Bilgi departmanlarında çalışanlar için sniffer programları vazgeçilmezdir, her daim ellerinin altında bulunurlar. Bu yazımda da uzun zamandır kullandığım Wireshark adlı ağ trafiği izleyicisini tanıtmak istedim.
Wireshark ethernet veya wi-fi ağlarındaki trafiği dinlemek için geliştirilmiş bir yazılım. Kısaca ağ trafiğini dinlemekten bahsedelim ve biraz ön bilgi verelim;
Bir ağda her bilgisayar kendi paketleriyle ilgilenir, başka bilgisayarlara giden paketlere bulaşmaz. Çünkü bu hem gizliliği korur hem de gecikmeyi azaltır. Çünkü bilgisayarımız sürekli paketleri izlemeye çalışırsa gecikme(latency) yaşanır. Ama ağ yöneticisinin her bilgisayara giden paketleri incelemesi gerekir ki ağın güvenliğini ve stabilitesini koruyabilsin. İşte burada devreye sniffer adını verdiğimiz yazılımlar giriyor. Bu yazılımla bilgisayarımıza diyoruz ki; artık sadece kendi paketlerinle değil diğer paketlerle de ilgilen. Böylece ağdaki diğer bilgisayarların ne yaptıklarından da haberdar olabiliyoruz. Tabi bunları kötü amaçlar için kullananlar da var orası ayrı.(bkz: MITM)
Neden Wireshark?
Çünkü Windows, Linux ve Unix sistemlerde çalışabiliyor olması onu popüler yapıyor. Ayrıca detaylı paket izlemesi ise ayrı bir güzelliği.
Şimdi gelelim kullanmaya, ama önce indirmemiz gerek tabii. İndir yazısına tıklayarak Wireshark'ı indirelim.
(Ubuntu kullananlar direk terminale aşağıdaki komutu yazarak indirebilir)
sudo apt-get install wireshark
Kurarken Windows kullananlara WinPcap yüklenilsin mi? Diye sorulacaktır, evet deyin. WinPcap ise Windows Packet Capture(Paket Yakalama) kütüphanesidir.
Kurduktan sonra böyle bir ekran geliyor;
Daha sonra soldan dinlemek istediğimiz bağlantıyı seçip araç menüsünden "Start a new live capture" seçeneğini seçelim. Böyle bir ekran gelecek karşımıza.
Burada bütün ağ trafiği var, üstten istediğimiz şekilde filtreleyebiliriz. http veya icmp gibi. Şimdi icmp ile bir test yapalım. Komut satırını açıp ceng.anadolu.edu.tr adresine ping yollayacağım ve Wireshark ile gelen ve giden paketleri göreceğim. Ping sonuçları;
Ve icmp filtrelenmiş hali ile Wireshark;
Olası Problemler
Eğer npf sürücü hatası çıkarsa, komut satırını veya power shell'i yönetici olarak açın. Daha sonra aşığıdaki komutu yazın
sc qc npf
Normalde çıkan sonuç şöyle olmalı
C:\Windows\system32>sc qc npf
[SC] QueryServiceConfig SUCCESS
SERVICE_NAME: npf
TYPE : 1 KERNEL_DRIVER
START_TYPE : 2 AUTO_START
ERROR_CONTROL : 1 NORMAL
BINARY_PATH_NAME : system32\drivers\npf.sys
LOAD_ORDER_GROUP :
TAG : 0
DISPLAY_NAME : NetGroup Packet Filter Driver
DEPENDENCIES :
SERVICE_START_NAME :
Eğer böyle çıkmazsa sürücü çalışmıyor demektir. O zaman komut satırına aşağıdaki komutu yazıyoruz.
sc start npf
Daha sonra ise
sc config npf start=auto
yazarak işlemi tamamlıyoruz. Artık sorun çözülmüş oldu.
İyi kullanımlar.
ağda kim belli zaman aralığında(mesela bugün) kim ne kadar indirme yapmış bunu izleyebilir miyiz wireşark la yada başka bir programla
YanıtlaSilguzel bir yazi olmus :)
YanıtlaSilAndroid sürümü için ??
YanıtlaSilAndroid sürümü için ??
YanıtlaSil