Vous êtes sur la page 1sur 10

KARADENZ TEKNK NVERSTES

BLGSAYAR MHENDSL BLM


BLGSAYAR ALARI LABORATUARI

Wireshark ile A Paket Analizi


1. Giri
Bu deneyde, Wireshark program ile TCP/IP temelli alarda belirli seviyede detayl
paket ve protokol analizi gerekletirilecektir.

2. A Paket Analizi ve Kullanm Alanlar


2.1. A Paket Analizi
TCP/IP gnmzde a zerinde iletiim iin en sk kullanlan protokol kmesidir ve bu
kurallar dizisinde iletiim saysal bilgi paketleri ve alt protokoller ile salanr. Bu nedenle
salam ve gvenilir veri aktarm iin aktarlan bu paket ve protokollerin yap ve ieriklerinin
detayl incelenebilmesi gerekir. A paket analizi de temelinde bu amala yneliktir ve basite
herhangi bir a arayzne (ethernet vb. ) gelen ve giden paket ve protokollerin incelenmesine
olanak salar. A paket analizi (network/packet sniffing) sniffer olarak adlandrlan aralar ile
gerekletirilir. Deneyde, belirli seviyede detayl paket ve protokol analizine olanak salayan
Wireshark ile a paket analizi yaplacaktr.
Deney Hazrl: Temel a kavramlar, TCP/IP protokol kmesi, paket ve protokol
kavramlarnn neler olduunu bildiiniz varsaylacaktr. Varsa eksiklerinizi tamamlayarak
deneye geliniz.

3. Wireshark A Paket Analizi Yazlm


3.1. Wireshark
Wireshark (eski adyla Ethereal olarak bilinir), temelinde bir a paket ve protokol analiz
(sniffer) yazlmdr ve bir bilgisayar a zerinde akan trafiin yakalanmas ve etkileimli olarak
ieriinin irdelenmesi/gzlenmesine olanak salamaktadr. Amacna ynelik zengin zellikleri
ile gnmzde kendi trnn en yaygn kullanlan ve fayda salayan aralarndan bir tanesidir.
zellikleri ile ilgili detaylar Blm 3.2de, rnek baz kullanm senaryolar ise Blm 3.3te
verilmitir. Ubirim srm olan Tsharkda ayn ama iin kullanlabilir.
3.2. Wiresharkn zellikleri
Windows, OS X, Linux ve Unix platformlarda kullanlabilir, ak kaynak kodlu ve GPL
lisansl bir yazlmdr
Gerek zamanl analiz, ok kstasta filtreleme ve aramaya olanak salar (sadece HTTP
paketlerini gster vb.)
A zerinde gerek zamanl ve etkileimli paket yakalamaya olanak salar, ok eitte
a protokoln destekler

tcpdump/WinDump ve dier baz paket yakalama programlar ile kaydedilmi paketleri


aabilir
Paketleri detayl protokol bilgileri ile gsterebilir
Yakalanan paketleri daha sonra tekrar incelemek iin kaydedebilir, farkl formatlarda
da aktarma izin verir
yi derecede grafik arayzne sahiptir, paketlerin renklendirilmesi vb. ile grsel olarak
kolay paket analizine olanak salar
Yardmc olabilecek farkl istatistiki bilgiler sunabilir
3.3. rnek Kullanmlar Alanlar
A uzman ve yneticileri tarafndan a trafiinin incelenmesi, sorunlarnn
irdelenmesi/zmlenmesi
A/bilgi gvenlii mhendisleri tarafndan gvenlik problemlerinin incelenmesi
Uygulama gelitiriciler tarafndan protokol implementasyonlarnn debug edilmesi.
rnein bir Apache web sunucusunun debug edilerek sunucu veya uygulama kaynakl
buglarn belirlenerek sunucu hatas ve olabilecek aksamalarn nne geilmesi, veya a
kart ve yazlmnn hatalarn belirlenmesi, analiz edilmesi vb.
Bu deneyde olduu gibi a paket ve protokollerinin renilmesi
3.4. Kurulum
Windows: https://www.wireshark.org/download.html adresinden indirilebilir ve
standart kurulum admlar uygulanarak kurulum ilemi gerekletirilebilir. Linux: apt-get
komut satr aracnda sudo apt-get install wireshark komutu ile gerekli paketlerin edinilmesi ve
ykleme ilemi gerekletirilebilir.
3.5. Wireshark ile Paket Yakalama
Wireshark Windows ve Linux ortamlarnda standart program admlar ile altrlabilir.
Yazlm altrldnda aadaki ekran (ekil 1) ile karlalr. Burada ncelikle paketleri
yakalanacak a arayz seilir ve daha sonra Start dmesine tklanarak (veya Ctrl+E tu
kombinasyonu) paket yakalama ilemi balar. Wireshark ortamnda a arayzleri ile ilgili
detayl bilgiye balanty kullanarak eriebilirsiniz. Uygulamay altrdnzda aadaki gibi
a arayzleri listelenecektir. Dikkat edecek olursanz Wi-Fi arayz zerinden veri aktarm
yaplmaktadr. Bu arayze ift tklarsanz paket yakalamaya balayacaktr. Deneyde ethernet
arayz zerinden paket dinleme gerekletirilecektir. Ara ubuunda Capture->Options
yolunu izleyerek arayzleri detayl grebilirsiniz. Eski (GTK+) kullanc arayz Wireshark
Legacyde grnm biraz daha farkldr, ancak, benzer ekilde arayz seme ve paket yakalama
gerekletirilebilirsiniz.
Deney Hazrl: Bu dokmanda Wiresharkn detayl kullanm bilgisi verilmeyecektir.
nternet zerinde kullanm ile ilgili birok dijital kaynak bulunmaktadr. Deneye gelmeden bu
kaynaklardan faydalanarak Wireshark yazlm aracn kullanabilir seviyede hazr olmanz
gerekmektedir. lerleyen blmlerde eitli protokoller zerinde kullanm ve filtreleme
ilemleri ksmen anlatlmtr.

ekil 1. A arayz seimi

4. eitli Protokoller zerinde A Paket Analizleri


4.1. Adres zmleme Protokol (ARP) Paket Analizi
4.1.1. ARP Nedir?
Yerel a ierisindeki cihazlarn haberleebilmeleri cihazlarn fiziksel adresleri ile
yaplr. Bu amala basit olarak a zerindeki cihazlar birbirlerine paket gndermek iin fiziksel
adreslerini edinmeleri gerekir ve bu edinim ilemi IPsi bilinen bir cihazn fiziksel adresinin
renilmesini salayan ARP protokol ile gerekletirilir. (rnein, MAC (Ethernet, Media
Access Control Adresses) adresleri bir fiziksel adrestir ve yerel alardaki cihazlarn birbirlerine
veri paketi gndermeleri iin bir a adresi olarak kullanlr. 48 bit olan bu adresler her a
arayz iin tekildir.
4.1.2. Wireshark ile ARP Paket Analizi
Deney Hazrl: Aada detayl biimde anlatlan ARP paket analiz ilemlerini
deneye gelmeden gerekletiriniz, sorular cevaplaynz. Deney hazrl ksmnda sizden
paketler zerinde anlatmanz istenecektir.
Bu alt blmde, Wireshark ile bilgisayar a arayz dinlenmi ve ARP paketleri
Filtreleme ubuuna yazlan arp (trnaksz) parametresi ile filtrelenmi ve aada verilen
rnek paketler yakalanmtr. (Filtreleme ilemleri Balk 5te ksaca anlatlmtr.)

ekil 2. Yakalanan rnek bir ARP Paket ifti (istek ve cevap)

Yukarda yakalanan 3 ve 4 numaral paketler ARP protokoln anlamak iin yeterlidir.


3 numaral paket bir istek (sorgu) paketi, 4 numaral paket ise bir cevap paketidir. Detayl
incelenirse, 192.168.18.1 IP adresli cihaz tm yerel aa yayn yapacak ekilde 3 numaral ARP
sorgu paketini yollayarak, 192.168.18.35 IP adresine sahip cihazn fiziksel adresini
sormaktadr. Bu sorgu paketini alan 192.168.1.35 IP adresli cihaz ARP sorgusunun kendisine
geldiini IP adres elemesinden anlamakta ve iine kendi MAC adresini yazarak ARP cevap
paketi hazrlayarak ve istekte bulunan cihaza gnderir Bylece IP adresinden fiziksel adrese
dnm ilemi gerekletirilmitir.
Paketlerin katman temelli yaps ve ierikleri aada gsterildii (ekil 3) gibi detayl
grntlenebilir. Protokol aa ve protokol ierik pencereleri bu amala kullanlabilir. Bu
pencerenin amac protokol zet penceresinde seili olan paket ieriini katmanl aa yaps
eklinde gstermektir. Veri grntleme penceresinde ise seili paket veya alann bilgilerini
onaltlk veya bit dzeyinde gsterir.

ekil 3. rnek bir ARP paket ierii

Standart bir ARP paketinin yapsna baklacak olunursa (Tablo 1) ise kaynak ve hedef
cihazlara ait fiziksel ve IP adresleri, donanm tr, protokol tr, donanm adres uzunluu,
protokol adres uzunluu ve ilem trne (opcode) ait deerler yer almaktadr.
Fiziksel Katman Bal
Donanm Tipi
Protokol Tr
Donanm Adres
Protokol Adres Uzunluu
Uzunluu
lem Tr Kodu
Gnderici Donanm Adresi
Gnderici IP Adresi
Alc Donanm Adresi
Alc IP Adresi

Tablo 1. rnek bir ARP paket yaps

4.1.3. Deney Uygulamas 1 - ARP Paket Analizi


Bu uygulamada, ARP dnmn a zerinde yakaladnz herhangi bir istek ve
cevap ARP paket ifti ile paket seviyesinde anlatmanz istenecektir. Paketleri yakalamanz iin
kullanabileceiniz bir senaryo aadaki gibidir. Bunun dnda farkl yntemlerde
kullanabilirsiniz. nemli olan ARP dnmnn nasl yapldn protokol ve paket
seviyesine anlama ve yorumlayabilmenizdir.
1. A balantnz kesin.
2. IP & fiziksel adres elemeleri bellek zerinde tutulduundan gerekmedike ARP sorgusu
yaplmaz. Bu nedenle bellek temizlenerek ARP istei oluturulmaldr. Windows ortamda:
komut satrnda <arp d> komutu ile ARP n belleini temizleyebilirsiniz (ncesinde <arp
a> ile mevcut ARP kaytlarn grebilirsiniz).
3. Wireshark ile paket yakalamaya balayn.
4. Aa balann.
5. Belirli bir sre bekledikten sonra Wireshark ile yakalanan paketlere ARP filtresi uygulayn.
6. Yakalanan paketlerden adres dnm yapan bir ARP paket iftinden (request ve reply)
faydalanarak aadaki tablo tabloyu doldurun.
stek Paketi
Ethernet Paketi

Cevap Paketi
Ethernet Paketi

7. Yakalan paketlerden faydalanarak aadaki sorular cevaplayn.


7.1. stek ve cevap paketlerinde hangi opcode deerleri kullanlr, paket balklarnn
(header) boyutu nedir?

7.2. ARP katman kata alr?


7.3. Bir ARP istek paketinde hedef fiziksel adres deeri ne olur, neden?
7.4. ARP cevap (reply) paketleri istek (request) paketleri gibi broadcast mi yaplr,
yaplmazsa neden? stek paketleri neden broadcast edilir, IP zaten biliniyorsa, IP ile
direk gnderilemez mi?
7.5. IP adresi varken, neden fiziksel adres kullanlyor? A geidi vb. bir cihazn IP adresini
hi iletiime gemeden makine nasl biliyor?

4.2. HTTP Paket Analizi


4.2.1. HTTP Nedir?
HTTP (Hypertext Transfer Protocol) Dnya anda A (World Wide Web, WWW)
zerinde web sayfalar ile bilgi (metin, grnt, ses, video vb. oklu ortam dosyalar) al verii
yapmaya olanak salayan basit ama gl bir standart kurallar kmesidir. Basite bir istemci
(rn. web taraycs) ve sunucu (rn. web sunucusu) arasnda tanacak bilginin nasl
kodlanaca ve aktarlacana dair kurallar dzenler. TCP/IPde uygulama katmannda yer alan
bir protokoldr.
rnek bir HTTP istek paketi
Tarayc ile http://ceng.ktu.edu.tr/ adresine balanmak istediinde taraycnn sunucuya
gnderecei rnek bir istek paketi u ekilde olacaktr:
GET / HTTP/1.1
Host: ceng.ktu.edu.tr
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: tr-TR,tr;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Connection: keep-alive

rnek bir HTTP cevap paketi


Sunucu tarafndan taraycya cevap olarak gnderilen paket ieriinin bir ksm u
ekilde olacaktr:
HTTP/1.1 200 OK
Date: Mon, 16 Feb 2015 17:39:03 GMT
Server: Apache
Vary: Accept-Encoding
Content-Encoding: gzip
Content-Length: 3769
Keep-Alive: timeout=5
Connection: Keep-Alive
Content-Type: text/html; charset=ISO-8859-9

4.2.2. Deney Uygulamas 2 - HTTP Paket Analizi


Deney Hazrl: HTTP alma prensibi, paket yapsn aratrarak deneye geliniz. Bu
adresteki kaynaktan faydalanabilirsiniz.
Deneyin bu ksmnda a zerinde yakalanan HTTP paketleri incelenecek, temel alma
prensipleri tartlacak, anlatmanz istenecek, paket filtreleme vb. ilemlerle HTTP ile ilgili baz
sorular cevaplandrmanz istenecektir. Wireshark ile HTTP paket trafiini incelemek iin
yaplabilecek rnek bir senaryo admlar sras ile aadaki gibidir.
1. Wireshark programn altrn ve paket yakalamaya balayn.
2. nternet taraycsn altrn ve herhangi bir web adresine balann (yeterli paket trafii
olumas iin site zerinde gezinin).
3. Yeterli miktarda paket yakaladktan sonra paket yakalamay durdurun.
4. Sadece HTTP paketlerinin grntlenmesi iin gerekli filtrelemeyi yapn.
Deney srasnda yukardaki admlar gerekletirildikten sonra HTTP protokolnde istek
ve cevap mekanizmasnn nasl alt hakknda konuulacak ve yakalanan Http paketleri ile
ilgili baz sorular cevaplamanz istenecektir. rnek baz sorular u ekildedir:
1. Taraycnz veya sunucu hangi HTTP srmn desteklemektedir?
2. Taraycnza sunucu tarafndan dndrlen durum kodlar nelerdir?
Dier sorular deney srasnda verilecektir.
4.3. Internet Kontrol Mesaj Protokol (ICMP) Paket Analizi
ICMP bir IP a ierisinde IP datagramlarn iletimi ile ilgili sorunlarn belirlenmesi iin
kullanlan bir protokoldr. Ping istemci arayz ile kolaylkla ping atlabilir ve utan uca
ilevsel bir IP yolunun olup olmad tespit edilebilir.
Deney Hazrl: ICMP protokol hakknda bilgi sahibi olunuz.
4.3.1. Deney Uygulamas 3 - ICMP Paket Analizi
Bulunduunuz yerel adaki herhangi bir makineye ping atn ve oluan ICMP paketleri
ile ilgili aadaki sorular cevaplayn.
Ping nedir, ne iin kullanlr, ICMP protokol temelde nasl alr, aklaynz.
Ka adet ICMP paketi (istek ve cevap) olutu?
Kaynak ve hedef cihazlarn IP adresleri nelerdir?
ICMP paketleri neden kaynak ve hedef port numaras iermez?
Siz tarafndan gnderilen herhangi bir ICMP paketini inceleyin. Paketteki ICMP type
ve code number deerleri nelerdir? Paketteki checksum, sequence number ve identifier
fields deerleri ne iin kullanlr, ka bayt uzunluktadr?
6. Size gelen bir ICMP paketini inceleyin. Paketteki ICMP type ve code number deerleri
nelerdir?
7. TCP/IP modeline gre hangi katmanda hangi protokol yer alr?
1.
2.
3.
4.
5.

5. Paket Filtreleme
Filtreleme ubuunda herhangi bir filtre girdisi yapldnda protokol zet penceresinde
sadece filtrelenen paketler grnr. Baz filtre ifadeleri ve aklamalar u ekildedir:
eeth.addr == 00:0b:6b:be:xx:xx > Gnderici veya alc fiziksel ethernet adresi
00:0b:6b:be:xx:xx olan paketleri listeler.
tcp.port eq 25 or icmp > SMTP veya ICMP paketlerini listeler.
http or dns >> HTTP veya DNS paketlerini listeler.
ip.addr == 10.0.0.1 && ip.addr == 10.0.0.2 > Tanml iki IP adresi arasndaki paket
trafik akn listeler.
port 53 > Sadece DNS trafiini listeler.
host www.ceng.ktu.edu.tr and not (port 80 or port 25) > Sunucudan gelen http ve SMTP
dndaki trafii listeler.
(tcp[0:2] > 1500 and tcp[0:2] < 1550) or (tcp[2:2] > 1500 and tcp[2:2] < 1550) >
Belirli port deer aralndaki paketleri listeler.
link[0] != 0x80 > Beacon dndaki WLAN trafiini listeler.
5.1. Deney Uygulamas 4 Filtreleme lemleri
Deney uygulamasnda zellikle HTTP protokol zerinde baz filtreleme ilemlerini
gerekletirmeniz istenecektir.
Deney Hazrl: Deneye gelmeden yakaladnz paketler zerinde rnek filtreleme
ilemleri gerekletiriniz.

6. Deney Hazrl
Gerekli hazrlklar blmler ierisinde verilmitir. ARP Paket Analizi deney
uygulamasn yaparak deneye geliniz. Deneye hazrlksz gelmeniz durumunda deneyden
karlacaksnz.

7. Deneyin Uygulanmas
1. Deney Uygulamalar balklarnda verilen farkl protokollere ait paket analiz ilemlerini
grubunuzla yapmanz istenecektir.
2. ARP, HTTP ve ICMP protokollerinin nasl altn grubunuzla paketler zerinde
anlatmanz istenecektir.

8. Deney Rapor Sorular


UDP tama protokol ile ilgili aadaki sorular cevaplaynz. Makinenizin UDP
paketleri retmesi iin nslookup komutunu kullann. Bu komut anzn varsaylan DNS
sunucusuna bir DNS sorgusu gnderir ve sorguladnz alan adnn IP adresini size yollar.

rnein, komut satrndan nslookup printfriendly.com komutunu koarsanz, szel ifadeyle


printfriendly.com alan adna sahip bilgisayarn IP adresini bana gnder demi olursunuz.

1. Wireshark ile paket yakalamaya balayn.


2. Komut satrndan nslookup ceng.ktu.edu.tr eklinde bir DNS sorgusu koun. Not:
stemciler (bilgisayarlar) DNS adresleri DNS nbelleinde tutarak, tekrar tekrar alan
ad IP adresi dnm yapmay engellemek ve hzl yapmak isterler. Bu denenle DNS
nbelleinde olmayan bir alan adn sorgulayn veya DNS nbelleinizi temizleyin.
3. Cevap IP adresi geldiinde paket yakalamay sonlandrn.
4. DNS paketlerini filtreleyin. Filtrelenen paketlere bakacak olursanz tama katmannda
UDP kullanldn greceksiniz.
Yakalanan paketler ile ilgili aadaki sorular cevaplayn:
1. Bir paket sein, UDP bal yaps hangi alanlar var (source port vb.), yaznz. UDP
iin RFC 768 dokmanndan da faydalanabilirsiniz. Paket format ve alanlar
dokmanda da verilmitir.
2. UDP balk bilgisinin boyutu ne kadardr?
3. UDP balk yapsnda yer alan length alanndaki saysal deer neyi ifade eder?
Vereceiniz cevab yakaladnz paket zerinde hesaplayarak dorulayn ve ksaca
nasl hesapladnz aklayn.
4. UDP iin tanml protokol numaras nedir? (Cevap iin IP balk bilgisine bakn )
5. Siz (istemci) tarafndan gnderilen ve size cevap olarak gnderilen UDP paket iftine
bakacak olursanz, (kaynak) source ve hedef (destination) port numaralar arasnda nasl
bir iliki olduunu syleyebilirsiniz. Ksaca cevaplaynz.

9. Kaynaklar
1.
2.
3.
4.
5.
6.
7.
8.

The Internet Engineering Task Force, https://www.ietf.org/.


Wireshark, http://www.wireshark.org/.
TCP/IP Alarda leri Seviyede Paket Analizi, http://www.bga.com.tr/calismalar/tshark.pdf.
J.F. Kurose, K.W. Ross., Wireshark and ICMP, Computer Net. Lab., Computer Networking, A Top-down Approach.
http://www.cse.chalmers.se/edu/year/2012/course/EDA343/Assignments/Assignment1/wireshark_lab.ppd, Wireshark ve
HTTP.
Capturing Traffic Wireshark, http://www.comm.utoronto.ca/~jorg/teaching/ucc/handouts/.
Lab1-UCC2012-Wireshark.pdf.
Uluahin U., Basa G., Wireshark Kullanm Klavuzu.
Ayvazolu ., Wireshark - T BDB A Grubu .

KARADENZ TEKNK NVERSTES


BLGSAYAR MHENDSL BLM
BLGSAYAR ALARI LABORATUARI
2015-2016 Bahar Dnemi
Wireshark ile A Paket Analizi Deney Raporu
Grup No:
Numara

Ad ve Soyad

1. Deneye Sorular
Deney Rapor Sorular balnda verilen sorular cevaplanacaktr.

Not: Raporlar, bir sonraki hafta deneyine kadar Moodle Ders Bilgi sistemine
yklenebilir. Deney dev raporlarnn nasl yklenecei ana sayfada verilen kaynakta
aklanmtr. Bu belge kapak olacak ekilde maksimum 1 MB pdf formatnda dosya
ykleyebilirsiniz.
Kopya raporlar sfr puan alacaklarn kabul ederler. Bu kapaktaki doldurulmas zorunlu
alanlar dhil olmak zere rapor dzeni puanlandrmay etkilemektedir.
Adres: http://ceng2.ktu.edu.tr/~moodle/moodle/

Deney Sorumlusu:
aatay Murat Ylmaz

Vous aimerez peut-être aussi