Wireshark Tutorial v1.0
Transkript
Wireshark Tutorial v1.0
WIRESHARK KULLANIM KILAVUZU V1.0 Utku Uluşahin Güngör Basa İÇİNDEKİLER : 1 – WIRESHARK 1.1 - WIRESHARK’IN GELİŞİMİ 1.2 - DESTEKLENEN PROTOKOLLER 1.3 - AĞ ANALİZİ ve KULLANIM ALANLARI 1.4 - WIRESHARK’I YÜKLEME 1.4.1 - Windows işletim sisteminde yükleme 1.4.2 - Unix (Linux) işletim sisteminde yükleme 2 - WIRESHARK BİLEŞENLERİ 2.1 - ANA PENCERE (MAIN WINDOW) : 2.2 - SUMMARY WINDOW 2.3 - PROTOCOL TREE WINDOW : 2.4 - DATA VİEW WINDOW 2.5 – FILTER BAR 2.6 – INFORMATION FIELD 2.7 – MENU İÇERİKLERİ : 2.7.1 – FILE 2.7.2 – EDIT 2.7.3 – VIEW 2.7.4 – GO 2.7.5 – CAPTURE 2.7.6 – ANALYZE 2.7.7 – STATICS 2.7.8 - HELP 3- Filtreleme 3.1 – FİLTRELEME İŞLEMLERİ 3.1.1 – FİLTRELEME GRAMERİ 3.1.2 – EN ÇOK KULLANILAN FİLTRELER VE ÖRNEKLERİ 3.1.2.1 – IP FİLTRELERİ 3.1.2.2 – ETHERNET FİLTRELERİ 3.1.2.3 – TCP FILTRELERİ 3.1.2.3 – UDP FİLTRELERİ 3.2 – FILTER EXPRESSION 3.2.1 – MSN KONUŞMALARINI YAKALAMA 3.2.2 – MAIL YAKALAMA 3.3 – BILESİK FILTRE YAPIMI 1 - WIRESHARK 1998 yılında Ethereal adıyla faaliyete başlayan proje, dünyanın dört bir yanındaki ağ uzmanlarının da katkısıyla günümüzün önder ağ protokol analizcisi haline gelmiştir, hatta çoğu endüstri ve eğitim enstitüsünde standarttır. Yeni versiyonları wireshark ismiyle çıkan yazılım, bilgisayarınıza ulaşan paketleri yakalamanıza ve bu paketlerin içeriğini görüntülemenize olanak tanıyor. Başka bir deyişle, bilgisayara bağlı olan her türlü ağ kartlarındaki (Ethernet kartı veya modem) tüm TCP/IP mesajlarını analiz edebilen bir programdır. Wireshark’ın dikkat çeken özellikleri : • 750'nin üzerinde protokolü analiz edebilir (sürekli yenileri bu listeye eklenmektedir). • Gerçek zamanlı analiz yapabilir. • Bir analizi filtre edebilir (örneğin "sadece HTTP mesajlarını göster" gibi). • Standart üç pencereli paket gezginine sahiptir. • Çoklu-platform: Windows, Linux, OS X, Solaris, FreeBSD, NetBSD, ve bir çok işletim sisteminde çalışır • Terminal veya kullanıcı arabirimi ile kullanılabilir. • Yakalanan ağ verisi kullanıcı grafik ara yüzü aracılığı ile gezilebilir veya TTY-kipinde TShark aracı ilede olabilir. • Endüstrideki en güçlü gösterim filtrelerine sahiptir. • Aynı zamanda zengin VoIP analizleri yapabilmektedir. • Birçok yakalama dosya biçimini yazıp okuyabilir: tcpdump (libpcap), Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (sıkıştırılmış ve sıkıştırılmamış), Sniffer® Pro, ve NetXray®, Network Instruments Observer, Novell LANalyzer, RADCOM WAN/LAN Analyzer, Shomiti/Finisar Surveyor, Tektronix K12xx, Visual Networks Visual UpTime, WildPackets EtherPeek/TokenPeek/AiroPeek, ve birçokları... • Birçok protokol için şifre çözme desteği sunabilmektedir (IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP, ve WPA/WPA2'yi içerir). • Gzip ile sıkıştırılmış dosyaları yakalarken, havadayken sıkıştırmasını açabilir. • Canlı veriyi Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI, ve diğerlerinden (platforma göre değişir) okuyabilir. • Paket listesinde hızlı ve sezgisel analiz için, renklendirme kuralları uygulayabilir. • Çıktıyı XML, PostScript®, CSV, veya düze metin şeklinde verebilir. 1.1 - WIRESHARK’IN GELİİMİ Wireshark 1997 yılında, ağdaki sorunları gidermek amacıyla “Gerald Combs” tarafından geliştirilmiştir. İlk versiyonu Temmuz 1998’de yayınlanmıştır. Daha sonra, Gilbert Raminez, Guy Harriz ve Richard Sharpe’den oluşan destek takımı oluşturulmuş ve wireshark hızla geliştirilmeye başlanmıştır. O günden itibaren, dünyanın dört bir yanından insanlar, wireshark’ın gelişmesine katkıda bulunmuştur (Katkıda bulunanların listesini http://www.wireshark.org/about.html#authors adresinden bulabilirsiniz). Gördüğü çok büyük destek ve geniş kullanım tabanı sayesinde wireshark’ın kullanılabilirliği ve popülaritesi günden güne artmaktadır. 1.2 - DESTEKLENEN PROTOKOLLER Ağ analizcisi, ağdan okuduğu bilgilerin ne anlama geldiğini anlaması ve nasıl okunabilir bir formata dönüştürüleceğini bilmesi gerekmektedir. Bu işleme “protokol çözümleyicisi” denmektedir. Ön bilgi amaçlı verdiğimiz wireshark’ın dikkat çekici özelliklerinin ilk maddesinde, 750'nin üzerinde protokolü analiz edebildiğini belirtmiştik. Bu maddeden de anlaşıldığı gibi wireshark bu alanda oldukça iddaalıdır. Aşağıda wireshark’ın desteklediği 752 protokol listelenmiştir : 3COMXNS, 3GPP2 A11, 802.11 MGT, 802.11 Radiotap, 802.3 Slow protocols, 9P,AAL1,AAL3/4,AARP,ACAP,ACN,ACSE,ACtrace,ADP,AFP,AFS (RX),AgentX,AH,AIM,AIM Administration,AIM Advertisements,AIM BOS,AIM Buddylist,AIM Chat,AIM ChatNav,AIM Directory,AIM E-mail, AIM Generic,AIM ICQ,AIM Invitation,AIM Location,AIM Messaging, AIM OFT,AIM Popup,AIM Signon,AIM SSI,AIM SST,AIM Stats,AIM Translate,AIM User Lookup,AJP13,ALC,ALCAP,AMR,ANS,ANSI BSMAP,ANSI DTAP,ANSI IS-637-A Teleservice,ANSI IS-637-A Transport, ANSI IS-683-A (OTA (Mobile)),ANSI IS-801 (Location Services (PLD)), ANSI MAP,AODV,AOE,ARCNET,Armagetronad,ARP/RARP,ARTNET, ASAP,ASF,ASN1,ASP,ATM,ATM LANE,ATP,ATSVC,Auto-RP,AVS WLANCAP,AX4000, BACapp, BACnet, Basic Format XID, BEEP, BER, BFD Control, BGP, BICC, BitTorrent, Boardwalk, BOFL,BOOTP/DHCP, BOOTPARAMS, BOSSVR, BROWSER, BSSAP, BSSGP, BUDB, BUTC, BVLC,CAMEL,CAST,CBAPDev, CCSDS, CCSRL, CDP, CDS_CLERK, cds_solicit,CDT, CFLOW,CGMP, CHDLC, CIGI, CIMD, CIP, CISCOWLL2, CLDAP, CLEARCASE, CLNP,CLTP, CMIP,CMP, CMS,CONV, COPS, COSEVENTCOMM, CoSine, COSNAMING,COTP, CPFI, CPHA, cprpc_server,CRMF, CSM_ENCAPS, CUPS,DAAP,DAP, Data, dc, DCCP, DCE_DFS, dce_update, DCERPC, DCOM, DCP, DDP, DDTP, DEC_DNA, DEC_STP, DFS, DHCPFO, DHCPv6, DIAMETER, dicom, DIS, DISP, DISTCC, DLSw,DLT User A, DLT User B, DLT User C, DLT User D, DNP 3.0, DNS, DNSSERVER, DOCSIS, DOCSIS BPKM-ATTR, DOCSIS BPKM-REQ, DOCSIS BPKM-RSP, DOCSIS DSA-ACK, DOCSIS DSAREQ, DOCSIS DSA-RSP, DOCSIS DSC-ACK, DOCSIS DSC-REQ, DOCSIS DSC-RSP, DOCSIS DSD-REQ, DOCSIS DSD-RSP, DOCSIS INT-RNG-REQ, DOCSIS MAC MGMT, DOCSIS MAP, DOCSIS REGACK, DOCSIS REG-REQ, DOCSIS REG-RSP, DOCSIS RNG-REQ, DOCSIS RNG-RSP, DOCSIS TLVs, DOCSIS type29ucd, DOCSIS UCCREQ, DOCSIS UCC-RSP,DOCSIS UCD, DOCSIS VSIF, DOP, DRSUAPI, DSI, DSP, DSSETUP, DTP, DTSPROVIDER, DTSSTIME_REQ,DUA,DVMRP, E.164, EAP, EAPOL,ECHO, EDONKEY, EDP, EFS, EIGRP, ENC, ENIP, ENRP, ENTTEC, EPM, EPMv4, ESIS, ESP, ESS, ETHERIC, ETHERIP, Ethernet, EVENTLOG, FC, FC ELS, FC FZS, FC-dNS, FC-FCS, FC-SB3, FC-SP, FC-SWILS, FC_CT, FCIP, FCP, FDDI, FIX, FLDB, FR, Frame, FRSAPI, FRSRPC, FTAM, FTBP, FTP, FTP-DATA, FTSERVER,FW-1,G.723, GIF image, giFT, GIOP, GMRP, GNM, GNUTELLA, GPRS NS, GPRS-LLC, GRE, Gryphon, GSM BSSMAP, GSM DTAP, GSM RP, GSM SMS, GSM SMS UD, GSM_MAP, GSM_SS, GSS-API, GTP, GVRP, H.223, H.225.0, H.235, H.245, H.261, H.263, H.263 data, H1, h221nonstd, H248, h450, HCLNFSD, HPEXT, HPSW, HSRP, HTTP, HyperSCSI, IAP, IAPP, IAX2, IB, ICAP, ICBAAccoCB, ICBAAccoCB2, ICBAAccoMgt, ICBAAccoMgt2, ICBAAccoServ, ICBAAccoServ2, ICBAAccoServSRT, ICBAAccoSync, ICBABrowse, ICBABrowse2, ICBAGErr, ICBAGErrEvent, ICBALDev, ICBALDev2, ICBAPDev, ICBAPDev2, ICBAPDevPC, ICBAPDevPCEvent, ICBAPersist, ICBAPersist2, ICBARTAuto, ICBARTAuto2, ICBAState, ICBAStateEvent, ICBASysProp, ICBATime, ICEP, ICL_RPC, ICMP, ICMPv6, ICP, ICQ, IDispatch, IDP, IEEE 802.11, IEEE802a, iFCP, IGAP, IGMP, IGRP, ILMI, IMAP, INAP, INITSHUTDOWN, IOXIDResolver, IP, IP/IEEE1394, IPComp, IPDC, IPFC, IPMI, IPP, IPv6, IPVS, IPX, IPX MSG, IPX RIP, IPX SAP, IPX WAN, IRC, IrCOMM, IRemUnknown, IRemUnknown2, IrLAP, IrLMP, ISAKMP, iSCSI, ISDN, ISIS, ISL, ISMP, iSNS, ISUP, isup_thin, ISystemActivator, itunes, IUA, IuUP, Jabber, JFIF (JPEG) image, Juniper, JXTA, JXTA Framing, JXTA Message, JXTA UDP, JXTA Welcome, K12xx, KADM5, KINK, KLM, Kpasswd, KRB4, KRB5, KRB5RPC, L2TP, LANMAN, LAPB, LAPBETHER, LAPD, Laplink, LDAP, LDP, Line-based text data, LLAP, llb, LLC, LLDP, LMI, LMP, Log, LogotypeCertExtn, LOOP, LPD, LSA, Lucent/Ascend, LWAPP, LWAPP-CNTL, LWAPP-L3, LWRES, M2PA, M2TP,M2UA,M3UA,MACC,Malformed packet, Manolito, MAP_DialoguePDU, MAPI, MDS Header, Media,MEGACO, message/http, Messenger,MGCP,MGMT, MIME multipart, MIPv6,MMS, MMSE, Mobile IP, Modbus/TCP,MOUNT, MPEG1, MPLS, MPLS Echo,MQ, MQ PCF, MRDISC, MS NLB, MS Proxy, MSDP,MSMMS, MSNIP, MSNMS, MSRP, MTP2, MTP3, MTP3MG, MySQL, NBAP, NBDS, NBIPX, NBNS, NBP, NBSS, NCP, NCS,NDMP, NDPS, NetBIOS, Netsync, nettl, NFS, NFSACL, NFSAUTH,NHRP, NIS+, NIS+ CB,NJACK, NLM, NLSP, NMAS, NMPI, NNTP, NORM, NS_CERT_EXTS, NSIP, NSPI, NTLMSSP, NTP, Null, NW_SERIAL,OAM AAL, OCSP, OLSR, OPSI, OSPF, P_MUL, PAGP, PAP, PARLAY, PCLI, PCNFSD, PER, PFLOG, PFLOG-OLD, PGM, PGSQL, PIM, PKCS-1, PKInit, PKIX Certificate, PKIX1EXPLICIT, PKIX1IMPLICIT, PKIXPROXY, PKIXQUALIFIED, PKIXTSP, PKTC, PNDCP, PN-RT, PNIO, PNP, POP, Portmap, PPP, PPP BACP, PPP BAP, PPP CBCP, PPP CCP, PPP CDPCP, PPP CHAP, PPP Comp, PPP IPCP, PPP IPV6CP, PPP LCP, PPP MP, PPP MPLSCP, PPP OSICP, PPP PAP, PPP PPPMux, PPP PPPMuxCP, PPP VJ, PPP-HDLC, PPPoED, PPPoES, PPTP, PRES, Prism, PTP, PVFS,Q.2931,Q.931,Q.933, QLLC,QUAKE,QUAKE2, QUAKE3,QUAKEWORLD, R-STP, RADIUS, RANAP,Raw, Raw_SigComp,Raw_SIP, rdaclif, RDM,RDT, Redback,REMACT, REP_PROC, RIP, RIPng, RLM, Rlogin, RMCP, RMI, RMP, RNSAP, ROS, roverride, RPC, RPC_BROWSER, RPC_NETLOGON, RPL, rpriv, RQUOTA, RRAS, RS_ACCT, RS_ATTR, rs_attr_schema, RS_BIND, rs_misc, RS_PGO, RS_PLCY, rs_prop_acct, rs_prop_acl, rs_prop_attr, rs_prop_pgo, rs_prop_plcy, rs_pwd_mgmt, RS_REPADM, RS_REPLIST, rs_repmgr, RS_UNIX, rsec_login, RSH, rss, RSTAT, RSVP, RSYNC, RTcfg,RTCP,RTmac,RTMP,RTP,RTP Event,RTPS,RTSE,RTSP, RUDP,RWALL, RX, SADMIND, SAMR, SAP, SCCP, SCCPMG, SCSI, SCTP, SDLC, SDP, SEBEK, SECIDMAP, Serialization, SES, sFlow, SGI MOUNT, Short frame, SIGCOMP, SIP, SIPFRAG, SIR, SKINNY, SLARP, SliMP3, SLL, SM, SMB, SMB Mailslot, SMB Pipe, SMB2, SMB_NETLOGON, smil, SMPP, SMRSE, SMTP, SMUX, SNA, SNA XID, SNAETH, SNDCP, SNMP, Socks, SONMP, SoulSeek, SPNEGO, SPNEGO-KRB5, SPOOLSS, SPP, SPRAY, SPX, SRP, SRVLOC, SRVSVC, SSCF-NNI, SSCOP, SSH, SSL, SSS, STANAG 4406, STANAG 5066, STAT, STAT-CB, STP, STUN, SUA, SVCCTL, Symantec, Synergy, Syslog,T.38,TACACS, TACACS+,TALI,TANGO,TAPI,TCAP,TCP,TDMA,TDS,TEI_MANAGEMENT, TELNET,Teredo,TFTP,TIME,TIPC,TKN4Int,TNS,TokenRing,TPCP,TPKT,TR MAC,TRKSVR,TSP,TTP,TUXEDO,TZSP, UBIKDISK, UBIKVOTE, UCP, UDP, UDPENCAP, UDPlite, UMA, Unreassembled fragmented packet,V.120,V5UA, Vines ARP, Vines Echo, Vines FRP, Vines ICP, Vines IP, Vines IPC, Vines LLC, Vines RTP, Vines SPP, VLAN,VNC,VRRP,VTP,WAP SIR,WBXML,WCCP,WCP,WHDLC, WHO,WINREG, WINS-Replication,WKSSVC,WLANCERTEXTN, WSP,WTLS,WTP, X.25, X.29, X11, X411, X420, X509AF, X509CE, X509IF, X509SAT, XDMCP, XML,XOT, XYPLEX,YHOO,YMSG, YPBIND,YPPASSWD,YPSERV,YPXFRZEBRA, ZIP 1.3 - AĞ ANALİZİ ve KULLANIM ALANLARI Wireshark’ın günümüzün önder ağ protokol analizcisi olduğunu söylemiştik. Bu bölümde ağ analizi hakkında bilgi vericeğiz. Sistem yöneticileri, ağ mühendisleri, güvenlik mühendisleri, sistem işletmecileri ve programcıların hepsi ağ analizini kullanmaktadır. Ağ analizi ağdaki sorunları bulmada ve gidermede, sistem konfigürasyonu yayınlamada paha biçilmez bir araçtır Geçmişte, ağ analizcileri donanım aletlerini pahalı ve kullanımı zor bir şekilde piyasaya sürmekteydi. Ancak günümüzde, teknolojideki yeni gelişmeler yazılım tabanlı ağ analizinin gelişmesine olanak tanımıştır. Bu ağ analizini daha kullanışlı ve ucuz bir hale getirmiştir. Diğer bir açıdan bakılacak olursa, ağ analizinin yetenekleri iki yüzlü kılıç gibidir; ağ, sistem ve güvenlik uzmanları problemleri çözmede ve ağı görüntülemede kullansa da, “davetsiz misafirler” ağ analizini kötü amaçlar için kullanmaktadır. Ağ analizinin kullanım alanları : • Paketlerdeki ikili veri şeklindeki bilgileri, okunabilir bir formata dönüştürmede kullanılır. • Ağdaki problemleri çözmede kullanılır. • Ağın performansını analiz etmek için kullanılır. • Ağa izinsiz girenleri tespit etmede kullanılır. • Uygulamaların gerçekleştirdiği operasyonları analiz etmede kullanılır. • Ağ kartındaki hataları bulmada kullanılır. • Virüslerin bulaştığını veya Denial ot Service(Dos) ataklarını bulmada kullanılır. • Risk altındaki bilgisayarları bulmada kullanılır. • Casus yazılımları bulmada kullanılır. • Aynı zamanda protokoller hakkında eğitici bir kaynaktır. 1.4 - WIRESHARK’I YÜKLEME 1.4.1 - Windows işletim sisteminde yükleme : Dünya’nın önder ağ analiz programı wireshark’ın kurulumu oldukça basit, Öncelikle wiresharksetup-x.y.z.exe dosyasını temin etmelisiniz. Bu dosya aynı zamanda *WinPcap programınıda içeriyor, böylece iki paket indirmenize gerek kalmıyor. Daha sonra çalıştırın, seçilebilecek pek çok özellik olmasının yanında deneyimli bir kullanıcı değilseniz default ayarları seçmeniz yeterli olacaktır. WinPcap, Windows ortamında link-layer(bağlantı katmanı) ağı için endüstriyel standard Bir erişim aracıdır. Packet pacture ve daha bir çok işlevi vardır. Daha fazla bilgi için resmi sitesine bakabilirsiniz. 1.4.2 - Unix (Linux) işletim sisteminde yükleme : Linux ortamında paket yükleyicisi yardımıyla kolaylıkla kurulabilr. Hiçbir ek işleme gerek yoktur. Eğer paket yöneticilerinde program yoksa kullanıcılar sourceforge.net ya da www.wireshark.org adreslerinden birinden programın kaynak kodlarını indirerek kurulum yapabilirler. Kurulum işlemi bittikten sonra programı çalıştırabilmek için root hakları elde edilmesi gereklidir. Bu yüzden kullanıcılar konsole u açarak orada "su" komutunu verip yönetici şifrelerini girdikten sonra "wireshark" yazarak programı çalıştırabilirler. 2 - WIRESHARK BİLEENLERİ Wireshark iletişim ağının iç yüzünde neler olduğunu kavramamızı sağlar. Bu özelliğiyle; uygulama protokollerinde, ağ uygulamalarındaki sorunları çözmede, ağı test etmede ve canlı ağ bağlantılarındaki sorunları çözmemizde bize yardımcı olur. Yani, iletişim ağı ile teknik düzey arasında etkileşim sağlayarak pek çok problemi çözmemizi sağlar. Wireshark aynı zamanda etkileyici bir eğitimsel uygulamadır. İletişim ağını görüntülemek ve analiz etmek birçok şeyi anlamamıza yardımcı olan, öğretici bir etkinliktir. Bu bölümde wireshark’ın grafiksel kullanıcı ara yüzündeki ana bileşenleri tanımlayacağız : ■ Main window ■ Menu bar ■ Tool bar ■ Summary window ■ Protocol Tree window ■ Data View window ■ Filter bar ■ Information field ■ Display information Aynı zamanda Summary Window, Protocol Tree Window ve de Data View Window’u yakında inceleyerek, birbirleriyle bağlantılarını göstericeğiz. Wireshark’ın temel görevlerinin(ağ trafiğini yakalama, yakalanan dosyaların kaydedilmesi ve yüklenmesi, temel filtreleme işlemi, paketlerin yazdırılması vb.) nasıl yapıldığını, anlaşılır olması bakımından, adım adım inceleyeceğiz. Komut satırından “wireshark” yazarak uygulamayı başlatabilirsiniz. Wireshark çalışınca ekil 1.1’deki pencere ekrana gelicektir : ekil 1.1 : Ana Pencere 2.1 - ANA PENCERE (MAIN WINDOW) Ana penceredeki bileşenlerin içeriklerini anlamak, wireshark'ı anlamamıza yardımcı olucaktır. ekil 1.1’de ana bileşenler gözükmektedir. Bu bileşenler Tablo 1.1’de tanımlanmıştır. Tablo 1.1: Ana Pencere Bileşenleri Pencere Bileşeni Menu Bar Tanımı Menudeki maddelerin, grafiksel ara yüzünü içeren klasik bir uygulamadır. Tool Bar Wireshark’ın sık kullanılan fonksiyonlarının yollarını içerir. Kullanıcıya göre ayarlanabilir. Filter Bar Yakalanan paketleri, istenilen şekilde ayrılarak gösterilmesini sağlar. Summary Window Yakalan paketlerin her biri için, bir satırlık özet bilgi sunar. Protocol Tree Window Summary window’da seçili olan paketin detaylı bilgilerini, kullanıcıların anlayacağı şekilde düzenleyerek sunar. Data View Window Summary window’da seçili olan paketin, detaylı bilgilerini, herhangi bir düzenleme yapmadan sunar. Display Information Field Yakalanmış paketlerin numaralarını, güncel olarak gösterir. kısa 2.2 - SUMMARY WINDOW Yakalanmış paketlerin tamamına buradan bakılabilir. Her bir dosyanın içeriği bir satır olarak sunulur, satırlar belli özelliklerine göre sütunlara ayrılır. Varsayılan sütunlar Tablo 1.2’de tanımlanmıştır. Tablo 1.2 : Summary Windows Sütunları Sütun Adı No Time Source Destination Protocol Info Tanımı Yakalanan dosyanın içindeki paketlerin numarasını temsil eder. Görüntüleme filtresi (display fitler) kullanılmadığı sürece bu numara değiştirilemez. Paketin zaman damgasıdır. Paketin nereden geldiğini gösterir. Paketin nereye gittiğini gösterir. Protokol isminin kısa versiyonudur. Paket içeriği hakkında ekstra bilgi gösterir. (Edit | Prefences yoluyla sütunlarda gösterilen bilgiler değiştirilebilir.) Bu dosyalar daha ayrıntılıda incelenebilir. Herhangi bir dosya seçilirse "Packet Details" ve "Packet Bytes" pencereleri açılır. Bir paketin içeriğine bakılacak olursa, Ethernet paketinin içinde IP, onun içinde TCP bulunur. Ethernet tarayıcısı kendi bilgisini(örneğin Ethernet Adresleri) yazar, IP tarayıcısı onun üstüne kendi bilgisini(örneğin IP adresleri) yazar ve TCP tarayıcısı da onun üstüne IP bilgisini yazacaktır. ekil 1.1’de seçili olan paketin, Summary Window bölümende gösterilen bilgiler Tablo 1.3’de incelenmiştir. Tablo 1.3 : Summary Window Sütunu Sütun Adı No Time Source Destination Protocol Info Değeri 8 8.004042 (yakalama işlemine başlanıldığından itibaren) IP numarası 192.168.0.15 IP numarası 192.168.0.33 Border Gateway Protocol (BGP) OPEN Message Gözüktüğü gibi bu paket; Border Gateway Protocol (BGP) oturumunda, 192.168.0.15 ve 192.168.0.33 adresleri arasında yakalanmıştır. Bu paket seçilerek, açılan "Protocol Tree Window" ve "Data View Window" bölümlerinden daha da ayrıntılı incelenebilir. 2.3 - PROTOCOL TREE WINDOW : Paketi bütün protokol’lerin bir üst ağacı(tree) olarak canlandıralım. Her bir protokol için ağaç düğümü(tree node) oluşturulur. Bu ağaç düğümleri sayesinde, protokol alanı daha geniş bir şekilde tanımlanabilir. Herhangi bir ağaç düğümünün alt ağaca sahip olması, onun daha geniş bilgiler gösterecek şekilde genişletilebileceğini veya sadece özet bilgiler gösterecek şekilde daraltılabileceğini gösterir. Protocol tree window, wireshark’ın paketi çözümleyerek oluşturduğu ağacı denetleme imkanı sunmaktadır. imdi şekil 1.1’de seçilmiş paketi denetliyelim. Örnekteki protokol katmanlarının açıklaması Tablo 1.4 dedir. Tablo 1.4 : Örnek Protokol Katmanları Katman Packet Meta Data Protocol Frame Tanım 83 bytes on wire, 83 bytes Captured Data Link ( Layer 2/L2 ) Ethernet II Src Addr: 00:c0:4f:23:c5:95, Dst Addr: 00:00:0c:35:0e:1c www.syngress.com Network ( Layer 3/L3 ) IP Src Addr: 192.168.0.15, Dst Addr: 192.168.0.33 Transmission Control Protocol (TCP) Src Port: 2124, Dst Port: bgp(179), Seq: 2593706850, Ack … Transport ( Layer 4/L4) Application Layer ( Layer 7/L7) BGP Her bir katmanın başında (+) işareti bulunmaktadır. Bu işaret : seçili protolol hakkında genişletilmiş bilgi sunulmasını sağlayan bir alt ağacın bulunduğunu göstermektedir. ekil 1.2’de ilk önce BGP ağacı genişletilmiştir, daha sonra da “OPEN message” alt ağacı genişletilmiştir. ekil 1.2 : Genişletilmiş Protocol Tree Window 2.4 - Data View Window Data view window, paketin içeriğine göre farklı sayıda satır içerir. Satırlardaki ilk dört rakam, sekizlideki byte sayısını gösterir (sekizli; 8 bit, 1 byte veya 2 hexadecimal rakamdan oluşur). Satırdaki ilk sekizli, paketin başlangıç konumunu(offset) göstermektedir (bakınız : ekil 1.3). Daha sonra 16 tane 2 karakterlik hexadecimal byte gösterilir. Son olarak da bu 16 karakterin, American Standard Code for Information Interchange (ASCII) tablosundaki karşılıkları gösterilir. Bütün byte’ların ASCII tablosunda karşılığı yoktur, tabloda karşılığı olmayan byte’lar (.) ile temsil edilir. ekil 1.3 : Data View Window Protokol Tree Window bölümünden bir yer seçildiği zaman, Data View Window bölümünde ona karşılık gelen yer belirginleşir. Bunun tersi de geçerlidir yani, Data View Window bölümünden bir yer seçildiği zaman, Protokol Tree Window bölümünde ona karşılık gelen yer de belirginleşir.ekil 1.3’de Protocol Tree window bölümünden, BGP Message Type alanı seçilmiştir.Data view window bölümünde belirginleşen “0040” offset’i paketin, 0x40 hexadecimal’lik ya da 64 byte’lık olduğunu göstermektedir. Belirginleşen 9. Byte “01” değerini göstermektedir. Bu değerin ASCII tablosundaki karşılığını(şekildeki üçüncü yuvarlak) “.” İşareti bulunmaktadır. Bu işaret, 0x01’in ASCII’de karşılığının olmadığını göstermektedir. Hexadecimal byte veya ASCII karşılığında bir noktaya tıkladığınız zaman da, onun protocol Tree Window’daki karşılı ve Data View Window’daki devamı belirginleşcektir. ekil 1.4’de 4.satırın başlangıcına tıklıyoruz(48. Byte,[0030 ya da hexadecimal 0x30]. Tıkladığımız 0030 değeri, 2 byte’lık bir alana sahip TCP penceresinin ilk byte’ı. Dolayısıyla, TCP Protocol Tree otomatik olarak genişliyor ve pencere alanı belirginleşiyor. Ayrıca, bir sonraki byte(78 hexadecimal) da belirginleşiyor çünkü TCP penceresi 2 byte’lık bir alana sahip. Bu gösterim şekli Protocol Tree window ve Data View Window’un birlikte kullanımı kolaylaştırıyor ve aralarındaki ilişkiyi net bir biçimde gösteriyor. EKİL 1.4 : Data View Window Byte Gösterimi 2.5 - Filter Bar Filter Bar summary window daki aldığımız paketleri filtre etmemize yarayan kısımdır. Filter Bar a herhangi bir filtre girdisi yaptığımızda summary window da sadece filtrelediğimiz paketler görünür olacaktır. Filter Bar da gördüğümüz filitre paketlerin durumlarını belirtir. Örneğin bir filtre yazalım. ( ip.src==10.15.162.1&&bgp ) Bu filtre source ip adresi olarak 10.15.162.1 ve aynı zamanda bgp protokolünden gelen dosyaları bize listeler. ekil 1.5 ekil 1.5 te bgp filtresi uygulanmış. Bu filtreyi uygulamak için filter kısmına girmek istediğimiz stringi girip hemen yandaki apply düğmesine tıklamamız yeterli. Ama filtre yazarken unutmamamız gerek şeylerden biriyse filter bar ın case sensitive (büyük-küçük harfe duyarlı) olduğudur. Yani filter a bgp yerine BGP yazarsak filitre çalışmayacaktır. Bir diğer unutulmaması gereken şeyse filtre yazarken filter bar arka plan(background) rengidir. Eğer filtremiz doğru yazılmışsa yeşil, yanlış yazılmışsa kırmızı olur. Hiç bir filtre girişi olmamışsa beyaz olarak kalır. NOT:Filter Bar yeşil olmasına rağmen herhangi bir filtre işlemi oluşmamışsa bunun muhtemel nedeni apply tuşuna basmayı unutmanızdır. Eğer filter bar kırmızıysa filtrenin yanlış olduğuna kanaat getirip bu filtreyi uygulamanıza izin vermeyecektir. Eğer eski yazdığınız filtrelere ulaşmak isterseniz hemen filter bar daki aşağı ok işaretine tıklamanız yeterli. Yazdığınız bütün eski filtrelere oradan ulaşabilirsiniz.(ekil 1.6) Karşımıza çıkan listede istediğimiz filtrenin üzerine tıklayıp apply dememiz yeterli. 2.6 - Information Field (The Statusbar) Information Field yakaladığımız paketlerin isimlerinin, source ve destination adreslerinin, kullandığı protokollerin göründüğü alandır. Genel olarak: sol taraf : bağlantı bilgilerini gösterir. orta taraf : güncel paket sayısını gösterir. sağ taraf : seçili olan bilginin profilini gösterir. The initial Statusbar Yakalanmış paketlerin hiç birinin seçilmediği durumlarda Statusbar bu şekilde olabilir(örneğin: wireshark yeni başlatıldığında). The Statusbar with a loaded capture file Yakalanmış paketlerden herhangi birisinin seçildiği durumlarda Statusbar bu şekilde olabilir. The Statusbar with a selected protocol field "Packet Details" çerçevesinden herhangi bir protokol alanı seçildiği durumlarda Statusbar bu şekilde olabilir. The Statusbar with a display filter message Eğer bir "display fitler" kullanmayı denerseniz ve de bir hata meydana gelirse Statusbar bu şekilde olabilir. 2.7 - Menü İçerikleri Wireshark menu bardan ulaşabileceğimiz birçok fonksiyona sahiptir. Bu bölümde sistematik olarak menü bar keşfedilecektir. 2.7.1 - FILE(Dosya) Bu menü dosya açma, kaydetme,yazdırma gibi temel işlevleri yapabileceğimiz bölümdür. Tablo 1.4 te hangi işlemlerin yapıldığı tanımlanmıştır. ekil 1.7 Tablo 1.4 Menu Seçeneği Tanım Open Open Recent yardımcı Merge Close Save Save As lokasyonda Kayıtlı olan bir wireshark dosyasını açmamıza yarar Son işlem gören wireshark dosyalarını listeler ve açmamıza olur İki tane ayrı dosyayı tek bir dosyaymış gibi gösterir Yakaladığımız dosyaları kapatır Kaydet Kayıtlı olan bir dosyada yapılan değişiklikleri başka bir Fıle Set Export Print Quit bağımsız olarak kaydetmemize olanak sağlar Dosyadaki bilgileri düzenlemek için bir altmenüdür Başka bir dosyayı export etmemizi sağlar Yazıcıdan çıktı alır Wireshark uygulamasından çıkar Bazı Güzel Özellikler Bu kısımda menü seçeneğinde belirtilen maddeler arasından Birkaç işeyarar örnek seçilmiştir. Print File>Print yolunu izlediğimizde aşağıdaki resimdeki gibi bir satırla karşılaşıyoruz. Burada tüm yakaladığımız paketleri yazdırabildiğimiz gibi seçili olan paketleri, filtreden geçen paketleri yazdırabiliyoruz. Ayrıca pekt boyutu belirtip o sayıda paketi de yazdırabiliyoruz. ekil 1.8 Save Bu işlem dosyayı kaydetmemizi sağlar. Bu işlem yapılırken tüm paketler, seçili paketler, paket aralığı vb. eyler girilerek yapılabilir. Örneğin sadece seçili paketleri kaydetmek için selected packet only kısmına tick koymanız yeterli. ekil 1.9 2.7.2 - Edit(Düzen) Edit menüsü kullanıcı tanımlı işlemleri ve paket arama gibi işlemleri yapmamızı sağlar. Edit menüsünün içeriği gösterilmiştir. ekil 1.10 Tablo 1.5 Menü Saçeneği Tanım Find Packet(Paket Bul) Kullanılan filtreye, hex değere ya da stringe göre arama yapar ve bulduğu paketleri listeler Find Next(Sonrakini Bul) Aramayla eşleşen paketten bir sonraki paketi bulur Find Previus(Öncekini Bul) Aramayla eşleşen paketten bir önceki paketi bulur Mark Packet Summary Window da seçili olan paketi işaretler Find Next Mark İşaretli olan paketler arasında bir sonraki işaretli paketi bulur Find Previus Mark İşaretli olan paketler arasında bir önceki işaretli paketi bulur Preferences Kullanıcı tanımlı ayarları değiştirir Bazı Güzel Özellikler Bu kısımda edit seçeneğinde belirtilen maddeler arasından Birkaç işeyarar örnek seçilmiştir. Find Packet Edit>Find Packet yolunu izleyerek istediğimiz paketleri bulmamıza yardımcı olan bir ekranla karşı karşıya kalıyoruz.(ekil 1.11) ekil 1.11 Filter yazan ekranda filtrelerimizi girebiliyoruz. Bu filtreleme işlmeinde string, hex, ya da display filter (ip.src==196.123.21.1) girebiliyoruz. Sonra find a tıklayarak aradığımız paketleri bulabiliriz. Preferences Edit>Preferences yolunu izleyerek ulaştığımız preferences menüsü wireshark ile ilgili ayar yapmamızı sağlayan menüdür. Burada ekranın nasıl görüneceğini vb. Programla ilgili bütün ayarları yapmamız mümkündür. Ayrıca gerekli olan ayarları yaptıktan sonra apply butonuna tıklamak suretiyle yeni ayarlarımız etkinleşir. 2.7.3 - View ekil 1.12görülen view menüsü wireshark ana ekranımızın görüntüsünü düzenlememizi sağlayan menüdür. Toolbar lar eklenebilir, çıkarılabilir, paketlere özel renk ayarları yapılabilir. Tablo 1.6 de hangi öğelerin hangi işlere yaradığı açıklanmıştır. ekil 1.12 Tablo 1.6 Menü Seçeneği Tanım Packet Details(Paket Detayları) ekler Packet Bytes Time Display Format gözükeceğini Name Resolution Colorize Packet List Auto Screen in Live Capture kapamaya yarar Paketlerin detaylarını ASCII kodunda gösteren bölgeyi ya da kaldırır Data Window penceresini ekler ya da kaldırır Summary Window da zaman görünümün nasıl ayarlamamızı sağlar ******************************** Paketlerin renk özelliğini açar ya da kapar Summary Windowun güncellenmesini açıp Zoom In Zoom Out Normal Size Resize All Columns Expand Subtrees Expand All Collapse All Coloring Rules Show Packet in New Window Reload Font ve column size ları büyütmeye yarar Font ve column size ları küçültmeye yarar Zoom In ve out la büyütüp küçülttüğümüz fontları default değere döndürmemizi sağlar ************************************ Protocol tree deki seçili altdiziyi açar Protocol tree deki bütün altdizileri açar Protocol tree deki bütün altdizileri kapatır Paketler için Renk ayarlarını yapmamızı sağlar Paket detaylarını yeni bir pencerede görmemizi sağlar ********************************* Bazı Güzel Özellikler Bu kısımda view seçeneğinde belirtilen maddeler arasından Birkaç işeyarar örnek seçilmiştir. Show Packet in New Window Sumamry Window da önce bir paket seçilir ve View>Show Packet in New Window yolu izlenerek paketin özelliklerini yeni bir pencerede görüntüleyebiliriz.(ekil 1.13) ekil 1.13 1.7.4 - Go ekil 1.14 deGo menüsünün görünümü ve tablo 1.7içeriği gösterilmiştir. ekil 1.14 Tablo 1.7 Menü Saçeneği Tanım Back Forward Go to Packet Go to Corresponding Packet First Packet Last Packet Bir önce ki pakete gider Bir sonraki pakete gider Kullanıcının belirttiği frame number da olan pakete gider **************************** İlk pakete gider Son pakete gider 2.7.5 - Capture ekil 1.15 de gösterilen capture menüsü, tablo 1.8 de açıklanmıştır. ekil 1.15 Tablo 1.8 Menü Saçeneği Tanım Interfaces Options Start Stop Restart eder Capture Filters Programda paket yakalama işlemini başlattığımız yer Paket ayarlama menüsünü açar Paket yakalama işlemini başlatır Paket yakalama işlemini durdurur Durdurulan paket yakalama işlemine tekrar devam Yakalama filtresini ayarlar Capture Interfaces Capture>Interfaces yolunu izleyip internetin bağlı bulunduğu aygıt seçilir. Ardından start ya da capture(versiyonlar arasında değişiklik gösterir) düğmesine tıklayarak paket yakalamaya başlanır. Bu işlem main toolbar da bulunan kısyol tuşuyla da yapılabilir. ekil 1.16 2.7.6 - Analyze Analyze menü şekil 1.17 da gösterilmiş, tablo 1.9 de ise açıklanmıştır ekil 1.17 Tablo 1.9 Menü Saçeneği Tanım Display Filter Apply as Filter Prepare a Filter Firewall ACL Rules temel Enable Protocols Decode As User Specified Decode Hazır filtreleri kullanmamızı sağlar ********************************* ********************************* Summary penceresindeki seçili paket ve firewall standart alınarak çeşitli filtreler yaratır ********************************* Paketleri belirli protokollere göre decode eder ********************************* Follow TCP Stream Follow SSL Stream Expert Info vb.) Expert Info Composite Bir paket için paketle alakalı tüm TCP akışını gösterir Bir paket için paketle alakalı tüm SSL akışını gösterir Yakalanan paket açıklamasını göstrir(Duplicate, error ********************************* Bazı Güzel Özellikler Bu kısımda Analyze seçeneğinde belirtilen maddeler arasından Birkaç işe yarar örnek seçilmiştir. Edit Display Filter Bu pencere kullanıcılara filtre yazmada yardımcı olmak için oluşturulmuştur. ekil 1.18 de bu pencerenin nasıl göründüğü gösterilmiştir. Eğer orada gördüğünüz kurallar yetersiz kalırsa expression butonuna tıklayarak istediğiniz filtreyi oluşturabilirsiniz. ekil 1.18 İstediğimiz filtreyi girebilmek için field name kısmından kullanmak istediğimiz filtreyi, relation kısmından ilişkisini (eşit, büyük eşit vb.) daha sonra value kısmında değerini ya da range kısmında değer aralığını girip tamam tuşuna basarak kendi filtremizi oluşturabiliriz. ekil 1.19 Enable Protocols Analyze>Enable Protocols yolunu izleyerek şekil 1.20 de bulunan pencereyle karşı karşıya kalıyoruz. Bu pencere ekil 1.20 Decode As Yakaladığımız paketleri sihirli numaralar kullanarak bütün protokolleri decode etmemize yarar. Wireshark bize bir sihirli numarayı temel alarak zorunlu decode etmemizi sağlar. Bunu yapabilmek için aşağıdaki yol izlenir. Önce ekranın yukarı kısmında gördüğümüz transport, network vb. Layerlardan birini seçmeliyiz. Sonra sihirli numaramızı bilgi kutusundan sçmeliyiz.(ekil 1.21)(source port,destination port vb.) ekil 1.21 En sağ taraftan hangi protokole ait olan paketleri seçmek istiyorsak o protokolü seçip önce apply sonra tamam tuşuna basıyoruz ve işte hazırız. Bakalım doğru yapabildik mi diye kontrol etmek için Analyze>User Specified Decodes yolunu izleyebilirsiniz. Follow TCP Stream ve Follow SSL Stream Bu altmenüler seçili olan paket hakkında bütün TCP ya da SSL akışını ortaya çıkarır. Bu güzel özellik sayesinde bilgisayardan girilen şifreler, youtube dan video indirme linkleri vb. İşlemler yapılabilir.(Bu konulara daha sonra değinilecektir.) imdi bir pakete ait TCP stream nasıl öğrenilir onu öğrenelim. Önce TCP streamını görmek istediğimiz paket seçilir. Daha sonra Analyze>TCP Stream yolu izlenerek paketin TCP akışına ulaşılabilir.(ekil 1.22) ekil 1.22 2.5.7 - Statics Statics menüsü network analizi için birçok aracı barındıran menüdür. ekil 1.23 de Statics menüsü, Tablo 1.10 de açıklamaları görülmektedir. ekil 1.23 Tablo 1.10 Menü Saçeneği Tanım Summary Protocol Hierarchy Conversation Endpoints IO Graphs Conversation List Endpoint List Seçili olan paketin ayrıntılarını verir Yakalanan paketlerin şu anki hierarchy sini gösterir Ethernet kartları temel bağlantıyı gösterir Bütün endpointsler için temel bilgileri gösterir IO grafii çizer Birkaç layer ve protokol hakkında temel bilgiler verir Birkaç layer ve protokol hakkında temel endpoint bilgileri verir ************************************** 3 farklı ANSI protokolünün dökümünü gösterir Fax T38 hakkında temel bilgileri gösterir GSM ANSI protokolünün dökümünü gösterir Service Response Time ANSI Fax T38 Analysis GSM H.225 MTP3 RTP SCT SIP VoIP Calls WAP-WSP BOOTP-DHCP Destinations Flow Graph http IP Adress ISUP Messages gösterir Multicast Streams ONC-RPC Programs Packet Length belirler Port Type TCP Stream Graph H.225 mesajlarının sayılarını gösterir Temel MTP3 sayılarını gösterir RTP protokolün akışını gösterir ve seçili RTP protokolünün analizini yapar SCTP protokolünün istatistiklerini sağlayan ve analiz eden bir alt menü SIP nin code volume lerine temel analizler getirir VoIP çağrılarının bilgilerini gösterir WAP ve WSP için temel analizler sağlar *********************************** Yakalanan paketlerdeki bütün konuşmaların hiyerarşik görünümlerini sağlar Prokol flow bilgileri için detaylı grafiksel bir yürütme gerçekleştirir http istem bilgileri için bir altmenü oluşturur Yakalanan paketlerdeki bütün IP konuşmaların hiyerarşik görünümlerini sağlar Yakalanan paketler için belirli bir sayıda ISUP mesajı ************************************ ONC ve RPC için bilgi açıklayıcı sağlar Current capture ın boyutuna göre Paket boyutlarını Yakalanan paketlerin kullandığı bütün portların hiyerarşik görünümlerini sağlar Robust grafiklerini hesaplar ve gösterir Summary Summary penceresi Statics>Sumary yolu izlenerek açılabilir. Bu summary box yakalnan paketler hakkında bilgi verir. Protocol Hierarchy Statics>Protocol Hierarchy yolu izlenerek açılır. ekil 1.24 IO Graph IO graph yakaldığınız paketlerin grafik olarak gösterimini sağlayan bölümdür. ekil 1.25 de görünümü görülmektedir. ekil 1.25 Yukarıdaki örneğimizde tcp ve msn paketlerinin grafiği gösterilmektedir. Programı ayarlarken ister filter kısmından hazır filterları, ister bizim yazdığımız filter lara göre filterlama işlemi yapabiliriz. Style yazan yere tıkladığımızda önümüze Line, Impulse, Fbar, Dot altmenüsünü çıkar. Burada grafiğimizin nasıl görünmesi gerektiğini seçebiliriz. Color yazan yerde grafikleri birbirinden ayırabilmek için renklendirme yapılabilmektedir. Bütün bu işlemleri yaptıktan sonra Graph n(1,2,3,4,5) e tıklayarak grafiği aktif olarak görebiliriz. Yukarıdaki örneğimizde msn trafiği kırmızı noktalarla, tcp trafiği ise line grafiği ile siyah olarak gösterilmiştir. 2.7.8 - Help Tablo 1.11da içeriği gösterilmiştir. Tablo 1.11 Menü Saçeneği Tanım Contents Supported Protocols Manual Pages altmenüdür Wireshark Online Wireshark online yardımı gösterir Desteklenen protoklleri gösterir UNIX-Style kullanıcı sayfalarına Online wireshark kaynaklarına ulaşan ulaşmak için bir bir altmenüdür About Wireshark Wireshark ile ilgili bilgileri gösterir(Versiyon vb. 3 - Filtreleme Wireshark paket yakalama işlemine başladığında ön tanımlı olarak bütün paketleri göstermeye başlar. Bu kişisel bilgisayarlar için çok büyük sorunlar teşkil etmeyebilir ancak şirket bilgisayarları ve sistem uzmanları için çok büyük bir külfet demektir. Bir ev kullanıcısının dahi 2 saat içerisinde 1 milyon paket toplama işlemi yaptığı düşünülürse durumun ne kadar vahim olduğu anlaşılabilir. Wireshark programında bu gibi karışık durumlarla baş edebilmek için filter bar kullanılır. Filter barın görevi yazılan filtera göre paketleri ayırmasıdır. Bu bölümde filtreleme işleminin nasıl yapıldığı ve filtreleme gramer kurallarıyla birlikte en çok kullanılan birkaç filtre örneği verilecektir. ekil 1.26 te filter bar gösterilmektedir. ekil 1.26 3.1 - Filtreleme İşlemi Wiresharkta filtreleme işlemi iki yolla yapılabilir. Filter barda filter ve expression kısmından hazır filtreleri kullanarak (3.2 – FILTER EXPRESSION bölümünde anlatılacak) ya da filtreleri filter bardaki boş alana yazarak yapılabilir. İlk olarak boş alanda filter yazım gramerleri konusuna eğileceğiz. 3.1.1 - Filtreleme Grameri Filterleme grameri filtrelerimizin çalışabilmesi için öncelikli bilinmesi gereken şeydir. Eğer filtremizin gramerini doğru yazamazsak filter bardaki filtre yazdığımız kısım kırmızı renge dönecek ve apply tuşuna bastığımızda bir uyarı mesajı alacağız. Bunun sonucunda da filtremiz çalışmayacaktır. Filter barda sadece protokollerin isimlerinin yazılıp paketlerimizi ayırabildiğimiz gibi bunun yanında daha spesifik filterlar yazarak örneğin mantıksal operatörlerle filtreleri birleştirerek de kullanabiliriz.(Tablo 1.12 de operatör-anlam ilişkileri verilmiştir) Tablo 1.12 Operatör Anlamı == != > >= < <= || && ( ) Eşittir Eşit değildir Büyüktür Büyük veya eşittir Küçüktür Küçük veya eşittir Mantıksal Veya Mantıksal Ve Sol Parantez Sağ Parantez 3.1.2 - En Çok Kullanılan Filtreler ve Birkaç Filtreleme Örnekleri Filter kısmında filtreleme karakterleri, tip kısmında eşit gibi operatörler için karşılık olarak gelecek değerler, tanım kısmındaysa yapılan filter işlemleri görülmektedir. 1 - IP Filters Filter ip.addr adres ip.src ip.dst ip.host ip.src_host ip.dst_host ip.hdr_len ip.proto ip.tos ip.version Tip Tanım IPv4 adres Source(kaynak) veya Destination(hedef) IPv4 adres Source adres IPv4 adres Destination adres Karakter Dizisi Source veya Destination host adres Karakter Dizisi Source host adres Karakter Dizisi Destination host adres 8 bit integer Ip başlık uzunluğu 8 bit integer Protokol 8 bit integer Servis tipi 8 bit integer IP versiyonu Kullanım Örnekleri IP adresi 123.123.1.123 olan bilgisayarın source veya destination olarak filter işlemi yapma ip.addr == 123.123.1.123 IP adresi 123.123.1.123 olmayan bilgisayarın source veya destination olarak filter işlemi yapma ip.addr != 123.123.1.123 Source IP adresi 123.123.1.123 olarak filter yapma ip.src == 123.123.1.123 Source IP adresi 123.123.1.123 den büyük veya eşit olan filter yapma ip.src >= 123.123.1.123 Destination IP adresi 123.123.1.123 olarak filter yapma ip.dst == 123.123.1.123 Destination IP adresi 123.123.1.123 den küçük veya eşit olan filter yapma ip.dst <= 123.123.1.123 IP versiyonu 3 ten büyük olan paketleri sıralayan filter yapma ip.version > 3 IP versiyonu 6 dan küçük olan paketleri sıralayan filter yapma ip.version < 6 2 - Ethernet Filters Filter Tip Tanım eth.addr adres eth.src eth.dst eth.len eth.type 6 bit mac adres Source(kaynak) 6 bit mac adres 6 bit mac adres 16 bit integer 16 bit integer veya Destination(hedef) Source adres Destination adres Uzunluk Tip Kullanım Örnekleri Ethernet adresi 00:1a:9d:7f:02:5d olan bilgisayarın source veya destination olarak filter işlemi yapma eth.addr == 00:1a:9d:7f:02:5d Ethernet adresi 00:1a:9d:7f:02:5d olmayan bilgisayarın source veya destination olarak filter işlemi yapma eth.addr != 123.123.1.123 Source adresi 00:1a:9d:7f:02:5d olarak filter yapma eth.src == 00:1a:9d:7f:02:5d Source adresi 00:1a:9d:7f:02:5d den büyük veya eşit olan filter yapma eth.src >= 00:1a:9d:7f:02:5d Destination adresi 00:1a:9d:7f:02:5d olarak filter yapma eth.dst == 123.123.1.123 Destination IP adresi 00:1a:9d:7f:02:5d den küçük veya eşit olan filter yapma eth.dst <= 00:1a:9d:7f:02:5d 3 - TCP Filters Filter Tip Tanım tcp.ack tcp.analysis.ack_lost_segment tcp.analysis.duplicate_ack tcp.analysis.duplicate_ack_num tcp.analysis.flags tcp.port 32 bit integer 32 bit integer 16 bit integer tcp.dstport numarasına göre tcp.srcport numarasına göre 16 bit integer Acknowledgement numarası Ack yapılmış kayıp paket Tekrar edilmiş ack Tekrar edilen ack numarası TCP analiz bayrakları(uyarı) Source veya Destination port numarasına göre Destination port 16 bit integer Source port 4 - UDP Filters Filter Tip Tanım udp.port göre udp.srcport udp.dstport udp.length 16 bit integer Source veya destination port numarasına 16 bit integer 16 bit integer 16 bit integer Source port numarasına göre Destination port numarasına göre Uzunluk 3.2 – FILTER EXPRESSION Artık wireshark’ın temel bileşenlerini öğrenmiş bulunmaktayız, ağdan bir şeyler yakalayabilir ve bunları yorumlayabiliriz. Fitler expression işlemini somut iki örnek üzerinden inceliycez. 3.2.1 – MSN KONUMALARINI YAKALAMA Wireshark’ı başlatıp, kullandığımız ağı seçerek paketleri yakalamaya başlıyoruz. Daha sonra “msn” programını açarak, herhangi bir ileti yolluyoruz. İncelenen örnekte “BU BİR DENEMEDİR” yazıp yollanıyor. Filter expression bölümünden “msnms” protokulünü seçiyoruz(önceki bölümler de anlatıldığı gibi, bu filtreleme işlemi yakalanan paketler arasından sadece “msn” paketlerinin gösterilmesini sağlayacak). Burada görülen paketlerin “Info” sütunun “MSG” ile başlaması; içinde ileti olduğunu göstermektedir. O satırı seçtikten sonra protocol tree window’dan “MSN MESSENGER SERVİCE” satırını genişletiyoruz. ekil 1.27’de mesajın bulunduğu paket seçilmiştir ve mesaj gözükmektedir. ekil 1.27 : örnek msn konuşması Msn konuşmalarının yakalanmasının yanı sıra, msn ile gerçekleşen bütün olaylara(oturum açıp kapatma, durum değiştirme…) buradan ulaşılabilir. Örneğin görülen paketlerin “Info” sütunu “MSG mail adresi” formatında olanlar, size MSG den sonraki mail adresinden gelen iletileri gösterir yada “Info” sutunu “NLN NLN mail adresi” formatında olanlar, NLN den sonra gelen mail adresinin oturum açtığını gösterir… 3.2.2 – MAIL YAKALAMA İkinci olarak da gönderdiğimiz herhangi bir mailin içeriğine bakalım. Wireshark’ı başlatıp, kullandığımız ağı seçerek paketleri yakalamaya başlıyoruz. Daha sonra herhangi bir kişiye mail atıyoruz. Biz yine örnek olarak mailin başlığına “BU BİR DENEMEDİR”, içeriğine ise “BIL256 – COMMUNICATION NETWORKS” yazıp yolluyoruz. Wireshark’ın Filter expression bölümünden “http” protokolünü seçiyoruz. Burada yakalanan paketlerden, “Info” sütunun POST/MAIL ile başlayanı gönderilen maili içermektedir. O satırı seçtikten sonra protocol tree window’dan Multipart Media Encapsulation satırını seçerek, onu genişletiyoruz. Aşağıya doğru taradığımızda (2.4 - DATA VİEW WINDOW bölümünde anlatıldığı gibi, protocol tree window’da seçili olan bilginin karşılığı data view window’da belirginleşecektir), mailin bütün bilgilerine ulaşılabilir. ekil 1.27’de mailin bulunduğu paket seçilmiştir ve mail gözükmektedir. ekil 1.27 Mail içeriğinin görüntülenmesi Protokol tree window’dan aşağı doğru taramaya devam edilirse, mailin içeriğine de bakılabilir… Paketlerden, “Info” sütunu GET/MAIL ile başlayanları da gelen mailleri içermektedir. Aynı şekilde onların da içeriklerine bakılabilir. 3.3 - Bileşik Filter Yapımı İki ya da daha fazla filterın birleşmesine bileşik filter adı verilir. Bu filterlar '(', ')', '&&', '||' vb. İşaretlerle yazılabilirler. Parantezler filterları birbirinden ayırmak ve daha güzel görünüm vermek için kullanılmasının yanı sıra bazı filterlar için zorunlu olabilir. Filter Örnekleri IP source adresi 123.123.1.123 paketleri göstermek için ip.src == 123.123.1.123 IP source adresi 123.123.1.123 olmayan ve mac adresi 00:1a:9d:7f:02:5d den büyük bütün paketlei göstermek için ip.src != 123.123.1.123 && eth > 00:1a:9d:7f:02:5d IP source adresi 123.123.1.123, mac adresi 00:1a:9d:7f:02:5d den küçük veya tcp protokolünü 123 port numarasıyla kullanan bütün paketlei göstermek için (ip.src == 123.123.1.123)&&(eth < 00:1a:9d:7f:02:5d || tcp.port == 123) Bu örnekte parantez kullanmak zorunludur.