Komut satırından çalışan ve çok
bilinen diğer bir trafik analiz aracı da tcpdump’dır.
Tshark ile tcpdump’ın ayrıldığı en
belirgin nokta Tshark’ın trafik analizinde protokolleri tanıyabilmesi ve
bunları detaylı bir şekilde gösterebilmesidir.
Basit Tshark Kullanımı
tshark, çeşitli işlevleri olan bir
sürü parametreye sahiptir. Eğer herhangi bir paramnetre kullanmadan
çalıştırılırsa ilk aktif ağ arabirimi üzerinden geçen trafiği yakalayıp ekrana
basar.
Eğer çıktıların ekrana değil de
sonradan analiz için bir dosyaya yazdırılması isteniyorsa -w dosya_ismi
parametresi kullanılır.
Gerektiğinde bilgiguvenlik.pcap
dosyası libpcap destekli herhangi bir analiz programı tarafından okunabilir.
tshark ya da tcpdump ile kaydedilen dosyadan paket okumak için -r parametresi
kullanılır.
Arabirim Belirtme
İstediğiniz arabirim üzerinden
dinleme yapılması istenirse -i arabirim_ismi parametresi kullanılır.
#tshark -i eth1 gibi.
-n parametresi ile de host
isimlerinin ve servis isimlerinin çözülmemesi sağlanır.
Detaylı Paket Çıktısı
Paketleri ekrandan izlerken ilgili protokole
ait tüm detayları görmek için -V parametresi kullanılabilir.
Örneğin udp 53(DNS) paketlerini
detaylı çıktısını inceleyelim.
Benzer bir paketin tcpdump ile
görüntüsü aşağıdaki gibi olacaktır. Her iki çıktıdan da görüleceği gibi Tshark
ile protokol ve katmanlara ait tüm detaylar çözümlenirken tcpdump’da sadece
özet bilgiler yer alır.
# tcpdump -i eth0 -n udp port 53 –vv
Tshark’da Filtreler
Tshark aynı Wireshark’da olduğu gibi
iki çeşit filtreleme özelliğine sahiptir. Bunlardan biri trafik yakalama
esnasında kullanılan ve tcpdump ile hemen hemen aynı özelliklere (Berkley Paket
Filter) sahip olan capture filter, diğeri de yakalanan trafik üzerinde detaylı
analiz yapmaya yarayan Display filter dır.
Display filterlar aynı zamanda paket yakalama esnasında da kullanılabilir.
Display filterlar aynı zamanda paket yakalama esnasında da kullanılabilir.
Display filter Kavramı
Display filter özelliği ile Tshark
çözümleyebildiği protokollere ait tüm detayları gösterebilir ve sadece bu
detaylara ait paketleri yakalamaya yardımcı olur. Örneğin amacımız tüm dns
trafiği değil de dns trafiği içerisinde
sadece www.bilgiguvenlik.org domainine ait sorgulamaları yakalamak istersek
aşağıdaki gibi bir filtreleme işimize yarayacaktır.
Not: Display Filter için -R
‘filtreleme detayı’ seçeneği kullanılır.
Hiç yorum yok:
Yorum Gönderme