Wireshark nedir? Ne işe yarar?

Anonimbirix

Katılımcı Üye
15 Mar 2021
781
167
Görevi Nedir? Ne İçin Yapılmıştır?

Wireshark ağ bağlantıları üzerinden gönderilen ve alınan veri paketlerini göstermek görevini alır, paketleri filtreleme,durdurma,analiz etme,istenilen paketleri görme, ip adreslerini görme ,port tarama,zararlı yazılım tespiti ve nice görevleri görebilir analizci arkadaşlar için vazgeçilmez bir programdır :)


Kim Nasıl Yapmıştır?
Anlayacağınız üzere analiz aracıdır peki bu araç hangi dil ile yazılmıştır; C,C++ yazılım dilleri ile yazılmış durumdadır

Gerald Combs tarafından yapılıp wireshark geliştirme takımı tarafından güncel tutuluyor. Ve Wireshark 1998 yılında ortaya koyulmuştur.

Başlangıç olarak Ethereal ismi ile ortaya çıkmış bu program belirli sebepler üzerine wireshark olarak ismini değişmiştir.


Linux,MacOS,Windows,Unix ve diğer işletim sistemleri üzerinde çalışabilir durumdadır ayrıca TShark adlı bir terminal tabanlı (GUI olmayan) sürümü de vardır.

Nasıl Kullanılır?




1. Açılış Ara Yüzü; İzlenebilecek Ağ kartları ,Ağ trafiğini daha hedefli ve rahat izlemek amacı ile filtre barı,Kısayol Atamaları barındıran kısımdır.
-Ağ kartları
*Eth0
*Eth1
*Wlan0
Gibi isimler barındırır ve seçilen kartın bağlantılarını izlemeye ve görüntülemeye alır.
Eth0 kartınızı seçip başlayabilirsiniz


2.Filtre Barı


: Komutlar ile çalışır ne işe yarar peki bu komutlar; istenilen ipyi izlemek Gibi şeyleri kısaca yaptırabilir.


tcp.port==443
*Bu Komutumuz protokol olarak TCP seçti ve port olarak 443 seçti onların dışında olan bağlantıları göstermez ama komutu çektiğinizde normaline devam eder.


host (ip adres)
*Bu komut istenilen ip adresinin ağ bağlantıları üzerine izlemeye almak için girilen komuttur
;net (ip adres) mask (ip adres ağ maskesi)
*Bu da daha detaylı filtre etmemize olanak sağlar
Gibi uzar gider bu komutlar şu Linkte çoğu komutları bulabilirsiniz. ;
https://wiki.wireshark.org/CaptureFilters(kaynakça olarak kullandım hem :D)


-Protokol sıralaması için
FTP
UDP
ARP
Gibi filtre komutları sadece ağ içindeki olan o protokoldeki bağlantıları gösterir


Alıntıdır
ip.dst==192.168.1.99
192.168.1.99 ip’ye giden paketleri dinler.

ip.addr == 192.168.1.1
Bu filtreleme gerek kaynak gerekse hedef ip adresinde 192.168.1.1 olan tüm satırları filtreler.

ip.src==192.168.1.99
192.168.1.99 nolu ip den giden paketleri dinler

ip.addr==192.168.1.1 && ip.addr==192.168.1.1
Bu filtreleme ile iki ip adresi arasındaki konuşmayı filtreleyebilirsiniz.

http or dns
Bu filtreleme ile ip kısıtı olmaksızın sadece http ve dns protokelleriyle ilgili stream’leri filtreleyebilirsiniz.

tcp.flags.reset==1
Bu filtre ile TCP Reset stream’lerini filtreleyebilirsiniz.

!(arp or icmp or dns)
Bu filtre ile tüm stream’lerin arasında aslında ihtiyacımız olmayan ve en çok göreceğimiz ARP, DNS ve ICMP satırlarını filtreleyebilirsiniz. Örneğin; Wireshark’ı RDP ile bağlandığınız bir sunucuda çalıştırdıysanız bu filtreye RDP’yi de ekleyebilirsiniz. Böylece RDP satırlarıda gizlenecektir.

tcp.analysis.retransmission
Bu filtre ile TCP ReTransmission stream’lerini görebilirsiniz.

udp contains XY
Bu filtre ile UDP paketinin HEX içeriğinde “XY” geçen stream’leri filtreleyebilirsiniz. Buradaki XY değerini ihtiyacınız olan değerler değiştirmeniz gerekmektedir.

http.request
Bu filtre ile http GET isteklerini filtreleyebilirsiniz.
Kaynakça
Enine Boyuna Wireshark ve Saldırı Analizleri
CaptureFilters - The Wireshark Wiki
 
Son düzenleme:

Nonantiy

Moderasyon Ekibi Lider Yardımcısı
28 Haz 2020
1,961
1,057
Kayseri
Guzel bir anlatim olmus. Yaziyi ortalayip renklendirirsen daha guzel olabillir.
 

Anonimbirix

Katılımcı Üye
15 Mar 2021
781
167
Çok mutlu oldum teşekkürler yazıyı ortalamayı denedim fakat yapamadım yeni şeylere alışmak zor geliyor :D renklendirme konusunda her yeri renklendirip göz yormak istemedim biraz daha renk katabiliri

Bu kadar az kişi bakması beni üzdü.
 
Son düzenleme:

S_w_o_R_d

Uzman üye
17 Eki 2020
1,914
183
Neptün
Eline sağlık, güzel bir konu olmuş. Devlet organlarına kadar bir çok kişinin kullandığı bir program. :)
 

Qyxius

Yeni üye
17 Mar 2019
26
2
Görevi Nedir? Ne İçin Yapılmıştır?

Wireshark ağ bağlantıları üzerinden gönderilen ve alınan veri paketlerini göstermek görevini alır, paketleri filtreleme,durdurma,analiz etme,istenilen paketleri görme, ip adreslerini görme ,port tarama,zararlı yazılım tespiti ve nice görevleri görebilir analizci arkadaşlar için vazgeçilmez bir programdır :)


Kim Nasıl Yapmıştır?
Anlayacağınız üzere analiz aracıdır peki bu araç hangi dil ile yazılmıştır; C,C++ yazılım dilleri ile yazılmış durumdadır

Gerald Combs tarafından yapılıp wireshark geliştirme takımı tarafından güncel tutuluyor. Ve Wireshark 1998 yılında ortaya koyulmuştur.

Başlangıç olarak Ethereal ismi ile ortaya çıkmış bu program belirli sebepler üzerine wireshark olarak ismini değişmiştir.


Linux,MacOS,Windows,Unix ve diğer işletim sistemleri üzerinde çalışabilir durumdadır ayrıca TShark adlı bir terminal tabanlı (GUI olmayan) sürümü de vardır.

Nasıl Kullanılır?




1. Açılış Ara Yüzü; İzlenebilecek Ağ kartları ,Ağ trafiğini daha hedefli ve rahat izlemek amacı ile filtre barı,Kısayol Atamaları barındıran kısımdır.
-Ağ kartları
*Eth0
*Eth1
*Wlan0
Gibi isimler barındırır ve seçilen kartın bağlantılarını izlemeye ve görüntülemeye alır.
Eth0 kartınızı seçip başlayabilirsiniz


2.Filtre Barı


: Komutlar ile çalışır ne işe yarar peki bu komutlar; istenilen ipyi izlemek Gibi şeyleri kısaca yaptırabilir.


tcp.port==443
*Bu Komutumuz protokol olarak TCP seçti ve port olarak 443 seçti onların dışında olan bağlantıları göstermez ama komutu çektiğinizde normaline devam eder.


host (ip adres)
*Bu komut istenilen ip adresinin ağ bağlantıları üzerine izlemeye almak için girilen komuttur
;net (ip adres) mask (ip adres ağ maskesi)
*Bu da daha detaylı filtre etmemize olanak sağlar
Gibi uzar gider bu komutlar şu Linkte çoğu komutları bulabilirsiniz. ;
https://wiki.wireshark.org/CaptureFilters(kaynakça olarak kullandım hem :D)


-Protokol sıralaması için
FTP
UDP
ARP
Gibi filtre komutları sadece ağ içindeki olan o protokoldeki bağlantıları gösterir


Alıntıdır
ip.dst==192.168.1.99
192.168.1.99 ip’ye giden paketleri dinler.

ip.addr == 192.168.1.1
Bu filtreleme gerek kaynak gerekse hedef ip adresinde 192.168.1.1 olan tüm satırları filtreler.

ip.src==192.168.1.99
192.168.1.99 nolu ip den giden paketleri dinler

ip.addr==192.168.1.1 && ip.addr==192.168.1.55
Bu filtreleme ile iki ip adresi arasındaki konuşmayı filtreleyebilirsiniz.

http or dns
Bu filtreleme ile ip kısıtı olmaksızın sadece http ve dns protokelleriyle ilgili stream’leri filtreleyebilirsiniz.

tcp.flags.reset==1
Bu filtre ile TCP Reset stream’lerini filtreleyebilirsiniz.

!(arp or icmp or dns)
Bu filtre ile tüm stream’lerin arasında aslında ihtiyacımız olmayan ve en çok göreceğimiz ARP, DNS ve ICMP satırlarını filtreleyebilirsiniz. Örneğin; Wireshark’ı RDP ile bağlandığınız bir sunucuda çalıştırdıysanız bu filtreye RDP’yi de ekleyebilirsiniz. Böylece RDP satırlarıda gizlenecektir.

tcp.analysis.retransmission
Bu filtre ile TCP ReTransmission stream’lerini görebilirsiniz.

udp contains XY
Bu filtre ile UDP paketinin HEX içeriğinde “XY” geçen stream’leri filtreleyebilirsiniz. Buradaki XY değerini ihtiyacınız olan değerler değiştirmeniz gerekmektedir.

http.request
Bu filtre ile http GET isteklerini filtreleyebilirsiniz.
Kaynakça
Enine Boyuna Wireshark ve Saldırı Analizleri
CaptureFilters - The Wireshark Wiki
Guzel konu, teşekkürler.
 

Anonimbirix

Katılımcı Üye
15 Mar 2021
781
167
Çok teşekkürler herkese elimden geldiğince mini ve eğitici bir konu olmasına özen gösterdim
 
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.