Tcpdump, Kali Linux üzerinde yaygın olarak kullanılan ve ağ trafiğini yakalamak, analiz etmek için kullanılan güçlü bir komut satırı tabanlı ağ paket yakalama aracıdır. Tcpdump, ağ trafiğini incelemek, ağ sorunlarını tespit etmek ve güvenlik analizleri yapmak için kullanılır. Özellikle sızma testi uzmanları ve ağ yöneticileri tarafından ağ üzerinde hangi paketlerin geçtiğini görmek ve analiz etmek amacıyla tercih edilir.
Tcpdump’ın Temel Özellikleri
- Ağ trafiği yakalama: Belirli bir ağ arayüzünde geçen paketleri yakalar.
- Filtreleme yeteneği: Trafiği belirli IP adreslerine, portlara veya protokollere göre filtreleyebilir.
- Canlı trafik inceleme: Ağ üzerindeki trafiği gerçek zamanlı olarak analiz eder.
- Paketlerin kaydedilmesi: Yakalanan trafiği analiz etmek üzere dosyaya kaydedebilir (genellikle
.pcap
formatında). - Güçlü filtre desteği: İhtiyacınıza göre sadece belirli paketleri yakalamak için filtreler tanımlayabilirsiniz.
Tcpdump’ın Kurulumu
Kali Linux üzerinde Tcpdump genellikle önceden yüklü gelir. Eğer kurulu değilse şu komutu kullanarak yükleyebilirsiniz:
sudo apt install tcpdump
Tcpdump’ın Temel Kullanım Formatı
Tcpdump komut satırında aşağıdaki formatta çalıştırılır:
sudo tcpdump [seçenekler] [filtre]
- [seçenekler]: Yakalamak istediğiniz paketlerle ilgili çeşitli parametreleri belirtir (örneğin, ağ arayüzü, çıkış dosyası).
- [filtre]: Belirli IP adresleri, portlar, protokoller vb. için trafik filtrelemek amacıyla kullanılır.
Tcpdump Kullanım Senaryoları
1. Tüm Trafiği Yakalama
Varsayılan olarak, Tcpdump belirtilen ağ arayüzünde geçen tüm trafiği yakalar. Örneğin, eth0
ağ arayüzündeki trafiği yakalamak için şu komutu kullanabilirsiniz:
sudo tcpdump -i eth0
-i eth0
: Hangi ağ arayüzünde yakalama yapılacağını belirtir (bu örnekteeth0
).
Bu komut, o ağ arayüzünden geçen tüm trafiği gösterir. Tcpdump çıktısını gerçek zamanlı olarak terminalde görüntüler.
2. Belirli Bir IP Adresine Göre Trafik Yakalama
Belirli bir IP adresine göre trafik yakalamak için filtre ekleyebilirsiniz. Örneğin, sadece 192.168.1.1
adresine giden veya bu adresten gelen trafiği yakalamak için:
sudo tcpdump -i eth0 host 192.168.1.1
Bu komut, 192.168.1.1
IP adresiyle ilgili tüm trafiği yakalar (hem giriş hem çıkış).
3. Belirli Bir Porta Göre Trafik Yakalama
Belirli bir port numarasını hedef alarak, o porta giden veya o porttan gelen trafiği yakalayabilirsiniz. Örneğin, 80 numaralı HTTP portuna göre trafiği yakalamak için:
sudo tcpdump -i eth0 port 80
Bu komut, sadece HTTP trafiğini (port 80) yakalar ve terminale gerçek zamanlı olarak görüntüler.
4. Belirli Bir Protokole Göre Trafik Yakalama
Belirli bir protokole göre filtreleme yaparak, sadece belirli protokolleri yakalayabilirsiniz. Örneğin, sadece ICMP (ping) trafiğini yakalamak için:
sudo tcpdump -i eth0 icmp
Bu komut, sadece ICMP trafiğini (ping) yakalar ve gösterir.
5. Yakalanan Paketleri Dosyaya Kaydetme
Ağ trafiğini daha sonra analiz etmek üzere bir dosyaya kaydedebilirsiniz. Tcpdump, yakalanan trafiği .pcap
formatında kaydeder. Örneğin, tüm trafiği bir dosyaya kaydetmek için:
sudo tcpdump -i eth0 -w capture.pcap
-w capture.pcap
: Trafiğicapture.pcap
dosyasına kaydeder.
Bu dosya daha sonra Wireshark gibi analiz araçlarıyla incelenebilir.
6. Bir .pcap Dosyasını Okuma
Tcpdump ile daha önce kaydedilen bir .pcap
dosyasını analiz etmek için şu komutu kullanabilirsiniz:
sudo tcpdump -r capture.pcap
-r capture.pcap
: Daha önce kaydedilencapture.pcap
dosyasını okur ve terminalde gösterir.
7. Sadece Belirli Sayıda Paketi Yakalama
Yakalanacak paket sayısını sınırlamak için Tcpdump’a kaç paket yakalamasını istediğinizi belirtebilirsiniz. Örneğin, sadece 10 paket yakalamak için:
sudo tcpdump -i eth0 -c 10
-c 10
: Yalnızca 10 paket yakalar ve ardından durur.
8. Belirli Bir Port Üzerinden TCP Trafiğini Yakalama
Belirli bir port üzerinden geçen TCP trafiğini yakalamak için şu komutu kullanabilirsiniz:
sudo tcpdump -i eth0 tcp port 443
Bu komut, eth0
arayüzünde 443 numaralı port üzerinden geçen tüm TCP trafiğini yakalar (HTTPS trafiği).
9. Yalnızca Giden veya Gelen Trafiği Yakalama
Sadece giden veya gelen trafiği yakalamak için src
(kaynak) veya dst
(hedef) filtrelerini kullanabilirsiniz:
- Kaynak IP’si
192.168.1.1
olan trafiği yakalama:
sudo tcpdump -i eth0 src 192.168.1.1
- Hedef IP’si
192.168.1.1
olan trafiği yakalama:
sudo tcpdump -i eth0 dst 192.168.1.1
10. DNS Trafiğini Yakalama
DNS trafiğini yakalamak için port 53
filtresi kullanılabilir, çünkü DNS sorguları ve yanıtları bu port üzerinden geçer:
sudo tcpdump -i eth0 port 53
Bu komut, DNS sorgularını ve yanıtlarını yakalar.
Tcpdump Kullanımına Dair Diğer Seçenekler
-n
: IP adreslerini çözümlemeden görüntüler. DNS çözümlemeyi devre dışı bırakır ve böylece yakalanan verileri daha hızlı gösterir.-nn
: Hem IP adreslerini hem de port numaralarını çözümlemeden gösterir.-X
: Paketlerin hem başlık bilgilerini hem de veri içeriğini görüntüler (ASCII ve HEX formatında).-XX
: Paket başlıklarıyla birlikte tüm paketi hem hexadecimal hem de ASCII formatında görüntüler.-v
,-vv
,-vvv
: Daha ayrıntılı bilgi verir. Paketlerin ayrıntı seviyesini artırır.
Tcpdump Kullanımında Dikkat Edilmesi Gerekenler
- Ağ Trafiğini İzleme: Tcpdump, çok fazla veri üretebilir. Büyük ağlarda çalışıyorsanız filtreler kullanarak sadece ilgilendiğiniz trafiği yakalamak önemlidir.
- Root Yetkisi Gerektirir: Tcpdump, ağ arayüzlerine doğrudan erişim gerektirdiği için root yetkisiyle çalıştırılmalıdır.
- Yüksek Ağ Trafiği: Ağda yoğun trafik varsa, yakalanan veriler çok hızlı bir şekilde artabilir. Bu nedenle, sadece ilgili trafiği filtrelemek önemlidir.
- Hassas Bilgiler: Tcpdump ile ağ üzerinde hassas bilgiler (şifreler, kimlik bilgileri) yakalanabilir. Bu nedenle bu aracı dikkatli ve etik kurallara uygun kullanmak gerekir.
Tcpdump’ın Etik Kullanımı
Tcpdump, çok güçlü bir ağ trafiği analiz aracıdır ve yalnızca izin verilen ağlarda kullanılmalıdır. İzinsiz olarak bir ağdaki trafiği izlemek yasa dışıdır ve ciddi hukuki sonuçlar doğurabilir. Bu nedenle Tcpdump’ı sadece kendi ağınızda veya test izni aldığınız ağlarda kullanmanız gerekir.
Sonuç
Tcpdump, ağ trafiğini yakalamak ve analiz etmek için en güçlü ve esnek araçlardan biridir. Belirli portlara, protokollere ve IP adreslerine göre filtreleme yaparak detaylı analiz yapabilir,
trafiği inceleyebilir ve kaydedebilirsiniz. Kali Linux’ta güvenlik uzmanları ve ağ yöneticileri tarafından ağ analizi ve güvenlik değerlendirmesi için sıkça kullanılır.
İçerik ChatGPT yapay zeka botu üzerinden alınan bilgiler doğrultusunda oluşturulmuştur. İçerikteki bilgilerin doğruluğu teyide muhtaçtır. İçerikler ile ilgili herhangi bir sorun, öneri veya şikayetiniz olduğu takdirde iletişim sayfasından yazabilirsiniz.
Yorum Yap