Siber Güvenlik

Wireshark Nedir?

Wireshark ağ trafiğini analiz etmek için, ağda hareket eden veri paketlerini yakalayan ve görüntüleyen açık kaynaklı ücretsiz bir araçtır. Ethereal adıyla başlayan ve daha sonra Mayıs 2006’da Wireshark olarak yeniden adlandırılan bir araçtır.

Wireshark Aracının Özellikleri Nedir?

 

  • Kullanıcı dostu,
  • Ücretsiz kullanılabilmesi,
  • Geniş protokol desteği,
  • Çoklu işletim sistemi desteği sağlaması (– Windows – Linux – MacOS),
  • Birçok kritere göre paket filtreleme desteği,
  • Yakalanan paketlerin çeşitli formatlarda kaydedilebilmesi,
  • Çeşitli istatistikler oluşturabilmesi,
  • Anlık olarak paket yakalayıp görüntüleyebilme gibi çok fazla dikkat çeken özelliği bulunmaktadır.

 

Wireshark Aracının Kullanım Alanları

 

  • Protokol hatalarını çözümlemek,
  • Paket analiz işlemleri,
  • Ağ içerisindeki hataları tespit etmek,
  • Ağ hakkındaki istatistikleri görüntüleyebilmek,
  • Canlı olarak veya elinizde bulunan “Pcap” gibi formatlarda olan verileri görüntülemek,
  • Tersine mühendislik çalışmaları.

 

Wireshark Minimum Sistem Gereksinimleri

 

  • Universal C Runtime
  • Windows 10 ve Windows Server 2019 (Eğer yoksa KB2999226 veya KB3118401’i yüklemeniz gerekir.)
  • Herhangi bir modern 64-bit AMD64/x86-64 veya 32-bit x86 işlemci
  • 500 MB kullanılabilir RAM... Daha büyük dosyaları için daha fazla RAM gerektirir.
  • 500 MB kullanılabilir disk alanı... Büyük dosyalar için ek disk alanı gerektirir.
  • Herhangi bir modern ekran... 1280×1024 veya daha yüksek çözünürlük önerilir. Wireshark, varsa HiDPI veya Retina çözünürlüklerini kullanır.
  • Uzman kullanıcılar, birden fazla monitörü faydalı bulacaktır.
  • İnterneti yakalamak için desteklenen bir ağ kartı
  • İnternet
  • Windows tarafından desteklenen herhangi bir kart çalışmalıdır. Linux, Mac için desteklenen kartlar sisteme göre olmalıdır. Ortamınızı etkileyebilecek sorunlar için Ethernet yakalama ve boşaltma hakkındaki wiki sayfalarına bakın. 802.11.
  • Özel ekipmanlar için Wireshark Wiki sayfasını inceleyin. Ham 802.11 internet trafiğini yakalamak zor olabilir.

 

Wireshark Aracı İçin Kurulum Adımları

 

Wireshark kurulumu için indirme adresi için tıklayınız.

 

Linux Sistemler için kurulum adımları aşağıdaki gibidir:

 

  • Debian Tabanlı Sistemler: sudo apt update -y & sudo apt-get install wireshark -y
  • RPM Tabanlı Sistemler: sudo rpm –ivh wireshark*.rpm
  • Windows Sistemler: Wireshark setup.exe dosyasına tıklayarak
  • Not: Kali Linux ve Parrot OS Security sistemlerde Wireshark default olarak kurulu gelmektedir.

 

Wireshark Aracının Arayüzü

 

Aşağıda açılış sayfası ve ilgili alanlar numaralandırılarak anlatılmıştır. (Yeni sürümlerde arayüz değişikliğine gidilmiş olabilir.)

 

Wireshark

 

Wireshark arayüzü

 

  1. Daha önce açılan dosyalar gösterilmektedir.
  2. Ağ trafiğini izlemek amacı ile kullanılabilecek ağ kartları gösterilmektedir.
  3. Ağ trafiğini izlemek amacı ile kullanılabilecek ağ kartları için paket yakalamaya başladığında kullanabileceği filtre tanımlanabilmektedir.
  4. Sık sık kullanılabilecek işlemlerin kısayol atamalarının bulunduğu yerdir.
  5. Ana menünün bulunduğu kısımdır.
  6. Ağ trafiği için filtreleme kullanabileceğiniz özel bir kısımdır.
  7. Wireshark hakkında daha fazla bilgi edinmek ve manuel dosyalarına erişmek amacı ile kullanılabilecek bir bölümdür. Bu bölüme 5 numara ile tanımlanan ana menüde “Help” kısmından erişebilirsiniz.

 

Wireshark Paket Yakalama Algoritması

 

Wireshark

https://www.beyaz.net/files/elfinder/content_photo/icerik_dosyalari/wireshark-dort.png

 

Wireshark ile Paket Yakalama İşlemi

 

Wireshark aracını root (en yetkili) ile çalıştırmamız gerekmektedir Bunun sebebi, Wireshark aracının ethernet kartlarına erişmek istemesidir. Bunu yapmadığımız zaman Ethernet kartlarını listede göremeyiz.

 

Paket yakalamak için öncelikle ana menüden Capture -> Options yolunu takip ederek aşağıdaki menüye erişmek gerekmektedir.

 

Wireshark

 

Wireshark Ethernet Kartı Listesi

 

Programın ilk açılışında bizi karşılayan ekranda göstermiş olduğumuz 2 numaralı yerden de Ethernet kartının üzerine tıklayarak paket yakalama işlemine başlayabiliriz. Paket yakalama işlemi başladığında aşağıdaki gibi bir arayüz bizi karşılamaktadır.

 

Wireshark

Wireshark Capture Arayüzü ( 172.235.38.160 = https://gelecegiyazanlar.turkcell.com.tr/ )

 

  • Yakalanan paketler ile ilgili filtreleme seçeneklerinin bulunduğu kısımdır.
  • Yakalanan paketlerin listelendiği kısımdır.
  • Yakalanan paketlerden birini seçtiğimiz zaman onunla ilgili detayın görüntülendiği kısımdır.
  • Seçilen paket için hex dump halini gösterir.
  • Genel bilgilendirmelerin yer aldığı kısımdır. (Yakalanan toplam paket, görüntülenen paket sayısı ve profil ismi gibi bilgiler yer almaktadır.)

 

 

Wireshark Kullanılan Filtreler ve Operatörler

 

 

DHCP için kullanılabilecek filtreler:

- port 25 or port 443

- bootp - bootp.option.dhcp == 1 (DISCOVER Packets)

- bootp.option.dhcp == 2 (OFFER Packets)

- bootp.option.dhcp == 3 (REQUEST Packets)

- bootp.option.dhcp == 4 (SYN Packets)

- bootp.option.hostname

 

 

HTTP için kullanılabilecek filtreler:

- http - http.request.method=="HEAD”

- http.request.method==”POST”

- http.response.code == “200”

- http.user_agent == “User_Agent_Değeri”

- http.referer

 

 

ARP için kullanılabilecek filtreler:

- arp - arp.src.hw_mac == “Kaynak mac adresi”

- arp.dst.hw_mac == “Hedef mac adresi”

- arp.duplicate-address-frame

- arp.opcode == 1

- arp.opcode == 2

 

 

DNS için kullanılabilecek filtreler:

- dns.qry.name == "turkcell.com.tr”

- “dns.qry.type == 1 (A Record Type)

- dns.qry.type == 255 (ANY Record Type)

- dns.qry.type == 2 (NS name server)

- dns.qry.type == 15(MX mail Exchange)

- dns

 

 

FTP için kullanılabilecek filtreler:

- ftp.request.command

- ftp.request

- ftp.request.command == "PASS”

- ftp.request.command == ”USER"

- ftp.response.arg == "Login successful."

 

 

TCP için kullanılabilecek filtreler:

- tcp.flags.syn == 1

- tcp.port == 80

- tcp.dstport == 443

- tcp.srcport == 80

 

 

ICMP için kullanılabilecek filtreler;

- icmp.type

- icmp.code

 

 

İnternet protokolleri için kullanılabilecek filtreler:

- ip.addr

- ip.ttl

- ip.version == 4

- ip.src == 192.168.2.45

- ip.dst == 192.168.2.34

 

 

Karşılaştırma Operatörleri:

- eq == Eşittir

- ne != Eşit Değidir

- gt > Büyüktür

- lt < Küçüktür

- ge >= Büyük Eşittir

- le <= Küçük Eşittir

 

 

Mantıksal Operatörler:

- and && = (ve anlamı katar)

- or || = (veya anlamı katar)

- xor ^^

- not ! = (değil)

 

Wireshark ile Özel Filtre Oluşturma

 

Wireshark kullanırken standart filtrelemeler dışında kendimize ait özel filtreler oluşturabilir ve kullanabiliriz.

 

Bunu yapabilmek için filtrelemek istediğiniz durumun üzerine sağ tuş yapıp “Apply as Filter” diyerek çıkan seçeneklerden birini seçmek yeterli olacaktır.

 

Wireshark

Wireshark Özel Filtre için Özellikler Bölümü

 

Wireshark Özel Kolon Eklemek

 

Wireshark’ta özel kolan eklemek için Edit -> Prefences yolunu takip ederek pencerenin açılmasını sağlıyoruz. (Kısayol = Ctrl + Shift + P). Ardından kolon kısmına tıklıyoruz ve sonra sağda açılan pencereden işlem yapıyoruz. (+) tuşuna basarak ve “Title” kısmına kolon başlığını, “Type” kısmına da ilgili hazır filtrelerden seçim yapıyoruz. Buraya özel bir filtre de koyabiliriz.

 

Wireshark

Wireshark Özel Olarak Kolon Ekleme

 

HTTP İsteklerinin Analiz Edilmesi

 

Statistics -> HTTP -> Requests yolunu takip edip ziyaret ettiğimiz web site istatistiklerini bulabiliriz. Bu kısımda URL üzerine tıklayarak o URL adresine ait trafiği ve yüklenme aşamalarını bulabiliriz.

 

Wireshark

HTTP Request’lerini Açma Arayüzü

 

Wireshark

HTTP Request Arayüzü

 

Statistics -> HTTP -> Packet Counter yolu takip edilerek HTTP Response Packet durumları analiz edilmektedir.

 

Wireshark

 

HTTP Packet Counter Arayüzü

 

Yukarıdaki örnek resimlerde HTTP cevap kodlarına ait istatistikleri görüyoruz. Örnek olarak POST kullanılan 3454 HTTP isteği bulunmaktadır.

 

IP Adreslerinin Analiz Edilmesi

 

Statistics -> IPv4 Statistics -> All Addresses yolunu takip ederek IP adres istatistiklerinin bulunduğu kısma erişiyoruz.

 

Wireshark

IPv4 Tüm Adreslerin İstatistiklerine Erişim

 

Wireshark

IPv4 Tüm Adreslerin İstatistikleri

 

Yukarıdaki örneklerde IP adreslerinin trafik içerisinde kaç defa geçtiğini görüyoruz. Display Filter kısmından da bir filtre belirterek hangi IP adreslerinin o filtrede geçerli olduğunu görebiliriz.

 

Wireshark Protocol Hiyerarşisi

 

Statistics -> Protocol Hierarchy yolunu takip ederek hangi protokolden kaç tane paket olduğunu görebiliriz ve istediğimiz bir protokol üzerine sağ tuş yapıp bir filtre uygulayabiliriz.

 

Wireshark

İstatistik ve Protokol Hiyerarşisi Yolu

 

Wireshark

İstatistik Protokol Hiyerarşisi Arayüzü

 

Wireshark Paket Yakalama Özellikleri

 

Yakalanan paket hakkında özet bilgiler elde etmek istersek Statistics -> Capture File Properties yolunu takip etmemiz gereklidir. Elde edebileceğimiz bilgiler şunlardır:

 

  • Dosya ismi,
  • Paket yakalama işlemi başlama zamanı, durma zamanı ve paketlerin süresi,
  • Paket yakalama işleminin hangi filtre ile başladığı,
  • Yakalanan paket sayısı.

 

Wireshark

 

Wireshark

 

Wireshark Dosya Yakalama Özellikleri Arayüzü (File Capture Properties)

 

Wireshark ile Ağ Trafiği İçerisindeki Verilerin Export Edilmesi

 

Wireshark ile çalışırken trafik içerisinde geçen bazı ojeleri export etmemiz gerekebilir. Bunu yapabilmek için File -> Export Objects yolunu takip ediyoruz.

 

Wireshark

Wireshark Objeyi Export Etme Yolu

 

Wireshark

Wireshark Export HTTP Obje Listesi Arayüzü

 

Wireshark’a Dahil Araçlar

 

Wireshark içerisine dahil olan araçlar vardır. Bunlardan iki tanesi “Öergecap” ve “capinfos” adlı araçlardır. Bunlar ile Wireshark içinden çeşitli işlemler yapabiliriz.

 

Mergecap:

 

Wireshark ile birlikte kurulu gelen “Mergecap” isimli araç iki farklı pcap ve diğer desteklenen dosya ağ trafiği değeri taşıyan dosyayı birleştirebilmektedir.

 

capinfos:

 

Elinizde bulunan pcap, cap gibi formatlarda olan, Wireshark tarafından desteklenen, dosyalar hakkında bilgi toplamak amacı ile kullanılabilen ve Wireshark ile gelen ek bir araçtır.

Yorumlar

EMRE UZUN
18.12.2021 - 10:38

Güzel bir analiz olmuş, eline sağlık.

Kıvanç Şenvardar
21.02.2022 - 01:55

Voip hizmetlerinde sorunu bulmak için paketleri wireshark ile capture ederek güzel bir troobleshooting  yapma imkanı veren sevdiğim bir program.