Wireshark Giriş (Wireshark Introduction)

Wireshark network trafiğinin, bir grafik arayüz üzerinden izlenmesini sağlayan bir programdır. Uygulamanın kurulu olduğu bilgisayar üzerinden anlık network trafiği izlenebileceği gibi, Wireshark daha önce kaydedilmiş dosyaların incelenmesi amacı ile de kullanılabilir.

Download Wireshark 2.0.2

Kurulumda uygulama ile birlikte Windows işletim sisteminde WinPcap(Linux’de Libpcap) uygulaması kurulacaktır. WinPcap, kurulu olduğu bilgisayarın anlık Ethernet trafiğinin yakalanmasını sağlayan bir programdır. Wireshark bu uygulamadan gelen veriyi kullanarak grafik bir arayüz üzerinden Ethernet trafiğini izleme ve inceleme imkanı sağlar.

Wireshark Nereye Konumlandırılmalıdır ?

Firewall’un önüne mi arkasına mı? Router’ın LAN bacağına mı WAN bacağına mı?

Temel prensip trafiği izlenecek cihaz ile aynı switch üzerinde Wireshark kurulu olan bilgisayarı bağlamaktır. Yani izlenecek port için mirror port işlemi yapılmalıdır. Wireshark programı üzerinde ilk yapılması gereken trafik izleme işlemini hangi arayüz (interface) ile gerçekleştirilecekse onun için seçim işlemidir.

Port Mirror Simülasyonu

İlk olarak menüden [Capture] > [Options] patikası takip edilmelidir ve açılan pencerede [Input] sekmesinde istenilen arayüz seçilmelidir. Ayrıca [Enable promiscuous mode on all interfaces] seçeneği seçilmiş olmalıdır. Böylece tüm paketler dinlenmek için hazır hale getirilmiştir.

[Output] sekmesinde dinlenmek istenilen dosyanın saklanacağı yer ve format bilgileri düzenlenir.

Filter bölümüne çok çeşitli filtreler girerek sadece ilgilenilen trafiğin gösterilmesi sağlanabilmektedir. Filter önemli olmasının bir nedeni çoğu zaman incelenecek trafiğin dışında pek çok paket bilgi kirliliği oluşturup ve inceleme yapılmasını güçleştirir.

ip.dst_host contains “atauni” // atauni içeren trafik izlenir.
ip.addr==10.106.3.2 //IP adresi 10.106.3.2 olan trafik izlenir. 
//(Belirtilen IP Source veya Destination olabilir.)
ip.src==10.106.3.2 // Source IP adresi 10.106.3.2 olan trafik izlenir.
ip.dst=10.106.3.2 // Destination IP adresi 10.106.3.2 olan trafik izlenir.

https //https trafiği izlenir
smtp //smtp trafiği izlenir.
ftp //ftp trafiği izlenir.

tcp.port==443 //TCP portu 443 olan trafik izlenir.
tcp.port eq 443 // eq-equals anlamına gelir.
tcp.srcport==443 //TCP Source portu 443 olan trafik izlenir.
tcp.dstport==443 // TCP Destination portu 443 olan trafik izlenir.
udp.port==53 // UDP portu 53 olan trafik izlenir.
udp port eq 53

ip.src==192.168.1.0/24 
//255.255.255.0 subnet’i için(256 IP) trafik izlenir. 
eth.addr[0:6]==FF:FF:FF:FF:FF:FF 
//Ethernet kartı Mac adresiyle trafiği izlenir.

frame.len > 20 //Frame boyutu 20'den büyük trafik izlenir.
frame.len < 30 //Frame boyutu 30'dan küçük trafik izlenir.
frame.len gt 20 //gt-greater than anlamına gelir.
frame.len lt 30 //lt-less than anlamına gelir.
frame.len >=0x100      
frame.len <=0x20

ip.src==10.0.0.5 and tcp.flags.fin 
//Source IP adresi 10.0.0.5 olan ve TCP bayrağı fin olan trafik izlenir.
ip.scr==10.0.0.5 or ip.src==192.1.1.1 
//Source IP adresi 10.0.0.5 ya da 192.1.1.1 olan trafik izlenir.

not http //http olmayan trafik izlenir
! http // diğer yolu

Wireshark Editör Ortamı

Wireshark açılan welcome sayfasında [Capture] alanında [Ethernet], [Wi-Fi] ve [Yerel Ağ Bağlantısı] seçeneklerinden izlenecek trafik seçilir.

Wi-Fi capture ile trafik izlenir. No, Time, Source, Destination, Protocol, Length ve Info alanlarından oluşan tablo trafik akışına göre güncellenecektir.