Wireshark – Temel Seviye

Wireshark, bir bilgisayara bağlı tüm ağ kartları üzerinden TCP/IP paketlerini dinleme işlemini gerçekleştirebileceğimiz, GPL lisanslı ağ dinleme aracıdır. Uygulama, Windows, MAC ve Unix tabanlı tüm platformlarda ağ dinleme işlemini başarılı bir şekilde gerçekleştirmektedir.

 

Wireshark, gerçek zamanlı ağ dinleme işlemi yapabildiği gibi, paket çıktısını kayıt edebilme ve daha sonra okuyabilme özelliklerini opsiyonel olarak sağlamaktadır. Ayrıca, gerçek zamanlı ve önceden kayıt edilmiş analiz dosyalarını, filtreleyerek gösterebilir.

 

Uygulama ücretsiz olarak http://www.wireshark.org/ adresinden indirilebilir durumdadır.

 

Neler Yapabiliriz?

 

Uygulamaya ihtiyaç duyabileceğimiz temel nedenleri aşağıda ki gibi listeleyebiliriz.

 

          Bilgisayarınızın/Sunucunuzun network üzerinde ne(ler) yaptığını gerçek zamanlı olarak görüntülemek ve anormallik testi uygulamak için kullanabiliriz.

          Virüs analizlerinde, bulaştırılan virüsün nereye bilgi gönderdiğini ya da nereden bilgi aldığını görüntülemek için kullanabiliriz.

          Saldırı anında gelen paketleri analiz etmek için kullanabiliriz. ( Örneğin dDOS (http://www.cozumpark.com/tags/DDoS/default.aspx ) saldırılarında, bize ulaşan http paketlerinin analizi ve ayrıştırıcı bilgilerine ulaşılması )

          Erişim problemlerinde paketlerin yaşam döngülerini gerçek zamanlı olarak inceleyebiliriz.

 

Uygulama öncesinde, ara yüze birlikte göz atalım.

 

 

image002

 

 

Resim-1
Uygulama işleminde Wireshark 1.8.3 versiyonu kullanılmıştır.

 

İlk görünümde, karışık bir ekran gibi görünse de uygulamada kullanılacak menü sayısı sınırlı olduğu için kullanımı gayet basittir. Resim 1’de görüntülediğimiz “Capture” menüsü sık kullanılan menümüz, “Open” menüsü altında ise, daha önce içeri aktararak incelediğimiz son 10 .pcap analiz dosyası listelenmektedir.

 

Açılış ekranında bulunan “Online”, “Capture Help”, ve “Sample Captures” bölümleri, dış kaynaklara web bağlantısı sağlamaktadır.

 

 

 

 

Resim-2

“Capture” bölümü altında ki “Interface List” ( Resim-2 ) seçeneği ile bilgisayarımız üzerinde dinleyebileceğimiz tüm interfaceleri listeyebiliyoruz.

 

 

 


Resim-3

Ekran basit anlamda, interface özelliklerini listeleyerek seçim yapmamızı sağlamaktadır. Ayrıca, hizasında bulunan “Details” seçeneği ile interface’e ait üretici bilgisi, bağlantı durumu, hızı gibi bir çok özelliğe ulaşmanız mümkün.

 

 

 


Resim-4

Ayrıca bu bölümde bulunan “Statistics” seçeneği, interface üzerinden geçen Broadcast, Multicast paket sayılarına kadar bir çok özelliği gerçek zamanlı olarak görüntülemenizi sağlayacaktır.

 

 

 


Resim-5

Interface List” ekranından, “Options” seçeneği ile ulaşabileceğiniz ( Resim-5 ) ekran ise, analizimiz için kullanacağımız kriterleri belirlememizi sağlıyor. Burada ki detaylara kısaca göz atalım ;

 

Capture on all interfaces

 

Tüm interface’leri aynı aynda dinlememizi sağlar.

 

 

Capture all in promiscuous mode

 

Seçilen interface’ler üzerinden geçen tüm trafiği promiscuous mode’da dinlememizi sağlar. ( Bilgi : http://sozluk.cozumpark.com/goster.aspx?id=810&kelime=Promiscuous-Mode )

 

Capture File(s)

 

Bu bölüm, gerçek zamanlı dinleme yaparken aynı zamanda belirleyeceğimiz bir dosyaya trafiğin kayıt edilmesini sağlıyor. Bu bölümde ki “Next file every…” seçenekleri ile dosyanın parçalanmasını sağlayabiliyoruz.

 

 

Stop Capture

 

Paket, boyut ve zaman kriterlerine göre analizi durdurabiliyoruz. ( Kişisel tecrübe : uygulamada 1 TB ve üzerinde ki .pcap dosyalarını analiz ederken overflow problemi yaşanıyor. Bu nedenle, yoğun trafik anında limitlenmesi ya da bir önce ki bölümden parçalanması faydalı olacaktır. )

 

Display Options

 

Analiz anında ki görüntüleme seçeneklerini buradan belirleyebiliyoruz. Listenin gerçek zamanlı olarak güncellenmesi, yeni paket geldiğinde otomatik scroll işleminin gerçekleşmesi / gerçekleşmemesi gibi tanımlamalar bu bölümden yapılıyor.

 

 

Name Resolution

 

Belirtilen kriterlere göre, gerçek zamanlı paket analizi anında çözümleme işlemi yapılır ya da yapılmaz. Yoğun trafik olan işlemler için ek yük oluşturacağından önerilmez ve default olarak seçili gelmez.

 

 

Örnek olması açısından, “Network name resolution” pasif iken Google DNS’lerine “cozumpark.com” için nslookup sorgusu gönderiyoruz.

 

 

 

 

 

 

Ve aktif iken ;

 

 

 

 

 

Test için uygulayacağımız işlemlerde bilgisayarımızın network üzerinde neler yapıyormuş kısaca bir göz atalım.

 

 

 

Capture Interfaces ( Resim – 3 ) ekranında, interface’in üzerine çift tıklayarak ulaştığım ekranda, filtre olarak “tcp port 80” yazarak  sadece 80/TCP portundan geçen trafiği izliyor olacağım.

 

 

 

Resim-8

 

 

 

Bu şekilde “OK” ve “Start” tuşları ile, gerçek zamanlı analiz ekranına ulaşıyorum.

 

 

Tarayıcımdan http://www.cozumpark.com ‘u çağırdığımda neler olduğuna bir bakalım.

 

 

GET isteğimin detaylarını Wireshark üzerinden aşağıda ki gibi önizleyebiliyorum.

 

 

 

Resim-9

 

 

Aynı method ile bu kez 25 portunu filtreleyerek “mail.cozumpark.com” 25 portuna telnet ile gidiyorum :

 

 

 

Resim-10

 

 

 

Resim-11

 

 

Resim-11’de önizleyebileceğiniz üzere, öncelikle 3 yollu el sıkışma tamamlanarak SMTP protokolü ile paket gönderildi.

 

 

 

Resim-12

 

Paket analizinde ise, telnet ile aynı çıktıya ulaştım.

 

 

NOTLAR

 

Analiz işlemi sırasında pakete ait tüm yaşam döngüsünü, ilgili satıra sağ tıklayarak “Follow TCP Stream” seçeneği ile görüntüleyebiliyoruz.

 

 

 

 

Gelişmiş filtre yazma işlemi için “Filter” bölümünde ki “Expression” seçeneğinden faydalanabiliriz.

 

Umarım faydalı bir makale olmuştur, hoşça kalın.

Exit mobile version