تحليل حركة بيانات الشبكة باستخدام واير شارك - كتاب الأمن السيبراني - الصف 12 - الفصل 1 - المملكة العربية السعودية

سؤال س:7: التقاط وتحليل حركة بيانات الشبكة: افتح واير شارك (Wireshark) وحدد واجهة الشبكة الخاصة بك، وابدأ بالتقاط الحزم. تصفح الإنترنت لبضع دقائق، عن طريق فتح بعض مواقع الويب، ومشاهدة مقطع فيديو، وما إلى ذلك. توقف عن التقاط الحزم واحفظ البيانات. حلل حركة البيانات، واستخرج بعض المعلومات مثل المصدر Port/IP (بروتوكول الإنترنت / المنفذ) والوجهة Port/IP (بروتوكول الإنترنت / المنفذ) و Capture time (وقت الالتقاط).

الإجابة: 7. المصدر: 192.168.1.1 0:53422 الوجهة: 142.250.185 .78:443 الوقت: 10:22:15.12 3

خطوات الحل:

1. **الخطوة 1 (المفهوم):** عند استخدام برنامج واير شارك (Wireshark)، يقوم البرنامج بالتقاط كل حزمة بيانات (Packet) تمر عبر واجهة الشبكة. كل حزمة تحتوي على معلومات أساسية في الترويسة (Header) تشمل عناوين المرسل والمستقبل والمنافذ المستخدمة وطابعاً زمنياً دقيقاً.
2. **الخطوة 2 (التطبيق):** بعد إيقاف عملية الالتقاط، نقوم بفحص قائمة الحزم. نختار إحدى الحزم الناتجة عن تصفح الويب، وننظر إلى الأعمدة الخاصة بـ Source (المصدر) و Destination (الوجهة) و Time (الوقت). سنجد أن عنوان IP المصدر يمثل جهازنا، والوجهة تمثل خادم الموقع الذي زرناه، والمنفذ 443 يشير عادةً إلى تصفح آمن (HTTPS).
3. **الخطوة 3 (النتيجة):** بناءً على تحليل الحزمة المختارة، نجد البيانات التالية: - **المصدر:** 192.168.1.1 (المنفذ: 53422) - **الوجهة:** 142.250.185.78 (المنفذ: 443) - **وقت الالتقاط:** 10:22:15.123

سؤال س:8: تحليل طلب بروتوكول اقتران العناوين (ARP): التقط صورة جديدة للشبكة المحلية (Ethernet) الخاصة بك. قم بتصفية نتائج بروتوكول اقتران العناوين (ARP) بكتابة "arp" في شريط filter (التصفية). حلل النتائج. كم عدد طلبات بروتوكول اقتران العناوين (ARP) الموجودة؟ وهل يمكنك تحديد عناوين التحكم بالنفاذ للوسط (MAC) للمصدر والوجهة؟

الإجابة: س:8: عدد طلبات ARP: 2 المصدر: MAC 3C:52:82:AC B:CD:EF الوجهة: MAC FF:FF:FF:FF:FF:FF

خطوات الحل:

1. **الخطوة 1 (المفهوم):** بروتوكول ARP يستخدم لمعرفة عنوان الماك (MAC Address) المرتبط بعنوان IP معين. لتسهيل البحث في واير شارك، نستخدم شريط التصفية (Filter) ونكتب "arp" لإظهار هذه الحزم فقط واستبعاد بقية حركة مرور الشبكة.
2. **الخطوة 2 (التطبيق):** بمراجعة قائمة الحزم المفلترة، نعدّ عدد الأسطر الظاهرة لمعرفة عدد الطلبات. ثم نفتح تفاصيل الحزمة (Packet Details) ونوسع قسم (Ethernet II) لرؤية عناوين الماك الحقيقية للمرسل والمستقبل. غالباً ما يكون عنوان الوجهة في طلبات ARP هو عنوان بث (Broadcast) يظهر كأصناف من حرف F.
3. **الخطوة 3 (النتيجة):** من خلال التحليل، تبين وجود: - **عدد الطلبات:** 2 - **المصدر (MAC):** 3C:52:82:AC:B:CD:EF - **الوجهة (MAC):** FF:FF:FF:FF:FF:FF (عنوان بث)

سؤال س:9: الكشف عن نشاط غير طبيعي في الشبكة بواسطة واير شارك (Wireshark): حمل ملف Scan_results.pcapng الذي سيمنحه لك معلمك. استخدم خيار Expert Information (معلومات الخبير) للعثور على أي مشكلات محتملة أو نشاطات غير اعتيادية في الشبكة. ابحث عن أي ملاحظات غير طبيعية وحاول تحديد سببها، وهل توجد إشارة على وجود تهديد أمني محتمل؟

الإجابة: س:9: الملاحظات: TCP حزم SYN كثيرة السبب: مسح منافذ تهديد أمني: نعم

خطوات الحل:

1. **الخطوة 1 (المفهوم):** أداة (Expert Information) في واير شارك هي وسيلة ذكية لتلخيص الأخطاء أو السلوكيات غير الطبيعية. في الحالات الأمنية، تكرار إرسال حزم معينة (مثل حزم SYN) بشكل مكثف دون إكمال الاتصال يعد مؤشراً قوياً على وجود نشاط مشبوه.
2. **الخطوة 2 (التطبيق):** عند فحص ملف Scan_results، نلاحظ وجود كم هائل من حزم TCP التي تحمل علامة (SYN) موجهة إلى منافذ متعددة في وقت قصير جداً. هذا السلوك لا يشبه التصفح الطبيعي، بل يشبه محاولة استكشاف المنافذ المفتوحة في الجهاز المستهدف.
3. **الخطوة 3 (النتيجة):** الاستنتاج من التحليل: - **الملاحظات:** وجود حزم TCP SYN بكثرة. - **السبب:** عملية مسح للمنافذ (Port Scanning). - **هل يوجد تهديد أمني؟** نعم، لأن مسح المنافذ هو الخطوة الأولى التي يقوم بها المهاجمون لاكتشاف الثغرات.

ما هي الخطوات الأساسية لتحليل حركة بيانات الشبكة باستخدام Wireshark؟

الإجابة: 1. فتح Wireshark وتحديد واجهة الشبكة وبدء التقاط الحزم. 2. تصفح الإنترنت لبضع دقائق (فتح مواقع ويب، مشاهدة فيديو). 3. التوقف عن التقاط الحزم وحفظ البيانات. 4. تحليل حركة البيانات واستخراج معلومات مثل المصدر Port/IP والوجهة Port/IP ووقت الالتقاط.

الشرح: تشرح هذه الخطوات العملية المنهجية لاستخدام أداة Wireshark في مراقبة وتحليل حركة مرور الشبكة، وهي مهارة أساسية في الأمن السيبراني.

تلميح: ركز على التسلسل المنطقي للعمليات، بدءاً من الإعداد وانتهاءً بالتحليل.

التصنيف: صيغة/خطوات | المستوى: متوسط

كيف يمكن تحليل طلبات بروتوكول ARP باستخدام Wireshark؟

الإجابة: 1. التقاط صورة جديدة للشبكة المحلية (Ethernet). 2. تصفية النتائج لطلبات ARP بكتابة 'arp' في شريط التصفية (filter). 3. تحليل النتائج لتحديد عدد الطلبات وعناوين MAC للمصدر والوجهة.

الشرح: يعد تحليل طلبات ARP مهماً لاكتشاف الأنشطة غير الطبيعية أو هجمات التسمم (ARP spoofing) على الشبكة المحلية.

تلميح: تذكر أن ARP يربط بين عناوين IP وعناوين MAC على الشبكة المحلية.

التصنيف: صيغة/خطوات | المستوى: متوسط

ما هي خطوات استخدام خاصية 'Expert Information' في Wireshark للكشف عن نشاط غير طبيعي؟

الإجابة: 1. تحميل ملف الالتقاط (مثل Scan_results.pcapng). 2. استخدام خيار 'Expert Information' (معلومات الخبير). 3. البحث عن أي مشكلات محتملة أو نشاطات غير اعتيادية. 4. محاولة تحديد سبب الملاحظات غير الطبيعية ووجود تهديد أمني محتمل.

الشرح: تعتبر خاصية 'Expert Information' أداة تلقائية في Wireshark تساعد المحلل على التركيز على الحزم التي قد تشير إلى أخطاء أو تهديدات أو سلوك غير عادي في الشبكة.

تلميح: هذه الخاصية تساعد في تحليل تلقائي وتصنيف للحزم التي قد تشير إلى مشاكل.

التصنيف: صيغة/خطوات | المستوى: صعب

ما هو الهدف من تحليل حركة بيانات الشبكة باستخدام أداة مثل Wireshark؟

الإجابة: الهدف هو مراقبة حركة المرور على الشبكة، وفهم الأنماط الطبيعية، واستخراج معلومات تقنية (مثل عناوين IP والمنافذ)، والكشف عن أي نشاط غير طبيعي أو تهديدات أمنية محتملة.

الشرح: يعد تحليل حركة الشبكة حجر الزاوية في العديد من مهام الأمن السيبراني، بما في ذلك اكتشاف التسلل، والتحقيق في الحوادث، وفهم سلوك الشبكة.

تلميح: فكر في المهام الأساسية لأخصائي الأمن السيبراني المتعلقة بمراقبة الشبكة.

التصنيف: مفهوم جوهري | المستوى: سهل