Paket/Protokol Analizi Amaçlı Wireshark Kullanımı

BGA Security Wiki sitesinden
Şuraya atla: kullan, ara

Amaç:

Paket protokol analizinde Wireshark aracının kullanılması ve çıktıların detaylı olarak incelenmesi.

Wireshark eski adı Etheral olan açık kaynak kodlu bir sniffer aracıdır. İki tip filtre bulunur;

Capture Filter: Yakalanacak paketlerin türü portu protokol bilgisi önceden belirtilerek hedef odaklı bir paket analizi yapılabilir.

Wireshark.png


Display Filter: Yakalanan paketlerin içerisinden istenilen özelliklerdeki paketlerin ayıklanması kısmında kullanılabilir.

Wireshark2.png


Adımlar:

1. Adım: İzlenen trafik içerisinde kelime arama;

Wireshark3.png


2. Adım: Protokol detaylarının gösterilmesi, detaylı bir şekilde protokol detayları gösterilir. Özellikle DDOS saldırılarında saldırı tipini belirlemek için kullanılır.

Wireshark4.png


3. Adım: TCP oturumlarında paket birleştirme, HTTP bağlantısındaki tüm giden gelen paketlerin birleştirilip session hakkında bilgi verilmesi.

Birleştirilmek istenilen protokol paketi üzerinde sağ tıklanır ve “Follow TCP Stream” seçeneği seçilir.

Wireshark5.png


Birleştirilen paketin detayları aşağıda görüldüğü gibi olacaktır. HTTP içerisinden taşınan veri bilgisi;

Wireshark6.png


4. Adım: En fazla yapılan HTTP isteğinin gösterilmesi;

Wireshark7.png


DDOS saldırı (HTTP Flood) tipi analizinde oldukça yararlı bir özellik olarak kullanılabilir.