1. Wireshark Sniffer–‫ראשון‬ ‫שיעור‬–‫הממשק‬ ‫הכרת‬
‫מדריך‬‫הספר‬ ‫בהתוויות‬ ‫הוכן‬ ‫זה‬Computer Networking: A Topdown Approach, 4th edition,2007 J.F. Kurose,
K.W. Ross.‫ה‬ ‫תוכנת‬ ‫של‬ ‫הממשק‬ ‫עם‬ ‫העבודה‬ ‫של‬ ‫בסיסית‬ ‫הכרה‬ ‫לתת‬ ‫היא‬ ‫זה‬ ‫מדריך‬ ‫מטרת‬-Wireshark.
‫הקדמה‬
‫א‬ ‫עתיק‬ ‫סיני‬ ‫פתגם‬:‫ומר‬"“Tell me and I forget. Show me and I remember. Involve me and I understand.
‫ה‬ ‫מטרת‬-Sniffer‫פרוטוקולי‬ ‫על‬ ‫העמוס‬ ‫התיאורטי‬ ‫הידע‬ ‫כל‬ ‫את‬ ‫להוריד‬ ‫למעשה‬ ‫הוא‬TCP/IP‫הדברים‬ ‫כיצד‬ ‫לחניכים‬ ‫ולהראות‬
‫ולחקו‬ ‫לשחק‬ ‫להם‬ ‫לתת‬ ‫ואפילו‬ ‫באמת‬ ‫עובדים‬‫באמ‬ ‫מתרחשים‬ ‫הדברים‬ ‫איך‬ ‫בעצמם‬ ‫ר‬‫מנסים‬ ‫שאנחנו‬ ‫להמחשות‬ ‫מעבר‬ ‫ת‬
‫או‬ ‫ולוח‬ ‫טוש‬ ‫עם‬ ‫לעשות‬‫אפילו‬‫ה‬ ‫עם‬-Packet Tracer‫עם‬ ‫העבודה‬ ‫שילוב‬ ‫על‬ ‫ממליצים‬ ‫אנו‬ .Wireshark‫כבר‬ ‫בסיסית‬ ‫בצורה‬
‫ה‬ ‫מודל‬ ‫את‬ ‫מכירים‬ ‫שהחניכים‬ ‫אחרי‬-OSI‫ו‬-TCP/IP‫שונות‬ ‫אפליקציות‬ ‫על‬ ‫בשיעורים‬ ‫זה‬ ‫בכלי‬ ‫להשתמש‬ ‫מאוד‬ ‫רצוי‬ ,‫וכמובן‬ ,
‫בפרוטוקול‬ ‫של‬.‫זה‬
‫ה‬ ‫מהו‬-Sniffer‫ה‬ ‫ומיהו‬-Wireshark?
.‫ברשת‬ ‫העוברת‬ ‫התעבורה‬ ‫כל‬ ‫של‬ "‫"מסניף‬ ‫למעין‬ ‫התוכנה‬ ‫את‬ ‫מדמה‬ ‫למעשה‬ ‫הזה‬ ‫הכלי‬ ‫של‬ ‫שמו‬‫של‬ ‫רבים‬ ‫סוגים‬ ‫קיימים‬
Sniffers‫ה‬ ,-Sniffer‫של‬ ‫החינמי‬Wireshark‫ה‬ ‫תוכן‬ ‫את‬ ‫מעתיק‬ ‫אשר‬ ‫פאסיבי‬ ‫תוכנתי‬ ‫כלי‬ ‫הוא‬-Frames‫במחשב‬ ‫העוברים‬
‫מרי‬ ‫אתם‬ ‫עליו‬‫מעתיק‬ ‫רק‬ ‫והוא‬ ‫היות‬ ,‫תבחרו‬ ‫אותו‬ ‫מסוים‬ ‫רשת‬ ‫מכרטיס‬ ‫אותו‬ ‫צים‬,‫של‬ ‫שידור‬ ‫או‬ ‫קבלה‬ ‫נפגעים‬ ‫לא‬‫הודעות‬
TCP/IP‫ה‬ .‫כרגיל‬ ‫לעבוד‬ ‫ממשיך‬ ‫והמחשב‬ ‫השונות‬-Wireshark‫ה‬ ‫את‬ ‫פותח‬-Frames‫את‬ ‫לנו‬ ‫מציג‬ ‫ולמעשה‬ ‫מעתיק‬ ‫הוא‬ ‫אותם‬
‫פר‬ ‫של‬ ‫רבות‬ ‫בתכונות‬ ‫לצפות‬ ‫לנו‬ ‫שמאפשר‬ ‫מה‬ ,‫השונות‬ ‫ברמות‬ ‫תוכנן‬‫ה‬ ‫וטוקול‬-TCP/IP.
,‫באיור‬ ‫לראות‬ ‫שניתן‬ ‫כפי‬Sniffer:‫מרכיבים‬ ‫משני‬ ‫למעשה‬ ‫מורכב‬
1.Packet Capture–‫בקיצור‬ ‫או‬pcap‫לבצע‬ ‫תפקידו‬ ,
‫ה‬ ‫של‬ ‫העתקה‬-Frame‫שעובר‬.‫הרשת‬ ‫כרטיס‬ ‫דרך‬‫לרב‬,
‫המחשבים‬‫איתם‬‫באמצעות‬ ‫לרשת‬ ‫יחוברו‬ ‫נעבוד‬
Ethernet LAN‫של‬ ‫תהיה‬ ‫ההעתקה‬ ‫ומעשה‬Ethernet
Frame‫כ‬‫כל‬ ‫של‬ ‫העתקה‬ ‫ולל‬Encapsulated Date
.‫שבתוכו‬
2.Packet Analyzer–‫ה‬ ,‫זה‬ ‫תוכן‬ ‫קבלת‬ ‫לאחר‬-Analyzer
‫ברמות‬ ‫השונים‬ ‫לפרוטוקולים‬ ‫המידע‬ ‫את‬ ‫מחלק‬ ‫למעשה‬
‫כל‬ ‫של‬ ‫העמוק‬ ‫תוכנו‬ ‫את‬ ‫מכיר‬ ‫ולמעשה‬ ‫השונות‬
‫פרוטוקול‬–‫כ‬‫ך‬‫תוכלו‬ ‫לדוגמא‬‫לצפות‬‫ב‬‫ה‬ ‫תכונות‬-TCP
‫ה‬ ‫לעומת‬-UDP‫ה‬ ‫חקירת‬ ‫ע"י‬-Sequence Numbering‫של‬ ‫השונות‬ ‫הפקודות‬ ‫את‬ ‫להכיר‬ ‫או‬HTTP‫כמו‬Get,Post
.‫הלאה‬ ‫וכן‬
‫שה‬ ‫לומר‬ ‫ניתן‬ ‫עקרוני‬ ‫באופן‬-Wireshark‫הוא‬Analyzer‫ב‬ ‫שמשתמש‬-pcap.‫שלנו‬ ‫המחשב‬ ‫על‬ ‫מייצרים‬ ‫שאנחנו‬‫כמה‬ ‫להלן‬
:‫שימושיים‬ ‫לינקים‬
‫התוכנה‬ ‫להורדת‬-http://www.wireshark.org/download.html‫הנקרא‬ ‫כלי‬ ‫אצלכם‬ ‫יותקן‬ ‫ההתקנה‬ ‫במשך‬
WinPCap‫ה‬ ‫למעשה‬ ‫שהוא‬-Packet Capture.
‫התוכנה‬ ‫עם‬ ‫לעבודה‬ ‫המדריך‬-http://www.wireshark.org/docs/wsug_html_chunked/
‫עזר‬ ‫דפי‬-pages-http://www.wireshark.org/docs/man/
‫ותשובות‬ ‫שאלות‬-http://www.wireshark.org/faq.html

2. ‫ה‬ ‫ממשק‬ ‫הכרת‬-Wireshark
‫ה‬ ‫ייפתח‬ ,‫התוכנה‬ ‫טעינת‬ ‫עם‬-GUI.‫תראו‬ ‫אותם‬ ‫מהחלונות‬ ‫אחד‬ ‫באף‬ ‫מידע‬ ‫יופיע‬ ‫לא‬ ‫התוכנה‬ ‫בפתיחת‬ ,‫עקרוני‬ ‫באופן‬ .
1.Commands Menu–‫ב‬ ‫לדוגמא‬ ‫התוכנה‬ ‫באמצעות‬ ‫לבצע‬ ‫שניתן‬ ‫אפשרויות‬ ‫מספר‬ ‫מכילה‬ ‫זו‬ ‫שורה‬-File‫נוכל‬
‫קובץ‬ ‫לשמור‬pcap‫ה‬ ‫בתפריט‬ ‫כן‬ ‫כמו‬ ,‫בעבר‬ ‫ששמרנו‬ ‫קובץ‬ ‫לטעון‬ ‫או‬-Capture‫ש‬ "‫"העתקה‬ ‫להתחיל‬ ‫ניתן‬‫ה‬ ‫ל‬-
Frame‫קובץ‬ ‫(יצירת‬pcap.‫במחשב‬ ‫הקיימים‬ ‫הרשת‬ ‫מממשקי‬ ) ‫זמני‬
2.Packet-listing window–‫ה‬ ‫כל‬ ‫רץ‬ ‫בסדר‬ ‫יופיעו‬ ‫זה‬ ‫בחלון‬-Frames‫ה‬ ‫העתיק‬ ‫אותן‬-pcap‫מהם‬ ‫אחד‬ ‫כל‬ ‫לגבי‬ .
‫ה‬ ‫כתובת‬ ‫מה‬ ,‫התקבל‬ ‫הוא‬ ‫מתי‬ ‫גם‬ ‫לראות‬ ‫ניתן‬-IP‫מעמיק‬ ‫מעט‬ ‫מידע‬ ‫וכן‬ ‫הפרוטוקול‬ ‫מהו‬ ,‫היעד‬ ‫ושל‬ ‫המקור‬ ‫של‬
‫י‬.‫כותרתה‬ ‫על‬ ‫לחיצה‬ ‫ידי‬ ‫על‬ ‫אלו‬ ‫מעמודות‬ ‫אחד‬ ‫כל‬ ‫פי‬ ‫על‬ ‫סינון‬ ‫לבצע‬ ‫ניתן‬ .‫ההודעה‬ ‫סוג‬ ‫על‬ ‫ותר‬
3.Packet-header details window–‫בבחירת‬Frame‫מתוך‬Packet-listing window‫פירוט‬ ‫זה‬ ‫בשדה‬ ‫יופיע‬ ,
‫אותו‬ ‫של‬ ‫הרמות‬ ‫כל‬ ‫לגבי‬Capture‫ה‬ ‫מרמת‬ ‫החל‬-Frame‫ה‬ ‫ועד‬-Application‫ללחו‬ ‫ניתן‬ ,‫ץ‬‫ה‬ ‫על‬-+‫מידע‬ ‫ולקבל‬
‫ב‬ ‫נוספות‬ ‫שדות‬ ‫על‬ ‫מידע‬ ‫לקבל‬ ‫לדוגמא‬ ‫יותר‬ ‫מפורט‬-Frame‫בפרוטוקול‬ ‫הספציפית‬ ‫ההודעה‬ ‫בתוכן‬ ‫לצפות‬ ,HTTP
.‫הלאה‬ ‫וכן‬.
4.Packet-contents window–‫מצי‬‫ג‬‫את‬‫כל‬‫ה‬ ‫תוכן‬-Frame‫או‬ ‫בינארי‬ ‫בצופן‬ ‫השונות‬ ‫הרמות‬ ‫כל‬ ‫על‬HEX.
‫ה‬ ‫בחלון‬ ‫מסוימת‬ ‫רמה‬ ‫בבחירת‬-Packet-head‫ה‬ ‫בתוך‬ ‫הרלוונטי‬ ‫החלק‬ ‫יודגש‬-Packet-contents.
5.Filter field–‫וביצענו‬ ‫במידה‬Capture‫של‬ ‫מאוד‬ ‫גדול‬ ‫למספר‬Frames‫אם‬ ‫לדוגמא‬ ,‫זה‬ ‫בשדה‬ ‫סינון‬ ‫לבצע‬ ‫ניתן‬ ,
‫ה‬ ‫לפרוטוקול‬ ‫שקשור‬ ‫מה‬ ‫את‬ ‫רק‬ ‫מחפשים‬ ‫אנחנו‬-ARP‫ב‬ ‫זאת‬ ‫לרשום‬ ‫נוכל‬ ,-Filter‫ה‬ ‫את‬ ‫רק‬ ‫ולקבל‬-Frames
‫לפרוטוק‬ ‫הרלוונטיים‬.‫זה‬ ‫ול‬

3. Getting Started
1..)‫כלשהו‬ ‫לאתר‬ ‫גלישה‬ ‫לבצע‬ ‫מצליחים‬ ‫אתם‬ ‫כי‬ ‫(וודאו‬ ‫להשתמש‬ ‫נוהגים‬ ‫אתם‬ ‫בו‬ ‫הדפדפן‬ ‫את‬ ‫פתחו‬
2.‫ה‬ ‫תוכנת‬ ‫את‬ ‫פתחו‬-Wireshark‫חלון‬ ,‫ה‬-listing of captured packets‫אמורים‬ ‫אתם‬ ‫אותו‬‫לראות‬‫ריק‬ ‫יהיה‬
‫לחלוטי‬‫ן‬‫יצרנו‬ ‫ולא‬ ‫היות‬ ‫כלום‬ ‫יופיע‬ ‫לא‬ ‫כאמור‬ ‫תחילה‬ ,pcap.
3.‫ליצירת‬Capture‫התפריט‬ ‫ובתת‬ ,‫זה‬ ‫לתפריט‬ ‫כנסו‬ ,Options:‫הבא‬ ‫החלון‬ ‫את‬ ‫לכם‬ ‫לפתוח‬ ‫שאמור‬ ‫מה‬ ,
‫ל‬ ‫הקשורות‬ ‫שונות‬ ‫הגדרות‬ ‫להגדיר‬ ‫ניתן‬ ‫זה‬ ‫בחלון‬-Capture‫ה‬ ‫רק‬ ‫יעניינו‬ ‫זה‬ ‫בשלב‬ ‫אותנו‬ ,-Interface‫עליכם‬ ‫בו‬
.‫חקירה‬ ‫לבצע‬ ‫רוצים‬ ‫אתם‬ ‫עליו‬ ‫הרשת‬ ‫כרטיס‬ ‫את‬ ‫לבחור‬‫את‬ ‫הסירו‬ ‫כן‬ ‫כמו‬‫ה‬-v‫משדה‬Options‫תחת‬Hide
capture info dialog.
‫את‬ ‫להסיר‬ ‫עליכם‬ ,‫אלחוטי‬ ‫רשת‬ ‫בכרטיס‬ ‫ובחרתם‬ ‫במידה‬ ,‫לב‬ ‫שימו‬–v‫מהשורה‬
Capture packets in promiscuous mode.
4.‫כפתור‬ ‫על‬ ‫לחיצה‬ ‫עם‬Start‫ה‬ ‫של‬ ‫העתקה‬ ‫להתבצע‬ ‫תתחיל‬-Frame‫בשדות‬ ‫שיופיעו‬
.‫הרלוונטיים‬‫עם‬ ‫כן‬ ‫כמו‬ ,‫הראשי‬ ‫בחלון‬‫ה‬ ‫על‬ ‫לחיצה‬-Start‫כאן‬ ‫המופיע‬ ‫החלון‬ ‫יופיע‬
.‫שמאל‬ ‫בצד‬
‫כמה‬ ‫לראות‬ ‫ניתן‬ ‫זה‬ ‫בחלון‬Frames‫רוצים‬ ‫היינו‬ ‫אם‬ ‫נניח‬ ,‫פרוטוקול‬ ‫מכל‬ ‫הועתקו‬
‫לחקור‬ARP‫שליחת‬ ‫ע"י‬ ‫להתערב‬ ‫אפילו‬ ‫או‬ ‫ההקלטה‬ ‫את‬ ‫לבצע‬ ‫ממשיכים‬ ‫היינו‬ ,Ping
‫ב‬ ‫אחרת‬ ‫לתחנה‬ ‫שלנו‬ ‫מהמחשב‬-LAN‫פעולת‬ ‫לאלץ‬ ‫מנת‬ ‫על‬ARP‫ותנ‬ ‫שתוקלט‬.‫ותח‬
‫על‬ ‫נלחץ‬ ,‫לחקור‬ ‫שנרצה‬ ‫מה‬ ‫פי‬ ‫על‬ ‫אלמנטים‬ ‫מספיק‬ ‫שהופיעו‬ ‫לאחר‬Stop.
5.‫של‬ ‫העתקה‬ ‫מבצעים‬ ‫בעודכם‬Frame‫ה‬ ‫על‬ ‫לחצו‬-URL‫הבא‬-
-wireshark-labs/INTRO-http://gaia.cs.umass.edu/wireshark
file1.html‫מכן‬ ‫לאחר‬‫לחלוטין‬ ‫עלה‬ ‫שהאתר‬‫על‬ ‫לחצו‬Stop.
6.‫העתקות‬ ‫הראשי‬ ‫במסך‬ ‫יופיעו‬ ,‫שסיימתם‬ ‫לאחר‬Frame‫ה‬ ‫לראות‬ ‫שתוכלו‬ ‫כמו‬ .‫להקליט‬ ‫התוכנה‬ ‫שהצליחה‬ ‫רבות‬-
Frame‫ה‬ ‫שרת‬ ‫אל‬ ‫הודעות‬ ‫גם‬ ‫יהיו‬ ‫בינהם‬ ‫רבים‬ ‫מסוגים‬ ‫יהיו‬-gaia.cs.umass.edu.
7.‫הודעות‬ ‫את‬ ‫רק‬ ‫לחפש‬ ‫כדי‬http‫ל‬ ‫תוכלו‬‫ה‬‫ש‬‫שם‬ ‫לחצו‬ ,‫הסינון‬ ‫בשורת‬ ‫תמש‬http‫על‬ ‫מכן‬ ‫ולאחר‬Apply.

4. ‫א‬.‫ה‬ ‫הודעת‬ ‫את‬ ‫חפשו‬-Get‫ה‬ ‫שרת‬ ‫אל‬-HTTP?‫זו‬ ‫פקודה‬ ‫משמשת‬ ‫למה‬ ‫לנחש‬ ‫תוכלו‬ ‫הם‬ ,
‫ב‬.‫ה‬ ‫כתובת‬ ‫מהי‬-IP‫ה‬ ‫שרת‬ ‫של‬-HTTP‫שליחת‬ ‫ידי‬ ‫על‬ ‫זאת‬ ‫אמתו‬ ?‫נגשתם‬ ‫אליו‬Ping‫באמצעות‬ ‫זו‬ ‫כתובת‬ ‫אל‬
.‫שלכם‬ ‫המחשב‬
‫ג‬.‫ה‬ ‫כתובות‬ ‫מהם‬-MAC‫והיע‬ ‫המקור‬ ‫של‬‫ה‬ ‫מיהו‬ ?‫ד‬-MAC‫ב‬ ‫מופיע‬ ‫אשר‬-Source‫של‬Frame‫זאת‬ ‫אמתו‬ ?‫זה‬
‫הפקודה‬ ‫ידי‬ ‫על‬Arp –a.‫שלכם‬ ‫במחשב‬
‫ד‬.‫ה‬ ‫כתובות‬ ‫מהם‬-IP?‫וביעד‬ ‫במקור‬
‫ה‬.?‫התעבורה‬ ‫ברמת‬ ‫פרוטוקול‬ ‫איזה‬ ?‫האפליקציה‬ ‫ברמת‬ ‫שימוש‬ ‫נעשה‬ ‫פרוטוקול‬ ‫באיזה‬
‫ו‬.‫איזה‬Source Port‫מהו‬ ?‫זו‬ ‫בבקשה‬ ‫שלכם‬ ‫המחשב‬ ‫פתח‬Port?‫היעד‬
‫ז‬.‫פ‬ ‫איזה‬‫ה‬ ‫כתובת‬ ‫את‬ ‫לייבא‬ ‫כדי‬ ‫נדרש‬ ‫רוטוקול‬-IP‫ה‬ ‫שרת‬ ‫של‬-HTTP‫פי‬ ‫על‬ ‫סינון‬ ‫בצעו‬ ?‫גלשתם‬ ‫אליו‬
.‫זה‬ ‫פרוטוקול‬
‫ח‬.‫ה‬ ‫ידע‬ ‫כיצד‬ ?‫זה‬ ‫שירות‬ ‫את‬ ‫שמספק‬ ‫השרת‬ ‫כתובת‬ ‫מה‬-PC‫שרת‬ ‫כתובת‬ ‫את‬ ‫אמתו‬ ?‫זו‬ ‫בקשה‬ ‫לבצע‬ ‫שלכם‬
‫פקודת‬ ‫של‬ ‫הפלט‬ ‫עם‬ ‫זה‬ipconfig/all.‫עובדים‬ ‫אתם‬ ‫שעליו‬ ‫במחשב‬
‫ט‬.,‫הקודמת‬ ‫לשאלה‬ ‫בהמשך‬‫ברמה‬ ‫פרוטוקול‬ ‫איזה‬4‫המקור‬ ‫של‬ ‫הפורטים‬ ‫מספרי‬ ‫מהם‬ ‫וכן‬ ‫בשימוש‬ ‫היה‬
?‫זה‬ ‫לשרת‬ ‫שלכם‬ ‫מהמחשב‬ ‫הבקשה‬ ‫בשליחת‬ ‫והיעד‬‫איך‬ ?‫זה‬ ‫פרוטוקול‬ ‫של‬ ‫הבקשה‬ ‫הודעת‬ ‫נקראת‬ ‫איך‬
?‫הפרוטוקול‬ ‫פי‬ ‫על‬ ‫זו‬ ‫לבקשה‬ ‫התגובה‬ ‫נקראת‬
‫י‬.‫ה‬ ‫כתובות‬ ‫מהם‬ ‫כן‬ ‫כמו‬-MAC?'‫ב‬ ‫לשאלה‬ ‫לתשובתכם‬ ‫זהות‬ ‫הן‬ ‫האם‬ ?‫והיעד‬ ‫המקור‬ ‫של‬?‫הגיוני‬ ‫זה‬ ‫האם‬
‫יא‬.‫תפריט‬ ‫ידי‬ ‫על‬ ‫זה‬ ‫קובץ‬ ‫של‬ ‫שמירה‬ ‫בצעו‬File.