Wireshark Nedir?
Wireshark, ağ trafiğini analiz etmek için kullanılan açık kaynaklı ve ücretsiz bir yazılım aracıdır. Ağ yöneticileri, güvenlik uzmanları ve geliştiriciler tarafından yaygın olarak kullanılan Wireshark, ağ paketlerini gerçek zamanlı olarak yakalar ve detaylı bir şekilde inceler.
Wireshark aracının kullanım alanları:
- Protokol hatalarını çözümlemek
- Paket analiz işlemleri
- Ağ içerisinde ki hataları tespit etmek
- Ağ hakkında ki istatistikleri görüntüleyebilmek
- Canlı olarak veya elinizde bulunan pcap gibi formatlarda olan verileri
görüntülemek - Tersine mühendislik çalışmaları gibi bir çok farklı konuda tercih edilen bir araçtır.
Wireshark aracı için kurulum adımları:
Gerekli dosya indirildikten sonra kurulum yönergeleri sayesinde kurulabilir.
İndirme adresi : https://www.wireshark.org/download.html
Linux için:
$ sudo apt install wireshark
Wireshark ile Paket Yakalamak
İzlemek istediğimiz ağı seçelim, bu genellikle bir Wi-Fi veya Ethernet bağlantısı olabilir. Ardından, “Başlat” düğmesine tıklamalıyız. Böylece Wireshark ağ trafiğini yakalamaya başlar.
Örnek olarak bir HTTP filtrelemesi yapalım:
Wireshark veya benzeri ağ analiz araçları, HTTP trafiği üzerinde izinli veya izinsiz izleme yapabilirken, HTTPS trafiği şifreli olduğu için içeriğini görüntüleyemezler. Bu nedenle HTTP trafiğini ağ üzerindeki iletişimi kolayca görüntülemek için izleyebiliriz. Üst köşede olan çubuğa http yazarak kolaylıkla HTTP paketleri görüntüleyebiliriz.
Paketler hakkında detaylı bilgi edinmeyi deneyelim:
İlgilendiğimiz HTTP paketini listeden seçip sağ tıkladıktan sonra “Takip Et” ve ardından “HTTP Akışı” seçeneğine tıklıyoruz. Bu işlem, sadece seçtiğimiz HTTP paketinin iletişimini görüntüler.
En Sık Kullanılan Kodlar:
İzlemek istediğimiz ağı seçelim, bu genellikle bir Wi-Fi veya Ethernet bağlantısı olabilir. Ardından, “Başlat” düğmesine tıklamalıyız. Böylece Wireshark ağ trafiğini yakalamaya başlar.
- http
- HTTP protokolü üzerinden gönderilen ve alınan verileri gösterir.
- Ekranda sadece web sayfalarının trafiğini görmek için kullanılır.
- tcp
- TCP protokolü üzerinden gelen verileri gösterir.
- Güvenilir bağlantılar üzerinden gerçekleşen trafiği izlemek için kullanıllır.
- udp
UDP protokolü üzerinden gelen verileri gösterir.Hızlı, ancak güvenilir olmayan bağlantılar için veri trafiğini görmek için kullanılır. - ip.addr == 192.168.x.x
- Belirtilen IP adresine ait verileri gösterir.
- Belirli bir IP adresiyle ilişkili trafiği izlemek için kullanılır.
- port 80
- Port 80 üzerinden gönderilen ve alınan verileri gösterir.
- HTTP trafiğini (web) izlemek için. Port numarasını değiştirerek diğer portlardaki trafiği görebilirsiniz.
- src ip == 192.168.x.x
- Belirtilen IP adresinden gelen verileri gösterir.
- Belirli bir kaynaktan gelen trafiği izlemek için kullanılır.
- dst ip == 192.168.x.x
- Belirtilen IP adresine giden verileri gösterir.
- Belirli bir hedefe giden trafiği izlemek için kullanılır.
- tcp.port == 443
- TCP üzerinden port 443 (HTTPS) ile ilgili verileri gösterir.
- Güvenli web trafiğini (şifreli) izlemek için kullanılır.
- http.request.method == “GET”
- HTTP GET isteklerini gösterir.
- Web sayfası veya veri talep eden GET isteklerini görmek için kullanılır.
- ip.proto == 1
- ICMP (Internet Control Message Protocol) protokolü ile ilgili verileri gösterir.
- Ağ hata raporları ve “ping” trafiğini izlemek için kullanılır.
Faydalı olması dileği ile..