Yazar

2018-01-06 03:05:09

Wireshark'da Paket Süzme (Packet Sniffing) İşlemi


İnternet üzerindeki veriler kesintisiz bir şekilde iletilemez. Bu nedenle iletimin sağlanabilmesi için  veriler küçük parçalara bölünürek paket halini alır. Paket süzme, TCP/IP ağındaki giden ve gelen bu paketlerin takip edilmesini sağlar. Ethernet kartından (Network Interface Card - NIC) gelen ve giden tüm paketler paket süzmeyle yakalanır. Bu takip sonucunda gelen, giden port ve IP numaraları ve paketlerin içerikleriyle ilgili bilgiler elde edilir. Ek olarak ağ üzerinde giden ve gelen tüm bilgiler takip edilir. Bu yöntem kullanılarak bazı ataklar oluşturulabilir aynı zamanda da korunma yolları ile ilgili yöntemler geliştirilebilir. Protokollerle ilgili bilgiler takip edilerek protokollerin yapıları konusunda bilgi sağlanır. Ağdaki istatistikler raporlanır. Ek olarak sunucu istemci iletişimi ve ağ protokolü uygulamaları takip edilir. Ağdaki şüpheli ağ trafiği filtrelenebilir.
Paket süzme olarak kullanılan programlardan biri Wireshark’tır. Wireshark programı gelen ve giden paketleri ikilik düzenden farklı olarak kullanıcının anlayacağı şekle getirmesini sağlar. Yakalanan paketler protokole göre çeşitlilik gösterir. 

  1. Wireshark programı çalıştırılır. Sağ üstte arayüz listesi (interface list) bölümden hangi arayüzle (interface) çalışılmak isteniyorsa o seçilerek paket yakalama (capture) başlatılır.


     
  2. Programın üst bölümü özet penceresi (summary window) olarak adlandırılır ve tüm paketlerin listesi burada yer almaktadır. Kaynak (source) bölümü paketin gönderildiği yerdeki IP adresi, hedef (destination) ise paketin ulaştığı IP adresini içerir. Eğer paket 2. katmanda yakalanmışsa bu bölümde kaynak bölümünde giden makinanının fiziksel (mac)  adresi, hedef bölümünde ise gönderilen makinanın fiziksel adresi yer alır. Protokol (Protocol) kısmında paketin hangi protokole ait olduğunu bilgisini verir. Bilgi (info) kısmında ise ek bilgileri içerir. Aşağıdaki örnekteki 32 numaralı paket için kaynak IP’si 160.75.5.203, hedef IP’si 160.75.5.105, protokol çeşidi SSH (Secure Shell - Güvenli Kabuk) ve bu paketle ilgili bilgi bölümü bulunur. 



    Ekranda hangi paketin üstü tıklanırsa alttaki bölümde o paketin içeriği görüntülenir.
     
  3. Paketin içeriğini tam olarak görüntüleyen kısma protokol ağaç penceresi (protocol tree window) denir ve paketin içeriği bu bölümde detaylı olarak açıklanır. Bu pencerede ağaç yapısı kullanılmıştır. Bölümlerin yanlarındaki + işareti tıklanarak bilgileri elde edilir.
     
  4. İlk katman üstveri paketi (packet metadata) bölümüdür. Bu bölüm paketin tamamını gösterir ve genel bilgileri içerir (paket boyutu, paket sırası, paketteki kullanılan protokoller gibi.) Aşağıdaki örnekte yakalanan paket için boyut 1514 bayt, paketin numarası 324 ve paketin iletilme tarihinin 31 ağustos 2010 tarihinde olduğu görülmektedir. 


     
  5. İkinci katman veri bağlantı  (data link) katmanıdır ve protokol olarak etherneti kullanır. Kaynak ve hedef fiziksel adreslerini içerir. Aşağıdaki resimde kaynak fiziksel adres 18:a9:05:6c:b3:61 ve hedef fiziksel adres 00:14:22:25:86:2e olduğu görülmektedir.


     
  6. Bir sonraki katman ağ (network) katmanıdır ve protokol olarak IP yi kullanır. Bu kısımda kaynak ve hedef IP adresleri, versiyonu, başlık (header) boyutu gibi bilgiler bulunur. Bu bölümde IP kullanım versiyonu 4 , başlık boyutu 20 bayt, protokol olarak tcp, kaynak IP 160.75.5.203 ve hedef IP 160.75.5.105 olarak görülmektedir.


     
  7. Bir sonraki katman taşıma (tranport) katmanıdır. Gelen ve giden port numaraları bulunur. Aynı zamanda bu katmanda başlıkla ilgili bilgiler de içerir. Örnekteki paket için kaynak port 22, hedef port 3134 ve ek olarak taşıma katmamnına ait bilgiler yer alır.


     
  8. En son katman uygulama (aplication) katmanıdır. Protokolle ilgili genel bilgileri içerir. 

Ek olarak sadece istenilen paketlerin görüntülenmesi için sol üstteki filtre (filter) bölümü kullanılır. Kaynak ve hedef IP'ye veya protokol çeşidine göre filtreleme yapılabilir. Filtre bölümüne istenilen kısıtlama yazıldığında alt bölümde eşleşen sonuçlar kendiliğinden sıralanmaktadır.

 

  1. Alttaki resimde IP adresi 160.75.5.200 ile ilgili tüm paketleri listelemiştir.


     
  2. Resimde ARP'a (Address Resolution Protocol - Adres Çözümleme Protokolü) göre filtreleme yapılmıştır. İstenen protokol filtre bölümüne yazıldıktan sonra uygula (apply) tuşuna basılarak işlem gerçekleştirilir.


Etiketler : Network Security