Wireshark nədir?

Salam Əziz dostlar, Bu gün sizə Kibertəühlükəsizlik mütəxəssislərinin ən çox istifadə etdiyi  paket analizatoru Wireshark haqqında danışacağıq

Wireshark nədir?

Wireshark şəbəkə paket analizatorudur. Paket analizatorları ələ keçirilən şəbəkə paketini mümkün qədər ətraflı şəkildə təqdim etməyi hədəfləyir. Wireshark bu gün geniş istifadə olunan proqramdır, çünki pulsuz, open source və funksionaldır.

Wireshark nə üçün istifadə olunur?

O, problemləri aşkar etmək, zəiflikləri aşkar etmək, Şəbəkə  protokollarını başa düşmək və şəbəkə kommunikasiyalarını yoxlayaraq şəbəkə performansına nəzarət etmək üçün istifadə olunur. Tez-tez şəbəkə administratorları, təhlükəsizlik mütəxəssisləri və sistem administratorları tərəfindən istifadə edilir.

Wireshark Quraşdırma

Windows üçün:

Yükləmə linki: Yüklə

Linux üçün:

$ sudo apt install wireshark

Wireshark ilə paketlərin tutulması

Nəzarət etmək istədiyimiz şəbəkəni seçək, adətən bu Wi-Fi və ya Ethernet bağlantısı ola bilər. Sonra, “Başlat” düyməsini basmalıyıq. Wireshark daha sonra şəbəkə trafikini tutmağa başlayır.

 

 

Nümunə olaraq HTTP filtri edək:

Wireshark və ya oxşar şəbəkə analiz alətləri HTTP trafikini icazəli və ya icazəsiz izləyə bilsələr də, HTTPS trafiki şifrələndiyi üçün onun məzmununa baxa bilmirlər. Buna görə də, şəbəkədəki rabitəni asanlıqla görmək üçün HTTP trafikinə nəzarət edə bilərik. Üst küncdəki sətirə http yazaraq HTTP paketlərinə asanlıqla baxa bilərik.

Paketlər haqqında ətraflı məlumat almağa çalışaq:

Siyahıdan bizi maraqlandıran HTTP paketini seçirik, üzərinə sağ klikləyirik, “Follow” və sonra “HTTP Stream” düyməsini sıxırıq. Bu proses yalnız seçdiyimiz HTTP paketinin əlaqəsini göstərir.

Gəlin Wireshark-dan istifadə edərək zərərli proqram şəbəkə trafikinin təhlilini həyata keçirək:

Mənbə pcap faylını və sualları təqdim etdiyimiz sayt: https://www.malware-traffic-analysis.net

Sual 1: Yoluxmuş Windows virtual maşınının IP ünvanı nədir?

İP-ni http.request ilə filtrasiya edərək “Source” bölməsində tapırıq.

Cavab: 172.16.165.132

Sual 2: Yoluxmuş virtual maşının MAC ünvanı nədir?

Cavab: 00:0c:29:c5:b7:a1

Sual 3: Riskli vebsaytın IP ünvanı nədir?

Biz birinci sualda etdiyimiz kimi http.request-i süzgəcdən keçiririk. Bu dəfə sualın cavabını “Destenetion” bölümündə tapacağıq.

Cavab: 192.30.138.146

Sual 4: Riskli vebsaytın domen adı nədir?

HTTP paketinin ətraflı baxdığımızda “Host:” bölməsində domen adını görə bilərik.

Cavab: hijinksensue.com

Sual 5: Exploit dəstini və zərərli proqramı göndərən IP ünvanı və domen adı nədir?

Dördüncü sualda “Host:” bölməsinə sağ klikləyərək “Sütun olaraq tətbiq et” üzərinə klikləyirik. Bu, IP ünvanını tapmaqda işimizi asanlaşdırır.

Cavab: 37.143.15.180 (port 51439 üzərində)

Beləliklə, Wireshark-a kiçik bir giriş etdik. Oxuduğunuz üçün təşəkkür edirəm 🙂