Wireshark Nedir? Nasıl Kullanılır?

Wireshark bir ağda hareket eden veri paketlerini yakalayan ve görüntüleyen açık kaynaklı ücretsiz bir uygulamadır.  Her paketin içeriğini ayrıntılı bir şekilde inceleme imkanı sunduğundan ağ sorunlarını tespit etmek ve gidermek için yaygın olarak kullanılır. Çapraz platform bir program olarak Windows, macOS, Linux ve UNIX işletim sistemlerinde kullanılabilir. Ağ uzmanları, güvenlik uzmanları, geliştiriciler ve eğitimciler bu programı sıklıkla kullanır. Açık kaynak olarak serbestçe kullanılabilir ve GNU Genel Kamu Lisansı sürüm 2 altında yayınlanır.

Wireshark ağ üzerindeki yüzlerce farklı protokolü destekler ve bunlarla ilgili paketleri yakalar ve görüntüler.  View/Internal/Supported Protocols  menüsünden desteklenen protokolleri görebilirsiniz.

 

Wireshark Nasıl İndirilir ve Kurulur

Wireshark https://www.wireshark.org/ adresinden indirilebilir. İlgili adrese gidip Download linkine tıklayın ve açılan sayfada işletim sisteminize uygun sürümü indirin.

 

İndirdiğiniz dosyaya çift tıklayarak kurulumu başlatın. İlk çıkan uyaruya evet diyerek geçin ve kurulum penceresine gelin. Burada next diyerek devam edin. I Agree ile anlaşmayı kabul edip devam edin.  Next ve next ile devam edin. Açılan pencerede Npcap yüklemesine onay verin.

npcap

Bir sonraki pencerede onay vererek USBPcap kurulumunu yapabilirsiniz. USBPcap, bir Sanal Makine kullanmadan USB trafiğini analiz etmek için Wireshark ile birlikte kullanılabilen Windows için açık kaynaklı bir USB Paket Yakalama aracıdır . Yeni pencerede Instal’a tıklayarak devam edin. Finish ile kurulum işlemini bitirin.

Kurulum işlemi bitince Wireshark’ı çalıştırabilirsiniz. Yönetici (admin) olarak çalıştırmanız tavsiye edilir. Bunun için Windows logosuna tıklayın açılan menüde Wireshark yazın ve devamında çıkan Wireshark simgesi üzerinde fareyle sağ tıkla yönetici olarak çalıştır’ı seçin.

 

Wireshark İle Paket Yakalama

Wireshark programını başlattığınızda karşınıza bilgisayarınızdaki ağ bağlantılarının da listelendiği bir hoş geldiniz ekranı gelir. Canlı trafiğin olduğu ağ bağlantılarında EKG grafiklerine benzer çizgiler görünür.

Wireshark ile paketleri yakalamaya başlamak için birkaç yöntem vardır. İsterseniz ilgili ağ kartının üzerine çift tıklayarak yakalama işlemini başlatabilirsiniz.

Ya da ağ kartı üzerinde sağ tıklayıp start capture’a tıklayarak ta yakalama işlemini başlatabilirsiniz. Son olarak ağ kartını seçip yukarıdaki menüden  Capture seçeneğine tıklayıp ardından Start’a tıklayarak (Kısa yol tuşu CTRL+E) ile de yakalama işlemini başlatabilirsiniz.

Birden fazla ağ kartını Shift tuşu ile birlikte seçerek aynı anda birden fazla ağ kartından geçen trafiği yakalayabilirisiniz.

Ayrıca Capture/Option menüsünden açılan pencerede ilgili ağ kartını seçip start düğmesine tıklayarak başka bir şekilde de paket yakalayabilirsiniz.

 

Yakalanan Paketleri kaydetmek için öncelikle işlemi durdurmamız gerekir. Bunun için Ctrl+E kısa yol tuşuna basabilir ya da Capture/Stop menüsünü kullanabiliriz. Ayrıca menü ekranındaki kırmızı stop düğmesine de basabiliriz. Sonrasında File/Save menüsünden belirlediğimiz klasöre dosya ismi vererek pcapng uzantısı ile yakalanan paketleri kayıt edebiliriz.

Paket İçeriğini Görüntüleme ve Analiz Etme

Yakalanan veri arabirimi üç ana bölüm içerir:

  1. Paket listesi paneli
  2. Paket ayrıntıları paneli
  3. Paket bayt paneli

PAKET LİSTESİ PANELİ

Pencerenin üstünde bulunan paket listesi bölmesi, etkin yakalama dosyasında bulunan tüm paketleri gösterir. Her paketin kendi satırı ve buna karşılık gelen numarası, bu veri noktalarının her biri ile birlikte verilir:

  • No : Bu alan, hangi paketlerin aynı görüşmenin parçası olduğunu gösterir. Bir paket seçinceye kadar boş kalır.
  • Time: Paketin alındığı zaman damgası bu sütunda görüntülenir. Varsayılan biçim, bu belirli yakalama dosyasının ilk oluşturulmasından bu yana geçen saniye sayısıdır.
  • Source: Bu sütun, paketin kaynaklandığı adresi (IP veya diğer) içerir.
  • Destination: Bu sütun paketin gönderildiği adresi içerir.
  • Protocol: Paketin TCP gibi protokol adını bu sütunda bulabilirsiniz.
  • Length: Paket uzunluğu, bayt cinsinden, bu sütunda görüntülenir.
  • Info: Paket hakkında ek ayrıntılar burada sunulmaktadır. Bu sütunun içeriği paket içeriğine bağlı olarak büyük ölçüde değişebilir.

 

PAKET DETAYLARI PANELİ

Ortada bulunan ayrıntılar bölmesi, seçilen paketin protokollerini ve protokol alanlarını daraltılabilir bir biçimde sunar. Her seçimi genişletmeye ek olarak, belirli ayrıntılara dayalı olarak ayrı Wireshark filtreleri uygulayabilir ve istenen öğeye sağ tıklayarak protokol türüne göre veri akışlarını takip edebilirsiniz.

PAKET BAYT PANELİ

Altta, seçilen paketin ham verilerini onaltılık görünümde görüntüleyen paket bayt bölmesi bulunur. Buradaki  veriler hexadecimal  ve text based olarak görüntülenir.

Bu verileri onaltılıdan farklı olarak bit formatında görüntülemek için bölmenin herhangi bir yerine sağ tıklayın ve bit olarak seçin .

Bu verilerin belirli bir bölümünün seçilmesi, paket ayrıntıları bölmesinde karşılık gelen bölümünü otomatik olarak vurgular ve bunun tersi de geçerlidir. Yazdırılamayan baytlar bir nokta ile gösterilir.

Wireshark Filtreleri Nasıl Kullanılır

Yakalama filtreleri Wireshark’a yalnızca belirtilen ölçütleri karşılayan paketleri kaydetmesi talimatını verir. Filtreler, yalnızca belirli paketlerin gösterilmesi için oluşturulmuş bir yakalama dosyasına da uygulanabilir. Bunlara ekran filtreleri denir.

Wireshark, varsayılan olarak çok sayıda önceden tanımlanmış filtre sağlar. Bu mevcut filtrelerden birini kullanmak için, adını Wireshark araç çubuğunun altında bulunan Apply a display filter giriş alanına veya karşılama ekranının ortasında bulunan Enter a capture filter alanına girin .

Örneğin, TCP paketlerini görüntülemek istiyorsanız, tcp yazın ve entere basın . Wireshark otomatik tamamlama özelliği, yazmaya başladığınızda önerilen adları gösterir, böylece aradığınız filtre için doğru takma adın bulunmasını kolaylaştırır.

Filtre seçmenin bir başka yolu , giriş alanının sol tarafındaki bookmark seçmektir . Filtre eklemek, kaldırmak veya düzenlemek için Manage Filter Expressions veya Manage Display Filters ‘i seçin .

Wireshark Renk Kuralları

Wireshark’ın yakalama ve görüntüleme filtreleri, ekranda hangi paketlerin kaydedileceğini veya gösterileceğini sınırlasa da, renklendirme işlevi işleri bir adım daha ileri götürür: Farklı renk tonlarına göre farklı paket türleri arasında ayrım yapabilir. Bu, kaydedilen bir kümedeki belirli paketleri, paket listesi bölmesinde satır rengine göre hızlı bir şekilde bulur.

Wireshark yaklaşık 20 varsayılan renklendirme kuralıyla birlikte gelir, her biri düzenlenebilir, devre dışı bırakılabilir veya silinebilir. Her rengin ne anlama geldiğine genel bakış için View > Coloring Rules seçin . Ayrıca kendi renk tabanlı filtrelerinizi de ekleyebilirsiniz.

Varsayılan olarak, açık mor TCP trafiğidir, açık mavi UDP trafiğidir ve siyah paketleri hatalı olarak tanımlar – örneğin, düzensiz teslim edilmiş olabilirler.

 Wireshark İstatistikleri

Diğer yararlı metriklere Statistics açılır menüsünden ulaşılabilir . Bunlar, yakalama dosyası hakkındaki boyut ve zamanlama bilgilerinin yanı sıra, paket konuşma arızalarından HTTP isteklerinin dağıtılmasına kadar konuya kadar düzinelerce çizelge ve grafik içerir.

Görüntü filtreleri bu istatistiklerin birçoğuna arabirimleri aracılığıyla uygulanabilir ve sonuçlar CSV , XML ve TXT gibi yaygın dosya biçimlerine aktarılabilir .

About The Author

Reply