Wireshark
Last updated
Last updated
Wireshark, ağın karanlık köşelerine giriş yapabilen bir bilgi Ninja’sıdır. Onu kullanmak, ağ trafiğinin içindeki her detayı açığa çıkarmak anlamına gelir. İlk adım, Wireshark'ı indirip kurmak. Sonra, istediğiniz ağ arayüzünü seçip "Capture" tuşuna basarak dijital casusluğa başlayabilirsiniz. Artık karşınızda canlı ağ trafiği, bir veri denizinde yüzmeye hazır. Paketleri çözümleyebilir, kısacası Modern çağda ağları anlamak, korumak ve sürdürmek için temel bir araçtır. Ancak unutmayın, güçlü bir kılıç her zaman sorumluluk gerektirir!
Wireshark, kullanıcıların ağ trafiğini yakalamasına ve incelemesine olanak tanıyan güçlü, açık kaynaklı bir ağ analiz aracıdır. Kullanıcıların ağ trafiğini yakalamasını, analiz etmesini ve sorun gidermesini sağlayan güçlü bir araçtır. Wireshark, ağ arayüzünden akan veri paketlerini analiz ederek ağda neler olup bittiğini mikroskobik düzeyde görmeyi sağlar. Filtreler, renk kodlaması, grafikler ve trafik analizi için diğer özelliklerle kullanıcı dostu bir GUI'ye sahiptir. IP, TCP, UDP, HTTP, SSL/TLS, FTP, DNS, DHCP ve çok daha fazlası dahil olmak üzere çok sayıda protokol desteklenmektedir. Sonuç olarak çok sayıda ağ uygulamasının trafiğini analiz etmek ve başlık bilgileri, yük verileri, ana bilgisayar iletişimleri, en çok iletişim kuranlar vb. gibi paketler hakkında belirli bilgiler elde etmek mümkündür. Wireshark, Ethernet, Wi-Fi ve Bluetooth dahil olmak üzere ağ arayüzlerinden veri yakalayabilir. Kullanıcılar yakalanan verileri üst düzey protokol özetlerinden ayrıntılı paket düzeyi analizlerine kadar çeşitli düzeylerde görüntüleyebilirler.
Wireshark, belirli ağ olaylarını veya sorunlarını bulmayı ve analiz etmeyi kolaylaştıran çeşitli filtreleme ve arama özellikleri sunar.
Capture filtreleri: Bunlar, gelen ağ trafiğini yakalamadan önce filtreler. Capture filtreleri pcap filtre sözdizimine dayanır ve capture seçenekleri iletişim kutusunda veya bir capture başlatılırken komut satırında belirtilebilir.
Display filtreleri: Bunlar, ana pencerede görüntülenen yakalanan ağ trafiğini filtrelemek için kullanılır. Display filtreleri Wireshark'ın display filtresi sözdizimini temel alır ve ana pencerenin üst kısmındaki filtre çubuğuna girilebilir.
Protokol filtreleri: Bunlar ağ trafiğini kullanılan protokole göre filtreler. Protokol filtreleri "Analiz" menüsünde mevcuttur ve yalnızca belirli bir protokolü kullanan trafiği görüntüleyebilir.
Conversation filtreleri: Bunlar ağ trafiğini iki ana bilgisayar arasındaki konuşmaya göre filtreler. Conversation filtreleri "Statistics" menüsünde mevcuttur ve yalnızca ana bilgisayarlar arasındaki trafiği görüntüler.
ip.addr == 192.168.1.1 | Bu filtre yalnızca 192.168.1.1 IP adresini içeren ağ trafiğini görüntüleyecektir |
---|---|
TCP.port == 80 | Bu filtre yalnızca HTTP trafiği için yaygın olarak kullanılan TCP bağlantı noktası 80'i kullanan ağ trafiğini görüntüler. |
udp | Bu filtre yalnızca UDP protokolünü kullanan ağ trafiğini görüntüler. |
http.request.method == “GET” | Bu filtre yalnızca GET yöntemini kullanan HTTP trafiğini görüntüler. |
ip.src == 192.168.1.1 && ip.dst == 192.168.1.2 | Bu filtre yalnızca 192.168.1.1 ve 192.168.1.2 IP adresleri arasındaki ağ trafiğini görüntüler. |
Seçtiğiniz ağ arayüzü üzerinden trafiği izlemeye başladığınızda, Wireshark size paketleri göstermeye başlayacak. Yukarıdaki filtre menüsünü kullanarak istediğiniz trafik türünü belirleyerek gelen ve giden paketler arasında filtreleme yapabilirsiniz.
Filtre kutusuna "http" yazdığınızda, sanki büyülü bir anahtarla kapıyı açmışçasına sadece HTTP trafiği akacak arayüzde. O sütunlara bir göz atalım: "No" kısmında paket numarası, "Time" kısmında zamanı, "Source" kısmında paketin kaynağı, "Destination" kısmında hedefi, "Protocol" kısmında protokol türü, "Length" kısmında uzunluğu ve "Info" kısmında ise paket hakkında kısa bilgi yer alıyor.
Bu filtreyle sadece HTTP trafiğini incelemekle kalmıyoruz, aynı zamanda HTTP/2 veya HTTP/3 gibi daha güncel protokoller üzerinde de filtreleme yapabiliyoruz. Ne kadar harika değil mi? İşte, tam da o filtreyi uyguladığınızda sanki büyülü bir dünya açılmış gibi hissedersiniz.
Tabii ki! Filtreleme, ağ trafiğini belirli bir kaynak IP adresine göre daraltmanın harika bir yoludur. "ip.src==10.10.10.1" formatındaki bu filtre, sadece belirtilen kaynak IP adresine ait paketleri gösterecektir. Bu, özellikle belirli bir cihazın veya sunucunun trafiğini izlemek veya analiz etmek istediğinizde oldukça yararlıdır. Artık o IP adresiyle ilişkilendirilmiş tüm ağ etkinliklerini kolayca takip edebilirsiniz.
Wireshark'ın en güçlü özelliklerinden biri, TCP iletişimlerinin detaylı bir şekilde incelenebilmesidir. TCP (Transmission Control Protocol), internet üzerinde veri iletimi için temel bir protokoldür ve birçok uygulama tarafından kullanılır. Wireshark'ı kullanarak bir TCP iletişiminin içeriğini incelemek oldukça kolaydır. Bir pakete sağ tıklayarak "TCP akışını izle" seçeneğini seçtiğinizde iletişimin tam içeriği yeni bir pencerede görüntülenir. Bu pencerede iletişimin başından sonuna kadar olan tüm verileri görebilirsiniz; özellikle web trafiği inceliyorsanız HTTP üstbilgilerini ve gerektiğinde düz metin kimlik bilgilerini görebilirsiniz.