Wireshark

Eyl 07, 2013
Wireshark, 1998 yılında Ethereal adıyla faaliyete başlayan bir projedir. Ağ uzmanlarının katkılarıyla bu program günden güne gelişerek önde gelen ağ protokol analizcisi haline gelmiştir. Wireshark ismiyle çıkan bu yazılım, bilgisayara ulaşan paketleri yakalamaya ve bu paketlerin içeriğini görüntülemeye imkan tanır. Başka bir deyişle, bilgisayara bağlı olan her türlü ağ kartlarındaki (Ethernet kartı veya modem kartları) tüm TCP/IP mesajlarını analiz edebilen bir programdır. Wireshark, günümüzde çok amaçlı kullanılır. Şebeke problemlerinde sorun çözmek, güvenlik problemlerini sınamak, uygulamaya konan protokollerde oluşan hataları onarmak veya arındırmak, ağ protokolünün içerisindeki bilgileri öğrenebilmek için Wireshark programı kullanılır.

Wireshark Özellikleri

  • Unix ve Windows işletim sistemleri için uygundur. 
  • Yerel ağ arayüzünden paketleri tutar, ayrıntılı bir şekilde protokol bilgileriyle görüntüler.
  • Tutulan paketleri kaydetme özelliği vardır.
  • Çeşitli kriterlerde paket arar ve filtreler (süzer).
  • Alınan veya gönderilen paketleri filtrelemeyi baz alarak renklere ayırır ve katagorize eder.
  • Çeşitli istatistikleri, yapılan ayarlar doğrultusunda, kullanıcıya sunar.
  • Birçok protokol için şifre çözme desteği sunar. Örneğin;
    • IPsec, Internet Protocol Security (İnternet Güvenlik Protokolü)
    • ISAKMP, Internet Security Association and Key Management Protocol (İnternet Bağ ve Şifre Yönetim Protokolü)
    • Kerberos
    • SNMPv3, Simple Network Management Protocol Version 3 (Basit Ağ Yönetim Protokolü Sürüm 3)
    • SSL, Secure Sockets Layer (Emniyetli Yuva Katmanı)
    • TLS, Transport Layer Security (Taşıma Katmanı Güvenliği)
    • WEP, Wired Equivalent Privacy (Kabloya Eşdeğer Mahremiyet)
    • WPA, Wi-Fi  Protected Access (Wi-Fi Korumalı Erişim)
    • WPA2, Wi-Fi  Protected Access 2 (Wi-Fi Korumalı Erişim 2)



Birçok farklı tipte yerel ağ medya trafiği Wireshark tarafından yakalanabilir. Hangi medya tiplerinin desteklendiği, kullanılan işletim sistemi dahil birçok bilgi wireshark tarafından tespit edilebilir.
Wireshark, diğer paket yakalama programlarına göre, yakaladığı paketlerin büyük bir kısmını açabilir.
Wireshark, açık bir kaynak yazılım projesidir ve GPL, General Public License (Genel Kamu Lisansı), altında bırakılır. Serbest bir şekilde, her türlü bilgisayarda Wireshark kullanılabilir. Bunun için kullanıcı lisanslamaya veya ücrete tabi tutulmaz. Ayrıca, bütün kaynak kodu, GPL'in altında serbest bir şekilde kullanıma açıktır.
Wireshark programı grafik arayüzü üzerinden çalışır, ancak grafik arayüzünü kullanmayan kullanıcılar için "TShark" yazılımı  geliştirilmiştir. TShark, Wireshark ile aynı işlevlere sahip olan komut satırı sürümüdür.

Wireshark Arayüzü

Wireshark arayüzü; menü çubuğu, araç çubuğu, görüntüleme filtresi çubuğu, özet alanı, protokol ağacı alanı ve veri alanı olmak üzere 6 bölümden oluşur. Menü çubuğu;

  • File (Dosya Menüsü)
  • Edit (Ekleme Menüsü)
  • View (Görüntü Menüsü)

  • Go (Git Menüsü)

  • Capture (Yakalama Menüsü)

  • Analyze (Analiz Menüsü)

  • Statistics (İstatistik Menüsü)

  • Help (Yardım Menüsü)

olmak üzere 8 kısımdan oluşur.

File (Dosya Menüsü)



  • Open (Aç): Ctrl+O kısayol tuşlarıyla çalışır. Hazırda var olan önceden kaydedilmiş wireshark ya da başka desteklediği paket analiz yazılımlarının ürettiği dosyaları görüntülemek için kullanılır.
  • Open Recent (Son Dosyayı Aç): Son kullanılan dosyaları açmada kolaylık sağlar.
  • Merge (Birleştir): Kaydedilmiş dosyaları birleştirmede kullanılır.
  • Close (Kapat): Ctrl+W kısayol tuşlarıyla çalışır. Açık olan dosyadan çıkar.
  • Save (Kaydet): Ctrl+S kısayol tuşlarıyla çalışır. Görüntülenmekte olan paketleri kaydeder.
  • Save As (Farklı Kaydet): Ctrl+Shift+S kısayol tuşlarıyla çalışır. Farklı kaydeder.
  • File Set (Dosya Ayarları):
    • List Files (Dosya Listesi): Dosya listesini oluşum tarihi, son değişim tarihi, boyutu şeklinde dosya dizisi içerisinde gösterir.
    • Next File (Sonraki Dosya): Dosya dizisi içinde var olanı kapatıp sonrakine atlar.
    • Previous File (Önceki Dosya): Dosya dizisi içinde var olanı kapatıp bir öncekine atlar.
  • Export:
    • As “Plain Text” File ("Açık Metin" Dosyası): Toplanan paketleri metin dosyası olarak dışa aktarmaya yarar. Özet ve ayrıntı bölümlerini aktarır.
    • As “PostScript” File ("Dipnot" Dosyası): İstenen paketleri postscript dosyası olarak dışa aktarmaya yarar. Wireshark seçilen ayrıntı bölümü bilgilerini aktarır.
    • As "CSV, Comma Separated Values packet summary" File ("CSV, Virgülle Ayrılmış Değer Paket Özeti" Dosyası): Wireshark özet bölümündeki bilgileri virgülle ayrılmış şekilde düz metin dosyası olarak dışa aktarır.
    • As “C Arrays” Paket Bytes File (C Dizisi Paket Byte Dosyası): Paket veri değerlerini hex baytları olarak aktarır.
    • As "XML-PSML" File (XML-PSML Dosyası): Paketleri PSML (packet summary markup language) XML dosya formatında dışa aktarmaya yarar.
    • As "PDML" File (PDML Dosyası): Paketleri PDML, Packet Details Markup Language, XML dosyası olarak aktarmaya yarar.
    • Selected Packet Bytes (Seçilen Paket Byte'lar):
      • Objects "http" (http Nesnesi): Paketler içerisinden http protokollü paketleri ve objelerini dışarı aktarmaya yarar.
  • Print (Yazıdır): Ctrl+P kısayol tuşlarıyla çalışır. Seçilen paketleri yazdırmaya yarar.
  • Quit (Çık): Ctrl+Q kısayol tuşlarıyla çalışır. Programdan çıkar.

Edit (Ekleme Menüsü)

 



  • Copy (Kopyala): "Shift+ctrl+C" kısayol tuşlarıyla çalışır. Veri bölmesinden tıklanan değeri filtre ifadesi olarak kopyalar. İstenilen bölüm seçilerek sağ fare menüsünden de yapılabilir .
  • Find Packet (Paket Bul): Ctrl+F kısayol tuşlarıyla çalışır. Birçok kritere göre arama yapmanıza imkan sağlar.Display filter seçeneği seçiliyse wireshark filtreleme kriterlerine göre arama yapar. Basit protokol taramalarından kuvvetli filtreleme ifadelerine kadar birçok türde etkin arama yapılabilir.
    • Hex Value: Paket veri kümesi içerisinde belirtilen hex değerlerinde arama yapar.
    • String: Girilen stringi liste, ayrıntı ya da veri alanlarında belirlenen kriterlere göre arar. String options alanından arama büyük küçük harf duyarlı ve karakter seti belirtilerek yapılabilir. Direction alanında ise taramanın aşağı yada yukarı yapılacağı belirtilir.
  • Find Next (Sonrakini Bul): Ctrl+N kısayol tuşlarıyla çalışır. Belirlenen kriterde bir sonraki paketi bulur.
  • Find Previous (Öncekini Bul) : Ctrl+B kısayol tuşlarıyla çalışır. Belirlenen kriterde bir önceki paketi bulur.
  • Mark Packet (İşaretlenmiş Paketler): Ctrl+M kısayol tuşlarıyla çalışır. Seçilen paketi işaretler.
  • Find Next Mark (Sonraki İşaretlenmiş Paketi Bul): Shift+Ctrl+N kısayol tuşlarıyla çalışır. Bir sonraki işaretli paketi bulur.
  • Find Previous Mark (Önceki İşaretlenmiş Paketi Bul): Shift+Ctrl+B kısayol tuşlarıyla çalışır. Bir önceki işaretli paketi bulur.
  • Mark All Packet (Bütün Paketleri İşaretle): Bütün paketleri işaretler.
  • Unmark All Paket (Bütün Paketlerin İşaretlerini Kaldır): Bütün işaretleri kaldırır.
  • Set Time Referance (Zaman Referansı Belirle): Ctrl+T kısayol tuşlarıyla çalışır. Seçilen paketi zaman referansı olarak alır ve sonraki paketlerde o pakete göre zaman değerleri alır.
  • Find Next Referance (Bir Sonraki Referansı Bul): Bir sonraki referans alınan paketi bulur.
  • Find Previous Referance (Bir Önceki Referansı Bul): Bir önceki referans alınan paketi bulur.
  • Configuration Profiles (Konfigürasyon Profili): Shift+Ctrl+A kısayol tuşlarıyla çalışır. Profil ekle-sil işlemlerini yapar.
  • Preference (Tercihler): Shift+Ctrl+P kısayol tuşlarıyla çalışır. Programla ilgili ayarlamaların yapılan bölümdür.
    • User Interface (Kullanıcı Arayüzü): Bölümünde program için pencere düzeni, renk, font ayarlamaları ve bunlar gibi görünümü kişiselleştirmeye yarayan seçenekler bulunur.
    • Capture (Yakalama İşlemleri): Paketleri yakalamak için kullanılacak default ağ arabirimi, eş zamanlı paket görüntüleme ve promiscouos mod seçimi (promiscouos mod : Yönlendirme olmadan bütün paketlerin bütün istemcilere dağıtıldığı durumda paketin hedefine bakımadan bütün paketlerin takibi olayıdır. yönetici kullanıcı yetkisi gerektirir.), otomatik kaydırma çubuğu hareketi, ve yakalanan paketlerin türlerine göre sayıları ve % oranlarını veren bilgi penceresinin saklanması seçenekleri bulunur.
    • Printing (Yazdırma İşlemleri): Yazdırmak için gereken ayarlar bulunmaktadır. Dosya çıktısı konumu, yazdırma komutu ve çıktı türü “düz metin ya da post script seçenekleri” bulunmaktadır. Varsayılan yazdırma komutu lpr'dir.
      Name Resolutions: Adres dönüşüm işlemlerini etkinleştirebileceğiniz alandır.
    • Protocols (Protokol İşlemleri): İhtiyaca göre wireshark üzerinde paketlerin protokollere göre kullanım ayarlamalarını yapabileceğiniz bölümdür. 

View (Görüntü Menüsü) 

 

 

 

View menüsü Wireshark Programının görünümüyle ilgili ayarların yapıldığı kısımdır. Araç çubuklarının görüntülenmesi, sayfa boyutlandırması, adres çözümleme seçenekleri (renk ayarları gibi) bu kısımda bulunur.

 

Go (Git Menüsü)

 

  • Back(Geri): "ctrl+sol" kısayol tuşlarıyla çalışır. Bir önceki bakılan pakete geçer.
  • Forward (İleri): "ctrl+sağ" kısayol tuşlarıyla çalışır. Ziyaret edilen bir sonraki pakete geçer.
  • Go To Packet (Pakete Git): "ctrl+G" kısayol tuşlarıyla çalışır. Paket numarasına göre istenilen pakete geçer.
  • Go To Corresponding Packet (Karşılık Pakete Git): Seçilen pakete karşılık gelen pakete geçer .
  • Previous Packet (Önceki Paket): Ctrl+yukarı Seçili paketten önceki pakete geçer.
  • Next Packet (Sonraki Paket): Ctrl+aşağı kısayol tuşlarıyla çalışır. Seçili paketten sonraki pakete geçerler.
  • First Packet (İlk Paket): Yakalanan ilk pakete geçer.
  • Last Packet (Son Paket): Yakalanan son pakete geçer.

Capture (Yakalama Menüsü)

 

 

  • Interfaces (Arabirimler): Wireshark'ın kullanacağı ağ arabirimi ve özellikleri ayarlanır.
  • Options (Seçenekler): Uygulama sırasında kullanılacak ağ arabirimi seçimi, adres çözümleme özellikleri, görünüm özellikleri, uygulama durdurmak için ayarlanacak özellikler gibi bir çok özellik ayarlanabilir. (IP addresi, tampon sınırı, paket toplama özelliği, filtreleme özelliği, analiz işlemini kolaylaştırma, sistem kaynaklarını idareli kullanma, yakalanan paketleri eşzamanlı olarak anında ekranda görme, yakalanan paketlerin protokollere göre sayı ve oranını veren bilgi penceresinin saklaması, adres dönüşümü gibi birçok özellik bu kısımdadır.)
  • Start (Başlat): Paket yakalama işlemini başlatır.
  • Stop (Durdur): Paket yakalama işlemini durdurur.
  • Restart (Yeniden Başlat): Ayarlanılan seçeneklere göre yakalama işlemini tekrar başlatır.
  • Capture Filters (Yakalama Süzmesi): Paket yakalama işlemini ayarlanan filtrelere göre gerçekleştirir.

Analyze (Analiz Menüsü)

 

  • Display Filter (Filtre Ekranı): Yakalanan paketleri belirtilen ifadelere göre sıralar.
  • Apply As Filter (Fİltre Cevabı): Seçilen paketin kaynak ve hedef adresine göre filtreleme yapar. And ("&&",ve) or ("||", veya), and not ("&& !", ve değil) ve or not ("|| !", veya değil) eklemeleriyle ifade güçlendirilir ve daha özelleşmiş arama yapılabilir.
  • Prepare a Filter (Filtreleme Önhazırlık): Filtre ifadesini değiştirir ama hemen uygulamaz. Üstteki filtre uygulaması koşulları bunun için de geçerlidir.
  • Firewall ACL Rules (Güvenlik Duvarı Kuralları): Cisco IOS, Linux Netfilter (iptables), OpenBSD pf ve Windows Güvenlik duvarı (via netsh) için güvenlik duvarı kural ifadesi oluşturur.Yeni kullanıcılar için mükemmel ötesi bir özelliktir.
  • Enabled Protocols (Etkinleştirilmiş Protokoller): Shift+Ctrl+R kısayol tuşlarıyla çalışır. Yakalama işlemi sırasında istenmeyen protkollerin kaldırılmasında rol oynar. "Capture Filter" kısmına  benzer.
  • Decode As (Çözme): Paketleri belirli protokollere göre çözer.
  • User Specified Decodes (Kullanıcı Özel çözümü): Kullanıcının belirlediği çevrimleri görüntüler.
  • Follow TCP Stream (TCP akışını Takip et): Seçilen paketlerin TCP segmentlerini ayrı bir pencerede gösterir.
  • Follow SSL Stream (SSL akışını Takip et): TCP Akışını Takip Et bölümü ile aynı özelliktedir fakat SSL akışı için çalışır.
  • Expert Info (Uzman Bilgi): İletişimde meydana gelen olayların kaydeder. Yakalanan paketleri hatalar, notlar, uyarılar, konuşmalar şeklinde kriterlerine göre ayırır.
  • Expert Info Composite (Birleşik Uzman Bilgi): Uzman Bilgi kısmına göre daha hızlı analiz imkan sağlar.

Statistics (İstatistik Menüsü) 

  • Summary (Özet): Açık olan yakalama dosyasında dosya formatı, paket sayısı, boyut, ilk ve son paket yakalama zamanları, filtre ve yakalama arabirimine ilişkin verileri
    içerir.
  • Protocol Hierarchy (Protokol Hiyerarşisi): Yakalanan paketlerin ağaç şeklinde katman ve protokol hiyerarşisini gösterir.
  • Conversations (Konuşmalar): Kaynak ve hedef noktalar arasındaki trafiğin istatistik bilgisini verir.
  • Endpoints (Bitiş Noktaları): Hedef ve kaynak adresi ayrımı olmaksızın, her son nokta için istatistiksel bilgi verir. Desteklenen her protokol için ayrı bir sekme mevcuttur.
  • IO Graphs (IO Grafikleri): Belirtilen özelliklerdeki paketlerin zamana göre akış grafiğini verir. Ağda durum kontrolü için faydalı bir özelliktir. Meydana gelebilecek herhangi bir anormallik bu özellik sayesinde hemen farkedilebilir.
  • Graphs (Grafikler): Grafik ayarlamalarının yapıldığı kısımdır.
  • Service Response Time (Servis Yanıt Saati): İstek ve cevap arasındaki zamanı gösterir. Service Response Time istatistikleri DCERPC, Fibre Channel, H.225 RAS, LDAP, MGCP, ONCRPC, SMB, ANSI, GSM, H.225 gibi protokoller için kullanılır.
  • Wlan Traffic Statics (Wlan Trafik İstatikleri): Yakalanan kablosuz ağ trafiğinin istatistiksel olarak bilgilerini sunar.

Help (Yardım Menüsü) 

Help kısmı, Wireshark'ın yardım menüsünün bulunduğu kısımdır. Buradan Wireshark ile ilgili her türlü bilgiye ulaşılabilir. Wireshark programının İnternet sitesinin yönlendirmesi de bu kısımda mevcuttur.

Wireshark Programının arayüz menü özellikleri bu şekildedir.

Wireshark Kullanımı ile ilgili Örnekler

  • Ağ trafik tespiti
  • Veri madenciliği
  • Saldırı tespiti
  • Port tarama tespiti
  • Bağlantı sorunu tespiti
  • Casus yazılım tespiti