לדלג לתוכן

3.4 תוכנת wireshark הרצאה

תוכנת Wireshark

מהי תוכנת Wireshark?

כלי Wireshark היא תוכנה עוצמתית לניתוח רשת המאפשרת לנו להסניף ולנתח את התעבורה הרשתית העוברת בכרטיס הרשת של המחשב שלנו. היא משמשת מנהלי רשת, חוקרי אבטחה ומפתחים להבנת תעבורת הנתונים ברשת. ניתן להוריד את התוכנה מהקישור הבא: Wireshark Download

התקנת Wireshark

לאחר התקנת התוכנה, תתבקשו לבחור כרטיס רשת שממנו תבוצע ההסנפה. הכרטיסים האפשריים כוללים:

  • כרטיס רשת חיצוני – זהו הכרטיס שמחובר לרשת דרך Wi-Fi או כבל רשת.
  • Localhost – מייצג את כל התקשורת הפנימית בין התוכנות השונות שרצות במחשב.

התחלת הסנפה

לאחר בחירת כרטיס הרשת, ניתן להתחיל את ההסנפה. ישנם שני סוגי פילטרים שניתן להגדיר מראש:

  1. Capture Filter – מסנן חבילות נתונים לפני שהן נלכדות, מה שמאפשר להגביל את הנתונים הנאספים מלכתחילה.
  2. Display Filter – מסנן חבילות נתונים לאחר שנלכדו, כדי להקל על הניתוח.

ws-main.png

שימוש ב-Capture Filters

פילטרים אלה נכתבים בשפת BPF (Berkeley Packet Filter). כמה דוגמאות שימושיות:

  • סינון לפי פרוטוקול: tcp (רק חבילות TCP) או udp (רק חבילות UDP)
  • סינון לפי כתובת IP ספציפית: host 192.168.1.1
  • סינון לפי פורט: port 80 (HTTP בלבד)
  • סינון לפי תעבורת רשת מסוימת: net 192.168.1.0/24 (לכידת כל התעבורה בתת-רשת 192.168.1.x)

ניתוח התעבורה עם Display Filters

לאחר שהחבילות נאספו, ניתן להשתמש ב-Display Filters כדי להתאמת על חבילות מסוימות. להלן מספר דוגמאות שימושיות:

  • הצגת חבילות HTTP בלבד: http
  • הצגת חבילות DNS: dns
  • סינון לפי כתובת IP מקורית: ip.src == 192.168.1.10
  • סינון לפי כתובת IP יעד: ip.dst == 8.8.8.8
  • סינון לפי פורט ספציפי: tcp.port == 443 (תעבורת HTTPS בלבד)

קריאת תוצאות ההסנפה

לאחר התחלת ההסנפה, החלון הראשי של Wireshark יציג רשימה של פאקטות שנתפסו. לכל חבילה יוצגו:

  • זמן ההגעה (Timestamp)
  • כתובת מקור (Source IP) וכתובת יעד (Destination IP)
  • הפרוטוקול שבו השתמשה החבילה (TCP, UDP, HTTP וכו׳)
  • אורך החבילה בבתים

בלחיצה על פאקטה מסוימת, ניתן לראות פירוט מלא שלה, כולל הכותרות (Headers) של שכבות הרשת השונות, הנתונים המועברים ועוד.
Pasted image 20240814205042.png

שמירת ניתוח ופתיחת קבצים

ניתן לשמור את ההסנפות כקבצי .pcap באמצעות אפשרות Export, ולפתוח אותם מחדש לניתוח מאוחר יותר. כמו כן, ניתן לפתוח קובצי .pcap ממקורות אחרים לניתוח חיצוני.

תרגול ושימושים מתקדמים

  1. גלישה לאתר מסוים תוך כדי הסנפה – בדקו את ה-HTTP Request שנשלח.
  2. שליחת פינג (ping) ובדיקה כיצד הוא מופיע ב-Wireshark.
  3. ניתוח תעבורת DNS – בדקו אילו שאילתות מתבצעות בעת טעינת דף אינטרנט.

הכלי Wireshark הוא כלי חזק ביותר שמאפשר לנו לראות את הרשת שלנו מבפנים, להבין כיצד חבילות נתונים עוברות ולבצע ניתוח מתקדם של תעבורה. מומלץ לתרגל ולהתנסות במגוון הפילטרים כדי להכיר את הכלי לעומק.