📝 ملخص الصفحة
تتناول هذه الصفحة تحليل حزم الشبكة باستخدام أدوات مثل Wireshark لاكتشاف النشاط المريب، مع التركيز على بروتوكول ARP. يوضح النص كيف يمكن لجهاز ما إرسال بيانات دون عرض الوجهة والتنصت على الأجهزة الأخرى، مما يشير إلى محاولة اكتشاف عناوين IP نشطة مثل 199.0.0.203.
يتم عرض نتائج الالتقاط في لوحة قائمة الحزمة، حيث تظهر حزم شبكة متنوعة تشمل TCP وTLSv1.2 وARP. الحزمة البارزة هي ARP broadcast من جهاز 'HewlettP_a1:30:ee' يسأل 'من لديه 199.0.0.203؟ أخبر 199.0.0.32'، مما يدل على محاولة شخص مجهول التحقق من استخدام عنوان IP معين.
يشرح المحتوى كيفية استنتاج أن هذا النشاط قد يكون محاولة تسلل، حيث إذا لم يتم اكتشاف العنوان قيد الاستخدام، يمكن للمتسلل استخدامه للاتصال بالشبكة. هذا يسلط الضوء على أهمية مراقبة حركة الشبكة وأمنها.
تتضمن الصفحة رسوم توضيحية لشاشات تحليل الحزم، مع جداول تفصيلية تعرض أرقام الحزم والأوقات والمصادر والوجهات والبروتوكولات والمعلومات الإضافية. هذه الأمثلة العملية تساعد في فهم كيفية تطبيق تحليل الشبكات في سياق أمني.
بشكل عام، تهدف الصفحة إلى تعليم الطلاب كيفية استخدام أدوات تحليل الشبكات لتحديد التهديدات الأمنية المحتملة، مع التركيز على بروتوكول ARP كأداة للكشف عن النشاط المريب.
📄 النص الكامل للصفحة
شكل 2.16: كشف طلبات بروتوكول اقتران العناوين (ARP)
في لوحة قائمة الحزمة، تظهر نتائج الالتقاط أنه تم اكتشاف نشاط مريب في الشبكة، وبشكل أكثر تحديدًا هناك جهاز يرسل البيانات دون عرض الوجهة التي يتم الإرسال إليها، وأنه يتنصت على الأجهزة الأخرى على الشبكة. يقوم هذا الجهاز بالتحقق مما إذا كان عنوان بروتوكول الإنترنت 199.0.0.203 قيد الاستخدام، ويتم إرجاع استجابة إلى عنوان بروتوكول الإنترنت 199.0.0.32. كما يمكنك أن تستنتج من هذه المعلومات أن شخصًا ما قد يحاول اكتشاف ما إذا كان عنوان بروتوكول الإنترنت 199.0.0.203 قيد الاستخدام كما يظهر لنا في الشكل 2.17، وإذا لم يتم اكتشاف الأمر، فيمكن للمتسلل المحتمل استخدام عنوان بروتوكول الإنترنت هذا للاتصال بالشبكة.
شكل 2.17: مستخدم مجهول يحاول اكتشاف ما إذا كان عنوان بروتوكول الإنترنت 199.0.0.203 قيد الاستخدام.
قد يحاول شخص اكتشاف ما إذا كان عنوان بروتوكول الإنترنت 199.0.0.203 قيد الاستخدام.
وزارة التعليم
Ministry of Education
2025 - 1447
78
--- VISUAL CONTEXT ---
**FIGURE**: Scan_results.pcapng
Description: A screenshot of a network packet analysis tool (likely Wireshark) showing captured network traffic. The window title is 'Scan_results.pcapng'. It displays a menu bar, a toolbar, and a main pane with packet list, packet details, and hex dump. The packet list shows columns for 'No.', 'Time', 'Source', 'Destination', 'Protocol', 'Length', and 'Info'. Various network packets are listed, including TCP, TLSv1.2, and ARP protocols, with specific IP addresses and communication details. A status bar at the bottom shows 'Packets: 14387 - Displayed: 14387 (100.0%) Profile: Default'.
Table Structure:
Headers: No. | Time | Source | Destination | Protocol | Length | Info
Rows:
Row 1: 22 | 0.170888 | 199.0.0.154 | 199.0.0.46 | TCP | 54 | 3389 → 51549 [ACK] Seq=2634 Ack=671 Win=63219 Len=0
Row 2: 23 | 0.175966 | 199.0.0.46 | 199.0.0.154 | TLSv1.2 | 97 | Application Data
Row 3: 24 | 0.192083 | 199.0.0.154 | 199.0.0.46 | TLSv1.2 | 104 | Application Data
Row 4: 25 | 0.192155 | 199.0.0.154 | 199.0.0.46 | TCP | 54 | 3389 → 51549 [ACK] Seq=2634 Ack=764 Win=63126 Len=0
Row 5: 26 | 0.199961 | 199.0.0.46 | 199.0.0.154 | TLSv1.2 | 97 | Application Data
Row 6: 27 | 0.216014 | 199.0.0.154 | 199.0.0.46 | TLSv1.2 | 104 | Application Data
Row 7: 28 | 0.216086 | 199.0.0.154 | 199.0.0.46 | TCP | 54 | 3389 → 51549 [ACK] Seq=2634 Ack=857 Win=63044 Len=0
Row 8: 29 | 0.231972 | 199.0.0.46 | 199.0.0.154 | TLSv1.2 | 104 | Application Data
Row 9: 30 | 0.234013 | HewlettP_a1:30:ee | Broadcast | ARP | 60 | Who has 199.0.0.203? Tell 199.0.0.32
Row 10: 31 | 0.248019 | 199.0.0.46 | 199.0.0.154 | TLSv1.2 | 104 | Application Data
Row 11: 32 | 0.248100 | 199.0.0.154 | 199.0.0.46 | TCP | 54 | 3389 → 51549 [ACK] Seq=2634 Ack=957 Win=62933 Len=0
Row 12: 33 | 0.304092 | 199.0.0.46 | 199.0.0.154 | TLSv1.2 | 104 | Application Data
Row 13: 34 | 0.320037 | 199.0.0.154 | 199.0.0.46 | TCP | 54 | 3389 → 51549 [ACK] Seq=2634 Ack=1043 Win=62847 Len=0
Row 14: 35 | 0.320114 | 199.0.0.154 | 199.0.0.46 | TLSv1.2 | 97 | Application Data
Data: The packet list displays network traffic data. Key entries include TCP and TLSv1.2 communications between 199.0.0.154 and 199.0.0.46, and a notable ARP broadcast (packet 30) from 'HewlettP_a1:30:ee' asking 'Who has 199.0.0.203? Tell 199.0.0.32'. Packet 28 has an overlaid number '7'. The packet details pane shows truncated information for Frame 22, Ethernet II, Internet Protocol Version 4, and Transmission Control Protocol.
Key Values: IP addresses: 199.0.0.154, 199.0.0.46, 199.0.0.203, 199.0.0.32, Protocols: TCP, TLSv1.2, ARP, MAC address: HewlettP_a1:30:ee, Ports: 3389, 51549, Packet count: 14387
Context: This figure illustrates a network packet capture, showing various network communications and highlighting a suspicious ARP request that could indicate an attempt to discover active IP addresses on the network.
**FIGURE**: Untitled
Description: A cropped section of the network packet analyzer screenshot, focusing on specific packet details from packet number 27 to 35. It shows the 'No.', 'Time', 'Source', 'Destination', 'Protocol', 'Length', and 'Info' columns. The ARP broadcast packet (No. 30) is clearly visible, requesting 'Who has 199.0.0.203? Tell 199.0.0.32'.
Table Structure:
Headers: No. | Time | Source | Destination | Protocol | Length | Info
Rows:
Row 1: 27 | 0.216014 | 199.0.0.46 | 199.0.0.154 | TLSv1.2 | 104 | Application Data
Row 2: 28 | 0.216086 | 199.0.0.154 | 199.0.0.46 | TLSv1.2 | 104 | Application Data
Row 3: 29 | 0.231972 | 199.0.0.46 | 199.0.0.154 | TLSv1.2 | 104 | Application Data
Row 4: 30 | 0.234013 | HewlettP_a1:30:ee | Broadcast | ARP | 60 | Who has 199.0.0.203? Tell 199.0.0.32
Row 5: 31 | 0.248019 | 199.0.0.46 | 199.0.0.154 | TLSv1.2 | 104 | Application Data
Row 6: 32 | 0.248100 | 199.0.0.154 | 199.0.0.46 | TCP | 54 | 3389 → 51549 [ACK] Seq=2634 Ack=957 W
Row 7: 33 | 0.304092 | 199.0.0.46 | 199.0.0.154 | TLSv1.2 | 104 | Application Data
Row 8: 34 | 0.320037 | 199.0.0.154 | 199.0.0.46 | TCP | 54 | 3389 → 51549 [ACK] Seq=2634 Ack=1043 Win
Row 9: 35 | 0.320114 | 199.0.0.154 | 199.0.0.46 | TLSv1.2 | 97 | Application Data
Data: The cropped table shows a sequence of network packets. Packet 30 is an ARP broadcast from 'HewlettP_a1:30:ee' to 'Broadcast' with the info 'Who has 199.0.0.203? Tell 199.0.0.32'. Other packets are TLSv1.2 and TCP communications between 199.0.0.46 and 199.0.0.154.
Key Values: Packet 30: ARP broadcast for 199.0.0.203, Source MAC: HewlettP_a1:30:ee, Target IP: 199.0.0.203, Responder IP: 199.0.0.32
Context: This cropped figure provides a detailed view of the network packets, specifically highlighting the ARP broadcast that is indicative of a user attempting to discover if a particular IP address (199.0.0.203) is in use, as discussed in the accompanying text.
🎴 بطاقات تعليمية للمراجعة
عدد البطاقات: 4 بطاقة لهذه الصفحة
ما هو الغرض من رسالة ARP التي تظهر في نتائج التقاط الحزم والتي تحمل المعلومات 'Who has 199.0.0.203? Tell 199.0.0.32'؟
الإجابة: هي محاولة لاكتشاف ما إذا كان عنوان بروتوكول الإنترنت 199.0.0.203 قيد الاستخدام على الشبكة، حيث يطلب الجهاز المرسل (الذي يستخدم عنوان 199.0.0.32) معرفة من يمتلك العنوان 199.0.0.203.
الشرح: رسالة ARP هذه هي طلب استعلام (ARP Request) يُبث على الشبكة للتحقق من نشاط عنوان IP معين، وهو أسلوب يمكن استخدامه في عمليات المسح الاستطلاعي للشبكة.
تلميح: فكر في وظيفة بروتوكول ARP الأساسية وكيف يمكن استخدامها لأغراض استطلاعية.
التصنيف: تفكير ناقد | المستوى: صعب
ما هي المخاطر الأمنية المحتملة إذا نجح شخص في اكتشاف أن عنوان IP معين (مثل 199.0.0.203) غير قيد الاستخدام على الشبكة؟
الإجابة: يمكن للمتسلل المحتمل استخدام عنوان بروتوكول الإنترنت هذا غير المستخدم للاتصال بالشبكة والانتحال أو تنفيذ هجمات أخرى.
الشرح: اكتشاف العناوين غير النشطة يسمح للمهاجم بتبني أحدها وانتحال هوية جهاز شرعي، مما يسهل عليه التحرك داخل الشبكة دون أن يلفت الانتباه.
تلميح: فكر في كيفية استغلال عنوان غير مستخدم للدخول إلى الشبكة دون اكتشاف.
التصنيف: تفكير ناقد | المستوى: متوسط
ما هي الأدوات أو التقنيات المذكورة بشكل غير مباشر في النص والتي يستخدمها محللو الأمن لرصد النشاط المريب؟
الإجابة: أداة التقاط وتحليل حزم الشبكة (مثل Wireshark)، حيث تظهر لوحة قائمة الحزمة ونتائج الالتقاط.
الشرح: يشير النص إلى 'لوحة قائمة الحزمة' و 'نتائج الالتقاط' وهي مصطلحات مرتبطة بأدوات تحليل الحزم (Packet Sniffers/Analyzers) المستخدمة في مراقبة وفحص حركة مرور الشبكة.
تلميح: انتبه إلى المصطلحات المتعلقة بمراقبة حركة مرور الشبكة وتحليلها.
التصنيف: مفهوم جوهري | المستوى: سهل
ما هو النشاط المريب الذي يمكن اكتشافه في الشبكة من خلال تحليل حزم بروتوكول ARP، كما هو موضح في مثال تحليل الحزم؟
الإجابة: جهاز يرسل بيانات دون عرض الوجهة، ويتنصت على الأجهزة الأخرى، ويحاول اكتشاف ما إذا كان عنوان IP معين (مثل 199.0.0.203) قيد الاستخدام عبر إرسال طلبات ARP (Who has...?). إذا لم يتم اكتشاف هذا النشاط، يمكن للمتسلل استخدام عنوان IP غير مستخدم للاتصال بالشبكة.
الشرح: يشرح النص كيف أن طلبات ARP التي تبحث عن عناوين IP قد تشير إلى محاولة استطلاع للشبكة (reconnaissance) من قبل جهة غير مصرح بها لتحديد العناوين النشطة أو الشاغرة، وهو خطوة أولى محتملة لهجوم.
تلميح: ركز على الغرض من رسالة ARP التي تسأل 'من يملك عنوان IP معين؟' وكيف يمكن استغلال هذه المعلومة.
التصنيف: مفهوم جوهري | المستوى: متوسط