Wireshark - capture.pcapNo.TimeSourceDestinationProtocol10.000192.168.1.101.1.1.1DNS20.0031.1.1.1192.168.1.10DNS30.012192.168.1.1093.184.215.14TCP40.04593.184.215.14192.168.1.10TCP50.087192.168.1.1093.184.215.14TLS60.12393.184.215.14192.168.1.10TLS

Wireshark

11 דקות קריאהרשת

Wireshark הוא מנתח פרוטוקולי הרשת האוניברסלי - הכלי שכל מהנדס רשת, מנתח אבטחה ומפתח מגיע אליו כאשר "למה זה לא עובד?" צריך תשובה. הוא לוכד כל חבילה שזורמת דרך ממשק ומציג אותן בכל שכבת פרוטוקול, מכותרות Ethernet ועד גופי HTTP. בשימוש מושכל, זה עונה על שאלות שאף כלי אחר לא יכול.

גוף המאמר המלא מסופק באנגלית להלן.

Wireshark הוא מנתח פרוטוקולי הרשת החינמי, קוד פתוח, שהיה התקן בפועל מאז שנות ה-90 המאוחרות (נקרא במקור Ethereal). הוא לוכד מנות מממשקי רשת ומפענח אותן לצורה הניתנת לקריאה על ידי אדם, ותומך באלפי פרוטוקולים בכל שכבה. המיומנות של קריאת פלט Wireshark היא אחת השימושיות ביותר ברשתות.

מה Wireshark עושה

  • Captures packets. מכל ממשק רשת - Ethernet, Wi-Fi, loopback. מאחסן אותם בקבצי pcap או pcapng.
  • מפענח פרוטוקולים. מנתח כל מנה דרך כל שכבת פרוטוקול קיימת - Ethernet → IP → TCP → TLS → HTTP, למשל. מדגיש את המבנה בצורה ברורה.
  • Filters. מסנני תצוגה מצמצמים את מה שאתה רואה ("http.host contains example.com"). מסנני לכידה מצמצמים את מה שנרשם ("יציאה 80 או יציאה 443").
  • עוקבת אחר זרמים. מרכיב מחדש את כל החבילות בחיבור לתצוגה קוהרנטית אחת של השיחה.
  • Analyzes עבור כלים סטטיסטיים Bu עבור Bu. גרפים, רשימות שיחות, מידע מומחים.
  • Decrypts. בהינתן המפתחות, האם ניתן לפענח TLS, WPA ופרוטוקולים מוצפנים אחרים.

אלו שאלות עונה Wireshark

X3ZPLZ34Why האם הבקשה הזו איטית? (שידורים חוזרים של TCP, לחיצת יד איטית, אובדן מנות נראה במעקב)
  • מה בדיוק האפליקציה הזו שולחת? (כותרות, מטענים, תזמון)
  • האם השרת אכן מגיב? (או סתם פסק זמן איפשהו)
  • באיזה פרוטוקול המכשיר הזה משתמש? (מזהה תעבורה לא ידועה על ידי התאמת דפוסים)
  • מדוע ה-Wi-Fi שלי מתקלקל? (נסה שוב לספור, ניתוח משואות)
  • מה עושה לחיצת היד של TLS? (משא ומתן על חבילת צופן, החלפת תעודות, בחירת ALPN)
  • האם הרשת שלי רועשת בצורה יוצאת דופן? (שידור תעבורה, ניסיונות סריקה)

    • מסנני תצוגה נפוצים

    • ip.addr == 192.168.1.100 — תעבורה אל/מאת יציאת IPXPLZ56PLXXPZ5t=856PLXXPLZ. 443 — תעבורת HTTPS
    • http.request — רק חבילות בקשת HTTP
    • dns — שאילתות ותשובות DNS
    • XZPLZhandshake —TXLShandshake packets
    • tcp.flags.reset == 1 — איפוסי TCP (לעיתים קרובות מעיד על בעיות)
    • !arp ו-!icmp — לסנן פרוטוקולים רועשים
      • XPLZtime_deltaXPLZ80PLZtime280PLZtime 1 — פערים בשיחה של יותר משנייה אחת

    tcpdump: שורת הפקודה הדודנית

    לשרתים חסרי ראש ולכידות מהירים, tcpdump משתמש באותה תשתית לכידת מנות (libpcap) עם ממשק שורת פקודה. תבניות נפוצות:

    tcpdump -i eth0 -w capture.pcap port 80
tcpdump -i any -nn 'מארח 1.2.3.4 ויציאה 443'
tcpdump -r capture.pcap 'tcp[tcpflags] & tcp-rst != 0'

    קבצי הלכידה ניתנים להחלפה עם Wireshark - לכיד עם tcpdump בשרת, העתק את קובץ pcap, נתח ב-Wireshark עם GUI. TLS

    Wireshark יכול לפענח TLS אם יש לך את מפתחות ההצפנה. שני נתיבים:

    • מפתח RSA פרטי בצד השרת. עובד רק עם חבילות צופן שאינן קדמיות סודיות; פחות שימושי ב-2026.
    • SSLKEYLOGFILE משתנה סביבה. דפדפנים וכלים מודרניים (סלסול, OpenSSL) רושמים מפתחות הפעלה לקובץ כאשר SSLKEYLOGFILE מצביע על אחד. טען את הקובץ ב-Wireshark ו-HTTPS יהפוך לקריאה.

    זה חיוני לאיתור באגים ביישומי HTTPS. גישת SSLKEYLOGFILE היא היחידה שעובדת עבור חבילות צפנים מודרניות סודיות קדימה.

    Wireshark ו-Wi-Fi

    Wi-Fi מצריך מצב מוניטור - הכנסת הממשק האלחוטי למצב שבו הוא לוכד את כל החבילות בערוץ הכתובות, לא רק מנות. מנהלי התקנים ומערכות הפעלה משתנים בתמיכה במצב צג; ל-macOS יש את זה (עם כמה פריצות), Windows דורש מנהלי התקנים מיוחדים, לינוקס עובדת היטב עם רוב הכרטיסים.

    לפענוח WPA2, Wireshark צריך את ביטוי הסיסמה וה-SSID של הרשת. לאחר מכן הוא גוזר את המפתחות לכל הפעלה ומפענח את התעבורה שנלכדה בזמן אמת.

    שכבת האתיקה

    Capturing מנות חושפת את כל מה שנראה ברשת. ברשתות שאין לך בבעלותך:

    • חלים חוקי האזנה (ארה"ב, האיחוד האירופי, רוב המדינות מגבילות לכידת מנות שאינך בבעלותך)
    • מדיניות מקומות העבודה דורשת בדרך כלל הרשאה
    • לכידת Wi-Fi ציבורית של תעבורה של אחרים היא בדרך כלל בלתי חוקית אפילו ברשתות פתוחות

    השתמש ברשתות שלך, עם הרשאה מפורשת בעצמך, עם רשתות כתובות או רשומות משלך. מקרי שימוש לגיטימיים יש בשפע; לכידה לא מורשית היא פשע.

    רלוונטיות לקריירה

    מיומנות Wireshark משתמעת בתפקידי רשת ואבטחה רבים. קורס SANS SEC503 (Intrusion Detection In-Depth) בנוי סביב ניתוח מנות בסגנון Wireshark. מהנדסי רשת, אנליסטים של SOC, חוקרי אבטחה ומפתחים בונים יישומים תלויי רשת, כולם נהנים משטף.

    למשתמשים שרוצים להתחיל: לכוד חלק מהתנועה שלך, עקוב אחר זרמים, למד את המסננים הבסיסיים. קבצי Pcap מאתגרי CTF והדרכות אבטחה הם חומר תרגול בשפע.

    שאלות נפוצות

    האם Wireshark חוקי לשימוש?
    ברשתות בבעלותך או שיש לך הרשאה לנטר, כן. ברשתות שאין בבעלותך (Wi-Fi ציבורי, שכנים, עמיתים לעבודה ללא אישור IT), לא - לכידת תעבורה של אחרים היא בדרך כלל לא חוקית, ללא קשר לשאלה אם הרשת מוצפנת.
    האם Wireshark יכול לפענח את ה-Wi-Fi של השכן שלי?
    אם יש לך את ביטוי הסיסמה וה-SSID שלהם, כן - עבור תעבורת WPA2. בלי ביטוי הסיסמה, לא. אפילו עם זה, לעשות זאת ללא אישור הוא בלתי חוקי ברוב תחומי השיפוט.
    האם tcpdump שונה מ-Wireshark?
    אותו מנגנון לכידה בסיסי (libpcap). tcpdump הוא שורת הפקודה; Wireshark הוא גרפי. אותו פורמט פלט pcap. השתמש במה שמתאים למשימה - tcpdump ללכידות ושרתים מהירים, Wireshark לניתוח וחקירה מורכבת.
    האם Wireshark יאט את הרשת שלי?
    ברשתות קוויות בדרגת גיגה-ביט, אין השפעה ניכרת. במצב צג Wi-Fi, הממשק האלחוטי מוקדש ללכידה ואינו יכול להתחבר בו זמנית כרגיל - כך שלא תוכל לגלוש וללכוד באותו ממשק. השתמש בדונגל נפרד אם אתה צריך את שניהם.
    כיצד אוכל ללכוד HTTPS ב-Wireshark?
    הגדר את משתנה הסביבה SSLKEYLOGFILE לפני הפעלת הדפדפן או האפליקציה שלך. טען את קובץ יומן המפתח שהתקבל ב-Wireshark דרך עריכה ← העדפות ← פרוטוקולים ← TLS. תעבורת HTTPS הופכת לקריאה. עובד רק עבור תעבורה מאפליקציות שמכבדות את SSLKEYLOGFILE (רוב הדפדפנים והסלסולים המודרניים עושים זאת).
    Wireshark הסבר: כלי לכידת המנות שמראה מה באמת יש ברשת שלך