Ethereal adıyla 1998 yılında faaliyete başlayan proje, dünyanın dört bir yanındaki ağ uzmanlarının da katkısıyla günümüzün önder ağ protokol analizcisi haline geldi.

Yeni sürümü Wireshark ismiyle çıkan yazılım, bilgisayarınıza ulaşan paketleri yakalamanıza ve bu paketlerin içeriğini görüntülemenize olanak tanıyor. Başka bir deyişle, bilgisayara bağlı olan her türlü ağ kartlarındaki (Ethernet kartı veya modem) tüm TCP/IP mesajlarını analiz edebilen bir programdır.

Bazı özellikleri:

• 750'nin üzerinde protokolü analiz edebilir. (Sürekli yenileri bu listeye ekleniyor.)
• Gerçek zamanlı analiz yapabilir.
• Bir analizi filtre edebilir ("sadece HTTP mesajlarını göster" gibi).
• Paket listesinde hızlı ve sezgisel analiz için, renklendirme kuralları uygulayabilir.
• Birçok protokol için şifre çözme desteği sunabiliyor (IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP ve WPA/WPA2'yi içerir)
• Endüstrideki en güçlü gösterim filtrelerine sahiptir. Gzip ile sıkıştırılmış dosyaları yakalarken, sıkıştırmasını havadayken açabilir.

Bundan yaklaşık 10 yıl önce insanlara bilgisayarda en çok ne yaparsanız desek, “Elbette İnternet için kullanıyorum”dan başka bir cevap alabilirdik. Ancak teknoloji rüzgarının İnternet tarafından esmesiyle birlikte, günümüzde bu soruya farklı cevap verecek birisini bulmamız çok zor gözüküyor.

İnternet günlük yaşamımızın vazgeçilmez bir parçası haline gelmişken, acaba İnternet'in kelime anlamını bilmeyenlerimiz var mıdır? (1985 yılında kullanılmaya başlayan Internet sözcüğü, "kendi aralarında bağlantılı ağlar" anlamına gelmiyor.) Biraz daha ilerlersek, İnternet tarayıcımıza bir tıkla istediğimiz sayfayı açtırabiliyoruz. Peki ama bu sayfalar nasıl açılıyor? Bilgiler nasıl geliyor? Nasıl gidiyor? Bu bilgiler nasıl istenmeyen kişilerin eline geçiyor? Eğer bu sorular ilginizi çekiyorsa, Wireshark da ilginizi çekecek demektir.

Kurulum kısmına geçmeden önce, ağ analizinin kullanım alanlarından dikkat çeken üç tanesine bakalım:

• Ağdaki problemleri çözmede ve ağ performansını analiz etmede kullanılır.
• Casus yazılımları bulmada ve ağa izinsiz girenleri tespit etmede kullanılır.
• Paketlerdeki ikili veri seklindeki bilgileri, okunabilir bir şekle dönüştürmede kullanılır.

Pardus'un kullanışlı paket yöneticisi sayesinde, Wireshark'ı tek tıklamayla kurabiliyoruz.

Programı kurduktan sonra terminalden "su wireshark" yazarak ana ekrana ulaşılabiliyor. Fazla vakit kaybetmeden ilk paketlerimizi yakalamak için ana ekrandan:

Capture > Interfaces yolundan kullandığımız ağı seçmemiz yeterli.

İşte İnternet'ten gelen ve giden bilgiler karşımızda.

Ana ekran bileşenleri

Summary window: Yakalanan her bir paket için bir satırlık özet bilgi sunar. Summary window sütunlarından; source sütunu paketin nereden geldiğini, destination sütunu paketin nereye gittiğini, Protocol sütünu protokol isminin kısaltılmış halini ve info sütunu da paket içeriği hakkında ekstra bilgi gösteriyor.

Protokol tree window: Summary window'da seçili olan paketin detaylı bilgilerini, kullanıcıların anlayacağı şekilde düzenleyerek sunar.
Data view window: Seçili yerin içeriğini ikili veri olarak sunar. Protocol tree window'da bir yer seçildiği zaman, otomatik olarak Data view window'da o içeriği gözüküyor. Bu özellik kullanımı epey kolaylaştırıyor.

Filtreleme

Ağ üzerinden pek çok paket gelip gidiyor. Bir ev kullanıcısının ağında bile 5 dakika içerisinde 1.000’den fazla paket yakalanmış olabilir. Bu kadar çok paketin içerisinde aradığımız paketi bulabilmemiz için “Filter Bar” işlevi kullanılır. Çok basitçe açıklamak gerekirse, filter barın yanındaki “expression” seçeneğinden örneğin “HTTP” protokolünü seçersek, sadece http protokolünün paketleri gözükecektir. Filtrelemenin sadece bir bilgisayara gelen paketleri görüntüleme, belirli adreslere giden paketleri görüntüleme gibi pek çok faydalı özelliği bulunuyor, belki gelecek sayılarda bu konuları biraz daha açıklayabilirim.

Wireshark'ın anlatımı sayfalarca sürebilir ancak biz bilmemiz gereken temel özellikleri öğrendikten sonra Wireshark'ı kullanmaya başlıyalım. (Ayrıntılı bilgiyi, Güngör BASA arkadaşımla birlikte hazırladığımız yaklaşık 50 sayfalık “Kullanım Kılavuzu V1.0”ı bu adreste bulabilirsiniz.

Ağ üzerinden e-posta içeriğini görüntüleme

Wireshark’ı başlatıp, kullandığımız ağı (interface) seçerek paketleri yakalamaya başlıyoruz. Daha sonra herhangi bir kişiye e-posta atıyoruz. Örnek olarak e-posta başlığına “WIRESHARK”, içeriğine ise “AĞ PROTOKOL ANALIZCISI” yazıp yolluyoruz.

Wireshark’ın Filter expression bölümünden “http” protokolünü seçiyoruz yani filtreleme işlemini gerçekleştirmiş oluyoruz. Burada yakalanan paketlerden, “Info” sütunun POST/MAIL ile başlayanı gönderilen e-postayı içeriyor. O satırı seçtikten sonra Protocol tree window’dan Multipart Media Encapsulation satırını seçerek, genişletiyoruz. Aşağıya doğru taradığımızda (Protocol tree window’da seçili olan bilginin karşılığının, data view window’da belirginleşeceğini yukarda anlatmıştım), e-postanın bütün bilgilerine ulaşılabilir.

Aşağıdaki şekilde e-postanın bulunduğu paket seçilmiştir ve iletinin içeriği gözüküyor.