THT DUYURU

Network Network İle İlgili Bölümümüz ...

chat
Seçenekler

TShark Nedir? *Detaylı Anlatım* / R4V3N

R4V3N - ait Kullanıcı Resmi (Avatar)
Çevirmen
Üyelik tarihi:
07/2016
Nereden:
Cræzy
Yaş:
22
Mesajlar:
6.181
Konular:
352
Teşekkür (Etti):
817
Teşekkür (Aldı):
2344
Ticaret:
(0) %
16-02-2020 19:10
#1
Post
TShark Nedir? *Detaylı Anlatım* / R4V3N

Konu İçeriği:
  • Ağ Trafiği
  • TShark'a Giriş
  • Arayüzler Listesi
  • Trafik Yakalama
  • Promiscuous Modunda Arayüz Yakalama
  • Paket Sayısı Yakalama
  • Bir Dosyada Okuma ve Yazma
  • Ayrıntılı Mod
  • Çıktı Düzeni
    • PDML
    • PS
    • PSML
    • JSON
    • EK
    • Text
    • Tabs
  • Şifrelenmiş Paketler ve Şifresi Kırılmış Paketler Arasındaki Farklar
  • PDML Dosyasını HTML Sayfasına Dönüştürme
  • Belirli bir Port Paketi Yakalama
  • Görüntüleme Filtresi

Ağ Trafiği

Bildiğimiz gibi, ağ trafiği veya veri trafiği, belirli bir zamanda ağ üzerinden aktarılan veri miktarıdır. Bilgisayar ağlarındaki ağ verileri, ağ veri paketleri biçimindedir. Bu ağ paketlerini analiz etmek, trafiği izlememize yardımcı olduğu için ağ güvenliği sağlar. Bir avantaj olarak, bir ağda olası bir saldırı belirtisi olan olağandışı miktarda veri trafiği varsa, Tshark çok geç olmadan bize saldırıyı bitirmede yardımcı olabilir.

Trafik hacmi, ağ trafiği analizinin bir alt terimdir. Ağ trafiği hacmi, yapılan toplam işin ölçüsüdür. Ağ veri paketi çalışmasının ortalama veri trafiği yoğunluğu ve süresi olarak tanımlanır.

TShark'a Giriş

Tshark, iyi bilinen ve güçlü bir komut satırı aracıdır ve bir ağ analizörü olarak kullanılır. Wireshark tarafından geliştirilmiştir. Çalışma yapısı Tcpdump ile oldukça benzer, ondan farklı olarak bazı güçlü kod çözücüleri ve filtreleri var. TShark, farklı ağ katmanlarının veri paketleri bilgilerini yakalayabilir ve farklı formatlarda görüntüleyebilir.

TShark, gerçek zamanlı ağ trafiğini analiz etmek için kullanılır ve bilgileri analiz etmek, bu bağlantıların ayrıntılarını incelemek için .pcap dosyalarını okuyabilir ve güvenlik profesyonellerinin ağ sorunlarını tanımlamasına yardımcı olabilir.

TShark, Wireshark'ın yaptığı her şeyi yapabilen komut satırı tabanlı bir araçtır. Öyleyse TShark ile öğrenme sürecimize başlayalım ve bu aracı başlatalım ve seçeneklerini keşfedelim. Tüm parametreleri kontrol etmek için aşağıdaki komutu kullanın:

Kod:
tshark -h




Arayüzler Listesi

TShark, trafiğini yakalayabileceği arayüzlerin bir listesini yazdırır. Her arayüze seri numaraları denir ve görebildiğiniz gibi ağ arayüzünün metin açıklaması gelir. Bu arayüzler -i parametresi kullanılarak belirtilebilir. Ve bu arayüzleri kontrol etmek için aşağıdaki resimde gösterildiği gibi -D parametresini kullanabilirsiniz:

Kod:
tshark -D




Trafik Yakalama

Şimdi de trafik yakalamaya çalışalım. Elimizde trafiğini yakalayabileceğimiz çeşitli arayüzler var lakin ihtiyacımıza göre sadece bir tanesini seçebileceğiz. Bu konuda biz "eth0" kullanacağız. Trafiği yakalamak için, kontrollü bir ağ üzerinde test ederken de bir tane başlatmamız gerekiyor ve bunun için ping komutu kullanıyoruz ve sonra trafiği yakalamak için aşağıdaki resimde gösterildiği gibi -i parametresini kullanarak arayüz adını belirtmemiz gerekiyor:

Kod:
ping www.hackingarticles.in
tshark -i eth0



Açıkça görebileceğimiz üzere üçlü el sıkışma uyguluyor, sonrasında da ICMP istek ve yanıt işlemini başlatıyor.

Promiscuous Modunda Arayüz Yakalama

Ağ iletişiminde promiscuous modu, tshark'ın kareleri karışık moda geçirmek yerine aldığı tüm trafiği CPU'ya geçirmesine neden olan bir arayüz denetleyicisi olarak kullanılır.

Bu modu kullanırken, ifconfig yardımı ile yapılandırmamız gerekir ki bizim için tüm ağın veri paketlerini yakalayabilsin. Bu yüzden, bir siteyi pingleyip veri paketlerini yakalayarak başlayacağız.


Şimdi de aşağıdaki kodlarla promiscuous modu yapılandıralım ve paketleri yakalayalım:

Kod:
ifconfig eth0 promisc
tshark -i eth0




Paket Sayısı Yakalama

Tshark'ın daha verimli çalışmamızı sağlayan harika bir özelliği vardır, biz bu özelliklere çeşitli parametreler kullanarak erişebiliriz. Misal bahsettiğim parametrelerden biri de "-c". Bu bize gereken verilerin tam sayısını yakalamamıza yardımcı olur ve sadece bunu gösterir. Bu seçenek çıktıda bir nevi arıtma yapar ve tam ihtiyacımız buysa sadece bunu göstertir.

Kod:
tshark -i eth0 -c 10



Yukarıdaki resimde de görebileceğimiz üzere 10'dan sonra saymayı durdurdu.

Bir Dosyada Okuma ve Yazma

Tshark'ta .pcap dosyasını okuyabilir ve yazabiliriz de. Yazma seçeneği (-w) bize standart bir .pcap dosyasına raw paketi veri çıktısını yazdırmamıza olanak sağlarken okuma seçeneği ise (-r) bize istediğimiz biçimde raw çıktısı veri paketlerini okumamıza yardımcı oluyor. Aşağıdaki kodla .pcap dosyasına paket yazdırabilirsiniz:

Kod:
tshark -i eth0 -c 10 -w packets.pcap


Ve söz konusu .pcap dosyasını aşağıdaki kodla okuyabilirsiniz:

Kod:
tshark -r packets.pcap




Ayrıntılı Mod

Ayrıntılı mod, bize trafikte paketin detaylarını ek bilgilerle harbi detaylı şekilde sunuyor. Ayrıntılı modu kullanarak her bir paketin içindeki bilgileri görebiliriz. Bu seçeneği kullanmamız için gereken parametre -V.

Kod:
tshark -r packets.pcap -V



Çıktı Düzeni

Kolaylık açısından tshark'ta, şifresi kırılmış paketleri çeşitli düzenlerde kaydetmemize yarayan -T seçeneği mevcut. Çıktıyı dilediğiniz şekilde alabiliyorsunuz. Tüm seçenekleri görmek için aşağıdaki kod gerekli:

Kod:
tshark -T x



PDML

PDML açılımı Packet Details Mark-Up Language, Türkçesi Paket Detaylı İşaretleme Dili. Bu, XML tabanlı bir çıktıdır. Bunun kullanımı genelde ayrıntılı modda olur ki yukarıda da görebilirsiniz. Bu düzende çıktı alabilmek için gerekli olan kod:

Kod:
tshark -r packets.pcap -T pdml



PS

PS açılımı PostScript. Bu çıktıda tek tek satırda aşağı doğru iner bilgiler ve anlaması da gayet basittir. Kullanım için gereken kod:

Kod:
tshark -r packets.pcap -T ps



PSML

PSML açılımı Packet Summary Mark-Up Language, Türkçesi Paket Detaysız İşaretleme Dili. Bu da PDML gibi XML tabanlı bir düzendir ama ondan farkı paketin detaylandırılan bilgilerini kısa kesmesi özetlemesi. Bu düzen için:

Kod:
tshark -r packets.pcap -T psml



JSON

JSON açılımı Java-Script Object Notation, Türkçesi Java-Script Nesne Gösterimi. Okunabilir bir formda açık olan standart dosya düzenidir. Kullanmak için gereken kod:

Kod:
tshark -r packets.pcap -T json



EK

EK ise JSON'ın yeni satır olmayan hali. Kullanım için:

Kod:
tshark -r packets.pcap -T ek



Text

Adı üstünde metin hali, her bir paket birer satırlarda veriliyor. Böyle çıktı alabilmek için:

Kod:
tshark -r packets.pcap -T text



Tabs

Bu da text'e çok benziyor, tek farkı ASCII yatay sekmeler (oxo9) halinde. Denemek için:

tshark -r packets.pcap -T tabs



Şifrelenmiş Paketler ve Şifresi Kırılmış Paketler Arasındaki Farklar

.pcap dosyasında canlı veri paketlerini yazmaya çalıştığımızda tüm o veri paketlerini daha küçük parçalara sıkıştırırız. Bu veri paketlerini daha iyi anlayabilmek için şifresini kırmamız lazım, ki bu da dosyanın ilk andaki boyutu ile sonrasındaki boyutu arasındaki farka götürür. Bunu kontrol etmek için:

Kod:
ls -lh packets.p*



Bahsettiğimiz gibi bu dosyalar arasında bir hayli fark var, işte bu yüzden bu bilgiyi çıkartmak için şifresini kırmamız lazım.

PDML Dosyasını HTML Sayfasına Dönüştürme

Wireshark ile tshark arasındaki tek fark: Wireshark, GUI tabanlı; tshark ise komut satırı tabanlı bir araçtır. Ama bazı dış kaynakların yardımı ile veri paketlerimizi HTML biçiminde de görebiliyoruz. Bunu yapabilmek için öncelikle veri paketlerini PDML olarak kaydetmemiz, sonrasında XML dosyaya aşağıdaki kodu kullanarak dönüştürmemiz lazım:

Kod:
tshark -r packets.pcap -T pdml > packets.xml


XML dosyasının kaydedileceği yer /usr/share/wireshark/pdml2html.xsl. Sonrasında da, xsltproc aracını kullanacağız.

Kod:
xsltproc /usr/share/wireshark/pdml2html.xsl packets.xml > packets.html


HTML sayfasını tarayıcıda açmak için gereken kod:

Kod:
firefox packets.html &





Belirli bir Port Paketi Yakalama

Birçok sefer Wireshark'ı belirli bir port için kullandık. -f parametresi sağolsun tshark'ta da belirli bir port'un veri paketlerini yakalayabiliriz. Ağın veri paketlerini daha iyi analiz etmemize yardımcı olur. Misal TCP port 80 için gereken kod:

Kod:
tshark -i eth0 -c 5 -f "tcp port 80"



Görüntüleme Filtresi

Görüntüleme filtresi Wireshark tarafından tanıtıldı. Bizlere, yakalanan veya canlı veri paketlerini filtreleme konusunda yardımcı oluyor. Bu filtreleme yardımı ile istediğimizi karşımıza getirebiliriz.

Misal trafikten sadece GET isteği yakalamak istiyorsak:

Kod:
tshark -i eth0 -c 5 -f "tcp port 80" -Y 'http.request.method == "GET" '


---------------------
You only live once, don't let it go to waste
Telegram
Twitter

Konu R4V3N tarafından (16-02-2020 20:13 Saat 20:13 ) değiştirilmiştir.
Dargaaltay - ait Kullanıcı Resmi (Avatar)
VIP Altın Üye
Üyelik tarihi:
03/2019
Mesajlar:
393
Konular:
39
Teşekkür (Etti):
85
Teşekkür (Aldı):
136
Ticaret:
(0) %
16-02-2020 20:22
#2
Cevap: TShark Nedir? *Detaylı Anlatım* / R4V3N
Elinize sağlık hocam
--------------------- Virüs ile uslanmayan hacker’a etmeli tektir, tekdir ile uslanmayan hacker’ın hakkı kötektir.
ClodyBye - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
12/2018
Nereden:
DESTURSSUZ
Mesajlar:
61
Konular:
16
Teşekkür (Etti):
12
Teşekkür (Aldı):
6
Ticaret:
(0) %
16-02-2020 20:24
#3
Cevap: TShark Nedir? *Detaylı Anlatım* / R4V3N
Eline Sağlık hocam Güzel bir anlatim olmuş
0x762 - ait Kullanıcı Resmi (Avatar)
T Ü R K
Üyelik tarihi:
04/2007
Mesajlar:
38.817
Konular:
470
Teşekkür (Etti):
0
Teşekkür (Aldı):
4399
Ticaret:
(0) %
16-02-2020 20:39
#4
Cevap: TShark Nedir? *Detaylı Anlatım* / R4V3N
Eline sağlık
R4V3N Teşekkür etti.
kanserojen - ait Kullanıcı Resmi (Avatar)
İstihbarat Tim (Stajyer)
Üyelik tarihi:
12/2018
Mesajlar:
451
Konular:
59
Teşekkür (Etti):
371
Teşekkür (Aldı):
403
Ticaret:
(0) %
16-02-2020 20:44
#5
Lightbulb
Cevap: TShark Nedir? *Detaylı Anlatım* / R4V3N
Ellerinize Sağlık hocam çok güzel kaliteli bir konu olmuş bi biz böyle açamadık
---------------------
𝔦𝔰𝔱𝔦𝔥𝔟𝔞𝔯𝔞𝔱 𝔱𝔦𝔪𝔦
Konu kanserojen tarafından (16-02-2020 20:49 Saat 20:49 ) değiştirilmiştir.
M4K4R - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
03/2017
Nereden:
TristanCunha
Yaş:
79
Mesajlar:
4.367
Konular:
249
Teşekkür (Etti):
156
Teşekkür (Aldı):
898
Ticaret:
(0) %
16-02-2020 20:47
#6
Cevap: TShark Nedir? *Detaylı Anlatım* / R4V3N
Eline sağlık
R4V3N Teşekkür etti.
haramboy - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
12/2019
Mesajlar:
36
Konular:
11
Teşekkür (Etti):
9
Teşekkür (Aldı):
0
Ticaret:
(0) %
16-02-2020 21:13
#7
Cevap: TShark Nedir? *Detaylı Anlatım* / R4V3N
Harika ilk defa sıkılmadan okudum,eline sağlık
"P4RS - ait Kullanıcı Resmi (Avatar)
Purple Team Lideri
Üyelik tarihi:
01/2017
Nereden:
Balkes
Yaş:
19
Mesajlar:
4.769
Konular:
534
Teşekkür (Etti):
1352
Teşekkür (Aldı):
2733
Ticaret:
(0) %
17-02-2020 10:45
#8
Cevap: TShark Nedir? *Detaylı Anlatım* / R4V3N
Ellerine sağlık...
---------------------



purple-team@turkhackteam.org

Eronmay - ait Kullanıcı Resmi (Avatar)
Moderatör
Üyelik tarihi:
07/2016
Nereden:
Canada
Yaş:
22
Mesajlar:
1.912
Konular:
186
Teşekkür (Etti):
451
Teşekkür (Aldı):
430
Ticaret:
(0) %
17-02-2020 11:16
#9
Cevap: TShark Nedir? *Detaylı Anlatım* / R4V3N
Eline Sağlık
---------------------

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler