Linux ile Ağ Trafiğini İzleme ve Analiz Etme

  • Konbuyu başlatan Konbuyu başlatan Hüseyin
  • Başlangıç tarihi Başlangıç tarihi

Hüseyin

Üye
Top Poster Of Month
Katılım
21 Ocak 2024
Mesajlar
164
Tepkime puanı
36
Puanları
28
Ağ trafiğini izlemek ve analiz etmek, ağ performansını anlamak, güvenlik sorunlarını tespit etmek ve bağlantı sorunlarını gidermek için çok önemlidir. Linux, yöneticilerin ağ trafiğini gerçek zamanlı olarak yakalamasına, incelemesine ve analiz etmesine yardımcı olabilecek çeşitli güçlü araçlar sunar. En sık kullanılan araçlardan üçü tcpdump, Wireshark ve iftop'tur.

Bu yazıda, ağınızı izlemek ve sorunlarını gidermek için bu araçların nasıl kullanılacağını inceleyecek, her bir aracın yetenekleri, sağladıkları verilerin nasıl yorumlanacağı ve ne zaman kullanılacakları hakkında pratik bilgiler paylaşacağım.

Ağ İzleme Neden Önemlidir?

Ağ izleme şunları yapmanızı sağlar:

Sorunları Giderme: Yavaş bağlantıların, kaybolan paketlerin veya yüksek gecikmenin nedenini belirleyin.
Trafiği Analiz Edin: Ağınızda hareket eden trafiğin türünü ve hacmini anlayın.
Güvenlik Tehditlerini Tespit Edin: Hack girişimlerini, kötü amaçlı yazılım saldırılarını veya veri ihlallerini gösterebilecek olağandışı ağ etkinliklerini tespit edin.
Performansı Optimize Edin: Ağ kaynaklarını etkin bir şekilde yönetmek için bant genişliği kullanımını izleyin.

Her biri tartışacağımız araç, farklı analiz yöntemleri ve derinlikleri sağlar, komut satırı basitliğinden ayrıntılı paket incelemesine kadar.


1. tcpdump Kullanımı : Bir Komut Satırı Paket Dinleyicisi​

tcpdump.png


tcpdump, ağ trafiğini yakalamak ve analiz etmek için kullanılan bir komut satırı aracıdır. Paketleri ağ bağlantısı düzeyinde izlemenize, IP, bağlantı noktası, protokol ya da diğer parametrelere göre filtrelemenize olanak tanır. Linux'ta bulunan en güçlü ve yaygın olarak kullanılan paket dinleme araçlarından biridir.

Temel tcpdump Sözdizimi​

Tcpdump 'ın temel sözdizimi şöyledir:

sudo tcpdump [options] [filter]
  • Options (Seçenekler) : Çıktıyı özelleştirin (örneğin, yakalanacak paket sayısı, çıktı biçimi vb.).
  • Filter (Filtre) : Yalnızca belirli trafiği yakalayın (örneğin, IP, bağlantı noktası veya protokole dayalı olarak).

tcpdump ile Ağ Trafiğini Yakalama​

Belirli bir ağ arayüzündeki (örn. eth0) tüm trafiği yakalamak için:

sudo tcpdump -i eth0

Bu, yakalanan paketleri doğrudan terminalde görüntüleyecektir. Ancak, çok fazla trafik varsa bu hızlı bir şekilde bunaltıcı hale gelebilir.

Trafiği IP Adresine Göre Filtreleme​

Yalnızca belirli bir IP adresine giden veya gelen trafiği yakalamak için (örn. 192.168.1.100):

sudo tcpdump -i eth0 host 192.168.1.100

Bu, yakalanan paketleri filtreleyerek yalnızca verilen IP adresiyle ilgili olanları görüntüler.

Trafiği Bağlantı Noktasına Göre Filtreleme​

Belirli bir bağlantı noktasındaki trafiği yakalamak için (örneğin, 80 numaralı bağlantı noktasındaki HTTP trafiği):

sudo tcpdump -i eth0 port 80

Belirli bir IP adresi ve bağlantı noktasından gelen trafiği yakalamak için filtreleri de birleştirebilirsiniz:

sudo tcpdump -i eth0 host 192.168.1.100 ve port 80

Yakalanan Paketleri Dosyaya Kaydetme​

Yakalanan paketleri daha sonra Wireshark gibi araçlarla analiz etmek için bir dosyaya kaydedebilirsiniz:

sudo tcpdump -i eth0 -w capture.pcap

Bu, yakalanan trafiği capture.pcap adlı bir dosyaya yazacaktır. Daha sonra bu dosyayı ayrıntılı inceleme için Wireshark'a yükleyebilirsiniz.

Bir tcpdump Capture Dosyasını Okuma​

Kaydedilmiş bir .pcap dosyasını tcpdump ile okumak için şunu kullanın:

tcpdump -r capture.pcap

Bu, capture dosyasının içeriğini terminalde görüntüleyecektir.

2. Wireshark ile Trafik Analizi​

Wireshark.png


Wireshark, trafiği ayrıntılı bir düzeyde yakalamanıza ve incelemenize olanak tanıyan grafiksel bir ağ protokolü aracıdır. Tcpdump komut satırından izleme için harika olsa da, Wireshark ağ protokollerinin kodunu çözme ve paketleri görsel olarak filtreleme özellikleriyle ağ trafiğini derinlemesine analiz etmek için daha kullanıcı dostu bir arayüz sağlar.

Wireshark'ı Yükleme​

Wireshark'ı Linux sisteminize kurmak için:

  • Debian/Ubuntu:
sudo apt install wireshark

  • CentOS/RHEL:
sudo yum install wireshark

Wireshark ile Paket Yakalama​

Kurulduktan sonra, Wireshark'ı masaüstü ortamınızdan başlatın veya terminali kullanın:

wireshark &

Wireshark grafiksel bir arayüzle açılacaktır. İzlemek istediğiniz ağ arayüzünü seçin (örn. eth0 veya wlan0), ardından paketleri yakalamaya başlamak için Start (Başlat ) düğmesine tıklayın.

Wireshark'ta Trafiği Filtreleme​

Wireshark, belirli trafik türlerine odaklanmak için güçlü filtreleme özellikleri sunar. Bazı yaygın filtreler şunlardır:

  1. IP adresine göre filtrele:
ip.addr == 192.168.1.100

2. Bağlantı noktasına göre filtrele:


3. Protokole göre filtrele:

  • Yalnızca HTTP trafiğini görüntülemek için:

Filtreler, belirli bir IP adresinden gelen tüm HTTP trafiğini filtrelemek gibi daha ayrıntılı analizler için birleştirilebilir:

ip.addr == 192.168.1.100 ve http

Wireshark'ta Paketleri İnceleme​

Wireshark, yakalanan paketlerdeki protokollerin kodunu çözerek ayrı katmanları (Ethernet, IP, TCP, HTTP, vb.) incelemenizi sağlar. Bu, HTTP üstbilgileri, DNS sorguları ve hatta şifrelenmiş trafik (SSL/TLS) gibi paket içeriklerini analiz etmek için kullanışlıdır.

Capture Dosyalarını Kaydetme ve Açma​

Capture oturumunuzu File > Save öğesini seçerek kaydedebilirsiniz. Daha sonra analiz etmek için .pcap dosyası olarak kaydedin. Önceden kaydedilmiş bir dosyayı açmak için File (Dosya) > Open (Aç) seçeneğine gidin ve dosyayı seçin.

3. iftop ile Bant Genişliği Kullanımını İzleme​

iftop.png


iftop, ana bilgisayar bazında bant genişliği kullanımını görüntüleyen gerçek zamanlı konsol tabanlı bir araçtır. Hangi bağlantıların bant genişliği tükettiğini ve ağ üzerinden ne kadar veri aktarıldığını gösterir. Özellikle bant genişliği sorunlarını tanımlamak veya zaman içinde ağ performansını izlemek için kullanışlıdır.

iftop'u Yükleme​

iftop 'u sisteminize kurmak için:

  • Debian/Ubuntu:
sudo apt install iftop

  • CentOS/RHEL:
sudo yum install iftop

Bant Genişliğini İzlemek için iftop Kullanma​

Belirli bir arayüzdeki (örn. eth0) ağ trafiğini izlemek için şunu kullanın:

sudo iftop -i eth0

iftop arayüzü, ana bilgisayarların bir listesini ve aralarındaki trafiği gerçek zamanlı olarak görüntüler. Şunları gösterir:

  • Hostnames/IPs: Bağlı cihazların IP adresleri veya ana bilgisayar adları.
  • Bandwidth Usage: Cihazlar arasında akan trafik (Kbps/Mbps cinsinden).
  • Cumulative Traffic (Kümülatif Trafik): İzlenen süre boyunca aktarılan veriler.

Trafiği iftop ile Filtreleme​

Filtreler uygulayarak görüntülenen trafiği sınırlayabilirsiniz. Örneğin, yalnızca belirli bir alt ağdan (örn. 192.168.1.0/24) gelen trafiği görüntülemek için:

sudo iftop -F 192.168.1.0/24

Bu, görüntüyü belirtilen alt ağ içindeki trafikle sınırlar.

iftop Çıktısını Yorumlama​

iftop üç sütunda trafik hakkında ayrıntılı istatistikler sağlar:

  • 2 sn: Son 2 saniyedeki bant genişliği kullanımı.
  • 10 sn: Son 10 saniyedeki bant genişliği kullanımı.
  • 40 sn: Son 40 saniyedeki bant genişliği kullanımı.
Bu, hangi cihazların en fazla bant genişliğini tükettiğini hızlı bir şekilde değerlendirmenize ve ağ kullanımındaki kalıpları belirlemenize yardımcı olur.

Diğer iftop Seçenekleri​

  • Yerel Trafikle Sınırla:
  • Yalnızca yerel ağa giden ve yerel ağdan gelen trafiği görüntülemek için:
  • Bu, ana bilgisayar adı çözümlemesini devre dışı bırakır ve yalnızca IP adreslerini göstererek ek yükü azaltır ve dahili trafiğe odaklanır.
Trafiğe Göre Sırala:

  • iftop çalışırken t tuşuna basarak trafiği bant genişliği kullanımına göre sıralayabilirsiniz.

Görev için Doğru Aracı Seçmek​

  • tcpdump, komut satırında hızlı paket yakalama ve sorun giderme için idealdir.
  • Wireshark, protokollerin kodunu çözmek ve paket ayrıntılarını analiz etmek için mükemmel olan daha derin inceleme sağlar.
  • iftop, gerçek zamanlı bant genişliği kullanımını izlemenize ve hangi ana bilgisayarların en çok veri tükettiğini belirlemenize yardımcı olur.
 
Geri
Üst