Kali Linux’ta Wireshark ile Ağ Trafiği Analizi Nasıl Yapılır?

 

Kali Linux’ta Wireshark ile Ağ Trafiği Analizi Nasıl Yapılır?

Giriş

Wireshark, dünya genelinde en çok kullanılan açık kaynak kodlu ağ trafiği analiz araçlarından biridir. Kali Linux gibi siber güvenlik odaklı sistemlerde yer alan bu güçlü yazılım, ağ trafiğini canlı olarak yakalama, detaylı protokol analizi yapma ve şüpheli faaliyetleri inceleme gibi çok sayıda gelişmiş özellikle donatılmıştır.

Bu makalede, Wireshark’ın ne olduğu, Kali Linux’ta nasıl kullanıldığı, ağ trafiğini analiz etmek için temel komutlar ve filtreleme yöntemleri, pratik senaryolar ve güvenlik alanındaki uygulama örnekleri detaylı bir şekilde açıklanacaktır.

---

Wireshark Nedir ve Ne İşe Yarar?

Wireshark, ağ üzerinden geçen tüm verileri (paketleri) gerçek zamanlı olarak yakalayarak analiz edebilen gelişmiş bir araçtır. Genellikle şu alanlarda kullanılır:

• Ağ sorunlarını tespit etme

• Güvenlik açıklarını analiz etme

• Ağ protokol davranışlarını inceleme

• Şifrelenmemiş veri akışını analiz etme

• Şüpheli etkinlikleri gözlemleme

Wireshark, GUI (grafiksel arayüz) ile çalışır ve kullanımı oldukça sezgiseldir. Ayrıca tshark adlı komut satırı versiyonu da bulunmaktadır.

---

Kali Linux’ta Wireshark Kurulumu

Kali Linux, Wireshark’ı genellikle önceden yüklü olarak sunar. Ancak sisteminizde yoksa kurmak için şu komutu kullanabilirsiniz:

bash

sudo apt update
sudo apt install wireshark

Kurulumdan sonra, ağ arayüzlerini görüntülemek ve paketleri yakalamak için aşağıdaki komutu çalıştırabilirsiniz:

bash

sudo wireshark

İlk çalıştırmada non-root kullanıcılar için yetki ayarları yapılması gerekebilir. Kali bu adımı kolaylaştıran bir kurulum sihirbazı sunar.

---

Wireshark ile Paket Yakalama

Wireshark'ı başlattığınızda karşınıza tüm ağ arayüzleri gelir. En çok trafik olan arayüz genellikle internet bağlantısının geçtiği karttır (örneğin eth0, wlan0, enp0s3).

1. Ağ arayüzünü seçin.

2. “Start” tuşuna basın.

3. Gerçek zamanlı paket akışını izlemeye başlayın.

---

Temel Filtreleme Komutları

Wireshark’ta binlerce paket arasında doğru veriyi bulmak için filtreleme yapmak şarttır. İşte bazı yaygın filtreler:

1. IP Adresine Göre Filtreleme

plaintext

ip.addr == 192.168.1.5

Bu filtre, hem kaynak hem de hedef IP’si belirtilen adres olan paketleri gösterir.

2. Port Numarasına Göre

plaintext

tcp.port == 80

HTTP trafiğini gösterir.

3. Protokole Göre

plaintext

http
dns
ftp

Belirli protokoldeki paketleri ayıklar.

4. Kaynak IP

plaintext

ip.src == 10.0.0.1

5. Hedef IP

plaintext

ip.dst == 10.0.0.50

---

Pratik Uygulama: Web Sitesi Trafiği Analizi

1. Wireshark’ı açın ve ağ kartınızı seçin.

2. Filtre olarak şunu yazın:

plaintext

http

3. Şüpheli web trafiği olup olmadığını analiz edin. Bazı durumlarda HTTP üzerinden giden şifrelenmemiş form verileri gözlemlenebilir.

4. Paket detaylarını incelemek için paketin üstüne tıklayın.

5. Alt bölümde “Hypertext Transfer Protocol” sekmesine tıklayarak veri detaylarını görebilirsiniz.

---

Şifrelenmemiş Verilerin Tespiti

HTTP, FTP gibi şifreleme kullanmayan protokollerde kullanıcı adı ve şifre bilgileri düz metin olarak taşınır. Wireshark ile bu veriler rahatlıkla görüntülenebilir:

plaintext

ftp || http

Filtreyi girin ve kullanıcı oturumu açıldığında kimlik bilgilerini yakalayın.

---

DNS Trafiğini İzleme

DNS sorguları, özellikle zararlı yazılımların dış dünyaya bağlandığı anlarda önemli ipuçları verir. Aşağıdaki filtre ile DNS trafiğini izleyebilirsiniz:

plaintext

dns

Her sorgu ve yanıtın kaydı tutulur. Şüpheli alan adları tespit edilebilir.

---

Wireshark ile TCP El Sıkışması (3-Way Handshake) İzleme

TCP bağlantıları, “SYN”, “SYN-ACK”, “ACK” paketleriyle kurulur. Bu süreç “3 yönlü el sıkışma” olarak bilinir.

Filtre:

plaintext

tcp.flags.syn == 1 && tcp.flags.ack == 0

İlk SYN paketlerini yakalayarak bağlantı başlatan istemcileri görebilirsiniz.

---

Wireshark ile Saldırı Tespiti

Wireshark, birçok siber saldırı türünü tespit etmek için kullanılabilir:

1. ARP Spoofing

Filtre:

plaintext

arp

Aynı IP adresinden birden fazla MAC adresi geliyorsa spoofing olabilir.

2. Port Scan

Çok kısa sürede farklı portlara SYN paketleri gönderiliyorsa, Nmap gibi bir tarama aracı devrede olabilir.

Filtre:

plaintext

tcp.flags.syn == 1

ve hızlı tekrarlanan port değişimlerine dikkat edin.

3. DoS Saldırısı

Aynı IP'den gelen aşırı miktarda istek varsa bu bir DoS saldırısı olabilir.

---

Kayıt ve Raporlama

Analiz ettiğiniz veriyi dışa aktarmak için:

• Menüden: File > Export Packet Dissections > As Plain Text

• Formatlar: CSV, XML, JSON desteklenir.

• Kendi rapor formatınızı oluşturabilirsiniz.

---

Tshark: Komut Satırı Versiyonu

Tshark, Wireshark’ın terminalde çalışan halidir.

Basit kullanım:

bash

sudo tshark -i wlan0 -Y "ip.addr == 192.168.1.10"

Belirli bir IP’yi canlı olarak izler.

---

Yasal Uyarı

Wireshark güçlü bir analiz aracıdır, ancak yalnızca izinli sistemlerde kullanılmalıdır. Aksi takdirde kişisel verilerin ihlali ve yasa dışı dinleme gibi suçlamalarla karşılaşabilirsiniz.

---

Sonuç

Wireshark, Kali Linux üzerinde ağ trafiğini detaylı analiz etmek isteyen herkes için son derece güçlü ve esnek bir araçtır. Temel filtrelemelerden saldırı tespitine kadar geniş bir yelpazede kullanılabilir. Güvenlik uzmanları, ağ yöneticileri ve etik hackerlar için vazgeçilmez bir analiz ortamı sağlar.