تخطَّ إلى المحتوى

الالتقاط من بطاقة الشبكة

يعرض لك الالتقاط عبر البروكسي “الجزء من حركة المرور المار عبر البروكسي”؛ أما الالتقاط من بطاقة الشبكة فيعرض لك كل ما يعبر بطاقة شبكة هذا الجهاز: DNS وQUIC والألعاب وإنترنت الأشياء وكل أنواع البروتوكولات الخاصة. أي شيء يعبر بطاقة الشبكة يكون أمامك مباشرة. ويذهب إلى ما هو أبعد بكثير من أدوات الالتقاط التقليدية: فحركة HTTPS التي تلتقطها لم تعد كومة من النص المشفّر، بل شيئًا يمكنك فك تشفيره، وإسناده لمن أرسله، وتفكيكه لفهمه.


1. كيف يختلف عن الالتقاط عبر البروكسي

Section titled “1. كيف يختلف عن الالتقاط عبر البروكسي”

الطريقتان متكاملتان، ولكل منهما حالات استخدامها:

الالتقاط عبر البروكسي الالتقاط من بطاقة الشبكة
طريقة الاعتراض توجيه حركة المرور عبر بروكسي + الوثوق بشهادة التقاط الحزم الخام على بطاقة الشبكة مباشرة، دون تغيير أي إعدادات ودون تثبيت شهادة
ما يمكنك رؤيته الحركة التي مرت عبر البروكسي، وأغلبها HTTP(S) كل الحركة على بطاقة الشبكة: DNS وQUIC وICMP وARP وأي TCP / UDP…
نص صريح افتراضيًا؟ نص صريح افتراضيًا نص مشفّر افتراضيًا؛ “فك تشفير هذا البرنامج” بنقرة واحدة عند الحاجة (انظر أدناه)
الأنسب لـ تصحيح واجهات HTTP البرمجية، إعادة الكتابة / إعادة الإرسال عرض الحركة غير المرتبطة بـHTTP، رؤية كل ما يفعله برنامج على الشبكة، تجنّب أي تغييرات على مستوى النظام

باختصار: الالتقاط عبر البروكسي “دقيق”، والالتقاط من بطاقة الشبكة “شامل”. إن أردت معرفة العناوين التي يتصل بها تطبيق ما بصمت والبروتوكولات التي يستخدمها بالضبط، فالالتقاط من بطاقة الشبكة يكشف كل ذلك.


2. كيف يختلف عن أدوات الالتقاط التقليدية من بطاقة الشبكة

Section titled “2. كيف يختلف عن أدوات الالتقاط التقليدية من بطاقة الشبكة”

تستطيع أدوات الالتقاط التقليدية من بطاقة الشبكة انتزاع الحزم، لكن حركة HTTPS التي تلتقطها تظل كومة من النص المشفّر، كما أنها لا تعرف أي برنامج أرسلها. يبني الالتقاط من بطاقة الشبكة على قدرة “الالتقاط” ويضيف إليها “الفهم والتتبع”:

  • يمكنه فك التشفير: تحويل حركة HTTPS الخاصة ببرنامج ما من نص مشفّر إلى نص صريح بنقرة واحدة (انظر القسم 4)، بدلًا من الاكتفاء بمشاهدة النص المشفّر.
  • يعرف من أرسلها: يُوسم كل تدفق بـعملية المصدر الخاصة به، فتحدده بلمحة حتى في بيئة صاخبة.
  • يمكنه تتبع خلفية الطرف الآخر: انقر على عنوان IP بعيد للانتقال مباشرة إلى ملف المضيف (الجهة المالكة / الموقع الجغرافي / الشهادة).
  • يمكنه تفكيكه وفهمه: تُفكك البيانات الملتقَطة تلقائيًا، ويُكتشف تنسيقها، وتُعرض بشكل منظم، ويمكن فك ترميز البروتوكولات الخاصة باستخدام فك ترميز مخصص (انظر القسم 6).
  • يمكنه أيضًا تغذية Wireshark: عندما تحتاج تحليلًا احترافيًا حزمة حزمة، وجّه الحركة مباشرة إلى Wireshark بنقرة واحدة، حيث تُفتح كنص صريح، حتى على جهاز آخر.

  1. اختر بطاقة شبكة: تُدرج جميع بطاقات الشبكة في الجهاز تلقائيًا، مع اختيار البطاقة النشطة حاليًا افتراضيًا.
  2. اضبط مرشحًا قبل البدء إن أردت: لالتقاط الحركة التي تهمك فقط، أدخل مرشح التقاط. توجد إعدادات مسبقة شائعة مدمجة (TLS / HTTP / QUIC / DNS / TCP / UDP / ICMP / ARP / SSH وغيرها)، تُطبَّق بنقرة واحدة.

    يُضبط مرشح الالتقاط قبل البدء ولا يمكن تغييره أثناء تشغيل الالتقاط؛ فهو يحدد “ما الذي يُلتقط” على مستوى بطاقة الشبكة. لتضييق النطاق داخل البيانات الملتقطة فعلًا، استخدم “مرشح العرض” في عرض الحزم (انظر القسم 6).

جلسة جديدة · الالتقاط من بطاقة الشبكة: اختر بطاقة شبكة وابدأ الالتقاط، دون أي إعدادات تغيّرها ودون تثبيت شهادة؛ يمكن بعدها فك تشفير حركة HTTPS الملتقطة لبرنامج ما بنقرة واحدة عبر “فك تشفير هذا البرنامج”


4. رؤية النص الصريح: ثلاث خطوات تحوّل النص المشفّر إلى نص صريح

Section titled “4. رؤية النص الصريح: ثلاث خطوات تحوّل النص المشفّر إلى نص صريح”

الحركة الملتقطة من بطاقة الشبكة نص مشفّر افتراضيًا (تُلتقط كما هي، دون اعتراض في المنتصف). رؤية النص الصريح تأتي على ثلاث مستويات، يسند كل منها ما قبله:

  1. فك التشفير التلقائي: البرامج الشائعة كالمتصفحات وتطبيقات Electron تكون عادة نصًا صريحًا لحظة التقاطها، دون أي خطوات إضافية.
  2. “فك تشفير هذا البرنامج” اليدوي: للبرامج التي لا يمكن فك تشفيرها تلقائيًا، انقر على “فك تشفير هذا البرنامج”، واخترها، فيُفك تشفير حركتها المشفّرة. يُدعم فك تشفير عدة برامج دفعة واحدة.
  3. مفتاحان تعزيزيان:
    • إعادة تشغيل البرنامج: أطلق الهدف من جديد بحيث تُفك تشفير حركته المشفّرة حتى في بدايته المبكرة مع بقية الحركة.
    • معالجة العمليات الفرعية بنقرة واحدة: بعض البرامج ترسل وتستقبل الحركة عبر عمليات فرعية؛ فعّل هذا الخيار لـمعالجة العمليات الفرعية أيضًا، فلا يفوتك شيء.

البرامج الشائعة تكون نصًا صريحًا لحظة التقاطها، وبالنسبة للباقي، نقرة يدوية واحدة على “فك تشفير هذا البرنامج” تفك تشفيرها أيضًا. تحويل النص المشفّر إلى نص صريح عادة أمر بخطوة واحدة.


5. عرضان: حزمة حزمة، وحسب الاتصال

Section titled “5. عرضان: حزمة حزمة، وحسب الاتصال”
  • عرض الحزم: اطّلع على كل حزمة واحدة تلو الأخرى، تمامًا كأداة التقاط احترافية. اختر إطارًا لرؤية معلومات الإطار، والبايتات الخام، وشجرة البروتوكول موسّعة طبقة طبقة. يدعم مربع البحث مرشحات عرض بأسلوب Wireshark (مثل tcp.port==443، tls.handshake)، مع تحقق مباشر من الصياغة أثناء الكتابة، فتحدد أي شيء ضمن كامل البيانات الملتقطة.

عرض الحزم: حزم حقيقية ملتقطة من بطاقة الشبكة، محددة بمرشح العرض dns؛ اختر إطارًا لرؤية معلومات الإطار وشجرة البروتوكول موسّعة طبقة طبقة

  • عرض الاتصالات: يعيد تجميع الحزم المتناثرة في اتصالات منفردة، واستخدم “تتبع التدفق” لرؤية إرسال واستقبال اتصال بأكمله من البداية للنهاية؛ ويمكن أيضًا عرض HTTP / DNS وغيرها بشكل منظم.

عرض الاتصالات: الحزم المتناثرة أُعيد تجميعها في اتصالات منفردة، مع تصنيف DNS / TLS / HTTP / TCP الخام كل حسب بروتوكوله، فترى بلمحة من يتحدث هذا الجهاز إليه

  • إجراءات النقر بالزر الأيمن: انقر بالزر الأيمن على أي إطار لـعرض هذا الاتصال فقط / تصفية إلى هذا الاتصال (تضييق العرض إلى هذا الاتصال وحده)، أو وضع علامة على الإطار، أو نسخ عنوان المصدر / الوجهة، أو بالنسبة لعنوان IP البعيد، انتقل مباشرة إلى عرض ملف المضيف / ping / فحص المنافذ لمتابعة الخطوة التالية من تحقيقك.
  • العرضان مترابطان بروابط متبادلة (الانتقال من اتصال إلى حزمه الخام، أو من حزمة إلى متابعة الاتصال بأكمله).
  • الإحصاءات: ملخصات عبر ثلاثة جداول (تسلسل البروتوكول هرميًا، المحادثات، النقاط الطرفية)، اختياريًا على نتائج المرشح الحالي فقط، لرؤية سريعة لمن يستهلك النطاق الترددي ومن يتحدث إليه.
  • الإيقاف المؤقت في أي وقت: أوقف الالتقاط مؤقتًا للاطلاع على ما التقطته حتى الآن، وأخذ فكرة عامة، ثم المتابعة. في الجلسات الطويلة لا تضطر لتكرار البدء والإيقاف.

6. بعد الالتقاط: فهمه وفك ترميزه

Section titled “6. بعد الالتقاط: فهمه وفك ترميزه”

يمكن عرض القطعة الواحدة من البيانات بطرق متعددة، ويقوم المحرك بفك ترميزها لك تلقائيًا. هذه القدرة مشتركة بين كل طرق الالتقاط وتنطبق هنا أيضًا:

  • طرق عرض متعددة: منظم، نص منسّق، سداسي عشري، واكتشاف تلقائي، قابلة للتبديل باستقلالية لكل اتجاه. راجع الفحص وفك الترميز للتفاصيل.
  • اكتشاف تلقائي لترميزات كثيرة: يُفكك محتوى HTTP المفكوك التشفير تلقائيًا لـgzip / brotli / deflate / zstd (بما في ذلك طبقات متعددة متراكبة)، ويُكتشف JSON وXML والنماذج وprotobuf / gRPC وplist تلقائيًا وتُنسّق، مع معاينة الصور / الصوت / الفيديو مضمّنة. راجع الفحص وفك الترميز للتفاصيل.
  • فك ترميز مخصص: للبروتوكولات الخاصة / الداخلية، اكتب نصًا برمجيًا قصيرًا يعلّمه كيفية قراءتها، بتقسيم الأطر، وإزالة الترويسات، وفك الضغط إلى بنية قابلة للقراءة. راجع فك ترميز البروتوكولات المخصصة للتفاصيل.

7. التعامل مع HTTP/3: التقاط وفك تشفير حركة QUIC أيضًا

Section titled “7. التعامل مع HTTP/3: التقاط وفك تشفير حركة QUIC أيضًا”

عدد متزايد من التطبيقات ينتقل إلى HTTP/3 (QUIC)، وكان QUIC دائمًا صعب الالتقاط وصعب فك التشفير على مستوى بطاقة الشبكة، حيث تتوقف أدوات كثيرة عاجزة. يعمل الالتقاط من بطاقة الشبكة بالاتجاهين: يمكنه جعل التطبيق الهدف يتراجع بسلاسة من HTTP/3 إلى اتصال عادي بحيث يصبح قابلًا للالتقاط وفك التشفير مجددًا (يستعيد وضعه تلقائيًا عند إيقاف الجلسة، دون التأثير على استخدام التطبيق الطبيعي لاحقًا)، وعندما تتوفر المفاتيح يمكنه أيضًا فك تشفير QUIC / HTTP/3 مباشرة وعرض النص الصريح.

هذا يعني أنه حتى بالنسبة للتطبيقات التي انتقلت بالكامل إلى HTTP/3، لا يزال بإمكانك رؤية تبادلاتها بنص صريح، بدلًا من التحديق عاجزًا في كومة من QUIC لا يمكنك لمسها.


8. تسليم سلس إلى Wireshark لتحليل معمّق

Section titled “8. تسليم سلس إلى Wireshark لتحليل معمّق”

عندما تحتاج تحليلًا احترافيًا حزمة حزمة بمستوى Wireshark، لا حاجة للتصدير ذهابًا وإيابًا بين أداتين: وجّه حركة هذه الجلسة مباشرة إلى Wireshark بنقرة واحدة، حيث تُفتح كنص صريح دون أي إعداد إضافي. تُحقن مفاتيح فك التشفير تدريجيًا، مباشرة مع الحركة، فتُملأ المفاتيح المتأخرة الوصول دون فقدان أي إطارات.

بل يمكنه إرسال الحركة إلى Wireshark على جهاز آخر، حيث يتولى هذا الجهاز الالتقاط وفك التشفير بينما يركز الآخر على التحليل، وهو ملائم طبيعيًا للتعاون عن بُعد واستكشاف الأعطال المشترك.

  • التصدير إلى ملف أيضًا: صدّر ملف .pcapng مع مفاتيح فك التشفير مضمّنة بنقرة واحدة (افتحه في Wireshark وسيكون نصًا صريحًا) أو ملف HAR قياسي، وسلّمه لزميل ليفتحه مباشرة دون أي إعداد آخر.

فتحصل بذلك على أفضل ما في العالمين: “فك التشفير + إسناد العملية + ملف المضيف بنقرة واحدة” من هذه الأداة، إلى جانب التحليل المعمّق حزمة حزمة من Wireshark.


9. حالات استخدام نموذجية

Section titled “9. حالات استخدام نموذجية”
  • عرض الحركة غير المرتبطة بـHTTP: DNS وQUIC والألعاب وإنترنت الأشياء وكل أنواع البروتوكولات الخاصة. كل ما لا يستطيع البروكسي رؤيته، تستطيع بطاقة الشبكة رؤيته.
  • فهم كل ما يفعله برنامج على الشبكة: العناوين التي يتصل بها فعليًا، والبروتوكولات التي يستخدمها، وما إذا كانت له أي اتصالات “صامتة”.
  • عدم الرغبة في تغيير بروكسي النظام أو تثبيت شهادة: التقط مباشرة، دون أي تدخل.
  • معالجة البروتوكولات الخاصة: بعد التقاط التدفق الخام، استخدم فك ترميز مخصص لإعادته إلى بنية قابلة للقراءة.
  • التسليم إلى Wireshark لتحليل معمّق: عندما تحتاج تحليلًا احترافيًا حزمة حزمة، وجّهه مباشرة، حيث يُفتح كنص صريح دون أي إعداد إضافي.

العودة إلى الالتقاط عبر البروكسي · ذو صلة: الفحص وفك الترميز · فك ترميز البروتوكولات المخصصة · تفاصيل المضيف