Skip to content

Bu Wireshark öğreticisi, ağınızdan en iyi şekilde yararlanmak için Wireshark’ı kullanma hakkında bilmeniz gereken her şeyi size öğretecek. Uygulamayı indirmekten gelişmiş özelliklere erişmeye kadar bu yazılımı baştan sona ele alacağız. Paketleri analiz etmenin, filtreleri kullanmanın ve elde ettiğiniz bilgileri kullanılabilir verilere dönüştürmenin tüm ayrıntılarını öğreneceksiniz. Eğitim boyunca, bu yazılımda gezinmeyi kolaylaştırmak için bazı sık sorulan sorular ve kısayollar üzerinde çalışacağım.

Eğitimin sonunda size Wireshark’tan daha iyi veri analizi almanın sırrını anlatacağım. İpucu: Wireshark’tan elde edilebilecek tüm içgörülerin kilidini açmanın sırrı, onu en sevdiğim Network Performance Monitor gibi uyumlu bir ağ analiz aracıyla birlikte kullanmaktır.

Wireshark Nedir?

Eskiden Ethereal olarak bilinen Wireshark, ağ paketlerini yakalamak ve bunları ayrıntılı bir şekilde görüntülemek için popüler bir ağ analiz aracıdır. Bu paketler parçalandıktan sonra, bunları gerçek zamanlı veya çevrimdışı analiz için kullanabilirsiniz. Bu, bu verilere dayalı istatistikler oluşturmak veya kullanışlı bir grafiğe dönüştürmek isteyen kullanıcılar için harikadır. Arayüz kullanıcı dostudur ve paketleri yakalamanın temellerini öğrendikten sonra kullanımı kolaydır.

Wireshark benzersizdir çünkü ücretsiz ve açık kaynaklıdır, bu da onu piyasadaki en iyi paket analizcilerden biri ve en erişilebilirlerden biri yapar. Wireshark’ın indirdiğiniz ücretsiz sürümü tam sürümdür; burada işlevselliği azaltılmış demo sürümleri yoktur.

Wireshark ne için kullanılır? Ev kullanıcılarından kurumsal BT ekiplerine kadar ağ etkinliklerini izlemesi gereken herkes için tasarlanmıştır. Ölçeklenebilirlik söz konusu olduğunda birçok izleme yazılımı yetersiz kalıyor. Yine de, Wireshark’taki insanlar, minimum düzeyde işlevsellik elde etmek için pek çok ekstra eklentiye ihtiyaç duymayan bir program geliştirdiler. Buna karşılık, aşağıda önerdiğim ek araçlar iyi bir şeyi geliştiriyor.

Wireshark’ı benzersiz kılan, aynı zamanda onu sorunlu yapan şeydir. Wireshark açık kaynak olduğu için sağlam bir destek yapısı yoktur. Bu, teknik destek, aranacak bir telefon numarası ve acil yardım için konuşabileceğiniz bir temsilci olmadığı anlamına gelir. Bunun yerine, yardım için forumlara, Soru-Cevaplara, öğreticilere, SSS’lere ve diğer çevrimiçi kaynaklara gitmeniz gerekir. Bu, sorunlarını çözmeyi tercih eden çalışkan ev kullanıcıları için bir sorun olmayabilir, ancak büyük bir BT kuruluşundaki çalışanların bir bilgi toplama görevine gidecek zamanı olmayabilir. Birçok şirket için açık kaynaklı yazılım kullanmayla ilgili yasal sorunlar da olabilir.

Kullanıcılar, açık kaynaklı yazılımın sağladığı büyük özgürlüğün büyük sorumluluk getirdiğinin farkında olmalıdır. Yine de, Wireshark’ı tamamen silmek için yeterince iyi bir neden değil. Bu aracın ağınıza fayda sağlayıp sağlayamayacağını düşünmek önemlidir.

Wireshark Nasıl Çalışır?

Ağ analizini, ağ altyapısının temel detaylarına bir göz atmak olarak düşünün. Bir ağ analizcisi, bir sistemin içinde neler olup bittiğini ölçen cihazlara sahiptir. Görebildiğiniz ve görsel olarak temsil edebileceğiniz bilgiler, kullanabileceğiniz bilgilerdir.

Wireshark’ın, paketleri izlemekle neden ilgilendiğinize bağlı olarak birçok kullanımı vardır. Çoğu kişi, ağlarındaki sorunları tespit etmek ve buna göre sorun gidermek için Wireshark’ı kullanır, ancak geliştiriciler, örneğin, programlarda hata ayıklamak için kullanabilir. Ağ güvenlik mühendisleri güvenlik sorunlarını inceleyebilir, QA mühendisleri ağ uygulamalarını doğrulayabilir ve eski teknoloji meraklısı kişi, ağ protokolünün dahili özelliklerini öğrenmek için Wireshark’ı kullanabilir.

Ağ trafiğini görüntülemek için Wireshark’ı kullanmak mükemmeldir, ancak Wireshark izinsiz giriş tespiti amacıyla kullanılamaz. Tuhaf bir şey olduğunda veya birileri ağınızda olmaması gereken bir yerde dalga geçtiğinde sizi uyarmaz. Bununla birlikte, size bazı temel verileri gösterecek ve olaydan sonra neler olduğunu anlamanıza yardımcı olacaktır.

Wireshark bir ölçüm aracı olduğu için ağınızdaki bazı şeyleri değiştirmez. Ağ üzerinden paket göndermez veya ağı değiştirmez. İzleme yazılımı olarak Wireshark, metrikleri analiz etmek ve görüntülemek için oluşturulmuştur. En önemli yeteneklerinden bazıları aşağıdaki paketle ilgili işlevleri içerir:

  • Canlı veri paketlerini yakalar, arar, kaydeder, dışa aktarır, içe aktarır ve renklendirir
  • Ayrıntılı bilgi içeren paketleri görüntüler
  • Hem Wireshark’ta hem de diğer benzer programlarda yakalanan, içinde paketleme verileri bulunan dosyaları açar
  • Paketleri çeşitli kriterlere göre filtreler
  • İstatistik oluşturur

Wireshark’ın işlevselliği:

Tipik bir paket analizörü olan TCPDUMP gibi Wireshark, ağ paketlerini grafiksel bir ön uç ve bazı ekstra entegre sıralama ve filtreleme seçenekleriyle analiz etmemizi sağlar. Karışık modu destekliyorsa bir ağ arabirimi denetleyicisi (NIC) bu moda konur. Bu genellikle arayüzdeki tüm trafiği görselleştirmek içindir, yalnızca arayüzün yapılandırılmış adresleri ve yayın/çoklu görev trafiği.

Ancak, toplam ağ trafiğini elde etmek için bağlantı noktası yansıtma ve ağ muslukları gibi diğer teknikler kullanılır. Bu, bir bağlantı noktasında karışık mod kullanımı ile birlikte yapılır. Bu, bir bağlantı noktasının tüm ağ trafiğini almaması gerçeğine atfedilir.

Wireshark 1.4 ve daha sonra kablosuz ağ arabirimi denetleyicilerini monitör moduna koyabilir. Bazı paketlerin uzak bir makine tarafından yakalandığını ve Wireshark’a gönderildiğini varsayalım. Bu durumda, Omnipeek’in başka bir paket analizörü olduğu TZSP veya Omnipeek’in protokolü protokolleri, uzak makinelerinde yakalandığında analiz edilir.

Wireshark şunları sunuyor:

  • Wireshark, yüzlerce protokolü inceleyen bir ağ analizörüdür.
  • Hem çevrimdışı analize hem de canlı yakalamalara izin verir.
  • Microsoft Windows, Linux, macOS, Sun Solaris ve diğer birkaç platform gibi çeşitli işletim sistemlerinde çalışabilir.
  • Bir grafik kullanıcı arayüzü (GUI), yakalanan ağ verilerine göz atmamızı sağlayan QT widget araç seti kullanılarak desteklenir. GUI olmayan sürümde, TTY-Mode Tshark yardımcı programı aynı amaç için de kullanılabilir.
  • İnternet Protokolü (VOIP) analizi üzerinden yeterli ses sunar. Bu tür yakalanan trafiği kodlarken medya akışını bile oynayabiliriz.
  • Wireshark paketleri yakalamak için PCAP kullanır.
  • Kolayca dekomprese edilen GZIP formatında yakalama dosyaları oluşturur.
  • Bu tür yakalanan dosyalar, bazı komut satırı anahtarlarının yardımıyla programlı olarak düzenlenebilir veya “EditCap” programlamasına değiştirilebilir.
  • Ham Evrensel Seri Yolu’nun (USB) trafiğin yakalanmasına izin verir.
  • Wireshark, NS OPNET Modeler, NetSim ve diğer ağ simülasyon araçlarından paketleri yakalayabilir.
  • Yerel Ağ İzleme Dosyası Formatı, PCAP NG, Catapult DCT2000, Cisco Secure Ids Iplog, Microsoft Network Monitor, NiFfer Pro, Netxray, TCPDUMP (LIBPCAP) gibi birçok yakalama dosya formatının okunmasını/yazımını destekler. Network Instruments Observer, Netscreen Snoop, Novell Lanalyzer, Radcom Wan/LAN Analizörü, Shomiti/Finisar Surveyor, Tektronix K12xx, Görsel Ağlar Görsel Çalışma Süresi, WildPacketSetherpeek/TokenPeek/Airopeek ve diğer bazı formatlar.
  • Canlı verileri Ethernet IEEE 802.11, PPP/HDLC, ATM, Loopback, Bluetooth, FDDI ve diğerleri gibi farklı yollarla okur.
  • Şifre çözme, IPSEC, ISAKMP, KERBEROS, SNMPV3, SSL/TLS, WEP ve WPA/WPA2 gibi birçok protokol için desteklenir.
  • Paket listesine boyama kurallarının uygulanması hızlı ve kolay analizlere izin verir. Daha fazla ayrıntı için renk kodlama bölümüne bakın.
  • Yalnızca tetiklenen trafiğin belirli filtreler, zamanlayıcılar ve diğer ayarlar uygulanarak analiz edilmesini sağlayabilirsiniz.
  • XML, PostScript, CSV veya düz metin, çıktının dışa aktarıldığı ve biçimlendirildiği tüm türlerdir.

Wireshark özellikleri

Gerçek zamanlı veriler, platformunuza bağlı olarak aşağıdaki yöntemlerle çevrimdışı olarak okunur, yakalanır ve analiz edilir:

  • Ethernet
  • IEEE 802.11
  • USB
  • Noktadan Noktaya Protokol (PPP)/Üst düzey Veri Bağlantı Kontrolü (HDLC)
  • Fiber Dağıtılmış Veri Arayüzü (FDDI)
  • Çerçeve rölesi
  • ATM
  • Bluetooth
  • Jeton

Wireshark, aşağıdakiler dahil olmak üzere çok sayıda protokol için şifre çözme desteği sağlar:

  • ISAKMP
  • SSL/TLS
  • SNMPV3
  • IPSEC
  • Kerberos
  • Susturma
  • WPA/WPA2

Wireshark, tüm ağ türlerinde yüzlerce protokolün verilerini sunmak için bir arayüze ve güçlü VoIP analizi ve ekran filtreleri vardır. Veri paketleri, ağın içinde veya dışında gerçek zamanlı olarak çeşitli yakalama dosya formatlarında analiz edilir, örneğin:

  • Ağ Enstrümanları Gözlemcisi
  • Netscreen Snoop
  • Pcap ng
  • Catapult DCT2000
  • Microsoft Ağ Monitörü
  • Shomiti/Finisar Surveyor
  • Tektronix K12xx
  • Cisco Secure Ids Iplog
  • Novell Lanalyzer
  • Radcom Wan/LAN Analizörü

Wireshark Kullanarak VoIP Aramaları Nasıl Izlenir?

Wireshark kullanarak bir VoIP aramasını izlemek için telefon menü girişini kullanın, VoIP aramalarını seçin, SIP arama listesini göreceksiniz. Her aramanın başlama ve durma zamanını görebileceksiniz. Arayanın ilk konuşmacısı ve IP adresinin yanı sıra. Bunun yanı sıra, formda ve üst URL’de arayan kimliğini ve aranan kimliğini göreceksiniz.

Wireshark, paketleri analiz eden bir ağ yakalama aracıdır. Arama yapmak veya analiz etmek istediğiniz belirli eylemi yeniden oluşturmak için (örneğin, bir VoIP sağlayıcısına kayıt veya giden arama). Wireshark’ı bulut PBX’teki trafiği yakalamak için de kullanabilirsiniz. Wireshark yakalama paketleri, SIP trafik analizi, yazılım, iletişim, Yerel ağ geliştirme için kullanılabilir.

WireShark kullanarak VoIP çağrılarını nasıl analiz ederim?

VoIP çağrı analizine erişebilmek için, menü girişini kullanın, telefon, IP üzerinden Ses telefon çağrıları mevcut İnternet Üzerinden Ses Protokolü tarafından desteklenen protokoller şunlardır:

  • ÜNİSTİM
  • MGCP
  • ISUP
  • H323
  • Yudumlamak
  • SDP

Her VoIP arama listesi, arama başına aşağıdaki bilgileri gösterir.

Durdurma zamanı: Bu, aramanın durma zamanıdır.

Başlangıç ​​zamanı: Bu, aramanın başlangıç ​​zamanını gösterir.

İlk konuşmacı: Aramayı başlatan paketin IP adresi kaynağını gösterir.

Kimden: ISUP ve H323 aramaları için bu, arayan numaradır. SIP çağrıları için, InVITE for UNISTIM, Terminal ID’nin ‘Kimden’ alanıdır. MGCP çağrıları için aranan numaranın Bitiş Noktası.

Kime: ISUP ve H323 aramaları için bu, aranan VoIP numarasıdır. SIP çağrıları için bu, INVITE’ın ‘Kime’ alanıdır. UNISTM için bu aranan numaradır. MGCP aramaları için, aranan numara veya Bitiş Noktası.

Protokol: Bu, önceki bölümde listelenen protokollerden herhangi birini gösterecektir.

Paketler: Bu, aramaya dahil olan paketlerin sayısını gösterir.

Durum: Bu, geçerli çağrı durumudur. Olası değerler şunlardır:

  • Reddedildi: Çağrı, hedef taraf tarafından bağlanmadan önce serbest bırakıldı
  • Tamamlandı: Arama bağlandı ve ardından serbest bırakıldı
  • Arama kurulumu: Kurulum durumunda arama (Devam Ediyor, İlerliyor veya Değiştiriliyor)
  • İptal edildi: Aramanın, arayan kişiyle bağlantı kurulmadan önce sonlandırıldığı anlamına gelir
  • Çalıyor: Aramanın çaldığı anlamına gelir (MGCP aramaları yalnızca bunu destekler)
  • Inall: Aramanın hala bağlı olduğunu belirtmek için.
  • Bilinmeyen: Bu, aramanın bilinmeyen bir durumda olduğunu gösterir.