ICMP, Trace, Wireshark
בחלק זה של המדריך תזכו להצצה מהירה לכלי ניתוח הרשת המרכזיים שבהם תשתמשו בשטח:
החל מהפקודה הבסיסית Ping למדידת זמני השהיה,
דרך Traceroute לזיהוי מסלולי מעבר,
ועד למנתח העמוק Wireshark הפותח את כל שכבות המידע.
ניגע גם בכלי אוטומטי כמו mtr
ובסורקי יציאות מתקדמים כגון Nmap לבדיקות אבטחה.
בנוסף נפרט כיצד להפעיל מצבי ICMP ייחודיים,
לעקוב אחרי TCP handshake
ולפרש הודעות RST ו-FIN.
הטיפים שבסיכום יעזרו לכם לאבחן תקלות, להתמודד עם חסימות חומת-אש,
ולבנות תמונת רשת מקיפה בפחות זמן.
זוהי הקדמה ממוקדת שתסלול לכם דרך ללימוד מעמיק בפרקים הבאים ולשפר את מיומנויותיכם.
סקירה כללית
בשנים האחרונות חלה התפתחות מואצת בתחום הרשתות והאבטחה, ודבר זה משפיע גם על תהליכי מיון מקצועיים וצבאיים.
לצורך הבנת תעבורת רשת, נהוג להסתייע בכלים מגוונים כגון Ping למדידת זמני השהיה, Traceroute לזיהוי מסלולי מעבר, ועד למנתח העמוק Wireshark הפותח את כל שכבות המידע.
ניגע גם בכלי אוטומטי כמו mtr ובסורקי יציאות מתקדמים כגון Nmap לבדיקות אבטחה.
בנוסף נפרט כיצד להפעיל מצבי ICMP ייחודיים, לעקוב אחרי TCP handshake ולפרש הודעות RST ו-FIN.
הטיפים שבסיכום יעזרו לכם לאבחן תקלות, להתמודד עם חסימות חומת-אש, ולבנות תמונת רשת מקיפה בפחות זמן.
זוהי הקדמה ממוקדת שתסלול לכם דרך ללימוד מעמיק בפרקים הבאים ולשפר את מיומנויותיכם.
כלי Ping ופקודות ICMP
Ping הוא כלי בסיסי לבדיקת זמינות של יעד ברשת ולמדידת זמן תגובה המכונה RTT (Round Trip Time).
הפקודה שולחת חבילת ICMP Echo Request לכתובת היעד, וכאשר מתקבלת Echo Reply, ניתן לדעת שהיעד זמין.
הערך שנקרא RTT מצביע על השהיית הרשת ומשמש לאיתור בעיות כמו אובדן חבילות או עיכובים גבוהים.
במערכת Linux, פקודת Ping ללא פרמטר ממשיכה לרוץ ללא הפסקה.
כדי להפסיק אותה, לוחצים Ctrl + C, והסטטיסטיקות מוצגות באופן מסכם.
אם רוצים להגדיר מראש כמות מסוימת של שליחות, אפשר להשתמש בפרמטר -c ולאחר מכן לציין את מספר הבקשות.
לפעמים נרצה להשתמש בכלים מתקדמים יותר, כגון hping, המאפשרים לשלוט בדגלים ובסוג ההודעה של ICMP.
כלים אלו מסייעים במיוחד בבדיקות אבטחה או תרחישים ספציפיים המצריכים התאמות מיוחדות בפרמטרים של החבילה.
במידה שאנו עובדים ברשת IPv6, לעיתים משתמשים בפקודה ping6 המיישמת את אותו רעיון באמצעות ICMPv6 Echo Request ו־Echo Reply.
כלי Traceroute, tracert וmtr
Traceroute בLinux וtracert בWindows הם כלים דומים המטפלים באיתור מסלול המקור ליעד באמצעות ערכי TTL מתחלפים.
כל Hop מייצג תחנת ביניים (נתב) במהלכם נשלחות עד שלוש חבילות לבדיקה.
Traceroute סטנדרטי שולח לרוב חבילות UDP או ICMP, אך קיימת גם גרסת TCP traceroute שיכולה לעקוף חסימות בחומות אש.
כלי mtr (My Traceroute) משלב בין Ping לTraceroute, ומציג בצורה מתמשכת אובדן חבילות וזמני תגובה לכל Hop.
כלי Wireshark
Wireshark הוא הכלי המתקדם ביותר לניתוח תעבורת רשת.
בכדי להתחיל לכידה (Capture), בוחרים ממשק רשת והכלי מציג חבילות בזמן אמת.
לאחר עצירת הלכידה ניתן לחקור כל חבילה בשכבות המודל, מכתובות MAC ועד לשכבת אפליקציה כגון HTTP.
באמצעות מסנני תצוגה, למשל icmp.type == 3 לבחינת Destination Unreachable, ניתן לאתר חסימות ומגבלות.
פונקציית Follow TCP Stream מאפשרת לראות את כל רצף השיחה בקליק.
פרוטוקול TCP וניתוח Handshake
תהליך Handshake בTCP מתרחש בשלושה שלבים עיקריים: SYN, SYN-ACK ו-ACK.
בWireshark ניתן לסנן לפי tcp.port == {מספר פורט} או להשתמש ב-Statistics > TCP Stream Graph לניתוח גרפי של זמני תגובה ודגלים.
חבילת RST מצביעה על סגירה מיידית, לרוב עקב שגיאה או התערבות חומת אש.
חסימות, אבחון ושילוב כלים
כאשר Ping נכשל אך Traceroute מצליח, ניתן להסיק שחומת אש חוסמת ICMP Echo Request בעוד UDP או TCP עוברים.
שילוב Ping, Traceroute, mtr וWireshark מספק תמונת רשת מלאה ויכולת ניתוח עמוקה של כל חבילה.
סיכום
במדריך זה קיבלנו סקירה רחבה על כלי ניתוח רשת כגון Ping, Traceroute, Wireshark וmtr.
חלק מהכלים זמינים בלקסיקון דומה בין Linux ל-Windows, וחלקם דורשים התאמות בפרמטרים.
שימוש נכון בכלים אלו מאפשר אבחון תקלות, מדידת ביצועים, זיהוי חסימות וניתוח עמוק של תעבורה.
ההיכרות עם מסננים, מצבי סגירה ודגלי פרוטוקול משפרת משמעותית את יכולת ניתוח הרשת שלכם.