Genel Bakış
Trafik analizi, ağ trafiğinin gözlemlenmesi, incelenmesi ve belgelendirilmesi sürecidir. Bu süreç, ağdaki veri paketlerinin analizi ile gerçekleştirilir. Rocky Linux 9, güçlü araçlar ve uygulamalar sunarak bu tür analizleri gerçekleştirmeyi mümkün kılar. Tcpdump ve Wireshark, en yaygın kullanılan iki trafik analiz aracıdır ve bu araçlar kullanılarak ağ trafiği detaylı bir şekilde gözlemlenebilir.
Tcpdump Nedir?
Tcpdump, komut satırında çalışan bir ağ paket analiz aracıdır. Güçlü ve esnek yapısı sayesinde, belirli bir ağ arayüzünden geçen veri paketlerini izleyebilir ve bu paketleri kaydedebilir. Tcpdump ile birçok farklı protokol analizi yapılabilir ve log dosyaları oluşturulabilir.
Tcpdump’ın kurulumu için öncelikle aşağıdaki komut kullanılabilir:
“`bash
sudo dnf install tcpdump
“`
Kurulumdan sonra, tcpdump komutunu kullanarak belirli bir ağ arayüzünde trafik dinlenebilir. Örneğin, eth0 arayüzünde trafiği dinlemek için şu komut kullanılabilir:
“`bash
sudo tcpdump -i eth0
“`
Bu komut, eth0 arayüzünden geçen tüm paketleri gösterir. Çıktı, her bir paketin zaman damgası, kaynak IP adresi, hedef IP adresi, protokol türü ve daha fazla bilgi içerebilir.
Tcpdump Kullanım Örnekleri
Tcpdump kullanırken, belirli filtreler uygulanarak yalnızca ilgi çekici paketler izlenebilir. Örneğin, belirli bir IP adresine gelen veya giden trafiği izlemek için aşağıdaki komut kullanılabilir:
“`bash
sudo tcpdump -i eth0 host 192.168.1.1
“`
Ayrıca, yalnızca belirli bir protokolü izlemek için de filtreleme yapabilir. Örneğin, sadece TCP trafiğini izlemek için şöyle bir komut kullanılabilir:
“`bash
sudo tcpdump -i eth0 tcp
“`
Tcpdump ile saatte 10 milyondan fazla paketin analiz edilmesi mümkündür. Ancak, bu kadar yoğun bir trafiği analiz etmek için çok dikkatli olunmalıdır. Kayıt dosyası oluşturmak için aşağıdaki gibi bir komut kullanmak mümkündür:
“`bash
sudo tcpdump -i eth0 -w trafik_paketleri.pcap
“`
Wireshark Nedir?
Wireshark, ağ trafiğini detaylı bir şekilde analiz etmeye olanak tanıyan grafiksel bir kullanıcı arayüzüne sahip bir araçtır. Tcpdump’dan farklı olarak, daha kullanıcı dostu bir arayüz sunar ve paketlerin visualizasyonunu sağlar. Ağınızdaki veri akışını daha rahat anlamak için Wireshark tercih edilebilir.
Wireshark’ın kurulumunu yapmak için, öncelikle gerekli depoların eklenmiş olması gereklidir. Kurulum için aşağıdaki komut kullanılabilir:
“`bash
sudo dnf install wireshark
“`
Kurulum tamamlandıktan sonra, Wireshark uygulaması başlatılarak kullanmaya başlanabilir. Uygulama, ağ arayüzleri listesini gösterir ve hangi arayüz üzerinden trafiğin izlendiği seçilebilir.
Wireshark Kullanımı
Wireshark ile trafik analizi yaparken bazı temel özellikler bulunmaktadır. Öncelikle, seçilen arayüz üzerinden geçen tüm paketler anlık olarak gözlemlenebilir. Kullanıcı, belirli paketleri filtrelemek için “Display Filter” sekmesini kullanabilir. Örneğin, belirli bir IP adresine ait trafiği izlemek için şu filtre kullanılabilir:
“`
ip.addr == 192.168.1.1
“`
Farklı protokollere göre filtreleme yapmak mümkündür. Örneğin, yalnızca TCP protokolü için filtreleme şöyle yapılabilir:
“`
tcp
“`
Ayrıca, Wireshark ile kayıtlı bir dosya açabilir veya tcpdump ile oluşturulan .pcap dosyalarını inceleyebilir. Kayıtlı dosyalar üzerinden analiz yapmak, sürükleyici bir kullanıcı deneyimi sunar ve bu sayede detaylı inceleme yapılabilir.
Sonuç
Trafik analizi, ağ yönetiminde kritik bir rol oynamaktadır. Rocky Linux 9 üzerinde tcpdump ve Wireshark kullanarak ağ trafiği incelenebilir ve analiz edilebilir. Tcpdump, komut satırında çalışan güçlü bir araçken, Wireshark, grafiksel arayüzü ile kullanıcı dostu bir deneyim sunar. Bu araçlarla gerçekleştirilen trafik analizi, ağ güvenliği, performans izlemesi ve suret yönetimi gibi çeşitli alanlarda önemli katkılar sağlar. Trafik analizi süreci, sürekli olarak gelişen ve güncellenen bir alan olduğundan, kullanıcıların bu araçları etkili bir şekilde kullanmayı öğrenmeleri hayati önem arz etmektedir.
