الصفحة الرئيسية
برامج
شبكات الحاسوب

كيف تستخدم Wireshark لاكتشاف مشاكل الشبكات والهجمات السيبرانية

تعلم استخدام Wireshark 4.4 لتحليل الشبكات: من التثبيت والفلاتر إلى فك تشفير TLS 1.3 وتحليل WiFi 6 واكتشاف الهجمات السيبرانية مع أمثلة عملية
علوم و تقنيات

دليلك الشامل لتحليل الشبكات باستخدام برنامج Wireshark

هل سبق أن واجهت مشكلة بطيء في الشبكة ولم تعرف مصدرها؟ هل تريد فهم ما يحدث حقاً عندما تتصفح الإنترنت أو ترسل بريداً إلكترونياً؟ Wireshark هو الأداة التي يستخدمها المحترفون لرؤية ما يجري خلف الكواليس في شبكتك.

بعد سنوات من استخدام Wireshark في تحليل مشاكل الشبكات وتدريب الفرق التقنية، جمعت لك في هذا الدليل كل ما تحتاجه للبدء. سواء كنت مبتدئاً تريد فهم الأساسيات، أو محترفاً تبحث عن ميزات Wireshark 4.4 الجديدة، ستجد هنا شرحاً عملياً يعتمد على تجار حقيقية.

دليلك الشامل لتحليل الشبكات باستخدام برنامج Wireshark

الإصدار أهم الميزات الجديدة تاريخ الإصدار
Wireshark 4.4.0 تحسينات رسومية، فلاتر متقدمة، دعم WiFi 6 أغسطس 2024
Wireshark 4.4.4 إصلاحات أمان، تحديث بروتوكولات MQTT وDNS فبراير 2025
Wireshark 4.4.10 تحسينات في TLS 1.3، دعم أفضل للبروتوكولات الحديثة أغسطس 2025

ما هو Wireshark ولماذا يستخدمه المحترفون؟

Wireshark هو محلل بروتوكولات الشبكة الأكثر شعبية في العالم. يستخدمه مهندسو الشبكات، خبراء الأمن السيبراني، والمطورون لالتقاط وتحليل البيانات التي تمر عبر الشبكة. الأداة مجانية ومفتوحة المصدر، وتعمل على Windows، macOS، وLinux.

قبل عام 2006، كان البرنامج يُعرف باسم Ethereal، لكن المطور الرئيسي جيرالد كومبز غيّر الاسم بسبب مشاكل في حقوق التأليف. اليوم، Wireshark تديره مؤسسة Wireshark غير الربحية، ويعتمد عليه ملايين المحترفين حول العالم.

الفرق الجوهري بين Wireshark وأدوات أخرى مثل tcpdump هو الواجهة الرسومية. بينما tcpdump يعمل من سطر الأوامر ويحتاج لخبرة تقنية عميقة، Wireshark يقدم واجهة مرئية تجعل تحليل البيانات أسهل بكثير، خاصة للمبتدئين.

تحميل وتثبيت Wireshark: الخطوات الصحيحة

لتحميل آخر نسخة من Wireshark، زُر الموقع الرسمي. الأداة متاحة لجميع أنظمة التشغيل الرئيسية.

عند التثبيت على Windows، تأكد من تثبيت مكتبة Npcap (Packet capture) التي تأتي مع المثبت. هذه المكتبة ضرورية لالتقاط الحزم من واجهات الشبكة. في الإصدارات القديمة، كانت تُستخدم WinPcap، لكن Npcap أحدث وأكثر كفاءة ودعماً للأنظمة الحديثة.

لمستخدمي macOS مع معالجات Apple Silicon (M1/M2/M3)، هناك خطوة إضافية مهمة. بعد تثبيت Wireshark، يجب تثبيت "ChmodBPF" لمنح الأداة صلاحية الوصول للواجهات المحلية. هذا الإعداد يأتي مع المثبت الرسمي.

واجهة Wireshark: شرح الأقسام الرئيسية

واجهة Wireshark: شرح الأقسام الرئيسية

عند فتح Wireshark، ستجد ثلاثة أقسام رئيسية في النافذة:

قائمة الحزم (Packet List)

هذا الجزء العلوي يعرض ملخصاً لكل الحزم الملتقطة. كل سطر يمثل حزمة واحدة، ويظهر فيه الوقت، المصدر، الوجهة، البروتوكول، الطول، ومعلومات مختصرة. يمكنك تخصيص الأعمدة وإضافة حقول مخصصة حسب احتياجاتك.

في Wireshark 4.4، أضيفت ميزة الأعمدة المخصصة المتقدمة. يمكنك الآن إنشاء أعمدة تستخدم عمليات حسابية، مثل ضرب طول الحزمة في 8 لعرض الطول بالبت بدلاً من البايت. كما يمكن عرض البايت الخام للحقول باستخدام معامل @.

تفاصيل الحزمة (Packet Details)

الجزء الأوسط يعرض تفاصيل الحزمة المحددة بطريقة هرمية، منظمة حسب طبقات نموذج OSI. ستجد معلومات عن طبقة Ethernet (عناوين MAC)، ثم طبقة IP (عناوين IP)، ثم TCP أو UDP (أرقام المنافذ)، وأخيراً طبقة التطبيق (HTTP، DNS، إلخ).

يمكن توسيع كل طبقة لرؤية التفاصيل الدقيقة. مثلاً، في طبقة TCP، ستجد أرقام التسلسل، أعلام التحكم (Flags)، وحجم النافذة.

البايت الخام (Packet Bytes)

الجزء السفلي يعرض البيانات الخام للحزمة بنظام الست عشري (Hexadecimal). عندما تحدد حقلاً في جزء التفاصيل، يُظلل الجزء المقابل منه هنا تلقائياً. هذا مفيد جداً لفحص البيانات غير المشفرة أو البحث عن أنماط معينة.

الالتقاط والفلاتر: رؤية ما يهمك فقط

عند بدء الالتقاط، يمكن أن تصل آلاف الحزم في الدقيقة الواحدة. الفلاتر هي الحل لتنقيص هذه الكمية الهائلة للحصول على ما يهمك فقط.

فلاتر الالتقاط (Capture Filters)

تُستخدم قبل بدء الالتقاط لتقليل كمية البيانات الملتقطة من الأساس. تستخدم صيغة Berkeley Packet Filter (BPF). أمثلة عملية:

  • tcp port 80: يلتقط فقط حركة HTTP
  • host 192.168.1.1: يلتقط الحزم المتعلقة بهذا العنوان فقط
  • icmp: يلتقط رسائل ping فقط
  • not arp: يستبعد حزم ARP التي تملأ الشاشة عادةً

فلاتر العرض (Display Filters)

أكثر قوة ومرونة، تُستخدم بعد الالتقاط لتصفية ما تراه. Wireshark 4.4 أضاف تحسينات كبيرة هنا:

  • ip.addr == 192.168.1.5: يعرض كل الحزم من أو إلى هذا العنوان
  • http.request.method == "GET": يعرض طلبات HTTP GET فقط
  • tcp.flags.syn == 1 && tcp.flags.ack == 0: يعثر على محاولات بدء اتصال TCP (SYN packets)
  • dns.qry.name contains "google": يبحث في استعلامات DNS عن كلمة google

يمكنك دمج الشروط باستخدام and، or، not. مثلاً: ip.addr == 192.168.1.1 and tcp.port == 443 يعرض حركة HTTPS من وإلى هذا العنوان فقط.

فك تشفير HTTPS وTLS 1.3: رؤية المحتوى المشفر

مع انتشار التشفير، أصبح معظم حركة الإنترنت مشفرة بـ TLS 1.3. Wireshark يمكنه فك هذا التشفير إذا حصلت على المفاتيح.

الطريقة الأسهل (للمتصفحات فقط):

  1. أنشئ متغير بيئة SSLKEYLOGFILE يشير لملف نصي على جهازك
  2. افتح Firefox أو Chrome من نفس الجلسة
  3. تصفح المواقع المشفرة، سيُسجل المتصفح المفاتيح تلقائياً
  4. في Wireshark، اذهب لـ Edit -> Preferences -> Protocols -> TLS
  5. أضف مسار ملف المفاتيح في (Pre)-Master-Secret log filename

الآن ستظهر حزم HTTPS مفكوكة ويمكنك قراءة الطلبات والاستجابات بوضوح. هذه الطريقة تعمل مع TLS 1.3 ولا تتطلب مفتاح الخادم الخاص.

تحليل WiFi 6 وWiFi 6E

مع انتشار شبكات WiFi 6 (802.11ax) وWiFi 6E التي تستخدم نطاق 6GHz، أضاف Wireshark دعماً متقدماً لتحليل هذه البروتوكولات.

للتقاط حزم WiFi، تحتاج كارت شبكة يدعم Monitor Mode. بعد الالتقاط، يمكنك رؤية:

  • تفاصيل OFDMA (تقسيم التردد الذي يستخدمه WiFi 6)
  • معلومات MU-MIMO
  • تحليل Target Wake Time (TWT) لتوفير الطاقة
  • دعم BSS Coloring لتقليل التداخل

Wireshark يميز بين حزم Management، Control، وData، ويظهر معلومات مفصلة عن كل إطار 802.11.

تحليل بروتوكولات إنترنت الأشياء (IoT)

إذا كنت تعمل مع أجهزة IoT، Wireshark يدعم MQTT وCoAP بشكل ممتاز. في الإصدار 4.4.4، تم تحديث محلل MQTT لدعم خصائص الإصدار 5.0 بشكل أفضل.

لتحليل MQTT:

  • استخدم فلتر mqtt لعرض كل حزم MQTT
  • راجع Topics وPayloads في تفاصيل الحزمة
  • تحقق من QoS levels (0, 1, 2) لفهم ضمانات التسليم

CoAP يُستخدم في أجهزة محدودة الموارد، وWireshark يعرض تفاصيل الرسائل بما فيها Methods (GET, POST, PUT, DELETE) وResponse Codes.

الرسوم البيانية والإحصائيات المتقدمة

Wireshark 4.4 قدم تحسينات كبيرة على الرسوم البيانية:

  • I/O Graphs: الآن تدعم فاصل زمني أدنى 1 ميكروثانية، وتستخدم بادئات SI للمحور Y
  • Flow Graphs: يمكن تصدير الرسم بالكامل كصورة، وليس فقط الجزء المرئي
  • TCP Stream Graphs: تحسين في تحديد جانب العميل والخادم
  • Sequence Diagrams: تصدير أفضل للمخططات الزمنية

من قائمة Statistics، يمكنك رؤية:

  • Protocol Hierarchy: توزيع البروتوكولات في الالتقاط
  • Conversations: من يتحدث مع من وكم الحزم
  • Endpoints: الأجهطة الأكثر نشاطاً
  • Expert Info: تحذيرات Wireshark عن مشاكل محتملة

Wireshark مقابل tcpdump: متى تستخدم كل أداة؟

كلتا الأداتين قويتان، لكن استخدامهما يختلف حسب السياق:

استخدم tcpdump عندما:

  • تعمل على خادم بعيد بدون واجهة رسومية
  • تحتاج لالتقاط سريع من سطر الأوامر
  • الموارد محدودة (ذاكرة، معالج)
  • تريد أتمتة الالتقاط في سكربتات

استخدم Wireshark عندما:

  • تحتاج تحليلاً عميقاً ومرئياً
  • تعمل على محطة عمل محلية
  • تريد فك تشفير TLS
  • تحتاج رسوم بيانية وإحصائيات
  • تدرب فريقاً جديداً (أسهل للمبتدئين)

الحل الأمثل: استخدم tcpdump للالتقاط على الخوادم، ثم انقل ملف pcap لمحطة عملك وافتحه بـ Wireshark للتحليل العميق.

سيناريوهات عملية: تحليل مشاكل حقيقية

اكتشاف هجوم ARP Spoofing

ابحث عن عدة استجابات ARP تمنح نفس IP لعناوين MAC مختلفة. استخدم فلتر: arp.duplicate-address-detected

تشخيص بطء الشبكة

تحقق من Retransmissions باستخدام tcp.analysis.retransmission. إذا رأيت كثيراً منها، هناك مشكلة في الاتصال.

اكتشاف محاولات SQL Injection

ابحث في HTTP requests عن كلمات مثل SELECT، UNION، DROP باستخدام فلتر http.request.uri contains "SELECT"

تحليل مشاكل DNS

استخدم dns.flags.response == 0 لرؤية الاستعلامات، وتحقق من أوقات الاستجابة في العمود Time.

نصائح احترافية من تجربة عملية

بعد سنوات من استخدام Wireshark يومياً، إليك أهم النصائح:

  • لا تلتقط على واجهة "Any" إلا إذا كان لا بد. التقط على واجهة محددة لأداء أفضل.
  • استخدم Ring Buffer عند الالتقاط المستمر: File -> Capture Options -> Use multiple files.
  • احفظ الفلاتر المعقدة: Apply as Filter -> Save.
  • استخدم Color Rules لتلوين الحزم المهمة (مثل HTTP errors بالأحمر).
  • تعلم Lua scripting إذا كنت تتعامل مع بروتوكولات مخصصة.
  • لتحليل الأمان، ركز على الإحصائيات: Endpoints وConversations تكشف الأنماط المشبوهة.

الخلاصة: خطوتك القادمة

Wireshark أداة قوية تستحق الوقت لتعلمها. ابدأ بالتثبيت والتقاط البسيط على شبكتك المنزلية. جرب الفلاتر الأساسية، ثم تدرج للميزات المتقدمة.

الشبكات ليست سحراً، هي بروتوكولات يمكن فهمها بالممارسة. كل حزمة تلتقطها تضيف لخبرتك. ابدأ اليوم، وستجد نفسك بعد أسابيع تقرأ شبكاتك ككتاب مفتوح.

هل جربت Wireshark من قبل؟ ما أكثر مشكلة صعبة واجهتها في تحليل الشبكات؟ شاركنا تجربتك في التعليقات.

تاريخ التحديث: فبراير 2026

مواضيع قد تهمك ايضا :

عن المؤلف

علوم و تقنيات
نقدم شروحات ربح من الانترنت، مشاريع مربحة، تداول في عملات رقمية, تجارة الكترونية، برامج كمبيوتر اندرويد و ايفون، ادوات ذكاء اصناعي علوم و تقنيات