در دنیای امنیت شبکه و عیبیابی (Troubleshooting)، وایرشارک (Wireshark) ابزاری بیرقیب است. این نرمافزار که به عنوان استاندارد طلایی تحلیل پروتکلهای شبکه شناخته میشود، حجم عظیمی از دادهها را در لحظه جمعآوری میکند. اما هنر واقعی یک تحلیلگر شبکه، در غربال کردن این حجم عظیم از ترافیک برای رسیدن به «اطلاعات مفید» است. در اینجا، فیلترهای نمایش (Display Filters) نقش کلیدی ایفا میکنند.
بر اساس تصویر ارائه شده، ۱۵ فیلتر کاربردی و حیاتی وجود دارند که هر تحلیلگر شبکه باید در جعبهابزار خود داشته باشد. بیایید به بررسی دقیقتر این فیلترها و کاربرد عملی آنها بپردازیم:
این فیلترها برای جداسازی پروتکلهای اصلی شبکه هستند:
* **`http` و `tls`:** برای بررسی ترافیک وب استفاده میشوند. فیلتر `tls` به شما کمک میکند ترافیک رمزنگاری شده (HTTPS) را مشاهده کنید.
* **`dns`:** برای عیبیابی مشکلات مربوط به ترجمه نام دامین به IP ضروری است.
* **`tcp` و `udp`:** پایه و اساس ارتباطات شبکه. از این فیلترها برای بررسی سلامت نشستهای ارتباطی استفاده میشود.
* **`ip.addr == 192.168.1.1`:** یکی از پرکاربردترین فیلترها برای متمرکز شدن روی یک دستگاه خاص در شبکه.
* **`tcp.port == 443`:** فیلتر کردن بر اساس پورت، به شما اجازه میدهد ترافیک سرویسهای خاص (مانند وبسایتها روی پورت ۴۴۳) را از بقیه نویزهای شبکه جدا کنید.
این بخش برای متخصصان امنیت بسیار مهم است:
* **`tcp.flags.syn == 1 && tcp.flags.ack == 0`:** این فیلتر برای شناسایی حملات SYN Flood یا پویش پورتها (Scan) استفاده میشود.
* **`tcp.flags.reset == 1`:** برای عیبیابی ارتباطاتی که به صورت ناگهانی قطع شدهاند (Reset) کاربرد دارد.
* **`icmp`:** برای عیبیابی دستور Ping و وضعیت دسترسیپذیری تجهیزات شبکه.
* **`tcp.flags.syn == 1 && tcp.flags.ack == 0` (برای اتصالات شکست خورده):** شناسایی تلاشهایی که به برقراری اتصال منجر نشدهاند.
* **Follow TCP Stream:** این ابزار (که از منوی راستکلیک قابل دسترسی است) به شما امکان میدهد کل جریان داده یک نشست TCP را به صورت متنی یا باینری بازسازی کنید.
* **`ftp` و `ssh`:** برای نظارت بر انتقال فایلها و فعالیتهای مدیریتی از راه دور.
* **`frame.len > 1000`:** برای شناسایی بستههای بزرگ که میتواند نشاندهنده انتقال فایلهای حجیم یا ناهنجاریهای خاص باشد.
در تصویر ارسالی، سه نکته برای تسلط بیشتر ذکر شده است:
1. **استفاده از ترکیب فیلترها:** با استفاده از عملگرهای منطقی `AND`، `OR` و `NOT` میتوانید فیلترهای بسیار دقیقتری بسازید.
2. **ذخیرهسازی فیلترها:** فیلترهایی که زیاد استفاده میکنید را در وایرشارک ذخیره کنید تا هر بار نیاز به تایپ دستی نباشد.
3. **رنگبندی ترافیک (Colorize):** از بخش `View > Coloring Rules` استفاده کنید تا ترافیکهای مهم یا خطرناک با رنگهای متمایز مشخص شوند.
وایرشارک بدون فیلترها، مانند جستجو در اقیانوسی از دادههای غیرقابل درک است. با تسلط بر این ۱۵ فیلتر ساده اما قدرتمند، نه تنها سرعت عیبیابی شبکه خود را چندین برابر میکنید، بلکه دید بسیار عمیقتری نسبت به اتفاقات پنهان در شبکه خود خواهید داشت. «شبکه هرگز دروغ نمیگوید؛ فقط باید یاد بگیرید چطور آن را بخوانید.»
