Bu yazımda size Wireshark programından bahsedeceğim ve bu programın VoIP iletişiminde SIP trafiğinin analizini nasıl sağladığını, püf noktalarına değinerek ve örneklerle göstererek açıklayacağım. Teknik olarak bu uygulamaya ihtiyacı olmayanlar için ise, biraz daha renkli bir içerik kazandırmak için görüşmelerin nasıl dinlenebildiğini de bir örnekle göstereceğim. Görüşmelerin dinlenmesi zaman zaman ses sorunları ile ilgili analizler için kullanılabilmektedir.
Wireshark kullanımını zaten bilen kişiler direk ikinci başlığa, yani Wireshark ile SIP VoIP Trafiği Analizi bölümüne geçebilirler.
Wireshark Nedir? Nasıl Kullanılır?
Wireshark network trafiğinin, bir grafik arayüz üzerinden izlenmesini sağlayan, pek çok zaman hayat kurtarancı öneme sahip bir programdır. Uygulamanın kurulu olduğu bilgisayar üzerinden anlık network trafiği izlenebileceği gibi, Wireshark daha önce kaydedilmiş dosyaların incelenmesi amacı ile de kullanılabilir.
Ücretsiz bir program olan Wireshark’ın kuracağınız işletim sistemine uygun sürümünü http://www.wireshark.org/ sitesinden indirebilirsiniz.
Uygulama indirilip kurulduğunda, bu uygulama ile birlikte Windows yüklü bilgisayara WinPcap isimli bir uygulama daha kurulacaktır. WinPcap, kurulu olduğu bilgisayarın anlık Ethernet trafiğinin yakalanmasını sağlayan programdır. Wireshark bu uygulamadan gelen veriyi kullanarak size grafik bir arayüz üzerinden Ethernet trafiğini izleme/inceleme fırsatı sunar.
Uygulama başlatıldığında yukarıdakine benzer bir ekran açılacaktır. Burada Start bölümünün altında bilgisayarda algılanan Ethernet kartları listelenecektir. Bu kartlardan biri seçilir ve ardından Start butonuna tıklanırsa uygulama ilgili Ethernet kartının network trafiğini loglamaya başlar:
Burada üst bölümde akan trafik anlık olarak görülebilir, hangi adresten hangi adrese, ne zaman, hangi protokolde paketler gittiği izlenebilir. Alt taraftaki bölümde ise her bir paketin içeriği değişik katmanlarda incelenebilir (Sizde alt tarafta üçüncü bir pencerede Byte şeklinde paket içerikleri de gösteriliyor olabilir, ben bir işime yaramadığı için bu bölümü View altındaki Packet Bytes seçim kutusunu kaldırarak kapattım).
Filter bölümüne çok çeşitli filtreler girerek sadece ilgilenilen trafiğin gösterilmesi sağlanabilmektedir. Filter, çok önemli bir bölüm, çünkü çoğu zaman incelenecek trafiğin dışında pek çok paket bilgi kirliliği yaratır ve inceleme yapılmasını güçleştirir. and, or gibi ifadelerle birden fazla filtreyi birlikte kullanabiliyorsunuz.
Burada basit bir örnek analiz yapalım ve DNS sunucunun düzgün çalışıp çalışmadığını beraber Wireshark üzerinden görelim.
Wireshark’ta Filter bölümüne gereksiz trafik gösterilmesin, sadece DNS trafiği görüntülensin diye dns yazdım ve Enter tuşuna bastım. Ardından istediğim logu görünce yukarıdaki kırmızı X ile gösterilen Stop tuşuna basarak log alımını durdurdum:
İlgili logu aldığım bilgisayarın IP adresi 192.168.76.133 ve DNS sunucunun adresi 192.168.76.133. Bunları trafik bölümünde Source ve Destination sütunlarında görebiliyorum. Gördüğüm kadarı ile bilgisayarım DNS sorgusunu DNS sunucuya gönderiyor, ardından DNS sunucusundan yanıt geliyor. Ayrıca Info bölümünde cozumpark IP adresinin DNS sunucusundan 188.132.200.15 olarak geldiğini görebiliyorum.
Burada; IP adresinin çözülüp çözülmediğini komut satırından zaten görebiliyordum, diyebilirsiniz. Fakat sizin yaşayacağınız sorunda farklı uygulamalardan farklı adres tipleri için sorgular yapılıyor olabilirdi. Wireshark kullanılarak tüm sorunlar için benzeri şekilde neler olup bittiğini network üzerinden, yani kaynağından görebilmekteyiz.
Wireshark ile ilgili dokümanlar: http://www.wireshark.org/docs/
<< Diğer Bilgi Bankası Makaleleri
