Wireshark Nedir ve Wireshark ile Ağ Dinlemesi Nasıl Yapılır?

Ağlar, kısaca bilgisayarlar arasındaki bağlantılardır. Bunu bir örümcek ağı gibi düşünebilir. Zaten isim de oradan geliyor. Bir birine entegre şekilde ilerleyen ve iletişim kuran bu köprüler ağ olarak tanımlanır. Bilgisayarımızdan bir sunucuya istek gönderdiğimiz de ya da daha basit tabiri ile internete çıktığımızda çeşitli köprülerden geçerek hedef makineye ulaşırız. Fakat bu gittiğimiz yollar kayıtlı ve bilinen yollardır. Şöyle ki kişisel bilgisayarımızdan ozgurlukicin.org web sitesine gitmek istediğimizde tarayıcımız aracılığı ile router e bir istek göndeririz. Router ISS yani servis sağlayıcımız aracılığı ile bizi uygun köprülerden geçirerek web sitesine götürür. Fakat bu yolu bilen, gören sadece bizler miyiz? Yoksa aynı ağda bulunduğumuz kişiler de bizim hangi istekleri hangi hedefe gönderdiğimizi görebilir mi? Elbette DNSCrypt gibi araçlar kullanmıyorsak çeşitli isteklerimiz başkalarının da gözlerinin önünden geçebilir. Elbette SSL sertifikası ile korunan sitelerde ne yaptığımız bir şekilde korunmaya çalışılsa da istek gönderdiğimiz adresler görünebilir. Tam bu noktada da Wireshark devreye giriyor. Wireshark elbette sadece ağ trafiğini izlemek için kullanılan bir araç değil çeşitli şekillerle ağın otopsisinin yapılmasını sağlayan bir araç.

Wireshark ağ istatistiklerini, paketleri, hataları ve hatta VoIP trafiğini izleyerek SIP Paketlerinin bile çözümlenmesini sağlayan bir araç. GNU/Pisi Linux depomuzda da stabil bir sürümü bulunan Wireshark hem IT teknisyenleri, hem Siber Güvenlik Araştırmacıları hem de meraklı kullanıcılar için oldukça efektif ve kullanışlı bir araç. Şimdi çeşitli ekran görüntüleri ile Wireshark aracı ile ağ trafiği üzerinde ufak tefek çeşitli izlemelerin nasıl yapıldığını görmeye çalışalım.

 

wireshark

Wireshark yazılımını ilk çalıştırdığımızda karşımıza bağlantılarımız çıkacaktır. Hangi ağı analiz etmek istediğimizi seçerek ağı dinlemeye başlayabiliriz. Wi-Fi Trafik sekmesindeki spektrumlar dikkatinizi çekmiştir. Bu spektrumlar bu arayüzde bir trafik olduğunu belirtiyor. Wi-Fi arayüzünü seçerek işlem yapmaya başlayabiliriz.

 

 

Wireshark çalışmaya başladıktan sonra ağdaki paketleri analiz etmeye başlıyor. Burada makinelerin IP adreslerini, hedef makine IP adreslerini ve hangi protokollerin çalıştığını görebiliriz. Burada DNS (Adres Çözümleme Protokolüne) protokolünü baktığımız zaman www.google.com adresine bir istek gönderdiğini ve buradan bir response yani cevap aldığını görüyoruz. Bu ilgili IP adresinin google.com’a bağlantı isteği gerçekleştirdiğini ve google.com sunucusundan bir cevap aldığını yani aralarında iletişim kurulduğunu gösteriyor. Bunun yanı sıra HTTP, TCP ve UDP gibi pek çok protokol üzerinde ne tür paketler ile çalıştığını görebiliyoruz. Elbette bunlar sadece basit ön izlemeler. Paketleri detaylı incelediğimiz zaman bu istekler hakkında detaylı bilgilere erişebiliyoruz. Daha güzeli  bu paketleri kayıt edip daha sonra dilediğimiz zaman analiz yapabiliyoruz. Bu adli incelemelerde disklerin katı kalıbını almaya benziyor. Sadece paketleri incelemek ile kalmıyor çeşitli WiFi ağlarını da inceleyip daha sonra bunlar üzerinde BruteForce gibi teknikler deneyebiliyoruz.

 

Wireshark’ı efektif kullanmanın en iyi yolu filtrelemeleri kullanmaktır. Hedef araştırmamıza göre DNS filtrelerini, HTTP filtrelerini, TCP ya da IP Filtreleri gibi pek çok filtreyi kullanabiliriz.

 

 

 

wireshark

 

Burada ip.addr = =  filtresini kullanarak bağlantıları filtrelediğimiz zaman çeşitli sonuçların düzenlenmiş bir şekilde karşımıza geldiğini görebiliriz. İlk ön izlememizde bağlantıların hangi portları kullandığını, hangi DNS’ gittiğini ve ne kadar bant genişliği kullandığını da görebiliyoruz. Yine paketleri detaylı analiz ettiğimiz zaman çok fazla bilgi edinebiliyoruz.

 

Aşağıdaki bağlantıdan Wireshark’ın wikisine ulaşabilir ve ayrıntılı filtreleme örneklerini görebilirsiniz.

https://wiki.wireshark.org/DisplayFilters

 

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir