Ağ Paketlerini Analiz Etmek İçin Wireshark'ın Nasıl Kullanılacağına İlişkin 10 İpucu

Herhangi bir paket anahtarlamalı ağda paketler, bilgisayarlar arasında iletilen veri birimlerini temsil eder. Güvenlik ve sorun giderme amacıyla paketleri izlemek ve incelemek ağ mühendislerinin ve sistem yöneticilerinin sorumluluğundadır.

Bunu yapmak için ağ paket analizörleri adı verilen yazılım programlarına güveniyorlar; Wireshark belki de en popüler olanıdır ve çok yönlülüğü ve kullanım kolaylığı nedeniyle kullanılır. Üstelik Wireshark, trafiği yalnızca gerçek zamanlı olarak izlemenize değil, aynı zamanda daha sonra incelenmek üzere bir dosyaya kaydetmenize de olanak tanır.

İlgili Okumalar: Ağ Kullanımını Analiz Etmek İçin En İyi Linux Bant Genişliği İzleme Araçları

Bu makalede, ağınızdaki paketleri analiz etmek için Wireshark'ı nasıl kullanacağınıza dair 10 ipucu paylaşacağız ve Özet bölümüne ulaştığınızda onu yer işaretlerinize ekleme eğiliminde olacağınızı umuyoruz.

Linux'ta Wireshark Kurulumu

Wireshark'ı yüklemek için https://www.wireshark.org/download.html adresinden işletim sisteminiz/mimariniz için doğru yükleyiciyi seçin.

Özellikle Linux kullanıyorsanız, kurulumun daha kolay yapılabilmesi için Wireshark'ın doğrudan dağıtımınızın depolarından temin edilmesi gerekir. Sürümler farklı olsa da seçenekler ve menüler aynı olmasa da benzer olmalıdır.

------------ On Debian/Ubuntu based Distros ------------ 
sudo apt-get install wireshark

------------ On CentOS/RHEL based Distros ------------
sudo yum install wireshark

------------ On Fedora 22+ Releases ------------
sudo dnf install wireshark

Debian ve türevlerinde, Wireshark'ı başlatmak için sudo kullanmadığınız sürece ağ arayüzlerinin listelenmesini engelleyebilecek bilinen bir hata vardır. Bunu düzeltmek için bu yazıdaki kabul edilen cevabı takip edin.

Wireshark çalıştığında, izlemek istediğiniz ağ arayüzünü Yakalama altında seçebilirsiniz:

Bu yazımızda eth0 kullanacağız ancak dilerseniz başka bir tane de seçebilirsiniz. Henüz arayüze tıklamayın; birkaç yakalama seçeneğini inceledikten sonra bunu daha sonra yapacağız.

Yakalama Seçeneklerini Ayarlama

Göz önünde bulunduracağımız en kullanışlı yakalama seçenekleri şunlardır:

  1. Ağ arayüzü – Daha önce açıkladığımız gibi, yalnızca eth0 yoluyla gelen veya giden paketleri analiz edeceğiz.
  2. Yakalama filtresi – Bu seçenek, bağlantı noktası, protokol veya türe göre ne tür trafiği izlemek istediğimizi belirtmemize olanak tanır.

İpuçlarına geçmeden önce bazı kuruluşların ağlarında Wireshark kullanımını yasakladığını belirtmekte fayda var. Bununla birlikte, Wireshark'ı kişisel amaçlarla kullanmıyorsanız kuruluşunuzun bu kullanıma izin verdiğinden emin olun.

Şimdilik, açılır listeden eth0'ı seçin ve düğmedeki Başlat'ı tıklayın. Bu arayüzden geçen tüm trafiği görmeye başlayacaksınız. İncelenen paketlerin yüksek miktarı nedeniyle izleme amaçları açısından pek kullanışlı değil, ancak bu bir başlangıç.

Yukarıdaki resimde, mevcut arayüzleri listelemek, mevcut yakalamayı durdurmak ve onu yeniden başlatmak için simgeleri de görebiliriz (kırmızı) soldaki kutuya) ve bir filtreyi yapılandırmak ve düzenlemek için (sağdaki kırmızı kutu) tıklayın. Bu simgelerden birinin üzerine geldiğinizde ne yaptığını gösteren bir ipucu görüntülenecektir.

Yakalama seçeneklerini göstererek başlayacağız, #7'den #10'a kadar olan ipuçları ise yakalamayla gerçekten yararlı bir şeyin nasıl yapılabileceğini tartışacak.

İPUCU #1 – HTTP Trafiğini Denetleyin

Filtre kutusuna http yazın ve Uygula'yı tıklayın. Tarayıcınızı başlatın ve istediğiniz herhangi bir siteye gidin:

Sonraki her ipucuna başlamak için canlı yakalamayı durdurun ve yakalama filtresini düzenleyin.

İPUCU #2 – Belirli Bir IP Adresinden Gelen HTTP Trafiğinin İncelenmesi

Bu özel ipucunda, yerel bilgisayar ile 192.168.0.10 arasındaki HTTP trafiğini izlemek için filtre kıtasının başına ip==192.168.0.10&& ekleyeceğiz:

İPUCU #3 – Belirli bir IP Adresine Yönelik HTTP Trafiğinin İncelenmesi

#2 ile yakından ilişkili olan bu durumda, yakalama filtresinin bir parçası olarak ip.dst'yi şu şekilde kullanacağız:

ip.dst==192.168.0.10&&http

#2 ve #3 ipuçlarını birleştirmek için filtre kuralında ip.srcip.addr komutunu kullanabilirsiniz. veya ip.dst.

İPUCU #4 – Apache ve MySQL Ağ Trafiğinin İzlenmesi

Bazen koşullardan herhangi birine (veya her ikisine) uyan trafiği incelemek ilginizi çeker. Örneğin, TCP bağlantı noktaları 80 (web sunucusu) ve 3306 (MySQL/MariaDB veritabanı sunucusu) üzerindeki trafiği izlemek için OR koşulunu kullanabilirsiniz yakalama filtresinde:

tcp.port==80||tcp.port==3306

#2 ve #3 ipuçlarında, || ve veya kelimesi aynı sonuçları verir. && ve ve kelimesi için de aynısı geçerlidir.

İPUCU #5 – Verilen IP Adresine Gelen Paketleri Reddet

Filtre kuralıyla eşleşmeyen paketleri hariç tutmak için ! kullanın ve kuralı parantez içine alın. Örneğin, belirli bir IP adresinden gelen veya bu IP adresine yönlendirilen paketleri hariç tutmak için şunları kullanabilirsiniz:

!(ip.addr == 192.168.0.10)

İPUCU #6 – Yerel Ağ Trafiğinin İzlenmesi (192.168.0.0/24)

Aşağıdaki filtre kuralı yalnızca yerel trafiği gösterecek ve İnternet'e giden ve İnternet'ten gelen paketleri hariç tutacaktır:

ip.src==192.168.0.0/24 and ip.dst==192.168.0.0/24

İPUCU #7 – TCP Konuşmasının İçeriğini İzleyin

Bir TCP görüşmesinin (veri alışverişi) içeriğini incelemek için belirli bir pakete sağ tıklayın ve TCP akışını izle'yi seçin. Konuşmanın içeriğini gösteren bir pencere açılacaktır.

Bu, web trafiğini inceliyorsak HTTP başlıklarını ve ayrıca varsa işlem sırasında iletilen tüm düz metin kimlik bilgilerini içerecektir.

İPUCU #8 – Renklendirme Kurallarını Düzenleyin

Şu ana kadar yakalama penceresindeki her satırın renkli olduğunu zaten fark ettiğinize eminim. Varsayılan olarak, HTTP trafiği yeşil arka planda siyah metinle görünürken, sağlama toplamı hataları kırmızı metinle gösterilir siyah bir arka plana sahip.

Bu ayarları değiştirmek istiyorsanız Renklendirme kurallarını düzenle simgesini tıklayın, belirli bir filtreyi seçin ve Düzenle'yi tıklayın.

İPUCU #9 – Yakalamayı bir Dosyaya Kaydetme

Yakalama içeriğini kaydetmek, onu daha ayrıntılı olarak inceleyebilmemize olanak tanıyacaktır. Bunu yapmak için Dosya → Dışa Aktar'a gidin ve listeden bir dışa aktarma biçimi seçin:

İPUCU #10 – Örnek Yakalama ile Pratik Yapın

Ağınızın "sıkıcı" olduğunu düşünüyorsanız Wireshark, pratik yapmak ve öğrenmek için kullanabileceğiniz bir dizi örnek yakalama dosyası sağlar. Bu SampleCapture'ları indirebilir ve Dosya → İçe Aktar menüsünü kullanarak içe aktarabilirsiniz.

Özet

Wireshark, resmi web sitesinin SSS bölümünde görebileceğiniz gibi ücretsiz ve açık kaynaklı bir yazılımdır. Bir incelemeye başlamadan önce veya sonra bir yakalama filtresini yapılandırabilirsiniz.

Fark etmediyseniz filtrenin, daha sonra özelleştirebileceğiniz, en çok kullanılan seçenekleri kolayca aramanıza olanak tanıyan bir otomatik tamamlama özelliği vardır. Bununla birlikte sınır gökyüzüdür!

Her zaman olduğu gibi, bu makaleyle ilgili herhangi bir sorunuz veya gözleminiz varsa aşağıdaki yorum formunu kullanarak bize yazmaktan çekinmeyin.