לדלג לתוכן

מבוא לוויירשארק - Wireshark - איך מתחילים בלי להיבהל מהמסך

הפעם הראשונה שפתחתי את Wireshark הרגשתי בדיוק כמו כשמנסים לקרוא מטריקס - שורות ושורות של מספרים וקיצורים שזזים במסך בלי הפסקה, ואין לי מושג לאן להסתכל. אם זה מוכר לכם, תירגעו. Wireshark זה לא כלי קסם למומחים בלבד, זה בעצם עדשת הגדלה על הרשת, ואחרי שתבינו איך להסתכל דרכה, שום "אין לי אינטרנט" לא יישאר מסתורי בשבילכם שוב.

אז מה בעצם Wireshark

Wireshark הוא כלי שמאפשר לכם לתפוס ולראות בעיניים כל חבילת מידע שעוברת דרך כרטיס הרשת שלכם. כל דבר שהמחשב שולח ומקבל - בקשות DNS, גלישה באתרים, התחברויות SSH, הכל - עובר דרך Wireshark ואפשר לפתוח כל חבילה ולראות בדיוק מה יש בפנים, שכבה אחרי שכבה, בדיוק כמו שדיברנו עליו במודל ה-OSI.

זה כלי שנמצא בשימוש בכל תחום שנוגע ברשתות - מנהלי מערכת שמנסים לאבחן תקלה, חוקרי אבטחה שמנתחים תקיפה, ואפילו מפתחים שמנסים להבין למה ה-API שלהם מתנהג מוזר. וזה גם חינמי לגמרי ופתוח קוד.

איך מתקינים

ההתקנה פשוטה בכל מערכת הפעלה:

  • בוינדוס ומק פשוט מורידים את ההתקנה מהאתר הרשמי wireshark.org ומריצים אותה כמו כל תוכנה אחרת.
  • בלינוקס אפשר להתקין ישירות מהטרמינל, למשל sudo apt install wireshark בדביאן ואובונטו.

חשוב לשים לב שבמהלך ההתקנה תתבקשו לאפשר הרשאות לכידת תעבורה (על WinPcap או Npcap בוינדוס), כי כדי לתפוס חבילות ברמת הרשת צריך הרשאות מיוחדות מעבר לתוכנה רגילה.

הלכידה הראשונה שלכם

ברגע שפתחתם את Wireshark, תראו רשימה של ממשקי רשת - כרטיס הרשת האלחוטי, כרטיס קווי, ולפעמים עוד כמה וירטואליים. בחרו את הממשק שדרכו אתם מחוברים לאינטרנט (בדרך כלל זה זה שיש לו הכי הרבה תנועה בגרף לידו) ולחצו עליו כדי להתחיל בלכידה.

עכשיו פתחו דפדפן וגלשו לאתר כלשהו. תוך שניות תראו את המסך מתמלא בשורות. זה בדיוק זה - Wireshark תפס כל חבילה שעברה במחשב שלכם ברגע הזה.

איך לא להיבהל מהבלגן

הטעות הכי נפוצה של מתחילים היא לפתוח Wireshark על הרשת הרגילה שלהם ולנסות "להבין הכל בבת אחת". יש שם מאות חבילות בשנייה, וזה בלתי אפשרי לעקוב בלי שיטה. הפתרון הוא פילטרים - filters.

בשורת הפילטר בראש המסך אפשר להקליד ביטוי שמסנן רק את מה שמעניין אתכם:

  • dns - יראה לכם רק בקשות ותשובות DNS, אם רציתם לראות בעיניים איך שם אתר הופך לכתובת IP.
  • http - יראה לכם רק תעבורת HTTP רגילה, לא מוצפנת.
  • ip.addr == 192.168.1.1 - יראה לכם רק תעבורה שקשורה לכתובת IP ספציפית.
  • tcp.port == 443 - יראה לכם רק תעבורה מוצפנת ב-HTTPS.

תתחילו עם dns, תגלשו לאתר חדש שלא ביקרתם בו לאחרונה, ותצפו איך מופיעה בקשת DNS ואז התשובה איתה, בדיוק כמו שהסברנו במאמר על DNS. זה הרגע שבו הכל הופך ממושג תיאורטי למשהו שאתם רואים קורה מול העיניים.

מה בעצם רואים בתוך חבילה

כשתלחצו על חבילה בודדת ברשימה, תראו למטה פירוט מלא שלה, מחולק בדיוק לפי שכבות המודל שכבר הכרתם - Frame, Ethernet, IP, TCP או UDP, ולבסוף הפרוטוקול הספציפי כמו HTTP או DNS. אפשר לפתוח כל שכבה ולראות בדיוק אילו שדות יש בה - כתובת המקור, כתובת היעד, מספרי פורט, ואפילו התוכן עצמו אם הוא לא מוצפן.

זו בדיוק הסיבה ש-HTTPS כל כך חשוב - אם תנסו לפתוח חבילת HTTP רגילה תראו בדיוק את הבקשה כמו שהיא, כולל טקסט גלוי. אם תנסו לפתוח חבילת HTTPS, תראו רק בלוק מוצפן חסר משמעות.

למה שווה להשקיע בזה זמן אמיתי

Wireshark הוא לא כלי שלומדים בקריאה אחת - הוא כלי שלומדים דרך תרגול, בדיוק כמו שפת תכנות. ככל שתשקיעו בו יותר זמן, תוכלו לאבחן בעיות רשת מהר יותר, להבין תקיפות אבטחה ברמת החבילה, ולראות בדיוק מה קורה כשמשהו לא עובד כמו שאתם מצפים.

בקורס הרשתות שלנו יש פרק שלם שמלמד את Wireshark מהבסיס ועד ניתוח תעבורה מתקדם, עם תרגילים אמיתיים על תעבורה אמיתית, לא רק צילומי מסך.

קורס הרשתות המלא נמצא כאן, חינם ובעברית, עם דגש חזק על תרגול מעשי.

נתקעתם עם פילטר שלא עובד? יש קהילה שלמה בדיסקורד שתעזור לכם.

הצטרפו לקהילה בדיסקורד

לסיכום

Wireshark נראה מפחיד בגלל כמות המידע שהוא זורק עליכם, אבל ברגע שאתם לומדים לסנן ולהתמקד בדיוק במה שמעניין אתכם, הוא הופך לכלי הכי שקוף שיש לכם על מה שקורה ברשת. תתחילו עם פילטר אחד פשוט, תעקבו אחרי חבילה אחת מההתחלה עד הסוף, ותראו איך כל מה שלמדתם עד עכשיו על רשתות הופך לפתאום למוחשי.