AĞ PROTOKOL ANALİZ ARACI "WİRESHARK"
WİRESHARK NEDİR?
Wireshark bir ağ paket analizi aracıdır. Bir ağ paket analizörü, yakalanan paket verilerini mümkün olduğu kadar ayrıntılı olarak inceleme imkânı sunar. Ayrıca Wireshark ücretsiz ve açık kaynak kodlu bir araçtır. Wireshark, Windows bilgisayara kurulduğu esnada WinPcaP aracı birlikte gelir. WinPcaP, o an bağlı olan internet bağlantısını, Ethernet kartı üzerinden izlemesini sağlar. Asıl işi WinPcaP halleder fakat grafiksel olması için Wireshark arayüzü kullanılır.
WireShark kurulumuna https://www.wireshark.org/download.html linkinden erişebilirsiniz.
Wireshark Aracının Önemli Özellikleri
- Çeşitli birtakım istatistikleri sunması,
- Anlık paket yakalama ve yakalanmış paketleri çeşitli formatlarda istenilen renklendirme ile kaydedebilme yeteneği,
- Çoklu işletim sistemi desteği (Windows, Linux, MacOS),
- Farklı kriterlere göre filtreleme imkanı,
- Birçok protokol için şifre çözme desteği sunması (IPsec, ISAKMP, Kerberos, SSL, TLS, WPA/WPA2 vs.).
Gelin kısaca Wireshark aracımızın kullanımını inceleyelim.
1- İlk olarak aracımızı açtığımızda böyle bir ara yüz ile karşılaşıyoruz (Windows üzerinden de açılabilir ben Linux üzerinden açtım). Bu arayüzde şu an aktif olan interface’ ler gözükmektedir. Bu interface’ lerden herhangi birinin akış trafiğini görebiliriz. Biz “eth0” olan interface de inceleme yapacağımız için onu seçerek sol üst köşedeki paket yakalama (capture) tıklayarak inceleyeceğimiz arayüze giriş yapacağız. Ayrıca Wireshark hakkında detaylı bilgi için “Learn” kısmındaki linkleri inceleyebilirsiniz ve güncel sürümünü de görebilirsiniz.
2- Karşımıza böyle bir arayüz geliyor. Burası trafiği izleyeceğimiz ve inceleyeceğimiz alandır. Çeşitli protokoller ve paketlerin request/reply iletilerinin gelip gittiği görülmektedir. Ağ trafiğini daha iyi incelemek için ping atıyoruz (8.8.8.8 adresi). Görüldüğü üzere ICMP ve diğer paketler Wireshark arayüzüne düşmüştür.
3- İçeriğini incelemeden önce sol üst köşede ok ile gösterilen “display filter” arama çubuğu ile incelenmek üzere görüntülenmesini istediğimiz protokolleri filtreleyebiliyoruz. Panelin üstündeki toolbarlar No, Time, Source, Destination, Protocol, Length, İnfo sütunları ve sırasıyla zaman sırası, milisaniye cinsinden geçen zaman, paketin gönderildiği kaynak, hedef, kullanılan protokol, paket büyüklüğü ve paket ile neler yapılabileceği bilgisini göstermektedir.
4- Biz ICMP üzerinde bir inceleme yapacağımız için herhangi bir ICMP paketine tıklıyoruz. Karşımıza paket verileri gelmektedir. Burada “Frame” çerçevesi içerisini görüntülediğimizde interface adı, paket uzunluğu ve iletim süresi, renk tipi, tarih gibi çeşitli bilgilere ulaşmaktayız.
5- Frame çerçevesinin altındaki “Ethernet II” sekmesini incelediğimizde kaynak(Src) ve hedef(Dst) mac adreslerini, isimlerini ve IPv4 olan tip bilgisini de görebiliyoruz. “Internet Protocol Version 4” sekmesinden kaynak ve hedef adreslerin IP bilgisini, versiyon tipi, protokol bilgisi, uzunluğu, flag (bayrak) bilgisi, TTL değeri gibi bilgileri görebiliyoruz. “Internet Control Message Protocol" ve "Data" sekmelerinden de data uzunluğunu ve yine IP adreslerini, checksum (veri bloğu) bilgilerini görebiliyoruz. Ayrıca ICMP protokolü ile ilgili diğer bilgileri de inceleme imkanına sahip oluyoruz.