Youtube kanalımıza abone olmak için buraya tıklayınız..

  • Anasayfa
  • Sertifikalarım
  • Network
    • Network ve OSI
    • ACL ve DHCP ve FTP/TFTP
    • STP
    • Frame Relay
    • Routing (Static/Dynamic)
    • RIP, IGRP,EIGRP ve OSPF
    • Redistribution ve PBR
    • Multicast Routing
    • Leaf and Spine
    • DMVPN ve IPSEC
    • Wireshark
    • VXLAN
  • Örnek Uygulamalar
    • VLAN Olusturma ve SSH
    • IRF Teknolojisi
    • Telnet,Software Upgrade
    • RIP, DHCP ve GRE (Huawei)
    • Juniper Basic
    • VRRP ve HSRP
    • GNS3 Lab
    • Password Recovery
    • Huawei S5700 IOS BootROOM
    • IP SLA
  • Network Temelleri Serisi
  • Teknik Dokumanlar
  • Blog ve Anketler
  • Abonelik
  • Daha fazlası
    • Anasayfa
    • Sertifikalarım
    • Network
      • Network ve OSI
      • ACL ve DHCP ve FTP/TFTP
      • STP
      • Frame Relay
      • Routing (Static/Dynamic)
      • RIP, IGRP,EIGRP ve OSPF
      • Redistribution ve PBR
      • Multicast Routing
      • Leaf and Spine
      • DMVPN ve IPSEC
      • Wireshark
      • VXLAN
    • Örnek Uygulamalar
      • VLAN Olusturma ve SSH
      • IRF Teknolojisi
      • Telnet,Software Upgrade
      • RIP, DHCP ve GRE (Huawei)
      • Juniper Basic
      • VRRP ve HSRP
      • GNS3 Lab
      • Password Recovery
      • Huawei S5700 IOS BootROOM
      • IP SLA
    • Network Temelleri Serisi
    • Teknik Dokumanlar
    • Blog ve Anketler
    • Abonelik
  • Anasayfa
  • Sertifikalarım
  • Network
    • Network ve OSI
    • ACL ve DHCP ve FTP/TFTP
    • STP
    • Frame Relay
    • Routing (Static/Dynamic)
    • RIP, IGRP,EIGRP ve OSPF
    • Redistribution ve PBR
    • Multicast Routing
    • Leaf and Spine
    • DMVPN ve IPSEC
    • Wireshark
    • VXLAN
  • Örnek Uygulamalar
    • VLAN Olusturma ve SSH
    • IRF Teknolojisi
    • Telnet,Software Upgrade
    • RIP, DHCP ve GRE (Huawei)
    • Juniper Basic
    • VRRP ve HSRP
    • GNS3 Lab
    • Password Recovery
    • Huawei S5700 IOS BootROOM
    • IP SLA
  • Network Temelleri Serisi
  • Teknik Dokumanlar
  • Blog ve Anketler
  • Abonelik

WIRESHARK

Wireshark mevcut ağ içerisinde akan trafiği analiz etmek için kullanılan, ağ içerisindeki trafiği gerçek zamanlı olarak yakalayabilen ve detaylı bir şekilde incelemeye olanak sağlayan, açık kaynaklı ücretsiz bir yazılım/uygulamadır. Wireshark' ın bilinen en temel özelliklerini sıralamak gerekirse:


  • Yerel Ağ üzerinden gelen paketleri tutar ve ayrıntılı olarak protokol bilgileri de dahil olmak üzere bizlere aktarır. 
  • Yakalanan paketleri kayıt altında tutabilir. 
  •  Protokoller için şifre çözme desteği vardır. 
  • Ağ içerisinde ki hata tespitini sağlar.
  • Kullanıcı dostudur.
  • Tamamen ücretsizdir.
  • Geniş protokol desteğine sahip. (Referans: https://wiki.wireshark.org/ProtocolReference )


Wireshark Aracı İçin En Düşük Sistem Gereksinimleri Bu aracı bilgisayarınızda sağlıklı bir şekilde çalıştırabilmeniz için aşağıda belirtilen sistem gereksinimlerini karşılıyor olmanız gerekmektedir. 


  • 400Mhz işlemci
  • 60 MB boş alan
  • Promiscuous mode destekli bir ağ kartı
  • WinPcapdriver 

WireShark kurulumu için linke indirme linkine tıklayabilirsiniz.


Linux sistemlerde kurulum için: (Windows sistemlerde kurulum: Gerekli dosya indirildikten sonra kurulum yönergeleri sayesinde kurulabilir.)


  • DEB-basedsistemler: apt-get install wireshark 
  • RPM-basedsistemler: rpm –ivh wireshark*.rpm 

İndirme Linki

İlk olarak kurulum sonrası wireshark ekranı açılınca hangi kısım ne amaçla kullanılıyor onu bilmemiz gerekiyor.


  1. Ana menünün bulunduğu kısımdır. 
  2. Sık sık kullanılabilecek işlemlerin kısayol atamalarının bulunduğu yerdir.
  3. Ağ trafiği için filtremele kullanabileceğiniz özel bir kısımdır. 
  4. Daha önce açılan dosyalar gösterilmektedir. 
  5. Ağ trafiğini izlemek amacı ile kullanılabilecek ağ kartları için paket yakalamaya başladığında kullanabileceği filtre tanımlanabilmektedir. 
  6. Ağ trafiğini izlemek amacı ile kullanılabilecek ağ kartları gösterilmektedir. 
  7. Wireshark hakkında daha fazla bilgi edinmek ve manuel dosyalarına erişmek amacı ile kullanılabilecek bir bölümdür. Bu bölüme 5 numara ile tanımlanan ana menüde Help kısmından erişebilirsiniz. 

Wireshark sayesinde  paket yakalamak için öncelikle ana menüden Capture -> Options yolunu takip ederek aşağıdaki menüye erişmek gerekmektedir. Buradan analiz etmek istediğimiz ağ kartını seçerek işleme başlayabiliriz. Ya da ilk açılan ekranda 6 numaralı kısımdan da yine seçimimizi gerçekleştirebiliriz.

Paket yakalama işlemi başladığında katmanlar halinde bir ara yüz bizi karşılayacaktır.

  1.  Yakalanan paketler ile ilgili filtreleme seçeneklerinin bulunduğu kısımdır.
  2. Yakalanan paketlerin listelendiği kısımdır.
  3. Yakalanan paketlerden birini seçtiğimiz zaman onunla ilgili detayın görüntülendiği kısımdır. 
  4. Seçilen paket için hex dump halini gösterir.
  5. Genel bilgilendirmelerin yer aldığı kısımdır. Bu kısımda: yakalanan toplam paket,görüntülenen paket sayısı ve profil ismi gibi bilgiler yer alır.

Herhangi bir ağ kartını seçip packet capture işlemini başlattığımızda görseldeki ekran karşımıza çıkar. Burada yer alan parametreler ne anlama gelir?


  • No=Sıralama
  • Time=Milisaniye olarak geçen zaman
  • Source=Paketin Kaynağı (Gönderen)
  • Destination= Hedef (Alıcı adres)
  • Protocol= Hangi protokol üzerinden gönderim yapıldığı
  • Length= Paket boyutu
  • Info= Paket’e dair bilgilendirme yapılan kısım

Wireshark kullanırken standart filtrelemeler dışında kendinize ait özel filtreler oluştumak isterseniz, wireshark size bu özelliği sunmaktadır. Bunu yapabilmek için filtrelemek istediğiniz durumun üzerine sağ tış yapıp, “Apply as Filter” demeniz ve çıkan durumlardan birini kendinize göre seçmeniz yeterli olacaktır. Görseldeki gibi "TLSv1.2" ye sağ tıklayıp açılan sekmede "Apply as Filter-->Selected" diyerek TLSv1.2' yi filtrelemiş oluruz. Ya da tam tersi olarak "Apply as Filter-->Not Selected" diyerek de TLSv1.2 dışındakileri görüntüle diyebiliriz.

Yine Wireshark kullanırken standart kolonlar (No, Time, Source vs...) yerine kendi tercihimize göre özel kolonlar da ekleyebiliriz. Bunun için ana menüden "Edit-->Preference" yolunu takip edip açılan ekranda "Columns" ekranında + butonu ile yeni bir kolon ekleyebiliriz. Örneğin Title TTL diyip fields kısmına ip.ttl dedikten sonra Apply--Ok diyerek yeni kolonu oluşturmuş oluruz. 

İstediğimiz protokol içerisinde arama yapabilmemizi sağlayan contains filtresi bize çok kolaylık sağlamaktadır. Örneklerde SMB ve HTTP trafikleri içerisinde bazı aramalar yapılmıştır. (http contains "jpeg" -- smb contains "SHARKFEST" gibi...)

Filtrelemebutonueklemekiçinilk olarak+butonuna basıyoruz. Sürekli kullandığımız ve özellikle uzun filtreler için filtreleme butonu oluşturarak her seferinde bunu yazma zahmetinden kurtularak işimizi tek buton ile halledebiliriz.

+ tuşuna bastıktan sonra bu menü açılmaktadır. Açılan menüde filtrelemeler için kullanabileceğiniz butonun ismi ve filtreleme seçeneğini yazacağınız bölümler bulunmaktadır.

Yapılan işlemler sonunda görünüm kutucuk içine alınan kısım gibi olacaktır. Artık DHCP isminde ve dhcp paketlerini filtreleyen bir filtreleme butonumuz olmuştur.

Filtreyi silmek için...

Wireshark –Adres Çözümlemenin Aktif Edilmesi: ilk olarak Edit -> Prefences yolunu takip sağ tarafta bulunan pencerenin açılmasını sağlıyoruz. (Kısa yolu = Ctrl + Shift + A) Daha sonra kolon kısmına tıklanır. Daha sonra sağda açılan pencerede işlem yapılır. Bu örnek için sadece MAC adresleri için adres çözümlemesini aktifleştirdik. Bu sayede artık MAC adreslerinin ilk 24 biti çözümlenecek ve üretici firmayı trafik içerisinde görebileceğiz. Aynı durum DNS için de geçerlidir.

HTTP İsteklerinin Analiz Edilmesi

Eğer HTTP paketlerini analiz etmek ister isek: Statistics-> HTTP-> Requests yolunu takip ederek ziyaret edilen ve web site istatistiklerini görebilirsiniz.

Açılan ekranda url üzerine tıklayarak o url adresine ait trafiği ve yüklenme aşamalarını görebilirsiniz.

Statistics-> HTTP-> Packet Counter yolunu takip ederek HTTP Response Packet durumlarını analiz edebilirsiniz.

Bu kısımda HTTP cevap kodlarına ait istatistikleri görebilirsiniz. Örnek olarak • GETkullanılan 165 http isteği varmış

IP Adreslerinin Analiz Edilmesi

Statistics-> IPv4 Statistics-> All Addresses yolunu takip ederek IP Adres istiatistiklerinin bulunduğu kısma erişebilirsiniz.

Bu kısımda IP adreslerinin trafik içerisinde kaç defa geçtiğini bulabilirsiniz. Display Filter kısmından da bir filtre belirtip hangi ip adreslerinin o filtrede geçerli olduğunu bulabilirsiniz.

Wireshark Protocol Hierarchy

Statistics -> Protocol Hierarchy yolunu takip ederek açılır pencerede hangi protokolden kaç tane paket olduğunu görebilir ve istediğiniz bir protokol üzerine sağ tuş yapıp bir filtre uygulayabilirsiniz.

Wireshark – Resolved Addresses

Yakalanan paketlerin tamamı için bir adres çözümleme yapmak istersek Statistics-> Resolved Addresses yolunu takip etmemiz yeterli olacaktır.

wıreshark en çok karşımıza çıkabilecek filtreler

DHCP Filtreler

  • port 67 orport 68 
  • bootp • bootp.option.dhcp== 1 (DISCOVER Packets) 
  • bootp.option.dhcp== 2 (OFFER       Packets)
  • bootp.option.dhcp== 3 (REQUEST  Packets) 
  • bootp.option.dhcp== 4 (ACK           Packets) 
  • bootp.option.hostname

HTTP Filtreler

  • http
  • http.request.method=="GET”  
  • http.request.method==”POST”
  • http.response.code == “200” • http.user_agent == “User_Agent_Değeri”
  • http.referer

ARP Filtreler

  • arp 
  • arp.src.hw_mac== “Kaynak macadresi” 
  • arp.dst.hw_mac== “Hedef macadresi” 
  • arp.duplicate-address-frame 
  • arp.opcode== 1 
  • arp.opcode== 2

DNS Filtreler

  • dns.qry.name== "google.com” 
  • “dns.qry.type== 1 (A RecordType)dns.qry.type== 255 (ANY RecordType) 
  • dns.qry.type== 2 (NS name server)dns.qry.type == 15(MX mail exchange 
  • dns

IP Filtreler

  • ip.addr 
  • ip.ttl 
  • ip.version== 4 
  • ip.src== 192.168.2.45 
  • ip.dst== 192.168.2.34

TCP Filtreler

  • tcp.flags.syn== 1 
  • tcp.port == 80 
  • tcp.dstport == 443 
  • tcp.srcport == 80

FTP Filtreler

  • ftp.request.command 
  • ftp.request 
  • ftp.request.command== "PASS” 
  • ftp.request.command== ”USER" 
  • ftp.response.arg== "Login successful."

ICMP Filtreler

  • icmp.type 
  • icmp.code

Karşılaştırma Operatörleri

  • eq ==   Eşittir 
  • ne    !=    Eşit değidir 
  • gt >    Büyüktür. 
  • lt <    Küçüktür 
  • le    Mantıksal Operatörler 

Mantıksal Operatörler

  • and &&   = (ve anlamı katar)
  • or ||    = (veya anlamı katar)
  • xor ^^   
  • not       !      = (değil anlamı katar, dahil olmayan

Wireshark ile ARP Saldırılarını Tespit Etmek

Aşağıda belirtilen filtreleri kullanarak sisteminize yönelik muhtemel ARP saldırısını tespit edebilirsiniz. 


  • arp.duplicate-address-frame 
  • arp.duplicate-address-detected

Trafik İçerisindeki Verilerin Export Edilmesi

Wireshark ile çalışırken trafik içerisinde geçen bazı ojeleri export etmek isteyebilirsiniz. Bunu yapabilmek için:


 File-> Export Objects yolunu takip ediyoruz.

Telif Hakkı © 2025 Yavuz Selim AKTÜRK - Tüm Hakları Saklıdır.

www.ysakturk.com

Bu web sitesinde çerez kullanılır.

Web sitesi trafiğini analiz etmek ve web sitesi deneyiminizi optimize etmek amacıyla çerezler kullanıyoruz. Çerez kullanımımızı kabul ettiğinizde, verileriniz tüm diğer kullanıcı verileriyle birlikte derlenir.

ReddediyorumKabul Et

Hoşgeldiniz.

Soru ve görüşleriniz için "İLETİŞİM" butonuna tıklayabilirsiniz.

İletişim