دليل Wireshark الشامل 2026 — تحليل حركة الشبكة واكتشاف التهديدات
بقلم فريق KALI ACADEMY | الأداة الأولى عالمياً في تحليل حزم الشبكة
جدول المحتويات
- ما هو Wireshark؟
- حالات الاستخدام
- فهم الواجهة
- التقاط الحزم
- فلاتر العرض — المهارة الأهم
- تحليل البروتوكولات الشائعة
- تحليل أمني عملي
- TShark — Wireshark في سطر الأوامر
- الخاتمة
ما هو Wireshark؟
Wireshark هو أقوى محلل حزم شبكة (Packet Analyzer) مفتوح المصدر في العالم. يتيح لك التقاط وفحص البيانات المتدفقة عبر الشبكة في الزمن الحقيقي، حزمة بحزمة، مع تفكيك كامل لطبقات البروتوكولات.
يُعدّ Wireshark أداة لا غنى عنها في ثلاث مجالات رئيسية: إدارة الشبكات، التحقيق الجنائي الرقمي، واختبار الاختراق.
لمحة سريعة:
| المعلومة | التفاصيل |
|---|---|
| النوع | محلل حزم شبكة مفتوح المصدر |
| المطور الأصلي | Gerald Combs (1998) |
| البروتوكولات المدعومة | 3000+ بروتوكول |
| المنصات | Windows, Linux, macOS |
| الترخيص | GPLv2 (مجاني بالكامل) |
| أهم شهادة مرتبطة | Wireshark Certified Network Analyst (WCNA) |
حالات الاستخدام
- استكشاف مشاكل الشبكة: تأخيرات، فقدان حزم، اتصالات فاشلة
- تحليل أمني: كشف حركة مشبوهة، برمجيات خبيثة، تسريب بيانات
- التحقيق الجنائي: تحليل ملفات PCAP من حوادث أمنية
- تطوير البروتوكولات: اختبار وتحليل بروتوكولات جديدة
- تحديات CTF: حل تحديات Network Forensics
- تعلم الشبكات: فهم عملي لكيفية عمل TCP/IP
فهم واجهة Wireshark
واجهة Wireshark تتكون من ثلاث لوحات رئيسية:
| اللوحة | الوظيفة |
|---|---|
| Packet List (القائمة العلوية) | عرض جميع الحزم الملتقطة مع معلومات سريعة |
| Packet Details (الوسطى) | تفكيك طبقات البروتوكول لكل حزمة |
| Packet Bytes (السفلية) | البيانات الخام بصيغة Hex و ASCII |
التقاط الحزم
بدء الالتقاط:
- افتح Wireshark
- اختر واجهة الشبكة (مثل
eth0أوwlan0) - اضغط على زر Start Capturing (الزعنفة الزرقاء)
فلاتر الالتقاط (Capture Filters):
تُطبّق قبل الالتقاط لتقليل حجم البيانات:
# التقاط HTTP فقط
port 80
# التقاط من/إلى IP محدد
host 192.168.1.100
# التقاط TCP فقط
tcp
# التقاط حزم DNS
port 53فلاتر العرض — المهارة الأهم في Wireshark
فلاتر العرض (Display Filters) تُطبّق بعد الالتقاط لتصفية ما تشاهده. إتقانها هو الفرق بين المبتدئ والمحترف.
فلاتر أساسية:
# عرض HTTP فقط
http
# عرض DNS فقط
dns
# عرض حزم من IP محدد
ip.src == 192.168.1.100
# عرض حزم إلى IP محدد
ip.dst == 10.0.0.1
# عرض حزم TCP على منفذ 443
tcp.port == 443
# عرض حزم تحتوي على أخطاء
tcp.analysis.flagsفلاتر متقدمة:
# HTTP POST requests فقط
http.request.method == "POST"
# طلبات DNS لنطاق محدد
dns.qry.name contains "example.com"
# حزم تحتوي على كلمة "password"
frame contains "password"
# اتصالات TCP غير مكتملة (SYN بدون ACK)
tcp.flags.syn == 1 && tcp.flags.ack == 0
# حزم أكبر من 1000 بايت
frame.len > 1000
# استبعاد ARP و ICMP
!(arp || icmp)فلاتر للتحليل الأمني:
# كشف محاولات Port Scanning
tcp.flags.syn == 1 && tcp.flags.ack == 0 && tcp.window_size <= 1024
# كشف ARP Spoofing
arp.duplicate-address-detected
# حركة مشبوهة على منافذ غير معتادة
tcp.port > 49151
# كشف Brute Force على SSH
tcp.port == 22 && tcp.flags.syn == 1تحليل البروتوكولات الشائعة
1. تحليل HTTP/HTTPS
لتحليل HTTP غير المشفر:
http.request || http.responseميزة Follow HTTP Stream: انقر يميناً على أي حزمة HTTP واختر Follow → HTTP Stream لرؤية المحادثة الكاملة.
2. تحليل DNS
# جميع استعلامات DNS
dns.flags.response == 0
# ردود DNS فاشلة
dns.flags.rcode != 03. تحليل TCP
# اتصالات TCP مُعاد تعيينها
tcp.flags.reset == 1
# إعادة إرسال (Retransmissions)
tcp.analysis.retransmissionتحليل أمني عملي
السيناريو 1: كشف تسريب بيانات
# ابحث عن بيانات حساسة في HTTP
http.request.method == "POST" && frame contains "password"
# ابحث عن بيانات بطاقات ائتمان (نمط)
frame matches "[0-9]{4}[- ]?[0-9]{4}[- ]?[0-9]{4}[- ]?[0-9]{4}"السيناريو 2: تحليل حركة برمجية خبيثة
# كشف اتصال C2 (Command & Control)
# ابحث عن DNS لنطاقات مشبوهة
dns.qry.name matches "^[a-z0-9]{20,}\."
# حركة على منافذ غير معتادة
tcp.port == 4444 || tcp.port == 5555 || tcp.port == 1337
# HTTP مع User-Agent مشبوه
http.user_agent contains "bot" || http.user_agent == ""السيناريو 3: تحليل ملف PCAP من حادث أمني
- افتح ملف PCAP في Wireshark
- استخدم
Statistics → Conversationsلمعرفة أكثر الاتصالات نشاطاً - استخدم
Statistics → Protocol Hierarchyلفهم توزيع البروتوكولات - ابحث عن حركة غير طبيعية باستخدام الفلاتر أعلاه
- استخدم
File → Export Objects → HTTPلاستخراج الملفات المنقولة
TShark — Wireshark في سطر الأوامر
TShark هو النسخة النصية من Wireshark — مثالي للتحليل الآلي والسيرفرات بدون واجهة رسومية.
# التقاط 100 حزمة
tshark -c 100
# التقاط على واجهة محددة
tshark -i eth0
# التقاط مع فلتر
tshark -i eth0 -f "port 80"
# تحليل ملف PCAP
tshark -r capture.pcap
# استخراج URLs من حركة HTTP
tshark -r capture.pcap -Y http.request -T fields -e http.host -e http.request.uri
# حفظ النتائج
tshark -i eth0 -w output.pcap -c 1000الخاتمة
Wireshark هو العين التي ترى كل شيء على الشبكة. إتقانه يمنحك القدرة على فهم ما يحدث فعلاً في شبكتك، اكتشاف التهديدات، وحل المشاكل بسرعة ودقة.
المفتاح هو الممارسة المستمرة — حمّل ملفات PCAP من مواقع مثل Malware Traffic Analysis وPacketTotal وتدرّب على تحليلها.
في KaliAcademy، نوفر لك دروساً تفاعلية وسيناريوهات تطبيقية تتضمن تحليل الشبكات باستخدام Wireshark وأدوات أخرى.