تحليل حركة الشبكة والتحقيق باستخدام Wireshark

قمتُ بإجراء تحليل معمّق لحزم الشبكة الملتقطة (PCAP) باستخدام Wireshark وTshark لتحديد مصادر الحركة المشبوهة، استرجاع جلسات HTTP/FTP، واستخراج الملفات والـ payloads ذات الصلة. شمل العمل مراحل: التقاط الحزم أو استلام ملف PCAP، فلترة البروتوكولات ذات الأولوية، تتبّع الجلسات (Follow TCP/HTTP Stream)، استخراج الملفات والـ artifacts، وتحديد مؤشرات الاختراق (IOC) مثل عناوين IP، نطاقات DNS مشبوهة، وملفات تنفيذية مشبوهة. أعددت تقريرًا فنيًا يتضمن: ملخصًا تنفيذيًا، جدول زمني للأحداث، قائمة IOCs قابلة للاستخدام في أنظمة الحماية، لقطات شاشة للفلترات المستخدمة، وأوامر Tshark/Ngrep لتكرار العمليات. أرفقت توصيات عملية لمنع تكرار الحادث وتحسين إعدادات المراقبة (مثل قواعد IDS/IPS وتقارير احتجاز الحزم). الأدوات المستخدمة Wireshark · Tshark · tcpdump · NetworkMiner · Zeek (Bro) · Suricata (optional) · Wireshark plugins · Python scripts (for parsing/export)