- Katılım
- 21 Ocak 2024
- Mesajlar
- 164
- Tepkime puanı
- 36
- Puanları
- 28
Ağ trafiğini izlemek ve analiz etmek, ağ performansını anlamak, güvenlik sorunlarını tespit etmek ve bağlantı sorunlarını gidermek için çok önemlidir. Linux, yöneticilerin ağ trafiğini gerçek zamanlı olarak yakalamasına, incelemesine ve analiz etmesine yardımcı olabilecek çeşitli güçlü araçlar sunar. En sık kullanılan araçlardan üçü tcpdump, Wireshark ve iftop'tur.
Bu yazıda, ağınızı izlemek ve sorunlarını gidermek için bu araçların nasıl kullanılacağını inceleyecek, her bir aracın yetenekleri, sağladıkları verilerin nasıl yorumlanacağı ve ne zaman kullanılacakları hakkında pratik bilgiler paylaşacağım.
Ağ İzleme Neden Önemlidir?
Ağ izleme şunları yapmanızı sağlar:
Sorunları Giderme: Yavaş bağlantıların, kaybolan paketlerin veya yüksek gecikmenin nedenini belirleyin.
Trafiği Analiz Edin: Ağınızda hareket eden trafiğin türünü ve hacmini anlayın.
Güvenlik Tehditlerini Tespit Edin: Hack girişimlerini, kötü amaçlı yazılım saldırılarını veya veri ihlallerini gösterebilecek olağandışı ağ etkinliklerini tespit edin.
Performansı Optimize Edin: Ağ kaynaklarını etkin bir şekilde yönetmek için bant genişliği kullanımını izleyin.
Her biri tartışacağımız araç, farklı analiz yöntemleri ve derinlikleri sağlar, komut satırı basitliğinden ayrıntılı paket incelemesine kadar.
tcpdump, ağ trafiğini yakalamak ve analiz etmek için kullanılan bir komut satırı aracıdır. Paketleri ağ bağlantısı düzeyinde izlemenize, IP, bağlantı noktası, protokol ya da diğer parametrelere göre filtrelemenize olanak tanır. Linux'ta bulunan en güçlü ve yaygın olarak kullanılan paket dinleme araçlarından biridir.
sudo tcpdump [options] [filter]
Bu, yakalanan paketleri doğrudan terminalde görüntüleyecektir. Ancak, çok fazla trafik varsa bu hızlı bir şekilde bunaltıcı hale gelebilir.
Bu, yakalanan paketleri filtreleyerek yalnızca verilen IP adresiyle ilgili olanları görüntüler.
Belirli bir IP adresi ve bağlantı noktasından gelen trafiği yakalamak için filtreleri de birleştirebilirsiniz:
Bu, yakalanan trafiği capture.pcap adlı bir dosyaya yazacaktır. Daha sonra bu dosyayı ayrıntılı inceleme için Wireshark'a yükleyebilirsiniz.
Bu, capture dosyasının içeriğini terminalde görüntüleyecektir.
Wireshark, trafiği ayrıntılı bir düzeyde yakalamanıza ve incelemenize olanak tanıyan grafiksel bir ağ protokolü aracıdır. Tcpdump komut satırından izleme için harika olsa da, Wireshark ağ protokollerinin kodunu çözme ve paketleri görsel olarak filtreleme özellikleriyle ağ trafiğini derinlemesine analiz etmek için daha kullanıcı dostu bir arayüz sağlar.
wireshark &
Wireshark grafiksel bir arayüzle açılacaktır. İzlemek istediğiniz ağ arayüzünü seçin (örn. eth0 veya wlan0), ardından paketleri yakalamaya başlamak için Start (Başlat ) düğmesine tıklayın.
2. Bağlantı noktasına göre filtrele:
3. Protokole göre filtrele:
Filtreler, belirli bir IP adresinden gelen tüm HTTP trafiğini filtrelemek gibi daha ayrıntılı analizler için birleştirilebilir:
iftop, ana bilgisayar bazında bant genişliği kullanımını görüntüleyen gerçek zamanlı konsol tabanlı bir araçtır. Hangi bağlantıların bant genişliği tükettiğini ve ağ üzerinden ne kadar veri aktarıldığını gösterir. Özellikle bant genişliği sorunlarını tanımlamak veya zaman içinde ağ performansını izlemek için kullanışlıdır.
iftop arayüzü, ana bilgisayarların bir listesini ve aralarındaki trafiği gerçek zamanlı olarak görüntüler. Şunları gösterir:
Bu, görüntüyü belirtilen alt ağ içindeki trafikle sınırlar.
Bu yazıda, ağınızı izlemek ve sorunlarını gidermek için bu araçların nasıl kullanılacağını inceleyecek, her bir aracın yetenekleri, sağladıkları verilerin nasıl yorumlanacağı ve ne zaman kullanılacakları hakkında pratik bilgiler paylaşacağım.
Ağ İzleme Neden Önemlidir?
Ağ izleme şunları yapmanızı sağlar:
Sorunları Giderme: Yavaş bağlantıların, kaybolan paketlerin veya yüksek gecikmenin nedenini belirleyin.
Trafiği Analiz Edin: Ağınızda hareket eden trafiğin türünü ve hacmini anlayın.
Güvenlik Tehditlerini Tespit Edin: Hack girişimlerini, kötü amaçlı yazılım saldırılarını veya veri ihlallerini gösterebilecek olağandışı ağ etkinliklerini tespit edin.
Performansı Optimize Edin: Ağ kaynaklarını etkin bir şekilde yönetmek için bant genişliği kullanımını izleyin.
Her biri tartışacağımız araç, farklı analiz yöntemleri ve derinlikleri sağlar, komut satırı basitliğinden ayrıntılı paket incelemesine kadar.
1. tcpdump Kullanımı : Bir Komut Satırı Paket Dinleyicisi
tcpdump, ağ trafiğini yakalamak ve analiz etmek için kullanılan bir komut satırı aracıdır. Paketleri ağ bağlantısı düzeyinde izlemenize, IP, bağlantı noktası, protokol ya da diğer parametrelere göre filtrelemenize olanak tanır. Linux'ta bulunan en güçlü ve yaygın olarak kullanılan paket dinleme araçlarından biridir.
Temel tcpdump Sözdizimi
Tcpdump 'ın temel sözdizimi şöyledir:sudo tcpdump [options] [filter]
- Options (Seçenekler) : Çıktıyı özelleştirin (örneğin, yakalanacak paket sayısı, çıktı biçimi vb.).
- Filter (Filtre) : Yalnızca belirli trafiği yakalayın (örneğin, IP, bağlantı noktası veya protokole dayalı olarak).
tcpdump ile Ağ Trafiğini Yakalama
Belirli bir ağ arayüzündeki (örn. eth0) tüm trafiği yakalamak için:sudo tcpdump -i eth0
Bu, yakalanan paketleri doğrudan terminalde görüntüleyecektir. Ancak, çok fazla trafik varsa bu hızlı bir şekilde bunaltıcı hale gelebilir.
Trafiği IP Adresine Göre Filtreleme
Yalnızca belirli bir IP adresine giden veya gelen trafiği yakalamak için (örn. 192.168.1.100):sudo tcpdump -i eth0 host 192.168.1.100
Bu, yakalanan paketleri filtreleyerek yalnızca verilen IP adresiyle ilgili olanları görüntüler.
Trafiği Bağlantı Noktasına Göre Filtreleme
Belirli bir bağlantı noktasındaki trafiği yakalamak için (örneğin, 80 numaralı bağlantı noktasındaki HTTP trafiği):sudo tcpdump -i eth0 port 80
Belirli bir IP adresi ve bağlantı noktasından gelen trafiği yakalamak için filtreleri de birleştirebilirsiniz:
sudo tcpdump -i eth0 host 192.168.1.100 ve port 80
Yakalanan Paketleri Dosyaya Kaydetme
Yakalanan paketleri daha sonra Wireshark gibi araçlarla analiz etmek için bir dosyaya kaydedebilirsiniz:sudo tcpdump -i eth0 -w capture.pcap
Bu, yakalanan trafiği capture.pcap adlı bir dosyaya yazacaktır. Daha sonra bu dosyayı ayrıntılı inceleme için Wireshark'a yükleyebilirsiniz.
Bir tcpdump Capture Dosyasını Okuma
Kaydedilmiş bir .pcap dosyasını tcpdump ile okumak için şunu kullanın:tcpdump -r capture.pcap
Bu, capture dosyasının içeriğini terminalde görüntüleyecektir.
2. Wireshark ile Trafik Analizi
Wireshark, trafiği ayrıntılı bir düzeyde yakalamanıza ve incelemenize olanak tanıyan grafiksel bir ağ protokolü aracıdır. Tcpdump komut satırından izleme için harika olsa da, Wireshark ağ protokollerinin kodunu çözme ve paketleri görsel olarak filtreleme özellikleriyle ağ trafiğini derinlemesine analiz etmek için daha kullanıcı dostu bir arayüz sağlar.
Wireshark'ı Yükleme
Wireshark'ı Linux sisteminize kurmak için:- Debian/Ubuntu:
sudo apt install wireshark
- CentOS/RHEL:
sudo yum install wireshark
Wireshark ile Paket Yakalama
Kurulduktan sonra, Wireshark'ı masaüstü ortamınızdan başlatın veya terminali kullanın:wireshark &
Wireshark grafiksel bir arayüzle açılacaktır. İzlemek istediğiniz ağ arayüzünü seçin (örn. eth0 veya wlan0), ardından paketleri yakalamaya başlamak için Start (Başlat ) düğmesine tıklayın.
Wireshark'ta Trafiği Filtreleme
Wireshark, belirli trafik türlerine odaklanmak için güçlü filtreleme özellikleri sunar. Bazı yaygın filtreler şunlardır:- IP adresine göre filtrele:
ip.addr == 192.168.1.100
2. Bağlantı noktasına göre filtrele:
tcp.port == 80
3. Protokole göre filtrele:
- Yalnızca HTTP trafiğini görüntülemek için:
Filtreler, belirli bir IP adresinden gelen tüm HTTP trafiğini filtrelemek gibi daha ayrıntılı analizler için birleştirilebilir:
ip.addr == 192.168.1.100 ve http
Wireshark'ta Paketleri İnceleme
Wireshark, yakalanan paketlerdeki protokollerin kodunu çözerek ayrı katmanları (Ethernet, IP, TCP, HTTP, vb.) incelemenizi sağlar. Bu, HTTP üstbilgileri, DNS sorguları ve hatta şifrelenmiş trafik (SSL/TLS) gibi paket içeriklerini analiz etmek için kullanışlıdır.Capture Dosyalarını Kaydetme ve Açma
Capture oturumunuzu File > Save öğesini seçerek kaydedebilirsiniz. Daha sonra analiz etmek için .pcap dosyası olarak kaydedin. Önceden kaydedilmiş bir dosyayı açmak için File (Dosya) > Open (Aç) seçeneğine gidin ve dosyayı seçin.3. iftop ile Bant Genişliği Kullanımını İzleme
iftop, ana bilgisayar bazında bant genişliği kullanımını görüntüleyen gerçek zamanlı konsol tabanlı bir araçtır. Hangi bağlantıların bant genişliği tükettiğini ve ağ üzerinden ne kadar veri aktarıldığını gösterir. Özellikle bant genişliği sorunlarını tanımlamak veya zaman içinde ağ performansını izlemek için kullanışlıdır.
iftop'u Yükleme
iftop 'u sisteminize kurmak için:- Debian/Ubuntu:
sudo apt install iftop
- CentOS/RHEL:
sudo yum install iftop
Bant Genişliğini İzlemek için iftop Kullanma
Belirli bir arayüzdeki (örn. eth0) ağ trafiğini izlemek için şunu kullanın:sudo iftop -i eth0
iftop arayüzü, ana bilgisayarların bir listesini ve aralarındaki trafiği gerçek zamanlı olarak görüntüler. Şunları gösterir:
- Hostnames/IPs: Bağlı cihazların IP adresleri veya ana bilgisayar adları.
- Bandwidth Usage: Cihazlar arasında akan trafik (Kbps/Mbps cinsinden).
- Cumulative Traffic (Kümülatif Trafik): İzlenen süre boyunca aktarılan veriler.
Trafiği iftop ile Filtreleme
Filtreler uygulayarak görüntülenen trafiği sınırlayabilirsiniz. Örneğin, yalnızca belirli bir alt ağdan (örn. 192.168.1.0/24) gelen trafiği görüntülemek için:sudo iftop -F 192.168.1.0/24
Bu, görüntüyü belirtilen alt ağ içindeki trafikle sınırlar.
iftop Çıktısını Yorumlama
iftop üç sütunda trafik hakkında ayrıntılı istatistikler sağlar:- 2 sn: Son 2 saniyedeki bant genişliği kullanımı.
- 10 sn: Son 10 saniyedeki bant genişliği kullanımı.
- 40 sn: Son 40 saniyedeki bant genişliği kullanımı.
Diğer iftop Seçenekleri
- Yerel Trafikle Sınırla:
- Yalnızca yerel ağa giden ve yerel ağdan gelen trafiği görüntülemek için:
sudo iftop -N -n
- Bu, ana bilgisayar adı çözümlemesini devre dışı bırakır ve yalnızca IP adreslerini göstererek ek yükü azaltır ve dahili trafiğe odaklanır.
- iftop çalışırken t tuşuna basarak trafiği bant genişliği kullanımına göre sıralayabilirsiniz.
Görev için Doğru Aracı Seçmek
- tcpdump, komut satırında hızlı paket yakalama ve sorun giderme için idealdir.
- Wireshark, protokollerin kodunu çözmek ve paket ayrıntılarını analiz etmek için mükemmel olan daha derin inceleme sağlar.
- iftop, gerçek zamanlı bant genişliği kullanımını izlemenize ve hangi ana bilgisayarların en çok veri tükettiğini belirlemenize yardımcı olur.