Wireshark Rehberi 

1 Aralık 2025

Wireshark Rehberi 

Wireshark Rehberi

Networkte "Yavaşlık var", "Bağlantı kopuyor" veya "Uygulama hata veriyor" şikayetleri günlük hayatımızın bir parçasıdır. Loglar size ne olduğunu söyler, ancak Wireshark size neden olduğunu gösterir. SIEM ve Monitoring toolları genel sağlığı gösterirken, Wireshark cerrahın neşteri gibidir; sorunun kaynağına iner.

İşte bir network mühendisinin çantasında mutlaka bulunması gereken Wireshark kullanım stratejileri.

1. Doğru Yerden Dinleme (Capture Location)

Wireshark kullanmanın ilk kuralı "Nereyi dinleyeceğini bilmektir". Yanlış yerden alınan veri (pcap), yanlış teşhise götürür.

  • Lokal PC: Sorun tek bir kullanıcıdaysa, direkt o PC üzerine kurulup bakılabilir.

  • Port Mirroring (SPAN): Sorun sunucu veya switch tarafındaysa, trafiğin kopyasını bir porta yönlendirip oradan dinleme yapmalısınız.

  • FortiGate/Firewall Packet Capture: Bizim gibi Fortinet kullananlar için hayat kurtarıcıdır. Network > Packet Capture menüsünden belirli bir IP veya port filtrelenerek alınan .pcap dosyası bilgisayara indirilip Wireshark ile incelenir.

2. Filtreleme

Ham veri (Raw data) göz korkutucudur. İki tür filtre vardır:

A. Capture Filters (Yakalamadan Önce)

Diskiniz dolmasın diye sadece ilgili trafiği kaydeder.

  • Sadece bir IP'yi kaydet: host 192.168.1.50

  • Sadece bir portu kaydet: port 80

B. Display Filters (İncelerken)

Wireshark analizlerinde işinizi kolaylaştıracak temel filtreleme komutları şöyledir:

Öncelikle, kaynak veya hedef fark etmeksizin belirli bir IP adresini filtrelemek isterseniz ip.addr == 192.168.1.10 komutunu kullanabilirsiniz. Analizi daraltıp sadece belirli iki IP arasındaki trafiği görmek için ise araya "ve" operatörünü koyarak ip.addr == 192.168.1.10 && ip.addr == 8.8.8.8 şeklinde yazmalısınız.

Protokol bazlı incelemelerde, örneğin sadece TCP 443 (HTTPS) trafiğine odaklanmak için tcp.port == 443 filtresi yeterlidir. Ağ sağlığını kontrol ederken TCP Retransmission (Paket kaybı) durumlarını tespit etmek için tcp.analysis.retransmission komutu hayati önem taşır.

Web uygulamalarındaki sorunları çözerken HTTP hatalarını (400 Bad Request, 500 Internal Server Error vb.) topluca görmek için http.response.code > 399 yazabilirsiniz. Son olarak, güvenlik analizi yaparken paket içeriklerinde metin taraması yapmak, örneğin içinde "password" geçen paketleri bulmak için frame contains "password" komutu kullanılır.

3. Sorun Giderme Senaryoları (Troubleshooting)

Senaryo 1: "İnternet/Uygulama Çok Yavaş" (Latency Analizi)

Kullanıcı "yavaş" der, ama sorun networkte mi yoksa sunucunun cevabında mı?

  • TCP Handshake: 3-Way Handshake (SYN, SYN-ACK, ACK) süresine bakın.

  • Time Delta: Wireshark'ta View > Time Display Format > Seconds Since Previous Displayed Packet seçeneğini açın.

    • Eğer istemciden sunucuya giden paket (SYN) ile sunucudan dönen cevap (SYN-ACK) arasında milisaniyeler (ms) değil saniyeler varsa, sorun network gecikmesidir.

    • Eğer ACK (İstek) hızlı gidiyor ama sunucudan "Data" (HTTP 200 OK vb.) geç dönüyorsa, network sağlamdır; sunucu (uygulama/veritabanı) yavaştır.

Senaryo 2: Paket Kaybı ve Bağlantı Kopması

Ekranda sık sık Siyah Arka Plan üzerine Kırmızı Yazılar görüyorsanız dikkat!

  • TCP Retransmission: Bir paket gönderildi ama ACK (alındı bilgisi) gelmediği için tekrar gönderildi. Ağda "congestion" (tıkanıklık) veya fiziksel bir kablo/interface sorunu olabilir.

  • TCP Duplicate ACK: Paket sırası karışmış veya bazı paketler düşmüş demektir.

Senaryo 3: Güvenlik Analizi

Bir siber güvenlikçi gözüyle Wireshark, ağdaki anormallikleri görmek için harikadır.

  • Clear Text Passwords: Filtreye http || telnet || ftp yazın. Şifrelenmemiş (HTTP/Telnet) trafik akıyorsa, kullanıcı adları ve şifreler "Follow TCP Stream" dendiğinde kabak gibi ortadadır.

  • SYN Flood: Saniyede binlerce SYN paketi gidiyor ama hiç ACK dönmüyorsa, biri muhtemelen port taraması (Scanning) veya DoS saldırısı yapıyordur.

4. Renklerin Dili

Wireshark varsayılan olarak trafiği renklendirir. Bu renkler rastgele değildir:

  • Yeşil: Normal TCP trafiği.

  • Mavi: DNS trafiği.

  • Siyah (Kırmızı yazılı): TCP hataları (Retransmission, Bad Checksum). Gözünüz her zaman bu renklerde olsun.

5. İleri Seviye: I/O Grafikleri

Sayılar arasında kaybolmak yerine görselleştirin.

  • Statistics > I/O Graphs menüsünü açın.

  • Burada ağ trafiğindeki ani yükselmeleri (Spike) veya bağlantının tamamen koptuğu anları zaman çizelgesi üzerinde görebilirsiniz.

yazar: Asrın Haktan Şahin