🐬wireshark

 

📜 Tarihçesi ve Gelişimi

Wireshark, 1998 yılında Gerald Combs tarafından geliştirilmiştir. İlk adı Ethereal idi. Combs, ağ trafiğini analiz etme ihtiyacı duyan bir sistem yöneticisiydi ve ticari araçlara erişimi yoktu. Bu ihtiyacı karşılamak için açık kaynaklı bir çözüm geliştirmeye karar verdi. Yazılımın adı 2006’da yasal nedenlerle Wireshark olarak değiştirildi ve o zamandan beri ağ güvenliği topluluğu içinde bir endüstri standardı haline geldi.

🎯 Hangi İhtiyacı Karşılıyor?

Wireshark, ağ trafiğini inceleme ve analiz etme ihtiyacını karşılar. Özellikle aşağıdaki amaçlarla kullanılır:

• Ağ trafiğinde oluşan sorunları tespit etmek

• Güvenlik açıklarını ve şüpheli aktiviteleri analiz etmek

• Protokol düzeyinde eğitim vermek ve öğrenmek

• Hangi verinin nereye, nasıl gittiğini görmek

• Adli bilişim analizlerinde delil toplamak

🔍 Wireshark Ne Yapar?

Wireshark, bir ağ arabirimini dinleyerek (sniffing), oradan geçen tüm veri paketlerini kaydeder. Bu paketleri zaman damgası, kaynak hedef IP/MAC adresi, kullanılan protokol, portlar ve içerik gibi detaylarıyla görmenizi sağlar. Kaydedilen bu verilere PCAP (Packet Capture) dosyaları denir.

Wireshark ile hem canlı trafik izlenebilir hem de daha önce kaydedilmiş .pcap ya da .pcapng uzantılı dosyalar analiz edilebilir.

🧠 Neden Yaygın Kullanılıyor?

• Açık kaynaklıdır ve ücretsizdir

• Windows, Linux, macOS gibi çok sayıda platformda çalışır

• Çok sayıda protokolü destekler (HTTP, DNS, TCP, UDP, FTP, SSL, TLS vb.)

• Grafik arayüzü kullanımı kolaydır

• Filtreleme ve istatistiksel analiz yetenekleri çok güçlüdür

• TryHackMe ve benzeri siber güvenlik platformlarında eğitimlerin temel parçasıdır

🖥️ Uygulamalı Kullanım: Sanal Makine (VM) ile Çalışma

TryHackMe gibi platformlar, Wireshark kullanımını öğretmek için özel sanal makineler sağlar. Bu odada:

• İki adet PCAP dosyası sunulur: http1.pcapng (örnek analiz), Exercise.pcapng (sorulara yanıt vermek için).

• Sanal makine “Split-Screen” modunda açılır. SSH veya RDP bağlantısı gerekmez.

• Networking modülü tamamlandıktan sonra bu odanın alınması önerilir.

---

🐬 What is Wireshark? Origins, Purpose, and Practical Use (Expanded English Explanation)

📜 History and Background

Wireshark is one of the most popular and powerful network protocol analyzers in the cybersecurity and networking world. It was originally developed in 1998 by Gerald Combs, under the name Ethereal. Combs needed a packet sniffer tool for his work as a network administrator but lacked access to commercial solutions. Therefore, he decided to build an open-source tool himself.

In 2006, due to trademark issues, the project was renamed Wireshark, but its development continued actively. Today, it is maintained by a large community and considered the de facto standard for network traffic analysis.

🎯 What Problem Does Wireshark Solve?

Wireshark was created to address the need for deep inspection of network traffic. Its main use cases include:

• Diagnosing and troubleshooting network issues

• Analyzing suspicious traffic or security threats

• Learning and teaching how network protocols operate

• Observing how data flows between hosts and services

• Performing forensic analysis during incident response

🔍 What Does Wireshark Do?

Wireshark listens to a network interface and captures every packet that passes through it. These packets are then presented with full details: timestamps, source and destination IP/MAC addresses, protocol types, port numbers, and payload data.

Captured data is stored in packet capture (PCAP) files, such as .pcap or .pcapng. Wireshark supports both live traffic sniffing and offline analysis of previously saved capture files.

🧠 Why is Wireshark So Widely Used?

• It's open-source and free

• It runs on multiple platforms (Windows, Linux, macOS, etc.)

• It supports hundreds of protocols including TCP, UDP, HTTP, DNS, TLS, FTP, etc.

• The GUI is intuitive and easy to learn

• It includes powerful filtering and statistical tools

• It is widely used in cybersecurity training platforms like TryHackMe

🖥️ Practical Use in Training Labs

In this TryHackMe room, you are introduced to the basics of Wireshark:

• The VM is provided in Split-Screen mode; no SSH or RDP is needed.

• Two PCAP files are included in the virtual machine:

  • http1.pcapng: used to follow along with examples

  • Exercise.pcapng: used to answer lab questions

• It is recommended that you complete the Networking module before starting this room.

***

🧠 Wireshark Kullanım Alanları, Arayüzü ve Özellikleri (Detaylı Türkçe Açıklama)

🎯 Kullanım Alanları (Use Cases)

Wireshark, piyasadaki en güçlü ağ trafiği analiz araçlarından biridir. Pasif dinleme esasına dayalı çalışır ve doğrudan bir müdahale yapmaz. En yaygın kullanım senaryoları şunlardır:

1. Ağ Problemlerini Tespit Etme ve Çözümleme

   • Aşırı yüklenme, bağlantı kopmaları, trafik darboğazları gibi sorunların analizi

   • Hangi protokolde, nerede yavaşlama yaşandığını anlamak

2. Güvenlik Anomalilerini Tespit Etme

   • Bilinmeyen cihazlar (rogue host), garip port kullanımları, olağandışı trafik desenleri

   • Saldırı öncesi keşif aşamasındaki davranışların gözlenmesi

3. Protokol Eğitimi ve İncelemesi

   • HTTP, DNS, TCP gibi protokollerin yanıt kodları, başlıkları, yükleri (payload) detaylı incelenebilir

   • Özellikle eğitimde ve güvenlik araştırmalarında kullanılır

🔔 Not: Wireshark bir IDS (Intrusion Detection System) değildir. Paketleri analiz eder ama onları durdurmaz veya değiştirmez. Anomalileri tespit etmek tamamen analistin bilgi ve dikkatine bağlıdır.

---

🖥️ Wireshark Arayüzü (GUI) ve Veriye Erişim

Wireshark açıldığında tek sayfalık, yoğun bilgi içeren bir arayüz sunar. Temel bileşenleri:

Bölüm	Açıklama
Toolbar	Paket toplama, filtreleme, özetleme, dışa aktarma gibi işlemleri yapabileceğin menüler ve kısayollar
Display Filter Bar	En önemli bölümlerden biridir. Paketleri filtrelemek için kullanılır (örnek: http, ip.addr==192.168.1.1)
Recent Files	En son açılan dosyaların listesi
Capture Filter & Interfaces	Canlı trafik dinlemek için kullanılacak ağ arayüzü seçimi ve ilk filtreler
Status Bar	Aktif profil, toplam paket sayısı, filtre durumu gibi bilgiler

---

📂 PCAP Dosyalarının Yüklenmesi ve Paket İncelemesi

Wireshark ile .pcap veya .pcapng dosyaları şu yollarla açılabilir:

• Menüden File > Open

• Dosyayı sürükleyip bırakma

• Çift tıklama ile açma

Dosya açıldığında 3 panelde paket detayları gösterilir:

Panel	Açıklama
Packet List Pane	Her paketin genel özetini verir (IP adresleri, protokol, kısa açıklama).
Packet Details Pane	Seçilen paketin protokol katmanları detaylı olarak gösterilir.
Packet Bytes Pane	Paketin ham verisi: hexadecimal ve ASCII olarak gösterilir.

---

🎨 Paket Renkleme (Colouring Rules)

Wireshark, hızlı analiz için renklendirme kuralları kullanır:

• Varsayılan Kurallar: Protokole göre belirlenmiştir. Örneğin HTTP trafik yeşil, TCP üçlü el sıkışma sarı olabilir.

• Geçici Renkleme: Yalnızca oturum boyunca geçerli olur (View > Conversation Filter).

• Kalıcı Renkleme: Her oturumda geçerli olur. (View > Coloring Rules menüsünden ayarlanır).

Bu sistem sayesinde yüzlerce paket arasından anormallikleri daha kolay fark edebilirsin.

---

📡 Trafik Dinleme (Sniffing)

Wireshark ile canlı ağ trafiği dinleyebilirsin:

• Mavi “Shark” butonu: Dinlemeyi başlatır

• Kırmızı buton: Dinlemeyi durdurur

• Yeşil buton: Yeniden başlatır

• Status Bar: Seçilen arayüz ve paket sayısı gösterilir

---

🔗 PCAP Dosyası Birleştirme (Merge)

Wireshark, birden fazla pcap dosyasını birleştirme özelliğine sahiptir:

• File > Merge menüsünden ikinci dosya seçilir

• Paketler sayılır ve mevcut dosya ile birleştirilir

• Yeni bir birleşik dosya olarak kaydedilmesi gerekir

---

🧾 Dosya Bilgilerini Görüntüleme

Çok sayıda pcap ile çalışırken, dosya hakkında bilgi sahibi olmak önemlidir:

• Statistics > Capture File Properties

• Ya da ekranın sol altındaki pcap ikonu tıklanarak

• Görebileceğin bilgiler: dosya adı, hash değeri, kayıt zamanı, yorumlar, kullanılan arayüz vb.

---

🧠 Wireshark - Use Cases, Interface and Features (English Version)

🎯 Use Cases

Wireshark is widely used for:

1. Troubleshooting Network Issues

   • Identifying packet loss, traffic congestion, and failure points

2. Detecting Security Anomalies

   • Finding rogue hosts, abnormal port use, suspicious traffic patterns

3. Studying Protocol Behavior

   • Learning about headers, payloads, and responses (e.g., HTTP, TCP, DNS)

❗ Note: Wireshark is not an IDS. It doesn't block or alter traffic—it only captures and displays it. The quality of analysis depends on the analyst's skills.

---

🖥️ Wireshark GUI & Data Access

The GUI has five key areas:

Section	Description
Toolbar	Includes menus for sniffing, filtering, exporting, and summarizing packets
Display Filter Bar	Core feature for querying and filtering packets
Recent Files	Previously opened capture files for quick access
Capture Filter & Interfaces	Allows selection of interfaces and basic filtering
Status Bar	Shows profile name, active filters, and packet count

---

📂 Loading PCAP Files

You can open capture files via:

• File > Open

• Drag and drop

• Double-click

Once loaded, the packets appear in three panes:

1. Packet List Pane – Summary: source/destination, protocol, info

2. Packet Details Pane – Breakdown of protocol layers

3. Packet Bytes Pane – Hex and ASCII view of the packet

---

🎨 Packet Colouring

Wireshark uses two colouring types:

• Temporary Rules: Set per session (via right-click or View > Conversation Filter)

• Permanent Rules: Saved under profile preferences (View > Coloring Rules)

Default rules help you spot anomalies quickly. You can also create custom rules for targeted analysis.

---

📡 Traffic Sniffing

• 🟦 Blue shark button: start capturing

• 🟥 Red button: stop

• 🟩 Green: restart

• The status bar will update the interface and packet count

---

🔗 Merging PCAPs

Use File > Merge to combine files:

• Select another file

• Wireshark shows the total packet count

• Upon confirmation, it merges and creates a new capture

• You must save this new merged file manually

---

🧾 Viewing File Details

Helpful when analyzing multiple captures:

• Go to Statistics > Capture File Properties

• Or click the pcap icon in the lower left

• Shows metadata like hash, timestamps, comments, and interface info

***

Wireshark’ta Packet Dissection (Paket Ayrıştırma), bir paketin detaylı olarak analiz edilmesi ve hangi protokolleri kullandığının katman katman incelenmesidir. Bu işlem, paketin içeriğini OSI modeline göre çözümleyerek hangi bilgilerin nerede olduğunu ortaya koyar. Wireshark bu ayrıştırmayı otomatik olarak yapar ve kullanıcının paketlerin içinde neler döndüğünü görmesini sağlar.

---

🔬 Packet Dissection Nedir?

Packet dissection, yani protokol ayrıştırma, bir paketin içindeki bilgilerin tanımlanıp detaylandırılmasıdır. Bu işlem sayesinde:

• Her protokolün kendine ait başlıkları ve alanları okunabilir hale gelir.

• Hangi verinin hangi protokol katmanına ait olduğu anlaşılır.

• Gelişmiş analiz ve hata ayıklama yapılabilir.

Wireshark bu ayrıştırmayı OSI (Open Systems Interconnection) modeli çerçevesinde yapar. Yani paketi fiziksel katmandan uygulama katmanına kadar inceleyebiliriz.

⚠️ Not: Burada anlatılanlar OSI modeli hakkında temel bilgi sahibi olduğun varsayılarak hazırlanmıştır. Eğer OSI modeli konusunda eksiklik hissediyorsan önce onu öğrenmeni öneririm.

---

🧱 Packet Details (Paket Detayları)

Wireshark’ta Packet List Pane (üst kısımda, her satır bir pakettir) üzerinde bir pakete tıkladığında, ekranın alt yarısındaki Packet Details Pane (orta kısım) o pakete ait tüm ayrıntıları gösterir. Daha da aşağıda bulunan Packet Bytes Pane, bu detayların hexadecimal (HEX) ve ASCII temsillerini sunar.

📚 Örnek: HTTP paketini inceleyelim

Bir HTTP paketi yedi temel katmandan oluşur ve Wireshark bunları ayrı başlıklar halinde gösterir. Aşağıda her katmanı OSI modeliyle birlikte detaylandıralım:

---

🧩 1. Frame (Layer 1 – Physical)

• Bu kısım paketin fiziksel seviyesi hakkındaki verileri içerir.

• İçeriğinde şunlar olur:

  • Paket numarası

  • Yakalama zaman damgası

  • Paket uzunluğu (bayt cinsinden)

  • Hangi arabirimden geldiği (örneğin eth0 ya da lo)

• Fiziksel seviyede kablo üzerinden geçen veridir ama fiziksel sinyal ayrıntılarına kadar inmez (örneğin voltaj yoktur).

---

🌐 2. Ethernet II (Layer 2 – Data Link)

• Kaynak ve hedef MAC adresleri burada yer alır.

• Ayrıca üst katmana hangi protokolün aktarılacağını belirten EtherType bulunur (örneğin IPv4 için 0x0800).

• Bu katman, ağ içindeki veri iletiminde cihazlar arasında doğrudan iletişimi sağlar.

---

🛰️ 3. Internet Protocol (Layer 3 – Network)

• IP adresleri (kaynak ve hedef) burada gösterilir.

• Hangi protokolün üstte geleceği belirtilir (TCP, UDP gibi).

• TTL, header checksum ve paket parçalaması gibi alanlar da yer alır.

---

🚦 4. TCP/UDP (Layer 4 – Transport)

• TCP/UDP port numaraları burada bulunur.

• Hedef ve kaynak port bilgisi, iletişimin hangi uygulamaya ait olduğunu gösterir.

• TCP için:

  • Sequence/Acknowledgment numaraları

  • Flags (SYN, ACK, FIN gibi)

  • Pencere boyutu gibi bağlantı yönetimi bilgileri

---

❗ Protocol Errors (Layer 4 devamı)

• Eğer TCP paketinde eksik, yeniden birleştirilmesi gereken segmentler varsa burada görülür.

• "TCP segment of a reassembled PDU" gibi notlar görebilirsin.

---

🌍 5. Application Protocol (Layer 5/7 – Application)

• HTTP, FTP, DNS, SMB gibi uygulama protokollerinin başlıkları burada yer alır.

• Örnek olarak bir HTTP isteğinde şunları görebilirsin:

  • GET /index.html HTTP/1.1

  • Host: example.com

  • User-Agent: Mozilla...

---

📦 6. Application Data

• Protokolün taşıdığı ham veri buradadır.

• HTTP yanıtıysa HTML sayfa içeriği, DNS cevabıysa alan adı IP eşlemesi vs. olabilir.

• Bu veriler genellikle protokolün kendisinden bağımsız, taşıdığı içeriktir.

---

🎯 Analiz Yaparken Katmanların Kullanımı

Wireshark’ta bu katmanları kullanarak şu tür analizler yapabilirsin:

• MAC adresi ile ağ üzerindeki fiziksel cihazı tespit edebilirsin (Layer 2).

• IP adresi ile kaynak ve hedef sistemleri bulabilirsin (Layer 3).

• Port numaraları üzerinden hangi servisin çalıştığını çözebilirsin (Layer 4).

• HTTP içerikleri ile yapılan isteğin ne olduğunu öğrenebilirsin (Layer 5/7).

• Protokol hatalarıyla bağlantı sorunlarını yakalayabilirsin.

---

✅ Özetle

Katman	İçerik	Örnek
Layer 1 (Frame)	Paket bilgisi	Paket uzunluğu, arabirim
Layer 2 (Ethernet)	MAC adresleri	00:0c:29:8d:3a:61
Layer 3 (IP)	IP adresleri	192.168.1.10
Layer 4 (TCP/UDP)	Portlar, flags	Port 80, ACK
Layer 4 (devamı)	TCP hataları	Reassembled TCP segment
Layer 5/7 (App Protocol)	HTTP, FTP...	GET /index.html
Uygulama Verisi	HTML vs.	<html>...</html>

---

Bu yapı sayesinde ağ trafiğini hem protokol seviyesinde hem de içerik seviyesinde inceleyebilirsin. Bu da Wireshark'ı sadece bir analiz aracı değil, aynı zamanda bir eğitim ve araştırma laboratuvarı haline getirir.

***

Wireshark Paket Numaraları

Wireshark, incelenen paketlerin sayısını hesaplar ve her pakete benzersiz bir numara atar. Bu, büyük ağ yakalamalarında analiz sürecini kolaylaştırır ve bir olayın belirli bir noktasına dönmeyi sağlar.

---

Paket Numaraları Nedir?

Wireshark her pakete benzersiz bir paket numarası atar. Bu numara, Paket Listesi Penceresi'nde görüntülenir ve analistlerin belirli paketleri takip etmelerini sağlar. Paket numaraları, aşağıdaki durumlarda faydalıdır:

• Paketlerin sırasını takip etmek.

• Belirli paketleri hızlıca bulmak.

• Konuşmalar arasındaki bağlantıyı daha rahat takip etmek (istek ve yanıt çiftleri gibi).

• Büyük capture dosyalarında paketleri analiz etmek ve belirli olayları incelemek için faydalıdır.

---

Paket Numaralarıyla Gezinme

Wireshark, paket numaralarıyla gezintiye olanak tanır ve bu özellik, paketler arasında yukarı ve aşağı hareket etmeyi kolaylaştırır. Ayrıca, pencere içindeki paket takibini sağlar ve belirli bir konuşma bölümündeki bir sonraki paketi bulmanıza yardımcı olur.

• Pakete Git: "Go" menüsünü veya araç çubuğunu kullanarak belirli bir paket numarasına hızlıca gidebilirsiniz.

• Araç Çubuğu Navigasyonu: Wireshark'ın araç çubuğundaki düğmeler ile paketler arasında hızlıca geçiş yapabilirsiniz.

---

Paket Bulma

Wireshark, paket numarasının yanı sıra, paket içeriğine göre de arama yapabilir. Bu, analistlerin ve yöneticilerin belirli bir olayla ilgili paketleri bulmalarına yardımcı olur.

• Arama Türleri:

  • Display Filter (Görüntü Filtre): Belirli bir filtreye uyan paketleri arayabilirsiniz (örneğin, ip.addr == 192.168.1.1).

  • Hexadecimal (Heksadesimal): Paket verilerindeki belirli byte dizilerini arayabilirsiniz.

  • String (Dize): Metinsel içerik araması yapabilirsiniz (örneğin, HTTP istek başlıkları).

  • Regex (Düzenli İfade): Daha karmaşık desenler için düzenli ifade araması yapabilirsiniz.

Wireshark ayrıca büyük/küçük harf duyarsız arama yapar, ancak ihtiyacınıza göre büyük/küçük harf duyarlılığını ayarlayabilirsiniz.

• Arama Alanları: Arama, üç farklı pencerede yapılabilir:

  • Paket Listesi Penceresi: Paketler hakkında genel bilgi.

  • Paket Detayları Penceresi: Protokol bilgileri.

  • Paket Baytları Penceresi: Ham veri (hex ve ASCII formatında).

⚠️ Önemli: Arama alanını doğru seçtiğinizden emin olun. Örneğin, Paket Detayları Penceresi'ndeki veriyi ararken Paket Listesi Penceresi'nde arama yaparsanız, Wireshark bunu bulamayacaktır.

---

Paket İşaretleme

Paket işaretleme özelliği, analistlerin belirli paketleri işaretlemelerini sağlar ve bu paketler siyah renkte görüntülenir, bağlantı türüne bağlı renkten bağımsızdır.

• Neden Paket İşaretlemeli?

  • Önemli Olayları Takip Etmek: Anormal olaylar veya saldırı girişimlerini işaretlemek için kullanılabilir.

  • Belirli Paketleri Dışa Aktarmak: İşaretli paketler yalnızca dışa aktarılabilir, gereksiz veriler hariç tutulur.

Not: İşaretlenen paketler, dosya oturumları arasında kalıcı değildir, yani capture dosyasını kapattığınızda işaretlenen paketler kaybolur.

Paket İşaretleme Nasıl Yapılır?

• Paket Listesi Penceresi'nde bir pakete sağ tıklayın ve "Paket İşaretle" seçeneğini tıklayın.

• "Edit" (Düzenle) menüsünü kullanarak da paketleri işaretleyebilirsiniz.

---

Paket Yorumları

Paket işaretlemeye benzer şekilde, yorum ekleme özelliği de analistler için yararlıdır. Bu özellik, belirli paketlere yorum eklemenizi sağlar ve bu yorumlar, sonraki araştırmalar için önemli noktaları vurgular veya diğer analistlere rehberlik eder.

• Yorumlar Kalıcıdır: Paketlere eklenen yorumlar, capture dosyasının içinde kalır ve dosya kapatılana kadar silinmez.

• Yorum eklemek için, bir pakete sağ tıklayın ve "Paket Yorumları" seçeneğini seçin.

---

Paketleri Dışa Aktarma

Wireshark, binlerce paketi tek bir dosyada saklayabilir. Ancak bazen sadece belirli paketlere odaklanmak ve gereksiz verileri dışa aktarmak gerekebilir. Bu özellik, analistlerin sadece şüpheli paketleri dışa aktarmalarını sağlar.

• Dışa Aktarma: Wireshark, belirli paketleri dışa aktarmak için "File" (Dosya) menüsünü sağlar.

• Dışa Aktarım Formatları: Pcap, CSV veya düz metin gibi çeşitli formatlarda dışa aktarım yapılabilir.

---

Nesneleri Dışa Aktarma (Dosyalar)

Wireshark, ağ üzerinden aktarılan dosyaları çıkarabilir. Bu, güvenlik analistlerinin, ağdaki dosya paylaşımlarını keşfetmelerini ve araştırmalar için kaydetmelerini sağlar.

• Nesne Dışa Aktarma yalnızca belirli protokoller için mümkündür (DICOM, HTTP, IMF, SMB ve TFTP gibi).

• Dosyaları dışa aktarmak için "File" (Dosya) menüsünde "Export Objects" seçeneğini kullanabilirsiniz.

---

Zaman Gösterim Formatı

Wireshark, paketleri yakalandıkları sırayla listeler, ancak "Capture Başlangıcından Saniyeler" biçiminde zaman gösterimi yapar. Bu, ağ olaylarını gerçek dünya zamanına göre karşılaştırmayı zorlaştırabilir.

• UTC Zaman Gösterim Formatı: Gerçek dünya zamanına daha uygun bir görünüm için bu format kullanılabilir.

• Zaman formatını değiştirmek için "View --> Time Display Format" menüsünden istediğiniz biçimi seçebilirsiniz.

---

Uzman Bilgisi (Expert Info)

Wireshark, protokollerle ilgili belirli durumları tespit eder ve analistlerin anomalileri kolayca fark etmelerini sağlar. Uzman bilgisi, farklı şiddet seviyelerine göre gruplandırılmış öneriler sunar.

Uzman Bilgisi Kategorileri:

• Şiddet Seviyeleri:

  • Chat (Mavi): Normal iş akışını gösterir.

  • Note (Siyan): Not edilmesi gereken olaylar, örneğin uygulama hata kodları.

  • Warn (Sarı): Uyarılar, örneğin alışılmadık hata kodları.

  • Error (Kırmızı): Ciddi problemler, örneğin yanlış yapılandırılmış paketler.

Not: Bu bilgiler yalnızca öneriler olup, yanlış pozitifler veya yanlış negatifler olabilir.

Uzman bilgilerini görüntülemek için, durum çubuğunun alt sol köşesini veya "Analyse --> Expert Information" menüsünü kullanabilirsiniz.

---

Özet

Özellik	Açıklama
Paket Numaraları	Her pakete benzersiz bir numara atar, paketleri takip etmeyi ve analiz etmeyi kolaylaştırır.
Paket Bulma	Paket içeriğine göre arama yaparak belirli olayları veya örüntüleri bulabilirsiniz.
Paket İşaretleme	Belirli paketleri işaretleyerek sonraki analizler için önemli paketleri takip edebilirsiniz.
Paket Yorumları	Paketlere yorum ekleyerek araştırmalar için rehberlik sağlarsınız.
Paket Dışa Aktarma	Belirli paketleri dışa aktararak analiz sürecini hızlandırırsınız.
Nesne Dışa Aktarma	Ağ üzerinden aktarılan dosyaları çıkarıp saklayabilirsiniz.
Zaman Gösterim Formatı	Gerçek dünya zamanına daha uygun bir zaman formatı seçebilirsiniz (UTC).
Uzman Bilgisi	Wireshark, protokollerin durumu hakkında bilgi verir ve anormal durumları tespit etmenizi sağlar.

***

🧠 Wireshark Paket Filtreleme – Detaylı Türkçe Açıklama

Wireshark, ağ trafiğini analiz ederken veri yığınını daraltmanıza ve yalnızca ilgilendiğiniz olaylara odaklanmanıza olanak tanıyan güçlü bir filtreleme motoruna sahiptir. Wireshark'ta iki ana filtre türü vardır:

• Capture Filters (Yakalama Filtreleri): Sadece belirli türdeki paketleri kayıt eder.

• Display Filters (Görüntüleme Filtreleri): Tüm kayıtlı paketler arasında sadece belirli kriterlere uyanları gösterir.

Bu odada odaklanacağımız konu, başlangıç seviyesinde kullanıcılara yardımcı olacak olan Display Filters yani görüntüleme filtreleridir.

---

🔍 Temel Filtreleme Yöntemleri

Wireshark’ta filtreleme için iki yöntem vardır:

1. Sorgu yazarak filtreleme (örneğin: ip.src == 192.168.1.1)

2. Sağ tıklama menüsü üzerinden filtreleme

🎯 Altın Kural: "Üzerine tıklayabiliyorsan, filtreleyebilir ve kopyalayabilirsin."

---

✅ Apply as Filter (Filtre Olarak Uygula)

Bu, Wireshark’ta en temel filtreleme yöntemidir. İncelediğiniz paketteki herhangi bir alana sağ tıklayıp “Apply as Filter” seçeneğini kullanarak filtreleyebilirsiniz. Filtre otomatik olarak yazılır ve uygulanır. Sonuç olarak yalnızca seçtiğiniz değere sahip paketler görünür; diğerleri gizlenir.

Durum çubuğunda (en altta) toplam ve gösterilen paket sayısını görebilirsiniz.

---

🔄 Conversation Filter (İletişim Filtreleme)

“Apply as Filter” tek bir değeri filtreler. Ancak bir olayın tüm bağlantı sürecini (aynı IP'ler ve portlar arasında geçen tüm paketleri) incelemek istiyorsanız, Conversation Filter kullanılır. Böylece olayın tüm akışı filtrelenir.

Erişim: Sağ tıklama menüsü → Analyse → Conversation Filter

---

🎨 Colourise Conversation (İletişimi Renklendir)

Bu özellik, “Conversation Filter” gibi bağlantılı paketleri vurgular ama filtre uygulamaz. Yani tüm paketler görünür kalır, sadece ilgilendiğiniz bağlantı renkli hale gelir.

Mevcut renklendirme kurallarını geçersiz kılar.

Geri almak için: View → Colourise Conversation → Reset Colourisation

---

🧱 Prepare as Filter (Filtre Hazırla)

Bu seçenek, filtreyi hazırlar ama hemen uygulamaz. Sağ tıklama ile “Prepare as Filter” derseniz, filtre sorgusu ekranın üstündeki çubuğa eklenir, ama siz Enter’a basana kadar veya “and/or” gibi ek işlemler seçene kadar filtre devreye girmez.

---

📊 Apply as Column (Kolon Olarak Ekle)

Wireshark’ın paket listesinde bazı temel bilgiler yer alır. Ancak ilgilendiğiniz herhangi bir alanı (örneğin TCP flag, MAC adresi vs.) sağ tıklayıp “Apply as Column” derseniz, bu değer özel bir sütun olarak paket listesine eklenir.

Bu, değerlerin yakalanan tüm paketlerde nasıl değiştiğini gözlemlemede oldukça yararlıdır.

---

🔁 Follow Stream (İletişim Akışını Takip Et)

Wireshark, trafiği tek tek paketler halinde gösterir. Ancak bir uygulama düzeyindeki konuşmayı görmek istiyorsanız, örneğin bir HTTP oturumu boyunca gönderilen tüm veriyi bir bütün olarak analiz etmek istiyorsanız, “Follow Stream” özelliğini kullanabilirsiniz.

Bu özellik sayesinde:

• Uygulama düzeyindeki veri yeniden oluşturulur.

• Kullanıcı adı, parola gibi ham veriler gösterilebilir.

• Server paketleri mavi, client paketleri kırmızı renkte görünür.

Bu işlem sonrası Wireshark otomatik bir filtre uygular. Tüm paketleri tekrar görmek için filtre çubuğundaki X butonuna tıklamanız yeterlidir.