Wireshark ağ trafiğini analiz etmek için, ağda hareket eden veri paketlerini yakalayan ve görüntüleyen açık kaynaklı ücretsiz bir araçtır. Ethereal adıyla başladı ancak ticari marka sorunları nedeniyle Mayıs 2006’da Wireshark olarak yeniden adlandırıldı.
Wireshark Aracının En Önemli Özellikleri
-Kullanıcı dostu,
-Ücretsiz kullanılabilmesi,
-Geniş protokol desteği,
-Çoklu işletim sistemi desteği sağlaması, - Windows - Linux - MacOS
-Birçok kritere göre paket filtreleme desteği,
-Yakalanan paketlerin çeşitli formatlarda kaydedilebilmesi
-Çeşitli istatistikler oluşturabilmesi,
-Anlık olarak paket yakalayıp görüntüleyebilme gibi çok fazla dikkat çeken özelliği bulunmaktadır.
Wireshark Aracının Kullanım Alanları
-Protokol hatalarını çözümlemek,
-Paket analiz işlemleri,
-Ağ içerisindeki hataları tespit etmek,
-Ağ hakkındaki istatistikleri görüntüleyebilmek,
Canlı olarak veya elinizde bulunan pcap gibi formatlarda olan verileri görüntülemek,
Tersine mühendislik çalışmaları gibi birçok farklı konuda tercih edilen bir araçtır. v Wireshark Aracı İçin En Düşük Sistem Gereksinimleri Bu aracı bilgisayarınızda sağlıklı bir şekilde çalıştırabilmeniz için aşağıda belirtilen sistem gereksinimlerini karşılıyor olmanız gerekmektedir.
-400Mhz işlemci
-60 MB boş alan
-Promiscuous mode destekli bir ağ kartı
-WinPcapdriver
Wireshark Aracı İçin Kurulum Adımları
WireShark kurulumu için indirme adresi aşağıda bulunmaktadır. https://www.wireshark.org/download.html
Linux tabanlı sistemlerde kurulum:
- DEB-basedsistemler: apt-get install wireshark
- RPM-basedsistemler: rpm –ivh wireshark*.rpm
-Windows sistemlerde kurulum: Gerekli dosya indirildikten sonra kurulum yönergeleri sayesinde kurulabilir.
Wireshark Aracının Açılış Arayüzünü
Aşağıda örnek açılış sayfası ve ilgili alanların numaralandırılarak anlatımı yer almaktadır.
1) Daha önce açılan dosyalar gösterilmektedir.
2) Ağ trafiğini izlemek amacı ile kullanılabilecek ağ kartları gösterilmektedir.
3) Ağ trafiğini izlemek amacı ile kullanılabilecek ağ kartları için paket yakalamaya başladığında kullanabileceği filtre tanımlanabilmektedir.
4) Sık sık kullanılabilecek işlemlerin kısayol atamalarının bulunduğu yerdir.
5) Ana menünün bulunduğu kısımdır.
6) Ağ trafiği için filtremele kullanabileceğiniz özel bir kısımdır.
7) Wireshark hakkında daha fazla bilgi edinmek ve manuel dosyalarına erişmek amacı ile kullanılabilecek bir bölümdür. Bu bölüme 5 numara ile tanımlanan ana menüde Help kısmından erişebilirsiniz.
Wireshark Aracı ile Paket Yakalama İşlemi
Bu işlem için iki seçeneğiniz bulunmaktadır. Wireshark aracını root (en yetkili) kişi hakları ile çalıştırmaktadır. Bunun sebebi, wireshark aracının ağ kartlarına erişmek istemesidir.
Paket yakalamak için öncelikle ana menüden Capture -> Options yolunu takip ederek aşağıdaki menüye erişmek gerekmektedir.
Alternatif olarak programın ilk açılışında sizi karşılayan ekranda daha önce arayüz ekranında 2 numara ile ifade edilen bölümden dilediğiniz ağ kartının üzerine tıklamaktır.
Paket yakalama işlemi başladığında katmanlar halinde bir arayüz ile karşılayacaktır.
1 ) Yakalanan paketler ile ilgili filtreleme seçeneklerinin bulunduğu kısımdır.
2) Yakalanan paketlerin listelendiği kısımdır.
3 ) Yakalanan paketlerden birini seçtiğimiz zaman onunla ilgili detayın görüntülendiği kısımdır.
4) Seçilen paket için hex dump halini gösterir.
5) Genel bilgilendirmelerin yer aldığı kısımdır. Bu kısımda: - Yakalanan toplam paket - Görüntülenen paket sayısı - Profil ismi gibi bilgiler yer almaktadır.
Wireshark ile Paket Yakalama Algoritma Diagramı
En Çok Kullanılan Filtreler
DHCP için kullanılabilecek filtreler:
- port 25 or port 443
- bootp
- bootp.option.dhcp == 1 (DISCOVER Packets)
- bootp.option.dhcp == 2 (OFFER Packets)
- bootp.option.dhcp == 3 (REQUEST Packets)
- bootp.option.dhcp == 4 (SYN Packets)
- bootp.option.hostname
HTTP için kullanılabilecek filtreler:
- http
- http.request.method=="HEAD”
- http.request.method==”POST”
- http.response.code == “200”
- http.user_agent == “User_Agent_Değeri”
- http.referer
ARP için kullanılabilecek filtreler:
- arp
- arp.src.hw_mac == “Kaynak mac adresi”
- arp.dst.hw_mac == “Hedef mac adresi”
- arp.duplicate-address-frame
- arp.opcode == 1
- arp.opcode == 2
DNS için kullanılabilecek filtreler:
- dns.qry.name == "google.com”
- “dns.qry.type == 1 (A Record Type)
- dns.qry.type == 255 (ANY Record Type)
- dns.qry.type == 2 (NS name server)
- dns.qry.type == 15(MX mail exchange
- dns
FTP için kullanılabilecek filtreler:
- ftp.request.command
- ftp.request
- ftp.request.command == "PASS”
- ftp.request.command == ”USER"
- ftp.response.arg == "Login successful."
TCP için kullanılabilecek filtreler:
- tcp.flags.syn == 1
- tcp.port == 80
- tcp.dstport == 443
- tcp.srcport == 80 ICMP için kullanılabilecek filtreler;
- icmp.type
- icmp.code
İnternet Protokolleri için kullanılabilecek filtreler:
- ip.addr
- ip.ttl
- ip.version == 4
- ip.src == 192.168.2.45
- ip.dst == 192.168.2.34
Wireshark İçin Operatörler
Karşılaştırma Operatörleri:
- eq == Eşittir
- ne != Eşit değidir
- gt > Büyüktür.
- lt < Küçüktür
- ge >= Büyük eşittir
- le <= Küçük eşittir
Mantıksal Operatörler:
- and && = (ve anlamı katar)
- or || = (veya anlamı katar)
- xor ^^
- not ! = (değil anlamı katar, dahil olmayan)
Wireshark ile Özel Filtre Oluşturma
Wireshark kullanırken standart filtrelemeler dışında kendimize ait özel filtreler oluşturabiliriz.
Bunu yapabilmek için filtrelemek istediğiniz durumun üzerine sağ tuş yapıp, “Apply as Filter” demek ve çıkan durumlardan birini seçmek yeterli olacaktır.
Özel Olarak Kolon Eklemek
Wireshark da özel kolan eklemek için ilk olarak Edit -> Prefences yolunu takip pencerenin açılmasını sağlıyoruz. (Kısa yolu = Ctrl + Shift + P) . Daha sonra kolon kısmına tıklanır. Daha sonra sağda açılan pencerede işlem yapılır.(+) tuşuna basılır ve title kısmına kolon başlığı type kısmına da ilgili hazır filtrelerden seçim yapılır. Buradan özel bir filtre koyulabilir.
HTTP İsteklerinin Analiz Edilmesi
Statistics -> HTTP -> Requests yolunu takip ederek ziyaret edilen ve web site istatistikleri bulunmaktadır.
Bu kısımda url üzerine tıklayarak o url adresine ait trafiği ve yüklenme aşamaları bulunmaktadır.
Statistics -> HTTP -> Packet Counter yolunu takip ederek HTTP Response Packet durumları analiz edilmektedir.
Bu kısımda HTTP cevap kodlarına ait istatistikleri görebiliriz.
Örnek olarak POST kullanılan 3454 http isteği bulunmaktadır.
IP Adreslerinin Analiz Edilmesi
Statistics -> IPv4 Statistics -> All Addresses yolunu takip ederek IP adres istatistiklerinin bulunduğu kısma erişebiliriz.
Bu kısımda IP adreslerinin trafik içerisinde kaç defa geçtiğini bulabilirsiniz. Display Filter kısmından da bir filtre belirtip hangi ip adreslerinin o filtrede geçerli olduğu gösterilmektedir.
Wireshark Protocol Hierarchy
Statistics -> Protocol Hierarchy yolunu takip ederek hangi protokolden kaç tane paket olduğunu görebilir ve istediğiniz bir protokol üzerine sağ tuş yapıp bir filtre uygulanabilir.
Wireshark - Capture File Properties
Yakalanan paket hakkında özet bilgiler elde etmek istersek Statistics -> Capture File Properties yolunu takip etmemiz gereklidir. Elde edilebilecek bilgiler :
- Dosya ismi
- Paket yakalam işlemi ne zaman başladı, ne zaman durdu, ne kadar sürdü
- Paket yakalama işlemi özel filtre ile mi başlatıldı.
- Kaç paket yakalandı
Wireshark – Resolved Addresses
Yakalanan paketlerin tamamı için bir adres çözümleme yapmak için Statistics -> Resolved Addresses yolunu takip etmemiz gerekmektedir.
Ağ Trafiği İçerisindeki Verilerin Export Edilmesi
Wireshark ile çalışırken trafik içerisinde geçen bazı ojeleri export etmek gerekebilir. Bunu yapabilmek için File -> Export Objects yolunu takip ediyoruz.
Wireshark Dahili Araçlar – Mergecap
Wireshark ile birlikte kurulu gelen mergecap isimli araç iki farklı pcap ve diğer desteklenen dosya ağ trafiği değeri taşıyan dosyayı birleştirebilmektedir.
Wireshark Dahili Araçlar – capinfos
Elinizde bulunan pcap, cap gibi formatlarda olan wireshark tarafından desteklenen dosyalar hakkında bilgi toplamak amacı ile kullanılabilen ve wireshark ile gelen ek bir araçtır.
Gördüğünüz üzere bu dosyanın labanaliz_pt.pcap ve MarkedPacket.pcap isimli iki dosyanın birleştirilmesi sonucu oluştuğunu belirtiyor.
Yorumlar
Yorum Gönder