کاربردهای مهم Wireshark در تشخیص ریشه مشکل است.
ذخیره و باز کردن فایل ضبط
برای ذخیره: File → Save
برای باز کردن فایلهای قبلی: File → Open
نکات کاربردی و حرفهای
نیاز به حالت مانیتورینگ (Monitor Mode)
اگر می خواهید همه پکت های شبکه را ببینید (نه فقط پکت های مربوط به کارت شبکه خودتان)، باید کارت شبکه در حالت Monitor قرار گیرد یا Port Mirroring روی سوئیچ تنظیم شود.
تأثیر ترافیک زیاد روی عملکرد
ضبط طولانی مدت ممکن است RAM را پر کرده و نرم افزار کند شود. همیشه Capture Filter استفاده کنید.
مشاهده رمزهای عبور و اطلاعات رمزنگاری شده در شبکه
در پروتکل های رمزنگاری نشده مانند HTTP و Telnet امکان پذیر است اما در HTTPS خیر؛ مگر اینکه کلیدهای Session را در زمان واقعی و همان لحظه ای که استفاده شده اند، ذخیره کرده باشید. سپس می توانید از این لیست کلیدها استفاده کرده و ترافیکی که ضبط کرده اید را رمزگشایی کنید.
رمزگشایی HTTPS / TLS
به دلیل استفاده از Perfect Forward Secrecy (قابلیت ساخت یک کلید موقت و یک بار مصرف برای هر ارتباط)، با داشتن کلید خصوصی سرور امکان رمزگشایی وجود ندارد. تنها روش، فعال کردن SSLKEYLOGFILE (فایل متنی تولید شده توسط مرورگر برای ذخیره کلید های موقت Sessionهای TLS) در مرورگر و معرفی آن به Wireshark می باشد.
استفاده حرفه ای از Wireshark
میتوانید با مطالعه مستندات رسمی Wireshark به صورت حرفه ای تر از این ابزار استفاده کنید:
https://www.wireshark.org/docs/wsug_html_chunked/
برای درک بهتر فرآیند نصب، یک ویدیوی آموزشی از مراحل کار تهیه و در پایان صفحه بارگذاری شده است.
نتیجهگیری
Wireshark ابزاری قدرتمند برای تحلیل ترافیک شبکه، عیب یابی، بررسی امنیت و آگاهی از جزئیات پروتکل ها است. با نصب صحیح، استفاده از فیلترها و درک ساختار بسته ها، می توان هرگونه اختلال در شبکه را سریع تر و دقیق تر تشخیص داد.
مقاله کامل و جامعی برای نصب و راه اندازی وایرشارک بود ، بهتون تبریک میگم ، به امید دیدن محتواهای بیشتر و کاملتر از شما در مجموعه توسینسو