Wireshark İleri Düzey: Yakalama ve Analiz İçin Eksiksiz Bir Kılavuz

Informatec Dijital » Ücretsiz Destekler » Wireshark İleri Düzey: Yakalama ve Analiz İçin Eksiksiz Bir Kılavuz

Wireshark'ı zaten biliyorsanız ve bir adım daha ileri gitmek istiyorsanız, bu makale tam size göre. Wireshark'tan en iyi şekilde nasıl yararlanabileceğinizi, temel özelliklerinden başlayarak ele alacağız. temel yakalamalardan gelişmiş trafik analizine kadarFiltreler, renkler, protokoller ve pratik kullanımlar dahil olmak üzere siber güvenlik analiziPerformans ve problem çözme.

Bu metin boyunca, birçok kavram sakin bir şekilde ve basit, günlük İspanyolca ile açıklanmıştır. Bu kavramlar genellikle profesyonel araçlarda, kurslarda, kitaplarda ve TryHackMe gibi laboratuvarlarda bulunur, ancak pratik durumlara uygulanır. Amaç, okumayı bitirdiğinizde şunları yapabilmenizdir: Wireshark arayüzünde rahatça gezinin ve ilginizi çeken şeyleri yakalayın. ve ağınızda neler olup bittiğini anlayın.

Wireshark nedir ve neden bu kadar önemlidir?

Wireshark temelde şudur: bir ağ protokolü analizörü (Eski usul bir paket yakalama aracı) ağ arayüzlerinize giren ve çıkan paketleri tek tek görmenizi sağlar, ister halka açık Wi-Fi ağlarıEthernet veya diğerleri. Her paket yakalanır, ayrıştırılır ve tüm ayrıntılarıyla gerçek zamanlı olarak görüntülenir.

Bir programdan bahsediyoruz. ücretsiz ve açık kaynakGNU Genel Kamu Lisansı v2 altında dağıtılmaktadır. Bu, kısaltılmış sürümlerin veya "demo sürümlerinin" olmadığı anlamına gelir: indirdiğiniz şey tüm özelliklere sahip tam sürümdür ve herhangi bir geliştirici, olağandışı bir şey yapmadığını doğrulamak için kodunu inceleyebilir.

Proje, tarafından yönetilmektedir. Wireshark VakfıWireshark, yazılımın geliştirilmesi, dokümantasyonu ve dağıtımını koordine eden kar amacı gütmeyen bir kuruluştur. Çalışmalarında Wireshark'a güvenen birçok şirket ve profesyonel, bağışlarda bulunarak aracın hayatta kalmasını ve gelişmeye devam etmesini sağlamaktadır.

Wireshark şu amaçlarla kullanılabilir: Windows, macOS ve Ubuntu gibi Linux dağıtımlarıWireshark, resmi web sitesi olan wireshark.org adresinden indirilebilir. Kurulum tamamlandıktan sonra, ilk bakışta bunaltıcı gelebilecek bir arayüz göreceksiniz: yüksek hızda değişen yüzlerce satır, IP adresleri, protokoller, uzunluklar, zaman damgaları içeren sütunlar… ancak bunların hepsi arızaları teşhis etmek, saldırıları tespit etmek veya cihazlarınızın ne yaptığını anlamak için paha biçilmez değerdedir.

Wireshark arayüzü: paneller, tercihler ve başlangıç ​​kılavuzu

Wireshark'ı açtığınızda, ekran birkaç ana panele ayrılmıştır: Paket listesi, seçilen paketin detayları ve ham görünüm (onaltılık ve ASCII baytları). Bu panelleri anlamak, sorunsuz çalışmanın temelidir.

Üst panelde yakalanan tüm paketler görüntülenir; her satır bir pakete karşılık gelir ve paket numarası, zaman, kaynak IP adresi, hedef IP adresi, protokol ve kısa bir özet gibi bilgiler içerir. Orta panelde ise şunları görebilirsiniz: paketin katmanlı ayrışması (bağlantı, ağ, taşıma, uygulama) ve en altta, baytlar onaltılık biçimde ve bunların metinsel gösterimi.

Ayarlar menüsünden açabilirsiniz. Wireshark tercihleri Ayrıca zaman formatı, panellerin görüntülenme şekli, alanların dili gibi şeyleri ayarlayabilir veya belirli öğeleri gizleyebilirsiniz. Örneğin, yalnızca mantıksal analize odaklanmayı tercih ediyorsanız panel düzenini değiştirebilir veya HEX baytlarının görüntülenmesini devre dışı bırakabilirsiniz.

Ekran görüntüsü içinde gezinme de çok önemli: doğrudan belirli bir paket numarasına gidebilir, listedeki ilk veya sonuncuya atlayabilir ve klavye kısayollarını kullanarak konuşmalar arasında gezinebilirsiniz. Dahası, bu da mümkün. Paketleri daha sonra iade etmek üzere işaretleyin.Uzun bir anlatımı takip ederken ve belirli önemli noktaları hatırlamanız gerektiğinde bu çok kullanışlıdır.

Trafik yakalama: arayüzler, sınırlar ve paket türleri

Analize başlamadan önce, yakalama işlemi yapmanız gerekiyor. Wireshark, hangilerini yakalayacağınızı seçmenize olanak tanır. ağ Arayüzü Duymak ister misin?Ethernet kartı, WiFi, sanal arayüzler, tüneller vb. Tüm arayüzler aynı detay seviyesini desteklemez, ancak genel olarak cihazınızdan geçen trafiği ve hatta belirli modlarda yerel ağınızda dolaşan trafiği görebilirsiniz.

Pratik yapmak için, sınırlı sayıda görüntü yakalamak çok yaygındır. Örneğin, yalnızca şu kadar görüntü yakalayarak bir yakalama işlemi başlatabilirsiniz: 1.000 paketYa da 5 saniye sonra otomatik olarak duracak şekilde yapılandırabilirsiniz. Bu, büyük dosyalardan kaçınmak ve belirli geçici etkinlik zaman dilimlerine odaklanmak için kullanışlıdır.

Wireshark ayrıca yakalama filtrelerini de destekler, böylece yalnızca belirli paketler baştan itibaren kaydedilir. Tipik bir kullanım örneği, yalnızca belirli paketleri yakalamaktır. UDP trafiği veya TCP trafiğiÖrneğin, çevrimiçi oyunlar veya yayın hizmetleriyle ilgileniyorsanız yalnızca UDP paketlerini alan bir yakalama işlemi başlatabilir veya HTTP, TLS, FTP oturumları vb. incelemek istediğinizde yakalamayı TCP ile sınırlayabilirsiniz.

İhtiyacınız olan bilgilere sahip olduktan sonra, sonucu .pcap veya .pcapng uzantılı bir dosyaya kaydedebilirsiniz, örneğin şu şekilde: “example_tcp.pcap”Wireshark'ı kapatın. Ardından programı yeniden açabilir, dosyayı yükleyebilir ve trafiğin gerçek zamanlı olarak hareket etmeye devam etmesi olmadan ve herhangi bir şey kaybetme riski olmadan rahatça analiz edebilirsiniz.

Zamanla çalışma: işaretler, farklılıklar ve zamansal analiz

Wireshark'ta zaman damgası alanı en güçlü özelliklerden biridir. Paket listesinde her paketin ne zaman yakalandığını görebilirsiniz, ayrıca ölçüm de yapabilirsiniz. Yakalama işleminin başlangıcı ile belirli bir paket arasında ne kadar zaman geçti?Ya da iki belirli paket arasında. Örneğin, bir iletişimin nasıl geliştiğini görmek için 300. pakete ulaşma süresine bakabilirsiniz.

Son derece pratik bir işlev de bir paketi şu şekilde ayarlamaktır: sıfır zaman referansıBu özellik, yakalama işlemi sırasında herhangi bir noktada "0" zamanını yeniden tanımlamanıza olanak tanır, böylece diğer tüm zamanlar o noktaya göre ölçülür. Bu, tüm oturumu değil, belirli bir görüşmeyi incelemek istediğinizde idealdir.

Zaman damgalarını filtreler ve akış izleme (TCP akışını izleme, UDP akışını izleme) ile birleştirerek, oldukça doğru bir şekilde görebilirsiniz. gecikme, zaman aşımı, iletme ve yeniden iletimler Ağda meydana gelen sorunları tespit etmek için kullanılır. Özellikle gecikme sorunlarını, darboğazları veya paket kayıplarını teşhis etmek için faydalıdır.

Katmanlı analiz: MAC'den uygulamaya

Wireshark'ın en büyük güçlü yönlerinden biri, her paketi OSI veya TCP/IP modelinin katmanlarına göre ayrıntılı olarak görmenizi sağlamasıdır. En alttan başlayarak şunları görebilirsiniz: Hangi fiziksel ortam veya bağlantı türü kullanılıyor? (örneğin Ethernet) ve onu destekleyen arayüz türü.

Katman 2'de (veri bağlantısı) ne olduğunu kontrol edebilirsiniz. protokol kullanılıyorBu, modern ağlarda tipik olarak Ethernet II'dir. "EtherType" alanı burada önem kazanır, çünkü 0x0800 (IPv4'ü gösteren) veya diğer daha az yaygın tanımlayıcılar gibi değerler gösterebilir. Yakalanan veriler içinde filtreler veya aramalar kullanarak 0x0800 veya 0xEBF2 gibi belirli bir değere sahip paketleri arayabilirsiniz.

Katman 3'e çıktığınızda, genellikle ağ protokolünü bulacaksınız. IPv4 veya IPv6Burada kaynak ve hedef IP adreslerini görebilirsiniz ve TTL, parçalama, seçenekler vb. diğer ayrıntıları görüntülemek için alan ağacını genişletebilirsiniz. kaynak IP ve hedef IP Bu, sorunları araştırırken en temel ancak en sık yapılan görevlerden biridir.

Wireshark, 4. katmanda neyle uğraştığınızı size söyler. TCP, UDP veya diğer taşıma protokolleriBurada kaynak ve hedef portları, TCP bayrakları (SYN, ACK, FIN, RST), sıra ve onay numaraları ve bağlantının kararlı olup olmadığını, yeniden iletim olup olmadığını, paket kayıplarının olup olmadığını veya aniden kapatılıp kapatılmadığını anlamak için önemli ayrıntıları görebilirsiniz.

Son olarak, uygulama katmanında Wireshark, tespit edilen protokole göre içeriği yorumlamaya çalışır: HTTP, HTTPS (TLS/SSL), DNS, DHCP, FTP, RTP, SIP ve daha birçokları. Trafik şifrelenmediğinde, HTTP başlıkları, FTP komutları ve hatta güvenli olmayan bir şekilde gönderiliyorsa kimlik bilgileri de dahil olmak üzere içeriği düz metin olarak görmek bile mümkündür.

Paketler içindeki aramalar, filtreler ve metin dizeleri

Büyük veri kümeleriyle çalışmak, güçlü filtreler ve arama özelliklerinin kullanılmasını gerektirir. Wireshark'ın üst kısmında araç çubuğu bulunur. ekran filtreleriBu özellik, yalnızca belirli koşulları karşılayan paketleri göstermenizi sağlar: örneğin, belirli bir cihaza odaklanmak için ip.addr == 192.168.1.50 veya yalnızca web trafiğini görmek için http kullanabilirsiniz.

Ele geçirilen bir mesajda şifrelerin veya hassas verilerin şifrelenmemiş olarak iletildiğinden şüpheleniyorsanız, paket içeriğinde metin dizeleri arayabilirsiniz. Örneğin, "şifrelenmiş" kelimesini içeren paketler bulmak mümkündür. “geçmek” veya “içerik” Yakalanan verilerde de bu dizelerin yer alıp almadığını kontrol edebilirsiniz. Ayrıca, bu dizelerin yalnızca gövdede değil, özet veya paket bilgilerinde de görünüp görünmediğini kontrol edebilirsiniz.

Bu, özellikle HTTP veya FTP gibi güvenli olmayan protokolleri analiz ederken kullanışlıdır. TryHackMe benzeri eğitim ortamlarında, tipik görevlerden biri veri çıkarmaktır. Kimlik bilgileri düz metin olarak gönderildi. Bu hizmetler aracılığıyla veya şifrelenmemiş bilgi gönderen formları tespit ederek, açık bir güvenlik riski oluşturabiliriz.

Metin dizelerinin ötesinde, protokol alanlarını, mantıksal operatörleri ve karşılaştırmaları birleştirerek çok daha ince filtreler kullanabilirsiniz. Bu, örneğin, yalnızca başarısız DNS isteklerini, hatalı TCP paketlerini veya belirli bir RTP akışından gelen mesajları izole etmenizi sağlar.

Trafik görünürlüğünü artırmak için renkler ve vurgulama kuralları

Wireshark, bir sistem içerir. paketler için renkler Bu, farklı trafik türlerini hızlıca ayırt etmenize yardımcı olur. Yeşil genellikle "normal" TCP trafiğiyle, mavi UDP veya DNS trafiğiyle, siyah veya kırmızı ise hataları veya anormallikleri gösterir. Sadece ekrana bakarak her şeyin makul derecede iyi çalışıp çalışmadığını veya çok fazla sorunlu satır olup olmadığını anlayabilirsiniz.

Ayarlar menüsünden renk görünümünü etkinleştirebilir veya devre dışı bırakabilirsiniz. Gerekirse, bu da mümkündür. Belirli kuralların arka plan rengini değiştirÖrneğin, tüm TCP oturumlarını belirli bir renkle vurgulayan veya yeniden iletimleri ya da hatalı paketleri başka bir renkle işaretleyen bir kural oluşturmak.

Renkleri değiştirmenin yanı sıra, belirli bir kuralı silmeden devre dışı bırakma seçeneğiniz de vardır; böylece paketlerin renklendirilmesi durur ancak daha sonra yeniden etkinleştirebilirsiniz. Bu, farklı şemaları test ederken ve mevcut ayarlarınızı kaybetmek istemediğinizde çok kullanışlıdır.

Bir diğer ilginç teknik ise aynı gruba ait tüm paketleri renklendirmektir. TCP veya UDP görüşmesiBu sayede, yüzlerce paralel bağlantıyla karışık olsa bile, iki uç nokta arasındaki tüm akışı görsel olarak takip edebilirsiniz. Ardından, vurgulanan paketler arasında çok daha kolay bir şekilde gezinebilirsiniz.

Evde ve şirkette ağ sorunlarının teşhisi

Wireshark profesyonel düzeyde bir araç olsa da, ev kullanıcılarının da bağlantılarında neler olup bittiğini anlamalarına yardımcı olabilir. Örneğin, çevrimiçi oyunlarınızda gecikme veya takılma fark ederseniz, internet bağlantınızdaki sorunları gidermenize yardımcı olabilir. WiFi parazitiTrafiği analiz ederek şunları görebilirsiniz: Paketler sırasız gelirse kayboluyor. Ya da yolculuğun belirli bir bölümünde aşırı gecikmeler yaşanması durumunda.

Bu bağlamda, birçok oyun ve gerçek zamanlı uygulama tarafından kullanılan UDP trafiğine odaklanmak yaygındır. UDP'ye göre filtreleme yaparken, hata renkleriyle işaretlenmiş birçok satır, sırasız paketler veya yeniden iletimler görürseniz, sorunun sadece bir testteki yüksek ping değeri olmadığını, rota kararlılığı veya bir düğümün aşırı yüklenmesiyle ilgili daha derin bir sorun olduğunu anlayacaksınız.

Wireshark, özellikle şu durumlarda da çok kullanışlıdır: Web sitesi yüklenmiyor, yazıcı ağdan kayboldu. veya dahili bir hizmet başarısız olur. Önünüzdeki ekran görüntüsüyle, iletişimin tam olarak nerede kesildiğini görebilirsiniz: istek bilgisayarınızdan ayrılır ancak hiçbir yanıt almazsa, DNS hataları varsa, sunucu bir hata koduyla yanıt verirse vb.

Gizlilik açısından bakıldığında, bu araç cihazlarınızın internet üzerinden hangi verileri gönderdiğini görmenizi sağlar. Bir cihazın bulutla "çok fazla iletişim kurup kurmadığını", bilinmeyen sunucularla bağlantı kurup kurmadığını veya şifrelenmesini tercih ettiğiniz bilgileri şifrelenmemiş olarak gönderip göndermediğini tespit edebilir. Tüm bunlar size yardımcı olur. davranışlarını denetlemek IoT cihazlarıcep telefonları, IP kameralar, akıllı televizyonlar ve bağlı herhangi bir cihaz.

Birçok cihazın bulunduğu ev ağlarında, her cihazın IP adresini izole edebilir ve hangi sunuculara bağlandığını, ne sıklıkla bağlandığını ve ne tür içerik ilettiğini gözlemleyebilirsiniz. Bu sayede ağınızın ham trafiğini daha iyi anlayabilir ve cihazları bölümlere ayırma, alan adlarını engelleme veya yapılandırmaları değiştirme gibi kararlar alabilirsiniz.

Gelişmiş analiz: HTTP, DNS, ağ taramaları ve saldırılar

Daha gelişmiş ortamlarda Wireshark, güvenlik analizi ve olay incelemesi için önemli bir araç haline gelir. Detaylı analiz imkanı sunar. HTTP trafiği, DNS sorguları ve yanıtları, Nmap ile port taramaları.ARP zehirleme girişimleri, SSH tünelleri ve daha fazlası.

HTTP ile başlıkları, yanıt kodlarını, istenen URL'leri ve şifreleme olmadığında formların veya dosyaların içeriğini bile inceleyebilirsiniz. DNS ile hangi alan adlarının çözümlendiğini, hangi sunucuların sorgulandığını ve şüpheli yanıtlar veya ekipmanın normal kullanımına uymayan alan adları olup olmadığını görebilirsiniz.

Nmap taramaları ağda karakteristik kalıplar bırakır: birçok porta birden fazla bağlantı denemesi, belirli TCP bayraklarının kullanımı vb. Uygun filtrelerle bu etkinlikleri tespit edebilir ve birinin kötü niyetli olup olmadığını doğrulayabilirsiniz. haritalama açık hizmetler altyapınızda.

ARP sahtekarlığı/zehirlenmesi, yerel ağda IP ve MAC adresi ilişkilendirmelerinin nasıl değiştirildiğini gözlemleyerek de tespit edilebilir. SSH tünelleriyle ise, içerik şifrelenmiş olsa bile, bağlantı modellerini, oturum süresini ve aktarılan veri hacmini analiz edebilirsiniz.

Bu egzersizlerin çoğu, TryHackMe gibi uygulamalı laboratuvarların bir parçasıdır ve şu amaçlara yöneliktir: kötü amaçlı veya şüpheli trafiğin analiziÖnceden oluşturulmuş kayıtlarla çalışarak, yalnızca Wireshark kullanarak güvenlik ihlali göstergelerini, saldırı vektörlerini ve anormal davranışları tanımayı öğreneceksiniz.

macOS üzerinde Wireshark 4.6.0: pktap meta verileri ve süreç analizi

Mac kullanıcıları için en ilgi çekici iyileştirmelerden biri, yeni sürümle birlikte geliyor. Wireshark 4.6.0Bu, macOS pktap meta verileri için yerel destek sunar. Bu sayede her ağ paketi, onu oluşturan sistem işlemiyle ilişkilendirilebilir ve çok güçlü bir ayrıntı düzeyi sağlanır.

Bu entegrasyon sayesinde Wireshark, aşağıdaki gibi bilgileri görüntüleyebilir: PID (işlem tanımlayıcısı) ve uygulama adı Bu, trafiği başlatan bileşen ve diğer ilgili meta verileri içerir. Bu, uygulama hata ayıklamasını büyük ölçüde basitleştirir, çünkü hangi bileşenin bağlantı açtığını, bant genişliğini tükettiğini veya hatalara neden olduğunu tam olarak bilirsiniz.

Meta veriler ayrıca akış tanımlayıcıları ve düşürülen paket istatistiklerine ilişkin verileri de içerir ve bu da performans sorunlarının daha ayrıntılı bir şekilde analiz edilmesini sağlar. Bu bilgiler tipik olarak şu yollarla elde edilir... tcpdump'ı -ky -K seçenekleriyle kullanın.Ardından bu veriler Wireshark'a aktarılır ve Wireshark bu blokları pcap-ng formatında yorumlayıp görüntüler.

Apple ekosistemindeki geliştirme ve güvenlik ekipleri için bu, önemli bir atılım anlamına geliyor: Olayları belirli süreçlere çok hassas bir şekilde bağlayarak inceleyebilir, kendi uygulamalarındaki anormal davranışları tespit edebilir ve güvenlik ve gizlilik politikalarına gerçekten uyulduğunu doğrulayabilirler.

Ek olarak, macOS için Wireshark 4.6.0 yükleyicisi şöyledir: Arm64 ve Intel mimarileri için evrenselBu, Apple Silicon işlemcili modern Mac'lerde ve Intel işlemcili biraz daha eski bilgisayarlarda kurulumu kolaylaştırır.

Wireshark profesyonel bir araç olarak: kurslar, kitaplar ve modern ortamlar

Wireshark'ın ileri düzey kullanımı, hata ayıklama, denetim ve güvenlik görevleri için en güçlü işlevlerinin sergilendiği özel eğitim kurslarında tekrar eden bir konudur. Bu kurslar, Wireshark'ın nasıl kullanılacağını öğretir. Aracı sıfırdan yapılandırınÖzelleştirin ve kurumsal ortamlarda en yaygın kullanılan ağ protokollerini analiz edin.

Genellikle zamanın büyük bir kısmı şu gibi protokollere harcanır: HTTP, FTP, SSL/TLS, DNS, DHCP, RTP, SIP VoIP, web hizmetleri ve şifreli iletişimde karşılaşılan diğer yaygın sorunlar da ele alınmaktadır. Yavaş hızlar, çağrı kalitesi sorunları, hizmet kesintileri ve yanlış yapılandırmalar gibi sorunların teşhisi için pratik vaka çalışmaları yürütülmektedir.

Buna paralel olarak, ağ uzmanlarına, siber güvenlik uzmanlarına ve Wireshark'ı modern senaryolarda ustalaşmak isteyen öğrencilere odaklanan ileri düzey kitaplar ve kaynaklar ortaya çıktı. Bu materyaller tipik olarak teoriyi uygulamalı yöntemlerle birleştiriyor. TCP/IP, TLS, paket analizi ve gelişmiş filtreler Pratik egzersizler ve rehberli laboratuvar çalışmalarıyla birlikte.

Yaygın bir yaklaşım, Wireshark kullanımını diğer güvenlik ve izleme araçlarıyla entegre etmektir; örneğin, Snort, Suricata, Zeek veya ELK kombinasyonu (Elasticsearch, Logstash, Kibana) gibi araçlar SIEM platformları içinde kullanılabilir. Buradaki fikir, Wireshark'ı düşük seviyeli detaylı inceleme için kullanırken, diğer araçların korelasyon, uyarılar ve yüksek seviyeli gösterge panoları sağlamasıdır.

Wireshark ayrıca, yapay zeka kullanan IoT ağları ve sistemlerindeki belirli uygulamaları da kapsar; bu uygulamalarda trafik görünürlüğü, güvenlik açıklarını, yanlış yapılandırılmış cihazları veya beklenmedik iletişimleri tespit etmek için çok önemlidir. Bu ortamlarda Wireshark'a hakim olmak, aracı çok daha etkili hale getirir. güvenlik ve optimizasyon için stratejik kaynak karmaşık ağların.

Genel olarak, Wireshark basit bir ağ trafiği analiz aracı olmaktan çıkıp, gelişmiş izleme, arıza teşhisi, tehdit analizi ve uygulamaların ve hizmetlerin ağda nasıl davrandığını derinlemesine anlama konusunda temel bir araç haline geliyor.

Temel yakalama ve filtreleme işlevlerinden protokol, renkler, zamanlar ve işlem meta verilerine göre gelişmiş analiz yeteneklerine kadar sunduğu her şeyle, bunun ne kadar önemli olduğu açıkça görülüyor. Wireshark vazgeçilmez bir araçtır. İster evde, ister küçük bir işletmede, ister büyük bir kuruluşta olsun, ağlarında gerçekte neler olup bittiğini anlaması gereken herkes için.

İlgili makale:

Yönlendiricileri ve WiFi erişim noktalarını analiz etmeye yönelik eksiksiz kılavuz