Wireshark Nedir ? Nasıl Kullanılır ?

Wireshark Nedir ? Nasıl Kullanılır ?
Wiresharkla ilk tanıştığım andan beri nedense hayranlığımın olduğu bir yazılım oldu ve en sevdiğim analiz yazılımıdır diyebilirim.
Kısacası Wireshark’dan bahsedecek olursak açık kaynaklı paket analiz yazılımıdır, bilgisayarımıza bağlı olan ethernet kartlarındaki bütün TCP/IP verilerini analiz etmemize yardımcı olur ve daha önceden kaydedilmiş olan network trafiklerinide incelemesini sağlayabilirsiniz.
Kurulumu basittir ve bu site üzerinden işletim sisteminize uygun sürümü bulabilirsiniz.
Wireshark Link : https://www.wireshark.org/#download
Not : Wireshark’ı Windows işletim sistemize kurduğumuzda WinPcaP’ ile beraber gelir ve bu araç Ethernet kartı üzerinden ağı izlemeye yardımcı olur.

Wireshark’ın Özellikleri
– Önceki ismi Etherealdir ve GPL lisansıyla dağıtılır.
– Unix/Linux ve Windows işletim sistemlerinde kullanılabilir.
– Yerel ağdaki paketleri tutar ve ayrıntılı olarak protokol bilgileride dahil olmak üzere bizlere görüntüler.
– Yakalamış olduğu paketleri kaydedebilir.
– Oluşturacağınız kriterlere göre paket arama ve filtreleme yapabilirsiniz.
– Filtreleme sayesinde paketleri renklere ayırır ve kategorileştirir.
– İstatistikleri bizim apacağımız ayarlar ile bizlere sunar.
– Protokoller için şifre çözme desteği vardır.

Bu protokoller ;
1- IPsec, Internet Protocol Security (İnternet Güvenlik Protokolü)
2- ISAKMP, Internet Security Association and Key Management Protocol (İnternet Bağ ve Şifre Yönetim Protokolü)
3- SSL, Secure Sockets Layer (Emniyetli Yuva Katmanı)
4- TLS, Transport Layer Security (Taşıma Katmanı Güvenliği)
5- WEP, Wired Equivalent Privacy (Kabloya Eşdeğer Mahremiyet)
6- WPA, Wi-Fi Protected Access (Wi-Fi Korumalı Erişim)
7- WPA2, Wi-Fi Protected Access 2 (Wi-Fi Korumalı Erişim 2)
8- Kerberos
9- SNMPv3, Simple Network Management Protocol Version 3 (Basit Ağ Yönetim Protokolü Sürüm 3)
,

Not: Wireshark diğer paket yakalama yazılımlarının formatlarındaki dosyalarıda açma özelliğine sahiptir.
Wireshark Arayüzü

Wireshark’ın arayüzüne giriş yapıyoruz.

Yukarıdaki ekran resminde gördüğünüz üzere bağlantılarımı bana göstermektedir.
Düz çizgi ile ilerleyen kısımlarda sinyal olmadığı anlamına gelmektedir diğer dalgalı bir biçimde ilerleyenlerde sinyal olduğu anlamına gelmektedir ve bu bağlantıların trafiğini izleyebiliriz.
Ben Wİ-Fİ 3 adlı bağlantımı izleyeceğim üzerine çift tıklayıp bağlantığı dinlemeye başlıyoruz.

Karşımıza çıkan ekranda 3 ayrı alan bulmaktadır bu alanları göreceğiniz üzere numaralandırdım.
En başta belirtmek istediğim ‘ Apply a display filter kısmından protokol adı yazarak filtreleme işlemini gerçekleştirebiliriz.
1- Trafiği izlediğimiz alandır ve head kısmında yazan ;
No: Sıralama
Time : Milisaniye olarak geçen zaman
Source : Paketin kaynağı ( Gönderilen )
Destination : Hedef ( Alıcı Adres )
Protocol : Hangi protokole ait olduğu
Length : Paketin Boyutu
İnfo : Paket’e dair bilgilendirme gösterildiği kısım

2-Seçmiş olduğumuz trafiğe dair geniş olarak bize bilgilerin gösterildiği alandır.

Yazan bilgilerin yanındaki ok işaretine tıklayarak geniş bir şekilde bilgileri analiz edebilirsiniz.

3- Hexadecimal ve ASCII ‘ye olan karşılıklarının olduğu alandır.
Bu terimler bilgisayar dünyasının temel terimleridir yolun başında olan arkadaşlarımız için terimleri kısaca anlatayım ama tavsiyem sayı sistemlerini şimdiden iyi öğrenmeleridir.

Kısaca hexadecimal ve ASCII terimlerini açıklayacak olursak

ASCII : Klavye üzerinde gördüğümüz tüm tuşlardaki karakterlerin bi sayısal karşılığı vardır ve o sayısal karşılıklarında bir binary karşılığı vardır. Klavye üzerindeki bütün sayısal ve binary karşılıkları barındıran tablo ASCII ( American Standart Code for Information Interchange) dur.

Hexadecimal : On altılık düzenin aldığı değerler vardır ve bu değerler ; 0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F’dir,
0’dan F’ye kadar olan karakterlerin toplam adedi 16 olduğu için on altılık düzen denilmektedir

Örnek: IT nin binary karşılığı 01001001 01010100 dır.

Aşağıda örnek kod tablosu mevcuttur.

Şimdi ki işlemimizde ise yakaladığımız paketleri süzme işlemine geçeceğiz.

Ağı izlemeye başlamıştık ve sizlere head kısmında yazanların anlamını yukarıdaki kısıma anlatmıştım. Source (kaynak) bölümünde tarafımıza iletilen paketin IP adresi bilgisi vardır ve Destination (hedef) kısmı ise paketin ulaştığı adres bilgisini içerir.
Paketler eğer 2.katman yani Veri katmanından geliyor ise source bölümünde makineye ait olan mac (fiziksel) adres , destination bölümündede gönderilen makineye dair mac adresi bilgisi olur.

Örnek olarak bi paketi inceleyelim :

297 numaralı pakette :

Source IP : 192.168.1.1
Destination IP : 192.168.1.100
Protocol : TCP

Yukarıda gördüğünüz üzere kısaca paket gönderimine dair bilgileri elde ettik.
Eğer paketin üstüne çift tıklarsanız size farklı bir pencerede pakete dair daha detaylı bilgiler sunar ve aynı bilgileri aşağı kısımdaki ‘ Protocol Tree Window ‘ kısmındanda görebilirsiniz.
Bölümlerin yanındaki ‘ >’ simgesine tıklayarak bilgiler detaylı bir durumda elde edilmiş olur.

Bu bölüm packet metada (üstveri paketi) bölümüdür şimd bu bölümde bize ne bilgiler verdiğini inceleyeceğiz.

Örnek olarak paketin iletilme tarihini aşağıda görebilirsiniz ve pakete dair bize boyut,sıra ve kullanılan protokolünde bilgisini vermektedir.

Şimdi sıra 2. Katmana yani data (veri) katmanına geldi ve bu katmanda protokol olarak Ethernet kullanılmaktadır.
Aşağıda kaynak ve hedef sisteme dair mac adreslerinin bilgisi verilmiştir.

Şimdi inceleyeceğimiz kısım network (ağ) katmanıdır ve protokol olarak IP kullanılmaktadır.
Bu kısımda ise kaynak ve hedef IP adresi, IP adresinin kullanım versiyonu ve header boyutu bilgileri bizlere sunulur.

Bir diğer aşamlarda ise karşımıza trasnport ve application katmanına dair bilgiler karşımıza çıkmaktadır.

Transport katmanında gelen ve giden port numaraları bu katmana dair header bilgileri yer alır.

Paketleri Filtreleme

İstenilen paketleri görüntülemek için kaynak ve hedef paketlerdeki IP veya protokol çeşidine göre filtreleme işlemini gerçekleştirebiliriz.

Sarı ile işaretlenmiş olan kısım istenilen filtrelemenin yazılacağı bölümdür.

Örnek olarak IP adresine dair filtreleme işlemini gerçekleştiriyorum.
ip.addr == 192.168.1.26 parametresini kullanıyoruz.

Filtreleme’ye protokol adını yazarakta filtreleme işlemini gerçekleştirebiliriz.
‘tcp’ yazarak aşağıdaki ekran görüntüsünde görüldüğü üzere filtreleme sağlanmıştır.

Örnekler :
1-IP Adresi 192.168.1.26 olmayan bilgisayarın source veya destination olarak filter işlemi yapma
İp.addr !=192.168.1.26
2- Source ve Destination IP adresine göre filtreleme
İp.src == 192.168.1.26
İp.dst == 192.168.1.26
3-Ethernet adresine göre filtreleme yapma
eth.addr == 00:2c:4c:6a:07:1a,
4-Kaynak ethernet adresine göre
eth.src == 00:2c:4c:6a:07:1a

Örnek olarak filtreleme şeklide bu şekildedir daha araştırarak çeşitli parametrelerle geniş filtrelemelerde sağlayabiliriz ve bir çok özelliğide kendisinde barındırmaktadır.

Share This:

avatar
Emre Ferit Aslantaş hakkında 23 makale
IT Pro

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*