مقدمة
في هذا المشروع، ستتعلم كيفية استخدام Wireshark لاكتشاف التسلل إلى الشبكة. يعد تحديد وتحليل الأنشطة الشبكية المشبوهة أمراً بالغ الأهمية للحفاظ على أمان الشبكة والاستجابة للتهديدات المحتملة.
ما هو اكتشاف التسلل؟ اكتشاف التسلل (Intrusion Detection) هو عملية مراقبة حركة مرور الشبكة لتحديد الأنشطة غير المصرح بها أو الضارة التي قد تشير إلى هجوم أو اختراق.
المتطلبات الأساسية
- فهم أساسي لمفاهيم الشبكات وبروتوكولاتها
- تثبيت Wireshark على جهازك
- ملف PCAP عينة يحتوي على حالات تسلل شبكي (من مصادر مثل Contagio Dump)
- معرفة أساسية بأنماط الهجمات الشبكية
إعداد المعمل والأدوات
Wireshark
قم بتنزيل وتثبيت Wireshark من الموقع الرسمي.
ملفات PCAP عينة
قم بتنزيل ملف PCAP عينة يحتوي على بيانات تسلل شبكي من Contagio Dump.
نصيحة: ابحث عن ملفات PCAP التي تحتوي على هجمات معروفة مثل SQL injection أو DDoS للتدريب الفعال.
أنواع هجمات التسلل الشائعة
حقن SQL
هجمات تستغل ثغرات في قواعد البيانات
هجمات DDoS
إغراق الخدمة بحركة مرور زائفة
اختراق كلمات المرور
محاولات تخمين أو كسر كلمات المرور
انتحال الشخصية
انتحال عناوين IP أو هويات
مؤشرات الاختراق (IOCs) الشائعة
عناوين IP مشبوهة
عناوين معروفة بارتباطها بأنشطة ضارة
منافذ ضارة
منافذ تستخدمها البرمجيات الخبيثة (4444, 31337)
بروتوكولات مشبوهة
استخدام بروتوكولات مثل IRC, SMB بطرق غير عادية
نطاقات ضارة
طلبات DNS لنطاقات معروفة بالأنشطة الضارة
التمارين العملية
1 تحميل ملف PCAP عينة
الخطوات
- افتح Wireshark.
- اذهب إلى "File" > "Open" واختر ملف PCAP العينة الذي قمت بتنزيله.
- سيتم تحميل الملف وعرض حركة المرور الملتقطة.
المخرجات المتوقعة
ملف PCAP العينة المحتوي على حركة مرور الشبكة محمل في Wireshark.
2 تحديد مؤشرات الاختراق (IOCs)
الخطوات
- ابحث عن مؤشرات الاختراق الشائعة، مثل:
- عناوين IP غير عادية
- منافذ ضارة معروفة
- بروتوكولات مشبوهة (مثل IRC, SMB)
- استخدم عوامل التصفية لعزل الحركة المشبوهة. أمثلة:
ip.addr == x.x.x.x(استبدلx.x.x.xبعنوان IP ضار معروف)
tcp.port == 23(لتصفية حركة Telnet)
dns.qry.name contains "malicious.com"(لتحديد طلبات DNS لنطاقات مشبوهة)
المخرجات المتوقعة
تم تحديد حركة مرور مشبوهة ومؤشرات اختراق محتملة.
3 تحليل الحزم المشبوهة
الخطوات
- حدد حزمة تبدو مشبوهة بناءً على مؤشرات الاختراق التي حددتها.
- انقر على الحزمة لعرض تفاصيلها في لوحة تفاصيل الحزمة.
- وسع أقسام البروتوكول ذات الصلة لفحص تفاصيل الحزمة، مثل الرؤوس، وبيانات الحمولة، وأي شذوذ.
المخرجات المتوقعة
تم تحليل معلومات مفصلة عن حزمة مشبوهة.
4 متابعة تدفق اتصال التسلل
الخطوات
- انقر بزر الماوس الأيمن على حزمة مشبوهة واختر "Follow" > "TCP Stream" أو "UDP Stream" لعرض المحادثة الكاملة.
- حلل المحادثة بحثاً عن مؤشرات التسلل، مثل أوامر غير عادية، أو نقل بيانات غير متوقع، أو اتصالات مشفرة.
المخرجات المتوقعة
تم تحليل تدفق اتصال كامل للتسلل.
5 توثيق النتائج وإعداد التقارير
الخطوات
- دوّن ملاحظات عن الأنشطة والأنماط المشبوهة التي حددتها في حركة المرور.
- وثّق النتائج الرئيسية، بما في ذلك عناوين IP، المنافذ، بيانات الحمولة، وأي تفاصيل أخرى ذات صلة.
- لخص النتائج في نموذج تقرير، والذي يمكن استخدامه لمزيد من التحقيق أو كجزء من تقرير حادث أمني.
المخرجات المتوقعة
تقرير مفصل يوثق النتائج من تحليل تسلل الشبكة.
نموذج تقرير اكتشاف التسلل
- التاريخ والوقت: [تاريخ ووقت الالتقاط]
- مؤشرات الاختراق المكتشفة: [قائمة IOCs]
- عناوين IP مشبوهة: [قائمة العناوين]
- المنافذ والبروتوكولات: [المنافذ والبروتوكولات المشبوهة]
- طبيعة الهجوم: [نوع الهجوم المتوقع]
- التوصيات الأمنية: [الإجراءات المضادة المقترحة]
الخاتمة
بإكمال هذه التمارين، تكون قد تعلمت كيفية اكتشاف وتحليل حالات التسلل إلى الشبكة باستخدام Wireshark. هذه المهارات أساسية للحفاظ على أمان الشبكة، وتحديد التهديدات المحتملة، والاستجابة للحوادث الأمنية.
نصيحة للتطوير: واصل التدرب على ملفات PCAP مختلفة لأنواع متعددة من الهجمات لتعزيز قدرتك على التعرف على أنماط متنوعة من التسلل.