- 15 Mar 2021
- 781
- 167
Görevi Nedir? Ne İçin Yapılmıştır?
Wireshark ağ bağlantıları üzerinden gönderilen ve alınan veri paketlerini göstermek görevini alır, paketleri filtreleme,durdurma,analiz etme,istenilen paketleri görme, ip adreslerini görme ,port tarama,zararlı yazılım tespiti ve nice görevleri görebilir analizci arkadaşlar için vazgeçilmez bir programdır
Wireshark ağ bağlantıları üzerinden gönderilen ve alınan veri paketlerini göstermek görevini alır, paketleri filtreleme,durdurma,analiz etme,istenilen paketleri görme, ip adreslerini görme ,port tarama,zararlı yazılım tespiti ve nice görevleri görebilir analizci arkadaşlar için vazgeçilmez bir programdır
Kim Nasıl Yapmıştır?
Anlayacağınız üzere analiz aracıdır peki bu araç hangi dil ile yazılmıştır; C,C++ yazılım dilleri ile yazılmış durumdadır
Gerald Combs tarafından yapılıp wireshark geliştirme takımı tarafından güncel tutuluyor. Ve Wireshark 1998 yılında ortaya koyulmuştur.Başlangıç olarak Ethereal ismi ile ortaya çıkmış bu program belirli sebepler üzerine wireshark olarak ismini değişmiştir.
Linux,MacOS,Windows,Unix ve diğer işletim sistemleri üzerinde çalışabilir durumdadır ayrıca TShark adlı bir terminal tabanlı (GUI olmayan) sürümü de vardır.
Nasıl Kullanılır?
1. Açılış Ara Yüzü; İzlenebilecek Ağ kartları ,Ağ trafiğini daha hedefli ve rahat izlemek amacı ile filtre barı,Kısayol Atamaları barındıran kısımdır.
-Ağ kartları
*Eth0
*Eth1
*Wlan0
Gibi isimler barındırır ve seçilen kartın bağlantılarını izlemeye ve görüntülemeye alır.
Eth0 kartınızı seçip başlayabilirsiniz
2.Filtre Barı
: Komutlar ile çalışır ne işe yarar peki bu komutlar; istenilen ipyi izlemek Gibi şeyleri kısaca yaptırabilir.
tcp.port==443
*Bu Komutumuz protokol olarak TCP seçti ve port olarak 443 seçti onların dışında olan bağlantıları göstermez ama komutu çektiğinizde normaline devam eder.
host (ip adres)
*Bu komut istenilen ip adresinin ağ bağlantıları üzerine izlemeye almak için girilen komuttur
;net (ip adres) mask (ip adres ağ maskesi)
*Bu da daha detaylı filtre etmemize olanak sağlar
Gibi uzar gider bu komutlar şu Linkte çoğu komutları bulabilirsiniz. ;
https://wiki.wireshark.org/CaptureFilters(kaynakça olarak kullandım hem )
-Protokol sıralaması için
FTP
UDP
ARP
Gibi filtre komutları sadece ağ içindeki olan o protokoldeki bağlantıları gösterir
Alıntıdır
ip.dst==192.168.1.99
192.168.1.99 ip’ye giden paketleri dinler.
ip.addr == 192.168.1.1
Bu filtreleme gerek kaynak gerekse hedef ip adresinde 192.168.1.1 olan tüm satırları filtreler.
ip.src==192.168.1.99
192.168.1.99 nolu ip den giden paketleri dinler
ip.addr==192.168.1.1 && ip.addr==192.168.1.1
Bu filtreleme ile iki ip adresi arasındaki konuşmayı filtreleyebilirsiniz.
http or dns
Bu filtreleme ile ip kısıtı olmaksızın sadece http ve dns protokelleriyle ilgili stream’leri filtreleyebilirsiniz.
tcp.flags.reset==1
Bu filtre ile TCP Reset stream’lerini filtreleyebilirsiniz.
!(arp or icmp or dns)
Bu filtre ile tüm stream’lerin arasında aslında ihtiyacımız olmayan ve en çok göreceğimiz ARP, DNS ve ICMP satırlarını filtreleyebilirsiniz. Örneğin; Wireshark’ı RDP ile bağlandığınız bir sunucuda çalıştırdıysanız bu filtreye RDP’yi de ekleyebilirsiniz. Böylece RDP satırlarıda gizlenecektir.
tcp.analysis.retransmission
Bu filtre ile TCP ReTransmission stream’lerini görebilirsiniz.
udp contains XY
Bu filtre ile UDP paketinin HEX içeriğinde “XY” geçen stream’leri filtreleyebilirsiniz. Buradaki XY değerini ihtiyacınız olan değerler değiştirmeniz gerekmektedir.
http.request
Bu filtre ile http GET isteklerini filtreleyebilirsiniz.
Kaynakça
Enine Boyuna Wireshark ve Saldırı Analizleri
CaptureFilters - The Wireshark Wiki
Son düzenleme: