Bilinmesi Gerekenler
- Wireshark, bir ağ üzerinde gidip gelen verileri yakalayan ve görüntüleyen açık kaynaklı bir uygulamadır.
- Her paketin içeriğini inceleyip okuyabildiğinden, ağ sorunlarını gidermek ve yazılımı test etmek için kullanılır.
Bu makaledeki talimatlar Windows ve Mac için Wireshark 3.0.3 için geçerlidir.
Alt Satır
Başlangıçta Ethereal olarak bilinen Wireshark, tüm ana ağ türlerinde yüzlerce farklı protokolden gelen verileri görüntüler. Veri paketleri gerçek zamanlı olarak görüntülenebilir veya çevrimdışı olarak analiz edilebilir. Wireshark, CAP ve ERF dahil düzinelerce yakalama/izleme dosya biçimini destekler. Entegre şifre çözme araçları, WEP ve WPA/WPA2 dahil olmak üzere birçok yaygın protokol için şifrelenmiş paketleri görüntüler.
Wireshark Nasıl İndirilir ve Kurulur
Wireshark, hem macOS hem de Windows için Wireshark Foundation web sitesinden ücretsiz olarak indirilebilir. En son kararlı sürümü ve mevcut geliştirme sürümünü göreceksiniz. Gelişmiş bir kullanıcı değilseniz kararlı sürümü indirin.
Windows kurulum işlemi sırasında, canlı veri yakalama için gerekli kitaplıkları içerdiğinden, istenirse WinPcap veya Npcap yüklemeyi seçin.
Wireshark'ı kullanmak için cihazda yönetici olarak oturum açmış olmanız gerekir. Windows 10'da Wireshark'ı arayın ve Yönetici olarak çalıştır öğesini seçin, macOS'te uygulama simgesine sağ tıklayın ve Bilgi Al öğesini seçin Paylaşım ve İzinler ayarlarında, yöneticiye Okuma ve Yazma ayrıcalıkları verin.
Uygulama, Linux ve Red Hat, Solaris ve FreeBSD dahil olmak üzere diğer UNIX benzeri platformlar için de mevcuttur. Bu işletim sistemleri için gereken ikili dosyalar Wireshark indirme sayfasının alt kısmında Üçüncü Taraf Paketler bölümünde bulunabilir. Wireshark'ın kaynak kodunu da bu sayfadan indirebilirsiniz.
Wireshark ile Veri Paketleri Nasıl Yakalanır
Wireshark'ı başlattığınızda, bir karşılama ekranı mevcut cihazınızdaki mevcut ağ bağlantılarını listeler. Her birinin sağ tarafında, o ağdaki canlı trafiği temsil eden EKG tarzı bir çizgi grafiği görüntülenir.
Paketleri Wireshark ile yakalamaya başlamak için:
-
Bir veya daha fazla ağ seçin, menü çubuğuna gidin, ardından Capture öğesini seçin.
Birden fazla ağ seçmek için seçiminizi yaparken Shift tuşunu basılı tutun.
-
Wireshark Yakalama Arayüzleri penceresinde, Başlat öğesini seçin.
Paket yakalamayı başlatmanın başka yolları da vardır. Wireshark araç çubuğunun sol tarafındaki shark fin öğesini seçin, Ctrl+E tuşlarına basın veya ağı çift tıklayın.
-
Seç File > Farklı Kaydet veya yakalamayı kaydetmek için bir Dışa Aktar seçeneğini belirleyin.
-
Yakalamayı durdurmak için Ctrl+E tuşlarına basın. Veya Wireshark araç çubuğuna gidin ve köpekbalığı yüzgecinin yanında bulunan kırmızı Dur düğmesini seçin.
Paket İçeriği Nasıl Görüntülenir ve Analiz Edilir
Yakalanan veri arayüzü üç ana bölüm içerir:
- Paket listesi bölmesi (üst kısım)
- Paket ayrıntıları bölmesi (orta kısım)
- Paket bayt bölmesi (alt kısım)
Paket Listesi
Pencerenin üst kısmında bulunan paket listesi bölmesi, etkin yakalama dosyasında bulunan tüm paketleri gösterir. Her paketin kendi satırı ve bu veri noktalarının her biri ile birlikte kendisine atanan karşılık gelen numarası vardır:
- No: Bu alan, hangi paketlerin aynı konuşmanın parçası olduğunu gösterir. Bir paket seçene kadar boş kalır.
- Zaman: Paketin ne zaman yakalandığı bu sütunda görüntülenir. Varsayılan biçim, bu özel yakalama dosyasının ilk oluşturulmasından bu yana geçen saniye veya kısmi saniye sayısıdır.
- Kaynak: Bu sütun, paketin kaynaklandığı adresi (IP veya diğer) içerir.
- Hedef: Bu sütun, paketin gönderildiği adresi içerir.
- Protokol: TCP gibi paketin protokol adı bu sütunda bulunabilir.
- Length: Bayt cinsinden paket uzunluğu bu sütunda görüntülenir.
- Bilgi: Paketle ilgili ek ayrıntılar burada sunulmaktadır. Bu sütunun içeriği, paket içeriğine bağlı olarak büyük ölçüde değişebilir.
Saat biçimini daha kullanışlı bir şeyle değiştirmek için (günün gerçek saati gibi), Görünüm > Zaman Görüntüleme Formatı öğesini seçin..
Üst bölmede bir paket seçildiğinde, No. sütununda bir veya daha fazla sembolün göründüğünü fark edebilirsiniz. Açık veya kapalı parantezler ve düz bir yatay çizgi, bir paketin mi yoksa bir grup paketin ağdaki aynı karşılıklı konuşmanın parçası mı olduğunu gösterir. Kesik bir yatay çizgi, bir paketin konuşmanın parçası olmadığını gösterir.
Paket Ayrıntıları
Ortada bulunan ayrıntılar bölmesi, seçilen paketin protokollerini ve protokol alanlarını dar altılabilir bir biçimde sunar. Her seçimi genişletmenin yanı sıra, belirli ayrıntılara dayalı olarak ayrı Wireshark filtreleri uygulayabilir ve istenen öğeye sağ tıklayarak protokol türüne göre veri akışlarını takip edebilirsiniz.
Paket Bayt
Altta, seçilen paketin ham verilerini on altılık görünümde görüntüleyen paket bayt bölmesi bulunur. Bu on altılık döküm, veri ofsetinin yanında 16 on altılık bayt ve 16 ASCII bayt içerir.
Bu verilerin belirli bir bölümünün seçilmesi, paket ayrıntıları bölmesinde ilgili bölümü otomatik olarak vurgular ve bunun tersi de geçerlidir. Yazdırılamayan baytlar bir nokta ile temsil edilir.
Bu verileri on altılık yerine bit biçiminde görüntülemek için bölmede herhangi bir yere sağ tıklayın ve bit olarak'ı seçin.
Wireshark Filtreleri Nasıl Kullanılır
Yakalama filtreleri, Wireshark'a yalnızca belirtilen kriterleri karşılayan paketleri kaydetmesi talimatını verir. Filtreler, yalnızca belirli paketlerin gösterilmesi için oluşturulmuş bir yakalama dosyasına da uygulanabilir. Bunlara görüntü filtreleri denir.
Wireshark, varsayılan olarak çok sayıda önceden tanımlanmış filtre sağlar. Bu mevcut filtrelerden birini kullanmak için adını Wireshark araç çubuğunun altında bulunan Görüntü filtresi uygula giriş alanına veya Bir yakalama filtresi girin alanına girin.karşılama ekranının ortasında bulunan alan.
Örneğin, TCP paketlerini görüntülemek istiyorsanız, tcp yazın. Wireshark otomatik tamamlama özelliği, yazmaya başladığınızda önerilen adları göstererek aradığınız filtre için doğru takma adı bulmanızı kolaylaştırır.
Filtre seçmenin başka bir yolu da giriş alanının sol tarafındaki yer imi'yi seçmektir. Filtre eklemek, kaldırmak veya düzenlemek için Filtre İfadelerini Yönet veya Görüntü Filtrelerini Yönet öğesini seçin.
Ayrıca, geçmiş açılır listesini görüntülemek için giriş alanının sağ tarafındaki aşağı oku seçerek daha önce kullanılan filtrelere erişebilirsiniz.
Yakalama filtreleri, ağ trafiğini kaydetmeye başlar başlamaz uygulanır. Bir ekran filtresi uygulamak için giriş alanının sağ tarafındaki sağ oku seçin.
Wireshark Renk Kuralları
Wireshark'ın yakalama ve görüntüleme filtreleri ekranda hangi paketlerin kaydedileceğini veya gösterileceğini sınırlarken, renklendirme işlevi işleri bir adım daha ileri götürür: Bireysel renk tonlarına göre farklı paket türleri arasında ayrım yapabilir. Bu, paket listesi bölmesindeki satır renklerine göre kaydedilmiş bir küme içindeki belirli paketleri hızlı bir şekilde bulur.
Wireshark, her biri düzenlenebilen, devre dışı bırakılabilen veya silinebilen yaklaşık 20 varsayılan renklendirme kuralıyla birlikte gelir. Her rengin ne anlama geldiğine genel bir bakış için Görünüm > Coloring Rules öğesini seçin. Ayrıca kendi renk tabanlı filtrelerinizi de ekleyebilirsiniz.
Seç Görünüm > Paket Listesini Renklendir paket renklendirmeyi açıp kapatmak için.
Wireshark'ta İstatistik
Diğer faydalı metriklere Statistics açılır menüsünden ulaşılabilir. Bunlar, yakalama dosyasıyla ilgili boyut ve zamanlama bilgilerinin yanı sıra paket konuşma arızalarından HTTP isteklerinin yük dağılımına kadar çeşitli konularda düzinelerce çizelge ve grafik içerir.
Görüntü filtreleri, arayüzleri aracılığıyla bu istatistiklerin çoğuna uygulanabilir ve sonuçlar CSV, XML ve TXT dahil olmak üzere yaygın dosya biçimlerine aktarılabilir.
Wireshark Gelişmiş Özellikler
Wireshark ayrıca protokol ayrıştırıcıları Lua programlama dilinde yazma yeteneği de dahil olmak üzere gelişmiş özellikleri de destekler.