THECODEPROGRAM

İlk olarak Wireshark Programından bahsedelim...

Wireshark programı dünyanın en önde gelen ağ protokol analiz programıdır. Program size bağlı olduğunuz ağda neler yapıldığını gösterir. Kim nereye bağlı nereye hangi veriler gidiyor hangi veri paketleri nereden geliyor gibi bilgilere erişmenizi sağlayan bir programdır. Bu program 1998 yılında yazılmaya başlandı ve o zamandan bu zamana kadar büyük gelişimlerle birlikte çalışmasına devam etti.

• Yüzlerce protokolu dinleyebilme özelliği ve sürekli yeni protokollerin güncellemesi
• Protokolden giden gelen verilerin canlı olarak yakalanması ve çevrim dışı olarak analiz edilebilmesi
• Standart üçlü paket analiz etme özelliği
• Çoklu platformlarda çalışabilme özelliği: Windows, Linux, OSX, SUSE, ve daha bir çok işletim sisteminde çalışır
• Yakalanan veriler bir arayüz ortamında gösterilebilir, veya TShark yazılımı aracılığı ile verilerinizi görüntüleyebilirsiniz.
• Çok güçlü bir veri filterleme motoruna sahiptir. Aradığınızı kolayca bulabilirsiniz.
• VoIP analizini çok güçlü bir şekilde yapabilirsiniz.
• Yakalanan veriler yakalanır yakalanmaz sıkıştırılıp getirilir ki bu sayede daha hızlı veri alınabilsin.
• Veriler Ethernet, USB,Wireless, 802.11 gibi birçok platform üzerinden okunabilir.
• Analiz sırasında filtrelenmiş veriler anlık olarak renklendirilir. Bu sayede bizde filtrelemeyi daha hızlı olarak yapmış oluruz ve hangi verinin ne olduğunu hızlıca görmüş oluruz.
• Toplanan veriler CSV, XML veya düz metin olarak dışarıya aktarılabilir.
• Bir çok protokol için şifre çözme desteği sağlar, Bazıları : IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP, and WPA/WPA2.
• Birçok farklı formatta veri okuyabilirsiniz : tcpdump,Cisco,Microsoft Network, Visual Network gibi birçok sistemin verilerini rahatça okuyabilirsiniz.

Aşağıda yazacağım komutlar Wireshark programını Console yani Terminal Ekranında kullananlar içindir.
Kullanımı : wireshark [işlem] [ parametre ] şeklindedir.
Şimdi işlemler ve açıklamalarına bakalım beraberce

-i <interface - arayüz> : Hangi arayüzden işlem yapılacağını belirtir. Yani WLAN mı ethernetmi USB bağlantısımı nerden yapılacağını belirleriz.

-f <capture filter, dinleme filtresi>  : Dinleyeceğimiz paket verileri filtrelemeye yarar. Yani bütün verileri getirmektense bizim istediklerimizi getirir.

-s <snaplen, paket uzunluğu> : Yakalanacak olan veri paketinin uzunluğunu seçebilirsiniz. Default olarak 65535 değerindedir.

-p <promiscuous, karışık veriler > :  Karışık verileri yakalama modunu kapat. Yani verileri gelişigüzel yakalama demektir.

-k : Herhangi bir ayar yapmadan verileri yakalamaya hemen başla...

-S : Yakalanan yeni paketleride Sürekli ekranda göstermek için kullanılan komut.

-l : Bir üstteki komut aktifken verileri ekranda göwsterirken aşağıya doğru ekran otomatik olarak kaysın. Yani veri eklendikçe sayfa aşağı doğru kaysın.

-D : Listeyi arayüze yazdır ve çıkış yap.

-c <paket sayısı> : Girilen değer kadar paketi yakalayınca paket yakalama işlemini durdur.

-a <değer> : duration:33 - 33 saniye sonra paket yakalamayı durdur.
filesize:1024 - Paketlerin boyutu 1024 KB büyüklüğüne ulaşınca yakalamayı durdur.
files:54 - 54 Tane dosya yakalayınca aramayı durdur.

Yukarıdaki ifadenin kullanımı sayıların yerine sizin ihtiyacınız olan değeri yazmanızdadır. Yani örnek bir kullanım yapacak olursak -a <duration:33> şeklindeki ir kullanım ile 33 saniye arama yaparsınız.

-r <infile>: Okunacak olan dosyayı seçin. İçeriye yazdığınız dosyadan gerekli verileri alacaktır.

-R <okuma filtresi> : Ekranda gösterilecek olan verilerin bir filtreye tabii tutar ve gösterilen değerleri sizin ayarladığınız şekilde filtreler.

-C <yapılandırma> : Program sizin ayarladığınız yapılandırma ayarları ile başlar.

-Y <gösterim filtresi> : Program başlarken default olarak sizin ayarladığınız gösterim filtresini uygular.

-w <dosya adı-> : Dosyayı dışarıya aktarmak için kullanılan komut. İçeriye dosyanın adını yazıyorsunuz ve yakalanan paketler annalizler bütün bilgiler dışarıya aktarılıyor.

-h : Program içerisindeki komutlarla ilgili bir yardım menüsü açar.

-o <ayaradı>:<ayar değeri> : Girilen ayar adını ve değerini eskisiyle değiştirir.

Bu yazıdğım komutlar ve daha fazlası wireshark programını Terminal ekranında kullanmak içindir. Wireshark programını GUI olarakta kullanailirsiniz. GUI olarak zaten herşey butonların altında olduğu içn açıklama yapmama gerek kalmıyor.

Son olarak Wireshark programından bir ekeran görüntüsü ile yazımızı bitirelim.

Okuduğunuz için teşekkür ederim. Sonraki yazımızda görüşmek üzere

İyi Çalışmalar

Burak Hamdi TUFAN