Wireshark, hem ücretsiz olduğu hem de iyi çalıştığı ve kullanımı çok zor olmadığı için dünyanın en ünlü ağ analiz araçlarından biridir. Ancak şöhreti, bu program ile bir bilgisayar ağından geçen paketleri ve bilgileri filtrelemek, yakalamak ve casusluk yapmak mümkün olmasından kaynaklanmaktadır.
Genel bir kılavuzda görüldüğü gibi paketler üzerinde casusluk (Paketleri yakalamak için korumalı bir wifi ağına girme ve internette yaptığınız şeyleri gözetleme), PC ile internet arasındaki iletişimde şifrelenmemiş olarak geçen her türlü bilgiyi okumanızı sağlar.
Bu, iki kişinin aynı ofiste veya evde olması ve internete gitmek için aynı ağa (veya aynı yönlendiriciye) bağlanması durumunda, iki bilgisayarın görülebileceği ve birinden Wireshark kullanarak bilginin yakalanması mümkündür. ziyaret ettiğiniz web siteleri, düz metin şifreleri (https olmayan sitelerde), e-postalar, sohbetler vb.
Bununla birlikte, Wireshark her şeyden önce profesyonel teknisyenler tarafından da kullanılan çok güçlü bir ağ analiz programıdır ve daha sonra nasıl ciddiye kullanılacağını görelim.
Windows veya Mac OS X için Wireshark'ı resmi web sitesinden indirebilirsiniz .
Linux veya başka bir UNIX benzeri sistem kullanıyorsanız, Wireshark dağıtım yazılımı deposunda olmalıdır.
Wireshark'ı indirip yükledikten sonra başlatabilirsiniz ve analiz etmek için hemen doğru ağ arayüzünü seçmelisiniz .
Örneğin, kablosuz ağdan trafik almak istiyorsanız, wifi ağ kartını tıklayın, aksi takdirde kullanılan ağ kabloluysa, LAN bağlantısını seçmelisiniz vb.
Bir arabirim seçer seçmez, ağ üzerinden geçen bilgilerin sürekli bir kaydırma listesinde görülebileceğini hemen göreceksiniz.
Birden fazla bilgisayar (wifi gibi) tarafından paylaşılan bir ağda denetimi etkinleştirirseniz ve veri alımını karışık modda etkinleştirdiyseniz , aynı ağa bağlı diğer bilgisayarların paketlerini de görürsünüz.
Karışık modda edinme, yalnızca Wireshark kurulum paketinde bulunan WinPCap sürücülerini yükleyerek bir Windows PC'den mümkündür.
Sol üst köşede yakalama işlemini gerçek zamanlı olarak durdurabilir ve trafik alımını durdurabilirsiniz.
Wireshark, trafik türlerini daha kolay tanımlamaya yardımcı olmak için farklı renkte kesilmiş veriler gösterir.
Varsayılan olarak, TCP trafiği yeşil, DNS trafiği koyu mavi, UDP trafiği açık mavi; siyah olanlar sorunlu TCP paketleri.
Başlamak ve işe yarayıp yaramadığını görmek için, birkaç web sitesini açarak internette gezinirken Wireshark tarafından veri ve bilgilerin yakalandığından emin olmanız gerekir.
HTTP çağrıları, ziyaret edilen siteler gibi göz atma bilgilerini bulmak istediğinizde en ilginç olabilecek İnternet trafiğiyle ilgilidir.
Ayrıca Wireshark'ta analiz için örnek bir dosya indirebilirsiniz.
Üretilen verilerin denizinde kaybolmaması önemli olan paket filtreleme kurallarını kullanmaktır.
Filtre uygulamanın en kolay yolu, pencerenin üst kısmındaki filtre kutusuna bir arama anahtarı yazmak ve Uygula'yı tıklamaktır.
Örneğin, " http " yazdığınızda yalnızca İnternet'teki tarayıcı aracılığıyla yapılan bağlantıları görürsünüz.
Her paket incelenebilir ve daha fazla ayrıntı ve TCP Akışını veya yapılan adımların geçmişini görmek için sağ düğmeyle tıklanabilir (örneğin, Google'da daha fazla şey ararsanız, tüm akışı inceleyebilirsiniz).
Analiz menüsünden daha spesifik filtreler uygulanabilir.
Paketleri alırken, yalnızca IP adresleri görüntülendiği için, ağa aktarılan veri ve bilgilerin akışını anlamak zor ve zor olabilir.
Bununla birlikte, Düzenle menüsünden -> Tercihler -> Ad Çözümlemesi'nden etkinleştirilerek ve " Ağ Adı Çözümlemesini Etkinleştir " i etkinleştirerek IP adreslerini etki alanı adlarına (http trafiği için web sitelerinin adlarını görmek anlamına gelir) dönüştürmek mümkündür.
Bu seçeneği etkinleştirdiğinizde, IP adresleri yerine etki alanı adları görürsünüz, ancak Wireshark'ın her etki alanı adını aramak zorunda kalacağı için, veri akışını artırarak DNS istekleri artar.
Bilgisayarınızda otomatik paket yakalama ayarlamak istiyorsanız, Wireshark'ı hızlı bir şekilde başlatmak için bir masaüstü kısayolu oluşturabilirsiniz.
Bağlantıyı oluşturduktan sonra, sağ tıklayın, özellikleri girin ve " Hedef " yazıldığında, son tırnak işaretlerinden sonra satıra bir boşluk ekleyin ve sonra -i # -k .
# yerine, Wireshark'ın seçim aşamasında verdiği sıraya göre kontrol edilecek ağ kartı sayısını koymalısınız.
Aynı ağa bağlı diğer bilgisayarlardan trafik yakalamak, belki de en komik amacıdır, bu da bizi kendi küçük yolumuzda biraz hacker yapar (ancak bu o kadar kolay değildir).
Ağ trafiğini kaydetmek ve bir yönlendirici, sunucu veya başka bir bilgisayardan geçen bilgilere casusluk yapmak istiyorsanız, Windows'ta WinPcap sürücüsünü kullanan Wireshark uzaktan yakalama özelliğini kullanmanız gerekir.
Yüklendikten sonra Windows hizmetleri penceresini açmalısınız (Başlat'a tıklayın ve Ara veya Çalıştır kutusuna Services.msc komutunu yazın).
Hizmetler listesinde, Uzak Paket Yakalama Protokolü'nü bulup etkinleştirin.
Bu hizmet varsayılan olarak devre dışıdır.
İlk Wireshark penceresinde Options Capture seçeneğine tıklayın ve Interface kutusundan Remote seçeneğini seçin.
Ardından uzak sistemin adresini (örn. 192.168.2.3 ) ve 2002 bağlantı noktası olarak girin.
Çalışmak için uzak sistemdeki 2002 numaralı bağlantı noktasına erişiminizin olması gerekir, böylece bu bağlantı noktasını bilgisayarınızın güvenlik duvarında veya yönlendiricisinde açmanız gerekir.
Bağlantıdan sonra, ağ kartlarının listelendiği kutudan uzaktaki sistemde bir arabirim seçebilir ve o bilgisayardan yapılan bağlantıları kaydetmeye başlamak için Başlat'a tıklayabilirsiniz.
Bu videoda, Wireshark'ın nasıl kullanılacağını öğrenmek için çok iyi yapılmış bir tanıtım öğretici görebilirsiniz.
Wireshark, sadece en deneyimli olanı iyice anlasa ve bir ağda her türlü işlemi yapmak için kullansa bile son derece güçlü bir araçtır.
Bu eğitim sadece yapabileceğiniz her şeye giriş niteliğindedir (işte İngilizce tam kılavuz); sadece uzmanların ağ protokolü kurulumlarında hata ayıklamak, güvenlik sorunlarını analiz etmek ve şirketlerdeki trafiği kontrol etmek için kullandıklarını bilin.
Son olarak, son bir öneri: birçok kuruluş Wireshark veya benzeri araçların ağlarında hareket etmesine izin vermez (gizlilik sorunu), bu nedenle izniniz olmadığı sürece ofiste kullanma riskini almamalısınız.
Daha basit programları denemek istiyorsanız , PC ağını koklamak ve ziyaret edilen siteleri, internet aramalarını ve şifreleri görmek için Nirsoft araçlarını indirmenizi tavsiye ederim.
