Wireshark Programına Genel Bakış

Merhaba arkadaşlar

Bu makalemizde Network Forensic Analizinde kullanılan yan dallardan bir tanesi olan Network analizi ile alakalı olarak WireShark programı ile paket analizinin ne şekilde yapılacağı ile ilgili detaylı bilgiler vereceğim.Bu makale serisinde sıra ile Bellek Analizi,Virüslü dosya analizi,Cpu Analizi,Hard disk analizi gibi gruplar halinde makaleler yazarak bir seri oluşturmayı planlıyorum.

Öncelik ile zaralrı bulaşmış bir makina üzerindeki network aktiviteleri Wireshark ile nasıl izlenir ve kayıt altına alınır bu bölümde bu konu ile alakalı search ve analiz tekniklerinden bahsediyor olacağım.

Wireshark Nedir?

Wireshark, dünyanın önde gelen ağ trafiği analizörü ve herhangi bir güvenlik uzmanı veya sistem yöneticisi için önemli bir araçtır. Bu ücretsiz yazılım, ağ trafiğini gerçek zamanlı olarak analiz etmenizi sağlar ve genellikle ağınızdaki sorunları gidermek için en iyi araçtır.

Wireshark’ın sorun gidermede yardımcı olabileceği yaygın sorunlar arasında, bırakılan paketler, gecikme sorunları ve ağınızdaki kötü amaçlı etkinlikler bulunur. Ağ trafiğinizi en ince detaya kadar analiz etmenize  olanak tanır ve sorunun kaynağını mercek altına alarak filtrelemek ve incelemek için araçlar sunar. Yöneticiler, paketleri düşüren hatalı ağ aygıtlarını, dünyanın dört bir yanındaki trafiği yönlendiren makinelerin neden olduğu gecikme sorunlarını ve veri sızmalarını ve hatta kuruluşunuza karşı yapılan girişimleri tanımlamak için bile bu programı kullanabilirsiniz.

Ücretsiz bir program olan Wireshark’ın kuracağınız işletim sistemine uygun sürümünü http://www.wireshark.org/  sitesinden indirebilirsiniz.

Uygulama indirilip kurulduğunda, bu uygulama ile birlikte Windows yüklü bilgisayara WinPcap isimli bir uygulama daha kurulacaktır. WinPcap, kurulu olduğu bilgisayarın anlık Ethernet trafiğinin yakalanmasını sağlayan programdır. Wireshark bu uygulamadan gelen veriyi kullanarak size grafik bir arayüz üzerinden Ethernet trafiğini izleme/inceleme fırsatı sunar.

Wireshark yazılımının özelliklerinden bahsetmek gerekirse;

*Kullanılabilen işletim sistemi (Windows sürümleri,Linux ve OS-X) üzerinde çalışabilir.Açık kaynak kodlu ve GPL lisanlı bir yazılımdır.

*Gerçek zamanlı analiz, çok kıstasta filtreleme ve aramaya olanak sağlamaktadır.

*Ağ üzerinde gerçek zamanlı ve etkileşimli paket yakalamaya olanak sağlar, çok çeşitte ağ

protokolünü desteklemektedir.

* Bir çok  paket yakalama programlar ile kaydedilmiş paketleri açabilir.

*Paketleri detaylı protokol bilgileri ile gösterebilir

*Yakalanan paketleri daha sonra tekrar incelemek için kaydedebilir, farklı formatlarda dışa

aktarıma izin verir.

Kullanım alanları ise;

*Sisteminiz içerisinde bağlantı sağladığınız ağdaki Protokol hatalarını çözümlemek

*Sistem içerisindeki Paket analiz işlemlerinin yapılması.

*Ağ içerisinde ki hataları tespit etmek ve analizini yaparak sorunu çözümlemede yardımcı olması.

*Ağ ile alakalı olarak istatistikleri görüntülemek.

*Tersine mühendislik (Reverse Engineering) çalışmaları gibi bir çok farklı konuda tercih edilen bir araçtır.

Wireshark özelliklerinden bahsettikten sonra sıra geldi paneli detaylı bir şekilde tanımaya;

Wireshark panelini açtığımızda karşımıza kullandığımız veya kullanmadığımız interface’lerin tamamı listelenmektedir.Bu kısımda kalp atış ritmi gibi görünen (hareketli) interface i seçerek devam ediyoruz.

İnterface’imi seçtikten sonra wireshark programı otomatik olarak interface tarafını sniff’lemeye başlıyor.Bu kısımda filter yapmak için belirli süre paketlerin toplanmasını bekleyebilirsiniz.

Birinci Sarı Alan:Yakalanan paketler ile ilgili filtreleme seçeneklerinin bulunduğu kısımdır.

İkinci Sarı Alan: Network interface üzerinde yakalanan paketlerin listelendiği kısımdır.

Üçüncü Sarı Alan:Network üzerinde yakalanan paketlerden birini seçtiğimiz zaman onunla ilgili detayların görüldüğü kısımdır.

Dördüncü Sarı Alan:Seçilen paket ile alakalı hex dump halini gördüğümüz alandır.

Beşinci Sarı Alan:Genel bilgilendirmelerin yer aldığı kısımdır. Bu kısımda Yakalanan toplam paket  Görüntülenen paket sayısı  Profil ismi gibi bilgiler yer almaktadır.

Wireshark kullanım kolaylığının yanı sıra kişisel olarakta filtereleri oluşturup ona uygun search yeteneklerini kullanabilirsiniz. Bunu yapabilmek için filtrelemek istediğiniz trafiğin üzerine sağ tık yapıp, “Apply as Filter” diyerek ilgili filter fonksiyonlarından bir tanesini seçmeniz yeterlidir.

Araştırmanız özel filterlar oluşturmak istiyor iseniz Wideshark bu konuda size filtrelerini kayıt etme imkanı sunmaktadır.Program içerisinde sağ üst tarafta bulunan artı (+) tuşuna bastıktan sonra bu menü açılmaktadır. Açılan menüde filtrelemeler için kullanabileceğiniz butonun ismi ve filtreleme seçeneğini yazacağınız bölümler mevcuttur. Misal örnek olarak “DNS” tarifiğini filtrelemek istiyorum.Bunun için Filter kısmına DNS yazıyorum ve Label kısmına button ismini yazarak kaydettiğimde yan tarafta TEST isminde bir button oluştuğunu görüyorsunuz. Artık TEST isminde ve DNS paketlerini filtreleyen bir filtreleme butonumuz olmuştur.

Network trafiğinin anlamdırılmasının en önemli noktası aldığınız verinin çözümlemesini yapabilmenizdir.Bunun için IP adreslerini çözümlemeniz oldukça önemlidir.Sarı ile işaretlediğim kısımları konfig ayarınızda default olarak bulundurmanız analiz sürecinde sizin için kolaylaştırıcı bir yöntem olucaktır.

Kullanılan sistemin HTTP isteklerini görmek isterseniz.Statistics kısmında bulunan HTTP bölümünden Request bölümüne tıklayabilirsiniz.Burayı anlatmamdaki amaç eğer zararlı bir yazılım sizi kötü niyetli bir siteye yönlendirmeye çalışıyor ise bunu buradan görüp tespit edebilirsiniz.

Örnek bir HTTP istek listesi.

HTTP analiz kısmında Statistics -> HTTP -> Packet Counter yolunu takip ederek HTTP Response Packet durumlarını analiz edebilirsiniz.

All Adress kısmında ise interface’imizin iletişimde olan public ip adreslerinin listesini görebilmekteyiz.Bu kısımdaki ip adreslerinin gerçekten gittiğimiz hedef sistemin ip adresi ile aynı olup olmadığını (who is ip) gibi siteler aracılığı ile kontrol edebiliriz.

Statistic-Ethernet Endpoints kısmında ise bağlantı sağladığınız interface’lerin mac adreslerini ve bağlantı kurdukları ip adreslerini görebileceğiniz kısımdır.Daha detaylı olarak paket alışverişlerini TCP/UDP portlarından geçen paket hareket’lerini bu kısımda inceleyebilirsiniz.

Statistics – Protocol Hierarchy yolunu takip ederek hangi protokolden kaç tane paket olduğunu görebilir ve istediğiniz bir protokol üzerine sağ tuş yapıp bir filtre uygulayabilirsiniz.

Statics-Resolved Address kısmında ise Çözümlenmiş Adresler penceresi, paket yakalamanızda çözülen tüm IP adreslerinin ve DNS adlarının en üstünde bir liste verecektir.Çözümlenen adresler ile alakalı olarak sorguları bu kısımdan yapabilirsiniz.

Yakalanan paket hakkında özet bilgiler elde etmek istersek

Wireshark üzerinden yakaldığımız paketler üstündeki bilgileri özet halinde anlamlı bir şekilde görmek istersek Statistics -> Capture File Properties kısmına gelip ilgili paket hakkında analiz özetini görmek yeterli olucaktır.

 Bu makalemizin sonuna geldik diğer makalemizde Wireshark üzerinden gelen saldırıların ne şekilde analiz edildiği ile alakalı olarak uygulamalı örnekler ile konuyu pekiştirmeyi düşünüyorum.Diğer makalede görüşmek üzere hoşçakalın.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

error: Content is protected !!