Blog

Tshark Paket Analizi

 

TSHARK-Ağ Paket Analizi

Wireshark aracının terminal üzerinde çalışanı diyebiliriz.Kablosuz ağlar üzerinde çalışırken ortamda iletilen paketleri görmek ve pcap dosyası olarak kayıt altına almak için öncelikle ağ arabirimini monitor moda geçirilmesi gerekir.

Ağ arabirimini monitor mode geçirmek için aşağıda komut kullanılır.

root@hbn:~# iwconfig wlan0 mode monitor

–> Kullanılabilecek olan ağ arayüzlerini listelemek için;

root@hbn:~# tshark -D

–> Dinleme yapılacak olan ağ arayüzünün seçilmesi;

root@hbn:~# tshark -i 1
veya
root@hbn:~# tshark -i wlp2s0

–> Belirli sayıda paket yakalayıp, yakalnan paketleri .pcap dosyası olarak çıktı oluşturmak için;

root@hbn:~# tshark -i 1 -c 10 -w /root/try.pcap

-c parametresi : Kaç tane paket yakalanması gerektiğini belirtir.
-w parametresi: Yakalanan paket verilerini hangi dosyaya yazacağını belirtir.

–> Dizinde bulunan .pcap dosyasını okumak için;

root@hbn:~# tshark -r deneme.pcap

-r parametresi: Okunması istenilen .pcap dosyasını belirtir.

–> Okunan dosyanın ekrana yazılması aşamasında tüm dosyayı karışık olarak ekrana basmak yerine istediğimiz verilerin ekrana getirilmesini sağlamak için filtreleme yapabiliriz. Filtreleme yapmak için;

root@hbn:~# tshark -r deneme.pcap ip.addr==192.168.10.6

–> Belirli bir port üzerinden akan trafiği görmek istersek (örneğin tcp 80 portu) ;

root@hbn:~# tshark -r deneme.pcap -R "tcp.port==80"

{Not_!}
Filtreleme işlevlerini kullanırken -R yada -f parametrelerini kullanmak daha sağlıklı bir durumdur. Bu noktada dikkat edilmesi gereken kısımlardan biriside “-f “ parametresinin komutun neresinde kullanıldığıdır.
Eğer -f parametresi -i parametresinden önce kullanılırsa belirtilen parametre varsayılan olarak ayarlanır ve aynı komut içerisinde verilen tüm arayüzler için varsayılan olarak aynı filtreleme kullanılır.

Her bir arayüz için farklı farklı filtreleme yapılmasının gerektiği durumlarda -f parametresi -i parametresinden sonra kullanılmalıdır.

-R parametresi : Reading Capture Filter, paket yakalama esnasında değil de daha sonrasında kayıtlardan veri okuma kısmında kullanılır.

-f parametresi : Live Capture Filter, ağ dinleme esnasında yalnızca belirtilen (filtrelenen) paketlerin yakalanmasını sağlar. Dosyaya işlemindede yalnızca filtrelenmiş paket verilerini yazar.

-O parametresi : Paketleri daha detaylı görmek için kullanılır.

-T parametresi: Argümanlar = {fields, ps, psml, text}

pdml : Detaylı görüntüleme.
ps : Tek satırlık özet bilgiler sunar.
psml : xml formatında çıktı verir.
text : psml ile benzer çıktı verir. -V parametresiyle birlikte kullanılırsa
girintili olarak daha okunabilir bir çıktı verir.

-z parametresi: İstatistiklerii görebilmemizi sağlar.
-q parametresi: Tüm paketlerin ekrana bastırılmamasını sağlar.

–> Erişilen siteleri görebilmek için; (dns.qry.name)

root@hbn:~# tshark -r deneme.pcap -n -T fields -e dns.qry.name|sort|uniqr

 

(Bu blog bilgilendirme ve hatırlama notu niteliğindedir.)


 

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir