تی شارک

1. 1 ‫خدا‬ ‫نام‬ ‫به‬ TSHARK ‫شبکه‬ ‫امنیت‬ :‫درس‬ ‫نام‬ :‫نويسنده‬ ‫منازويچی‬ ‫دوم‬ ‫نیمسال‬96-95 ‫مشهد‬ ‫فردوسی‬ ‫دانشگاه‬ ،‫کامپیوتر‬ ‫مهندسی‬ ‫گروه‬

2. 2 ‫مطالب‬ ‫فهرست‬ 1‫مقدمه‬.........................................3 1-1‫پ‬‫ی‬‫ش‬‫ن‬‫ی‬‫ازها‬..................................4 2‫معرف‬‫ی‬‫ابزار‬...................................6 2-1‫تار‬‫ی‬‫خچه‬....................................6 2-2‫و‬‫ی‬‫ژگ‬‫ی‬‫ها‬‫ی‬‫ابزار‬.............................7 2-3‫مزا‬‫ی‬‫ا‬‫و‬‫معا‬‫ی‬‫ب‬‫ابزار‬........................8 2-4‫مقا‬‫ی‬‫سه‬‫با‬‫سا‬‫ی‬‫ر‬‫ابزارها‬.....................8 3‫ابزارها‬‫ی‬‫و‬‫کتابخانه‬‫ها‬‫ی‬‫موردن‬‫ی‬‫از‬..............10 4‫نصب‬‫و‬‫پ‬‫ی‬‫اده‬‫ساز‬‫ی‬..............................12 4-1‫نصب‬‫ابزار‬‫بر‬‫رو‬‫ی‬‫سکو‬‫ی‬A...................12 4-2‫نصب‬‫ابزار‬‫بر‬‫رو‬‫ی‬‫سکو‬‫ی‬B....................16 5‫مطالعه‬‫مورد‬‫ی‬.................................18 5-1‫مطالعه‬‫مورد‬‫ی‬‫اول‬..........................18 5-2‫مطالعه‬‫مورد‬‫ی‬‫دوم‬..........................18 5-3‫مطالعه‬‫مورد‬‫ی‬‫سوم‬..........................19 5-4‫مطالعه‬‫مورد‬‫ی‬‫چهارم‬........................19 5-5‫مطالعه‬‫مورد‬‫ی‬‫پنجم‬.........................20 5-6‫مطالعه‬‫مورد‬‫ی‬‫ششم‬..........................21 6‫نت‬‫ی‬‫جه‬‫گ‬‫ی‬‫ر‬‫ی‬‫و‬‫پ‬‫ی‬‫شنهادات‬‫برا‬‫ی‬‫کارها‬‫ی‬‫آت‬‫ی‬........25 7‫مراجع‬........................................26

3. 3 1‫مقدمه‬ ‫بی‬ ‫ببده‬‫ب‬‫ش‬ ‫ادله‬ ‫م‬ ‫های‬ ‫پیام‬ ‫بباهده‬‫ب‬‫مش‬ ‫برای‬ ‫اینترنر‬ ‫که‬ ‫بب‬‫ب‬‫درش‬ ‫پروتکل،از‬ ‫اجرایی‬ ‫نهادهای‬packet sniffer.‫شود‬ ‫می‬ ‫استفاده‬ ‫ها‬ packet sniffer‫یا‬ ‫ارسال‬ ‫شما‬ ‫کامپیوتر‬ ‫توسط‬ ‫که‬ ‫را‬ ‫هایی‬ ‫م‬ ‫پیا‬ ‫ها‬ ‫داده‬ ‫نمایش‬ ‫را‬ ‫موجود‬ ‫موتویات‬ ‫معموم‬ ‫و‬ ‫گرفته‬ ‫را‬ ‫میشببوند‬ ‫دریافر‬ .‫مینمایند‬ ‫ذخیره‬ ‫یا‬ packet sniffer‫های‬ ‫یام‬ ‫پ‬ ‫یعنی‬ ،‫بببر‬‫اسب‬ ‫عال‬ ‫غیرف‬ ‫افزار‬ ‫نرم‬ ‫یک‬ ‫کامپیوتر‬ ‫روی‬ ‫بر‬ ‫اجرا‬ ‫ال‬ ‫در‬ ‫های‬ ‫پرتکل‬ ‫همچنی‬ ‫و‬ ‫شبببده‬ ‫ادله‬ ‫م‬ ‫طور‬ ‫وبه‬ ‫ستد‬ ‫نمیفر‬ ‫ای‬ ‫سته‬ ‫ب‬ ‫هرگز‬ ‫خودش‬ ‫ولی‬ ‫میکند‬ ‫شاهده‬ ‫م‬ ‫را‬ ‫شما‬ ‫به‬ ‫ستقیما‬ ‫م‬ ، ‫دریافتی‬ ‫ی‬ ‫سته‬ ‫ب‬ ‫شابه،هرگز‬ ‫م‬packet sniffer‫دهی‬ ‫ادرس‬ .‫نمیشوند‬ ‫ساختار‬ ‫در‬packet sniffer‫شده‬ ‫بدل‬ ‫و‬ ‫رد‬ ‫های‬ ‫فریم‬ ‫از‬ ‫ای‬ ‫سخه‬ ‫ن‬ ، ‫کتابخانه‬ ‫سط‬ ‫تو‬ ‫که‬ ‫ش‬ ‫کارت‬ ‫از‬pcap‫موتوای‬ ‫انگاه‬ .‫میگردد‬ ‫دریافر‬ ‫نرم‬ ‫توسط‬ ‫ردوبدلی‬ ‫های‬ ‫پیام‬ ‫به‬ ‫مربوط‬ ‫های‬ ‫پروتکل‬ ‫مختلف‬ ‫های‬ ‫فیلد‬ .‫میشود‬ ‫داده‬ ‫نشان‬ ‫مختلف‬ ‫های‬ ‫میه‬ ‫در‬ ‫ها‬ ‫بسته‬ ‫کننده‬ ‫انالیز‬ ‫افزار‬ ‫افزار‬ ‫نرم‬ ‫ای‬ ‫بایسبببتی‬ ‫منظور‬ ‫بدی‬‫و‬ ‫عملکرد‬ ‫نووه‬ ‫و‬ ‫تار‬‫رف‬ ‫از‬ .‫باشد‬ ‫داشته‬ ‫اگاهی‬ ‫موردنظر‬ ‫های‬ ‫پروتکل‬ ‫ساختار‬ ‫از‬ ‫توقیق‬ ‫درای‬Tshark‫بباهده‬‫ب‬‫مش‬ ‫امکان‬ ‫که‬ ‫ببود‬‫ب‬‫میش‬ ‫ببتفاده‬‫ب‬‫،اس‬ ‫در‬ ‫موجود‬ ‫های‬ ‫پروتکل‬ ‫طریق‬ ‫از‬ ‫دریافتی‬ ‫و‬ ‫ارسالی‬ ‫های‬ ‫پیام‬ ‫موتوای‬ .‫نماید‬ ‫می‬ ‫فراهم‬ ‫را‬ ‫پروتکل‬ ‫ی‬ ‫پشته‬ ‫مختلف‬ ‫سطوح‬

4. 4 ‫تول‬ ‫بهتری‬ ‫از‬ ‫یکی‬ ‫ابزار‬ ‫ای‬‫یل‬‫باز‬ ‫ع‬ ‫من‬ ‫کد‬ ‫با‬ ‫بته‬‫بسب‬ ‫گرهای‬ ‫های‬ ‫که‬ ‫ش‬ ‫در‬ ‫(هم‬ ‫ای‬ ‫سترده‬ ‫گ‬ ‫سطح‬ ‫در‬ ‫و‬ ‫دارد‬ ‫وجود‬ ‫امروزه‬ ‫که‬ ‫سر‬ ‫ا‬ ‫که‬ ‫ش‬ ‫در‬ ‫هم‬ ‫و‬ ‫سیمی‬-.‫شود‬ ‫می‬ ‫استفاده‬ ‫آن‬ ‫از‬ )‫سیم‬ ‫بی‬ ‫های‬ ‫ابزار‬Wireshark‫تولیل‬ ‫و‬ ‫کننده‬ ‫سمع‬ ‫استراق‬ ‫یک‬‫بسته‬ ‫گر‬‫که‬ ‫ش‬ ‫های‬ ‫ر‬ ‫ها‬ ‫سته‬ ‫ب‬ ‫تا‬ ‫کند‬ ‫می‬ ‫تالش‬ ‫که‬ ‫ش‬ ‫های‬ ‫سته‬ ‫ب‬ ‫گر‬ ‫تولیل‬ ‫یک‬ .‫سر‬ ‫ا‬‫به‬ ‫ا‬ .‫دهد‬ ‫نمایش‬ ‫امکان‬ ‫د‬ ‫تا‬ ‫را‬ ‫ها‬ ‫آن‬ ‫های‬ ‫داده‬ ‫جرئیات‬ ‫و‬ ‫آورده‬ ‫دسر‬ ‫با‬ ‫که‬ ‫میدهید‬ ‫ترجیح‬ ‫شما‬ ‫اگر‬commandline‫دسر‬ ‫فرصر‬ ‫اگر‬ ‫و‬ ‫کنید‬ ‫کار‬ ‫گرافیکی‬ ‫واسببط‬ ‫با‬ ‫کردن‬ ‫نرم‬ ‫پنچه‬ ‫و‬wireshark‫توانید‬ ‫می‬ ‫ندارید‬ ‫را‬ ‫از‬tshark‫مویط‬ ‫در‬ ‫را‬ ‫ها‬ ‫ته‬ ‫بسببب‬ ‫تا‬ ‫ید‬ ‫کن‬ ‫فاده‬ ‫اسبببت‬command window‫کنید‬ ‫شنود‬، ‫سته‬ ‫ب‬ ‫های‬ ‫کننده‬ ‫شنود‬ ‫بقیه‬ ‫.مانند‬tshark‫سط‬ ‫وا‬ ‫که‬ ‫ش‬ ‫های‬ ‫سته‬ ‫ب‬ ‫کردن‬ ‫شنود‬ ‫برای‬ ‫قاعده‬ ‫بی‬ ‫الر‬ ‫یک‬ ‫به‬ ‫را‬ ‫گرافیکی‬ ‫توویل‬ ‫را‬ ‫ها‬ ‫سته‬ ‫ب‬ ‫همه‬ ‫که‬ ‫ش‬ ‫کارت‬ ‫قاعده‬ ‫بی‬ ‫الر‬ ‫میکند.در‬ ‫تعویض‬ .‫میدهد‬ ‫عامل‬ ‫سیستم‬ Tshark‫شما‬ ‫و‬ ‫دهد‬ ‫گوش‬ ‫مولی‬ ‫که‬ ‫ش‬ ‫روی‬ ‫ترافیک‬ ‫همه‬ ‫به‬ ‫میتواند‬ ‫دسبببت‬ ‫از‬ ‫میتوانید‬‫میزبان‬ ‫به‬ ‫خروجی‬ ‫کردن‬ ‫مودود‬ ‫برای‬ ‫فیلتر‬ ‫ورات‬ ‫کنید‬ ‫استفاده‬ ‫کنید‬ ‫مطالعه‬ ‫میخواهید‬ ‫که‬ ‫های‬ ‫پروتکل‬ ‫یا‬ ‫و‬ ‫خاص‬. 1-1‫پیش‬‫نیازها‬ ‫ی‬‫ک‬‫ب‬‫بسب‬ ‫ابزار‬‫ی‬‫ار‬‫ن‬ ‫مورد‬ ‫مهم‬‫ی‬‫از‬‫برا‬‫ی‬Tshark،‫کتابخانه‬libpcap ‫برا‬‫ی‬‫ها‬ ‫بسته‬ ‫گرفت‬‫ی‬‫اسر‬ ‫که‬ ‫ش‬. ‫ا‬ ‫اگر‬‫ی‬‫کتابخانه‬‫ی‬‫ا‬‫ان‬ ‫های‬ ‫بنیاز‬‫ب‬‫پیش‬‫رو‬ ‫بر‬‫ی‬‫ب‬‫ب‬‫س‬‫ی‬‫بتم‬‫ب‬‫س‬‫بما‬‫ب‬‫ش‬ ‫ن‬‫ی‬،‫سر‬‫ا‬ ‫از‬ ‫بعد‬ ‫خودکار‬ ‫طور‬ ‫به‬ ‫آنها‬‫ی‬‫نکه‬" ‫شما‬apt-get‫وا‬ "‫ی‬‫شارک‬ ‫ر‬ .‫میشوند‬ ‫نصب‬ ‫سیستمتان‬ ‫،روی‬ ‫بگیرید‬ ‫را‬ ‫برا‬‫ی‬‫آوردن‬ ‫سر‬ ‫د‬ ‫به‬‫ی‬‫ک‬‫ل‬‫ی‬‫سر‬‫از‬ ‫کامل‬‫های‬ ‫شنیاز‬ ‫پی‬Tshark‫از‬ ‫ز‬ ‫دستورات‬‫ی‬‫ر‬‫استفاده‬‫کنید‬: #apt-cache depends wireshark #apt-cache depends ethereal ‫ا‬ ‫در‬‫ی‬‫نجا‬‫خروج‬‫ی‬‫رو‬ ‫بر‬‫ی‬‫س‬‫ی‬‫ستم‬‫ما‬‫میدهد‬ ‫نشان‬ ‫را‬: # apt-cache depends ethereal ethereal Dépend: libadns1 Dépend: libatk1.0-0 Dépend: libc6 Dépend: libcairo2

5. 5 Dépend: libcap1 Dépend: libfontconfig1 Dépend: libglib2.0-0 Dépend: libgnutls12 Dépend: libgtk2.0-0 Dépend: libpango1.0-0 Dépend: libpcap0.8 Dépend: libpcre3 Dépend: libx11-6 Dépend: libxcursor1 Dépend: libxext6 Dépend: libxfixes3 Dépend: libxi6 Dépend: libxinerama1 Dépend: libxrandr2 Dépend: libxrender1 Dépend: zlib1g Dépend: ethereal-common Recommande: gksu

6. 6 2‫ابزار‬ ‫معرفی‬ ‫به‬ ‫راجع‬ ‫شما‬ ‫از‬ ‫بسیاری‬ ‫تمام‬ ‫ا‬Wireshark‫وب‬ ‫مو‬ ‫تولیلگر‬ ‫یک‬ ‫که‬ ‫بر‬‫اسب‬ ‫ممک‬ ‫که‬ ‫بید.چیزی‬‫باشب‬ ‫بنیده‬‫شب‬ ، ‫بر‬‫اسب‬ ‫که‬ ‫ب‬‫شب‬ ‫پروتکل‬ ‫توانا‬ ‫و‬ ‫سول‬ ‫کن‬ ‫ی‬ ‫سخه‬ ‫ن‬ ‫یک‬ ‫که‬ ‫سر‬ ‫ا‬ ‫ای‬ ‫ندانید‬Wireshark‫نام‬ ‫به‬tshark‫وجود‬ .‫دارد‬ tshark‫کاری‬ ‫هر‬‫که‬ ‫را‬Wireshark‫انجام‬ ‫تواند‬ ‫می‬ ،‫دهد‬ ‫می‬ ‫انجام‬ ‫به‬ ‫که‬ ‫شرطی‬ ‫دهد،به‬GUI.‫باشد‬ ‫نداشته‬ ‫نیاز‬‫به‬ ‫تواند‬ ‫می‬ ‫همچنی‬ ‫ابزار‬ ‫برای‬ ‫جایگزینی‬ ‫عنوان‬TCPDump‫برای‬ ‫استاندارد‬ ‫صنعر‬ ‫در‬ ‫که‬ ‫ط‬ ‫ض‬ ‫از‬ ‫سوا‬ .‫رود‬ ‫کار‬ ‫،به‬ ‫شود‬ ‫می‬ ‫استفاده‬ ‫که‬ ‫ش‬ ‫های‬ ‫داده‬ ‫ط‬ ‫ض‬ ،‫دارند‬ ‫یکسان‬ ‫ارزش‬ ‫ابزار‬ ‫دو‬ ‫هر‬ ‫آن‬ ‫در‬ ‫که‬ ، ‫که‬ ‫ش‬ ‫های‬ ‫داده‬tshark ‫ابزار‬ ‫از‬ ‫تر‬ ‫قوی‬TCPDump.‫اسر‬‫به‬ ‫خواهید‬ ‫می‬ ‫شما‬ ‫اگر‬ ، ‫بنابرای‬ ،‫بپردازید‬ ‫ابزار‬ ‫یک‬ ‫فقط‬ ‫یادگیری‬tshark‫انتخاب‬ ‫باید‬.‫باشد‬ ‫شما‬ ،‫کنید‬ ‫تصور‬ ‫توانید‬ ‫می‬ ‫شما‬ ‫که‬ ‫همانطور‬tshark‫گزینه‬ ‫از‬ ‫بسیاری‬ ‫فرمان‬ ‫خط‬ ‫های‬.‫دارد‬ ‫را‬ 2-1‫تاريخچه‬ ‫نام‬ ‫به‬ )‫گرافیکی‬ ‫مویط‬ ‫(بدون‬ ‫ترمینال‬ ‫تور‬ ‫نسخه‬ ‫یک‬TShark‫وجود‬ ‫برنامه‬ ‫دیگر‬ ‫و‬ ‫شارک‬ ‫وایر‬ .‫دارد‬‫می‬ ‫شر‬ ‫منت‬ ‫آن‬ ‫با‬ ‫که‬ ‫های‬‫مانند‬ ‫شود‬ TShark‫نرم‬‫آزاد‬ ‫افزار‬‫با‬ ‫و‬ ‫بر‬‫ب‬‫اس‬‫همگانی‬ ‫عمومی‬ ‫پروانه‬GNU‫بر‬‫ب‬‫منتش‬ ‫می‬‫شود‬. ‫اواخر‬ ‫در‬‫هه‬‫د‬1990‫ا‬ ،‫قای‬‫لد‬‫جرا‬‫ز‬ ‫کام‬( Gerald Combs )‫فارغ‬ ، ‫یک‬ ‫،روی‬ ‫کانزاس‬ ‫شهر‬ ‫سوری‬ ‫می‬ ‫شگاه‬‫دان‬ ‫از‬ ‫کامپیوتر‬ ‫علوم‬ ‫صیل‬ ‫التو‬ ‫ببومت‬‫موصب‬ .‫بود‬ ‫کار‬ ‫به‬ ‫ول‬ ‫بب‬‫مشب‬ ‫اینترنر‬ ‫خدمات‬ ‫کوچک‬ ‫دهنده‬ ‫ارائه‬ ‫دود‬ ‫در‬ ‫مان‬ ‫ز‬ ‫آن‬ ‫در‬ ‫کل‬ ‫پروت‬ ‫یل‬ ‫تول‬ ‫و‬ ‫یه‬ ‫تجز‬ ‫جاری‬ ‫ت‬1500$‫مر‬ ‫قی‬ ‫اجرا‬ )‫لینوکس‬ ‫و‬ ‫سومریس‬ ( ‫شرکر‬ ‫صلی‬ ‫ا‬ ‫عامل‬ ‫ستم‬ ‫سی‬ ‫روی‬ ‫بر‬ ‫و‬ ‫شر‬ ‫دا‬ ‫بنابرای‬ ،‫شد‬ ‫نمی‬‫شت‬ ‫نو‬ ‫به‬ ‫شروع‬ ‫جرالد‬Ethereal‫سخه‬ ‫ن‬ ‫اولی‬ ‫و‬ ‫کرد‬ ‫سال‬ ‫دود‬1998.‫شد‬ ‫منتشر‬ ‫تجاری‬ ‫عالمر‬Ethereal(‫خدمات‬ ‫بازی‬‫سب‬ ‫یکپارچه‬ ‫که‬ ‫ب‬‫شب‬ ‫بط‬‫توسب‬Network Integration Services.‫اسر‬ ‫شده‬ ‫)داده‬ ‫سببببال‬ ‫می‬ ‫ماه‬ ‫در‬2006‫قای‬ ‫ا‬‫ز‬ ‫کام‬‫در‬ ‫کار‬ ‫برای‬CACE Technologies.‫شد‬ ‫پذیرفته‬‫ز‬ ‫کام‬‫هنوز‬‫ق‬‫چاپ‬‫بیشتر‬sourceEthereal's

7. 7 code‫ها‬‫را‬‫در‬‫بر‬‫ب‬‫دس‬‫بر‬‫ب‬‫داش‬‫بنابرای‬‫او‬‫از‬‫موتوای‬‫مخازن‬Ethereal ‫به‬‫عنوان‬‫نایی‬ ‫م‬‫برای‬‫مخزن‬‫شارک‬ ‫وایر‬‫ستفاده‬ ‫ا‬.‫کرد‬‫با‬‫ای‬،‫ال‬ ‫او‬‫عالمر‬‫تجاری‬Ethereal‫رابه‬‫بر‬‫دسب‬‫نیاورد‬‫بنابرای‬‫او‬‫ای‬‫نام‬‫را‬ ‫به‬‫شارک‬ ‫وایر‬‫ییر‬ ‫ت‬.‫داد‬‫در‬‫سال‬2010،TechnologyRiverbed،CACE ‫را‬‫خرید‬‫و‬‫امی‬‫اولیه‬‫شارک‬ ‫وایر‬.‫شد‬‫سعه‬ ‫تو‬Ethereal‫متوقف‬‫شد‬‫و‬ ‫وایرشارک‬‫به‬‫عنوان‬‫جایگزی‬‫برای‬Ethereal.‫شد‬ ‫معرفی‬ Wireshark،‫اورد‬ ‫سر‬ ‫د‬ ‫به‬ ‫ها‬ ‫سال‬ ‫طول‬ ‫در‬ ‫صنعر‬ ‫در‬ ‫جایزه‬ ‫چندی‬ ‫له‬‫جم‬ ‫از‬eWeek،InfoWorld‫و‬PC Magazine‫های‬‫ابزار‬ ‫در‬ ‫.همچنی‬‫یر‬‫امن‬ ‫که‬ ‫شبب‬Insecure.Org‫دسببر‬ ‫به‬ ‫که‬ ‫شبب‬ ‫تولیل‬ ‫و‬ ‫تجزیه‬ ‫در‬ ‫بام‬ ‫امتیاز‬ ‫پروژه‬ ‫و‬ .‫اورد‬SourceForge‫سال‬ ‫اگوسر‬ ‫ماه‬2010.‫بود‬ ‫اقای‬‫ز‬ ‫کام‬‫ای‬ ‫و‬ ‫کرد‬ ‫داری‬ ‫نگه‬ ‫و‬ ‫ف‬ ‫را‬ ‫ببارک‬‫وایرشب‬ ‫کلی‬ ‫کد‬ ‫سایر‬ ‫وب‬ .‫شود‬ ‫شر‬ ‫منت‬ ‫افزار‬ ‫نرم‬ ‫جدید‬ ‫سخه‬ ‫ن‬ ‫تا‬ ‫شد‬ ‫باعث‬ ‫ضوع‬ ‫مو‬ ‫از‬ ‫بیش‬ ‫موصول‬600‫کمکی‬ ‫نویسنده‬.‫دارند‬ ‫مشارکر‬ ‫ان‬ ‫در‬ 2-2‫ويژگی‬‫ابزار‬ ‫های‬ ‫پکر‬ ‫تمامی‬ ‫ط‬ ‫ض‬‫زنده‬ ‫صورت‬ ‫به‬ ‫که‬ ‫ش‬ ‫های‬ ‫جزئیات‬ ‫نمایش‬‫پروتکل‬ ‫اطالعات‬‫پکر‬‫ها‬ ‫پکر‬ ‫کردن‬ ‫ذخیره‬ ‫و‬ ‫باز‬‫های‬‫شده‬ ‫ط‬ ‫ض‬ Import‫و‬Export‫پکر‬ ‫کردن‬‫دیگر‬ ‫افزارهای‬ ‫نرم‬ ‫به‬ ‫ها‬ ‫پکر‬ ‫هوشمند‬ ‫فیلتر‬‫شده‬ ‫ط‬ ‫ض‬ ‫ها‬ ‫شما‬ ‫نیاز‬ ‫به‬ ‫ر‬ ‫نس‬ ‫ارقام‬ ‫و‬ ‫آمار‬ ‫ارائه‬ Decode‫پروتکل‬ ‫کردن‬‫مختلف‬ ‫های‬ ‫پروتکل‬ ‫اکثر‬ ‫از‬ ‫انی‬ ‫پشتی‬‫ها‬ ‫معیار‬ ‫اساس‬ ‫بر‬ ‫سرچ‬‫پکر‬ ‫روی‬ ‫بر‬ ‫خاص‬ ‫های‬‫ها‬ ‫داخل‬ ‫جزئیات‬ ‫نمایش‬‫پکر‬‫که‬ ‫ش‬ ‫های‬VoIP

8. 8 2-3‫ابزار‬ ‫معايب‬ ‫و‬ ‫مزايا‬ ‫اصلی‬ ‫مزیر‬ ‫دو‬tshark1-‫ها‬ ‫اسکریپر‬ ‫در‬ ‫ان‬ ‫از‬ ‫استفاده‬ 2-‫روی‬ ‫ان‬ ‫از‬ ‫ببتفاده‬‫اسب‬remote computer‫ببال‬‫اتصب‬ ‫طریق‬ ‫از‬SSH، .‫اشد‬ ‫می‬ ‫که‬ ‫سر‬ ‫ا‬ ‫ای‬ ‫آن‬ ‫صلی‬ ‫ا‬ ‫ضعف‬GUI‫که‬ ‫ندارد‬GUI‫مواقعی‬ ‫در‬ ‫تواند‬ ‫می‬ ‫واقعا‬ ،‫جسببتجوکنید‬ ‫را‬ ‫که‬ ‫شبب‬ ‫های‬ ‫داده‬ ‫از‬ ‫زیادی‬ ‫تعداد‬ ‫باید‬ ‫که‬ ‫باشد‬ ‫مفید‬. Tshark‫شخص‬ ‫زمانیکه‬ ‫برنامه‬ ‫سر.ای‬ ‫نی‬ ‫ستم‬ ‫سی‬ ‫به‬ ‫نفوذ‬ ‫شخیص‬ ‫ت‬ ‫برای‬ ‫ن‬ ‫ها‬ ‫ان‬ ‫انجام‬ ‫به‬ ‫مجاز‬ ‫که‬ ‫غیرعادی‬ ‫عملیات‬‫انجام‬ ‫که‬ ‫شبب‬ ‫در‬ ‫یسببر‬ ،‫صورت‬ ‫کرد.درهر‬ ‫نخواهد‬ ‫صادر‬ ‫خروجی‬ ‫در‬ ‫ما‬ ‫برای‬ ‫اخطاری‬ ‫هیچ‬ ،‫بدهد‬ ،‫یب‬ ‫عج‬ ‫قات‬ ‫فا‬ ‫ات‬ ‫دادن‬ ‫رخ‬ ‫گام‬ ‫هن‬ ‫به‬tshark‫ال‬ ‫در‬ ‫چه‬ ‫ان‬ ‫یافت‬ ‫در‬ ‫در‬ .‫کند‬ ‫کمک‬ ‫متخصصی‬ ‫به‬ ‫میتواند‬ ‫فقط‬ ‫اسر‬ ‫دادن‬ ‫روی‬ Tshark‫اندازه‬ ‫که‬ ‫ش‬ ‫در‬ ‫فقط‬ ، ‫نمیکند‬ ‫دستکاری‬ ‫که‬ ‫ش‬ ‫در‬ ‫را‬ ‫چیزی‬ ‫هیچ‬ .‫میکند‬ ‫گیری‬‫یا‬ ‫ستد‬ ‫نمیفر‬ ‫که‬ ‫ش‬ ‫روی‬ ‫را‬ ‫ای‬ ‫سته‬ ‫ب‬ ‫هیچ‬ ‫ستم‬ ‫سی‬ ‫ای‬ .‫نمیدهد‬ ‫انجام‬ ‫که‬ ‫ش‬ ‫روی‬ ‫دیگری‬ ‫فعالیر‬ 2-4‫ابزارها‬ ‫ساير‬ ‫با‬ ‫مقايسه‬ Tshark‫ی‬ ‫:نسخه‬command line‫از‬Wireshark Wireshark‫کاربری‬ ‫رابط‬ ‫با‬ ، ،‫ند‬ ‫قدرتم‬ ‫ته‬ ‫بسببب‬ ‫تولیلگر‬ ‫یک‬ : ‫از‬ ‫زیادی‬ ‫تعداد‬ ،‫ها‬ ‫پروتکل‬ ‫از‬ ‫بسبببیاری‬ ‫تواند‬ ‫می‬ ‫که‬ ،‫گرافیکی‬ .‫کند‬ ‫رمزگشایی‬ ‫را‬ ‫ها‬ ‫فیلتر‬ dumpcap‫ط‬ ‫ض‬ ‫را‬ ‫ترافیک‬ ‫تواند‬ ‫می‬ ‫تنها‬ : )‫شارک‬‫وایر‬ ‫از‬ ‫شی‬‫(بخ‬ / ‫وایرشارک‬ ‫با‬ ‫توان‬ ‫می‬ ‫و‬ ‫کند‬tshark.‫کرد‬ ‫استفاده‬ TCPDump‫ر‬ ‫مودود‬ ‫پروتکل‬ :‫اکثر‬ ‫روی‬ ‫بر‬ ‫اما‬ ،‫سر‬ ‫ا‬ ‫شایی‬ ‫گ‬ ‫مز‬ ‫های‬ ‫فرم‬ ‫پلر‬*NIX‫اسر‬ ‫دسترس‬ ‫در‬.

10. 10 3‫اه‬‫اانا‬‫اابخا‬‫کبا‬ ‫و‬ ‫اای‬‫ابزارها‬‫اای‬‫ها‬ ‫موردنیاز‬ ‫فرمر‬ ،‫شارک‬ ‫تی‬ ‫مولی‬ ‫های‬ ‫فایل‬ ‫ط‬ ‫ض‬ ‫فرمر‬pcap‫که‬ ‫سر‬ ‫ا‬‫آن‬‫فرمر‬ ‫توسط‬tcpdump‫و‬‫ابزار‬‫های‬‫مختلف‬‫دیگر‬‫استفاده‬‫شده‬‫اسر‬. ‫یه‬ ‫ش‬ ‫بسیار‬ ‫شارک‬ ‫ای،تی‬ ‫گزینه‬ ‫هیچ‬ ‫دادن‬ ‫قرار‬ ‫بدون‬tcpdump‫کار‬ ‫کتابخانه‬ ‫از‬ ‫شارک‬ ‫تی‬ .‫میکند‬pcap‫رابط‬ ‫اولی‬ ‫از‬ ‫ترافیک‬ ‫ط‬ ‫ض‬ ‫برای‬ ‫ی‬ ‫سته‬ ‫ب‬ ‫ازهر‬ ‫خط‬ ‫چند‬ ‫در‬ ‫ای‬ ‫صه‬ ‫خال‬ ‫و‬ ‫میکند‬ ‫ستفاده‬ ‫ا‬ ‫موجود‬ ‫که‬ ‫ش‬ .‫میدهد‬ ‫نشان‬ ‫استاندارد‬ ‫خروجی‬ ‫در‬ ‫دریافتی‬ ‫درواقع‬TShark‫با‬‫ستفاده‬ ‫ا‬‫از‬libpcap‫اطالعات‬‫ط‬ ‫ض‬ ‫را‬ ‫زنده‬ ‫که‬ ‫ش‬ ‫می‬‫کند‬. ‫های‬ ‫شته‬ ‫ر‬capture filter‫از‬TShark‫به‬ ‫ستقیما‬ ‫م‬libpcap،‫میروند‬capture filter syntax‫ی‬ ‫نسخه‬ ‫به‬libpcap‫طالعات‬ ‫دارد.ا‬ ‫بستگی‬ ‫اید‬ ‫کرده‬ ‫نصب‬ ‫که‬‫بیشتر‬ ‫را‬‫می‬‫توانید‬‫در‬‫بفوه‬‫صب‬‫پروژه‬TCPDump‫پیدا‬‫کنید‬.libpcap‫و‬TCPDump ‫هر‬‫دو‬‫توسط‬tcpdump.org‫توسعه‬‫یافته‬‫در‬ .‫اند‬‫اکثر‬‫های‬ ‫فرم‬ ‫پلر‬‫مدرن‬ UN*X،libpcap‫موجوداسبببر‬.libpcap‫به‬‫طور‬‫پیش‬‫فرض‬‫بر‬‫روی‬BSDs‫و‬OS X ‫صب‬ ‫ن‬‫شده‬،‫سر‬ ‫ا‬‫و‬‫ممک‬‫سر‬ ‫ا‬‫به‬‫طور‬‫پیش‬‫فرض‬‫بر‬‫روی‬‫عامل‬ ‫ستم‬ ‫سی‬ ‫لینوکس‬‫نصب‬‫شده‬‫باشد‬. ‫انی‬ ‫شتی‬ ‫پ‬ ‫برای‬‫از‬‫فایل‬‫های‬‫شرده‬ ‫ف‬‫ازکتابخانه‬zlib‫ستفاده‬ ‫ا‬ .‫شود‬ ‫می‬‫اگر‬‫کتابخانه‬zlib‫وجود‬‫شته‬‫ندا‬،‫شد‬‫با‬TShark‫کامپایل‬‫خواهد‬ ،‫شد‬‫اما‬‫قادر‬‫به‬‫خواندن‬‫فایل‬‫های‬‫فشرده‬‫نخواهد‬.‫بود‬ ‫فرمان‬ ‫خط‬ ‫ابزارهای‬TShark ‫آمار‬ tshark -qz io,stat,0.01,ip.addr==172.17.23.1 tshark -qz conv,eth tshark -qz proto,colinfo,nfs tshark -qz sip,stat tshark -o "smb.sid_name_snooping:TRUE" -qz smb,sids ‫ط‬ ‫ض‬ ‫لقه‬‫بافر‬

11. 11 tshark -b 5 -a filesize:9728 -w mm.cap ‫فیلتر‬‫خواندن‬(‫ط‬ ‫ض‬،‫زنده‬‫شده‬ ‫خوانده‬ ‫فایل‬ ‫ط‬ ‫ض‬) tshark -r mm.cap -R "tcp.port!=50050&&ip.addr==172.17.23.5" -w clean.cap -R "not(ip.addr==172.17.23.5&&tcp.len==0)" -R 'pop.request || http.request.method==GET || http.request.method=="POST"' ‫فیلتر‬‫ط‬ ‫ض‬(‫ط‬ ‫ض‬‫زنده‬) -f not host 172.17.23.255 ‫رمزگشایی‬‫پورت‬‫به‬ ‫ها‬‫عنوان‬‫خدمات‬‫خاص‬ tshark -d tcp.port==8888,http

12. 12 4‫پیاده‬ ‫و‬ ‫نصب‬‫سازی‬ ‫توانید‬ ‫می‬ ‫شببما‬tshark‫را‬ ‫ان‬ ‫و‬ ‫کنید‬ ‫دریافر‬ ‫سببایر‬ ‫وب‬ ‫از‬ ‫را‬ ‫از‬ ‫یا‬ ‫کنید‬ ‫کامپایل‬ ‫خودتان‬Linux distribution‫ل‬ ‫ق‬ ‫از‬ ‫پکیج‬ ‫عنوان‬ ‫به‬ .‫اسر‬ ‫تر‬ ‫ساده‬ ‫و‬ ‫سریعتر‬ ‫دوم‬ ‫راه‬ .‫کنید‬ ‫دریافر‬ ‫شده‬ ‫کامپایل‬ 4-1‫سکوی‬ ‫روی‬ ‫بر‬ ‫ابزار‬ ‫نصب‬A ‫بببرای‬ ‫ابببتببدا‬‫دانببلببود‬‫آخببریبب‬‫نسبببببخببه‬‫بببه‬ https://www.wireshark.org/download.html.‫بروید‬ ‫توجه‬ ‫ل‬ ‫ق‬‫از‬‫نصب‬‫وایرشارک‬: •‫روی‬wireshark.exe‫راسر‬.‫کنید‬ ‫کلیک‬ •Properties‫را‬‫انتخاب‬.‫کنید‬ •‫زبانه‬Compatibility‫را‬‫انتخاب‬.‫کنید‬ •Privilege Level -> check Run this program as an administrator instsrv.exe‫و‬srvany.exe ‫ید‬‫میتوان‬ ‫ما‬‫شببب‬‫ابزار‬ ‫دو‬ ‫ای‬Windows Resource Kit‫برای‬ ‫،را‬ ‫شروع‬‫برنامه‬‫های‬‫کاربردی‬‫ویندوز‬‫به‬‫عنوان‬‫سرویس‬‫استفاده‬‫کنید‬. Instsrv.exe‫:نصب‬‫و‬‫ذف‬‫خدمات‬‫سیستم‬‫از‬‫ویندوز‬. Srvany.exe‫جازه‬ ‫:ا‬‫می‬‫هد‬ ‫د‬‫تا‬‫هر‬‫مه‬ ‫نا‬ ‫بر‬‫ندوز‬ ‫وی‬‫به‬‫عنوان‬‫یک‬ ‫سرویس‬‫اجراشود‬. ‫برای‬،‫مثال‬‫شبببما‬‫می‬،‫توانید‬rktools.exe،‫کنید‬ ‫دانلود‬ ‫را‬‫که‬ ‫شامل‬‫ابزار‬،‫شما‬ ‫که‬ ‫اسر‬ ‫هایی‬‫در‬‫اینجا‬.‫نیازدارید‬ ‫پس‬‫از‬‫های‬‫ابزار‬ ‫بببب‬‫نصب‬Windows Resource Kit‫ید‬‫میتوان‬ ‫ما‬ ‫،شببب‬ ‫بای‬‫ابزارهب‬instsrv.exe‫و‬srvany.exe‫به‬‫بب‬ ‫را‬C:Program FilesWireshark‫کپی‬ .‫کنید‬ ‫توجه‬ •‫روی‬srvany.exe‫راسر‬.‫کنید‬ ‫کلیک‬

13. 13 •Properties‫را‬‫انتخاب‬.‫کنید‬ •‫زبانه‬Compatibility‫را‬‫انتخاب‬.‫کنید‬ •Privilege Level -> check Run this program as an administrator Windows registry ‫شما‬‫روی‬ ‫باید‬‫رجیستری‬‫ویندوز‬‫کنید‬ ‫ایجاد‬ ‫ییرات‬ ‫ت‬. ‫در‬‫اینجا‬‫شما‬‫می‬‫ان‬ ‫پشتی‬ ‫ی‬ ‫تهیه‬ ‫ی‬ ‫نووه‬ ‫توانید‬‫رجیستری‬ ‫از‬ ،‫را‬‫پیش‬‫از‬‫آنکه‬‫،بخوانید‬ ‫دهید‬ ‫ادامه‬ ‫را‬ ‫کار‬. •‫ایجاد‬‫یک‬‫فایل‬:tshark.reg •‫کپی‬‫از‬‫مطالب‬‫زیر‬‫فایل‬ ‫به‬tshark.reg: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTSharkP arameters] "Application"="C:Program FilesWiresharktshark.exe" "AppParameters"="-i DeviceNPF_{...your device...} -b filesize:100 -b files:3 -w c:TestTSharkAsAServicetest.pcap" "AppDirectory"="C:Program FilesWireshark" ‫توجه‬ ‫نشان‬ ‫به‬‫نقل‬‫قول‬‫ها‬‫و‬double backslashes‫توجه‬‫شود‬. ‫به‬"AppParameters"‫توجه‬‫داشته‬‫باشید‬. ‫اجرا‬tshark -D‫برای‬‫یدن‬‫د‬‫عداد‬ ‫ا‬‫و‬‫بببامی‬‫اسب‬‫هایی‬ ‫رابط‬‫که‬‫در‬ ‫سیستم‬‫شما‬‫موجود‬‫اسر‬: D->tsharkC: D096EC6ECB80} (VMware Virtual-96CE-48A1-1756-NPF_{7F25AF07Device1. Ethernet Adapter)

14. 14 (VMware9EE1F4A01ADC}-AA9A-428E-ABDB-NPF_{1681C410Device2. Virtual Ethernet Adapter) B1B2A07914DB} (Intel(R)-ACB6-4512-155B-NPF_{E859D76EDevice3. PRO/1000 MT Network Connection) ‫نام‬NPF_{...your device...}Device‫فایل‬ ‫در‬ ‫را‬tshark.reg‫کنید‬ ‫کپی‬. ‫سر‬‫ا‬ ‫رابط‬ ‫در‬ ‫اعداد‬ ‫بجای‬ ‫نام‬ ‫از‬ ‫ستفاده‬‫ا‬ ‫برای‬ ‫را‬ ‫بهتری‬ ‫ای‬ ‫اعداد‬ ‫میکنید‬ ‫ذف‬ ‫یا‬ ‫بببافه‬‫ب‬‫اض‬ ‫را‬ ‫ها‬ ‫رابط‬ ‫شبببما‬ ‫که‬ ‫.هنگامی‬ ‫ترافیک‬ ‫گرفت‬ ‫شروع‬ ‫برای‬ ‫اعداد‬ ‫از‬ ‫شما‬ ‫کنند.اگر‬ ‫ییر‬ ‫ت‬ ‫میتوانند‬ ‫ستفاده‬ ‫ا‬ ‫اه‬ ‫شت‬ ‫ا‬ ‫رابط‬ ‫یک‬ ‫از‬ ‫شما‬ ‫که‬ ‫دارد‬ ‫تمال‬ ‫ا‬ ‫کنید‬ ‫ستفاده‬ ‫ا‬ .‫کنید‬ ‫شببما‬ ‫آن‬ ‫از‬ ‫اسببر.پس‬ ‫سببرویس‬ ‫کردن‬ ‫تسببر‬ ‫برای‬ ‫مثال‬ ‫یک‬ ‫بای‬ ‫یا‬ ‫ن‬ ‫که‬ ‫را‬ ‫هایی‬ ‫نه‬ ‫گزی‬ ‫ید‬ ‫میتوان‬‫موجود‬ ‫های‬ ‫نه‬ ‫گزی‬ ‫با‬ ‫ید‬ ‫دار‬ ‫ز‬ .‫کنید‬ ‫جایگزی‬ ‫ببتور‬‫دسب‬ ‫باید‬ ‫ببما‬‫شب‬tshark –h‫های‬ ‫گزینه‬ ‫همه‬ ‫تا‬ ‫کنید‬ ‫اجرا‬ ‫را‬ ‫کنید‬ ‫مشاهده‬ ‫را‬ ‫موجود‬ ‫دایرکتوری‬TestTSharkAsAService‫به‬ ‫را‬C:‫کنید‬ ‫اضافه‬. ‫رجیستری‬ ‫ر‬ ‫ث‬ ‫ایجاد‬ Elevated promp‫کنید‬ ‫باز‬ ‫را‬ ‫فایل‬ ‫آنجا‬ ‫در‬ ‫که‬ ‫بروید‬ ‫دایرکتوری‬ ‫به‬tshark.reg‫کردید‬ ‫ایجاد‬ ‫را‬ :‫کنید‬ ‫اجرا‬ ‫را‬ ‫دستورزیر‬ regedit /s tshark.reg ‫بروید‬ ‫زیر‬ ‫مکان‬ ‫به‬ ‫رجیستری‬ ‫تنضیمات‬ ‫بررسی‬ ‫و‬ ‫ییر‬ ‫ت‬ ‫برای‬ start -> Run… Type: regedit ‫دکمه‬ok‫یا‬enter.‫بزنید‬ ‫را‬ :‫بروید‬ ‫زیر‬ ‫بخش‬ ‫به‬ PaTSharkServicesCurrentControlSetSYSTEMHKEY_LOCAL_MACHINE rameters

15. 15 ‫دهید‬ ‫انجام‬ ‫را‬ ‫خود‬ ‫ییرات‬ ‫ت‬ ‫میتوانید‬ ‫بخش‬ ‫ای‬ ‫در‬ ‫ال‬ Add service :‫سرویس‬ ‫کردن‬ ‫اضافه‬ Elevanted prompt‫کنید‬ ‫باز‬ ‫را‬ :‫شوید‬ ‫منتقل‬ ‫زیر‬ ‫مول‬ ‫به‬ ‫و‬ ‫کنید‬ ‫استفتده‬ ‫زیر‬ ‫دستور‬ ‫از‬ WiresharkFilesProgramC: :‫کنید‬ ‫اجرا‬ ‫را‬ ‫زیر‬ ‫دستور‬ srvany.exe"WiresharkProgram Filesinstsrv TSHARK "C: :‫یادداشر‬ ‫از‬quotess‫مواجه‬ ‫زیر‬ ‫خطای‬ ‫با‬ ‫صورت‬ ‫ای‬ ‫غیر‬ ‫.در‬ ‫کنید‬ ‫ستفاده‬ ‫ا‬ :‫میشوید‬ Unable to find the file at the given path. ‫هنگامی‬‫را‬ ‫زیر‬ ‫پیام‬ ‫شببما‬ ‫شببد‬ ‫انجام‬ ‫درسببتی‬ ‫به‬ ‫چیز‬ ‫همه‬ ‫که‬ :‫میکنید‬ ‫دریافر‬ The service was successfuly added! ‫چیز‬ ‫همه‬ ‫کنید‬ ‫بررسی‬ ‫تا‬ ‫کنید‬ ‫اندازی‬ ‫راه‬ ‫مجددا‬ ‫را‬ ‫خود‬ ‫سیستم‬ ‫میکند‬ ‫کار‬ ‫درستی‬ ‫به‬.

16. 16 ‫در‬ ‫را‬ ‫زیر‬ ‫بتور‬‫دسب‬elevanted prompt‫برویس‬‫سب‬ ‫تا‬ ‫کنید‬ ‫اجرا‬tshark‫را‬ ‫کنید‬ ‫متوقف‬ net stop tshark ‫سرویس‬ ‫مجدد‬ ‫شروع‬ ‫برای‬tshark:‫کنید‬ ‫استفده‬ ‫زیر‬ ‫دستور‬ ‫از‬ Net start tshark 4-2‫نصب‬‫سکوی‬ ‫روی‬ ‫بر‬ ‫ابزار‬B ‫نصببب‬ ‫برای‬tshark‫سببیسببتم‬ ‫یک‬ ‫روی‬ ‫بر‬Debian7‫باید‬ ‫فقط‬ ‫،شببما‬ command‫الر‬ ‫در‬ ‫را‬ ‫زیر‬ ‫های‬root:‫کنید‬ ‫اجرا‬ # apt-get install tshark Reading package lists... Done Building dependency tree Reading state information... Done The following extra packages will be installed: libc-ares2 libcap2-bin libpam-cap libsmi2ldbl libwireshark-data libwireshark2 libwiretap2 libwsutil2 wireshark-common Suggested packages: libcap-dev snmp-mibs-downloader wireshark-doc The following NEW packages will be installed: libc-ares2 libcap2-bin libpam-cap libsmi2ldbl libwireshark-data libwireshark2 libwiretap2 libwsutil2 tshark wireshark-common 0 upgraded, 10 newly installed, 0 to remove and 0 not upgraded. Need to get 15.6 MB of archives. After this operation, 65.7 MB of additional disk space will be used. Do you want to continue [Y/n]? Y

17. 17 ... ‫بفهمید‬ ‫اینکه‬ ‫برای‬tshark‫ستور‬‫د‬ ‫ای‬ ، ‫سر‬‫ا‬ ‫شده‬ ‫صب‬‫ن‬ ‫ستی‬‫در‬ ‫به‬ :‫اجراکنید‬ ‫را‬ $ tshark -v TShark 1.8.2 ...

18. 18 5‫موردی‬ ‫مطالعه‬ 5-1‫اول‬ ‫موردی‬ ‫مطالعه‬ ‫از‬ ‫اسبفاده‬ ‫با‬ ‫شبکه‬ ‫ترافیک‬ ‫ضبط‬tshark ‫کنید‬ ‫اجرا‬ ‫باید‬ ‫شما‬ ‫دستورکه‬ ‫اولی‬D–sudo tshark‫برای‬ ‫اسر‬ ( ‫رابط‬ ‫از‬ ‫موجود‬ ‫لیسر‬ ‫دریافر‬interface:‫که‬ ‫ش‬ ‫)های‬ $ sudo tshark -D 1. eth0 2. nflog (Linux netfilter log (NFLOG) interface) 3. any (Pseudo-device that captures on all interfaces) 4. lo ‫شما‬ ‫اگر‬tshark‫به‬ ‫شما‬ ،‫میکنید‬ ‫اجرا‬ ‫عادی‬ ‫کاربر‬ ‫یک‬ ‫عنوان‬ ‫به‬ ‫را‬ ،‫کنید‬ ‫می‬ ‫دریافر‬ ‫را‬ ‫زیر‬ ‫خروجی‬ ‫زیاد‬ ‫تمال‬ ‫ا‬‫عادی‬ ‫کاربران‬ ‫زیرا‬ :‫ندارند‬ ‫را‬ ‫که‬ ‫ش‬ ‫رابط‬ ‫های‬ ‫دستگاه‬ ‫به‬ ‫مستقیم‬ ‫دسترسی‬ $ tshark -D tshark: There are no interfaces on which a capture can be done ‫اجرای‬ ، ‫داده‬ ‫ط‬ ‫ض‬ ‫راه‬ ‫تری‬ ‫ساده‬tshark‫اسر‬ ‫پارامتری‬ ‫هیچ‬ ‫بدون‬ ‫شما‬ .‫شد‬ ‫خواهد‬ ‫داده‬ ‫نشان‬ ‫نمایش‬ ‫صفوه‬ ‫روی‬ ‫بر‬ ‫ها‬ ‫داده‬ ‫تمام‬ ‫که‬ ‫توانید‬ ‫می‬‫ط‬ ‫ض‬‫دادن‬ ‫فشار‬ ‫با‬ ‫را‬ ‫ها‬ ‫داده‬C-Ctrl.‫کنید‬ ‫متوقف‬ ‫،بنابرای‬ ‫کرد‬ ‫خواهد‬ ‫رکر‬ ‫سریع‬ ‫بسیار‬ ‫شلوغ‬ ‫که‬ ‫ش‬ ‫یک‬ ‫در‬ ‫خروجی‬ .‫بود‬ ‫نخواهد‬ ‫مفید‬ ‫وجه‬ ‫هیچ‬ ‫به‬‫تواند‬ ‫نمی‬ ‫تر‬ ‫قدیمی‬ ‫های‬ ‫کامپیوتر‬ ‫مانند‬ ‫هایی‬ ‫برنامه‬ ‫بنابرای‬ ،‫کنند‬ ‫رکر‬ ‫ول‬ ‫مش‬ ‫که‬ ‫ش‬ ‫یک‬ ‫در‬tshark ‫و‬tcpdump.‫شوند‬ ‫می‬ ‫استفاده‬ ‫که‬ ‫ش‬ ‫های‬ ‫بسته‬ ‫کردن‬ ‫رها‬ ‫برای‬ .‫ندارند‬ ‫را‬ ‫مسئله‬ ‫هستند،وای‬ ‫قدرتمند‬ ‫بسیار‬ ‫مدرن‬ ‫های‬ ‫کامپیوتر‬ 5-2‫دوم‬ ‫موردی‬ ‫مطالعه‬ ‫فايل‬ ‫از‬ ‫اسبفاده‬ ‫با‬ ‫شبکه‬ ‫های‬ ‫داده‬ ‫خواندن‬ ‫و‬ ‫ذخیره‬ ‫ها‬ ‫مفید‬ ‫پارامتر‬ ‫اولی‬command-linew-‫فایل‬ ‫نام‬ ‫یک‬ ‫همراه‬ ‫،به‬ .‫اسر‬‫یک‬ ‫در‬ ‫را‬ ‫که‬ ‫ش‬ ‫های‬ ‫داده‬ ‫ذخیره‬ ‫اجازه‬ ‫شما‬ ‫به‬ ‫پارامتر‬ ‫ای‬ ‫دستور‬ ‫،میدهد.ای‬ ‫ان‬ ‫پردازش‬ ‫منظور‬ ‫به‬ ‫فایل‬500‫را‬ ‫که‬ ‫ش‬ ‫ی‬ ‫بسته‬

19. 19 (‫میکند‬ ‫تسخیر‬-c 500‫نام‬ ‫به‬ ‫فایل‬ ‫دریک‬ ‫را‬ ‫انها‬ ‫)و‬LJ.pcap‫ذخیره‬ (‫میکند‬-w LJ.pcap:) $ tshark -c 500 -w LJ.pcap ‫مفید‬ ‫پارامتر‬ ‫دومی‬r–.‫اسر‬‫با‬ ‫که‬ ‫هنگامی‬‫رهمراه‬ ‫معت‬ ‫فایل‬ ‫نام‬ ‫یک‬ ‫شده‬ ‫ط‬ ‫ض‬ ‫ال‬ ‫ق‬ ‫که‬ ‫هایی‬ ‫فایل‬ ‫پردازش‬ ‫و‬ ‫خواندن‬ ‫اجازه‬ ‫شما‬ ‫به‬ ‫شود‬ .‫میدهد‬ ‫را‬ ‫که‬ ‫ش‬ ‫های‬ ‫داده‬ ‫با‬ 5-3‫سوم‬ ‫موردی‬ ‫مطالعه‬ Capture Filters Capture‫استفاده‬ ‫داده‬ ‫ط‬ ‫ض‬ ‫طول‬ ‫در‬ ‫که‬ ‫هستند‬ ‫فیلترهایی‬ ‫فیلترها‬ ‫که‬ ‫میشوند‬ ‫باعث‬ ‫انها‬ ‫،بنابرای‬ ‫میشوند‬tshark‫ش‬ ‫ازترافیک‬‫که‬ ‫که‬ ‫ایجاد‬ ‫از‬ ‫و‬ ‫بکشد‬ ‫دسر‬ ‫نیستند‬ ‫ق‬ ‫منط‬ ‫فیلتر‬ ‫معیارهای‬ ‫و‬ ‫ضوابط‬ ‫با‬ ‫از‬ ‫استفاده‬ ‫با‬ ‫کار‬ ‫ای‬ .‫کند‬ ‫اجتناب‬ ‫بزرگ‬ ‫شده‬ ‫ط‬ ‫ض‬ ‫های‬ ‫فایل‬ ‫پارامتر‬command-line،-f‫انجام‬ ‫کوتیش‬ ‫دابل‬ ‫در‬ ‫فیلتر‬ ‫یک‬ ‫همراه‬ ‫به‬ .‫میشود‬ ‫تری‬ ‫مهم‬TCP-related Field Names‫در‬ ‫که‬Capture Filter‫استفاده‬ ‫ها‬‫میشود‬ tcp.port‫پورت‬ ‫یا‬ ‫و‬ ‫ع‬ ‫من‬ ‫کردن‬ ‫فیلتر‬ ‫(برای‬TCP،)‫مقصد‬tcp.srcport ‫ع‬ ‫من‬ ‫پورت‬ ‫کردن‬ ‫چک‬ ‫(برای‬TCP‫)و‬tcp.dstport‫پورت‬ ‫کردن‬ ‫چک‬ ‫(برای‬ .‫مقصد)اسر‬ ‫و‬ ‫عملیتر‬ ‫داده‬ ‫ط‬ ‫ازض‬ ‫پس‬ ‫فیلتر‬ ‫یک‬ ‫از‬ ‫استفاده‬ ،‫کلی‬ ‫طور‬ ‫به‬ ‫له‬ ‫مر‬ ‫طول‬ ‫در‬ ‫کردن‬ ‫فیلتر‬ ‫از‬ ‫تر‬ ‫کاربردی‬capture‫نظر‬ ‫به‬ ،‫میرسد‬‫نمیدانید‬ ‫پیشرفته‬ ‫صورت‬ ‫به‬ ‫شما‬ ،‫ها‬ ‫زمان‬ ‫بیشتر‬ ‫در‬ ‫که‬ ‫چرا‬ .‫میکنید‬ ‫رسیدگی‬ ‫چیزی‬ ‫چه‬ ‫به‬‫می‬ ‫واقعا‬ ‫شما‬ ‫اگر‬ ،‫وجود‬ ‫ای‬ ‫با‬ ‫از‬ ،‫دهید‬ ‫می‬ ‫انجام‬ ‫کاری‬ ‫چه‬ ‫دانید‬capture filter‫زمان‬ ‫ذخیره‬ ‫هابرای‬ ‫و‬disk space‫کنید‬ ‫استفاده‬ ‫خود‬‫آنها‬ ‫از‬ ‫استفاده‬ ‫اصلی‬ ‫دلیل‬ ‫ای‬ ‫و‬ .‫اسر‬ 5-4‫چ‬ ‫موردی‬ ‫مطالعه‬‫هارم‬ Display Filters Display filter‫ها‬‫هستند‬ ‫فیلترهایی‬‫که‬‫پس‬‫ط‬ ‫ازض‬‫بسته‬‫می‬ ‫استفاده‬ ‫شوند‬.، ‫بنابرای‬‫آنها‬‫فقط‬‫ترافیک‬‫که‬ ‫ش‬‫بدون‬ ‫را‬‫ذف‬‫آن‬"‫پنهان‬ ‫میکنند‬."‫شما‬‫همیشه‬‫می‬‫توانید‬‫اثرات‬Display filter‫ها‬‫را‬‫ذف‬‫و‬‫همه‬ ‫اطالعات‬‫خود‬‫را‬‫برگردانید‬ ‫اول‬ ‫الر‬ ‫به‬. Display filter.‫میکنند‬ ‫انی‬ ‫پشتی‬ ‫را‬ ‫منطقی‬ ‫عملگرهای‬ ‫و‬ ‫مقایسه‬ ‫ها‬ display filterhttp.response.code == 404 && ip.addr == 192.168.10.1‫ترافیکی‬ ‫ادرس‬ ‫از‬ ‫که‬IP192.168.10.1‫میاد‬‫یا‬‫به‬‫ادرس‬IP192.168.10.1‫میرود‬

20. 20 ‫که‬ ‫میدهد‬ ‫نشان‬ ‫را‬‫همچنی‬‫دارای‬404(Not Found)‫کد‬‫پاسخ‬HTTP‫در‬ .‫اسر‬ ‫آن‬ ‫فیلتر‬!bootp && !ip،BOOTP‫و‬IP traffic‫میکند‬ ‫مستثنی‬ ‫خروجی‬ ‫از‬ ‫را‬. ‫فیلتر‬eth.addr == 01:23:45:67:89:ab && tcp.port == 25‫داخل‬ ‫رابه‬ ‫ترافیک‬ network device‫از‬ ‫یا‬network device‫ادرس‬ ‫مک‬ ‫با‬01:23:45:67:89:ab‫نشان‬ ‫پورت‬ ‫که‬ ‫میدهد‬TCP25‫استفاده‬ ‫خروجی‬ ‫یا‬ ‫ورودی‬ ‫اتصامت‬ ‫برای‬ ‫را‬ .‫میکند‬ ‫به‬‫یاد‬‫داشته‬‫باشید‬‫که‬‫آدرس‬‫های‬MAC‫واقعا‬‫مفید‬‫هنگامی‬ ‫هستند‬ ‫که‬‫شما‬‫می‬‫روی‬ ‫را‬ ‫شده‬ ‫داده‬ ‫دستگاه‬ ‫یک‬ ‫خواهید‬LAN‫ال‬ ‫دن‬ ‫خود‬ ‫از‬ ‫ماشی‬ ‫اگر‬ .‫کنید‬DHCP‫کند‬ ‫استفاده‬IP‫کند‬ ‫ییر‬ ‫ت‬ ‫انمیتواند‬ ‫اما‬MAC address.‫اسر‬ ‫مشکل‬ ‫بسیار‬ ‫ان‬ ‫ییر‬ ‫ت‬ 5-5‫پنجم‬ ‫موردی‬ ‫مطالعه‬ Exporting Data ‫تصور‬‫کنید‬‫که‬‫شما‬‫می‬‫خواهید‬‫برای‬‫تعداد‬ ‫استخراج‬‫فریم‬،‫ر‬ ‫نس‬ ‫زمان‬‫از‬،‫قاب‬‫آدرس‬IP‫ع‬ ‫من‬،‫آدرس‬IP‫مقصد‬،‫پروتکل‬‫مربوط‬‫به‬ ‫بسته‬‫و‬‫بسته‬ ‫طول‬‫که‬ ‫ش‬‫گرفت‬ ‫رابواسطه‬‫ترافیک‬‫ل‬ ‫ق‬ ‫که‬ ‫ش‬.‫دستور‬ tshark‫زیر‬‫ای‬‫برای‬ ‫را‬ ‫کار‬‫شما‬‫میدهد‬ ‫انجام‬: $ tshark -r login.tcpdump -T fields -e frame.number -e ↪frame.time_relative -e ip.src -e ip.dst -e ↪frame.protocols -e frame.len -E header=y -E ↪quote=n -E occurrence=f ‫گزینه‬E header=y-‫میگوید‬tshark‫خط‬ ‫بار‬ ‫اولی‬ ‫برای‬header‫را‬ ‫کند‬ ‫چاپ‬. ‫گزینه‬quote=n –E‫میدهد‬ ‫دستور‬tshark‫که‬ ‫هایی‬ ‫داده‬ ‫شامل‬ ‫اید‬ ‫ن‬ ‫داخل‬quotes‫باشد‬ ‫هستند‬. ‫گزینه‬E occurrence=f-‫میگوید‬tshark‫که‬ ‫هایی‬ ‫فیلد‬ ‫بایدبرای‬ ‫استفاده‬ ‫ها‬ ‫آن‬ ‫رویداد‬ ‫اولی‬ ‫از‬ ‫فقط‬ ‫هستند‬ ‫رویداد‬ ‫چند‬ ‫شامل‬ ‫کند‬. ‫داشت‬‫مت‬‫نشده‬ ‫رمز‬‫به‬‫عنوان‬‫خروجی‬‫معنی‬ ‫ای‬ ‫به‬‫اسر‬‫که‬‫شما‬ ‫به‬‫تی‬ ‫را‬‫می‬‫توانید‬‫آن‬‫را‬‫به‬‫روش‬UNIX‫پردازش‬‫کنید‬.‫دستور‬‫زیر‬ ‫از‬ ‫تا‬ ‫ده‬‫وب‬ ‫مو‬‫تری‬ip‫نشان‬ ‫را‬ ‫ها‬‫می‬‫با‬ ‫که‬ ‫دهد‬‫استفاده‬‫از‬ ‫ورودی‬‫ازفیلد‬ip.src‫آید‬ ‫می‬ ‫دسر‬ ‫به‬. $ tshark -r ~/netData.pcap -T fields -e ip.src | sort ↪| sed '/^s*$/d' | uniq -c | sort -rn ↪| awk {'print $2 " " $1'} | head

21. 21 5-6‫ششم‬ ‫موردی‬ ‫مطالعه‬ ‫اسکر‬ ‫دو‬‫ي‬‫پت‬Python‫از‬ ‫که‬tshark‫میکند‬ ‫در‬‫ال‬،‫اضببر‬‫اجازه‬‫دهید‬‫بیندازیم‬ ‫نگاهی‬‫به‬‫دو‬‫اسببکریپر‬ Python‫که‬‫خروجی‬‫مت‬tshark‫و‬ ‫خوانده‬ ‫را‬‫پردازش‬.‫میکند‬ ‫بر‬‫فهرسب‬1‫کد‬‫کامل‬‫پایتون‬‫اولی‬‫بکریپر‬‫اسب‬‫که‬‫چک‬‫ار‬ ‫اعت‬‫یک‬ ‫آدرس‬IP‫را‬‫نشان‬‫می‬‫دهد‬. Listing 1. checkIP.py # Programmer: Mihalis Tsoukalos # Date: Tuesday 28 October 2014 import socket import sys import re def valid_ip(address): try: socket.inet_aton(address) return True except: return False # Counters for the IPs total = 0 valid = 0 invalid = 0 # Read the file from stdin, line by line for line in sys.stdin: line = line.rstrip('n') if valid_ip(line): valid = valid + 1 # print "The IP is valid!" else: # print "The IP is not valid!" invalid = invalid + 1 total = total + 1

22. 22 # Present the total number of IPs checked print "Total number of IPs checked:", total print "Valid IPs found:", valid print "Invalid IPs found:", invalid ‫هدف‬‫از‬‫ای‬‫سکریپر‬‫ا‬‫فقط‬‫پیدا‬‫کردن‬‫آدرس‬IP‫ر‬ ‫نامعت‬،‫سر‬‫ا‬‫و‬ ‫آن‬‫را‬‫بان‬‫نشب‬‫می‬‫دهد‬‫که‬‫داده‬‫های‬‫که‬ ‫ب‬‫شب‬‫در‬‫ال‬‫بر‬‫اضب‬‫با‬tshark ‫گرفته‬‫شده‬‫اسر‬.‫شما‬‫می‬‫توانید‬‫آن‬‫را‬‫به‬‫زیر‬ ‫صورت‬‫استفاده‬‫کنید‬: $ tshark -r ~/networkData.pcap -T fields -e ip.src ↪| python checkIP.py Total number of IPs checked: 1000 Valid IPs found: 896 Invalid IPs found: 104 Listing 2. store Mongo.py ‫پردازش‬ ‫برای‬ ‫که‬ ‫ش‬ ‫های‬ ‫داده‬ ‫زیر‬ ‫در‬ ‫شده‬ ‫داده‬ ‫نشان‬ ‫پایتون‬ ‫کد‬ ‫های‬ ‫کویری‬ ‫و‬ ‫ها‬‫داده‬ ‫پایگاه‬ ‫داخل‬ ‫آینده‬MongoDB‫ببما‬‫میکندشب‬ ‫درج‬ ‫از‬ ‫که‬ ‫صلی‬ ‫ا‬ ‫.دلیل‬ ‫کنید‬ ‫ستفاده‬ ‫ا‬ ‫دیگری‬ ‫داده‬ ‫پایگاه‬ ‫از‬ ‫میتوانید‬ MongoDB‫م‬ ‫که‬ ‫اسر‬ ‫ای‬ ‫کردم‬ ‫استفاده‬‫انعطاف‬‫پذیری‬‫آن‬‫را‬‫هنگام‬ ‫ذخیره‬‫داده‬‫های‬‫سباخر‬‫یافته‬‫دوسبر‬‫دارم‬‫ممک‬ ‫چون‬‫اسبر‬‫برخی‬‫از‬ ‫هنامنظم‬ ‫رکورد‬(‫با‬ ‫هایی‬ ‫رکورد‬‫فیلد‬‫های‬‫از‬‫دسر‬‫رفته‬)‫باشد‬. # Programmer: Mihalis Tsoukalos # Date: Tuesday 28 October 2014 # # Description: This Python script reads input from # tshark, parses it and stores it in a MongoDB database import sys import pymongo import re # The number of BSON documents written total = 0 # Open the MongoDB connection

23. 23 connMongo = pymongo.Connection('mongodb://localhost:27017') # Connect to database named LJ (Linux Journal) db = connMongo.LJ # Select the collection to save the network packet traffic = db.netdata # Read the file from stdin, line by line for line in sys.stdin: line = line.rstrip('n') parsed = line.split("t") total = total + 1 # Construct the "record to be inserted netpacket = { 'framenumber': parsed[0], 'sourceIP': parsed[1], 'destIP': parsed[2], 'framelength': parsed[3], 'IPlength': parsed[4] } # Store it! net_id = traffic.insert(netpacket) connMongo.close() # Present the total number of BSON documents written print "Total number of documents stored: ", total ‫نام‬‫اسکریپر‬ ‫ای‬‫پایتون‬storeMongo.py‫و‬ ،‫اسر‬‫فرض‬‫می‬‫شود‬‫که‬ ‫داده‬‫های‬‫که‬ ‫ش‬‫در‬‫ال‬‫اضر‬‫با‬‫استفاده‬‫از‬tshark‫یا‬‫ابزار‬ TCPDump‫شده‬ ‫گرفته‬‫اسر‬.‫فرمان‬‫بعدی‬‫اسکریپر‬‫با‬ ‫را‬ ‫پایتون‬ ‫ورودی‬‫از‬tshark‫اجرا‬‫می‬‫کند‬: $ tshark -r ~/var/test.pcap -T fields -e frame.number ↪-e ip.src -e ip.dst -e frame.len -e ↪ip.len -E header=n -E quote=n -E occurrence=f ↪| python storeMongo.py Total number of documents stored: 500 ‫خروجی‬‫بام‬ ‫دستور‬ ‫کردن‬ ‫وارد‬ ‫از‬ ‫بعد‬ ‫مت‬‫یه‬ ‫ش‬‫زیر‬‫اسر‬: 5 yy.xx.zz.189 yyy.74.xxx.253 66 52 6 197.224.xxx.145 yyy.74.xxx.253 86 72 7 109.xxx.yyy.253 zzz.224.xxx.145 114 100

24. 24 8 197.xxx.zzz.145 zzz.xxx.xxx.253 86 72 9 109.zzz.193.yyy 197.224.zzz.145 114 100 ‫در‬‫ال‬،‫بر‬‫ب‬‫اض‬‫تمام‬‫مقادیر‬‫عددی‬‫به‬‫بته‬‫ب‬‫رش‬ ‫بورت‬‫ب‬‫ص‬‫هایی‬‫ذخیره‬ ،‫بده‬‫شب‬‫اما‬‫بما‬‫شب‬‫به‬‫تی‬ ‫را‬‫می‬‫توانید‬‫آنها‬‫را‬‫به‬‫عدد‬‫دیل‬ ‫ت‬‫کنید‬ ‫دسبتور‬ ‫کاری‬ ‫چنی‬ ‫انجام‬ ‫برای‬‫زیر‬‫تمام‬ ‫دسبتور‬ ‫ای‬ ‫کنید‬ ‫اجرا‬ ‫را‬ ‫مقادیر‬‫بته‬‫ب‬‫رش‬‫از‬‫بتون‬‫ب‬‫س‬Iplength‫را‬‫به‬‫مقادیر‬‫بویح‬‫ب‬‫ص‬‫مربوطه‬‫دیل‬ ‫ت‬ ‫میکنذ‬: > db.netdata.find({IPlength : {$exists : true}}).forEach( ↪function(obj) { obj.IPlength = new NumberInt( ↪obj.IPlength ); db.netdata.save(obj); } ); ‫در‬‫ال‬‫بر‬‫اضب‬‫بما‬‫شب‬‫می‬‫توانید‬‫بروع‬‫شب‬‫به‬‫پرس‬‫و‬‫جو‬‫از‬‫پایگاه‬ ‫داده‬MongoDB‫کنید‬.‫ستورات‬ ‫د‬‫زیر‬‫شامل‬ ‫که‬ ‫را‬ ‫هایی‬ ‫رکورد‬ ‫همه‬ ‫یک‬‫آدرس‬IP‫مقصد‬‫را‬ ‫اسر‬ ‫معی‬‫پیدامیکند‬ > use LJ switched to db LJ > db.netdata.find({ "destIP": "192.168.1.12" }) ... > ‫دسبببتور‬‫عدی‬ ‫ب‬‫مام‬ ‫ت‬‫را‬ ‫هایی‬ ‫یر‬ ‫موجود‬‫یدا‬ ‫پ‬‫می‬‫ند‬ ‫ک‬‫که‬ ‫مقدار‬frame.len‫کمتر‬ ‫هایشان‬‫از‬70‫اسر‬: > use LJ switched to db LJ > db.netdata.find({ "framelength": {"$lt" : "70" }}) ... > ‫ستور‬ ‫د‬‫بعدی‬‫تمام‬‫که‬ ‫را‬ ‫هایی‬ ‫موجدیر‬IPlength‫شتر‬ ‫بی‬ ‫شان‬‫از‬ 100‫و‬‫کمتر‬‫از‬200‫پیدا‬‫می‬:‫کند‬ > use LJ switched to db LJ > db.netdata.find({ "IPlength": {"$lt" : "200", "$gt": "100" }}) ... >

25. 25 6‫جه‬ ‫نبی‬‫برای‬ ‫هادار‬ ‫پیشااان‬ ‫و‬ ‫گیری‬ ‫آتی‬ ‫کارهای‬ Tshark‫که‬ ‫سر‬ ‫ا‬ ‫رایانه‬ ‫های‬ ‫که‬ ‫ش‬ ‫تولیل‬ ‫برای‬ ‫باز‬ ‫مت‬ ‫ابزار‬ ‫یک‬ ‫دریافر‬ ‫را‬ ‫که‬ ‫ب‬‫شب‬ ‫انتقال‬ ‫بانه‬‫رسب‬ ‫از‬ ‫ور‬ ‫ع‬ ‫ال‬ ‫در‬ ‫های‬ ‫داده‬ ‫جریان‬ .‫میگذارد‬ ‫نمایش‬ ‫به‬ ‫بببان‬‫ب‬‫انس‬ ‫برای‬ ‫فهم‬ ‫قابل‬ ‫قالب‬ ‫دریک‬ ‫و‬ ‫میکند‬ Tshark‫همتای‬ ‫مانند‬ .‫سر‬ ‫ا‬ ‫ستفاده‬ ‫ا‬ ‫و‬ ‫یادگیری‬ ‫برای‬ ‫ای‬ ‫ساده‬ ‫ابزار‬ ‫آن‬ ‫گرافیکی‬ ‫کاربری‬ ‫رابط‬ ‫بر‬ ‫تنی‬ ‫م‬Wireshark‫چک‬‫کو‬ ‫یاس‬‫مق‬ ‫در‬ ‫ما‬‫ا‬ ‫زیادی‬ ‫جم‬ ‫آوری‬ ‫جمع‬ ‫به‬ ‫نیاز‬ ‫شما‬ ‫اگر‬ .‫سر‬ ‫ا‬ ‫کند‬ ‫می‬ ‫کار‬ ‫خوبی‬ ‫به‬ .‫میکند‬ ‫ضعیف‬ ‫را‬ ‫سیستم‬ ‫کارایی‬ ‫باشید‬ ‫داشته‬ ‫ها‬ ‫داده‬ ‫از‬ ‫ناگونی‬ ‫گو‬ ‫هداف‬ ‫ا‬ ‫برای‬ ‫ابزار‬ ‫ای‬‫یات‬ ‫عمل‬ ،‫که‬ ‫شببب‬ ‫یل‬ ‫تول‬ ‫ند‬ ‫مان‬ ‫پروتکل‬ ‫روی‬ ‫بر‬ ‫معکوس‬ ‫سی‬ ‫مهند‬ ‫اعمال‬ ‫و‬ ‫که‬ ‫ش‬ ‫یابی‬ ‫شکال‬ ‫ا‬ ،‫امنیتی‬ ‫میگیرد‬ ‫قرار‬ ‫استفاده‬ ‫و...مورد‬ ‫انها‬ ‫درون‬ ‫جزئیات‬ ‫فهمیدن‬ ‫و‬ ‫ها‬.

26. 26 7‫مراجع‬ [1] https://wiki.wireshark.org/libpcap [2] https://wiki.koeln.ccc.de/index.php?title=Tools/Tshark [3] http://www.linuxjournal.com/content/using-tshark-watch-and-inspect-network-traffic [4] https://www.wireshark.org/docs/man-pages/tshark.html [5]http://www.lovemytool.com/blog/2010/05/tshark-as-a-service-on-windows-7-by-joke- snelders.html [6] http://www.linux-magazine.com/Issues/2015/174/Tshark [7] https://en.wikipedia.org/wiki/Wireshark

تی شارک

تی شارک

تی شارک

Recommandé

Contenu connexe

Tendances

Tendances(7)

Similaire à تی شارک

Similaire à تی شارک(20)

تی شارک