Wireshark nedir, ne için kullanılır? & Paket Analizleri & TryHackMe Çözümleri
Bu yazımda öncelikle wireshark nedir ve ne için kullanılır konu başlıklarından bahsedeceğim, Wireshark’ı tanıtacağım ardından konuyla ilgili TryHackMe odalarının çözümlerini paylaşacağım.
Wireshark Nedir?
Wireshark, ağ analizi ve paket yakalama yazılımıdır. Ağ trafiğini incelemek, analiz etmek ve anlamak için kullanılır. Genellikle ağ sorunlarını giderme, güvenlik tehditlerini tespit etme ve ağ performansını izleme amacıyla kullanılır.
Wireshark, çeşitli ağ protokollerini destekleyerek ağ üzerindeki veri iletişimini yakalar ve görsel olarak sunar. Bu yakalanan paketler, ağdaki veri iletişiminin nasıl gerçekleştiği, hangi cihazların birbiriyle iletişim kurduğu, veri paketlerinin içeriği ve iletişimde oluşabilecek hatalar gibi birçok önemli bilgiyi sağlar.
Kullanıcılar Wireshark’ı ağ arayüzlerini dinlemek için kullanabilir veya önceden kaydedilmiş veri paketlerini açabilir. Bu sayede ağda gerçekleşen olayları anlamak ve ağdaki herhangi bir sorunu tespit etmek için değerli bir araçtır.
Arayüz:
Wireshark, ağ trafiğini çeşitli filtrelerle sınırlamak için iki tür filtre sunar: “Display Filter” (Görüntüleme Filtresi) ve “Capture Filter” (Yakalama Filtresi).
- Display Filter (Görüntüleme Filtresi):
Display Filter, Wireshark üzerinde mevcut olan tüm ağ trafiği verilerini incelemek yerine, belirli kriterlere uyan paketleri göstermek için kullanılan filtre türüdür. Display Filter, ağ trafiği üzerinde canlı bir analiz gerçekleştirilirken veya daha önceden kaydedilmiş bir paket yakalama dosyası açılırken kullanılabilir. Display Filter, kullanıcının belirli protokolleri, IP adreslerini, port numaralarını, paket içeriğini ve diğer özellikleri temel alarak trafiği filtrelemesine olanak tanır. Filtrelenmiş trafiği, kullanıcının ilgi alanına giren olayları ve protokollerini daha kolay incelemesini sağlar.
- Capture Filter (Yakalama Filtresi):
Capture Filter, ağ trafiğinin yakalanmasını başlamadan önce filtrelemek için kullanılan filtre türüdür. Bu filtre, tüm ağ trafiğini önceden belirlenmiş kriterlere göre sınırlar ve yalnızca bu kriterleri karşılayan paketleri diske kaydeder. Capture Filter, belirli bir ağ trafiği alt kümesini kaydetmek ve filtrelenmemiş trafiğin diske yazılmasını önlemek için kullanışlıdır. Böylece, disk alanı ve kayıt süresi açısından tasarruf sağlar.
Capture Filter, genellikle temel durumları ele almak veya yalnızca belirli protokolleri ve trafiği izlemek istediğiniz durumlarda kullanışlıdır.
Sonuç olarak, Display Filter mevcut trafiği analiz etmek ve belirli verileri görüntülemek için kullanılırken, Capture Filter ağ trafiğini sınırlamak ve kaydetmek için kullanılır. Display Filter genellikle analiz sonrasında kullanılırken, Capture Filter trafiğin yakalanması başlamadan önce kullanılır.
Wireshark ile Paket Analizi
İlk olarak Wireshark’ı açıyoruz ve ardından tarayıcıdan Youtube’a giriyoruz. Wireshark’ın analizini durdurup incelemeye başıyoruz. Sırasıyla dns, arp, http, tcp ve udp filtrelemeleri yapıyoruz.
Arp filtrelemesiyle, görselde gördüğümüz gibi Who has istekleri karşımıza çıkar. Ayrıca arp filtrelemesiyle ip ve mac eşleşmeleri konusunda da bilgi sahibi olabiliriz. Bu şekilde eğer kritik bir durum var arp poisoning saldırıları bu şekilde fark edilebilir.
Youtube’a girdiğimiz için bu kısımda hiçbir şey yok. Fakat http olan bir siteye girseydik burada da trafiği görürdük. Youtube güvenli olduğu için yani https kullandığı için bu kısımda bir şey gözükmüyor.
Yukarıdaki ve aşağıdaki tcp ve udp filtrelemelerinde dest ip ve source iplere erişebiliriz.Aynı şekilde port numaralarına ve paket boyutlarına kadar birçok veri bu şekilde karşımıza çıkar. Ayrıca herhangi bir tcp paketinin üstüne sağ tıklayıp, tcp paket akışı takip edebiliriz.
Three Way Handshake yakalamak istersek de sırasıyla SYN, SYN ACK, ACK paketlerini yakalamamız gerekir.
Bu arada “three way handshake” nedir?
Three-Way Handshake, TCP tabanlı bir bağlantı kurma sürecidir. İstemci (client) sunucuya (server) bağlantı talebi gönderir (SYN). Sunucu bu talebi kabul eder ve karşılık verir (SYN+ACK). İstemci de bu yanıtı doğrular (ACK). Bu üç adımda bağlantı tamamlanır ve güvenli bir iletişim başlar.
Wireshark Tryhackme Çözümleri
LINK 1: https://tryhackme.com/room/wiresharkthebasics
Burada açtığımız pcap dosyasındaki, dosya yorumlarını okumaya çalışıyoruz, son sekmede biraz yukarı kaydırarak toplam paket sayısı ve SHA256 hash değeri de görülebilir.
38 numaralı paketin HTTP protokolu altında hangi markup dilini kullandığı bilgisine erişebiliriz.
Markup dili nedir?
Markup dili, metin tabanlı belgelerin yapısını ve biçimini tanımlamak için kullanılan işaretleme sistemidir. İçeriği etiketlerle veya kodlarla işaretleyerek belirli öğeleri (başlık, paragraf, bağlantı, resim vb.) belirlememize olanak tanır. Bu sayede içeriğin düzeni ve biçimi belirlenir ve işlenirken tutarlılık sağlanır. HTML ve XML markup dillerine örnek olarak verilebilir.
Detaylarda paketin varış tarihine erişebiliyoruz.
TTL değeri de karşımıza çıkmaktadır: 47
Bu arada TTL değeri nedir?
Time-to-Live (TTL) yani yaşam süresi, internete gönderilen bir verinin geçerli kalacağı süreyi ifade eden bir değerdir.
GO > GO TO PACKET kısmından spesifik bir pakete direkt olarak erişebiliyoruz, filtreleme kısmının yanında bir kutu çıkıyor ve oraya incelemek istediğimiz paketi yazabiliyoruz.
LINK 2: https://tryhackme.com/room/wiresharkpacketoperations
Statistics > Resolved Address kısmından buraya erişebiliriz. Bu seçenek, çözümlenen adreslerin ve hostnames listesini sağlayarak yakalama dosyasında bulunan IP adreslerini ve DNS adlarını belirlemesine yardımcı olur.
Statistics > Conversations kısmında iki endpoint arasındaki trafiği görebiliriz.
Statistics > endpoints kısmından name resolution yapabiliriz ayrıca görseldeki gibi geoIP verilerine de erişebiliriz.
Bu kısımdan, belirli, özelleştirilmiş IP’leri sınıflayıp listeleyebiliriz.
What is the most used IPv4 destination address? Bu soruyu cevaplamak için yukarıdaki görseldeki Source and Destiantion Addresses kısmından yararlanırız. Max olarak sıralarsak sonuca ulaşırız.
IP Filtreleme : IP filtreleme, Wireshark’ta belirli IP adreslerini veya IP adres aralıklarını kullanarak trafiği filtrelemek anlamına gelir. Bu filtreleme yöntemi, belirli bir IP adresine veya ağa ait trafiği izlemek veya diğer gereksiz trafiği gizlemek için kullanılır.
TTL sayısı 10'dan küçük olan paketleri bulmak için:
