Wireshark nedir?
Wireshark en yaygın ağ protokolü analizcisidir. GNU Genel Kamu Lisansı (GPL) şartlarını izleyerek ücretsiz ve açık kaynaklı bir paket olmanın yanısıra, ağ sorun giderme, analiz, yazılım ve iletişim protokolü geliştirme ve eğitim söz konusu olduğunda bunu kullanıyoruz. Kullanıcılarına ağlarında neler olduğunu mikroskobik seviyede gösterir. Ticari ve kar amacı gütmeyen kuruluşların, hükümet kurumlarının ve eğitim kurumlarının çoğunluğu Wireshark'ı kullanıyor.
Tarih:
1998 yılında Missouri-Kansas City Üniversitesi'nde bilgisayar bilimi mezunu olan Gerald Combs bir projeye başladı ve Ethereal adını verdi. Wireshark'ın temel temeli idi. Combs'ın CACE Technologies ile çalışmaya başladığı 2006 yılından bu yana bu projenin kodunun çoğunun telif haklarını elinde bulundurması. Kodun geri kalanı GPL Şartları altında herhangi bir değişiklik için açıldı. Ardından, evrenin etrafındaki ağ uzmanlarının gönüllü katkıları projeye eklendi ve günümüzde olduğu gibi meşhur ve yaygın olarak kullanılıyordu.
Combs, Ethereal markasına sahip olmadığı için adını Wireshark'a değiştirmeye karar verdi. Riverbed Technology'nin Wireshark'ın ana sponsoru olmak için CACE Technologies'i satın aldığı 2010 yılına kadar değildi. Bu ürüne 600'den fazla yazarın katkısı var; hala, Combs genel kodu korumak ve Wireshark'ın yeni sürüm sürümlerini yürütmekle sorumludur.
Wireshark, bugünün ağ güvenliğindeki hayati rolüyle birçok ödül kazandı. EWeek tarafından Tüm Zamanların En Önemli Açık Kaynak Uygulaması için bir ödül aldı. Ayrıca, PC Magazine'den Editörün Seçimi ödülünü kazandı. Buna ek olarak, Insecure.Org ağ güvenlik araçları araştırması bir üst paket sniffer olarak sıralanır.
Wireshark'ın çalışma mantığı:
Yaygın bir paket analiz cihazı olan tcpdump'a benzer şekilde Wireshark, ağ paketlerini analiz etmemize izin verir, ancak grafiksel bir ön uç ve bazı ekstra entegre sıralama ve filtreleme seçenekleri sayesinde. Karma modunu destekliyorsa, bir Ağ Arabirim Denetleyicisi (NIC) bu moda yerleştirilir. Bu, genellikle arayüzdeki tüm trafiğin yalnızca arayüzün yapılandırılmış adresleri ve yayın / çoklu görev trafiğini değil görselleştirilmesi içindir.
Ancak, tüm ağ trafiğini elde etmek için, bağlantı noktası yansıtma ve ağ bağlantı noktaları gibi diğer teknikler kullanılır. Bu, bir bağlantı noktasındaki karışık modu kullanarak yapılır. Bu, bir portun mutlaka tüm ağ trafiğini almamasına bağlanır.
Wireshark 1.4 ve üstü, kablosuz ağ arabirim denetleyicilerini izleme moduna geçirme özelliğine sahiptir. Bazı paketler uzak bir makine tarafından yakalanır ve Wireshark'a gönderilirse, TZSP veya OmniPeek protokolü protokolleri - OmniPeek'in başka bir paket analizörü olduğu yerlerde - uzak makinelerinde yakalandıklarında analiz edilir.
Wireshark hangi özellikleri içerir?
Aslında, Wireshark geniş bir özellik yelpazesi sunuyor. Aşağıdaki noktalarda, özellikleri özetlemeye çalışacağım
Wireshark şunları sunmaktadır:
- Wireshark yüzlerce protokolü inceleyen bir ağ analizcisidir.
- Hem çevrimdışı analiz hem de canlı yakalama sağlar.
- Microsoft Windows, Linux, MacOS, Sun Solaris ve diğer bazı platformlar gibi çeşitli işletim sistemlerinde çalışa bilmektedir.
- Bir grafik kullanıcı arabirimi (GUI), yakalanan ağ verilerine göz atmamızı sağlayan QT widget araç seti kullanılarak desteklenir veya GUI olmayan sürümde, TTY modu TShark yardımcı programı da aynı amaçla kullanılabilir.
- İnternet Protokolü (VoIP) analizi için yeterli Ses sunar. Yakalanan bu trafiği çözerken medya akışını bile oynatabiliriz.
- Wireshark paketleri yakalamak için pcap kullanır.
- Kolayca sıkıştırılmış olan gzip formatında Resim dosyaları oluşturur.
- Bu tür yakalanan dosyalar, bazı komut satırı anahtarlarının yardımıyla "editcap" programlamasına program aracılığıyla düzenlenebilir veya değiştirilebilir.
- Ham Evrensel Seri Veri Yolu (USB) trafiğinin yakalanmasını sağlar.
- Wireshark, ns OPNET Modeler, NetSim ve diğer bazı ağ simülasyon araçlarından paket yakalayabilir.
- Yerel ağ izleme dosya formatı olan Tcpdump (libpcap), Pcap NG, Mancınık DCT2000, Cisco Secure IDS iplog, Microsoft Ağ İzleyicisi, Ağ Genel Sniffer, Sniffer Pro, NetXray, Network gibi birçok yakalama dosyası formatının okunmasını / yazılmasını destekler. Araçlar Gözlemci, NetScreen snoop, Novell LANalyzer, RADCOM WAN / LAN Analyzer, Shomiti / Finisar Sörveyör, Tektronix k12xx, Visual Networks Visual UpTime, WildPacketsEtherPeek / TokenPeek / AiroPeek ve diğer bazı formatlar.
- Canlı Veri'yi Ethernet IEEE 802.11, PPP / HDLC, ATM, geri döngü, Bluetooth, FDDI ve diğer birçok farklı yolla okur.
- Şifre çözme IPsec, ISAKMP, Kerberos, SNMPv3, SSL / TLS, WEP ve WPA / WPA2 gibi birçok protokol için desteklenir.
- Boyama kurallarının paket listesine uygulanması, hızlı ve kolay analiz yapılmasına olanak tanır. Daha fazla bilgi için Renk Kodlaması bölümüne bakınız.
- Biri, sadece tetiklenen trafiğin belirli filtreler, zamanlayıcılar ve diğer ayarları uygulayarak analiz edilmesini sağlayabilir.
- XML, PostScript, CSV veya düz metin, çıktının alındığı ve biçimlendirildiği tüm türlerdir.
Güvenlik politikaları:
Genel olarak, Wireshark veya TShark'ı kullanmamıza izin veren bazı güvenlik ayrıcalıklarına gerek yoktur. Günümüzde, yalnızca özel ayrıcalıklar verilmiş tcpdump veya dumpcap'a sahip olmak ve kullanıcı için herhangi bir ayrıcalık gerekmeden trafiği yakalamak için bir makinede çalışmayı gerektirir.
Ancak bir kullanıcı, bir kullanıcıya bahsi geçen zorunlu ayrıcalıkları nasıl verebilir? Cevap, temel olarak, Wireshark ile gelen tcpdump veya dumpcap'ın, paketleri bir dosyaya yakalamaları için özel ayrıcalıklara sahip olması gerçeğinde yatmaktadır. Bu dosya, Wireshark'ın ciddi kısıtlı ayrıcalıklarla analiz edilmesini gerektirecektir. Kablosuz ağlar bile Aircrack kablosuz güvenlik araçlarını kullanabilir ve daha sonra WPShark ile çalışan tcpdump dumpcap dosyalarını daha sonra okumak için IEEE 802.11 çerçevelerini yakalaya bilmektedir.
Kullanıcıları Wireshark'ı özgürce çalıştırmak ve araçlarını kullanmak için neden ayrıcalıklardan kısıtlamamız gerekiyor? Bu temel olarak, trafiğin yakalanması, büyük olasılıkla bir ağ güvenliği riski oluşturabilecek muazzam sayıda protokol distorsiyonunu çağırmasıdır. Bu distorsiyonlardan birinde bir hata bulma potansiyeli bulunduğundan ve bu yüzden de onu kullanarak, tüm güvenlik sistemini büyük bir riske sokar. Bu nedenle Ethereal / Wireshark'ı geçmişte çalıştırmak, potansiyel olarak etkilenebileceklerden sorumlu olmak için süper kullanıcı ayrıcalıklarına ihtiyaç duyuyordu.
Filtreleme Paketleri:
Bazen bir programın ev telefonu ararken gönderdiği trafik gibi belirli trafik paketlerini yakalamamız gerekir. Bir ağdaki çok sayıda yakalanmış paket olsa da, belirli bir trafik türünü elde etmek için ağdaki diğer tüm uygulamaları kapatmalıdır. Bu noktada Wiresharkın filtrelerinin önemi ortaya çıkıyor. Pencerenin üst kısmında, bu filtreyi uygulamak için sadece belirli bir filtre adını yazabildiğimiz bir filtre kutusu vardır ve ardından Uygula'yı tıklatmalı veya alternatif olarak Enter tuşuna basmalıyız. Örneğin sadece DNS paketlerini görmek için filtre kutusuna DNS yazıyoruz. Wireshark, ismini filtre kutusuna yazarken bir filtre ismini otomatik olarak tamamlamanıza yardımcı olur.
Renk kodlaması:
Yeşil, Mavi ve Siyah renkleri, yakalanan paketlerin türünü ayırt eder. Geleneksel olarak yeşil renk, İletim Denetimi Protokolü (TCP) trafiğini gösterir. Diğer yandan koyu mavi, Ad Sistemi (DNS) trafiğidir, açık mavi ise Kullanıcı Datagram Protokolü (UDP) trafiğini gösterir. Siyah, TCP paketlerini sipariş dışı gibi sorunlarla gösterir.
Nasıl Kullanılır?
Paket Yakalama
Wireshark'ı indirdikten ve yükledikten sonra, bu arabirimdeki paketleri yakalamaya başlamak için bunu başlatabilir ve Arabirim Listesi altındaki bir arabirimin adını tıklatabilirsiniz. Örneğin, kablosuz ağda trafik çekmek istiyorsanız kablosuz arayüzünüzü tıklayın. Gelişmiş özellikleri, Yakalama Seçenekleri'ni tıklatarak yapılandırabilirsiniz.
Arabirimin adını tıklar tıklamaz, paketlerin gerçek zamanlı olarak görünmeye başladığını görürsünüz. Wireshark, sisteminize gönderilen veya sisteminizden gönderilen her paketi yakalar. Kablosuz bir arayüzde çekim yapıyorsanız ve yakalama seçenekleriniz arasında karışık mod etkinse, ağdaki diğer paketleri de görebilirsiniz.
Renk kodlaması
Muhtemelen yeşil, mavi ve siyah renkte vurgulanan paketleri görürsünüz. Wireshark, bir bakışta trafik türlerini tanımlamanıza yardımcı olmak için renkleri kullanır. Varsayılan olarak yeşil, TCP trafiği, koyu mavi, DNS trafiği, açık mavi UDP trafiği ve siyah, TCP paketlerini sorunları ile tanımlar - örneğin, sipariş verilememiş olabilir.
Daha önce de belirttiğim gibi, Wireshark tüm platformlarda kullanılabilir, ancak bu diğer platformların hiçbiri Linux'un özellik paritesine sahip değildir.
Wireshark son derece güçlü bir araçtır ve bu eğitici sadece onunla ne yapabileceğinizin yüzeyini çiziyor. Profesyoneller bunu ağ protokolü uygulamalarında hata ayıklamak, güvenlik sorunlarını incelemek ve ağ protokolü dahililerini incelemek için kullanırlar. Wireshark ile yapabilecekleriniz için bu resmi DOKÜMANTASYON'a göz atın.
Kullanımını Yazılı olarak anlamayanlar için küçük bir video bırakıyorum
[ame]https://www.youtube.com/watch?v=xUj5DETXa0Q[/ame]
Kaynaklar
https://en.wikipedia.org/wiki/Wireshark
https://www.howtogeek.com/104278/how-to-use-wireshark-to-capture-filter-and-inspect-packets/amp/
https://www.wireshark.org/
https://wiki.wireshark.org/
SecTools.Org Top Network Security Tools
https://www.quora.com/unanswered/What-security-policies-can-you-check-using-Wireshark
https://en.wikipedia.org/wiki/Wireshark
https://www.howtogeek.com/104278/how-to-use-wireshark-to-capture-filter-and-inspect-packets/amp/
https://www.wireshark.org/
https://wiki.wireshark.org/
SecTools.Org Top Network Security Tools
https://www.quora.com/unanswered/What-security-policies-can-you-check-using-Wireshark
Son düzenleme:
