Wireshark Nedir?
Wireshark, 1998 yılında ilk olarak Ethereal adıyla faaliyete başlayan bir projedir .Ticari marka sorunları nedeniyle Mayıs 2006‘da Wireshark olarak yeniden adlandırılan bu yazılım, bilgisayara ulaşan paketleri yakalamaya ve bu paketlerin içeriğini görüntülemeye imkan tanır. Bir başka deyişle bilgisayara bağlı olan her türlü ağ kartlarındaki (Ethernet, Wifi gibi) tüm TCP/IP mesajlarını analiz eden bir programdır. Amacına yönelik zengin özellikleri ile günümüzde kendi türünün en yaygın kullanılan ve fayda sağlayan araçlarından bir tanesidir. Yaygın olarak temel kullanım amaçları aşağıda listelenmiştir;
• Şebeke problemlerinde sorun çözme
• Güvenlik problemlerini sınamak
• Uygulamaya konan protokollerde oluşan hataları onarmak veya arındırmak
• Ağ problemlerinin içindeki bilgileri öğrenebilmek amacıyla kullanılmaktadır
Wireshark Özellikleri
• Windows, Unix, OS X, Solaris, FreeBSD, NetBSD ve birçok işletim sistemleri için uygundur.
• Yerel ağ arayüzünden paketleri tutar, ayrıntılı bir şekilde protokol bilgileriyle görüntüler.
• Tutulan bilgileri kaydetme özelliği vardır.
• Çeşitli kriterlerde paket arar ve filtreler.
• Çeşitli istatistikleri yapılan ayarlar doğrultusunda kullanıcıya sunar.
• Birçok protokol için şifre çözme desteği sunar. (IPsec,ISAKMP,Kerberos,SNMPv3, SSL/TLS, WEP, ve WPA/WPA2’yi
içerir)
Wireshark Aracının Kullanım Alanları
• Ağ trafik tespiti
• Veri madenciliği
• Port tarama tespiti
• Denial of Service (DoS) saldırılarının analizi
• Bağlantı sorunu tespiti
• Casus yazılım tespiti
Kurulum
Windows makineler için bu adres kullanılarak indirilebilir ve standart kurulum adımları uygulanarak kurulum işlemi gerçekleştirilebilir. Debian temelli Linux dağıtımları için ise sudo apt-get install wireshark komutu ile gerekli paketlerin edinilmesiyle yükleme işlemi gerçekleştirilebilir.
Uygulama indirilip kurulduğunda, bu uygulama ile birlikte Windows yüklü bilgisayara WinPcap isimli bir uygulama daha kurulacaktır. WinPcap, kurulu olduğu bilgisayarın anlık Ethernet trafiğinin yakalanmasını sağlayan programdır. Wireshark bu uygulamadan gelen veriyi kullanarak size grafik bir arayüz üzerinden Ethernet trafiğini izleme/inceleme fırsatı sunar.
Uygulama başlatıldığında yukarıdakine benzer bir ekran açılacaktır. Burada Start bölümünün altında bilgisayarda algılanan Ethernet kartları listelenecektir. Bu kartlardan biri seçilir ve ardından Start butonuna tıklanırsa uygulama ilgili Ethernet kartının network trafiğini loglamaya başlar:
Burada üst bölümde akan trafik anlık olarak görülebilir, hangi adresten hangi adrese, ne zaman, hangi protokolde paketler gittiği izlenebilir. Alt taraftaki bölümde ise her bir paketin içeriği değişik katmanlarda incelenebilir (Sizde alt tarafta üçüncü bir pencerede Byte şeklinde paket içerikleri de gösteriliyor olabilir, ben bir işime yaramadığı için bu bölümü View altındaki Packet Bytes seçim kutusunu kaldırarak kapattım).
Filter bölümüne çok çeşitli filtreler girerek sadece ilgilenilen trafiğin gösterilmesi sağlanabilmektedir. Filter, çok önemli bir bölüm, çünkü çoğu zaman incelenecek trafiğin dışında pek çok paket bilgi kirliliği yaratır ve inceleme yapılmasını güçleştirir. and, or gibi ifadelerle birden fazla filtreyi birlikte kullanabiliyorsunuz.
Burada basit bir örnek analiz yapalım ve DNS sunucunun düzgün çalışıp çalışmadığını beraber Wireshark üzerinden görelim.
Wireshark’ta Filter bölümüne gereksiz trafik gösterilmesin, sadece DNS trafiği görüntülensin diye dns yazdım ve Enter tuşuna bastım. Ardından istediğim logu görünce yukarıdaki kırmızı X ile gösterilen Stop tuşuna basarak log alımını durdurdum:
İlgili logu aldığım bilgisayarın IP adresi 192.168.76.133 ve DNS sunucunun adresi 192.168.76.133. Bunları trafik bölümünde Source ve Destination sütunlarında görebiliyorum. Gördüğüm kadarı ile bilgisayarım DNS sorgusunu DNS sunucuya gönderiyor, ardından DNS sunucusundan yanıt geliyor. Ayrıca Info bölümünde cozumpark IP adresinin DNS sunucusundan 188.132.200.15 olarak geldiğini görebiliyorum.
Burada; IP adresinin çözülüp çözülmediğini komut satırından zaten görebiliyordum, diyebilirsiniz. Fakat sizin yaşayacağınız sorunda farklı uygulamalardan farklı adres tipleri için sorgular yapılıyor olabilirdi. Wireshark kullanılarak tüm sorunlar için benzeri şekilde neler olup bittiğini network üzerinden, yani kaynağından görebilmekteyiz.
Wireshark ile ilgili dokümanlar: http://www.wireshark.org/docs/
