Wireshark Nedir ? Nasıl Kullanılır? Wireshark’la ilk tanıştığım andan beri nedense hayranlığımın olduğu bir yazılım oldu ve en sevdiğim analiz yazılımıdır diyebilirim.
Kısacası Wireshark’dan bahsedecek olursak açık kaynaklı paket analiz yazılımıdır, bilgisayarımıza bağlı olan Ethernet kartlarındaki bütün TCP/IP verilerini analiz etmemize yardımcı olur ve daha önceden kaydedilmiş olan network trafiklerin ide incelemesini sağlayabilirsiniz.
Kurulumu basittir ve bu site üzerinden işletim sisteminize uygun sürümü bulabilirsiniz.
Wireshark Link : https://www.wireshark.org/#download
Not : Wireshark’ı Windows işletim sistemimize kurduğumuzda WinPcaP’ ile beraber gelir ve bu araç Ethernet kartı üzerinden ağı izlemeye yardımcı olur.
Wireshark’ın Özellikleri
- Önceki ismi Ethereal’dir ve GPL lisansıyla dağıtılır.
- Unix/Linux ve Windows işletim sistemlerinde kullanılabilir.
- Yerel ağdaki paketleri tutar ve ayrıntılı olarak protokol bilgileri de dahil olmak üzere bizlere görüntüler.
- Yakalamış olduğu paketleri kaydedebilir.
- Oluşturacağınız kriterlere göre paket arama ve filtreleme yapabilirsiniz.
- Filtreleme sayesinde paketleri renklere ayırır ve kategorileştirir.
- İstatistikleri bizim yapacağımız ayarlar ile bizlere sunar.
- Protokoller için şifre çözme desteği vardır.
Bu protokoller ;
1.IPsec, Internet Protocol Security (İnternet Güvenlik Protokolü)
2.ISAKMP, Internet Security Association and Key Management Protocol (İnternet Bağ ve Şifre Yönetim Protokolü)
3.SSL, Secure Sockets Layer (Emniyetli Yuva Katmanı)
4.TLS, Transport Layer Security (Taşıma Katmanı Güvenliği)
5.WEP, Wired Equivalent Privacy (Kabloya Eşdeğer Mahremiyet)
6.WPA, Wi-Fi Protected Access (Wi-Fi Korumalı Erişim)
7.WPA2, Wi-Fi Protected Access 2 (Wi-Fi Korumalı Erişim 2)
8.Kerberos
9.SNMPv3, Simple Network Management Protocol Version 3 (Basit Ağ Yönetim Protokolü Sürüm 3)
Not: Wireshark diğer paket yakalama yazılımlarının formatlarındaki dosyaları da açma özelliğine sahiptir.
Resim-1
Wireshark Arayüzü
Wireshark’ın arayüzüne giriş yapıyoruz.
Resim-2
Yukarıdaki ekran resminde gördüğünüz üzere bağlantılarımı bana göstermektedir.
Düz çizgi ile ilerleyen kısımlarda sinyal olmadığı anlamına gelmektedir diğer dalgalı bir biçimde ilerleyenlerde sinyal olduğu anlamına gelmektedir ve bu bağlantıların trafiğini izleyebiliriz.
Ben Wİ-Fİ 3 adlı bağlantımı izleyeceğim üzerine çift tıklayıp bağlantıyı dinlemeye başlıyoruz.
Resim-3
Karşımıza çıkan ekranda 3 ayrı alan bulmaktadır bu alanları göreceğiniz üzere numaralandırdım.
En başta belirtmek istediğim “Apply a Display Filter” kısmından protokol adı yazarak filtreleme işlemini gerçekleştirebiliriz.
1.Trafiği izlediğimiz alandır ve Head kısmında yazan ;
No: Sıralama
Time : Milisaniye olarak geçen zaman
Source : Paketin kaynağı ( Gönderilen )
Destination : Hedef ( Alıcı Adres )
Protocol : Hangi protokole ait olduğu
Length : Paketin Boyutu
Info : Paket’e dair bilgilendirme gösterildiği kısım
Resim-4
2.Seçmiş olduğumuz trafiğe dair geniş olarak bize bilgilerin gösterildiği alandır.
Yazan bilgilerin yanındaki ok işaretine tıklayarak geniş bir şekilde bilgileri analiz edebilirsiniz.
Resim-5
3.Hexadecimal ve ASCII ‘ye olan karşılıklarının olduğu alandır.
Bu terimler bilgisayar dünyasının temel terimleridir yolun başında olan arkadaşlarımız için terimleri kısaca anlatayım ama tavsiyem sayı sistemlerini şimdiden iyi öğrenmeleridir.
Kısaca Hexadecimal ve ASCII terimlerini açıklayacak olursak;
ASCII : Klavye üzerinde gördüğümüz tüm tuşlardaki karakterlerin bir sayısal karşılığı vardır ve o sayısal karşılıklarında bir Binary karşılığı vardır. Klavye üzerindeki bütün sayısal ve Binary karşılıkları barındıran tablo ASCII (American Standart Code for Information Interchange) dur.
Hexadecimal : On altılık düzenin aldığı değerler vardır ve bu değerler ; 0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F’dir,
0’dan F’ye kadar olan karakterlerin toplam adedi 16 olduğu için on altılık düzen denilmektedir
Örnek: IT’nin Binary karşılığı 01001001 01010100 dır.
Aşağıda örnek kod tablosu mevcuttur.
Resim-6
Şimdi ki işlemimizde ise yakaladığımız paketleri süzme işlemine geçeceğiz.
Ağı izlemeye başlamıştık ve sizlere Head kısmında yazanların anlamını yukarıdaki kısımda anlatmıştım. Source (kaynak) bölümünde tarafımıza iletilen paketin IP adresi bilgisi vardır ve Destination (hedef) kısmı ise paketin ulaştığı adres bilgisini içerir.
Paketler eğer 2.katman yani Veri katmanından geliyor ise Source bölümünde makineye ait olan Mac (fiziksel) Address , Destination bölümünde de gönderilen makineye dair Mac adresi bilgisi olur.
Örnek olarak bir paketi inceleyelim:
Resim-7
297 numaralı pakette :
Source IP : 192.168.1.1
Destination IP : 192.168.1.100
Protocol : TCP
Yukarıda gördüğünüz üzere kısaca paket gönderimine dair bilgileri elde ettik.
Eğer paketin üstüne çift tıklarsanız size farklı bir pencerede pakete dair daha detaylı bilgiler sunar ve aynı bilgileri aşağı kısımdaki ‘ Protocol Tree Window ‘ kısmındanda görebilirsiniz.
Bölümlerin yanındaki ‘ >’ simgesine tıklayarak bilgiler detaylı bir durumda elde edilmiş olur.
Resim-8
Bu bölüm Packet Metada (üst veri paketi) bölümüdür şimdi bu bölümde bize ne bilgiler verdiğini inceleyeceğiz.
Örnek olarak paketin iletilme tarihini aşağıda görebilirsiniz ve pakete dair bize boyut, sıra ve kullanılan protokolünde bilgisini vermektedir.
Resim-9
Şimdi sıra 2. Katmana yani data (veri) katmanına geldi ve bu katmanda protokol olarak Ethernet kullanılmaktadır.
Aşağıda kaynak ve hedef sisteme dair Mac adreslerinin bilgisi verilmiştir.
Resim-10
Şimdi inceleyeceğimiz kısım network (ağ) katmanıdır ve protokol olarak IP kullanılmaktadır.
Bu kısımda ise kaynak ve hedef IP adresi, IP adresinin kullanım versiyonu ve Header boyutu bilgileri bizlere sunulur.
Resim-11
Bir diğer aşamalarda ise karşımıza Transport ve Application katmanına dair bilgiler karşımıza çıkmaktadır.
Transport katmanında gelen ve giden port numaraları bu katmana dair Header bilgileri yer alır.
Paketleri Filtreleme
İstenilen paketleri görüntülemek için kaynak ve hedef paketlerdeki IP veya protokol çeşidine göre filtreleme işlemini gerçekleştirebiliriz.
Sarı ile işaretlenmiş olan kısım istenilen filtrelemenin yazılacağı bölümdür.
Resim-12
Örnek olarak IP adresine dair filtreleme işlemini gerçekleştiriyorum.
Ip.addr == 192.168.1.26 parametresini kullanıyoruz.
Resim-13
Filtreleme’ye protokol adını yazarakta filtreleme işlemini gerçekleştirebiliriz.
‘TCP’ yazarak aşağıdaki ekran görüntüsünde görüldüğü üzere filtreleme sağlanmıştır.
Resim-14
Örnekler :
1. IP Adresi 192.168.1.26 olmayan bilgisayarın Source veya Destination olarak filter işlemi yapma
Ip.addr !=192.168.1.26
2. Source ve Destination IP adresine göre filtreleme
Ip.src == 192.168.1.26
Ip.dst == 192.168.1.26
3. Ethernet adresine göre filtreleme yapma
Eth.addr == 00:2c:4c:6a:07:1a,
4. Kaynak ethernet adresine göre
Eth.src == 00:2c:4c:6a:07:1a
Örnek olarak filtreleme şeklide bu şekildedir daha araştırarak çeşitli parametrelerle geniş filtrelemelerde sağlayabiliriz ve bir çok özelliğide kendisinde barındırmaktadır.
Bu konuyla ilgili sorularınızı alt kısımda bulunan yorumlar alanını kullanarak sorabilirsiniz.
Referanslar
TAGs : wireshark, wireshark analiz, wireshark indir, wireshark download, wireshark ayarlari, wireshark network analizi, wireshark ile analiz, wireshark data toplamak, wireshark nasil kullanılır, wireshark nedir, wireshark detayli anlatim, wireshark ornek
