Wireshark nedir? Wireshark ile nasıl çalışılacağını öğrenmek
Wireshark bu görev için hepsi bir arada bir araç olduğundan özellikle ağ profesyonelleri arasında popülerdir. Bu yazımızda Wireshark’ı tanıtıyor ve öğretiyoruz . Bu makalede ele alacağımız konular arasında nasıl kurulacağı ve indirileceği, ağ paketlerinin nasıl alınacağı, Wireshark filtrelerinin nasıl kullanılacağı vb. yer almaktadır. . . Dır-dir. Ağ bilimi, güvenlik ve bilgisayar korsanlığı gibi konuları öğrenmek ve . . Ağ güvenliği eğitim sayfasına başvurabilirsiniz .
Wireshark nedir?
Wireshark, 1998 yılında Gerald Combs tarafından başlatılan açık kaynaklı bir ağ protokolü analiz yazılım programıdır. Ağ profesyonelleri ve yazılım geliştiricilerinden oluşan küresel bir organizasyon, Wireshark’ı destekler ve yeni ağ teknolojileri ve şifreleme yöntemleri konusunda güncel kalır ve destek açısından Wireshark rakipsiz bir araçtır.
Wireshark’ın kullanımı tamamen güvenlidir. Devlet kurumları, şirketler ve eğitim kurumları, sorun giderme ve eğitim amacıyla Wireshark’ı kullanıyor. Ağınızı sorun gidermenin ve test etmenin Wireshark mikroskobu altında trafiğe bakmaktan daha iyi bir yolu yoktur.
Güçlü bir paket algılayıcı olduğu için Wireshark’ın yasallığı hakkında sorular var. Gücün Işığı tarafı, Wireshark’ı yalnızca ağ paketlerini inceleme izninizin olduğu ağlarda kullanmanız gerektiğini söylüyor. Yetkisiz ağlara bakmak için Wireshark’ı kullanmak Karanlık Tarafa giden yoldur.
Wireshark’ın uygulanması
Wireshark, mevcut en iyi ağ izleme ve analiz araçlarından biridir, ancak belirli bir hedefiniz olduğunda ve ne aradığınızı bildiğinizde en iyi şekilde kullanılır. Yeni bir sorun bulmak için onu kullanmamanız gerekiyor.
Ağda çok fazla gürültü var. Genel durumu sizin için analiz etmek ve araştırılması gereken bir tehdit olduğunu göstermek için Edge ile Varonis gibi bir şeye ihtiyacınız var ve ardından tehlikeli paketlere tam olarak neyin sebep olduğunu bulmak için sorunları daha derinlemesine incelemek için Wireshark’ı kullanın.
Örneğin, güvenlik araştırmacıları Varonis’in kripto madencisi Norman’ı keşfettiklerinde, Varonis’ten birden fazla makinedeki şüpheli dosya ve ağ etkinliğine işaret eden bir uyarı aldılar. Kripto madenci analizi sırasında Varonis araştırmacıları, hatalı davranan bazı makinelerin ağ etkinliğini incelemek için Wireshark’ı kullandı. Wireshark, araştırma ekibine yeni bir şifreleme aracı olan Norman’ın DuckDNS kullanarak komuta ve kontrol (C&C) sunucularıyla aktif olarak iletişim kurduğunu gösterdi. Varonis’in ekibi, saldırganların Wireshark ile kullandığı C&C sunucularının tüm IP adreslerini görebilmiş, böylece şirket bağlantıyı kesip saldırıyı durdurabilmişti.
Wireshark nasıl çalışır?
Wireshark eğitiminin bu bölümünde bu teknolojinin nasıl çalıştığını tartışacağız. Wireshark bir ağ paketi analizi ve izleme aracıdır. Yerel ağdaki ağ trafiğini yakalar ve verileri çevrimdışı analiz için saklar. Wireshark, Ethernet, Bluetooth, kablosuz (IEEE.802.11), Token Ring, Frame Relay bağlantıları ve daha fazlasından ağ trafiğini yakalar.
Not 1: Bir “paket” herhangi bir ağ protokolünden (örneğin, TCP, DNS, vb.) gelen tek bir mesajdır.
Not 2: LAN trafiği bir tür akış trafiğidir; bu, Wireshark’a sahip bir bilgisayarın diğer iki bilgisayar arasındaki trafiği görebileceği anlamına gelir. Harici bir sitenin trafiğini görmek istiyorsanız yerel bilgisayar veya sunucudaki paketleri yakalamanız gerekir.
Wireshark, kayda başlamadan önce veya analiz sırasında günlüğü filtrelemenize olanak tanır, böylece bir ağ izlemesinde aradığınızı daraltabilirsiniz. Örneğin, iki IP adresi arasındaki TCP trafiğini görüntülemek için bir filtre ayarlayabilirsiniz. Bunu yalnızca bir bilgisayardan gönderilen paketleri gösterecek şekilde ayarlayabilirsiniz. Wireshark’taki filtreler, paket analizinde standart araç haline gelmesinin ana nedenlerinden biridir.
Wireshark nasıl indirilir
Wireshark’ı indirmek ve yüklemek kolaydır. İlk adım, gerekli işletim sisteminiz için resmi Wireshark indirme sayfasını kontrol etmektir. Bu programın orijinal sürümü ücretsizdir.
Wireshark’ı indirme linki:
https://www.wireshark.org/download.html
Windows için Wireshark
Wireshark, Windows’un hem 32 bit hem de 64 bit sürümlerinde mevcuttur. İşletim sisteminiz için doğru sürümü seçin. Şu ana kadarki güncel sürüm 3.0.3’tür. Kurulumu oldukça basittir ve kurulum işlemi sırasında herhangi bir sorun yaşanmaması gerekmektedir.
Mac için Wireshark
Wireshark, Mac’te Homebrew kurulumu olarak mevcuttur. Homebrew’u kurmak için terminal isteminizde bu komutu çalıştırmanız gerekir:
/usr/bin/Ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)"
Homebrew sisteminizi kurduktan sonra Mac’iniz için çeşitli açık kaynaklı projelere erişebilirsiniz. Wireshark’ı kurmak için terminalden şu komutu çalıştırın:
brew install wireshark
Homebrew, düzgün çalışması için Wireshark’ı ve tüm bağımlılıkları indirip yükleyecektir.
Linux için Wireshark
Wireshark’ı Linux’a yüklemek, Linux dağıtımına bağlı olarak biraz farklı olabilir. Ubuntu, Red Hat Fedora ve Kali Linux dağıtımları için Wireshark’ı aşağıdaki gibi indirip yükleyin.
Wireshark’ı Ubuntu’ya yükleyin
Wireshark’ı Ubuntu’ya kurmak için terminalde şu komutları çalıştırın:
sudo apt-get install wireshark
sudo dpkg-reconfigure wireshark-common
sudo adduser $USER wireshark
Bu komutlar paketi indirir, paketi günceller ve Wireshark’ı çalıştırmak için kullanıcı ayrıcalıkları ekler.
Kırmızı Şapka Fedora
Wireshark’ı Red Hat Fedora’ya yüklemek için şu komutları çalıştırın:
sudo dnf install wireshark-qt
sudo usermod -a -G wireshark username
İlk komut Wireshark’ın GUI ve CLI sürümlerini yükler, ikincisi ise Wireshark’ı kullanma izinlerini ekler.
Wireshark’ı Kali Linux’a yükleyin
Kali Linux’ta Wireshark zaten kurulu olabilir; Çünkü Wireshark, Kali Linux’un temel paketinin bir parçası. Onaylamak için menünüzü kontrol edin. Aşağıda “Koklama ve Sahtekarlık” menü seçeneği bulunmaktadır.
Wireshark’taki veri paketleri
Artık Wireshark’ı kurduğumuza göre, Wireshark eğitiminin bu bölümünde Wireshark paket algılayıcısını nasıl etkinleştireceğimizi ve ardından ağ trafiğini nasıl analiz edeceğimizi keşfedelim.
Wireshark’ta veri paketlerini yakalama
Wireshark’ı açtığınızda izleyebileceğiniz tüm ağ bağlantılarını listeleyen bir ekran göreceksiniz. Ayrıca bir yakalama filtre alanınız vardır, böylece yalnızca görmek istediğiniz ağ trafiğini yakalarsınız.
“Shift ve sol tıklama”yı kullanarak bir veya daha fazla ağ arayüzünü seçebilirsiniz. Ağ arayüzünü seçtikten sonra kayda başlayabilirsiniz. Bunu yapmanın farklı yolları var.
Wireshark eğitiminin bu adımında, araç çubuğundaki “Paket Yakalamayı Başlat” başlıklı ilk düğmeye tıklayın.
Yakala -> Başlat menü öğesini seçebilirsiniz.
Veya ctrl + E tuşlarını kullanabilirsiniz.
Kayıt sırasında Wireshark size kaydettiği paketleri gerçek zamanlı olarak gösterecektir.
İhtiyacınız olan tüm paketleri kaydettikten sonra kaydı durdurmak için aynı düğmeleri veya menü seçeneklerini kullanırsınız.
Paket yakalama için en iyi uygulama, analiz etmeden önce Wireshark paket yakalamayı durdurmaktır.
Wireshark’ta veri paketlerini analiz edin
Wireshark eğitiminin bu bölümünde paketleri analiz edeceğiz. Wireshark, paket verilerini incelemek için size üç farklı ekran gösterecektir. Paket Listesi, üst sayfa, kayıttaki tüm paketlerin bir listesidir. Bir pakete tıkladığınızda diğer iki sayfa size seçilen paketin detaylarını gösterecek şekilde değişecektir. Paketin bir konuşmanın parçası olup olmadığını da anlayabilirsiniz. Yukarıdaki sayfadaki her bir sütunla ilgili bazı ayrıntıları burada bulabilirsiniz:
- Numara veya No: Kaydedilen paketin numara dizisidir. Köşeli parantezler bu paketin bir konuşmanın parçası olduğunu gösterir.
- Süre: Bu sütun, kayıt başladıktan ne kadar süre sonra bu paketin kaydedildiğini gösterir. Başka bir şeyi görüntülemeniz gerekiyorsa, bu değeri ayarlar menüsünden değiştirebilirsiniz.
- Kaynak Kaynak: Paketi gönderen sistemin adresidir.
- Hedef: Paketin hedef adresidir.
- Protokol: Bu paket türüdür; örneğin TCP, DNS, DHCPv6 veya ARP.
- Uzunluk: Bu sütun paketin uzunluğunu bayt cinsinden gösterir.
- Bilgi: Bu sütun size paketin içeriği hakkında daha fazla bilgi gösterir ve paketin türüne bağlı olarak farklılık gösterir.
Paket Ayrıntıları, orta pencere, paket türüne bağlı olarak paket hakkında mümkün olduğunca fazla okunabilir bilgi gösterir. Bu bölümde vurgulanan metne göre sağ tıklayıp filtre oluşturabilirsiniz.
Alt pencere olan Paket Baytları, paketi tam olarak onaltılık olarak yakalandığı şekilde görüntüler.
Bir konuşmanın parçası olan bir pakete baktığınızda, pakete sağ tıklayıp Takip Et’i seçerek yalnızca o konuşmanın parçası olan paketleri görebilirsiniz. Wireshark eğitiminde pencerelere dikkat etmek ve nasıl çalıştıklarını bilmek çok önemlidir.
Wireshark filtreleri
Wireshark’ın en iyi özelliklerinden biri Wireshark kayıt filtreleri ve Wireshark görüntüleme filtreleridir; bu Wireshark eğitiminde analiz ettiğimiz şey. Filtreler, mevcut sorunları gidermek için ihtiyaç duyduğunuzda ağ izlemeyi görüntülemenize olanak tanır.
Wireshark kayıt filtreleri
Yakalama filtreleri, filtrenin yakaladığı paketleri sınırlar. Bu, paketlerin filtreyle eşleşmemesi durumunda Wireshark’ın bunları saklamayacağı anlamına gelir. Aşağıda kayıt filtrelerine ilişkin bazı örnekler verilmiştir:
- Ana Bilgisayar IP Adresi: Bu filtre, IP adresinden gelen ve giden trafiğe yönelik yakalamayı kısıtlar
- net 192.168.0.0/24: Bu filtre tüm alt ağ trafiğini yakalar.
- dst ana bilgisayar IP adresi: belirtilen ana bilgisayara gönderilen paketleri kaydeder.
- Bağlantı Noktası 53: Yalnızca bağlantı noktası 53’teki trafiği yakalayın.
- bağlantı noktası 53 değil ve arp değil: DNS ve ARP trafiği dışındaki tüm trafiği yakalayın
Wireshark görüntü filtreleri
Wireshark ekran filtreleri, analiz sırasında ağ izleme görünümünü değiştirir. Paket yakalamayı durdurduktan sonra, paket listesindeki paketleri sınırlamak için görüntü filtrelerini kullanın; böylece sorununuzu giderebilirsiniz.
Uzmanların deneyimlerine göre en kullanışlı görüntü filtresi aşağıdaki filtredir:
ip.src==IP-address and ip.dst==IP-address
Bu filtre size bir bilgisayardan (ip.src) başka bir bilgisayara (ip.dst) giden paketleri gösterir. Paketleri bu IP’ye yönlendirmek için ip.addr’yi de kullanabilirsiniz. Wireshark eğitiminin bu bölümünde birkaç şey daha var:
tcp.port eq 25: Bu filtre size 25 numaralı bağlantı noktasındaki tüm trafiği gösterecektir; bu genellikle SMTP trafiğidir.
icmp: Bu filtre size yalnızca kayıttaki ICMP trafiğini gösterir; büyük olasılıkla pinglerdir.
ip.addr!= IP_address: Bu filtre, belirtilen bilgisayardan gelen veya gelen trafik dışındaki tüm trafiği gösterir.
Analistler, Sasser solucanını tespit etmek için oluşturulan aşağıdaki filtre gibi belirli saldırıları tespit etmek için filtreler bile oluşturur:
ls_ads.opnum==0x09
Wireshark’ın diğer özellikleri
Kaydetme ve filtrelemenin ötesinde, Wireshark’ta ağ trafiğini analiz etmenize yardımcı olabilecek başka birçok özellik vardır. Bu özellikleri Wireshark eğitiminin bu bölümünde tartışacağız.
Wireshark renklendirme seçeneği
Wireshark’ı, vurgulamak istediğiniz paketleri vurgulamanıza olanak tanıyan bir görüntüleme filtresine göre paket listesindeki paketlerinizi renklendirecek şekilde yapılandırabilirsiniz. Aşağıdaki fotoğraftaki renklendirme örneğine dikkat edin.
Wireshark rastgele modu
Wireshark varsayılan olarak yalnızca üzerinde çalıştığı bilgisayardan gelen ve gelen paketleri yakalar. Kayıt ayarlarında Wireshark’ı Karışık modda Çalıştır kutusunu işaretleyerek daha fazla LAN trafiği yakalayabilirsiniz.
Wireshark komut satırı
GUI’siz bir sistem çalıştırıyorsanız Wireshark bir komut satırı arayüzü (CLI) sunar. En iyi uygulama, günlüğü GUI ile inceleyebilmeniz için bir günlüğü yakalamak ve kaydetmek için CLI’yi kullanmaktır.
Wireshark komutları
Bu Wireshark eğitiminde açıklayacağımız en önemli Wireshark komutları aşağıdaki gibidir.
- Wireshark’ı GUI modunda
Wiresharkçalıştırın wireshark –h: Wireshark için mevcut komut satırı parametrelerini gösterirwireshark –a duration:300 –i eth1 –w wireshark: Ethernet arayüzü 1’deki trafiği 5 dakika boyunca yakalayın. -a kaydın otomatik olarak durdurulması anlamına gelir, -i hangi arayüzün kaydedileceğini belirtir.
Wireshark’ta Metrikler ve İstatistikler
İstatistik bölümü seçenekleri size ağ izleme ayrıntılarını sağlar.
Dosya kayıt özellikleri:
Wireshark G/Ç diyagramı:
Wireshark kaynakları ve eğitimleri
İnternette Wireshark’ı amaçlarınız doğrultusunda nasıl kullanacağınızı gösteren birçok Wireshark eğitimi ve videosu bulunmaktadır. Wireshark eğitimine ana web sitesinden başlayabilir ve oradan adım adım öğrenebilirsiniz. Resmi ve geçerli belgeleri web sitelerinde bulabilirsiniz.
