6 Mart 2015 Cuma

Wireshark

Wireshark nedir?

Wireshark (eski adıyla Ethereal) anlık network trafiğini grafik arayüzü üzerinden izlemeyi sağlayan bir network analiz yazılımıdır (= network sniffer). Wireshark ile birlikte gelen WinPCap yazılımı network ün anlık olarak dinlenmesini sağlar.

Wireshark nasıl kullanılır?


Wireshark GUI de Start ve Stop butonları ile yakalama işlemini başlatıp durdurabiliyoruz.
Yapılan kaydı Export sekmesinden XML formatı seçerek dosyaya aktarabiliyoruz.
Filtre kısmından yararlanarak trafiğin belli bir bölümünü süzerek dinleyebiliriz.

Wireshark'ta promiscuous mode ayarını açmazsak sadece kendimize gelen trafiği görürüz. Promiscuous modu açtığımızda ise aslında networkteki başka bir adrese doğru gitmekte olan, fakat networkün doğası gereği bizim adresimizden transit geçen bütün paketleri de yakalayıp göz atabiliriz.
Yani aynı ağda bulunan diğer cihazların da trafiğini görebiliriz.

Wireshark'ta kaydedilen trafiği dosyaya kaydetmek



Wireshark'ta bir süre network'ü dinleyip elde edilen trafik kayıtlarını xml formatında yazdırmak mümkün. Böylece bu kayıtları dilediğimiz gibi analiz edip yorumlayabiliyoruz.

Export edilen xml dosyası paket bilgilerini olduğu gibi incelemeyi kolaylaştırıyor.

Wireshark tarafından yakalanan bir paket örneği:

<packet>
  <proto name="geninfo" pos="0" showname="General information" size="208">
    <field name="num" pos="0" show="1" showname="Number" value="1" size="208"/>
    <field name="len" pos="0" show="208" showname="Frame Length" value="d0" size="208"/>
    <field name="caplen" pos="0" show="208" showname="Captured Length" value="d0" size="208"/>
    <field name="timestamp" pos="0" show="Feb  3, 2015 19:09:40.167009000 GTB Standard Time" showname="Captured Time" value="1422983380.167009000" size="208"/>
  </proto>
  <proto name="frame" showname="Frame 1: 208 bytes on wire (1664 bits), 208 bytes captured (1664 bits)" size="208" pos="0">
    <field name="frame.encap_type" showname="Encapsulation type: Ethernet (1)" size="0" pos="0" show="1"/>
...

Bu xml dosyasını basit bir parser ile analiz ederek grafik tablolar ya da rakamsal sonuçlar haline döktüğümüzde daha önce farkına varmadığımız şeyleri görmemiz mümkün.

Özellikle bulunduğumuz networkte bulunan diğer kullanıcıların neleri görebildiğini farkediyoruz.
Bunun yanında bazı programların devamlı arka planda ping attığını ya da update vb bahanelerle serverlarına oldukça sık aralıklarla bağlantı kurarak veri alışverişi yaptığını görebilirsiniz.

Wireshark'ta GUI'den canlı olarak anlık network trafiğini izlemek


Kaydedilmiş dosyaları incelemek yerine programın grafik arayüzünden anlık olarak da trafiği inceleyebiliriz.
Burada önemli olan öncelikle çok fazla veri ile karşı karşıya olmamızdır. Bütün network trafiği ilk bakışta karmakarışık bir görüntü sergiliyor.
Kafa karıştırmadan sadece ilgilendiğimiz paketleri elde etmek için wireshark'ta filtre kullanabiliyoruz. Filtreler yardımıyla belli ip adreslerine gidip gelen paketleri seçerek inceleyebiliyoruz.

Örneğin filtre kısmına http yazdığımızda sadece http trafiğini süzerek http dışında kalan trafiği görmezden gelebiliyoruz. Böylece istemediğimiz veriler boş yere kalabalık yapmıyor, dikkat dağıtmıyor.

Wireshark'ta filtre kullanımı

Filtre kullanımına örnek olarak bir protokol ismini verebiliriz.
Mesela atılan pingleri izlemek istiyorsak filtre olarak icmp yazarız. Bilindiği gibi ping HTTP değil ICMP protokolünü kullanır.
Komut satırını açıp herhangi bir adrese ping attığımızda filtre ile süzülmüş görüntüde sadece attığımız ping paketlerini canlı olarak izleyebiliriz.

Başka bir örnek de filtre olarak dns yazılabilir. Bu filtre ile DNS sorgularının anlık olarak işleyişini yakından görebiliriz.

Yine filtre kısmına http yazarak bütün HTTP trafiğini izleyebiliriz.

Wireshark ile neler yapılabilir?


Örneğin skype konuşması yaparken ya da chat yaparken verilerinizin networkte nasıl taşındığını incelemek çok aydınlatıcı olabilir.

Ya da açık olan hiçbir program yokken sizin bilginiz haricinde arka planda kurulan bağlantıları inceleyebilirsiniz.

Hiç yorum yok:

Yorum Gönder