Paketleri Yakalamak, Filtrelemek ve İncelemek için Wireshark Nasıl Kullanılır

Eskiden Ethereal olarak bilinen bir ağ analiz aracı olan Wireshark, paketleri gerçek zamanlı olarak yakalar ve bunları insan tarafından okunabilir formatta görüntüler. Wireshark, ağ trafiğini derinlemesine incelemenizi ve tek tek paketleri incelemenizi sağlayan filtreler, renk kodlaması ve diğer özellikleri içerir.

Bu eğitim, paketleri yakalama, filtreleme ve incelemenin temelleri konusunda size hız kazandıracaktır. Şüpheli bir programın ağ trafiğini incelemek, ağınızdaki trafik akışını analiz etmek veya ağ sorunlarını gidermek için Wireshark'ı kullanabilirsiniz.

Wireshark'ı Alma

Wireshark'ı Windows veya macOS için resmi web sitesinden indirebilirsiniz. Linux veya başka bir UNIX benzeri sistem kullanıyorsanız, muhtemelen Wireshark'ı paket depolarında bulacaksınız. Örneğin, Ubuntu kullanıyorsanız, Ubuntu Yazılım Merkezi'nde Wireshark'ı bulacaksınız.

Sadece hızlı bir uyarı: Birçok kuruluş ağlarında Wireshark ve benzeri araçlara izin vermez. İzniniz olmadıkça bu aracı işte kullanmayın.

Paketleri Yakalama

Wireshark'ı indirip kurduktan sonra, başlatabilir ve o arayüzde paketleri yakalamaya başlamak için Capture altındaki bir ağ arayüzünün adına çift tıklayabilirsiniz. Örneğin, kablosuz ağınızdaki trafiği yakalamak istiyorsanız, kablosuz arayüzünüzü tıklayın. Gelişmiş özellikleri, Yakala> Seçenekler'e tıklayarak yapılandırabilirsiniz, ancak bu şimdilik gerekli değildir.

Arayüzün adına tıkladığınız anda, paketlerin gerçek zamanlı olarak görünmeye başladığını göreceksiniz. Wireshark, sisteminize veya sisteminizden gönderilen her paketi yakalar.

Rasgele modu etkinleştirdiyseniz (varsayılan olarak etkindir), yalnızca ağ bağdaştırıcınıza gönderilen paketler yerine ağdaki diğer tüm paketleri de görürsünüz. Rasgele modun etkinleştirilip etkinleştirilmediğini kontrol etmek için, Yakala> Seçenekler'i tıklayın ve bu pencerenin altındaki "Tüm arayüzlerde rastgele modu etkinleştir" onay kutusunun etkinleştirildiğini doğrulayın.

Trafiği yakalamayı durdurmak istediğinizde, pencerenin sol üst köşesine yakın kırmızı "Durdur" düğmesini tıklayın.

Renk kodlaması

Muhtemelen çeşitli farklı renklerle vurgulanmış paketler göreceksiniz. Wireshark, trafik türlerini bir bakışta belirlemenize yardımcı olmak için renkler kullanır. Varsayılan olarak, açık mor TCP trafiğidir, açık mavi UDP trafiğidir ve siyah hatalı paketleri tanımlar - örneğin, sıra dışı teslim edilmiş olabilirler.

Renk kodlarının tam olarak ne anlama geldiğini görmek için Görünüm> Boyama Kuralları'na tıklayın. Ayrıca isterseniz renklendirme kurallarını buradan özelleştirebilir ve değiştirebilirsiniz.

Örnek Yakalamalar

Kendi ağınızda incelenecek ilginç bir şey yoksa, Wireshark'ın wiki'si sizi ele alır. Wiki, yükleyebileceğiniz ve inceleyebileceğiniz örnek yakalama dosyalarının bir sayfasını içerir. Dosya> Wireshark'ta Aç'ı tıklayın ve bir tane açmak için indirdiğiniz dosyaya göz atın.

Ayrıca kendi yakalamalarınızı Wireshark'a kaydedebilir ve daha sonra açabilirsiniz. Yakalanan paketlerinizi kaydetmek için Dosya> Kaydet'e tıklayın.

Paketleri Filtreleme

Eve telefon ederken bir programın gönderdiği trafik gibi belirli bir şeyi incelemeye çalışıyorsanız, ağı kullanan diğer tüm uygulamaları kapatmaya yardımcı olur, böylece trafiği daraltabilirsiniz. Yine de, elemek için büyük miktarda paketiniz olacak. Wireshark'ın filtreleri burada devreye giriyor.

Bir filtreyi uygulamanın en basit yolu, onu pencerenin üst kısmındaki filtre kutusuna yazıp Uygula'yı tıklamaktır (veya Enter tuşuna basmaktır). Örneğin, "dns" yazın ve yalnızca DNS paketlerini göreceksiniz. Yazmaya başladığınızda, Wireshark, filtrenizi otomatik olarak tamamlamanıza yardımcı olacaktır.

Wireshark'ın içerdiği varsayılan filtreler arasından bir filtre seçmek için Çözümle> Filtreleri Görüntüle'yi de tıklayabilirsiniz. Buradan kendi özel filtrelerinizi ekleyebilir ve gelecekte bunlara kolayca erişmek için kaydedebilirsiniz.

Wireshark'ın görüntü filtreleme dili hakkında daha fazla bilgi için, resmi Wireshark belgelerindeki Görüntü filtre ifadeleri oluşturma sayfasını okuyun.

Yapabileceğiniz başka bir ilginç şey de bir paketi sağ tıklayıp İzle> TCP Akışı'nı seçmektir.

İstemci ve sunucu arasındaki tam TCP görüşmesini göreceksiniz. Varsa, diğer protokoller için tüm konuşmaları görmek için İzle menüsünde diğer protokolleri de tıklayabilirsiniz.

Pencereyi kapatın ve otomatik olarak bir filtrenin uygulandığını göreceksiniz. Wireshark size konuşmayı oluşturan paketleri gösteriyor.

Paketlerin İncelenmesi

Seçmek için bir paketi tıklayın ve ayrıntılarını görüntülemek için aşağı inebilirsiniz.

Buradan filtreler de oluşturabilirsiniz - ayrıntılardan birine sağ tıklayın ve buna dayalı bir filtre oluşturmak için Filtre Olarak Uygula alt menüsünü kullanın.

Wireshark son derece güçlü bir araçtır ve bu eğitim, onunla yapabileceklerinizin yüzeyini çiziyor. Profesyoneller bunu ağ protokolü uygulamalarında hata ayıklamak, güvenlik sorunlarını incelemek ve ağ protokolü iç bileşenlerini incelemek için kullanır.

Resmi Wireshark Kullanım Kılavuzunda ve Wireshark'ın web sitesindeki diğer belge sayfalarında daha ayrıntılı bilgi bulabilirsiniz.