أحد أشهر الأدوات المستخدمة في تحليل (network packet) التي تمر خلال الشبكة (Wireshark)

Wireshark

أداة رسومية ومفتوحة المصدر مصممة لالتقاط وتحليل وتصفية حركة المرور للبيانات.

واجهة المستخدم الرسومية سهلة الاستخدام، مما يجعلها أداة أولى رائعة ومناسبة (network forensics analysts) المبتدئين، كما أنها في نفس الوقت تتمتع بقدرات تصفية الحزمة المتقدمة.

يتيح Wireshark أيضًا التقاط الحزم على أي واجهة شبكة نظام، بافتراض أن لديك الأذونات المناسبة للقيام بذلك، وأن بطاقة الشبكة الخاصة بك تدعم sniffing.

يمكن لـ Wireshark عرض الحزم بمجرد التقاطها في الوقت الفعلي.

بشكل افتراضي، يعرض Wireshark الحزم في ثلاث panels:

قائمة الحزم (Packet List):

تعرض هذه panel الحزم التي تم التقاطها، واحدةً لكل سطر، مع تفاصيل موجزة جدًا عنها.

يتضمن هذا عادةً الوقت الذي تم فيه التقاط الحزمة، وعنوان IP الخاص بالمصدر والوجهة.

تفاصيل الحزمة (Packet Details):

بالنسبة للحزمة

highlighted في عرض Packet List، يعرض هذا تفاصيل البروتوكولات في جميع الطبقات التي يمكن لـ Wireshark تفسيرها.

Packet Bytes:

يُظهر التمثيل السداسي العشري و ASCII للحزمة، بما في ذلك بيانات الطبقة الثانية.

لدى Wireshark وظيفة تسمى "Follow TCP Stream" والتي تسمح لك بتحديد أي حزمة هي جزء من تدفق TCP في عرض قائمة الحزم، وجعل Wireshark يعيد تلقائيًا بناء محتوياتها المزدوجة الكاملة من البداية إلى النهاية إذا كانت مضمنة في packet cap