كبلات إيثرنت ملونة.

pixelnest / شترستوك

وايرشارك هو المعيار الفعلي لتحليل حركة مرور الشبكة. لسوء الحظ ، يصبح بطيئًا بشكل متزايد مع نمو التقاط الحزم. حافة يحل هذه المشكلة جيدًا ، وسوف يغير سير عمل Wireshark الخاص بك.



Wireshark عظيم ، لكن. . .

Wireshark هو برنامج رائع مفتوح المصدر. يتم استخدامه من قبل الهواة والمحترفين على حدٍ سواء في جميع أنحاء العالم للتحقيق في مشكلات الشبكات. إنه يلتقط حزم البيانات التي تنتقل عبر الأسلاك أو عبر الأثير في شبكتك. بمجرد التقاط حركة المرور الخاصة بك ، يتيح لك Wireshark تصفية البيانات والبحث فيها ، وتتبع المحادثات بين أجهزة الشبكة ، وغير ذلك الكثير.

مشاهدة المجلدات المخفية windows 7

على الرغم من أن Wireshark رائعة ، إلا أنها تحتوي على مشكلة واحدة. يمكن أن تصبح ملفات التقاط بيانات الشبكة (تسمى تتبع الشبكة أو التقاط الحزمة) كبيرة جدًا وبسرعة كبيرة. هذا صحيح بشكل خاص إذا كانت المشكلة التي تحاول التحقيق فيها معقدة أو متقطعة ، أو إذا كانت الشبكة كبيرة ومشغولة.

كلما زاد التقاط الحزمة (أو PCAP) ، أصبح Wireshark أكثر تأخرًا. مجرد فتح وتحميل أثر كبير جدًا (أي شيء يزيد عن 1 غيغابايت) يمكن أن يستغرق وقتًا طويلاً ، كما تعتقد أن Wireshark قد انحنى وتخلي عن الشبح.

العمل مع ملفات بهذا الحجم هو ألم حقيقي. في كل مرة تقوم فيها بإجراء بحث أو تغيير عامل تصفية ، عليك الانتظار حتى يتم تطبيق التأثيرات على البيانات وتحديثها على الشاشة. كل تأخير يعطل تركيزك ، مما قد يعيق تقدمك.

الإعلانات

حافة هو علاج هذه المشاكل. يعمل بمثابة معالج مسبق تفاعلي وواجهة أمامية لـ Wireshark. عندما تريد أن ترى المستوى الحبيبي الذي يمكن أن يوفره Wireshark ، يقوم Brim على الفور بفتحه لك بالضبط على تلك الحزم.

إذا قمت بالكثير من عمليات التقاط الشبكة وتحليل الحزم ، فإن Brim سيحدث ثورة في سير عملك.

ذات صلة: كيفية استخدام مرشحات Wireshark على نظام Linux

تركيب بريم

Brim جديد جدًا ، لذا فهو لم يشق طريقه بعد إلى مستودعات البرامج لتوزيعات Linux. ومع ذلك ، في صفحة تحميل بريم ، ستجد ملفات حزم DEB و RPM ، لذا فإن تثبيتها على Ubuntu أو Fedora أمر بسيط بما فيه الكفاية.

إذا كنت تستخدم توزيعة أخرى ، يمكنك ذلك تنزيل الكود المصدري من GitHub وبناء التطبيق بنفسك.

يستخدم Brim zq ، أداة سطر أوامر لملفات زيك سجلات ، لذلك ستحتاج أيضًا إلى تنزيل ملف ZIP يحتوي على zq ثنائيات.

تثبيت بريم على أوبونتو

إذا كنت تستخدم Ubuntu ، فستحتاج إلى تنزيل ملف حزمة DEB و zq ملف Linux ZIP. انقر نقرًا مزدوجًا فوق ملف حزمة DEB الذي تم تنزيله ، وسيفتح تطبيق Ubuntu Software. تم إدراج ترخيص Brim عن طريق الخطأ على أنه ملكية - يستخدم امتداد ترخيص BSD 3-Clause .

انقر فوق تثبيت.

انقر

الإعلانات

عند اكتمال التثبيت ، انقر نقرًا مزدوجًا فوق zq ZIP لتشغيل تطبيق إدارة الأرشيف. سيحتوي ملف ZIP على دليل واحد ؛ قم بسحبه وإفلاته من مدير الأرشيف إلى موقع على جهاز الكمبيوتر الخاص بك ، مثل دليل التنزيلات.

نكتب ما يلي لإنشاء موقع لـ zq الثنائيات:

_path = 'dns'

نحتاج إلى نسخ الثنائيات من الدليل المستخرج إلى الموقع الذي أنشأناه للتو. استبدل مسار واسم الدليل المستخرج على جهازك في الأمر التالي:

rsync

نحتاج إلى إضافة هذا الموقع إلى المسار ، لذلك سنقوم بتحرير ملف BASHRC:

sudo mkdir /opt/zeek

سيتم فتح محرر gedit. قم بالتمرير إلى أسفل الملف ، ثم اكتب هذا السطر:

sudo cp Downloads/zq-v0.20.0.linux-amd64/* /opt/Zeek

ملف BASHRC في محرر gedit مع سطر تصدير PATH = $ PATH: / opt / zeek.

احفظ التغييرات وأغلق المحرر.

تركيب بريم على فيدورا

لتثبيت Brim على Fedora ، قم بتنزيل ملف حزمة RPM (بدلاً من DEB) ، ثم اتبع نفس الخطوات التي غطيناها لتثبيت Ubuntu أعلاه.

الإعلانات

ومن المثير للاهتمام ، أنه عند فتح ملف RPM في Fedora ، يتم تحديده بشكل صحيح على أنه يحتوي على ترخيص مفتوح المصدر ، وليس ترخيصًا خاصًا.

إطلاق بريم

انقر فوق إظهار التطبيقات في قفص الاتهام أو اضغط على Super + A. اكتب brim في مربع البحث ، ثم انقر فوق Brim عند ظهوره.

نوع

تطلق بريم وتعرض نافذتها الرئيسية. يمكنك النقر فوق Choose Files لفتح مستعرض ملف ، أو سحب ملف PCAP وإفلاته في المنطقة المحاطة بالمستطيل الأحمر.

نافذة بريم الرئيسية بعد بدء التشغيل.

يستخدم Brim شاشة مبوبة ، ويمكنك فتح العديد من علامات التبويب في وقت واحد. لفتح علامة تبويب جديدة ، انقر فوق علامة الجمع (+) في الجزء العلوي ، ثم حدد PCAP آخر.

أساسيات أسنانها

Brim يقوم بتحميل وفهرسة الملف المحدد. الفهرس هو أحد الأسباب التي تجعل Brim سريعًا جدًا. تحتوي النافذة الرئيسية على رسم بياني لوحدات تخزين الحزم بمرور الوقت ، وقائمة بتدفقات الشبكة.

النافذة الرئيسية Brim مع تحميل ملف PCAP.

يحتوي ملف PCAP على دفق مرتب زمنيًا من حزم الشبكة لعدد كبير من اتصالات الشبكة. حزم البيانات للاتصالات المختلفة متداخلة لأن بعضها سيتم فتحه بشكل متزامن. تتخلل الحزم الخاصة بكل محادثة شبكة مع حزم المحادثات الأخرى.

الإعلانات

يعرض Wireshark حزمة دفق الشبكة حسب الحزمة ، بينما يستخدم Brim مفهومًا يسمى التدفقات. التدفق هو تبادل كامل للشبكة (أو محادثة) بين جهازين. يتم تصنيف كل نوع من أنواع التدفق ، وترميزها بالألوان ، وتسميتها حسب نوع التدفق. سترى تدفقات باسم dns و ssh و https و ssl وغيرها الكثير.

إذا قمت بالتمرير في عرض ملخص التدفق إلى اليسار أو اليمين ، فسيتم عرض العديد من الأعمدة. يمكنك أيضًا ضبط الفترة الزمنية لعرض مجموعة فرعية من المعلومات التي تريد رؤيتها. فيما يلي بعض الطرق التي يمكنك من خلالها عرض البيانات:

  • انقر فوق شريط في الرسم البياني لتكبير نشاط الشبكة بداخله.
  • انقر واسحب لتمييز نطاق من عرض الرسم البياني والتكبير. سيعرض Brim بعد ذلك البيانات من القسم المميز.
  • يمكنك أيضًا تحديد فترات محددة في حقلي التاريخ والوقت.

يمكن لـ Brim عرض جزئين جانبيين: أحدهما على اليسار والآخر على اليمين. يمكن أن تكون مخفية أو تظل مرئية. يُظهر الجزء الموجود على اليسار محفوظات البحث وقائمة أجهزة الكمبيوتر الشخصية المفتوحة ، المسماة بالمسافات. اضغط على Ctrl + [للتبديل بين تشغيل الجزء الأيمن أو إيقاف تشغيله.

ال

يحتوي الجزء الموجود على اليمين على معلومات مفصلة حول التدفق المميز. اضغط على Ctrl +] للتبديل بين تشغيل الجزء الأيمن أو إيقاف تشغيله.

أبرزت

انقر فوق اتصال في قائمة ارتباط المعرف الفريد العمومي لفتح مخطط اتصال للتدفق المميز.

انقر

في النافذة الرئيسية ، يمكنك أيضًا تمييز التدفق ، ثم النقر فوق رمز Wireshark. يؤدي هذا إلى تشغيل Wireshark مع عرض الحزم الخاصة بالتدفق المميز.

يفتح Wireshark ، ويعرض الحزم ذات الأهمية.

الحزم المحددة من Brim معروضة في Wireshark.

التصفية في بريم

تتسم عمليات البحث والتصفية في Brim بالمرونة والشمول ، ولكن لا يتعين عليك تعلم لغة تصفية جديدة إذا كنت لا ترغب في ذلك. يمكنك إنشاء عامل تصفية صحيح نحويًا في Brim بالنقر فوق الحقول في نافذة الملخص ، ثم تحديد الخيارات من القائمة.

الإعلانات

على سبيل المثال ، في الصورة أدناه ، قمنا بالنقر بزر الماوس الأيمن فوق حقل نظام أسماء النطاقات. سنقوم بعد ذلك بتحديد عامل التصفية = القيمة من قائمة السياق.

قائمة السياق في نافذة الملخص.

ثم تحدث الأشياء التالية:

  • النص
    sudo gedit .bashrc
    يضاف إلى شريط البحث.
  • يتم تطبيق هذا المرشح على ملف PCAP ، لذلك سيعرض فقط التدفقات التي هي تدفقات خدمة اسم المجال (DNS).
  • يُضاف نص المرشح أيضًا إلى محفوظات البحث في الجزء الأيمن.

شاشة ملخص تمت تصفيتها بواسطة DNS.

يمكننا إضافة المزيد من البنود لمصطلح البحث باستخدام نفس التقنية. سننقر بزر الماوس الأيمن فوق حقل عنوان IP (الذي يحتوي على 192.168.1.26) في العمود Id.orig_h ، ثم حدد تصفية = القيمة من قائمة السياق.

يؤدي هذا إلى إضافة الجملة الإضافية باعتبارها جملة AND. تمت تصفية العرض الآن لإظهار تدفقات DNS التي نشأت من عنوان IP هذا (192.168.1.26).

شاشة ملخص تمت تصفيتها حسب نوع التدفق وعنوان IP.

يُضاف مصطلح التصفية الجديد إلى محفوظات البحث في الجزء الأيمن. يمكنك التنقل بين عمليات البحث بالنقر فوق العناصر الموجودة في قائمة محفوظات البحث.

عنوان IP الوجهة لمعظم البيانات التي تمت تصفيتها هو 81.139.56.100. لمعرفة أي تدفقات DNS تم إرسالها إلى عناوين IP مختلفة ، انقر بزر الماوس الأيمن فوق 81.139.56.100 في العمود Id_resp_h ، ثم حدد تصفية! = القيمة من قائمة السياق.

شاشة الملخص مع مرشح بحث يحتوي على امتداد

الإعلانات

لم يتم إرسال تدفق DNS واحد فقط نشأ من 192.168.1.26 إلى 81.139.56.100 ، وقد حددناه دون الحاجة إلى كتابة أي شيء لإنشاء الفلتر الخاص بنا.

تثبيت بنود الفلتر

عندما نضغط بزر الماوس الأيمن على تدفق HTTP ونحدد Filter = Value من قائمة السياق ، سيعرض جزء الملخص تدفقات HTTP فقط. يمكننا بعد ذلك النقر فوق رمز Pin بجوار عبارة مرشح HTTP.

تم الآن تثبيت عبارة HTTP في مكانها ، وسيتم تنفيذ أي عوامل تصفية أو مصطلحات بحث أخرى نستخدمها مع إضافة عبارة HTTP إليها.

إذا قمنا بكتابة GET في شريط البحث ، فسيتم تقييد البحث على التدفقات التي تمت تصفيتها بالفعل بواسطة الجملة المثبتة. يمكنك تثبيت العديد من عبارات التصفية حسب الضرورة.

للبحث عن حزم POST في تدفقات HTTP ، نقوم ببساطة بمسح شريط البحث ، واكتب POST ، ثم الضغط على Enter.

يكشف التمرير الجانبي عن معرف المضيف البعيد.

جهاز التحكم عن بعد

تتم إضافة جميع مصطلحات البحث والتصفية إلى قائمة المحفوظات. لإعادة تطبيق أي مرشح ، فقط انقر فوقه.

يتم ملؤها تلقائيًا

الإعلانات

يمكنك أيضًا البحث عن مضيف بعيد بالاسم.

البحث عن

تحرير مصطلحات البحث

إذا كنت تريد البحث عن شيء ما ، ولكن لا ترى تدفقًا من هذا النوع ، يمكنك النقر فوق أي تدفق وتعديل الإدخال في شريط البحث.

على سبيل المثال ، نعلم أنه يجب أن يكون هناك تدفق SSH واحد على الأقل في ملف PCAP لأننا استخدمنا

export PATH=$PATH:/opt/zeek
لإرسال بعض الملفات إلى جهاز كمبيوتر آخر ، ولكن لا يمكننا رؤيتها.

لذلك ، سننقر بزر الماوس الأيمن على تدفق آخر ، ونحدد تصفية = القيمة من قائمة السياق ، ثم نعدل شريط البحث ليقول ssh بدلاً من نظام أسماء النطاقات.

نضغط على Enter للبحث عن تدفقات SSH والعثور على تدفق واحد فقط.

تدفق SSH في نافذة الملخص.

محلل القرص الصلب windows 10

يؤدي الضغط على Ctrl +] إلى فتح الجزء الأيمن الذي يعرض تفاصيل هذا التدفق. إذا تم نقل ملف أثناء التدفق ، فإن ملف MD5 و SHA1 ، و SHA256 تظهر التجزئة.

الإعلانات

انقر بزر الماوس الأيمن فوق أي منها ، ثم حدد VirusTotal Lookup من قائمة السياق لفتح المستعرض الخاص بك في فايروس توتال موقع الويب وتمرير التجزئة للتحقق.

يخزن VirusTotal تجزئة البرامج الضارة المعروفة والملفات الضارة الأخرى. إذا لم تكن متأكدًا مما إذا كان الملف آمنًا ، فهذه طريقة سهلة للتحقق ، حتى إذا لم يعد بإمكانك الوصول إلى الملف.

خيارات قائمة سياق التجزئة.

إذا كان الملف حميدًا ، فسترى الشاشة الموضحة في الصورة أدناه.

ل

التكملة المثالية لـ Wireshark

يجعل Brim العمل مع Wireshark أسرع وأسهل من خلال السماح لك بالعمل مع ملفات التقاط حزم كبيرة جدًا. جربها اليوم!

اقرأ التالي
  • & [رسقوو] ؛ كيفية البحث عن ملف Spotify 2021 الخاص بك
  • & [رسقوو] ؛ مجلد الكمبيوتر هو 40: كيف أنشأت شركة Xerox Star سطح المكتب
  • & [رسقوو] ؛ Cyber ​​Monday 2021: أفضل العروض التقنية
  • & [رسقوو] ؛ 5 مواقع ويب يجب على كل مستخدم Linux وضع إشارة مرجعية عليها
  • & [رسقوو] ؛ ما هو MIL-SPEC Drop Protection؟
  • & [رسقوو] ؛ الدالات مقابل الصيغ في Microsoft Excel: ما الفرق؟