docWireshark Tutorial v1.0
download 
Şikayet Transkript
Wireshark Tutorial v1.0
WIRESHARK
KULLANIM
KILAVUZU
V1.0
Utku Uluşahin
Güngör Basa
İÇİNDEKİLER :
1 – WIRESHARK
1.1 - WIRESHARK’IN GELİŞİMİ
1.2 - DESTEKLENEN PROTOKOLLER
1.3 - AĞ ANALİZİ ve KULLANIM ALANLARI
1.4 - WIRESHARK’I YÜKLEME
1.4.1 - Windows işletim sisteminde yükleme
1.4.2 - Unix (Linux) işletim sisteminde yükleme
2 - WIRESHARK BİLEŞENLERİ
2.1 - ANA PENCERE (MAIN WINDOW) :
2.2 - SUMMARY WINDOW
2.3 - PROTOCOL TREE WINDOW :
2.4 - DATA VİEW WINDOW
2.5 – FILTER BAR
2.6 – INFORMATION FIELD
2.7 – MENU İÇERİKLERİ :
2.7.1 – FILE
2.7.2 – EDIT
2.7.3 – VIEW
2.7.4 – GO
2.7.5 – CAPTURE
2.7.6 – ANALYZE
2.7.7 – STATICS
2.7.8 - HELP
3- Filtreleme
3.1 – FİLTRELEME İŞLEMLERİ
3.1.1 – FİLTRELEME GRAMERİ
3.1.2 – EN ÇOK KULLANILAN FİLTRELER VE ÖRNEKLERİ
3.1.2.1 – IP FİLTRELERİ
3.1.2.2 – ETHERNET FİLTRELERİ
3.1.2.3 – TCP FILTRELERİ
3.1.2.3 – UDP FİLTRELERİ
3.2 – FILTER EXPRESSION
3.2.1 – MSN KONUŞMALARINI YAKALAMA
3.2.2 – MAIL YAKALAMA
3.3 – BILESİK FILTRE YAPIMI
1 - WIRESHARK
1998 yılında Ethereal adıyla faaliyete başlayan proje, dünyanın dört bir yanındaki ağ
uzmanlarının da katkısıyla günümüzün önder ağ protokol analizcisi haline gelmiştir, hatta
çoğu endüstri ve eğitim enstitüsünde standarttır. Yeni versiyonları wireshark ismiyle çıkan
yazılım, bilgisayarınıza ulaşan paketleri yakalamanıza ve bu paketlerin içeriğini
görüntülemenize olanak tanıyor. Başka bir deyişle, bilgisayara bağlı olan her türlü ağ
kartlarındaki (Ethernet kartı veya modem) tüm TCP/IP mesajlarını analiz edebilen bir
programdır.
Wireshark’ın dikkat çeken özellikleri :
•
750'nin üzerinde protokolü analiz edebilir (sürekli yenileri bu listeye eklenmektedir).
•
Gerçek zamanlı analiz yapabilir.
•
Bir analizi filtre edebilir (örneğin "sadece HTTP mesajlarını göster" gibi).
•
Standart üç pencereli paket gezginine sahiptir.
•
Çoklu-platform: Windows, Linux, OS X, Solaris, FreeBSD, NetBSD, ve bir çok
işletim sisteminde çalışır
•
Terminal veya kullanıcı arabirimi ile kullanılabilir.
•
Yakalanan ağ verisi kullanıcı grafik ara yüzü aracılığı ile gezilebilir veya TTY-kipinde
TShark aracı ilede olabilir.
•
Endüstrideki en güçlü gösterim filtrelerine sahiptir.
•
Aynı zamanda zengin VoIP analizleri yapabilmektedir.
•
Birçok yakalama dosya biçimini yazıp okuyabilir: tcpdump (libpcap), Catapult
DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General
Sniffer® (sıkıştırılmış ve sıkıştırılmamış), Sniffer® Pro, ve NetXray®, Network
Instruments Observer, Novell LANalyzer, RADCOM WAN/LAN Analyzer,
Shomiti/Finisar Surveyor, Tektronix K12xx, Visual Networks Visual UpTime,
WildPackets EtherPeek/TokenPeek/AiroPeek, ve birçokları...
•
Birçok protokol için şifre çözme desteği sunabilmektedir (IPsec, ISAKMP, Kerberos,
SNMPv3, SSL/TLS, WEP, ve WPA/WPA2'yi içerir).
•
Gzip ile sıkıştırılmış dosyaları yakalarken, havadayken sıkıştırmasını açabilir.
•
Canlı veriyi Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring,
Frame Relay, FDDI, ve diğerlerinden (platforma göre değişir) okuyabilir.
•
Paket listesinde hızlı ve sezgisel analiz için, renklendirme kuralları uygulayabilir.
•
Çıktıyı XML, PostScript®, CSV, veya düze metin şeklinde verebilir.
1.1 - WIRESHARK’IN GELİİMİ
Wireshark 1997 yılında, ağdaki sorunları gidermek amacıyla “Gerald Combs” tarafından
geliştirilmiştir. İlk versiyonu Temmuz 1998’de yayınlanmıştır. Daha sonra, Gilbert Raminez,
Guy Harriz ve Richard Sharpe’den oluşan destek takımı oluşturulmuş ve wireshark hızla
geliştirilmeye başlanmıştır. O günden itibaren, dünyanın dört bir yanından insanlar,
wireshark’ın gelişmesine katkıda bulunmuştur (Katkıda bulunanların listesini
http://www.wireshark.org/about.html#authors adresinden bulabilirsiniz). Gördüğü çok
büyük destek ve geniş kullanım tabanı sayesinde wireshark’ın kullanılabilirliği ve
popülaritesi günden güne artmaktadır.
1.2 - DESTEKLENEN PROTOKOLLER
Ağ analizcisi, ağdan okuduğu bilgilerin ne anlama geldiğini anlaması ve nasıl okunabilir bir
formata dönüştürüleceğini bilmesi gerekmektedir. Bu işleme “protokol çözümleyicisi”
denmektedir. Ön bilgi amaçlı verdiğimiz wireshark’ın dikkat çekici özelliklerinin ilk
maddesinde, 750'nin üzerinde protokolü analiz edebildiğini belirtmiştik. Bu maddeden de
anlaşıldığı gibi wireshark bu alanda oldukça iddaalıdır.
Aşağıda wireshark’ın desteklediği 752 protokol listelenmiştir :
3COMXNS, 3GPP2 A11, 802.11 MGT, 802.11 Radiotap, 802.3 Slow protocols,
9P,AAL1,AAL3/4,AARP,ACAP,ACN,ACSE,ACtrace,ADP,AFP,AFS
(RX),AgentX,AH,AIM,AIM Administration,AIM Advertisements,AIM
BOS,AIM Buddylist,AIM Chat,AIM ChatNav,AIM Directory,AIM E-mail,
AIM Generic,AIM ICQ,AIM Invitation,AIM Location,AIM Messaging,
AIM OFT,AIM Popup,AIM Signon,AIM SSI,AIM SST,AIM Stats,AIM
Translate,AIM User Lookup,AJP13,ALC,ALCAP,AMR,ANS,ANSI
BSMAP,ANSI DTAP,ANSI IS-637-A Teleservice,ANSI IS-637-A Transport,
ANSI IS-683-A (OTA (Mobile)),ANSI IS-801 (Location Services (PLD)),
ANSI MAP,AODV,AOE,ARCNET,Armagetronad,ARP/RARP,ARTNET,
ASAP,ASF,ASN1,ASP,ATM,ATM LANE,ATP,ATSVC,Auto-RP,AVS
WLANCAP,AX4000, BACapp, BACnet, Basic Format XID, BEEP, BER,
BFD Control, BGP, BICC, BitTorrent, Boardwalk, BOFL,BOOTP/DHCP,
BOOTPARAMS, BOSSVR, BROWSER, BSSAP, BSSGP, BUDB, BUTC,
BVLC,CAMEL,CAST,CBAPDev, CCSDS, CCSRL, CDP, CDS_CLERK,
cds_solicit,CDT, CFLOW,CGMP, CHDLC, CIGI, CIMD, CIP, CISCOWLL2,
CLDAP, CLEARCASE, CLNP,CLTP, CMIP,CMP, CMS,CONV, COPS,
COSEVENTCOMM, CoSine, COSNAMING,COTP, CPFI, CPHA,
cprpc_server,CRMF, CSM_ENCAPS, CUPS,DAAP,DAP, Data, dc, DCCP,
DCE_DFS, dce_update, DCERPC, DCOM, DCP, DDP, DDTP, DEC_DNA,
DEC_STP, DFS, DHCPFO, DHCPv6, DIAMETER, dicom, DIS, DISP,
DISTCC, DLSw,DLT User A, DLT User B, DLT User C, DLT User D, DNP
3.0, DNS, DNSSERVER, DOCSIS, DOCSIS BPKM-ATTR, DOCSIS
BPKM-REQ, DOCSIS BPKM-RSP, DOCSIS DSA-ACK, DOCSIS DSAREQ,
DOCSIS DSA-RSP, DOCSIS DSC-ACK, DOCSIS DSC-REQ,
DOCSIS DSC-RSP, DOCSIS DSD-REQ, DOCSIS DSD-RSP, DOCSIS
INT-RNG-REQ, DOCSIS MAC MGMT, DOCSIS MAP, DOCSIS REGACK,
DOCSIS REG-REQ, DOCSIS REG-RSP, DOCSIS RNG-REQ,
DOCSIS RNG-RSP, DOCSIS TLVs, DOCSIS type29ucd, DOCSIS UCCREQ,
DOCSIS UCC-RSP,DOCSIS UCD, DOCSIS VSIF, DOP,
DRSUAPI, DSI, DSP, DSSETUP, DTP, DTSPROVIDER,
DTSSTIME_REQ,DUA,DVMRP, E.164, EAP, EAPOL,ECHO,
EDONKEY, EDP, EFS, EIGRP, ENC, ENIP, ENRP, ENTTEC, EPM,
EPMv4, ESIS, ESP, ESS, ETHERIC, ETHERIP, Ethernet, EVENTLOG, FC,
FC ELS, FC FZS, FC-dNS, FC-FCS, FC-SB3, FC-SP, FC-SWILS, FC_CT,
FCIP, FCP, FDDI, FIX, FLDB, FR, Frame, FRSAPI, FRSRPC, FTAM, FTBP,
FTP, FTP-DATA, FTSERVER,FW-1,G.723, GIF image, giFT, GIOP,
GMRP, GNM, GNUTELLA, GPRS NS, GPRS-LLC, GRE, Gryphon, GSM
BSSMAP, GSM DTAP, GSM RP, GSM SMS, GSM SMS UD, GSM_MAP,
GSM_SS, GSS-API, GTP, GVRP, H.223, H.225.0, H.235, H.245, H.261,
H.263, H.263 data, H1, h221nonstd, H248, h450, HCLNFSD, HPEXT,
HPSW, HSRP, HTTP, HyperSCSI, IAP, IAPP, IAX2, IB, ICAP, ICBAAccoCB,
ICBAAccoCB2, ICBAAccoMgt, ICBAAccoMgt2, ICBAAccoServ,
ICBAAccoServ2, ICBAAccoServSRT, ICBAAccoSync, ICBABrowse,
ICBABrowse2, ICBAGErr, ICBAGErrEvent, ICBALDev, ICBALDev2,
ICBAPDev, ICBAPDev2, ICBAPDevPC, ICBAPDevPCEvent, ICBAPersist,
ICBAPersist2, ICBARTAuto, ICBARTAuto2, ICBAState, ICBAStateEvent,
ICBASysProp, ICBATime, ICEP, ICL_RPC, ICMP, ICMPv6, ICP, ICQ,
IDispatch, IDP, IEEE 802.11, IEEE802a, iFCP, IGAP, IGMP, IGRP, ILMI,
IMAP, INAP, INITSHUTDOWN, IOXIDResolver, IP, IP/IEEE1394,
IPComp, IPDC, IPFC, IPMI, IPP, IPv6, IPVS, IPX, IPX MSG, IPX RIP, IPX
SAP, IPX WAN, IRC, IrCOMM, IRemUnknown, IRemUnknown2, IrLAP,
IrLMP, ISAKMP, iSCSI, ISDN, ISIS, ISL, ISMP, iSNS, ISUP, isup_thin,
ISystemActivator, itunes, IUA, IuUP, Jabber, JFIF (JPEG) image, Juniper,
JXTA, JXTA Framing, JXTA Message, JXTA UDP, JXTA Welcome, K12xx,
KADM5, KINK, KLM, Kpasswd, KRB4, KRB5, KRB5RPC, L2TP,
LANMAN, LAPB, LAPBETHER, LAPD, Laplink, LDAP, LDP, Line-based
text data, LLAP, llb, LLC, LLDP, LMI, LMP, Log, LogotypeCertExtn, LOOP,
LPD, LSA, Lucent/Ascend, LWAPP, LWAPP-CNTL, LWAPP-L3, LWRES,
M2PA, M2TP,M2UA,M3UA,MACC,Malformed packet, Manolito,
MAP_DialoguePDU, MAPI, MDS Header, Media,MEGACO, message/http,
Messenger,MGCP,MGMT, MIME multipart, MIPv6,MMS, MMSE, Mobile
IP, Modbus/TCP,MOUNT, MPEG1, MPLS, MPLS Echo,MQ, MQ PCF,
MRDISC, MS NLB, MS Proxy, MSDP,MSMMS, MSNIP, MSNMS, MSRP,
MTP2, MTP3, MTP3MG, MySQL, NBAP, NBDS, NBIPX, NBNS, NBP,
NBSS, NCP, NCS,NDMP, NDPS, NetBIOS, Netsync, nettl, NFS, NFSACL,
NFSAUTH,NHRP, NIS+, NIS+ CB,NJACK, NLM, NLSP, NMAS, NMPI,
NNTP, NORM, NS_CERT_EXTS, NSIP, NSPI, NTLMSSP, NTP, Null,
NW_SERIAL,OAM AAL, OCSP, OLSR, OPSI, OSPF, P_MUL, PAGP, PAP,
PARLAY, PCLI, PCNFSD, PER, PFLOG, PFLOG-OLD, PGM, PGSQL,
PIM, PKCS-1, PKInit, PKIX Certificate, PKIX1EXPLICIT,
PKIX1IMPLICIT, PKIXPROXY, PKIXQUALIFIED, PKIXTSP, PKTC, PNDCP,
PN-RT, PNIO, PNP, POP, Portmap, PPP, PPP BACP, PPP BAP, PPP
CBCP, PPP CCP, PPP CDPCP, PPP CHAP, PPP Comp, PPP IPCP, PPP
IPV6CP, PPP LCP, PPP MP, PPP MPLSCP, PPP OSICP, PPP PAP, PPP
PPPMux, PPP PPPMuxCP, PPP VJ, PPP-HDLC, PPPoED, PPPoES, PPTP,
PRES, Prism, PTP, PVFS,Q.2931,Q.931,Q.933, QLLC,QUAKE,QUAKE2,
QUAKE3,QUAKEWORLD, R-STP, RADIUS, RANAP,Raw,
Raw_SigComp,Raw_SIP, rdaclif, RDM,RDT, Redback,REMACT,
REP_PROC, RIP, RIPng, RLM, Rlogin, RMCP, RMI, RMP, RNSAP,
ROS, roverride, RPC, RPC_BROWSER, RPC_NETLOGON, RPL, rpriv,
RQUOTA, RRAS, RS_ACCT, RS_ATTR, rs_attr_schema, RS_BIND,
rs_misc, RS_PGO, RS_PLCY, rs_prop_acct, rs_prop_acl, rs_prop_attr,
rs_prop_pgo, rs_prop_plcy, rs_pwd_mgmt, RS_REPADM, RS_REPLIST,
rs_repmgr, RS_UNIX, rsec_login, RSH, rss, RSTAT, RSVP, RSYNC,
RTcfg,RTCP,RTmac,RTMP,RTP,RTP Event,RTPS,RTSE,RTSP,
RUDP,RWALL, RX, SADMIND, SAMR, SAP, SCCP, SCCPMG, SCSI,
SCTP, SDLC, SDP, SEBEK, SECIDMAP, Serialization, SES, sFlow, SGI
MOUNT, Short frame, SIGCOMP, SIP, SIPFRAG, SIR, SKINNY, SLARP,
SliMP3, SLL, SM, SMB, SMB Mailslot, SMB Pipe, SMB2, SMB_NETLOGON,
smil, SMPP, SMRSE, SMTP, SMUX, SNA, SNA XID, SNAETH,
SNDCP, SNMP, Socks, SONMP, SoulSeek, SPNEGO, SPNEGO-KRB5,
SPOOLSS, SPP, SPRAY, SPX, SRP, SRVLOC, SRVSVC, SSCF-NNI,
SSCOP, SSH, SSL, SSS, STANAG 4406, STANAG 5066, STAT, STAT-CB,
STP, STUN, SUA, SVCCTL, Symantec, Synergy, Syslog,T.38,TACACS,
TACACS+,TALI,TANGO,TAPI,TCAP,TCP,TDMA,TDS,TEI_MANAGEMENT,
TELNET,Teredo,TFTP,TIME,TIPC,TKN4Int,TNS,TokenRing,TPCP,TPKT,TR MAC,TRKSVR,TSP,TTP,TUXEDO,TZSP,
UBIKDISK, UBIKVOTE, UCP, UDP, UDPENCAP, UDPlite, UMA,
Unreassembled fragmented packet,V.120,V5UA, Vines ARP, Vines Echo,
Vines FRP, Vines ICP, Vines IP, Vines IPC, Vines LLC, Vines RTP, Vines SPP,
VLAN,VNC,VRRP,VTP,WAP SIR,WBXML,WCCP,WCP,WHDLC,
WHO,WINREG, WINS-Replication,WKSSVC,WLANCERTEXTN,
WSP,WTLS,WTP, X.25, X.29, X11, X411, X420, X509AF, X509CE,
X509IF, X509SAT, XDMCP, XML,XOT, XYPLEX,YHOO,YMSG,
YPBIND,YPPASSWD,YPSERV,YPXFRZEBRA, ZIP
1.3 - AĞ ANALİZİ ve KULLANIM ALANLARI
Wireshark’ın günümüzün önder ağ protokol analizcisi olduğunu söylemiştik. Bu bölümde
ağ analizi hakkında bilgi vericeğiz.
Sistem yöneticileri, ağ mühendisleri, güvenlik mühendisleri, sistem işletmecileri ve
programcıların hepsi ağ analizini kullanmaktadır.
Ağ analizi ağdaki sorunları bulmada ve gidermede, sistem konfigürasyonu yayınlamada
paha biçilmez bir araçtır
Geçmişte, ağ analizcileri donanım aletlerini pahalı ve kullanımı zor bir şekilde piyasaya
sürmekteydi. Ancak günümüzde, teknolojideki yeni gelişmeler yazılım tabanlı ağ analizinin
gelişmesine olanak tanımıştır. Bu ağ analizini daha kullanışlı ve ucuz bir hale getirmiştir.
Diğer bir açıdan bakılacak olursa, ağ analizinin yetenekleri iki yüzlü kılıç gibidir;
ağ, sistem ve güvenlik uzmanları problemleri çözmede ve ağı görüntülemede kullansa da,
“davetsiz misafirler” ağ analizini kötü amaçlar için kullanmaktadır.
Ağ analizinin kullanım alanları :
• Paketlerdeki ikili veri şeklindeki bilgileri, okunabilir bir formata dönüştürmede
kullanılır.
• Ağdaki problemleri çözmede kullanılır.
• Ağın performansını analiz etmek için kullanılır.
• Ağa izinsiz girenleri tespit etmede kullanılır.
• Uygulamaların gerçekleştirdiği operasyonları analiz etmede kullanılır.
• Ağ kartındaki hataları bulmada kullanılır.
• Virüslerin bulaştığını veya Denial ot Service(Dos) ataklarını bulmada kullanılır.
• Risk altındaki bilgisayarları bulmada kullanılır.
• Casus yazılımları bulmada kullanılır.
• Aynı zamanda protokoller hakkında eğitici bir kaynaktır.
1.4 - WIRESHARK’I YÜKLEME
1.4.1 - Windows işletim sisteminde yükleme :
Dünya’nın önder ağ analiz programı wireshark’ın kurulumu oldukça basit,
Öncelikle wiresharksetup-x.y.z.exe dosyasını temin etmelisiniz.
Bu dosya aynı zamanda *WinPcap programınıda içeriyor, böylece iki paket indirmenize
gerek kalmıyor.
Daha sonra çalıştırın, seçilebilecek pek çok özellik olmasının yanında deneyimli bir
kullanıcı değilseniz default ayarları seçmeniz yeterli olacaktır.
WinPcap, Windows ortamında link-layer(bağlantı katmanı) ağı için endüstriyel standard Bir
erişim aracıdır. Packet pacture ve daha bir çok işlevi vardır. Daha fazla bilgi için resmi
sitesine bakabilirsiniz.
1.4.2 - Unix (Linux) işletim sisteminde yükleme :
Linux ortamında paket yükleyicisi yardımıyla kolaylıkla kurulabilr. Hiçbir ek işleme gerek
yoktur. Eğer paket yöneticilerinde program yoksa kullanıcılar sourceforge.net ya da
www.wireshark.org adreslerinden birinden programın kaynak kodlarını indirerek kurulum
yapabilirler. Kurulum işlemi bittikten sonra programı çalıştırabilmek için root hakları elde
edilmesi gereklidir. Bu yüzden kullanıcılar konsole u açarak orada "su" komutunu verip
yönetici şifrelerini girdikten sonra "wireshark" yazarak programı çalıştırabilirler.
2 - WIRESHARK BİLEENLERİ
Wireshark iletişim ağının iç yüzünde neler olduğunu kavramamızı sağlar.
Bu özelliğiyle; uygulama protokollerinde, ağ uygulamalarındaki sorunları çözmede, ağı test
etmede ve canlı ağ bağlantılarındaki sorunları çözmemizde bize yardımcı olur. Yani,
iletişim ağı ile teknik düzey arasında etkileşim sağlayarak pek çok problemi çözmemizi
sağlar.
Wireshark aynı zamanda etkileyici bir eğitimsel uygulamadır. İletişim ağını görüntülemek
ve analiz etmek birçok şeyi anlamamıza yardımcı olan, öğretici bir etkinliktir.
Bu bölümde wireshark’ın grafiksel kullanıcı ara yüzündeki ana bileşenleri tanımlayacağız :
■ Main window
■ Menu bar
■ Tool bar
■ Summary window
■ Protocol Tree window
■ Data View window
■ Filter bar
■ Information field
■ Display information
Aynı zamanda Summary Window, Protocol Tree Window ve de Data View Window’u
yakında inceleyerek, birbirleriyle bağlantılarını göstericeğiz.
Wireshark’ın temel görevlerinin(ağ trafiğini yakalama, yakalanan dosyaların kaydedilmesi
ve yüklenmesi, temel filtreleme işlemi, paketlerin yazdırılması vb.) nasıl yapıldığını,
anlaşılır olması bakımından, adım adım inceleyeceğiz.
Komut satırından “wireshark” yazarak uygulamayı başlatabilirsiniz. Wireshark çalışınca
ekil 1.1’deki pencere ekrana gelicektir :
ekil 1.1 : Ana Pencere
2.1 - ANA PENCERE (MAIN WINDOW)
Ana penceredeki bileşenlerin içeriklerini anlamak, wireshark'ı anlamamıza yardımcı
olucaktır. ekil 1.1’de ana bileşenler gözükmektedir. Bu bileşenler Tablo 1.1’de
tanımlanmıştır.
Tablo 1.1: Ana Pencere Bileşenleri
Pencere Bileşeni
Menu Bar
Tanımı
Menudeki maddelerin, grafiksel ara yüzünü içeren
klasik bir uygulamadır.
Tool Bar
Wireshark’ın sık kullanılan fonksiyonlarının
yollarını içerir. Kullanıcıya göre ayarlanabilir.
Filter Bar
Yakalanan paketleri, istenilen şekilde ayrılarak
gösterilmesini sağlar.
Summary Window
Yakalan paketlerin her biri için, bir satırlık özet bilgi sunar.
Protocol Tree Window
Summary window’da seçili olan paketin detaylı bilgilerini,
kullanıcıların anlayacağı şekilde düzenleyerek sunar.
Data View Window
Summary window’da seçili olan paketin, detaylı bilgilerini,
herhangi bir düzenleme yapmadan sunar.
Display Information Field
Yakalanmış paketlerin numaralarını, güncel olarak
gösterir.
kısa
2.2 - SUMMARY WINDOW
Yakalanmış paketlerin tamamına buradan bakılabilir. Her bir dosyanın içeriği bir satır
olarak sunulur, satırlar belli özelliklerine göre sütunlara ayrılır. Varsayılan sütunlar Tablo
1.2’de tanımlanmıştır.
Tablo 1.2 : Summary Windows Sütunları
Sütun Adı
No
Time
Source
Destination
Protocol
Info
Tanımı
Yakalanan dosyanın içindeki paketlerin numarasını
temsil eder. Görüntüleme filtresi (display fitler)
kullanılmadığı sürece bu numara değiştirilemez.
Paketin zaman damgasıdır.
Paketin nereden geldiğini gösterir.
Paketin nereye gittiğini gösterir.
Protokol isminin kısa versiyonudur.
Paket içeriği hakkında ekstra bilgi gösterir.
(Edit | Prefences yoluyla sütunlarda gösterilen bilgiler değiştirilebilir.)
Bu dosyalar daha ayrıntılıda incelenebilir. Herhangi bir dosya seçilirse "Packet Details" ve
"Packet Bytes" pencereleri açılır.
Bir paketin içeriğine bakılacak olursa, Ethernet paketinin içinde IP, onun içinde TCP
bulunur. Ethernet tarayıcısı kendi bilgisini(örneğin Ethernet Adresleri) yazar, IP tarayıcısı
onun üstüne kendi bilgisini(örneğin IP adresleri) yazar ve TCP tarayıcısı da onun üstüne IP
bilgisini yazacaktır.
ekil 1.1’de seçili olan paketin, Summary Window bölümende gösterilen bilgiler Tablo
1.3’de incelenmiştir.
Tablo 1.3 : Summary Window Sütunu
Sütun Adı
No
Time
Source
Destination
Protocol
Info
Değeri
8
8.004042 (yakalama işlemine başlanıldığından itibaren)
IP numarası 192.168.0.15
IP numarası 192.168.0.33
Border Gateway Protocol (BGP)
OPEN Message
Gözüktüğü gibi bu paket; Border Gateway Protocol (BGP) oturumunda, 192.168.0.15 ve
192.168.0.33 adresleri arasında yakalanmıştır. Bu paket seçilerek, açılan "Protocol Tree
Window" ve "Data View Window" bölümlerinden daha da ayrıntılı incelenebilir.
2.3 - PROTOCOL TREE WINDOW :
Paketi bütün protokol’lerin bir üst ağacı(tree) olarak canlandıralım. Her bir protokol için
ağaç düğümü(tree node) oluşturulur. Bu ağaç düğümleri sayesinde, protokol alanı daha
geniş bir şekilde tanımlanabilir. Herhangi bir ağaç düğümünün alt ağaca sahip olması,
onun daha geniş bilgiler gösterecek şekilde genişletilebileceğini veya sadece özet bilgiler
gösterecek şekilde daraltılabileceğini gösterir.
Protocol tree window, wireshark’ın paketi çözümleyerek oluşturduğu ağacı denetleme
imkanı sunmaktadır.
imdi şekil 1.1’de seçilmiş paketi denetliyelim.
Örnekteki protokol katmanlarının açıklaması Tablo 1.4 dedir.
Tablo 1.4 : Örnek Protokol Katmanları
Katman
Packet Meta Data
Protocol
Frame
Tanım
83 bytes on wire, 83 bytes
Captured
Data Link ( Layer 2/L2 )
Ethernet II
Src Addr: 00:c0:4f:23:c5:95,
Dst Addr: 00:00:0c:35:0e:1c
www.syngress.com
Network ( Layer 3/L3 )
IP
Src Addr: 192.168.0.15,
Dst Addr: 192.168.0.33
Transmission
Control
Protocol (TCP)
Src Port: 2124, Dst Port: bgp(179),
Seq: 2593706850, Ack …
Transport ( Layer 4/L4)
Application Layer
( Layer 7/L7)
BGP
Her bir katmanın başında (+) işareti bulunmaktadır. Bu işaret : seçili protolol hakkında
genişletilmiş bilgi sunulmasını sağlayan bir alt ağacın bulunduğunu göstermektedir.
ekil 1.2’de ilk önce BGP ağacı genişletilmiştir, daha sonra da “OPEN message” alt ağacı
genişletilmiştir.
ekil 1.2 : Genişletilmiş Protocol Tree Window
2.4 - Data View Window
Data view window, paketin içeriğine göre farklı sayıda satır içerir. Satırlardaki ilk dört
rakam, sekizlideki byte sayısını gösterir (sekizli; 8 bit, 1 byte veya 2 hexadecimal
rakamdan oluşur). Satırdaki ilk sekizli, paketin başlangıç konumunu(offset) göstermektedir
(bakınız : ekil 1.3). Daha sonra 16 tane 2 karakterlik hexadecimal byte gösterilir. Son
olarak da bu 16 karakterin, American Standard Code for Information Interchange (ASCII)
tablosundaki karşılıkları gösterilir. Bütün byte’ların ASCII tablosunda karşılığı yoktur,
tabloda karşılığı olmayan byte’lar (.) ile temsil edilir.
ekil 1.3 : Data View Window
Protokol Tree Window bölümünden bir yer seçildiği zaman, Data View Window bölümünde
ona karşılık gelen yer belirginleşir. Bunun tersi de geçerlidir yani, Data View Window
bölümünden bir yer seçildiği zaman, Protokol Tree Window bölümünde ona karşılık gelen
yer de belirginleşir.ekil 1.3’de Protocol Tree window bölümünden, BGP Message Type
alanı seçilmiştir.Data view window bölümünde belirginleşen “0040” offset’i paketin, 0x40
hexadecimal’lik ya da 64 byte’lık olduğunu göstermektedir. Belirginleşen 9. Byte “01”
değerini göstermektedir. Bu değerin ASCII tablosundaki karşılığını(şekildeki üçüncü
yuvarlak) “.” İşareti bulunmaktadır. Bu işaret, 0x01’in ASCII’de karşılığının olmadığını
göstermektedir. Hexadecimal byte veya ASCII karşılığında bir noktaya tıkladığınız zaman
da, onun protocol Tree Window’daki karşılı ve Data View Window’daki devamı
belirginleşcektir.
ekil 1.4’de 4.satırın başlangıcına tıklıyoruz(48. Byte,[0030 ya da hexadecimal 0x30].
Tıkladığımız 0030 değeri, 2 byte’lık bir alana sahip TCP penceresinin ilk byte’ı. Dolayısıyla,
TCP Protocol Tree otomatik olarak genişliyor ve pencere alanı belirginleşiyor. Ayrıca, bir
sonraki byte(78 hexadecimal) da belirginleşiyor çünkü TCP penceresi 2 byte’lık bir alana
sahip. Bu gösterim şekli Protocol Tree window ve Data View Window’un birlikte kullanımı
kolaylaştırıyor ve aralarındaki ilişkiyi net bir biçimde gösteriyor.
EKİL 1.4 : Data View Window Byte Gösterimi
2.5 - Filter Bar
Filter Bar summary window daki aldığımız paketleri filtre etmemize yarayan kısımdır. Filter
Bar a herhangi bir filtre girdisi yaptığımızda summary window da sadece filtrelediğimiz
paketler görünür olacaktır. Filter Bar da gördüğümüz filitre paketlerin durumlarını belirtir.
Örneğin bir filtre yazalım. ( ip.src==10.15.162.1&&bgp ) Bu filtre source ip adresi olarak
10.15.162.1 ve aynı zamanda bgp protokolünden gelen dosyaları bize listeler.
ekil 1.5
ekil 1.5 te bgp filtresi uygulanmış. Bu filtreyi uygulamak için filter kısmına girmek
istediğimiz stringi girip hemen yandaki apply düğmesine tıklamamız yeterli. Ama filtre
yazarken unutmamamız gerek şeylerden biriyse filter bar ın case sensitive (büyük-küçük
harfe duyarlı) olduğudur. Yani filter a bgp yerine BGP yazarsak filitre çalışmayacaktır. Bir
diğer unutulmaması gereken şeyse filtre yazarken filter bar arka plan(background) rengidir.
Eğer filtremiz doğru yazılmışsa yeşil, yanlış yazılmışsa kırmızı olur. Hiç bir filtre girişi
olmamışsa beyaz olarak kalır.
NOT:Filter Bar yeşil olmasına rağmen herhangi bir filtre işlemi
oluşmamışsa bunun muhtemel nedeni apply tuşuna basmayı
unutmanızdır. Eğer filter bar kırmızıysa filtrenin yanlış olduğuna kanaat
getirip bu filtreyi uygulamanıza izin vermeyecektir.
Eğer eski yazdığınız filtrelere ulaşmak isterseniz hemen filter bar daki aşağı ok işaretine
tıklamanız yeterli. Yazdığınız bütün eski filtrelere oradan ulaşabilirsiniz.(ekil 1.6)
Karşımıza çıkan listede istediğimiz filtrenin üzerine tıklayıp apply dememiz yeterli.
2.6 - Information Field (The Statusbar)
Information Field yakaladığımız paketlerin isimlerinin, source ve destination adreslerinin,
kullandığı protokollerin göründüğü alandır.
Genel olarak:
sol taraf : bağlantı bilgilerini gösterir.
orta taraf : güncel paket sayısını gösterir.
sağ taraf : seçili olan bilginin profilini gösterir.
The initial Statusbar
Yakalanmış paketlerin hiç birinin seçilmediği durumlarda Statusbar bu şekilde
olabilir(örneğin: wireshark yeni başlatıldığında).
The Statusbar with a loaded capture file
Yakalanmış paketlerden herhangi birisinin seçildiği durumlarda Statusbar bu şekilde
olabilir.
The Statusbar with a selected protocol field
"Packet Details" çerçevesinden herhangi bir protokol alanı seçildiği durumlarda Statusbar
bu şekilde olabilir.
The Statusbar with a display filter message
Eğer bir "display fitler" kullanmayı denerseniz ve de bir hata meydana gelirse Statusbar bu
şekilde olabilir.
2.7 - Menü İçerikleri
Wireshark menu bardan ulaşabileceğimiz birçok fonksiyona sahiptir. Bu bölümde
sistematik olarak menü bar keşfedilecektir.
2.7.1 - FILE(Dosya)
Bu menü dosya açma, kaydetme,yazdırma gibi temel işlevleri yapabileceğimiz bölümdür.
Tablo 1.4 te hangi işlemlerin yapıldığı tanımlanmıştır.
ekil 1.7
Tablo 1.4
Menu Seçeneği
Tanım
Open
Open Recent
yardımcı
Merge
Close
Save
Save As
lokasyonda
Kayıtlı olan bir wireshark dosyasını açmamıza yarar
Son işlem gören wireshark dosyalarını listeler ve açmamıza
olur
İki tane ayrı dosyayı tek bir dosyaymış gibi gösterir
Yakaladığımız dosyaları kapatır
Kaydet
Kayıtlı olan bir dosyada yapılan değişiklikleri başka bir
Fıle Set
Export
Print
Quit
bağımsız olarak kaydetmemize olanak sağlar
Dosyadaki bilgileri düzenlemek için bir altmenüdür
Başka bir dosyayı export etmemizi sağlar
Yazıcıdan çıktı alır
Wireshark uygulamasından çıkar
Bazı Güzel Özellikler
Bu kısımda menü seçeneğinde belirtilen maddeler arasından Birkaç işeyarar örnek
seçilmiştir.
Print
File>Print yolunu izlediğimizde aşağıdaki resimdeki gibi bir satırla karşılaşıyoruz. Burada
tüm yakaladığımız paketleri yazdırabildiğimiz gibi seçili olan paketleri, filtreden geçen
paketleri yazdırabiliyoruz. Ayrıca pekt boyutu belirtip o sayıda paketi de yazdırabiliyoruz.
ekil 1.8
Save
Bu işlem dosyayı kaydetmemizi sağlar. Bu işlem yapılırken tüm paketler, seçili paketler,
paket aralığı vb. eyler girilerek yapılabilir. Örneğin sadece seçili paketleri kaydetmek için
selected packet only kısmına tick koymanız yeterli.
ekil 1.9
2.7.2 - Edit(Düzen)
Edit menüsü kullanıcı tanımlı işlemleri ve paket arama gibi işlemleri yapmamızı sağlar. Edit
menüsünün içeriği gösterilmiştir.
ekil 1.10
Tablo 1.5
Menü Saçeneği
Tanım
Find Packet(Paket Bul)
Kullanılan filtreye, hex değere ya da stringe göre arama yapar
ve
bulduğu paketleri listeler
Find Next(Sonrakini Bul) Aramayla eşleşen paketten bir sonraki paketi bulur
Find Previus(Öncekini Bul)
Aramayla eşleşen paketten bir önceki paketi bulur
Mark Packet
Summary Window da seçili olan paketi işaretler
Find Next Mark
İşaretli olan paketler arasında bir sonraki işaretli paketi bulur
Find Previus Mark
İşaretli olan paketler arasında bir önceki işaretli paketi bulur
Preferences
Kullanıcı tanımlı ayarları değiştirir
Bazı Güzel Özellikler
Bu kısımda edit seçeneğinde belirtilen maddeler arasından Birkaç işeyarar örnek
seçilmiştir.
Find Packet
Edit>Find Packet yolunu izleyerek istediğimiz paketleri bulmamıza yardımcı olan bir
ekranla karşı karşıya kalıyoruz.(ekil 1.11)
ekil 1.11
Filter yazan ekranda filtrelerimizi girebiliyoruz. Bu filtreleme işlmeinde string, hex, ya da
display filter (ip.src==196.123.21.1) girebiliyoruz. Sonra find a tıklayarak aradığımız
paketleri bulabiliriz.
Preferences
Edit>Preferences yolunu izleyerek ulaştığımız preferences menüsü wireshark ile ilgili ayar
yapmamızı sağlayan menüdür. Burada ekranın nasıl görüneceğini vb. Programla ilgili
bütün ayarları yapmamız mümkündür. Ayrıca gerekli olan ayarları yaptıktan sonra apply
butonuna tıklamak suretiyle yeni ayarlarımız etkinleşir.
2.7.3 - View
ekil 1.12görülen view menüsü wireshark ana ekranımızın görüntüsünü düzenlememizi
sağlayan menüdür. Toolbar lar eklenebilir, çıkarılabilir, paketlere özel renk ayarları
yapılabilir. Tablo 1.6 de hangi öğelerin hangi işlere yaradığı açıklanmıştır.
ekil 1.12
Tablo 1.6
Menü Seçeneği
Tanım
Packet Details(Paket Detayları)
ekler
Packet Bytes
Time Display Format
gözükeceğini
Name Resolution
Colorize Packet List
Auto Screen in Live Capture
kapamaya yarar
Paketlerin detaylarını ASCII kodunda gösteren bölgeyi
ya da kaldırır
Data Window penceresini ekler ya da kaldırır
Summary Window da zaman görünümün nasıl
ayarlamamızı sağlar
********************************
Paketlerin renk özelliğini açar ya da kapar
Summary Windowun güncellenmesini açıp
Zoom In
Zoom Out
Normal Size
Resize All Columns
Expand Subtrees
Expand All
Collapse All
Coloring Rules
Show Packet in New Window
Reload
Font ve column size ları büyütmeye yarar
Font ve column size ları küçültmeye yarar
Zoom In ve out la büyütüp küçülttüğümüz fontları default
değere döndürmemizi sağlar
************************************
Protocol tree deki seçili altdiziyi açar
Protocol tree deki bütün altdizileri açar
Protocol tree deki bütün altdizileri kapatır
Paketler için Renk ayarlarını yapmamızı sağlar
Paket detaylarını yeni bir pencerede görmemizi sağlar
*********************************
Bazı Güzel Özellikler
Bu kısımda view seçeneğinde belirtilen maddeler arasından Birkaç işeyarar örnek
seçilmiştir.
Show Packet in New Window
Sumamry Window da önce bir paket seçilir ve View>Show Packet in New Window yolu
izlenerek paketin özelliklerini yeni bir pencerede görüntüleyebiliriz.(ekil 1.13)
ekil 1.13
1.7.4 - Go
ekil 1.14 deGo menüsünün görünümü ve tablo 1.7içeriği gösterilmiştir.
ekil 1.14
Tablo 1.7
Menü Saçeneği
Tanım
Back
Forward
Go to Packet
Go to Corresponding Packet
First Packet
Last Packet
Bir önce ki pakete gider
Bir sonraki pakete gider
Kullanıcının belirttiği frame number da olan pakete gider
****************************
İlk pakete gider
Son pakete gider
2.7.5 - Capture
ekil 1.15 de gösterilen capture menüsü, tablo 1.8 de açıklanmıştır.
ekil 1.15
Tablo 1.8
Menü Saçeneği
Tanım
Interfaces
Options
Start
Stop
Restart
eder
Capture Filters
Programda paket yakalama işlemini başlattığımız yer
Paket ayarlama menüsünü açar
Paket yakalama işlemini başlatır
Paket yakalama işlemini durdurur
Durdurulan paket yakalama işlemine tekrar devam
Yakalama filtresini ayarlar
Capture Interfaces
Capture>Interfaces yolunu izleyip internetin bağlı bulunduğu aygıt seçilir. Ardından start ya
da capture(versiyonlar arasında değişiklik gösterir) düğmesine tıklayarak paket
yakalamaya başlanır.
Bu işlem main toolbar da bulunan kısyol tuşuyla da yapılabilir.
ekil 1.16
2.7.6 - Analyze
Analyze menü şekil 1.17 da gösterilmiş, tablo 1.9 de ise açıklanmıştır
ekil 1.17
Tablo 1.9
Menü Saçeneği
Tanım
Display Filter
Apply as Filter
Prepare a Filter
Firewall ACL Rules
temel
Enable Protocols
Decode As
User Specified Decode
Hazır filtreleri kullanmamızı sağlar
*********************************
*********************************
Summary penceresindeki seçili paket ve firewall standart
alınarak çeşitli filtreler yaratır
*********************************
Paketleri belirli protokollere göre decode eder
*********************************
Follow TCP Stream
Follow SSL Stream
Expert Info
vb.)
Expert Info Composite
Bir paket için paketle alakalı tüm TCP akışını gösterir
Bir paket için paketle alakalı tüm SSL akışını gösterir
Yakalanan paket açıklamasını göstrir(Duplicate, error
*********************************
Bazı Güzel Özellikler
Bu kısımda Analyze seçeneğinde belirtilen maddeler arasından Birkaç işe yarar örnek
seçilmiştir.
Edit Display Filter
Bu pencere kullanıcılara filtre yazmada yardımcı olmak için oluşturulmuştur. ekil 1.18 de
bu pencerenin nasıl göründüğü gösterilmiştir. Eğer orada gördüğünüz kurallar yetersiz
kalırsa expression butonuna tıklayarak istediğiniz filtreyi oluşturabilirsiniz.
ekil 1.18
İstediğimiz filtreyi girebilmek için field name kısmından kullanmak istediğimiz filtreyi,
relation kısmından ilişkisini (eşit, büyük eşit vb.) daha sonra value kısmında değerini ya da
range kısmında değer aralığını girip tamam tuşuna basarak kendi filtremizi oluşturabiliriz.
ekil 1.19
Enable Protocols
Analyze>Enable Protocols yolunu izleyerek şekil 1.20 de bulunan pencereyle karşı karşıya
kalıyoruz. Bu pencere
ekil 1.20
Decode As
Yakaladığımız paketleri sihirli numaralar kullanarak bütün protokolleri decode etmemize
yarar.
Wireshark bize bir sihirli numarayı temel alarak zorunlu decode etmemizi sağlar. Bunu
yapabilmek için aşağıdaki yol izlenir.
Önce ekranın yukarı kısmında gördüğümüz transport, network vb. Layerlardan birini
seçmeliyiz. Sonra sihirli numaramızı bilgi kutusundan sçmeliyiz.(ekil 1.21)(source
port,destination port vb.)
ekil 1.21
En sağ taraftan hangi protokole ait olan paketleri seçmek istiyorsak o protokolü seçip önce
apply sonra tamam tuşuna basıyoruz ve işte hazırız.
Bakalım doğru yapabildik mi diye kontrol etmek için Analyze>User Specified Decodes
yolunu izleyebilirsiniz.
Follow TCP Stream ve Follow SSL Stream
Bu altmenüler seçili olan paket hakkında bütün TCP ya da SSL akışını ortaya çıkarır. Bu
güzel özellik sayesinde bilgisayardan girilen şifreler, youtube dan video indirme linkleri vb.
İşlemler yapılabilir.(Bu konulara daha sonra değinilecektir.)
imdi bir pakete ait TCP stream nasıl öğrenilir onu öğrenelim. Önce TCP streamını görmek
istediğimiz paket seçilir. Daha sonra Analyze>TCP Stream yolu izlenerek paketin TCP
akışına ulaşılabilir.(ekil 1.22)
ekil 1.22
2.5.7 - Statics
Statics menüsü network analizi için birçok aracı barındıran menüdür. ekil 1.23 de Statics
menüsü, Tablo 1.10 de açıklamaları görülmektedir.
ekil 1.23
Tablo 1.10
Menü Saçeneği
Tanım
Summary
Protocol Hierarchy
Conversation
Endpoints
IO Graphs
Conversation List
Endpoint List
Seçili olan paketin ayrıntılarını verir
Yakalanan paketlerin şu anki hierarchy sini gösterir
Ethernet kartları temel bağlantıyı gösterir
Bütün endpointsler için temel bilgileri gösterir
IO grafii çizer
Birkaç layer ve protokol hakkında temel bilgiler verir
Birkaç layer ve protokol hakkında temel endpoint bilgileri
verir
**************************************
3 farklı ANSI protokolünün dökümünü gösterir
Fax T38 hakkında temel bilgileri gösterir
GSM ANSI protokolünün dökümünü gösterir
Service Response Time
ANSI
Fax T38 Analysis
GSM
H.225
MTP3
RTP
SCT
SIP
VoIP Calls
WAP-WSP
BOOTP-DHCP
Destinations
Flow Graph
http
IP Adress
ISUP Messages
gösterir
Multicast Streams
ONC-RPC Programs
Packet Length
belirler
Port Type
TCP Stream Graph
H.225 mesajlarının sayılarını gösterir
Temel MTP3 sayılarını gösterir
RTP protokolün akışını gösterir ve seçili RTP
protokolünün analizini yapar
SCTP protokolünün istatistiklerini sağlayan ve analiz
eden bir alt menü
SIP nin code volume lerine temel analizler getirir
VoIP çağrılarının bilgilerini gösterir
WAP ve WSP için temel analizler sağlar
***********************************
Yakalanan paketlerdeki bütün konuşmaların hiyerarşik
görünümlerini sağlar
Prokol flow bilgileri için detaylı grafiksel bir yürütme
gerçekleştirir
http istem bilgileri için bir altmenü oluşturur
Yakalanan paketlerdeki bütün IP konuşmaların hiyerarşik
görünümlerini sağlar
Yakalanan paketler için belirli bir sayıda ISUP mesajı
************************************
ONC ve RPC için bilgi açıklayıcı sağlar
Current capture ın boyutuna göre Paket boyutlarını
Yakalanan paketlerin kullandığı bütün portların hiyerarşik
görünümlerini sağlar
Robust grafiklerini hesaplar ve gösterir
Summary
Summary penceresi Statics>Sumary yolu izlenerek açılabilir. Bu summary box yakalnan
paketler hakkında bilgi verir.
Protocol Hierarchy
Statics>Protocol Hierarchy yolu izlenerek açılır.
ekil 1.24
IO Graph
IO graph yakaldığınız paketlerin grafik olarak gösterimini sağlayan bölümdür. ekil 1.25 de
görünümü görülmektedir.
ekil 1.25
Yukarıdaki örneğimizde tcp ve msn paketlerinin grafiği gösterilmektedir. Programı
ayarlarken ister filter kısmından hazır filterları, ister bizim yazdığımız filter lara göre
filterlama işlemi yapabiliriz. Style yazan yere tıkladığımızda önümüze Line, Impulse, Fbar,
Dot altmenüsünü çıkar. Burada grafiğimizin nasıl görünmesi gerektiğini seçebiliriz. Color
yazan yerde grafikleri birbirinden ayırabilmek için renklendirme yapılabilmektedir. Bütün bu
işlemleri yaptıktan sonra Graph n(1,2,3,4,5) e tıklayarak grafiği aktif olarak görebiliriz.
Yukarıdaki örneğimizde msn trafiği kırmızı noktalarla, tcp trafiği ise line grafiği ile siyah
olarak gösterilmiştir.
2.7.8 - Help
Tablo 1.11da içeriği gösterilmiştir.
Tablo 1.11
Menü Saçeneği
Tanım
Contents
Supported Protocols
Manual Pages
altmenüdür
Wireshark Online
Wireshark online yardımı gösterir
Desteklenen protoklleri gösterir
UNIX-Style kullanıcı sayfalarına
Online
wireshark
kaynaklarına
ulaşan
ulaşmak
için
bir
bir
altmenüdür
About Wireshark
Wireshark ile ilgili bilgileri gösterir(Versiyon vb.
3 - Filtreleme
Wireshark paket yakalama işlemine başladığında ön tanımlı olarak bütün paketleri
göstermeye başlar. Bu kişisel bilgisayarlar için çok büyük sorunlar teşkil etmeyebilir ancak
şirket bilgisayarları ve sistem uzmanları için çok büyük bir külfet demektir. Bir ev
kullanıcısının dahi 2 saat içerisinde 1 milyon paket toplama işlemi yaptığı düşünülürse
durumun ne kadar vahim olduğu anlaşılabilir.
Wireshark programında bu gibi karışık durumlarla baş edebilmek için filter bar kullanılır.
Filter barın görevi yazılan filtera göre paketleri ayırmasıdır. Bu bölümde filtreleme işleminin
nasıl yapıldığı ve filtreleme gramer kurallarıyla birlikte en çok kullanılan birkaç filtre örneği
verilecektir.
ekil 1.26 te filter bar gösterilmektedir.
ekil 1.26
3.1 - Filtreleme İşlemi
Wiresharkta filtreleme işlemi iki yolla yapılabilir. Filter barda filter ve expression
kısmından hazır filtreleri kullanarak (3.2 – FILTER EXPRESSION bölümünde anlatılacak)
ya da filtreleri filter bardaki boş alana yazarak yapılabilir. İlk olarak boş alanda filter yazım
gramerleri konusuna eğileceğiz.
3.1.1 - Filtreleme Grameri
Filterleme grameri filtrelerimizin çalışabilmesi için öncelikli bilinmesi gereken şeydir. Eğer
filtremizin gramerini doğru yazamazsak filter bardaki filtre yazdığımız kısım kırmızı renge
dönecek ve apply tuşuna bastığımızda bir uyarı mesajı alacağız. Bunun sonucunda da
filtremiz çalışmayacaktır.
Filter barda sadece protokollerin isimlerinin yazılıp paketlerimizi ayırabildiğimiz gibi bunun
yanında daha spesifik filterlar yazarak örneğin mantıksal operatörlerle filtreleri birleştirerek
de kullanabiliriz.(Tablo 1.12 de operatör-anlam ilişkileri verilmiştir)
Tablo 1.12
Operatör
Anlamı
==
!=
>
>=
<
<=
||
&&
(
)
Eşittir
Eşit değildir
Büyüktür
Büyük veya eşittir
Küçüktür
Küçük veya eşittir
Mantıksal Veya
Mantıksal Ve
Sol Parantez
Sağ Parantez
3.1.2 - En Çok Kullanılan Filtreler ve Birkaç Filtreleme Örnekleri
Filter kısmında filtreleme karakterleri, tip kısmında eşit gibi operatörler için karşılık olarak
gelecek değerler, tanım kısmındaysa yapılan filter işlemleri görülmektedir.
1 - IP Filters
Filter
ip.addr
adres
ip.src
ip.dst
ip.host
ip.src_host
ip.dst_host
ip.hdr_len
ip.proto
ip.tos
ip.version
Tip
Tanım
IPv4 adres
Source(kaynak)
veya
Destination(hedef)
IPv4 adres
Source adres
IPv4 adres
Destination adres
Karakter Dizisi
Source veya Destination host adres
Karakter Dizisi
Source host adres
Karakter Dizisi
Destination host adres
8 bit integer
Ip başlık uzunluğu
8 bit integer
Protokol
8 bit integer
Servis tipi
8 bit integer
IP versiyonu
Kullanım Örnekleri
IP adresi 123.123.1.123 olan bilgisayarın source veya destination olarak filter işlemi
yapma
ip.addr == 123.123.1.123
IP adresi 123.123.1.123 olmayan bilgisayarın source veya destination olarak filter işlemi
yapma
ip.addr != 123.123.1.123
Source IP adresi 123.123.1.123 olarak filter yapma
ip.src == 123.123.1.123
Source IP adresi 123.123.1.123 den büyük veya eşit olan filter yapma
ip.src >= 123.123.1.123
Destination IP adresi 123.123.1.123 olarak filter yapma
ip.dst == 123.123.1.123
Destination IP adresi 123.123.1.123 den küçük veya eşit olan filter yapma
ip.dst <= 123.123.1.123
IP versiyonu 3 ten büyük olan paketleri sıralayan filter yapma
ip.version > 3
IP versiyonu 6 dan küçük olan paketleri sıralayan filter yapma
ip.version < 6
2 - Ethernet Filters
Filter
Tip
Tanım
eth.addr
adres
eth.src
eth.dst
eth.len
eth.type
6 bit mac adres
Source(kaynak)
6 bit mac adres
6 bit mac adres
16 bit integer
16 bit integer
veya
Destination(hedef)
Source adres
Destination adres
Uzunluk
Tip
Kullanım Örnekleri
Ethernet adresi 00:1a:9d:7f:02:5d olan bilgisayarın source veya destination olarak filter
işlemi yapma
eth.addr == 00:1a:9d:7f:02:5d
Ethernet adresi 00:1a:9d:7f:02:5d olmayan bilgisayarın source veya destination olarak
filter işlemi yapma
eth.addr != 123.123.1.123
Source adresi 00:1a:9d:7f:02:5d olarak filter yapma
eth.src == 00:1a:9d:7f:02:5d
Source adresi 00:1a:9d:7f:02:5d den büyük veya eşit olan filter yapma
eth.src >= 00:1a:9d:7f:02:5d
Destination adresi 00:1a:9d:7f:02:5d olarak filter yapma
eth.dst == 123.123.1.123
Destination IP adresi 00:1a:9d:7f:02:5d den küçük veya eşit olan filter yapma
eth.dst <= 00:1a:9d:7f:02:5d
3 - TCP Filters
Filter
Tip
Tanım
tcp.ack
tcp.analysis.ack_lost_segment
tcp.analysis.duplicate_ack
tcp.analysis.duplicate_ack_num
tcp.analysis.flags
tcp.port
32 bit integer
32 bit integer
16 bit integer
tcp.dstport
numarasına göre
tcp.srcport
numarasına göre
16 bit integer
Acknowledgement numarası
Ack yapılmış kayıp paket
Tekrar edilmiş ack
Tekrar edilen ack numarası
TCP analiz bayrakları(uyarı)
Source veya Destination port
numarasına göre
Destination
port
16 bit integer
Source
port
4 - UDP Filters
Filter
Tip
Tanım
udp.port
göre
udp.srcport
udp.dstport
udp.length
16 bit integer
Source veya destination port numarasına
16 bit integer
16 bit integer
16 bit integer
Source port numarasına göre
Destination port numarasına göre
Uzunluk
3.2 – FILTER EXPRESSION
Artık wireshark’ın temel bileşenlerini öğrenmiş bulunmaktayız, ağdan bir şeyler
yakalayabilir ve bunları yorumlayabiliriz. Fitler expression işlemini somut iki örnek
üzerinden inceliycez.
3.2.1 – MSN KONUMALARINI YAKALAMA
Wireshark’ı başlatıp, kullandığımız ağı seçerek paketleri yakalamaya başlıyoruz. Daha
sonra “msn” programını açarak, herhangi bir ileti yolluyoruz. İncelenen örnekte “BU BİR
DENEMEDİR” yazıp yollanıyor. Filter expression bölümünden “msnms” protokulünü
seçiyoruz(önceki bölümler de anlatıldığı gibi, bu filtreleme işlemi yakalanan paketler
arasından sadece “msn” paketlerinin gösterilmesini sağlayacak). Burada görülen
paketlerin “Info” sütunun “MSG” ile başlaması; içinde ileti olduğunu göstermektedir. O satırı
seçtikten sonra protocol tree window’dan “MSN MESSENGER SERVİCE” satırını
genişletiyoruz. ekil 1.27’de mesajın bulunduğu paket seçilmiştir ve mesaj gözükmektedir.
ekil 1.27 : örnek msn konuşması
Msn konuşmalarının yakalanmasının yanı sıra, msn ile gerçekleşen bütün olaylara(oturum
açıp kapatma, durum değiştirme…) buradan ulaşılabilir. Örneğin görülen paketlerin “Info”
sütunu “MSG mail adresi” formatında olanlar, size MSG den sonraki mail adresinden gelen
iletileri gösterir yada “Info” sutunu “NLN NLN mail adresi” formatında olanlar, NLN den
sonra gelen mail adresinin oturum açtığını gösterir…
3.2.2 – MAIL YAKALAMA
İkinci olarak da gönderdiğimiz herhangi bir mailin içeriğine bakalım. Wireshark’ı başlatıp,
kullandığımız ağı seçerek paketleri yakalamaya başlıyoruz. Daha sonra herhangi bir kişiye
mail atıyoruz. Biz yine örnek olarak mailin başlığına “BU BİR DENEMEDİR”, içeriğine ise
“BIL256 – COMMUNICATION NETWORKS” yazıp yolluyoruz. Wireshark’ın Filter
expression bölümünden “http” protokolünü seçiyoruz. Burada yakalanan paketlerden,
“Info” sütunun POST/MAIL ile başlayanı gönderilen maili içermektedir. O satırı seçtikten
sonra protocol tree window’dan Multipart Media Encapsulation satırını seçerek, onu
genişletiyoruz. Aşağıya doğru taradığımızda (2.4 - DATA VİEW WINDOW bölümünde
anlatıldığı gibi, protocol tree window’da seçili olan bilginin karşılığı data view window’da
belirginleşecektir), mailin bütün bilgilerine ulaşılabilir.
ekil 1.27’de mailin bulunduğu paket seçilmiştir ve mail gözükmektedir.
ekil 1.27
Mail içeriğinin görüntülenmesi
Protokol tree window’dan aşağı doğru taramaya devam edilirse, mailin içeriğine de
bakılabilir…
Paketlerden, “Info” sütunu GET/MAIL ile başlayanları da gelen mailleri içermektedir. Aynı
şekilde onların da içeriklerine bakılabilir.
3.3 - Bileşik Filter Yapımı
İki ya da daha fazla filterın birleşmesine bileşik filter adı verilir. Bu filterlar '(', ')', '&&', '||' vb.
İşaretlerle yazılabilirler. Parantezler filterları birbirinden ayırmak ve daha güzel görünüm
vermek için kullanılmasının yanı sıra bazı filterlar için zorunlu olabilir.
Filter Örnekleri
IP source adresi 123.123.1.123 paketleri göstermek için
ip.src == 123.123.1.123
IP source adresi 123.123.1.123 olmayan ve mac adresi 00:1a:9d:7f:02:5d den büyük
bütün paketlei göstermek için
ip.src != 123.123.1.123 && eth > 00:1a:9d:7f:02:5d
IP source adresi 123.123.1.123, mac adresi 00:1a:9d:7f:02:5d den küçük veya tcp
protokolünü 123 port numarasıyla kullanan bütün paketlei göstermek için
(ip.src == 123.123.1.123)&&(eth < 00:1a:9d:7f:02:5d || tcp.port == 123)
Bu örnekte parantez kullanmak zorunludur.
