Ana içeriğe geç

Paket Dinleme Araçları

Bu yazımızda, wireshark, tcpdump ve tshark'ın kapsamlı kullanımını öğreneceğiz

Sniffing

  • Sniffing, bir ağ bağlantısı üzerinden iletilen ağ paketlerini yakalama ve izleme işlemidir. wireshark, tshark, tcpdump vb. araçları kullanarak sniffing yapabiliriz.

Spoofing

  • Spoofing, bir kişinin iki veya daha fazla kullanıcının iletimi arasındaki paketleri değiştirebildiği bir saldırı türüdür. Bir saldırganın, kullanıcı gibi davranarak bir kullanıcının sistemine veya bilgilerine yetkisiz erişim elde etmesidir.

Wireshark

  • Wireshark, canlı bir ağdan veya önceden kaydedilmiş bir dosyanın paket verilerine etkileşimli olarak göz atmanıza izin veren bir ağ analiz aracıdır.

  • Parrot dahili olarak Wireshark'a sahiptir, terminali kullanarak çalıştırabilirsiniz.

wireshark
  • Arayüzü seçin, örneğin wifi kullanıyorsak wlan0'ı seçin

  • Wlan0'a sağ tıklayın ve start capture'a tıklayın.

  • Ve cihazınızdaki her paketi yakalayabilirsiniz.

Filtreleme

  • Filtre kutusuna http yazın.

ws1

  • Bu şekilde her bir http paketini yakalayabilirsiniz.

  • Hedef web uygulamasında uygulanan kimlik doğrulama mekanizmasına bağlı olarak kimlik doğrulama paketlerini de yakalayabiliriz, yalnızca anlamlı paketleri elde etmek için belirli filtreler uygulamamız gerekir.

  • Web uygulamasının http citrix kimlik doğrulamasını kullandığını varsayalım;

  • Arayüz seçin

  • Filtre kutusuna http.authcitrix yazın.

  • Ve kimlik bilgilerini alma mekanizmasına göre her paketi inceleyebiliriz.

  • Ayrıca yakalanan paketleri de aşağıdaki komut ile inceyelebilirsiniz;

wireshark -r captured.pcap

TSHARK

  • Aynı işlevlere sahip Wireshark'ın komut satırı çeşididir. TShark, gerçek zamanlı ağ trafiğini analiz etmek için kullanılır ve bilgileri analiz etmek için .pcap dosyalarını okuyabilir, bu bağlantıların ayrıntılarını inceleyebilir.
tshark
  • eth0 üzerinden geçen paketleri yakalamak için;
tshark -i eth0
  • Kaydedilmiş paketleri okumak için;
tshark -r captured.pcap
  • Ayrıntılı olarak tam paket miktarını yakalamak için;
tshark -v -c 20 wlan0
  • Ayrıca -T işaretini kullanarak çeşitli çıktı biçimlerindeki paketlerin kodunu çözebiliriz.
tshark -r captured -T json
tshark -r captured -T text

Filtreleme

  • eth0 üzerinde HTTP paketlerini yakalamak için;
tshark -I wlan0 -Y http

TCPDUMP

  • Tcpdump, komut satırı üzerinden çalışan güçlü bir paket dinleyicidir, terminali açalım ve kullanalım.
tcpdump (parametre) (arayüz)
tcpdump -i eth0
  • Tarayıcınızda işlem yapın ve terminalinizde paketleri görebilirsiniz

  • Daha verimli olması için lütfen kendiniz deneyin.