Wireshark’tan En İyi Şekilde Yararlanmak için 5 Öldürücü Hile
Wireshark’ın uzak trafiği yakalamaktan yakalanan paketlere dayalı güvenlik duvarı kuralları oluşturmaya kadar pek çok hilesi var. Wireshark’ı bir profesyonel gibi kullanmak istiyorsanız, bazı daha gelişmiş ipuçları için okumaya devam edin.
Wireshark’ın temel kullanımını zaten ele aldık , bu nedenle bu güçlü ağ analiz aracına giriş için orijinal makalemizi okuduğunuzdan emin olun.
Ağ Adı Çözümlemesi
Paketleri yakalarken Wireshark’ın yalnızca IP adreslerini göstermesinden rahatsız olabilirsiniz. IP adreslerini kendiniz alan adlarına dönüştürebilirsiniz, ancak bu çok uygun değildir.
Bu özellik varsayılan olarak etkin olmasa da Wireshark bu IP adreslerini otomatik olarak alan adlarına çözebilir. Bu seçeneği etkinleştirdiğinizde, mümkün olduğunda IP adresleri yerine alan adlarını görürsünüz. Dezavantajı ise Wireshark’ın her bir alan adını aramak zorunda kalması ve yakalanan trafiği ek DNS istekleriyle kirletmesidir.
Bu ayarı, Düzenle -> Tercihler’den tercihler penceresini açarak, Ad Çözünürlüğü paneline tıklayarak ve ” Ağ Adı Çözünürlüğünü Etkinleştir ” onay kutusuna tıklayarak etkinleştirebilirsiniz.
Otomatik Olarak Yakalamaya Başlayın
Paketleri gecikmeden yakalamaya başlamak istiyorsanız, Wirshark’ın komut satırı argümanlarını kullanarak özel bir kısayol oluşturabilirsiniz. Wireshark’ın arayüzleri görüntüleme sırasına göre kullanmak istediğiniz ağ arayüzünün numarasını bilmeniz gerekir.
Wireshark’ın kısayolunun bir kopyasını oluşturun, sağ tıklayın, Özellikler penceresine gidin ve komut satırı argümanlarını değiştirin. Kısayolun sonuna -i # -k ekleyin ve # yerine kullanmak istediğiniz arabirimin numarasını yazın. -i seçeneği arayüzü belirtirken -k seçeneği Wireshark’a hemen yakalamaya başlamasını söyler.
Linux veya Windows olmayan başka bir işletim sistemi kullanıyorsanız, aşağıdaki komutla bir kısayol oluşturmanız veya hemen yakalamaya başlamak için bir terminalden çalıştırmanız yeterlidir:
wireshark -i # -k
Uzak Bilgisayarlardan Trafiği Yakalama
Wireshark varsayılan olarak sisteminizin yerel arabirimlerinden gelen trafiği yakalar, ancak bu her zaman yakalamak istediğiniz konum değildir. Örneğin, ağ üzerinde farklı bir konumdaki bir yönlendiriciden, sunucudan veya başka bir bilgisayardan gelen trafiği yakalamak isteyebilirsiniz. İşte burada Wireshark’ın uzaktan yakalama özelliği devreye giriyor. Bu özellik şu anda yalnızca Windows’ta mevcut — Wireshark’ın resmi belgeleri Linux kullanıcılarının bir SSH tüneli kullanmasını öneriyor .
İlk olarak, uzak sisteme WinPcap yüklemeniz gerekecek . WinPcap Wireshark ile birlikte gelir, bu nedenle uzaktaki sistemde Wireshark kuruluysa WinPCap’i kurmanız gerekmez.
Kurulduktan sonra, uzak bilgisayarda Hizmetler penceresini açın – Başlat’a tıklayın , Başlat menüsündeki arama kutusuna services.msc yazın ve Enter’a basın. Listede Uzak Paket Yakalama Protokolü hizmetini bulun ve başlatın. Bu hizmet varsayılan olarak devre dışıdır.
Wireshark’ta Yakalama Seçeneği bağlantısını tıklayın , ardından Arayüz kutusundan Uzak’ı seçin.
Uzak sistemin adresini ve port olarak 2002’yi girin. Bağlanmak için uzak sistemdeki 2002 bağlantı noktasına erişiminiz olmalıdır, bu nedenle bu bağlantı noktasını bir güvenlik duvarında açmanız gerekebilir.
Bağlandıktan sonra, Arayüz açılır kutusundan uzak sistemdeki bir arayüz seçebilirsiniz. Uzaktan yakalamayı başlatmak için arayüzü seçtikten sonra Başlat’a tıklayın .
Terminalde Wireshark (TShark)
Sisteminizde grafik arayüzü yoksa TShark komutu ile bir terminalden Wireshark’ı kullanabilirsiniz.
İlk önce tshark -D komutunu verin. Bu komut size ağ arayüzlerinizin numaralarını verecektir.
Sahip olduğunuzda, tshark -i # komutunu çalıştırın ve # yerine yakalamak istediğiniz arabirimin numarasını yazın.
TShark, Wireshark gibi davranır ve yakaladığı trafiği terminale yazdırır. Yakalamayı durdurmak istediğinizde Ctrl-C tuşlarını kullanın .
Paketleri terminale yazdırmak en kullanışlı davranış değildir. Trafiği daha ayrıntılı incelemek istiyorsak, TShark’ın daha sonra inceleyebileceğimiz bir dosyaya atmasını sağlayabiliriz. Trafiği bir dosyaya atmak yerine bu komutu kullanın:
tshark -i # -w dosya adı
TShark size paketleri yakalanırken göstermez, ancak onları yakalarken sayar. Yakalama dosyasını daha sonra açmak için Wireshark’ta Dosya -> Aç seçeneğini kullanabilirsiniz .
TShark’ın komut satırı seçenekleri hakkında daha fazla bilgi için kılavuz sayfasına bakın .
Güvenlik Duvarı ACL Kuralları Oluşturma
Güvenlik duvarından sorumlu bir ağ yöneticisiyseniz ve etrafı dürtmek için Wireshark kullanıyorsanız, gördüğünüz trafiğe göre harekete geçmek isteyebilirsiniz – belki de bazı şüpheli trafiği engellemek için. Wireshark’ın Güvenlik Duvarı ACL Kuralları aracı, güvenlik duvarınızda güvenlik duvarı kuralları oluşturmak için ihtiyaç duyacağınız komutları oluşturur.
İlk olarak, üzerine tıklayarak bir güvenlik duvarı kuralı oluşturmak istediğiniz paketi seçin. Bundan sonra Araçlar menüsünü tıklayın ve Güvenlik Duvarı ACL Kuralları öğesini seçin .
Güvenlik duvarı türünüzü seçmek için Ürün menüsünü kullanın . Wireshark, Cisco IOS’u, iptables dahil farklı Linux güvenlik duvarlarını ve Windows güvenlik duvarını destekler.
Sistemin MAC adresi, IP adresi, bağlantı noktası veya hem IP adresi hem de bağlantı noktası temelinde bir kural oluşturmak için Filtre kutusunu kullanabilirsiniz . Güvenlik duvarı ürününüze bağlı olarak daha az filtre seçeneği görebilirsiniz.
Araç, varsayılan olarak gelen trafiği reddeden bir kural oluşturur. Gelen veya Reddet onay kutularının işaretini kaldırarak kuralın davranışını değiştirebilirsiniz . Bir kural oluşturduktan sonra, kopyalamak için Kopyala düğmesini kullanın, ardından kuralı uygulamak için güvenlik duvarınızda çalıştırın.