اي هي Wireshark واحدة من أقوى أدوات تحليل الشبكات، وأكثرها استخدامًا في مجالات الـ Penetration Testing، الـ Red Teaming، والتحليل الجنائي الرقمي.
تمكنك من تحليل حركة البيانات داخل الشبكة (Traffic) على مستوى الـ Packet، وفهم كل ما يدور بين الأجهزة والبروتوكولات المختلفة.
أولًا: المفهوم العام
Wireshark هو Network Protocol Analyzer
يقوم بالتقاط الباكيتات من كارت الشبكة وتحليلها بدقة عالية
يساعد المحلل أو المختبر على:
فهم الترافيك الحقيقي داخل الشبكة
رصد الثغرات الناتجة عن الإعدادات الضعيفة أو الاتصالات غير المشفرة
تتبع البيانات المرسلة واسترجاع الجلسات
تحليل السلوك الشبكي وقت الهجوم أو بعده (Post-Exploitation)
ثانيًا: حالات استخدام حقيقية لمختبري الاختراق
1. بعد الوصول إلى جهاز في الشبكة الداخلية:
مراقبة الترافيك الصادر والوارد
اكتشاف الأجهزة التي يتواصل معها الهدف
تحليل البروتوكولات المستخدمة (DNS, SMB, LDAP…)
2. أثناء تنفيذ هجوم MITM:
تحليل البيانات بين الضحية والـ Gateway بعد ARP Spoofing
رصد كلمات مرور، جلسات HTTP، DNS Requests، أو ملفات FTP
3. في مرحلة Post-Exploitation:
تتبع الـ lateral movement
استخراج معلومات من بروتوكولات مثل Kerberos، SMB، LDAP
تحليل نشاط الـ beacon أو الاتصال العكسي (Reverse Shell)
ثالثًا: Display Filters الأساسية والمتقدمة
فلاتر IP و Port:
ip.addr == 192.168.1.10
ip.src == 10.0.0.1
ip.dst == 10.0.0.5
tcp.port == 80
udp.port == 53
فلاتر بروتوكولات:
http
dns
ftp
tls
smb2
فلاتر حساسة لمختبري الاختراق:
http.request.method == "POST"
http contains "Authorization"
tcp.flags.syn == 1 and tcp.flags.ack == 0
dns.qry.name contains ".local"
ftp.request.command == "USER"
tcp.analysis.retransmission
تحليل زمن التأخير:
tcp.analysis.ack_rtt > 0.5
frame.time_delta > 1
رابعًا: Capture Filters – فلترة مسبقة عند بدء التسجيل
host 192.168.1.1
port 443
tcp port 445
not broadcast and not multicast
خامسًا: تحليل البروتوكولات العملية
1. HTTP:
استخراج بيانات تسجيل الدخول غير المشفرة
تتبع الـ API calls
تحليل الـ session tokens والكوكيز
http.set_cookie
http contains "Authorization"
http.request.method == "POST"
2. DNS:
تحليل الاستعلامات
اكتشاف Subdomains داخلية
كشف أنشطة DNS Tunneling
dns
dns.qry.name contains ".local"
dns.flags.rcode != 0
3. SMB / LDAP:
تتبع جلسات مشاركة الملفات
رصد المستخدمين والأجهزة
تحليل حركة الـ Authentication
tcp.port == 445
smb2
ldap
4. تحليل محاولات المسح والتعرف على البورتات:
tcp.flags.syn == 1 and tcp.flags.ack == 0
سادسًا: Features قوية داخل Wireshark
Follow TCP/HTTP Stream: تتبع جلسة كاملة بين جهازين
Protocol Hierarchy: معرفة أكثر البروتوكولات استخدامًا
IO Graphs: تحليل الحمل والزمن الحقيقي
Name Resolution: عرض أسماء بدلًا من IPs
Coloring Rules: تمييز الحزم بناءً على نوعها أو الخطأ الموجود
Export Options: حفظ النتائج وتحليلها لاحقًا بصيغة .pcapng
سابعًا: ممارسات احترافية لمختبري الاختراق
استخدم Wireshark في بيئات اختبار قانونية فقط
تأكد من تفعيل Promiscuous Mode لرؤية أكبر كم من الترافيك
قلل الضوضاء باستخدام الفلاتر الدقيقة لتوفير الوقت
سجل الجلسات وراجعها خارج بيئة العمل الحي (Offline Analysis)
لا تعتمد فقط على Wireshark، بل اربط النتائج مع أدوات أخرى مثل Ettercap، Bettercap، أو أدوات Privilege Escalation
#Sen00oo
حساباتي على منصات التواصل:
| المنصة | الرابط أو المعرف |
|---|---|
| فيسبوك | [حسابي الشخصي] |
| يوتيوب | [قناتي الرسمية] |
| تويتر (X) | [Sen00oo] |
| تليجرام (شخصي) | @Sen00oo |
| جروب تليجرام | [انضم للجروب] |
| قناة تليجرام | [تابع القناة] |
| جروب واتساب | [انضم للجروب] |
💰 للدعم المادي:
| الطريقة | التفاصيل |
|---|---|
| InstaPay | sen00oo@instapay |
| رقم الهاتف | 01272834923 |
| PayPal | [رابط PayPal ] |