Wireshark ile Ağ Suistimali Nasıl Belirlenir?
Wireshark, ağ analiz araçlarının İsviçre Çakısı’dır. İster ağınızda eşler arası trafik arıyor olun, ister yalnızca belirli bir IP adresinin hangi web sitelerine eriştiğini görmek isteyin, Wireshark sizin için çalışabilir.
Daha önce Wireshark’a (Paketleri Yakalamak, Filtrelemek ve İncelemek için Wireshark Nasıl Kullanılır?) makalemizle giriş yapmıştık ve bu gönderi önceki gönderilerimizin üzerine inşa edilmiştir. Ağ üzerinde yeterli ağ trafiği görebileceğiniz bir konumda çekim yapıyor olmanız gerektiğini unutmayın. Yerel iş istasyonunuzda bir yakalama yaparsanız, ağdaki trafiğin çoğunu görmezsiniz. Wireshark uzak bir konumdan yakalama yapabilir – bununla ilgili daha fazla bilgi için Wireshark hileleri yazımıza göz atın.
Eşler Arası Trafiği Tanımlama
Wireshark’ın protokol sütunu, her paketin protokol türünü görüntüler. Bir Wireshark yakalamasına bakıyorsanız, BitTorrent veya diğer eşler arası trafiğin içinde gizlendiğini görebilirsiniz.
İstatistikler menüsü altında bulunan Protokol Hiyerarşisi aracından ağınızda hangi protokollerin kullanıldığını görebilirsiniz .
Bu pencere, protokole göre ağ kullanımının bir dökümünü gösterir. Buradan ağdaki paketlerin yaklaşık yüzde 5’inin BitTorrent paketleri olduğunu görebiliriz. Bu kulağa pek hoş gelmiyor ama BitTorrent ayrıca UDP paketleri kullanıyor. UDP Veri paketleri olarak sınıflandırılan paketlerin yaklaşık yüzde 25’i burada da BitTorrent trafiğidir.
Protokole sağ tıklayıp filtre olarak uygulayarak sadece BitTorrent paketlerini görebiliriz. Aynısını Gnutella, eDonkey veya Soulseek gibi mevcut olabilecek diğer eşler arası trafik türleri için de yapabilirsiniz.
Filtre Uygula seçeneğini kullanmak, “ bittorrent” filtresini uygular. ” Sağ tıklama menüsünü atlayabilir ve adını doğrudan Filtre kutusuna yazarak bir protokolün trafiğini görüntüleyebilirsiniz.
Filtrelenen trafikten 192.168.1.64 yerel IP adresinin BitTorrent kullandığını görebiliriz.
BitTorrent kullanarak tüm IP adreslerini görüntülemek için İstatistikler menüsünden Endpoints’i seçebiliriz.
IPv4 sekmesine tıklayın ve “ Görüntüleme filtresini sınırla ” onay kutusunu etkinleştirin . BitTorrent trafiğiyle ilişkili hem uzak hem de yerel IP adreslerini göreceksiniz. Yerel IP adresleri listenin başında görünmelidir.
Wireshark’ın desteklediği farklı protokol türlerini ve filtre adlarını görmek istiyorsanız , Analiz menüsü altında Etkinleştirilmiş Protokoller’i seçin.
Etkin Protokoller penceresinde aramak için bir protokol yazmaya başlayabilirsiniz.
Web Sitesi Erişimini İzleme
Artık trafiği protokole göre nasıl ayıracağımızı bildiğimize göre, yalnızca HTTP trafiğini görmek için Filtre kutusuna “ http ” yazabiliriz. “ Ağ adı çözümlemesini etkinleştir” seçeneği işaretlendiğinde, ağ üzerinde erişilen web sitelerinin adlarını göreceğiz.
Bir kez daha İstatistikler menüsündeki Endpoints seçeneğini kullanabiliriz.
IPv4 sekmesine tıklayın ve “ Filtre görüntülemeyi sınırla ” onay kutusunu tekrar etkinleştirin . Ayrıca “ Ad çözümlemesi ” onay kutusunun etkinleştirildiğinden emin olmalısınız, aksi takdirde yalnızca IP adreslerini görürsünüz.
Buradan, erişilen web sitelerini görebiliriz. Diğer web sitelerinde kullanılan komut dosyalarını barındıran reklam ağları ve üçüncü taraf web siteleri de listede görünecektir.
Tek bir IP adresinin neye göz attığını görmek için bunu belirli bir IP adresine bölmek istiyorsak, bunu da yapabiliriz. Belirli bir IP adresiyle ilişkili HTTP trafiğini görmek için birleşik filtre http ve ip.addr == [IP adresi] kullanın.
Uç Noktalar iletişim kutusunu tekrar açın ve o belirli IP adresi tarafından erişilen web sitelerinin bir listesini göreceksiniz.
Bunların hepsi Wireshark ile yapabileceklerinizin yüzeyini çizmekten başka bir şey değil. Burada bulacağınız trafik türlerini kolayca engellemek için çok daha gelişmiş filtreler oluşturabilir veya Wireshark hileleri gönderimizdeki Güvenlik Duvarı ACL Kuralları aracını kullanabilirsiniz.