Linux

Wireshark ile Ağ Suistimali Nasıl Belirlenir?

Wireshark ile Ag Suistimali Nasil Belirlenir
Share

Wireshark, ağ analiz araçlarının İsviçre Çakısı’dır. İster ağınızda eşler arası trafik arıyor olun, ister yalnızca belirli bir IP adresinin hangi web sitelerine eriştiğini görmek isteyin, Wireshark sizin için çalışabilir.

Daha önce Wireshark’a (Paketleri Yakalamak, Filtrelemek ve İncelemek için Wireshark Nasıl Kullanılır?) makalemizle giriş yapmıştık ve bu gönderi önceki gönderilerimizin üzerine inşa edilmiştir. Ağ üzerinde yeterli ağ trafiği görebileceğiniz bir konumda çekim yapıyor olmanız gerektiğini unutmayın. Yerel iş istasyonunuzda bir yakalama yaparsanız, ağdaki trafiğin çoğunu görmezsiniz. Wireshark uzak bir konumdan yakalama yapabilir – bununla ilgili daha fazla bilgi için Wireshark hileleri yazımıza göz atın.

Eşler Arası Trafiği Tanımlama

Wireshark’ın protokol sütunu, her paketin protokol türünü görüntüler. Bir Wireshark yakalamasına bakıyorsanız, BitTorrent veya diğer eşler arası trafiğin içinde gizlendiğini görebilirsiniz.

Wireshark ile Ag Suistimali Nasil Belirlenir1

İstatistikler  menüsü altında bulunan Protokol Hiyerarşisi aracından ağınızda hangi protokollerin kullanıldığını görebilirsiniz .

Wireshark ile Ag Suistimali Nasil Belirlenir2

Bu pencere, protokole göre ağ kullanımının bir dökümünü gösterir. Buradan ağdaki paketlerin yaklaşık yüzde 5’inin BitTorrent paketleri olduğunu görebiliriz. Bu kulağa pek hoş gelmiyor ama BitTorrent ayrıca UDP paketleri kullanıyor. UDP Veri paketleri olarak sınıflandırılan paketlerin yaklaşık yüzde 25’i burada da BitTorrent trafiğidir.

Wireshark ile Ag Suistimali Nasil Belirlenir3

Protokole sağ tıklayıp filtre olarak uygulayarak sadece BitTorrent paketlerini görebiliriz. Aynısını Gnutella, eDonkey veya Soulseek gibi mevcut olabilecek diğer eşler arası trafik türleri için de yapabilirsiniz.

Wireshark ile Ag Suistimali Nasil Belirlenir4

Filtre Uygula seçeneğini kullanmak, “ bittorrent” filtresini uygular. ” Sağ tıklama menüsünü atlayabilir ve adını doğrudan Filtre kutusuna yazarak bir protokolün trafiğini görüntüleyebilirsiniz.

Filtrelenen trafikten 192.168.1.64 yerel IP adresinin BitTorrent kullandığını görebiliriz.

Wireshark ile Ag Suistimali Nasil Belirlenir5

BitTorrent kullanarak tüm IP adreslerini görüntülemek için İstatistikler menüsünden Endpoints’i seçebiliriz.

Wireshark ile Ag Suistimali Nasil Belirlenir6

IPv4 sekmesine tıklayın ve “ Görüntüleme filtresini sınırla ” onay kutusunu etkinleştirin . BitTorrent trafiğiyle ilişkili hem uzak hem de yerel IP adreslerini göreceksiniz. Yerel IP adresleri listenin başında görünmelidir.

Wireshark ile Ag Suistimali Nasil Belirlenir7

Wireshark’ın desteklediği farklı protokol türlerini ve filtre adlarını görmek istiyorsanız , Analiz menüsü altında Etkinleştirilmiş Protokoller’i seçin.

Wireshark ile Ag Suistimali Nasil Belirlenir8

Etkin Protokoller penceresinde aramak için bir protokol yazmaya başlayabilirsiniz.

Wireshark ile Ag Suistimali Nasil Belirlenir9

Web Sitesi Erişimini İzleme

Artık trafiği protokole göre nasıl ayıracağımızı bildiğimize göre, yalnızca HTTP trafiğini görmek için Filtre kutusuna “ http ” yazabiliriz. “ Ağ adı çözümlemesini etkinleştir” seçeneği işaretlendiğinde, ağ üzerinde erişilen web sitelerinin adlarını göreceğiz.

Wireshark ile Ag Suistimali Nasil Belirlenir10

Bir kez daha İstatistikler menüsündeki Endpoints seçeneğini kullanabiliriz.

Wireshark ile Ag Suistimali Nasil Belirlenir11

IPv4 sekmesine tıklayın ve “ Filtre görüntülemeyi sınırla ” onay kutusunu tekrar etkinleştirin . Ayrıca “ Ad çözümlemesi ” onay kutusunun etkinleştirildiğinden emin olmalısınız, aksi takdirde yalnızca IP adreslerini görürsünüz.

Buradan, erişilen web sitelerini görebiliriz. Diğer web sitelerinde kullanılan komut dosyalarını barındıran reklam ağları ve üçüncü taraf web siteleri de listede görünecektir.

Wireshark ile Ag Suistimali Nasil Belirlenir12

Tek bir IP adresinin neye göz attığını görmek için bunu belirli bir IP adresine bölmek istiyorsak, bunu da yapabiliriz. Belirli bir IP adresiyle ilişkili HTTP trafiğini görmek için birleşik filtre http ve ip.addr == [IP adresi] kullanın.

Wireshark ile Ag Suistimali Nasil Belirlenir13

Uç Noktalar iletişim kutusunu tekrar açın ve o belirli IP adresi tarafından erişilen web sitelerinin bir listesini göreceksiniz.

Wireshark ile Ag Suistimali Nasil Belirlenir14

Bunların hepsi Wireshark ile yapabileceklerinizin yüzeyini çizmekten başka bir şey değil. Burada bulacağınız trafik türlerini kolayca engellemek için çok daha gelişmiş filtreler oluşturabilir veya  Wireshark hileleri gönderimizdeki Güvenlik Duvarı ACL Kuralları aracını kullanabilirsiniz.