حملات رایج شبکه سایبری را با Wireshark شناسایی کنید

حملات سایبری همه جا هستند. آیا آنها در کمین شبکه شما هستند؟ هر متخصص فناوری اطلاعات باید مهارت های خود را با Wireshark توسعه دهد تا به سرعت آنها را شناسایی کند. در این دوره، شناسایی حملات رایج شبکه سایبری با Wireshark، توانایی شکار تهدید در سطح بسته را به دست خواهید آورد. ابتدا، نحوه کار اسکن اثر انگشت شبکه و سیستم عامل و نحوه شناسایی آنها را بررسی خواهید کرد. در مرحله بعد، نحوه شناسایی شاخص‌های به خطر افتادن در آلودگی‌های بدافزار را خواهید یافت. در نهایت، نحوه جداسازی بات نت و ترافیک استخراج داده را خواهید آموخت. وقتی این دوره را به پایان رساندید، مهارت ها و دانش شکار تهدید با Wireshark را خواهید داشت که برای شناسایی حملات رایج شبکه سایبری در شبکه خود لازم است.

شناسایی ترافیک Malware با وایرشارک

Wireshark نرم افزار قدرتمندی برای تحلیل و آنالیز ترافیک و پروتکل های شبکه می باشد و به کمک Wireshark می توانیم ترافیک شبکه را Capture کنیم و درون ترافیک های در حال Capture شدن، به جستجو بپردازیم.

ویژگی های عالی و یگانه Wireshark و سادگی کار با آن باعث شده تا به پرطرفدارترین ابزار آنالیزگر ترافیک شبکه در بین متخصصین شبکه و امنیت تبدیل شود

Wireshark را می توان بر روی پلتفرم های Windows، OS X، Linux و UNIX اجر کرد.

چگونه با استفاده از Wireshark ترافیک بد‌افزار را شناسایی کنیم؟

در قدم صفر، یعنی پیش از شروع به کار، نرم‌افزار Wireshark را روی دستگاه خودتان نصب کنید.

سپس مراحل زیر را دنبال کنید:

نرم‌افزار را اجرا و اینترفیس مورد نظرتان را انتخاب کنید.

اینترفیس یعنی شبکه‌ای که می‌خواهید بسته‌های آن را بررسی کنید.

اکنون تعداد زیادی بسته می‌بینید که کپچر شده‌اند.

اکنون خروجی را مرتب می‌کنیم و ستون‌های درگاه مبدا و مقصد و غیره را اضافه می‌کنیم.

بدین منظور نشانگر ماوس را روی ستون‌ها نگاه دارید و راست کلیک، سپس Column Preferences را انتخاب کنید.

سپس روی گزینه Edit Column کلیک کنید.

سپس روی علامت + کلیک کنید.

اکنون دو ستون Source port و Destination port را اضافه و نوع آنها را src port ( resolved) و Dest port (resolved ) انتخاب کنید.

آنها را به ترتیب در زیر Source IP و Destination IP قرار دهید.

همچنین می‌توانید بسادگی هر گزینه‌ای که نمی‌خواهید را حذف کنید، کافیست تیک آنها را بردارید.

تصویر زیر گویای توضیحات است:

فرمت Time را از طریق مسیر View -> Time Display Format -> Date and Time of Day تغییر دهید.

مانند تصویر زیر:

اکنون اگر به پنل نگاه کنیم می‌توانیم URL درخواستی را مشاهده کنیم، اما نمی‌توانیم هاستی که آن را تولید کرده است را بررسی کنیم.

برای افزودن آن ستون، می‌توان روش مرحله ۳ را دنبال کرد و یا از طریق پنل Detail می‌توانیم آن را اضافه کنیم.

روی هر بسته دلخواه در پنل Summary کلیک کنید.

سپس روی هر پکتی در پنل جزئیات که host را مشخص می‌کند، راست کلیک و گزینه Apply as a column را انتخاب کنید.

اسم ستون را HOST انتخاب کنید.

بعد از این مرحله ستونی به نام HOST مشاهده خواهید کرد.

اکنون می‌خواهیم درخواست‌هایی که از طریق HTTP ارسال شده‌اند را ببینیم، برای اینکار باید نتایج را فیلتر کنیم.

در ادامه شناسایی ترافیک Malware با نرم افزار وایرشارک (Wireshark) :

در نوار ابزار فیلتر http را نوشته و اینتر را بزنید، یا مسیرtatistics -> Protocol Hierarchy -> Hypertext Transfer Protocol را دنبال و روی آن کلیک راست کنید.

سپس گزینه Apply as Filter -> Selected را انتخاب کنید.

اعمال فیلتر HTTP

اکنون می‌توانیم تمام ترافیک‌های http را آنالیز کنیم، اما نیاز داریم آبجکت‌ها و فایل‌های منتقل شده را بررسی کنیم.

مسیر File -> Export Objects -> HTTP را دنبال کنید.

خروجی گرفتن از تمام آبجکت‌های بر پایه HTTP

آبجکتی که می‌خواهید را مانند تصویر زیر دانلود کنید.

آیجکت را در دسکتاپ ذخیره کرده‌ایم.

اکنون فایل را در اختیار داریم، می‌توانیم آن را با آنتی‌بدافزاری که روی سیستم خودمان نصب است بررسی کنیم و یا از سرویس‌هایی مانند Virustotal.com استفاده کنیم.

فایل را در سرویس Virustotal.com آپلود کنید.

این سرویس فایل را آنالیز خواهد کرد.

اگر فایل مخرب باشد، نتیجه‌ای مانند عکس زیر را مشاهده خواهید کرد:

در ادامه شناسایی ترافیک Malware با نرم افزار وایرشارک (Wireshark) :

برای اطلاعات بیشتر درباره این بدافزار روی تب behavior کلیک کنید.

به نرم‌افزار وایرشارک برگردید، پیش‌تر ستون HOST را اضافه کرده بودیم.

اکنون همان بسته را انتخاب کنید، مشاهده خواهید کرد که چه هاستی آن را ایجاد کرده است.

همانطور که می‌بینید کاری روی درگاه 80 انجام شده که همان فایل است.

در این حالت مقصد یک کامپیوتر مخرب است و منبع دامنه‌ای است که فایل از آن دانلود شده است.

آخرین چیزی که درباره دستگاه آلوده باید پیدا کنیم آدرس MAC آن است بنابراین باید به پنل جزئیات نگاه دقیق‌تری کنیم. روی

آخرین چیزی که درباره دستگاه آلوده باید پیدا کنیم آدرس MAC آن است بنابراین باید به پنل جزئیات نگاه دقیق‌تری کنیم.

روی آخرین چیزی که درباره دستگاه آلوده باید پیدا کنیم آدرس MAC آن است بنابراین باید به پنل جزئیات نگاه دقیق‌تری کنیم.

روی Ethernet II کلیک کنید تا SRC: and Dst: را پیدا کنید.

DST: آدرس MAC کامپیوتر آلوده را نشان می‌دهد.

امیدواریم مقاله آموزش شناسایی ترافیک Malware با نرم افزار وایرشارک (Wireshark) مفید بوده باشد.