"Vatanını en çok seven, görevini en iyi yapandır."

  • Yeni üyeler Neler Yapmalı, Nasıl Başlamalı? Detaylar için tıklayın
    Rütbeler ve genel görevlendirme konuları hakkında bilgi almak için tıklayın
    Uzmanlık alanları hakkında bildirge için tıklayın
    Güncel forum kuralları için tıklayın

TShark Nedir?

Ryuzaki

SM Tim Lideri
Korgeneral
Katılım
30 Kas 2016
Mesajlar
2,293
Uzmanlık Alanları:
Bug Research
Güvenlik Zaafiyetleri
Sosyal Mühendislik
Warez
Görev/Org:
ust_yonetim

Açıkça görebileceğimiz üzere üçlü el sıkışma uyguluyor, sonrasında da ICMP istek ve yanıt işlemini başlatıyor.

Promiscuous Modunda Arayüz Yakalama

Ağ iletişiminde promiscuous modu, tshark'ın kareleri karışık moda geçirmek yerine aldığı tüm trafiği CPU'ya geçirmesine neden olan bir arayüz denetleyicisi olarak kullanılır.

Bu modu kullanırken, ifconfig yardımı ile yapılandırmamız gerekir ki bizim için tüm ağın veri paketlerini yakalayabilsin. Bu yüzden, bir siteyi pingleyip veri paketlerini yakalayarak başlayacağız.


Şimdi de aşağıdaki kodlarla promiscuous modu yapılandıralım ve paketleri yakalayalım:


Kod:
Please, Giriş yap or Kayıt ol to view codes content!



Paket Sayısı Yakalama

Tshark'ın daha verimli çalışmamızı sağlayan harika bir özelliği vardır, biz bu özelliklere çeşitli parametreler kullanarak erişebiliriz. Misal bahsettiğim parametrelerden biri de "-c". Bu bize gereken verilerin tam sayısını yakalamamıza yardımcı olur ve sadece bunu gösterir. Bu seçenek çıktıda bir nevi arıtma yapar ve tam ihtiyacımız buysa sadece bunu göstertir.


Kod:
Please, Giriş yap or Kayıt ol to view codes content!


Yukarıdaki resimde de görebileceğimiz üzere 10'dan sonra saymayı durdurdu.

Bir Dosyada Okuma ve Yazma

Tshark'ta .pcap dosyasını okuyabilir ve yazabiliriz de. Yazma seçeneği (-w) bize standart bir .pcap dosyasına raw paketi veri çıktısını yazdırmamıza olanak sağlarken okuma seçeneği ise (-r) bize istediğimiz biçimde raw çıktısı veri paketlerini okumamıza yardımcı oluyor. Aşağıdaki kodla .pcap dosyasına paket yazdırabilirsiniz:


Kod:
Please, Giriş yap or Kayıt ol to view codes content!

Ve söz konusu .pcap dosyasını aşağıdaki kodla okuyabilirsiniz:


Kod:
Please, Giriş yap or Kayıt ol to view codes content!



Ayrıntılı Mod

Ayrıntılı mod, bize trafikte paketin detaylarını ek bilgilerle harbi detaylı şekilde sunuyor. Ayrıntılı modu kullanarak her bir paketin içindeki bilgileri görebiliriz. Bu seçeneği kullanmamız için gereken parametre -V.


Kod:
Please, Giriş yap or Kayıt ol to view codes content!
Çıktı Düzeni

Kolaylık açısından tshark'ta, şifresi kırılmış paketleri çeşitli düzenlerde kaydetmemize yarayan -T seçeneği mevcut. Çıktıyı dilediğiniz şekilde alabiliyorsunuz. Tüm seçenekleri görmek için aşağıdaki kod gerekli:


Kod:
Please, Giriş yap or Kayıt ol to view codes content!
PDML

PDML açılımı Packet Details Mark-Up Language, Türkçesi Paket Detaylı İşaretleme Dili. Bu, XML tabanlı bir çıktıdır. Bunun kullanımı genelde ayrıntılı modda olur ki yukarıda da görebilirsiniz. Bu düzende çıktı alabilmek için gerekli olan kod:


Kod:
Please, Giriş yap or Kayıt ol to view codes content!
PS

PS açılımı PostScript. Bu çıktıda tek tek satırda aşağı doğru iner bilgiler ve anlaması da gayet basittir. Kullanım için gereken kod:


Kod:
Please, Giriş yap or Kayıt ol to view codes content!
PSML

PSML açılımı Packet Summary Mark-Up Language, Türkçesi Paket Detaysız İşaretleme Dili. Bu da PDML gibi XML tabanlı bir düzendir ama ondan farkı paketin detaylandırılan bilgilerini kısa kesmesi özetlemesi. Bu düzen için:


Kod:
Please, Giriş yap or Kayıt ol to view codes content!
JSON

JSON açılımı Java-Script Object Notation, Türkçesi Java-Script Nesne Gösterimi. Okunabilir bir formda açık olan standart dosya düzenidir. Kullanmak için gereken kod:


Kod:
Please, Giriş yap or Kayıt ol to view codes content!
EK

EK ise JSON'ın yeni satır olmayan hali. Kullanım için:


Kod:
Please, Giriş yap or Kayıt ol to view codes content!
Text

Adı üstünde metin hali, her bir paket birer satırlarda veriliyor. Böyle çıktı alabilmek için:


Kod:
Please, Giriş yap or Kayıt ol to view codes content!
Tabs

Bu da text'e çok benziyor, tek farkı ASCII yatay sekmeler (oxo9) halinde. Denemek için:

Kod:
Please, Giriş yap or Kayıt ol to view codes content!
Şifrelenmiş Paketler ve Şifresi Kırılmış Paketler Arasındaki Farklar

.pcap dosyasında canlı veri paketlerini yazmaya çalıştığımızda tüm o veri paketlerini daha küçük parçalara sıkıştırırız. Bu veri paketlerini daha iyi anlayabilmek için şifresini kırmamız lazım, ki bu da dosyanın ilk andaki boyutu ile sonrasındaki boyutu arasındaki farka götürür. Bunu kontrol etmek için:


Kod:
Please, Giriş yap or Kayıt ol to view codes content!
Bahsettiğimiz gibi bu dosyalar arasında bir hayli fark var, işte bu yüzden bu bilgiyi çıkartmak için şifresini kırmamız lazım.

PDML Dosyasını HTML Sayfasına Dönüştürme

Wireshark ile tshark arasındaki tek fark: Wireshark, GUI tabanlı; tshark ise komut satırı tabanlı bir araçtır. Ama bazı dış kaynakların yardımı ile veri paketlerimizi HTML biçiminde de görebiliyoruz. Bunu yapabilmek için öncelikle veri paketlerini PDML olarak kaydetmemiz, sonrasında XML dosyaya aşağıdaki kodu kullanarak dönüştürmemiz lazım:


Kod:
Please, Giriş yap or Kayıt ol to view codes content!
XML dosyasının kaydedileceği yer /usr/share/wireshark/pdml2html.xsl. Sonrasında da, xsltproc aracını kullanacağız.


Kod:
Please, Giriş yap or Kayıt ol to view codes content!
HTML sayfasını tarayıcıda açmak için gereken kod:


Kod:
Please, Giriş yap or Kayıt ol to view codes content!


Belirli bir Port Paketi Yakalama

Birçok sefer Wireshark'ı belirli bir port için kullandık. -f parametresi sağolsun tshark'ta da belirli bir port'un veri paketlerini yakalayabiliriz. Ağın veri paketlerini daha iyi analiz etmemize yardımcı olur. Misal TCP port 80 için gereken kod:


Kod:
Please, Giriş yap or Kayıt ol to view codes content!
Görüntüleme Filtresi

Görüntüleme filtresi Wireshark tarafından tanıtıldı. Bizlere, yakalanan veya canlı veri paketlerini filtreleme konusunda yardımcı oluyor. Bu filtreleme yardımı ile istediğimizi karşımıza getirebiliriz.

Misal trafikten sadece GET isteği yakalamak istiyorsak:


Kod:
Please, Giriş yap or Kayıt ol to view codes content!
 
Üst