Wireshark

Wireshark, güçlü ve çok yönlü bir paket analiz aracıdr.Bu araç sayesinde, ağ sorunlarını analiz edebilir ve  bu sorunları giderebiliriz.

Özellikleri

  • Kullanıcı dostu,
  • Ücretsiz kullanılabilmesi,
  • Geniş bir protokol destegi,
  • Birçok işletim sistemi destegi,
  • İstediginiz kriterlere göre peket filtreleme,
  • İstatistik oluşturabilme

Kullanımı için gerekli sistem gereksinimleri

  • 400 Mhz işlemci,
  • 60 MB boş alan
  • Promiscous destekli bir ağ kartı,
  • Wincap driver

WinPcap

Ağ trafiginin anlık olarak izlenmesi ve paketelerin işlenmesi için asıl işlemi yapan kısımdır.

İlk Etkileşim

Proğramı root yetkileri ile ilk çalıştırdığımız da karşımıza gelen arayüzde daha önce analiz amacı ile açılmış dosyalar, yardım amaçlı kullanabilecek linkler ağ kartları ve trafik durumları gelmektedir.



Dikkat etmemiz gereken durum,wireshark aracının root hakları ile çalıştırılasıdır.

Yakalanan Paketleri Kaydetmek

Wireshark aracı ile daha önce kaydettigimiz ağ trafiklerinden istedigimiz paket aralığını veya herhangi bir paketi harici olarak kaydetmek istersek, kulanabilecegimiz alternatif 4 yöntem bulunmaktadır.Bular:

  • Bunlar belirli aralıklarla paketleri kaydetmek,
  • Seçilen tek bir paketi kaydetmek,
  • Seçtigimiz birden fazla paketi kaydetmek,
  • İstedigimiz paket numarasına sahip paketleri kaydetmek,
Birkaç tane paket seçip bunları kaydetmek istedigimizde "mark" (işaretleme) özelliginden faydalanabiliriz.Bunu yapabilmek için de seçmek istediginiz pakete sağ tıklayıp "Mark" diyoruz.



Wireshark İçin Adres Çözümlemenin Aktif Edilmesi

Daha iyi bir analiz için, verilerin önümüzde açık bir şekilde durması gerekir.Wireshark aracının MAC adreslerinden üretici firmayı görmek için ARP çözümlemesini aktiifleştirecegiz.

Menüden View->Name Resolution kısımından gerkli kısım işaretlenir.




Bu kısmı aktifleştirdigimiz zaman, wireshark manuf dosyasında yer alan OUI vereitabanı sayesinde çözümlemeleri gerçekleştirmektedir.Bu dosya, wireshark dizinin altında bulunmaktadır.



Özel Bir Kolon Tanımlamak

Bu işlemin amacı, kablosuz ağları analiz ederken,SSID bilgisini bir kolon içinde görmektedir.Bu sayede kablosuz aglar üzerinde analiz yapmak daha da kolaylaşır.

İlk olarak edit->preferences yolunu takip ediyoruz.



Daha sonra açılan pencerede sol tarafta bulunan menüde colomns tıklayıp '+' tuşuna basıyoruz.




Bu işlemden sonra, açılan pencerede kolon için aşagıdaki alanlar bizim için önemli.
  1. Title alanı:Bu alanda kolon ismi yazacaktır.Biz buraya SSID yazacağız.
  2. Type:Burası kolonda gösterilecek veri ile alakalıdır.urası için,eger Custom degerini seçersek diger bir alan olan "Fields" kısmına bir filtre girmemiz gerekecektir.
  3. Fields:Bu alan için wireshark aracının destekledigi filtreler kullanılabilir.Bu sayede kolonda gösterilecek verileri özelleştirmiş oluruz.
Kolon için gerekli "Type" alanı "Custom" olarak seçilir.


Fields alanına kullanılacak filtreler tanımlanır.



Özel Bir Filtre Tanımlamak

Wireshark aracı ile analiz yaparken, hazır filtreler kullanabilirsiniz ya da o an trafik üzerinde bir deger için filtre üretebilirsiniz.Bu durum işinizi kolaylaştırır.









































Yorumlar

  1. d8 Ağustos 2017 09:42

    Çok güzel, amaca hizmet eden sade anlaşılır bir programmış açıkçası. Deneyimleyeceğim.

    YanıtlaSil

Yorum Gönder

Bu blogdaki popüler yayınlar

Switclerde VLAN Yapılandırması

Resim
6 marka switch vlan yapılandırılması ve konfigrasyonlarının nasıl yapıldığını inceliyelim. Öncelikle kullandığınız switch arayüzüne girmek istiyorsak putty configuration adlı yazılımı indirmemiz lazım.VLAN nedir birazcık ondan bahsedelim. VLAN Her VLAN kendisi ile ilgili yayınları(brodcast) alacağından, yayın trafiği azaltılarak bant genişliği artırılmış olur. Brodcast yayın tarfigi artırdığı gibi her paket tüm ağdaki cihazlara  gönderildiğinden güvenlik açısından sıkıntı doğurur. VLAN bunun içinde bir çözümdür. VLANların başka bir faydası da anahtarlar üzerinde fiziksel konumu neresi olursa olsun bir kullanıcıyı istediğimiz VLANa atama esnekliğine sahip olmasıdır. İki çeşit VLAN bulunmaktadır . Statik VLAN’lar: Ağ yönetici tarafından tanımlanarak, switch portları üzerine atanır. Switch’in portu yönetici tarafından tekrar değiştirilmediği sürece o VLAN’a aittir. Bu yöntem ile network yönetimi ve izlemesi kolaylaşır. Dinamik VLAN’lar: Dinamik VLAN’da switch portuna bağlı
Devamı

FTK Imager

Resim
  FTK Imager bu gereksinimleri karşılayan ve dijital delil dosyaları üzerinde ön inceleme yapıp bu dosyaların  forensically sound  imajını almaya imkan tanıyan, AccessData firması tarafından geliştirilip ücretsiz şekilde kullanıma sunulan bir yazılımdır. Bu yazılım ile lokal sabit sürücülerin, USB hafıza kartlarının, Zip sürücülerin, CD ve DVD'lerin, dizinleri yada tek bir dosyanın imajını alabilir. Aynı zamanda FTK Imager bu ortamlardaki dijital delillerin imajını almadan önizlenmesine de imkan tanır. FTK Imager'ın bir özelliği de başka bir  adli bilişim yazılımı  kullanılarak alınan disk imajları üzerinde temel manada analiz yapılmasına imkan tanımasıdır. Aynı zamanda ilgili disk imaj dosyalarını Read-only olarak mount edip, Windows Explorer üzerinden bu imajların bir sabit disk sürücüsüymüş gibi işlem görmesine de ortam hazırlar ve imaj dosyaları içinden dizin yada dosyaların dışarı kopyalanmasına imkan tanır. Her ne kadar silinmiş dosyaları kurtarma yeteneğine sahip olma
Devamı