Linux'ta TCPDump ve Wireshark kullanarak ağ trafiğini analiz etmek, veri iletimini izlemenin ve ağ hatalarını veya güvenlik ihlallerini belirlemenin etkili bir yoludur.

Wireshark ile Paket Analizi

Wireshark Kurulumu

Debian tabanlı dağıtımlarda Wireshark'ı yüklemek için aşağıdaki komutları kullanabilirsiniz:

sudo apt-get update
sudo apt-get install wireshark

Red Hat tabanlı dağıtımlarda ise şu komutları kullanabilirsiniz:

sudo yum install wireshark

Wireshark Kullanımı

Wireshark'ı başlattıktan sonra, TCPDump ile oluşturulan veya herhangi bir şekilde erişilebilinen .pcap dosyasını açabilirsiniz. "File" menüsünden "Open" seçeneğini tıklayın ve .pcap dosyanızı bulun.

Dosyayı açtıktan sonra, paketlerin listesini ve her bir paketin detaylarını görürsünüz. Bir paket seçtiğinizde, paketin ayrıntıları alt panellerde görünür.

Wireshark ayrıca gelişmiş filtreleme seçenekleri sunar. Bu filtreler, belirli bir protokol, IP adresi veya port numarası gibi özelliklere göre paketleri filtrelememizi sağlar. Bu, geniş veri setleri arasında belirli bilgileri bulmayı kolaylaştırır.

Wireshark'ta "Display Filter" bölümüne yazarak paketleri filtreleyebilirsiniz. Örneğin, SSH paketlerini görmek için "ssh" yazabilirsiniz.

"Statistics" menüsünden erişilebilecek bir dizi istatistik ve grafik sunar. Bu özellikler, ağ performansı, TCP akış analizi, protokol hiyerarşisi ve daha fazlası hakkında bilgi sağlar.

Sonuç olarak, TCPDump ve Wireshark, Linux'ta ağ trafiğini analiz etmek için oldukça etkili araçlardır. TCPDump, komut satırı tabanlı bir paket yakalama aracıdır ve hafifliği ve esnekliği nedeniyle popülerdir. Wireshark ise grafiksel bir kullanıcı arayüzü sunar ve ayrıntılı ağ analizi ve filtreleme yetenekleri ile bilinir. Bu iki araç birlikte kullanıldığında, ağ trafiğini detaylı bir şekilde analiz etmek mümkün hale gelir.