Find out an ip from MSN Messenger, How to WireShark, Msn Capture
Günümüzde neredeyse hemen hemen tüm internet kullanıcılarının kendilerine ait birer MSN adresi bulunmaktadır. ( Benim msn adresim sistemdoktoru@hotmail.com ?dur, dileyenler ekleyebilir.) Durum böyle olunca msn adresinizdeki kişi sayısı gün geçtikçe büyümektedir, büyüme sizlerinde bildiği gibi iki şekilde olabilmektedir; ilk yöntemde siz adresinize yeni bir kullanıcı eklersiniz, ikinci yöntemde ise başka bir kullanıcı sizi listesine ekler. Kendi eklediklerimizin kim olduklarını elbette biliyoruz, peki ya bizi ekleyen ve kimliğini gizli tutan, kendisine ait bilgileri yalan yanlış veren, engellememize rağmen sürekli farklı adresler ile yeniden ekleyen veya bir şekilde bize şantaj yapan kişiyi bulmak için neler yapabiliriz? Bu makalemizde msn üzerinden sohbet ettiğiniz bir kişinin IP numarasını nasıl bulabilirsiniz ve bu IP adresi ile neler yapabilirsiniz bunları konuşacağız.
Bunu konuşurken dünyanın en çok bilinen Sniffer?ı olan Wireshark?ı kullanacağız. Wireshark ismi size pek tanıdık gelmemiş olabilir, eski adıyla Ethereal olarak bilinmektedir. Yandaki şekilde görülen logolardan üstte olan Wireshark?ın logosudur, alttaki logo ise Etheral?ın logosu olarak kullanılıyordu.
 Ethereal programı 2006 yazına kadar namını sürdürmüştür ve firma devredilince devralanlar ismini Wireshark olarak değiştirmişlerdir. Wireshark, Unix ve Windows için geliştirilmiş açık kaynak kodlu bir network protokol analiz programıdır. Network üzerinde canlı olarak akan datanın veya daha önce Capture edilmiş datanın deyim yerindeyse muayene edilmesini sağlar, yani datanın içini okur, saklı bilgileri ortaya çıkarır, ihtiyaç duyduğunuz şekilde datayı derinlemesine olarak ayıklar. Wireshark, birkaç etkili özelliğe sahiptir, zengin bir ekran filtreleme dili vardır, bir TCP oturumunun akışını su yüzüne çıkararak onu görüntüleyebilmemizi sağlar, Ayrıca yüzlerce protokol ve media tiplerini desteklemektedir. Bu yazımızda Wireshark?ın diğer özelliklerinden ziyade bizi ilgilendiren kısmından bahsedeceğiz, bu kadar bilgilendirmeden sonra artık başlayabiliriz.
İlk etapta amacımız Msn listemizde olan bir kişinin IP numarasını bulabilmektir, IP adresini bulabildikten sonra neler yapabileceğimizi konuşacağız.
İlk önce gerekli olan programımızı indirelim;
http://www.wireshark.org/ : Wireshark?ın resmi sitesidir.
http://www.wireshark.org/faq.html : Wireshark ile ilgili merak ettiğiniz sorulanın cevaplarını bu linkte bulabilirsiniz.
http://www.wireshark.org/download.html .: Wireshark programını indireceğimiz linktir.
Browserımıza download adresini yazıyoruz
| Resim 1 |
Girdiğimiz download adresi ile beraber açılan sayfada kırmızı daire içerisine aldığımız linki tıklıyoruz.
| Resim 2 |
Karşımıza çıkan pencerede Save butonunu tıklıyoruz.
| Resim 3 |
Programı bilgisayarımız üzerinde nereye kaydedeceğimizi belirtiyor ve Save butonuna basıyoruz.
| Resim 4 |
Yukarıdaki resim download işleminin başladığına işarettir, alttaki Checkbox dolu olduğundan indirme tamamlanınca pencere otomatik olarak kapanacaktır.
| Resim 5 |
Download işlemi sona erdi ve programımız diskimiz üzerinde görülüyor (klasör adını rename ettim, dikkatli okuyucular için gereksiz bir açıklamadır)
| Resim 6 |
Dosya üzerine Mouse ile sağ tıklıyor ve Open seçeneğini tıklıyoruz.
| Resim 7 |
Wireshark 0.99.5 kurulum sihirbazı hoş geldin penceresini Next ile geçiyoruz.
| Resim 8 |
Lisans sözleşmesini kabul ediyoruz.
| Resim 9 |
Burada karşımıza iki alternatif sunmaktadır, GTK1 kullanıcı arayüzü ve GTK2 kullanıcı arayüzü, biz GTK2 kullanıcı arayüzünü seçerek devam edeceğiz.
( GTK nedir diyenler için detaylı bir açıklama, şu anda çok önemli değil? http://www.gtk.org/faq/#AEN81 )
| Resim 10 |
Arayüzü seçtikten sonra Next ile devam ediyoruz.
| Resim 11 |
Kısayolların nerelere oluşturulacağını belirledikten ve çalışabileceği capture dosya uzantılarını seçtikten sonra Next ile devam ediyoruz.
| Resim 12 |
Kurulacağı yolu vererek Next ile devam ediyoruz.
| Resim 13 |
WinPcap, Capture kütüphanesinin windows versiyonudur; capture edilmiş paketlerin desteği için driver içermektedir.
Wireshark, windows üzerinde canlı data capture edebilmek için bu kütüphaneyi kullanmaktadır. Kütüphane deyimini yazılım kökenli arkadaşlarımız daha rahat anlayacaklardır.
Wireshark?ın çalışabilmesi için WinPcap kurulmalıdır, eğer daha önceden kurulu değilse burada işarelenerek kurulması sağlanmalıdır.
Services kısmındaki kutucuk işaretlenir ise administrator yetkisine sahip olmayan kullanıcılarda capture işlemi yapabilecektir.
WinPcap ile ilgili detaylı bilgi almak için : http://wiki.wireshark.org/WinPcap
Ben sadece üstteki kutucuğu işaretliyor ve Next ile devam ediyorum.
| Resim 14 |
Kurulum başladı.
| Resim 15 |
Şu anda kurulum içinde yeni bir kurulum işlemi daha başladığını görmekteyiz, Wireshark, kendisinden önce WinPcap?ın kurulmasını istemektedir, bu yüzden karşımıza çıkan pencereyi Next diyerek geçiyoruz.
| Resim 16 |
hoş geldiniz penceresini Next ile geçebiliriz.
| Resim 17 |
Lisans sözleşmesini kabul ederek geçiyoruz.
| Resim 18 |
Kurulum başladı.
| Resim 19 |
WinPcap 4.0 kurulumu sonra erdikten sonra Finish ile bitiriyoruz.
| Resim 20 |
Wireshark kurulumuna kaldığı yerden devam ediyor.
| Resim 21 |
Kurulumun tamamlandığını belirten pencereyi de Next ile geçiyoruz.
| Resim 22 |
Finish ile sonlandırıyoruz.
| Resim 23 |
Wireshark?ı açabilmek için resimdeki ilgili yol izlenebilir veya masaüstünüze kısayol oluşturduysanız çift tıklayarak açabilirsiniz.
| Resim 24 |
Yukarıdaki logo Wireshark?ın bizi ilk karşılama ekranıdır.
| Resim 25 |
Yukarıdaki resim şu anda çalışmayan bir Wireshark?ın ana penceresidir. Yukarıdaki kırmızı kare içerisine aldığımız buton ile makinemiz üzerindeki capture edilebilecek olan network interfacelerinin listesini görebiliriz, belirtilen alana tıklıyoruz.
| Resim 26 |
Sizlerinde gördüğü gibi gerçek anlamda yalnızda bir interface (3Com Ethernet Card ) bulunmaktadır ve sadece onun üzerinden geçen datayı capture edebiliriz, Sağ tarafında bulunan Start butonuna basarak Capture işlemini başlatıyoruz.
| Resim 27 |
Kullanmış olduğum bilgisayarın Ethernet kartı üzerinden akan canlı trafik şu anda anlık olarak Capture edilmeye başlandı, buradaki kısa bilgilerin ne anlama geldiğini merak edenler daha önce yazmış olduğum Dhcp makalesine göz atabilirler.
Şimdi programımızı kurduk ve capture işlemini başlattık, geriye kalan tek şey Msn arkadaşımız ile sohbeti koyulaştırmak ve bir dosya transferi gerçekleştirmek olacaktır veya kendisi ile webcam uygulaması başlatmak olacaktır, biz her iki yolu da burada deneyeceğiz;
Genellikle dosya transferleri pek tutmaz, çünkü insanlar dosya transferi ile onun bilgisayarını ele geçirebileceğinizi, onun bilgisayarına Truva atı atarak onu izleyebileceğinizi, virüs bulaştırarak makinesini kullanılamaz hale getirebileceğinizi vs. düşünebilirler. Bu yüzden en mantıklı hareket dosya göndermek yerine karşınızdakinin size dosya göndermesini sağlamaktır, örneğin bir .mp3 dosyası isteyebilirsiniz. Ben ise anlaşmalı birini buldum ve bu işlemleri onunla gerçekleştireceğiz.
| Resim 28 |
Msn arkadaşıma bunun bir makale çalışması olduğunu belirttim ve bir dosya göndermesini istedim, Kabül Et linkini tıkladığım anda bakın Capture da aşağıda neler görünüyor;
| Resim 29 |
Yukarıdaki resimde kırmızı daire içerisinde 88.226.239.159 IP numarası msn arkadaşımızın IP numarasıdır, isterseniz bunu kendisine soralım.
| Resim 30 |
IP numarasının kendisine ait olup olmadığını sorduk ve olumlu cevap aldık.
Peki IP yi bulduk peki şimdi neyi kontrol edebiliriz?
Aşağıda yazan adrese girerek ( www.dnsstuff.com ) Ip Information bölümünden bu IP nin hangi bölgeye ait olduğunu sorgulayabiliriz.
| Resim 31 |
| Resim 32 |
IP yi yazıyor ve Lookup butonunu tıklıyoruz.
| Resim 33 |
Yukarıdaki haritada herhangi bir yerde olduğu belirtilmektedir. Bakalım msn arkadaşımız bize nerede oturduğunu doğru mu söyleyecek yoksa yalan mı?
| Resim 34 |
Evet, gördüğünüz gibi msn arkadaşımız bize Ankara da oturduğunu söylemektedir, bu durumda karşınızdaki insanın yalan söyleyip söylemediğini anlayabilirdiniz, bize İstanbul veya Avusturya cevabı gelmiş olsaydı bunun doğru olmadığını anlayacaktık.
Şimdi ikinci yöntem olan webcam (veya ses) uygulamasına geçelim; Kimliği belli olmayan kurnaz msn avcıları genellikle dosya alışverişinden kaçınırlar, webcam açmazlar, ama nedense siz onlara webcam açarsanız bunu kabul ederler, bu da bizim işimize gelmektedir. Unutmayın, dosya transferinin veya webcam uygulamasının kim tarafından başlatıldığının bir önemi yoktur, her iki nokta arasında bir sanal oturum açıldığından Sniffer programları ile bu tür bilgilere her zaman ulaşılabilir.
| Resim 35 |
Webcam gönderdim ve kendisi kabul etti.
| Resim 36 |
Wireshark kısmında durumun nasıl olduğunu görüyorsunuz, sürekli akan UDP paketleri, IP yi aramanıza gerek dahi yok, her şey çok açık.
Peki elde edilen bu IP ile başka neler yapılabiliriz?
Yasal yollardan;
- Eğer durum ciddi ise bu IP bilgisini farklı saatlerde, farklı günlerde tespit edersiniz, detaylı zaman bilgisi ile bunları kaydeder ve bunu Emniyet birimine bilgi olarak sunabilirsiniz.
- Telekom tarafında iyi bir tanıdığınız var ise bu IP nin adres bilgisini, telefon bilgisini ve kimin üzerine kayıtlı olduğu bilgisini alabilirsiniz.
- Ya da karşınızdaki kişiye onun IP adresini söyleyerek onu korkutabilir ve bu bilgiler ile onu suçlu duruma düşürebileceğinizi belirtebilirsiniz.
Yasal olmayan yollardan (önerilmez);
- http://88.226.239.159 yazarak modemine girmeye çalışabilirsiniz, şanslıysanız modemin şifresi standarttır, ülkemiz gerçeğinde bırakın ev kullanıcılarını, bilgisayar firmaları dahi modemleri standart şifre ile bırakmaktadırlar, örneğin admin/admin, peki bir sürü modem var ve her modemin şifresi farklı, hangisinin şifresini deneyeceğim? Aslında ülkemizde kullanılan ve tanınan modem sayısı bellidir, hepsinin standart şifrelerini bulabileceğiniz internet adresleri de oldukça yaygındır. Ama ben olsam kendisine sorardım, nasıl mı?
Bunun adına ?Sosyal Mühendislik? deniliyor; ?benim modemim sürekli bağlantı hatası veriyor, aldığıma inan çok pişman oldum, bana ne önerirsin?? dediğinizde karşınızdaki kişi size kendi kullandığı modemden bahsetmeye başlayacaktır, eğer beğenmiyorsa kendi kullandığını almamanızı söyleyecektir veya çok memnun olduğunu söyleyerek tavsiye edecektir, böylece sizde çok fazla modem şifresi denemeyeceksinizdir.
- 80 nolu port kapalı olabilir ve http://88.226.239.159 adresinden modeme ulaşamayabilirsiniz, bu durumda telnet deneyebilirsiniz.
Ben işin bu kısmı yasalara uygun olmadığı için devam etmiyorum, peki ya http veya telnet yoluyla girilebilirse neler yapılabilirdi?
- Bildiğiniz gibi ttnet dsl aboneleri bir kullanıcı adına ve şifresine sahip olmaktadır, siz modem konfigurasyonunda kullanıcı adı bilgisini görebilirdiniz, ve yine biliyorsunuz ki standart şifreler ttnet tarafından ?123467? olarak verilmektedir, kullanıcı adını görüyorsunuz ve şifrede eğer halen ?1234567? ise (?ki genelde öyledir) Telekom Adsl Kota bilgi sayfasına giderek bu hesap bilgilerini girebilir ve böylece bu hattın gerçek sahibini öğrenebilirsiniz. Biliyorsunuz ki kullanıcılar internet kota limitlerini bu şekilde takip etmektedirler.
- Karşıdaki modemin özelliklerine ve sizin yeteneklerinize göre bu yelpazeyi daha da genişletmek elbette mümkün, şimdilik bu kadar.
|