WIRESHARK KULLANIM KILAVUZU

V1.0

Utku Ulu şahin Güngör Basa

İÇİNDEKİLER :

1 – WIRESHARK

1.1 - WIRESHARK’IN GELİŞİMİ

1.2 - DESTEKLENEN PROTOKOLLER

1.3 - AĞ ANALİZİ ve KULLANIM ALANLARI

1.4 - WIRESHARK’I YÜKLEME

1.4.1 - Windows işletim sisteminde yükleme

1.4.2 - Unix (Linux) işletim sisteminde yükleme

2 - WIRESHARK BİLEŞENLERİ

2.1 - ANA PENCERE (MAIN WINDOW) :

2.2 - SUMMARY WINDOW

2.3 - PROTOCOL TREE WINDOW :

2.4 - DATA VİEW WINDOW

2.5 – FILTER BAR

2.6 – INFORMATION FIELD

2.7 – MENU İÇERİKLERİ :

2.7.1 – FILE

2.7.2 – EDIT

2.7.3 – VIEW

2.7.4 – GO

2.7.5 – CAPTURE

2.7.6 – ANALYZE

2.7.7 – STATICS

2.7.8 - HELP

3- Filtreleme

3.1 – FİLTRELEME İŞLEMLERİ

3.1.1 – FİLTRELEME GRAMERİ

3.1.2 – EN ÇOK KULLANILAN FİLTRELER VE ÖRNEKLERİ

3.1.2.1 – IP FİLTRELERİ

3.1.2.2 – ETHERNET FİLTRELERİ

3.1.2.3 – TCP FILTRELERİ

3.1.2.3 – UDP FİLTRELERİ

3.2 – FILTER EXPRESSION

3.2.1 – MSN KONUŞMALARINI YAKALAMA

3.2.2 – MAIL YAKALAMA

3.3 – BILESİK FILTRE YAPIMI

1 - WIRESHARK 1998 yılında Ethereal adıyla faaliyete başlayan proje, dünyanın dört bir yanındaki ağ uzmanlarının da katkısıyla günümüzün önder ağ protokol analizcisi haline gelmiştir, hatta çoğu endüstri ve eğitim enstitüsünde standarttır. Yeni versiyonları wireshark ismiyle çıkan yazılım, bilgisayarınıza ulaşan paketleri yakalamanıza ve bu paketlerin içeriğini görüntülemenize olanak tanıyor. Başka bir deyişle, bilgisayara bağlı olan her türlü ağ kartlarındaki (Ethernet kartı veya modem) tüm TCP/IP mesajlarını analiz edebilen bir programdır.

Wireshark’ın dikkat çeken özellikleri :

• 750'nin üzerinde protokolü analiz edebilir (sürekli yenileri bu listeye eklenmektedir).

• Gerçek zamanlı analiz yapabilir.

• Bir analizi filtre edebilir (örneğin "sadece HTTP mesajlarını göster" gibi).

• Standart üç pencereli paket gezginine sahiptir.

• Çoklu-platform: Windows, Linux, OS X, Solaris, FreeBSD, NetBSD, ve bir çok işletim sisteminde çalışır

• Terminal veya kullanıcı arabirimi ile kullanılabilir.

• Yakalanan ağ verisi kullanıcı grafik ara yüzü aracılığı ile gezilebilir veya TTY-kipinde TShark aracı ilede olabilir.

• Endüstrideki en güçlü gösterim filtrelerine sahiptir.

• Aynı zamanda zengin VoIP analizleri yapabilmektedir.

• Birçok yakalama dosya biçimini yazıp okuyabilir: tcpdump (libpcap), Catapult DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor, Network General Sniffer® (sıkıştırılmış ve sıkıştırılmamış), Sniffer® Pro, ve NetXray®, Network Instruments Observer, Novell LANalyzer, RADCOM WAN/LAN Analyzer, Shomiti/Finisar Surveyor, Tektronix K12xx, Visual Networks Visual UpTime, WildPackets EtherPeek/TokenPeek/AiroPeek, ve birçokları...

• Birçok protokol için şifre çözme desteği sunabilmektedir (IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP, ve WPA/WPA2'yi içerir).

• Gzip ile sıkıştırılmış dosyaları yakalarken, havadayken sıkıştırmasını açabilir.

• Canlı veriyi Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI, ve diğerlerinden (platforma göre değişir) okuyabilir.

• Paket listesinde hızlı ve sezgisel analiz için, renklendirme kuralları uygulayabilir.

• Çıktıyı XML, PostScript®, CSV, veya düze metin şeklinde verebilir.

1.1 - WIRESHARK’IN GEL İ�İMİ Wireshark 1997 yılında, ağdaki sorunları gidermek amacıyla “Gerald Combs” tarafından geliştirilmiştir. İlk versiyonu Temmuz 1998’de yayınlanmıştır. Daha sonra, Gilbert Raminez, Guy Harriz ve Richard Sharpe’den oluşan destek takımı oluşturulmuş ve wireshark hızla geliştirilmeye başlanmıştır. O günden itibaren, dünyanın dört bir yanından insanlar, wireshark’ın gelişmesine katkıda bulunmuştur (Katkıda bulunanların listesini http://www.wireshark.org/about.html#authors adresinden bulabilirsiniz). Gördüğü çok büyük destek ve geniş kullanım tabanı sayesinde wireshark’ın kullanılabilirliği ve popülaritesi günden güne artmaktadır.

1.2 - DESTEKLENEN PROTOKOLLER Ağ analizcisi, ağdan okuduğu bilgilerin ne anlama geldiğini anlaması ve nasıl okunabilir bir formata dönüştürüleceğini bilmesi gerekmektedir. Bu işleme “protokol çözümleyicisi” denmektedir. Ön bilgi amaçlı verdiğimiz wireshark’ın dikkat çekici özelliklerinin ilk maddesinde, 750'nin üzerinde protokolü analiz edebildiğini belirtmiştik. Bu maddeden de anlaşıldığı gibi wireshark bu alanda oldukça iddaalıdır. Aşağıda wireshark’ın desteklediği 752 protokol listelenmiştir : 3COMXNS, 3GPP2 A11, 802.11 MGT, 802.11 Radiotap, 802.3 Slow protocols, 9P,AAL1,AAL3/4,AARP,ACAP,ACN,ACSE,ACtrace,ADP,AFP,AFS (RX),AgentX,AH,AIM,AIM Administration,AIM Advertisements,AIM BOS,AIM Buddylist,AIM Chat,AIM ChatNav,AIM Directory,AIM E-mail, AIM Generic,AIM ICQ,AIM Invitation,AIM Location,AIM Messaging, AIM OFT,AIM Popup,AIM Signon,AIM SSI,AIM SST,AIM Stats,AIM Translate,AIM User Lookup,AJP13,ALC,ALCAP,AMR,ANS,ANSI BSMAP,ANSI DTAP,ANSI IS-637-A Teleservice,ANSI IS-637-A Transport, ANSI IS-683-A (OTA (Mobile)),ANSI IS-801 (Location Services (PLD)), ANSI MAP,AODV,AOE,ARCNET,Armagetronad,ARP/RARP,ARTNET, ASAP,ASF,ASN1,ASP,ATM,ATM LANE,ATP,ATSVC,Auto-RP,AVS WLANCAP,AX4000, BACapp, BACnet, Basic Format XID, BEEP, BER, BFD Control, BGP, BICC, BitTorrent, Boardwalk, BOFL,BOOTP/DHCP, BOOTPARAMS, BOSSVR, BROWSER, BSSAP, BSSGP, BUDB, BUTC, BVLC,CAMEL,CAST,CBAPDev, CCSDS, CCSRL, CDP, CDS_CLERK, cds_solicit,CDT, CFLOW,CGMP, CHDLC, CIGI, CIMD, CIP, CISCOWLL2, CLDAP, CLEARCASE, CLNP,CLTP, CMIP,CMP, CMS,CONV, COPS, COSEVENTCOMM, CoSine, COSNAMING,COTP, CPFI, CPHA, cprpc_server,CRMF, CSM_ENCAPS, CUPS,DAAP,DAP, Data, dc, DCCP, DCE_DFS, dce_update, DCERPC, DCOM, DCP, DDP, DDTP, DEC_DNA, DEC_STP, DFS, DHCPFO, DHCPv6, DIAMETER, dicom, DIS, DISP, DISTCC, DLSw,DLT User A, DLT User B, DLT User C, DLT User D, DNP 3.0, DNS, DNSSERVER, DOCSIS, DOCSIS BPKM-ATTR, DOCSIS BPKM-REQ, DOCSIS BPKM-RSP, DOCSIS DSA-ACK, DOCSIS DSAREQ, DOCSIS DSA-RSP, DOCSIS DSC-ACK, DOCSIS DSC-REQ, DOCSIS DSC-RSP, DOCSIS DSD-REQ, DOCSIS DSD-RSP, DOCSIS INT-RNG-REQ, DOCSIS MAC MGMT, DOCSIS MAP, DOCSIS REGACK, DOCSIS REG-REQ, DOCSIS REG-RSP, DOCSIS RNG-REQ, DOCSIS RNG-RSP, DOCSIS TLVs, DOCSIS type29ucd, DOCSIS UCCREQ, DOCSIS UCC-RSP,DOCSIS UCD, DOCSIS VSIF, DOP,

DRSUAPI, DSI, DSP, DSSETUP, DTP, DTSPROVIDER, DTSSTIME_REQ,DUA,DVMRP, E.164, EAP, EAPOL,ECHO, EDONKEY, EDP, EFS, EIGRP, ENC, ENIP, ENRP, ENTTEC, EPM, EPMv4, ESIS, ESP, ESS, ETHERIC, ETHERIP, Ethernet, EVENTLOG, FC, FC ELS, FC FZS, FC-dNS, FC-FCS, FC-SB3, FC-SP, FC-SWILS, FC_CT, FCIP, FCP, FDDI, FIX, FLDB, FR, Frame, FRSAPI, FRSRPC, FTAM, FTBP, FTP, FTP-DATA, FTSERVER,FW-1,G.723, GIF image, giFT, GIOP, GMRP, GNM, GNUTELLA, GPRS NS, GPRS-LLC, GRE, Gryphon, GSM BSSMAP, GSM DTAP, GSM RP, GSM SMS, GSM SMS UD, GSM_MAP, GSM_SS, GSS-API, GTP, GVRP, H.223, H.225.0, H.235, H.245, H.261, H.263, H.263 data, H1, h221nonstd, H248, h450, HCLNFSD, HPEXT, HPSW, HSRP, HTTP, HyperSCSI, IAP, IAPP, IAX2, IB, ICAP, ICBAAccoCB, ICBAAccoCB2, ICBAAccoMgt, ICBAAccoMgt2, ICBAAccoServ, ICBAAccoServ2, ICBAAccoServSRT, ICBAAccoSync, ICBABrowse, ICBABrowse2, ICBAGErr, ICBAGErrEvent, ICBALDev, ICBALDev2, ICBAPDev, ICBAPDev2, ICBAPDevPC, ICBAPDevPCEvent, ICBAPersist, ICBAPersist2, ICBARTAuto, ICBARTAuto2, ICBAState, ICBAStateEvent, ICBASysProp, ICBATime, ICEP, ICL_RPC, ICMP, ICMPv6, ICP, ICQ, IDispatch, IDP, IEEE 802.11, IEEE802a, iFCP, IGAP, IGMP, IGRP, ILMI, IMAP, INAP, INITSHUTDOWN, IOXIDResolver, IP, IP/IEEE1394, IPComp, IPDC, IPFC, IPMI, IPP, IPv6, IPVS, IPX, IPX MSG, IPX RIP, IPX SAP, IPX WAN, IRC, IrCOMM, IRemUnknown, IRemUnknown2, IrLAP, IrLMP, ISAKMP, iSCSI, ISDN, ISIS, ISL, ISMP, iSNS, ISUP, isup_thin, ISystemActivator, itunes, IUA, IuUP, Jabber, JFIF (JPEG) image, Juniper, JXTA, JXTA Framing, JXTA Message, JXTA UDP, JXTA Welcome, K12xx, KADM5, KINK, KLM, Kpasswd, KRB4, KRB5, KRB5RPC, L2TP, LANMAN, LAPB, LAPBETHER, LAPD, Laplink, LDAP, LDP, Line-based text data, LLAP, llb, LLC, LLDP, LMI, LMP, Log, LogotypeCertExtn, LOOP, LPD, LSA, Lucent/Ascend, LWAPP, LWAPP-CNTL, LWAPP-L3, LWRES, M2PA, M2TP,M2UA,M3UA,MACC,Malformed packet, Manolito, MAP_DialoguePDU, MAPI, MDS Header, Media,MEGACO, message/http, Messenger,MGCP,MGMT, MIME multipart, MIPv6,MMS, MMSE, Mobile IP, Modbus/TCP,MOUNT, MPEG1, MPLS, MPLS Echo,MQ, MQ PCF, MRDISC, MS NLB, MS Proxy, MSDP,MSMMS, MSNIP, MSNMS, MSRP, MTP2, MTP3, MTP3MG, MySQL, NBAP, NBDS, NBIPX, NBNS, NBP, NBSS, NCP, NCS,NDMP, NDPS, NetBIOS, Netsync, nettl, NFS, NFSACL, NFSAUTH,NHRP, NIS+, NIS+ CB,NJACK, NLM, NLSP, NMAS, NMPI, NNTP, NORM, NS_CERT_EXTS, NSIP, NSPI, NTLMSSP, NTP, Null, NW_SERIAL,OAM AAL, OCSP, OLSR, OPSI, OSPF, P_MUL, PAGP, PAP, PARLAY, PCLI, PCNFSD, PER, PFLOG, PFLOG-OLD, PGM, PGSQL, PIM, PKCS-1, PKInit, PKIX Certificate, PKIX1EXPLICIT, PKIX1IMPLICIT, PKIXPROXY, PKIXQUALIFIED, PKIXTSP, PKTC, PNDCP, PN-RT, PNIO, PNP, POP, Portmap, PPP, PPP BACP, PPP BAP, PPP CBCP, PPP CCP, PPP CDPCP, PPP CHAP, PPP Comp, PPP IPCP, PPP IPV6CP, PPP LCP, PPP MP, PPP MPLSCP, PPP OSICP, PPP PAP, PPP PPPMux, PPP PPPMuxCP, PPP VJ, PPP-HDLC, PPPoED, PPPoES, PPTP, PRES, Prism, PTP, PVFS,Q.2931,Q.931,Q.933, QLLC,QUAKE,QUAKE2, QUAKE3,QUAKEWORLD, R-STP, RADIUS, RANAP,Raw, Raw_SigComp,Raw_SIP, rdaclif, RDM,RDT, Redback,REMACT, REP_PROC, RIP, RIPng, RLM, Rlogin, RMCP, RMI, RMP, RNSAP, ROS, roverride, RPC, RPC_BROWSER, RPC_NETLOGON, RPL, rpriv, RQUOTA, RRAS, RS_ACCT, RS_ATTR, rs_attr_schema, RS_BIND,

rs_misc, RS_PGO, RS_PLCY, rs_prop_acct, rs_prop_acl, rs_prop_attr, rs_prop_pgo, rs_prop_plcy, rs_pwd_mgmt, RS_REPADM, RS_REPLIST, rs_repmgr, RS_UNIX, rsec_login, RSH, rss, RSTAT, RSVP, RSYNC, RTcfg,RTCP,RTmac,RTMP,RTP,RTP Event,RTPS,RTSE,RTSP, RUDP,RWALL, RX, SADMIND, SAMR, SAP, SCCP, SCCPMG, SCSI, SCTP, SDLC, SDP, SEBEK, SECIDMAP, Serialization, SES, sFlow, SGI MOUNT, Short frame, SIGCOMP, SIP, SIPFRAG, SIR, SKINNY, SLARP, SliMP3, SLL, SM, SMB, SMB Mailslot, SMB Pipe, SMB2, SMB_NETLOGON, smil, SMPP, SMRSE, SMTP, SMUX, SNA, SNA XID, SNAETH, SNDCP, SNMP, Socks, SONMP, SoulSeek, SPNEGO, SPNEGO-KRB5, SPOOLSS, SPP, SPRAY, SPX, SRP, SRVLOC, SRVSVC, SSCF-NNI, SSCOP, SSH, SSL, SSS, STANAG 4406, STANAG 5066, STAT, STAT-CB, STP, STUN, SUA, SVCCTL, Symantec, Synergy, Syslog,T.38,TACACS, TACACS+,TALI,TANGO,TAPI,TCAP,TCP,TDMA,TDS,TEI_MANAGEMENT, TELNET,Teredo,TFTP,TIME,TIPC,TKN4Int,TNS,Token- Ring,TPCP,TPKT,TR MAC,TRKSVR,TSP,TTP,TUXEDO,TZSP, UBIKDISK, UBIKVOTE, UCP, UDP, UDPENCAP, UDPlite, UMA, Unreassembled fragmented packet,V.120,V5UA, Vines ARP, Vines Echo, Vines FRP, Vines ICP, Vines IP, Vines IPC, Vines LLC, Vines RTP, Vines SPP, VLAN,VNC,VRRP,VTP,WAP SIR,WBXML,WCCP,WCP,WHDLC, WHO,WINREG, WINS-Replication,WKSSVC,WLANCERTEXTN, WSP,WTLS,WTP, X.25, X.29, X11, X411, X420, X509AF, X509CE, X509IF, X509SAT, XDMCP, XML,XOT, XYPLEX,YHOO,YMSG, YPBIND,YPPASSWD,YPSERV,YPXFRZEBRA, ZIP

1.3 - AĞ ANAL İZİ ve KULLANIM ALANLARI Wireshark’ın günümüzün önder ağ protokol analizcisi olduğunu söylemiştik. Bu bölümde ağ analizi hakkında bilgi vericeğiz. Sistem yöneticileri, ağ mühendisleri, güvenlik mühendisleri, sistem işletmecileri ve programcıların hepsi ağ analizini kullanmaktadır. Ağ analizi ağdaki sorunları bulmada ve gidermede, sistem konfigürasyonu yayınlamada paha biçilmez bir araçtır Geçmişte, ağ analizcileri donanım aletlerini pahalı ve kullanımı zor bir şekilde piyasaya sürmekteydi. Ancak günümüzde, teknolojideki yeni gelişmeler yazılım tabanlı ağ analizinin gelişmesine olanak tanımıştır. Bu ağ analizini daha kullanışlı ve ucuz bir hale getirmiştir. Diğer bir açıdan bakılacak olursa, ağ analizinin yetenekleri iki yüzlü kılıç gibidir; ağ, sistem ve güvenlik uzmanları problemleri çözmede ve ağı görüntülemede kullansa da, “davetsiz misafirler” ağ analizini kötü amaçlar için kullanmaktadır. Ağ analizinin kullanım alanları :

• Paketlerdeki ikili veri şeklindeki bilgileri, okunabilir bir formata dönüştürmede kullanılır.

• Ağdaki problemleri çözmede kullanılır. • Ağın performansını analiz etmek için kullanılır. • Ağa izinsiz girenleri tespit etmede kullanılır. • Uygulamaların gerçekleştirdiği operasyonları analiz etmede kullanılır. • Ağ kartındaki hataları bulmada kullanılır. • Virüslerin bulaştığını veya Denial ot Service(Dos) ataklarını bulmada kullanılır.

• Risk altındaki bilgisayarları bulmada kullanılır. • Casus yazılımları bulmada kullanılır. • Aynı zamanda protokoller hakkında eğitici bir kaynaktır.

1.4 - WIRESHARK’I YÜKLEME

1.4.1 - Windows i şletim sisteminde yükleme : Dünya’nın önder ağ analiz programı wireshark’ın kurulumu oldukça basit, Öncelikle wiresharksetup-x.y.z.exe dosyasını temin etmelisiniz. Bu dosya aynı zamanda *WinPcap programınıda içeriyor, böylece iki paket indirmenize gerek kalmıyor. Daha sonra çalıştırın, seçilebilecek pek çok özellik olmasının yanında deneyimli bir kullanıcı değilseniz default ayarları seçmeniz yeterli olacaktır. WinPcap, Windows ortamında link-layer(bağlantı katmanı) ağı için endüstriyel standard Bir erişim aracıdır. Packet pacture ve daha bir çok işlevi vardır. Daha fazla bilgi için resmi sitesine bakabilirsiniz.

1.4.2 - Unix (Linux) i şletim sisteminde yükleme : Linux ortamında paket yükleyicisi yardımıyla kolaylıkla kurulabilr. Hiçbir ek işleme gerek yoktur. Eğer paket yöneticilerinde program yoksa kullanıcılar sourceforge.net ya da www.wireshark.org adreslerinden birinden programın kaynak kodlarını indirerek kurulum yapabilirler. Kurulum işlemi bittikten sonra programı çalıştırabilmek için root hakları elde edilmesi gereklidir. Bu yüzden kullanıcılar konsole u açarak orada "su" komutunu verip yönetici şifrelerini girdikten sonra "wireshark" yazarak programı çalıştırabilirler.

2 - WIRESHARK B İLE�ENLERİ Wireshark iletişim ağının iç yüzünde neler olduğunu kavramamızı sağlar. Bu özelliğiyle; uygulama protokollerinde, ağ uygulamalarındaki sorunları çözmede, ağı test etmede ve canlı ağ bağlantılarındaki sorunları çözmemizde bize yardımcı olur. Yani, iletişim ağı ile teknik düzey arasında etkileşim sağlayarak pek çok problemi çözmemizi sağlar. Wireshark aynı zamanda etkileyici bir eğitimsel uygulamadır. İletişim ağını görüntülemek ve analiz etmek birçok şeyi anlamamıza yardımcı olan, öğretici bir etkinliktir. Bu bölümde wireshark’ın grafiksel kullanıcı ara yüzündeki ana bileşenleri tanımlayacağız : ■ Main window ■ Menu bar ■ Tool bar ■ Summary window ■ Protocol Tree window

■ Data View window ■ Filter bar ■ Information field ■ Display information Aynı zamanda Summary Window, Protocol Tree Window ve de Data View Window’u yakında inceleyerek, birbirleriyle bağlantılarını göstericeğiz. Wireshark’ın temel görevlerinin(ağ trafiğini yakalama, yakalanan dosyaların kaydedilmesi ve yüklenmesi, temel filtreleme işlemi, paketlerin yazdırılması vb.) nasıl yapıldığını, anlaşılır olması bakımından, adım adım inceleyeceğiz. Komut satırından “wireshark” yazarak uygulamayı başlatabilirsiniz. Wireshark çalışınca �ekil 1.1’deki pencere ekrana gelicektir : �ekil 1.1 : Ana Pencere

2.1 - ANA PENCERE (MAIN WINDOW)

Ana penceredeki bileşenlerin içeriklerini anlamak, wireshark'ı anlamamıza yardımcı olucaktır. �ekil 1.1’de ana bileşenler gözükmektedir. Bu bileşenler Tablo 1.1’de tanımlanmıştır. Tablo 1.1: Ana Pencere Bileşenleri Pencere Bile şeni Tanımı Menu Bar Menudeki maddelerin, grafiksel ara yüzünü içeren

klasik bir uygulamadır. Tool Bar Wireshark’ın sık kullanılan fonksiyonlarının kısa

yollarını içerir. Kullanıcıya göre ayarlanabilir. Filter Bar Yakalanan paketleri, istenilen şekilde ayrılarak

gösterilmesini sağlar. Summary Window Yakalan paketlerin her biri için, bir satırlık özet bilgi sunar. Protocol Tree Window Summary window’da seçili olan paketin detaylı bilgilerini,

kullanıcıların anlayacağı şekilde düzenleyerek sunar. Data View Window Summary window’da seçili olan paketin, detaylı bilgilerini,

herhangi bir düzenleme yapmadan sunar. Display Information Field Yakalanmış paketlerin numaralarını, güncel olarak gösterir.

2.2 - SUMMARY WINDOW Yakalanmış paketlerin tamamına buradan bakılabilir. Her bir dosyanın içeriği bir satır olarak sunulur, satırlar belli özelliklerine göre sütunlara ayrılır. Varsayılan sütunlar Tablo 1.2’de tanımlanmıştır. Tablo 1.2 : Summary Windows Sütunları Sütun Adı Tanımı No Yakalanan dosyanın içindeki paketlerin numarasını

temsil eder. Görüntüleme filtresi (display fitler) kullanılmadığı sürece bu numara değiştirilemez.

Time Paketin zaman damgasıdır. Source Paketin nereden geldiğini gösterir. Destination Paketin nereye gittiğini gösterir. Protocol Protokol isminin kısa versiyonudur. Info Paket içeriği hakkında ekstra bilgi gösterir. (Edit | Prefences yoluyla sütunlarda gösterilen bilgiler değiştirilebilir.) Bu dosyalar daha ayrıntılıda incelenebilir. Herhangi bir dosya seçilirse "Packet Details" ve "Packet Bytes" pencereleri açılır.

Bir paketin içeriğine bakılacak olursa, Ethernet paketinin içinde IP, onun içinde TCP bulunur. Ethernet tarayıcısı kendi bilgisini(örneğin Ethernet Adresleri) yazar, IP tarayıcısı onun üstüne kendi bilgisini(örneğin IP adresleri) yazar ve TCP tarayıcısı da onun üstüne IP bilgisini yazacaktır. �ekil 1.1’de seçili olan paketin, Summary Window bölümende gösterilen bilgiler Tablo 1.3’de incelenmiştir.

Tablo 1.3 : Summary Window Sütunu Sütun Adı De ğeri No 8 Time 8.004042 (yakalama işlemine başlanıldığından itibaren) Source IP numarası 192.168.0.15 Destination IP numarası 192.168.0.33 Protocol Border Gateway Protocol (BGP) Info OPEN Message Gözüktüğü gibi bu paket; Border Gateway Protocol (BGP) oturumunda, 192.168.0.15 ve 192.168.0.33 adresleri arasında yakalanmıştır. Bu paket seçilerek, açılan "Protocol Tree Window" ve "Data View Window" bölümlerinden daha da ayrıntılı incelenebilir.

2.3 - PROTOCOL TREE WINDOW : Paketi bütün protokol’lerin bir üst ağacı(tree) olarak canlandıralım. Her bir protokol için ağaç düğümü(tree node) oluşturulur. Bu ağaç düğümleri sayesinde, protokol alanı daha geniş bir şekilde tanımlanabilir. Herhangi bir ağaç düğümünün alt ağaca sahip olması, onun daha geniş bilgiler gösterecek şekilde genişletilebileceğini veya sadece özet bilgiler gösterecek şekilde daraltılabileceğini gösterir. Protocol tree window, wireshark’ın paketi çözümleyerek oluşturduğu ağacı denetleme imkanı sunmaktadır. �imdi şekil 1.1’de seçilmiş paketi denetliyelim.

Örnekteki protokol katmanlarının açıklaması Tablo 1.4 dedir. Tablo 1.4 : Örnek Protokol Katmanları Katman Protocol Tanım Packet Meta Data Frame 83 bytes on wire, 83 bytes

Captured Data Link ( Layer 2/L2 ) Ethernet II Src Addr: 00:c0:4f:23:c5:95,

Dst Addr: 00:00:0c:35:0e:1c www.syngress.com Network ( Layer 3/L3 ) IP Src Addr: 192.168.0.15,

Dst Addr: 192.168.0.33

Transport ( Layer 4/L4) Transmission Src Port: 2124, Dst Port: bgp(179), Control Seq: 2593706850, Ack … Protocol (TCP)

Application Layer ( Layer 7/L7) BGP Her bir katmanın başında (+) işareti bulunmaktadır. Bu işaret : seçili protolol hakkında genişletilmiş bilgi sunulmasını sağlayan bir alt ağacın bulunduğunu göstermektedir. �ekil 1.2’de ilk önce BGP ağacı genişletilmiştir, daha sonra da “OPEN message” alt ağacı genişletilmiştir.

�ekil 1.2 : Genişletilmiş Protocol Tree Window

2.4 - Data View Window Data view window, paketin içeriğine göre farklı sayıda satır içerir. Satırlardaki ilk dört rakam, sekizlideki byte sayısını gösterir (sekizli; 8 bit, 1 byte veya 2 hexadecimal rakamdan oluşur). Satırdaki ilk sekizli, paketin başlangıç konumunu(offset) göstermektedir (bakınız : �ekil 1.3). Daha sonra 16 tane 2 karakterlik hexadecimal byte gösterilir. Son olarak da bu 16 karakterin, American Standard Code for Information Interchange (ASCII) tablosundaki karşılıkları gösterilir. Bütün byte’ların ASCII tablosunda karşılığı yoktur, tabloda karşılığı olmayan byte’lar (.) ile temsil edilir. �ekil 1.3 : Data View Window

Protokol Tree Window bölümünden bir yer seçildiği zaman, Data View Window bölümünde ona karşılık gelen yer belirginleşir. Bunun tersi de geçerlidir yani, Data View Window bölümünden bir yer seçildiği zaman, Protokol Tree Window bölümünde ona karşılık gelen yer de belirginleşir.�ekil 1.3’de Protocol Tree window bölümünden, BGP Message Type alanı seçilmiştir.Data view window bölümünde belirginleşen “0040” offset’i paketin, 0x40 hexadecimal’lik ya da 64 byte’lık olduğunu göstermektedir. Belirginleşen 9. Byte “01” değerini göstermektedir. Bu değerin ASCII tablosundaki karşılığını(şekildeki üçüncü yuvarlak) “.” İşareti bulunmaktadır. Bu işaret, 0x01’in ASCII’de karşılığının olmadığını göstermektedir. Hexadecimal byte veya ASCII karşılığında bir noktaya tıkladığınız zaman da, onun protocol Tree Window’daki karşılı ve Data View Window’daki devamı belirginleşcektir. �ekil 1.4’de 4.satırın başlangıcına tıklıyoruz(48. Byte,[0030 ya da hexadecimal 0x30]. Tıkladığımız 0030 değeri, 2 byte’lık bir alana sahip TCP penceresinin ilk byte’ı. Dolayısıyla, TCP Protocol Tree otomatik olarak genişliyor ve pencere alanı belirginleşiyor. Ayrıca, bir sonraki byte(78 hexadecimal) da belirginleşiyor çünkü TCP penceresi 2 byte’lık bir alana sahip. Bu gösterim şekli Protocol Tree window ve Data View Window’un birlikte kullanımı kolaylaştırıyor ve aralarındaki ilişkiyi net bir biçimde gösteriyor.

�EKİL 1.4 : Data View Window Byte Gösterimi

2.5 - Filter Bar Filter Bar summary window daki aldığımız paketleri filtre etmemize yarayan kısımdır. Filter Bar a herhangi bir filtre girdisi yaptığımızda summary window da sadece filtrelediğimiz paketler görünür olacaktır. Filter Bar da gördüğümüz filitre paketlerin durumlarını belirtir. Örneğin bir filtre yazalım. ( ip.src==10.15.162.1&&bgp ) Bu filtre source ip adresi olarak 10.15.162.1 ve aynı zamanda bgp protokolünden gelen dosyaları bize listeler.

�ekil 1.5

�ekil 1.5 te bgp filtresi uygulanmış. Bu filtreyi uygulamak için filter kısmına girmek istediğimiz stringi girip hemen yandaki apply düğmesine tıklamamız yeterli. Ama filtre yazarken unutmamamız gerek şeylerden biriyse filter bar ın case sensitive (büyük-küçük harfe duyarlı) olduğudur. Yani filter a bgp yerine BGP yazarsak filitre çalışmayacaktır. Bir diğer unutulmaması gereken şeyse filtre yazarken filter bar arka plan(background) rengidir. Eğer filtremiz doğru yazılmışsa yeşil, yanlış yazılmışsa kırmızı olur. Hiç bir filtre girişi olmamışsa beyaz olarak kalır. NOT:Filter Bar ye şil olmasına ra ğmen herhangi bir filtre i şlemi oluşmamışsa bunun muhtemel nedeni apply tu şuna basmayı unutmanızdır. E ğer filter bar kırmızıysa filtrenin yanlı ş oldu ğuna kanaat getirip bu filtreyi uygulamanıza izin vermeyecektir . Eğer eski yazdığınız filtrelere ulaşmak isterseniz hemen filter bar daki aşağı ok işaretine tıklamanız yeterli. Yazdığınız bütün eski filtrelere oradan ulaşabilirsiniz.(�ekil 1.6) Karşımıza çıkan listede istediğimiz filtrenin üzerine tıklayıp apply dememiz yeterli. 2.6 - Information Field (The Statusbar) Information Field yakaladığımız paketlerin isimlerinin, source ve destination adreslerinin, kullandığı protokollerin göründüğü alandır.

Genel olarak: sol taraf : bağlantı bilgilerini gösterir. orta taraf : güncel paket sayısını gösterir. sağ taraf : seçili olan bilginin profilini gösterir. The initial Statusbar

Yakalanmış paketlerin hiç birinin seçilmediği durumlarda Statusbar bu şekilde olabilir(örneğin: wireshark yeni başlatıldığında). The Statusbar with a loaded capture file

Yakalanmış paketlerden herhangi birisinin seçildiği durumlarda Statusbar bu şekilde olabilir. The Statusbar with a selected protocol field

"Packet Details" çerçevesinden herhangi bir protokol alanı seçildiği durumlarda Statusbar bu şekilde olabilir. The Statusbar with a display filter message

Eğer bir "display fitler" kullanmayı denerseniz ve de bir hata meydana gelirse Statusbar bu şekilde olabilir.

2.7 - Menü İçerikleri

Wireshark menu bardan ulaşabileceğimiz birçok fonksiyona sahiptir. Bu bölümde sistematik olarak menü bar keşfedilecektir. 2.7.1 - FILE(Dosya) Bu menü dosya açma, kaydetme,yazdırma gibi temel işlevleri yapabileceğimiz bölümdür. Tablo 1.4 te hangi işlemlerin yapıldığı tanımlanmıştır.

�ekil 1.7

Tablo 1.4 Menu Seçene ği Tanım Open Kayıtlı olan bir wireshark dosyasını açmamıza yarar Open Recent Son işlem gören wireshark dosyalarını listeler ve açmamıza yardımcı olur Merge İki tane ayrı dosyayı tek bir dosyaymış gibi gösterir Close Yakaladığımız dosyaları kapatır Save Kaydet Save As Kayıtlı olan bir dosyada yapılan değişiklikleri başka bir lokasyonda bağımsız olarak kaydetmemize olanak sağlar Fıle Set Dosyadaki bilgileri düzenlemek için bir altmenüdür Export Başka bir dosyayı export etmemizi sağlar Print Yazıcıdan çıktı alır Quit Wireshark uygulamasından çıkar Bazı Güzel Özellikler Bu kısımda menü seçeneğinde belirtilen maddeler arasından Birkaç işeyarar örnek seçilmiştir.

Print File>Print yolunu izlediğimizde aşağıdaki resimdeki gibi bir satırla karşılaşıyoruz. Burada tüm yakaladığımız paketleri yazdırabildiğimiz gibi seçili olan paketleri, filtreden geçen paketleri yazdırabiliyoruz. Ayrıca pekt boyutu belirtip o sayıda paketi de yazdırabiliyoruz. �ekil 1.8

Save Bu işlem dosyayı kaydetmemizi sağlar. Bu işlem yapılırken tüm paketler, seçili paketler, paket aralığı vb. �eyler girilerek yapılabilir. Örneğin sadece seçili paketleri kaydetmek için selected packet only kısmına tick koymanız yeterli.

�ekil 1.9

2.7.2 - Edit(Düzen) Edit menüsü kullanıcı tanımlı işlemleri ve paket arama gibi işlemleri yapmamızı sağlar. Edit menüsünün içeriği gösterilmiştir. �ekil 1.10

Tablo 1.5 Menü Saçene ği Tanım Find Packet(Paket Bul) Kullanılan filtreye, hex değere ya da stringe göre arama yapar ve bulduğu paketleri listeler Find Next(Sonrakini Bul) Aramayla eşleşen paketten bir sonraki paketi bulur Find Previus(Öncekini Bul) Aramayla eşleşen paketten bir önceki paketi bulur Mark Packet Summary Window da seçili olan paketi işaretler Find Next Mark İşaretli olan paketler arasında bir sonraki işaretli paketi bulur Find Previus Mark İşaretli olan paketler arasında bir önceki işaretli paketi bulur Preferences Kullanıcı tanımlı ayarları değiştirir Bazı Güzel Özellikler Bu kısımda edit seçeneğinde belirtilen maddeler arasından Birkaç işeyarar örnek seçilmiştir. Find Packet Edit>Find Packet yolunu izleyerek istediğimiz paketleri bulmamıza yardımcı olan bir ekranla karşı karşıya kalıyoruz.(�ekil 1.11) �ekil 1.11

Filter yazan ekranda filtrelerimizi girebiliyoruz. Bu filtreleme işlmeinde string, hex, ya da display filter (ip.src==196.123.21.1) girebiliyoruz. Sonra find a tıklayarak aradığımız paketleri bulabiliriz. Preferences Edit>Preferences yolunu izleyerek ulaştığımız preferences menüsü wireshark ile ilgili ayar yapmamızı sağlayan menüdür. Burada ekranın nasıl görüneceğini vb. Programla ilgili bütün ayarları yapmamız mümkündür. Ayrıca gerekli olan ayarları yaptıktan sonra apply

butonuna tıklamak suretiyle yeni ayarlarımız etkinleşir. 2.7.3 - View �ekil 1.12görülen view menüsü wireshark ana ekranımızın görüntüsünü düzenlememizi sağlayan menüdür. Toolbar lar eklenebilir, çıkarılabilir, paketlere özel renk ayarları yapılabilir. Tablo 1.6 de hangi öğelerin hangi işlere yaradığı açıklanmıştır. �ekil 1.12

Tablo 1.6 Menü Seçene ği Tanım Packet Details(Paket Detayları) Paketlerin detaylarını ASCII kodunda gösteren bölgeyi ekler ya da kaldırır Packet Bytes Data Window penceresini ekler ya da kaldırır Time Display Format Summary Window da zaman görünümün nasıl gözükeceğini ayarlamamızı sağlar Name Resolution ******************************** Colorize Packet List Paketlerin renk özelliğini açar ya da kapar Auto Screen in Live Capture Summary Windowun güncellenmesini açıp kapamaya yarar

Zoom In Font ve column size ları büyütmeye yarar Zoom Out Font ve column size ları küçültmeye yarar Normal Size Zoom In ve out la büyütüp küçülttüğümüz fontları default değere döndürmemizi sağlar Resize All Columns ************************************ Expand Subtrees Protocol tree deki seçili altdiziyi açar Expand All Protocol tree deki bütün altdizileri açar Collapse All Protocol tree deki bütün altdizileri kapatır Coloring Rules Paketler için Renk ayarlarını yapmamızı sağlar Show Packet in New Window Paket detaylarını yeni bir pencerede görmemizi sağlar Reload ********************************* Bazı Güzel Özellikler Bu kısımda view seçeneğinde belirtilen maddeler arasından Birkaç işeyarar örnek seçilmiştir. Show Packet in New Window Sumamry Window da önce bir paket seçilir ve View>Show Packet in New Window yolu izlenerek paketin özelliklerini yeni bir pencerede görüntüleyebiliriz.(�ekil 1.13) �ekil 1.13

1.7.4 - Go �ekil 1.14 deGo menüsünün görünümü ve tablo 1.7içeriği gösterilmiştir. �ekil 1.14

Tablo 1.7 Menü Saçene ği Tanım Back Bir önce ki pakete gider Forward Bir sonraki pakete gider Go to Packet Kullanıcının belirttiği frame number da olan pakete gider Go to Corresponding Packet **************************** First Packet İlk pakete gider Last Packet Son pakete gider 2.7.5 - Capture �ekil 1.15 de gösterilen capture menüsü, tablo 1.8 de açıklanmıştır. �ekil 1.15

Tablo 1.8 Menü Saçene ği Tanım Interfaces Programda paket yakalama işlemini başlattığımız yer Options Paket ayarlama menüsünü açar Start Paket yakalama işlemini başlatır Stop Paket yakalama işlemini durdurur Restart Durdurulan paket yakalama işlemine tekrar devam eder Capture Filters Yakalama filtresini ayarlar Capture Interfaces Capture>Interfaces yolunu izleyip internetin bağlı bulunduğu aygıt seçilir. Ardından start ya da capture(versiyonlar arasında değişiklik gösterir) düğmesine tıklayarak paket yakalamaya başlanır. Bu işlem main toolbar da bulunan kısyol tuşuyla da yapılabilir. �ekil 1.16

2.7.6 - Analyze Analyze menü şekil 1.17 da gösterilmiş, tablo 1.9 de ise açıklanmıştır �ekil 1.17

Tablo 1.9 Menü Saçene ği Tanım Display Filter Hazır filtreleri kullanmamızı sağlar Apply as Filter ********************************* Prepare a Filter ********************************* Firewall ACL Rules Summary penceresindeki seçili paket ve firewall standart temel alınarak çeşitli filtreler yaratır Enable Protocols ********************************* Decode As Paketleri belirli protokollere göre decode eder User Specified Decode *********************************

Follow TCP Stream Bir paket için paketle alakalı tüm TCP akışını gösterir Follow SSL Stream Bir paket için paketle alakalı tüm SSL akışını gösterir Expert Info Yakalanan paket açıklamasını göstrir(Duplicate, error vb.) Expert Info Composite ********************************* Bazı Güzel Özellikler Bu kısımda Analyze seçeneğinde belirtilen maddeler arasından Birkaç işe yarar örnek seçilmiştir. Edit Display Filter Bu pencere kullanıcılara filtre yazmada yardımcı olmak için oluşturulmuştur. �ekil 1.18 de bu pencerenin nasıl göründüğü gösterilmiştir. Eğer orada gördüğünüz kurallar yetersiz kalırsa expression butonuna tıklayarak istediğiniz filtreyi oluşturabilirsiniz. �ekil 1.18

İstediğimiz filtreyi girebilmek için field name kısmından kullanmak istediğimiz filtreyi, relation kısmından ilişkisini (eşit, büyük eşit vb.) daha sonra value kısmında değerini ya da range kısmında değer aralığını girip tamam tuşuna basarak kendi filtremizi oluşturabiliriz.

�ekil 1.19

Enable Protocols Analyze>Enable Protocols yolunu izleyerek şekil 1.20 de bulunan pencereyle karşı karşıya kalıyoruz. Bu pencere

�ekil 1.20

Decode As Yakaladığımız paketleri sihirli numaralar kullanarak bütün protokolleri decode etmemize yarar. Wireshark bize bir sihirli numarayı temel alarak zorunlu decode etmemizi sağlar. Bunu yapabilmek için aşağıdaki yol izlenir. Önce ekranın yukarı kısmında gördüğümüz transport, network vb. Layerlardan birini seçmeliyiz. Sonra sihirli numaramızı bilgi kutusundan sçmeliyiz.(�ekil 1.21)(source port,destination port vb.) �ekil 1.21

En sağ taraftan hangi protokole ait olan paketleri seçmek istiyorsak o protokolü seçip önce apply sonra tamam tuşuna basıyoruz ve işte hazırız. Bakalım doğru yapabildik mi diye kontrol etmek için Analyze>User Specified Decodes yolunu izleyebilirsiniz. Follow TCP Stream ve Follow SSL Stream Bu altmenüler seçili olan paket hakkında bütün TCP ya da SSL akışını ortaya çıkarır. Bu güzel özellik sayesinde bilgisayardan girilen şifreler, youtube dan video indirme linkleri vb. İşlemler yapılabilir.(Bu konulara daha sonra değinilecektir.) �imdi bir pakete ait TCP stream nasıl öğrenilir onu öğrenelim. Önce TCP streamını görmek istediğimiz paket seçilir. Daha sonra Analyze>TCP Stream yolu izlenerek paketin TCP akışına ulaşılabilir.(�ekil 1.22) �ekil 1.22

2.5.7 - Statics Statics menüsü network analizi için birçok aracı barındıran menüdür. �ekil 1.23 de Statics menüsü, Tablo 1.10 de açıklamaları görülmektedir. �ekil 1.23

Tablo 1.10 Menü Saçene ği Tanım Summary Seçili olan paketin ayrıntılarını verir Protocol Hierarchy Yakalanan paketlerin şu anki hierarchy sini gösterir Conversation Ethernet kartları temel bağlantıyı gösterir Endpoints Bütün endpointsler için temel bilgileri gösterir IO Graphs IO grafii çizer Conversation List Birkaç layer ve protokol hakkında temel bilgiler verir Endpoint List Birkaç layer ve protokol hakkında temel endpoint bilgileri verir Service Response Time ************************************** ANSI 3 farklı ANSI protokolünün dökümünü gösterir Fax T38 Analysis Fax T38 hakkında temel bilgileri gösterir GSM GSM ANSI protokolünün dökümünü gösterir

H.225 H.225 mesajlarının sayılarını gösterir MTP3 Temel MTP3 sayılarını gösterir RTP RTP protokolün akışını gösterir ve seçili RTP

protokolünün analizini yapar SCT SCTP protokolünün istatistiklerini sağlayan ve analiz

eden bir alt menü SIP SIP nin code volume lerine temel analizler getirir VoIP Calls VoIP çağrılarının bilgilerini gösterir WAP-WSP WAP ve WSP için temel analizler sağlar BOOTP-DHCP *********************************** Destinations Yakalanan paketlerdeki bütün konuşmaların hiyerarşik görünümlerini sağlar Flow Graph Prokol flow bilgileri için detaylı grafiksel bir yürütme gerçekleştirir http http istem bilgileri için bir altmenü oluşturur IP Adress Yakalanan paketlerdeki bütün IP konuşmaların hiyerarşik görünümlerini sağlar ISUP Messages Yakalanan paketler için belirli bir sayıda ISUP mesajı gösterir Multicast Streams ************************************ ONC-RPC Programs ONC ve RPC için bilgi açıklayıcı sağlar Packet Length Current capture ın boyutuna göre Paket boyutlarını belirler Port Type Yakalanan paketlerin kullandığı bütün portların hiyerarşik görünümlerini sağlar TCP Stream Graph Robust grafiklerini hesaplar ve gösterir Summary Summary penceresi Statics>Sumary yolu izlenerek açılabilir. Bu summary box yakalnan paketler hakkında bilgi verir. Protocol Hierarchy Statics>Protocol Hierarchy yolu izlenerek açılır.

�ekil 1.24

IO Graph IO graph yakaldığınız paketlerin grafik olarak gösterimini sağlayan bölümdür. �ekil 1.25 de görünümü görülmektedir.

�ekil 1.25

Yukarıdaki örneğimizde tcp ve msn paketlerinin grafiği gösterilmektedir. Programı ayarlarken ister filter kısmından hazır filterları, ister bizim yazdığımız filter lara göre filterlama işlemi yapabiliriz. Style yazan yere tıkladığımızda önümüze Line, Impulse, Fbar, Dot altmenüsünü çıkar. Burada grafiğimizin nasıl görünmesi gerektiğini seçebiliriz. Color yazan yerde grafikleri birbirinden ayırabilmek için renklendirme yapılabilmektedir. Bütün bu işlemleri yaptıktan sonra Graph n(1,2,3,4,5) e tıklayarak grafiği aktif olarak görebiliriz. Yukarıdaki örneğimizde msn trafiği kırmızı noktalarla, tcp trafiği ise line grafiği ile siyah olarak gösterilmiştir. 2.7.8 - Help Tablo 1.11da içeriği gösterilmiştir. Tablo 1.11 Menü Saçene ği Tanım Contents Wireshark online yardımı gösterir Supported Protocols Desteklenen protoklleri gösterir Manual Pages UNIX-Style kullanıcı sayfalarına ulaşan bir altmenüdür Wireshark Online Online wireshark kaynaklarına ulaşmak için bir

altmenüdür About Wireshark Wireshark ile ilgili bilgileri gösterir(Versiyon vb.

3 - Filtreleme Wireshark paket yakalama işlemine başladığında ön tanımlı olarak bütün paketleri göstermeye başlar. Bu kişisel bilgisayarlar için çok büyük sorunlar teşkil etmeyebilir ancak şirket bilgisayarları ve sistem uzmanları için çok büyük bir külfet demektir. Bir ev kullanıcısının dahi 2 saat içerisinde 1 milyon paket toplama işlemi yaptığı düşünülürse durumun ne kadar vahim olduğu anlaşılabilir. Wireshark programında bu gibi karışık durumlarla baş edebilmek için filter bar kullanılır. Filter barın görevi yazılan filtera göre paketleri ayırmasıdır. Bu bölümde filtreleme işleminin nasıl yapıldığı ve filtreleme gramer kurallarıyla birlikte en çok kullanılan birkaç filtre örneği verilecektir. �ekil 1.26 te filter bar gösterilmektedir. �ekil 1.26

3.1 - Filtreleme İşlemi

Wiresharkta filtreleme işlemi iki yolla yapılabilir. Filter barda filter ve expression kısmından hazır filtreleri kullanarak (3.2 – FILTER EXPRESSION bölümünde anlatılacak) ya da filtreleri filter bardaki boş alana yazarak yapılabilir. İlk olarak boş alanda filter yazım gramerleri konusuna eğileceğiz.

3.1.1 - Filtreleme Grameri Filterleme grameri filtrelerimizin çalışabilmesi için öncelikli bilinmesi gereken şeydir. Eğer filtremizin gramerini doğru yazamazsak filter bardaki filtre yazdığımız kısım kırmızı renge dönecek ve apply tuşuna bastığımızda bir uyarı mesajı alacağız. Bunun sonucunda da filtremiz çalışmayacaktır. Filter barda sadece protokollerin isimlerinin yazılıp paketlerimizi ayırabildiğimiz gibi bunun yanında daha spesifik filterlar yazarak örneğin mantıksal operatörlerle filtreleri birleştirerek de kullanabiliriz.(Tablo 1.12 de operatör-anlam ilişkileri verilmiştir) Tablo 1.12 Operatör Anlamı == Eşittir != Eşit değildir > Büyüktür >= Büyük veya eşittir < Küçüktür <= Küçük veya eşittir || Mantıksal Veya && Mantıksal Ve ( Sol Parantez ) Sağ Parantez 3.1.2 - En Çok Kullanılan Filtreler ve Birkaç Filtr eleme Örnekleri Filter kısmında filtreleme karakterleri, tip kısmında eşit gibi operatörler için karşılık olarak gelecek değerler, tanım kısmındaysa yapılan filter işlemleri görülmektedir. 1 - IP Filters Filter Tip Tanım ip.addr IPv4 adres Source(kaynak) veya Destination(hedef) adres ip.src IPv4 adres Source adres ip.dst IPv4 adres Destination adres ip.host Karakter Dizisi Source veya Destination host adres ip.src_host Karakter Dizisi Source host adres ip.dst_host Karakter Dizisi Destination host adres ip.hdr_len 8 bit integer Ip başlık uzunluğu ip.proto 8 bit integer Protokol ip.tos 8 bit integer Servis tipi ip.version 8 bit integer IP versiyonu

Kullanım Örnekleri IP adresi 123.123.1.123 olan bilgisayarın source veya destination olarak filter işlemi yapma ip.addr == 123.123.1.123 IP adresi 123.123.1.123 olmayan bilgisayarın source veya destination olarak filter işlemi yapma ip.addr != 123.123.1.123 Source IP adresi 123.123.1.123 olarak filter yapma ip.src == 123.123.1.123 Source IP adresi 123.123.1.123 den büyük veya eşit olan filter yapma ip.src >= 123.123.1.123 Destination IP adresi 123.123.1.123 olarak filter yapma ip.dst == 123.123.1.123 Destination IP adresi 123.123.1.123 den küçük veya eşit olan filter yapma ip.dst <= 123.123.1.123 IP versiyonu 3 ten büyük olan paketleri sıralayan filter yapma ip.version > 3 IP versiyonu 6 dan küçük olan paketleri sıralayan filter yapma ip.version < 6 2 - Ethernet Filters Filter Tip Tanım eth.addr 6 bit mac adres Source(kaynak) veya Destination(hedef) adres eth.src 6 bit mac adres Source adres eth.dst 6 bit mac adres Destination adres eth.len 16 bit integer Uzunluk eth.type 16 bit integer Tip Kullanım Örnekleri Ethernet adresi 00:1a:9d:7f:02:5d olan bilgisayarın source veya destination olarak filter işlemi yapma eth.addr == 00:1a:9d:7f:02:5d Ethernet adresi 00:1a:9d:7f:02:5d olmayan bilgisayarın source veya destination olarak filter işlemi yapma eth.addr != 123.123.1.123 Source adresi 00:1a:9d:7f:02:5d olarak filter yapma eth.src == 00:1a:9d:7f:02:5d

Source adresi 00:1a:9d:7f:02:5d den büyük veya eşit olan filter yapma eth.src >= 00:1a:9d:7f:02:5d Destination adresi 00:1a:9d:7f:02:5d olarak filter yapma eth.dst == 123.123.1.123 Destination IP adresi 00:1a:9d:7f:02:5d den küçük veya eşit olan filter yapma eth.dst <= 00:1a:9d:7f:02:5d 3 - TCP Filters Filter Tip Tanım tcp.ack 32 bit integer Acknowledgement numarası tcp.analysis.ack_lost_segment - Ack yapılmış kayıp paket tcp.analysis.duplicate_ack - Tekrar edilmiş ack tcp.analysis.duplicate_ack_num 32 bit integer Tekrar edilen ack numarası tcp.analysis.flags - TCP analiz bayrakları(uyarı) tcp.port 16 bit integer Source veya Destination port numarasına göre tcp.dstport 16 bit integer Destination port numarasına göre tcp.srcport 16 bit integer Source port numarasına göre 4 - UDP Filters Filter Tip Tanım udp.port 16 bit integer Source veya destination port numarasına göre udp.srcport 16 bit integer Source port numarasına göre udp.dstport 16 bit integer Destination port numarasına göre udp.length 16 bit integer Uzunluk 3.2 – FILTER EXPRESSION Artık wireshark’ın temel bileşenlerini öğrenmiş bulunmaktayız, ağdan bir şeyler yakalayabilir ve bunları yorumlayabiliriz. Fitler expression işlemini somut iki örnek üzerinden inceliycez. 3.2.1 – MSN KONU�MALARINI YAKALAMA Wireshark’ı başlatıp, kullandığımız ağı seçerek paketleri yakalamaya başlıyoruz. Daha sonra “msn” programını açarak, herhangi bir ileti yolluyoruz. İncelenen örnekte “BU BİR

DENEMEDİR” yazıp yollanıyor. Filter expression bölümünden “msnms” protokulünü seçiyoruz(önceki bölümler de anlatıldığı gibi, bu filtreleme işlemi yakalanan paketler arasından sadece “msn” paketlerinin gösterilmesini sağlayacak). Burada görülen paketlerin “Info” sütunun “MSG” ile başlaması; içinde ileti olduğunu göstermektedir. O satırı seçtikten sonra protocol tree window’dan “MSN MESSENGER SERVİCE” satırını genişletiyoruz. �ekil 1.27’de mesajın bulunduğu paket seçilmiştir ve mesaj gözükmektedir. �ekil 1.27 : örnek msn konuşması

Msn konuşmalarının yakalanmasının yanı sıra, msn ile gerçekleşen bütün olaylara(oturum açıp kapatma, durum değiştirme…) buradan ulaşılabilir. Örneğin görülen paketlerin “Info” sütunu “MSG mail adresi” formatında olanlar, size MSG den sonraki mail adresinden gelen iletileri gösterir yada “Info” sutunu “NLN NLN mail adresi” formatında olanlar, NLN den sonra gelen mail adresinin oturum açtığını gösterir… 3.2.2 – MAIL YAKALAMA İkinci olarak da gönderdiğimiz herhangi bir mailin içeriğine bakalım. Wireshark’ı başlatıp, kullandığımız ağı seçerek paketleri yakalamaya başlıyoruz. Daha sonra herhangi bir kişiye mail atıyoruz. Biz yine örnek olarak mailin başlığına “BU BİR DENEMEDİR”, içeriğine ise “BIL256 – COMMUNICATION NETWORKS” yazıp yolluyoruz. Wireshark’ın Filter expression bölümünden “http” protokolünü seçiyoruz. Burada yakalanan paketlerden, “Info” sütunun POST/MAIL ile başlayanı gönderilen maili içermektedir. O satırı seçtikten sonra protocol tree window’dan Multipart Media Encapsulation satırını seçerek, onu genişletiyoruz. Aşağıya doğru taradığımızda (2.4 - DATA VİEW WINDOW bölümünde anlatıldığı gibi, protocol tree window’da seçili olan bilginin karşılığı data view window’da belirginleşecektir), mailin bütün bilgilerine ulaşılabilir. �ekil 1.27’de mailin bulunduğu paket seçilmiştir ve mail gözükmektedir.

�ekil 1.27 Mail içeriğinin görüntülenmesi

Protokol tree window’dan aşağı doğru taramaya devam edilirse, mailin içeriğine de bakılabilir… Paketlerden, “Info” sütunu GET/MAIL ile başlayanları da gelen mailleri içermektedir. Aynı şekilde onların da içeriklerine bakılabilir. 3.3 - Bile şik Filter Yapımı İki ya da daha fazla filterın birleşmesine bileşik filter adı verilir. Bu filterlar '(', ')', '&&', '||' vb. İşaretlerle yazılabilirler. Parantezler filterları birbirinden ayırmak ve daha güzel görünüm vermek için kullanılmasının yanı sıra bazı filterlar için zorunlu olabilir. Filter Örnekleri IP source adresi 123.123.1.123 paketleri göstermek için ip.src == 123.123.1.123

IP source adresi 123.123.1.123 olmayan ve mac adresi 00:1a:9d:7f:02:5d den büyük bütün paketlei göstermek için ip.src != 123.123.1.123 && eth > 00:1a:9d:7f:02:5d IP source adresi 123.123.1.123, mac adresi 00:1a:9d:7f:02:5d den küçük veya tcp protokolünü 123 port numarasıyla kullanan bütün paketlei göstermek için (ip.src == 123.123.1.123)&&(eth < 00:1a:9d:7f:02:5d || tcp.port == 123) Bu örnekte parantez kullanmak zorunludur.