Network Forensics Analizi
Ağ forensics, ağ üzerindeki olayları ve saldırıları tespit etmek, analiz etmek ve anlamak amacıyla kullanılan yöntemlerdir. Sırasıyla artifack toplama (artifact acquisition), Artifackleri Analiz etme (artifact analysis), Raporlama (reporting) adımları sağlanır.
Artifact acquisition Yöntemleri:
Paket Yakalama (Packet Capture): Ağ üzerindeki veri paketlerini toplamak için kullanılan bir tekniktir. Bu işlem, ağ trafiğinin gerçek zamanlı olarak izlenmesine ve kaydedilmesine olanak tanır. Ağdaki şüpheli aktiviteleri analiz etmek veya bir saldırı sonrası durumu değerlendirmek için paketler toplanır. Wireshark Kullanarak Paket Yakalama, Tcpdump Kullanarak Paket Yakalama, Ntopng veya Zeek (Eski adıyla Bro) Kullanarak Paket İzleme, Port Mirroring ve SPAN (Switched Port Analyzer) -Switch üzerinde, belirli bir portu “mirror” yaparak tüm trafiği bir başka port üzerinden izlemek mümkündür. Bu, ağ trafiğini izlemek için yaygın bir yöntemdir.- gibi yöntemler kullanılarak network üzerinde akan trafiğin paketleri toplanır ve analiz edilmesini kolaylaştırır.
Windows Host Based Network
Windows Sistemlerde network artifacklerini toplamak için cmd ya da powershell komutları kullanılarak bilgiler toplanabilir. Bu bilgiler uçucu veriler olduğundan anlık olarak değişebilmektedir. Registry kayıtları ve event loglar toplanmalıdır.
Windows sistemlerde network bilgilerini toplama komutları
| Bilgi | Komut | Açıklama |
| DNS Cache | ipconfig /displaydns | DNS çözümlemelerinin önbelleğini gösterir. |
| TCP Table | netstat -anp tcp | Mevcut TCP bağlantılarını listeler. |
| UDP Table | netstat -anp udp | Mevcut UDP bağlantılarını listeler. |
| ARP Table | arp -a | ARP tablolarını (adres çözümleme protokolü) gösterir. |
| IPv4 Routes | route print | Yönlendirme tablolarını gösterir. |
| Network Adapters | ipconfig /all | Tüm ağ adaptörlerinin ayrıntılı yapılandırmasını listeler. |
| Network Shares | net share | Paylaşılan klasör ve kaynakları listeler. |
| Aktif Portlar | netstat -an | Tüm aktif portları (TCP ve UDP) listeler. |
- Registry kayıtlarında bulunan artifackler;
Network Interfaces:
Yeri: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
Açıklama: Ağ arayüzleri hakkında bilgi, IP adresi, alt ağ maskesi, ağ geçidi ve DNS ayarlarını içerir.
DHCP Client:
Yeri: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dhcp\Parameters
Açıklama: DHCP ile alınan ayarlar, IP adresi ve diğer DHCP bilgileri burada bulunur.
TCP/IP Settings:
Yeri: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
Açıklama: TCP/IP protokolü için genel ayarlar ve parametreler.
DNS Client:
Yeri: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dnscache\Parameters
Açıklama: DNS istemcisi ile ilgili ayarlar ve önbellek bilgileri.
WLAN Profiles:
Yeri: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
Açıklama: Kablosuz ağ profilleri, her bir ağın adı, SSID’si ve bağlantı geçmişi burada bulunur.
Network Connections:
Yeri: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Network
Açıklama: Tüm ağ bağlantı ayarları ve durum bilgileri.
User Network Activity:
Yeri: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings
Açıklama: Kullanıcıların internet bağlantısı ayarları, proxy ayarları ve diğer tarayıcı ile ilgili bilgileri içerir.
- Windows event log üzerinde bulunan network artifackleri;
Event ID 5156: Windows Firewall İzinli Bağlantılar
Açıklama: Firewall’da izin verilen bir bağlantı olayını kaydeder. Hangi uygulamanın hangi IP adresine bağlandığını gösterir.
Event ID 5157: Windows Firewall Engellenen Bağlantılar
Açıklama: Firewall tarafından engellenen bir bağlantı olayını kaydeder. Hangi uygulamanın hangi IP adresine bağlanma girişiminde bulunduğunu gösterir.
Event ID 4663: Nesne Erişimi
Açıklama: Bir ağ kaynağına (örneğin, bir dosya veya paylaşım) erişim girişimini kaydeder. Ağ üzerindeki kaynaklara erişim ile ilgili bilgileri içerir.
Linux Host Based Network
Bash terminal kullanarak aşağıdaki tablodaki komutlar kullanılabilir.
| Bilgi | Komut |
| DNS Cache | sudo systemd-resolve –statistics |
| TCP Table | ss -t veya netstat -t |
| UDP Table | ss -u veya netstat -u |
| ARP Table | arp -n veya ip neigh |
| IPv4 Routes | ip route show veya route -n |
| Network Adapters | ip a veya ifconfig -a |
| Network Shares | smbclient -L //localhost -U <user> (Samba için) |
| Aktif Portlar | ss -l veya netstat -l |
Linux sistemlerde network artifackleri;
Network Configuration Files:
/etc/network/interfaces: Ağ arayüzlerinin yapılandırma dosyası (Debian tabanlı sistemler için).
/etc/sysconfig/network-scripts/ifcfg-<interface>: Ağ arayüzlerinin yapılandırma dosyası (Red Hat tabanlı sistemler için).
/etc/resolv.conf: DNS sunucu ayarları.
Network Interface Information:
/proc/net/dev: Ağ arayüzleri hakkında istatistikler sunar (hata, veri alım ve gönderim sayıları).
/proc/net/tcp: Aktif TCP bağlantıları hakkında bilgi verir.
/proc/net/udp: Aktif UDP bağlantıları hakkında bilgi verir.
ARP Cache:
/proc/net/arp: Ağda görünen IP ve MAC adreslerini gösterir.
Routing Table:
/proc/net/route: Aktif yönlendirme tablolarını gösterir.
ip route: Yönlendirme tablosunu görüntülemek için kullanılabilir.
Firewall Rules:
/etc/iptables/rules.v4 veya /etc/iptables/rules.v6: Iptables ile yapılandırılmış firewall kuralları.
firewalld veya nftables: Güncel firewall yapılandırma dosyaları.
Network Connections:
netstat -tuln: Aktif bağlantılar ve dinleyen portlar hakkında bilgi verir.
ss -tuln: Daha modern bir araç olan ss, ağ bağlantılarını gösterir.
DNS Cache:
/var/cache/bind/: BIND DNS sunucusu kullanılıyorsa, önbellek dosyalarını içerir.
Log File Based Network
Network tarafından kullanılan servislerin Log dosyalarının analizinde kullanılan bazı yaygın türlerin dosya yollarını içeren bir tablo sunuyorum. Bu yollar, genellikle varsayılan ayarlarla oluşturulan dosya yollarıdır; ancak, yapılandırmalara bağlı olarak farklılık gösterebilir.
| Log Dosyası Türü | Varsayılan Dosya Yolu |
| IIS Log Files | C:\inetpub\logs\LogFiles\W3SVC<SiteID>\ |
| FTP Logs Analysis | C:\inetpub\logs\LogFiles\FTPSVC2\ |
| DHCP Log Files | C:\Windows\System32\dhcp\DhcpSrvLog-<Year>.log |
| Web Proxy Log Files | C:\Program Files\Microsoft Forefront\TMG\Logs\ |
| Squid Caching Proxy | /var/log/squid/access.log |
| Squid Access Logs | /var/log/squid/access.log |
| Microsoft Forefront Threat Management Gateway (TMG) | C:\Program Files\Microsoft Forefront\TMG\Logs\ |
| TMG Logs | C:\Program Files\Microsoft Forefront\TMG\Logs\ |
Bu yollar, sistem yapılandırmalarına bağlı olarak değişiklik gösterebilir. Özellikle özel kurulumlar veya farklı işletim sistemleri kullanıldığında dosya yolları değişebilir.
Artifackleri Analiz etme (Artifact Analysis)
Yakalanan paketlerin detaylı incelenmesidir. Bu süreç, belirli bir protokol, IP adresi veya port numarasına göre filtreleme yaparak gerçekleştirilir. Hangi protokollerin kullanıldığını belirlemek ve bunların beklenen davranışları ile karşılaştırmak. Paketlerin zamanlaması ve sıralamasının incelenmesi. Anormal bir zamanlama, olası bir saldırıyı gösterebilir. Ağda kullanılan protokollerin ayrıntılı incelenmesidir. Her protokolün belirli bir davranış biçimi vardır, bu nedenle herhangi bir anormallik tespit edilebilir. Paketlerin zaman damgaları, olayların zamanlaması açısından kritik öneme sahiptir. Olayların kronolojik sıralaması, bir saldırının nasıl gerçekleştirildiğini anlamaya yardımcı olabilir.
Yakalanan paketlerin analizinin yanı sıra log dosyaları da analiz edilir, Ağ cihazları, sunucular ve uygulamalar tarafından üretilen logların analizi, ağ trafiği ile bağlantılı olayları tespit etmeye yardımcı olur. Bu tekniğe “Analyse Network Log Files” denir. IDS/IPS Sistemlerinin Logları, Syslog, NetFlow, IIS Log Files, FTP Logs Analysis, DHCP Log Files, Web Proxy Log Files, Squid Caching Proxy, Squid Access Logs, Microsoft Forefront Threat Management Gateway (TMG), TMG Logs gibi log dosyalarının analiz edilip ataklar detaylanabilir. Güvenlik loglarını yönetmek için SIEM sistemleri kullanılabilir.
Bu teknikler, ağ forensics süreçlerinin temel bileşenlerini oluşturur ve ağ güvenliği uzmanlarının şüpheli aktiviteleri tespit etmesine, olayların kökenini anlamasına ve etkili bir şekilde yanıt vermesine yardımcı olur.
Network forensicste kullanılabilecek analyzers Sniffers tools şu şekildedir; Wireshark, Tcpdump, Ngrep, Tcpxtract, Tshark, Pcapcat, TCP Reconstruction, NetWitness, OmniPeek, Bro/Zeek, Suricata, Snort, NetworkMiner, NetWitness, Glasswire, Microsoft Network Monitor, Iptraf, Xplico.
Örnek network paketler incelenmesi için https://wiki.wireshark.org/SampleCaptures adresi kullanılabilir.
Wireshark
Wireshark, ağ trafiği izleme ve analiz etme için kullanılan en popüler network forensics araçlarından biridir. Hem gerçek zamanlı trafik yakalama hem de daha önce kaydedilmiş PCAP (Packet Capture) dosyaları üzerinden analiz yapabilme yeteneği vardır. Wireshark, ağdaki iletişimi derinlemesine incelemek için paketlerin detaylı dökümlerini sunar ve network forensics, performans izleme, güvenlik analizleri gibi birçok alanda kullanılır.
Wireshark’ın Temel Fonksiyonları:
Canlı Trafik Yakalama:
Wireshark, ağ kartını dinleme moduna alarak geçen trafiği gerçek zamanlı yakalar.
Trafik yakalarken tüm IP paketlerini, TCP, UDP, ICMP gibi protokollere ait verileri izleyebilir.
Özellikle belirli protokoller ya da IP adreslerine göre filtrelenmiş bir trafik yakalanabilir.
Protokol Analizi:
Wireshark, yüzlerce farklı ağ protokolünü destekler (HTTP, HTTPS, DNS, FTP, SMB, NTP vb.). Bu, bir saldırı ya da ağ sorunu sırasında hangi protokolün kullanıldığını detaylıca görmenizi sağlar.
Protokol seviyesinde çözümleme yapılabilir ve her bir katmandaki veriler ayrı ayrı incelenebilir. Örneğin, TCP üçlü el sıkışma süreci, HTTP istek ve yanıtları detaylıca analiz edilebilir.
Filtreleme Mekanizmaları:
Yakalama Filtreleri: Yakalama işleminden önce belirli bir trafik türünü sınırlamak için kullanılır. Bu filtreler, yalnızca belirli bir IP, port, ya da protokol için trafiği yakalamanızı sağlar. Örneğin, yalnızca TCP port 80’e gelen paketleri yakalamak için tcp port 80 şeklinde bir filtre kullanılabilir.
Görüntüleme Filtreleri: Yakalanmış trafiği analiz ederken kullanılır. Yakalama sonrası tüm paketler üzerinde analiz yapabilir ve yalnızca belirli kriterlere uyan paketler ekranda görüntülenir. Örneğin, belirli bir IP adresine sahip paketleri göstermek için ip.src == 192.168.1.1 şeklinde bir görüntüleme filtresi kullanılabilir.
Paket Detaylandırma:
Her bir paket katman katman çözülerek gösterilir. Örneğin, Ethernet başlığındaki MAC adresi, IP başlığındaki kaynak ve hedef IP adresleri, TCP başlığındaki port numaraları ve bayraklar detaylıca görüntülenebilir.
Bu, özellikle saldırı tespitinde (örneğin, port tarama veya DoS saldırıları) ya da ağ sorunlarını gidermede kritiktir.
Renk Kodlama:
Wireshark, farklı paket türlerini ve potansiyel sorunları göstermek için renk kodlaması yapar. Örneğin, hatalı TCP paketleri kırmızı renkte görüntülenir. Bu özellik, trafiği hızla gözden geçirmek için oldukça kullanışlıdır.
Grafiksel Trafik Analizi:
Wireshark, zaman ekseninde trafik yoğunluğunu ve belirli akışların nasıl ilerlediğini gösteren grafiksel araçlar sunar.
İletişim akışlarını görselleştirme, belirli bir saldırının (örneğin, bir TCP SYN flood saldırısı) zamanlamasını ya da büyük veri transferlerinin kaynağını analiz etmeye yardımcı olur.
IO Graphs (Giriş-Çıkış Grafikleri):
Ağ trafiğinin belirli bir zaman diliminde nasıl aktığını görselleştirmek için kullanılır. Bu grafikler, ağ performansının anlık bir görüntüsünü sunar ve anormallikleri tespit etmeye yardımcı olabilir.
VoIP (Sesli İletişim) Analizi:
Wireshark, Voice over IP (VoIP) trafiğini analiz etme yeteneğine sahiptir. SIP, RTP gibi protokollerle yapılan sesli iletişimleri çözümleyebilir ve bu iletişimlerin detaylı analizini yapabilir.
Dosya ve Veri Çıkarma:
Wireshark, yakalanan paketlerden dosya ve veri çıkarmayı destekler. Örneğin, HTTP üzerinden indirilen bir dosyayı ya da bir FTP oturumundaki veri transferini yakalayarak bu dosyaları bilgisayarınıza çıkarabilirsiniz.
Özellikle sızma testi ve adli bilişim analizlerinde kullanılır. Örneğin, bir ağda kötü niyetli bir yazılımın dağıtımını veya veri kaçırma (data exfiltration) gibi olayları izlemek için bu özellik oldukça faydalıdır.
Statik PCAP Dosyası Analizi:
Canlı trafik izleme gerekmeksizin, önceden kaydedilmiş ağ trafiği dosyalarını (PCAP formatı) yükleyip analiz yapabilirsiniz. Bu, özellikle geçmiş bir olayın analizinde kullanılır.
Tüm trafiğin bir pcap dosyasına kaydedilmesi, gelecekte forensics çalışması yapılabilmesi için önemlidir.
SSL/TLS Trafiği Çözme:
Wireshark, doğru yapılandırıldığında şifrelenmiş SSL/TLS trafiğini çözümleyebilir. Bu, özellikle şifrelenmiş veri akışlarını incelemek gerektiğinde yararlıdır. Bunun için sunucunun özel anahtarına (private key) sahip olmanız gerekebilir.
Wi-Fi Analizi:
Wireshark, kablosuz ağlardaki trafiği de izleyebilir. Eğer ağ kartı promiscuous veya monitor modda çalışıyorsa, Wi-Fi trafiği izlenebilir ve analiz edilebilir. Bu, kablosuz ağ saldırılarını (örneğin, WPA/WPA2 kırma, evil twin saldırıları) tespit etmek için faydalıdır.
Wireshark Kullanım Örnekleri:
DoS/DDoS Saldırı Tespiti:
Aşırı miktarda TCP SYN istek paketlerini analiz ederek bir SYN flood saldırısı tespit edilebilir.
Ağda ani bir trafik patlaması veya belirli bir kaynağa yönelik yoğun trafik, Wireshark’ın IO Graphs veya paket analiz ekranından hızlıca gözlemlenebilir.
Man-in-the-Middle Saldırı Tespiti:
Wireshark, ARP spoofing veya DNS spoofing gibi Man-in-the-Middle (MitM) saldırılarında kullanılan paketleri gösterebilir.
Yanıt vermeyen ARP paketleri ya da sahte DNS yanıtları yakalanarak analiz edilebilir.
Malware Tespiti:
Kötü niyetli yazılımın ağ üzerinden nasıl yayıldığını izlemek için Wireshark kullanılabilir. Örneğin, bir ağda beklenmeyen bir IP adresine sürekli veri gönderimi yapılması ya da zararlı bir dosyanın HTTP veya FTP üzerinden transfer edilmesi durumunda bu trafiği yakalayıp analiz etmek mümkündür.
Anormallik Tespiti:
Normal trafiğe kıyasla anormal davranış gösteren IP adresleri veya portlar analiz edilebilir. Bu, ağda yetkisiz erişim ya da veri sızdırma girişimlerinin tespit edilmesinde kullanılır.
İleri Düzey Wireshark Özellikleri:
Tshark: Wireshark’ın komut satırı versiyonu olup, özellikle sunucularda veya uzak sistemlerde trafik yakalamak için kullanılır.
Expert Information: Wireshark, otomatik olarak potansiyel sorunları (örneğin, hatalı TCP segmentasyonu, paket tekrarları) vurgulayarak analizde yol gösterici olabilir.
Lua Script Desteği: İleri düzey kullanıcılar için özel analiz veya otomasyon işlemleri yapmak üzere Lua scriptleri yazılabilir.
Wireshark’ın Dezavantajları:
Büyük miktarda trafik analiz etmek zaman alıcı olabilir.
Şifreli trafiği çözmek için özel anahtarların elde edilmesi gerekebilir.
Karmaşık ağlar ve büyük veri setlerinde yanlış pozitifler ve gürültü yaratabilecek birçok farklı protokol olabilir.
Wireshark, ağ tabanlı tehditlerin tespitinde ve adli bilişim analizlerinde en önemli araçlardan biridir. Doğru filtreleme ve analiz teknikleri kullanıldığında çok güçlü bir araç olarak öne çıkar.
Protocol Tree Window bölümünden Hypertext Transfer Protocol > File Data kısmına sağ tıklayıp Export Packet Bytes diyelim
Protocol Tree Window bölümünden Hypertext Transfer Protocol > Full request URI bölümüne sağ
tıklayıp Copy > Value diyerek adresi kopyalayabiliriz.
NetworkMiner
NetworkMiner, ağ trafiği analiz etmek ve forensics (adli bilişim) çalışmalarında kullanılmak üzere geliştirilmiş bir pasif ağ izleme aracıdır. Wireshark gibi gerçek zamanlı trafik izleme yapmaz, daha çok pasif analiz ve paket yeniden yapılandırma üzerine odaklanır. PCAP dosyalarını analiz ederek dosyalar, resimler, IP adresleri, oturumlar gibi bilgileri çıkarmaya odaklanır. Ağ forensics çalışmalarında, saldırı tespitinde ve veri ihlallerinin analizinde oldukça faydalıdır.
NetworkMiner’in Temel Özellikleri:
Pasif Ağ Trafiği Analizi:
NetworkMiner, ağ trafiğini yalnızca dinleyerek çalışır. Aktif bir şekilde ağ trafiğini değiştirmez ya da müdahale etmez. Bu, IDS (Intrusion Detection System) tarzında pasif bir analiz sağlar.
Ağdaki herhangi bir istemciyi veya sunucuyu etkileyebilecek veri gönderimi yapmadığı için, tespit edilmeden analiz yapmaya olanak tanır.
PCAP Dosyası Analizi:
Canlı ağ trafiği analizinin yanı sıra, daha önce kaydedilmiş PCAP dosyalarını açıp analiz edebilir. Wireshark’ta kaydedilmiş bir trafik dosyası veya başka bir kaynaktan elde edilmiş ağ trafiği verisi NetworkMiner ile analiz edilebilir.
Yakalanmış paketlerden veri çıkarmak, bağlantıları analiz etmek ve oturumları yeniden oluşturmak için kullanılır.
Veri Çıkarma (File Carving):
NetworkMiner, yakalanan trafiği analiz ederek verileri (dosyalar, resimler, şifrelenmemiş metinler vb.) çıkarma yeteneğine sahiptir. Örneğin, HTTP üzerinden indirilen dosyaları ya da SMTP trafiği ile gönderilen e-postaları yakalayarak kaydedebilir.
Özellikle saldırganların veri kaçırma girişimlerinde (data exfiltration) kullanabileceği yöntemleri izlemek için faydalıdır.
Katmanlı Trafik Analizi:
NetworkMiner, trafiği farklı katmanlarda analiz edebilir. Ağ katmanındaki IP adreslerinden uygulama katmanındaki protokollere kadar detaylı bilgi sunar. Bu da hangi cihazın hangi kaynağa, hangi veriyi gönderdiğini anlamayı kolaylaştırır.
Ethernet, IP, TCP, UDP ve HTTP gibi protokolleri destekler.
Host Tabanlı Analiz:
NetworkMiner, ağdaki cihazlar (host’lar) üzerine yoğunlaşarak hangi IP adreslerinin hangi cihazlara ait olduğunu, hangi portların kullanıldığını ve hangi protokoller üzerinden iletişim kurulduğunu gösterir.
Bu özellik, ağda var olan cihazların listesini çıkarmak ve her bir cihazın hangi servislere eriştiğini tespit etmek için oldukça kullanışlıdır.
Ayrıca her bir cihazın gönderdiği ve aldığı veri miktarlarını analiz eder, bu sayede olası veri sızıntılarını (data exfiltration) tespit etmek kolaylaşır.
Oturum Yeniden Yapılandırma (Session Reconstruction):
NetworkMiner, trafiği analiz ederek bağlantıları ve oturumları yeniden yapılandırabilir. Bir TCP oturumu boyunca gönderilen ve alınan tüm paketleri bir araya getirerek oturumların tam dökümünü sağlar.
Bu özellik, Man-in-the-Middle (MitM) saldırılarını ya da belirli bir oturumdaki anormal davranışları izlemek için kullanılır.
DNS Tespiti ve Analizi:
NetworkMiner, DNS istek ve yanıtlarını analiz edebilir. Özellikle kötü amaçlı domain isimleri üzerinden gerçekleştirilen saldırıları veya DNS Tunneling gibi veri kaçırma girişimlerini tespit etmek için oldukça faydalıdır.
DNS çözümlemelerini inceleyerek hangi IP adreslerinin hangi domain isimlerine erişim sağladığı analiz edilebilir.
Protokol Desteği:
NetworkMiner, yaygın kullanılan protokolleri (HTTP, FTP, SMTP, SMB, DNS gibi) destekler ve bu protokoller üzerinden yapılan veri transferlerini detaylandırabilir. Bu da, belirli protokoller üzerinden gerçekleştirilen saldırıların tespit edilmesinde büyük bir avantaj sağlar.
Dosya ve Resim Çıkarma:
NetworkMiner, HTTP ve SMTP gibi protokoller üzerinden geçen dosyaları ve resimleri yakalayarak kaydedebilir. Bu, özellikle bir saldırganın ağ üzerinden dosya sızdırmasını (exfiltration) ya da belirli içerikleri gizlice göndermesini tespit etmek için kullanılır.
Örneğin, bir kullanıcının HTTP üzerinden bir resim indirdiğini veya SMTP üzerinden e-posta yoluyla bir dosya gönderdiğini analiz edebilir ve bu dosyayı çıkarabilir.
SSL/TLS Trafiği Çözümleme:
NetworkMiner, şifrelenmiş SSL/TLS trafiğini çözümleyemez, ancak bu trafiğin meta verilerini inceleyebilir. Bu sayede şifreli trafiğin hangi IP adreslerinden hangi sunuculara gittiğini analiz edebilirsiniz.
Bu, şifreli zararlı trafik akışlarını izlemek veya anormal trafiği tespit etmek için önemli olabilir.
Wi-Fi Trafiği Analizi:
NetworkMiner, kablosuz ağlardaki trafiği analiz edebilir. Ancak doğrudan Wi-Fi trafiğini yakalayamaz, bunun için yakalanmış trafiği analiz eder. Özellikle Wi-Fi trafiği analiz etmek için önceden elde edilmiş bir PCAP dosyasını açarak analiz yapılabilir.
Kablosuz ağ saldırıları (örneğin, WPA/WPA2 kırma, evil twin saldırıları) sonucu elde edilen veriler incelenebilir.
IPv6 Desteği:
NetworkMiner, IPv6 trafiğini de analiz edebilir. Bu, modern ağlarda IPv6 kullanımı arttıkça önem kazanmaktadır. Özellikle IPv6 üzerinden gerçekleştirilen saldırılar ya da trafiği takip etmek için bu özellik önemlidir.
NetworkMiner Kullanım Örnekleri:
Dosya Kaçırma (Data Exfiltration) Tespiti:
Ağ trafiği üzerinden geçen dosyalar analiz edilerek, bir saldırganın veri sızdırmaya çalıştığı tespit edilebilir. Örneğin, saldırganın HTTP üzerinden bir dosya transferi gerçekleştirdiği tespit edilip bu dosya kaydedilebilir.
Man-in-the-Middle Saldırısı Analizi:
Bir saldırganın MitM saldırısı yaparak bir oturumu ele geçirdiği tespit edilebilir. NetworkMiner, saldırganın hedeflediği oturumun detaylarını analiz edebilir ve veri hırsızlığını açığa çıkarabilir.
Kötü Amaçlı Yazılım Tespiti:
Bir zararlı yazılımın ağ trafiği üzerinde oluşturduğu anormal bağlantılar ya da dış IP adreslerine olan istekler analiz edilebilir. Bu sayede zararlı yazılımın hangi sunucularla iletişim kurduğu veya hangi verileri dışarıya çıkardığı tespit edilebilir.
DNS Tunneling Tespiti:
NetworkMiner, DNS trafiğini analiz ederek DNS tunneling gibi veri kaçırma yöntemlerini tespit edebilir. Saldırganlar, şifrelenmemiş DNS istek ve yanıtları üzerinden veri kaçırma girişimlerinde bulunabilir, NetworkMiner bu trafiği yakalayarak analiz edebilir.
Ağdaki Anormal Trafik Tespiti:
Herhangi bir istemcinin ya da sunucunun beklenmeyen bir miktarda trafik oluşturması durumunda NetworkMiner bu anormallikleri tespit edebilir. Özellikle dış IP’lerle olan bağlantılar ya da büyük veri transferleri analiz edilebilir.
NetworkMiner’ın Avantajları:
Kolay Kullanım: Kullanıcı dostu arayüzü sayesinde, forensics ya da ağ güvenliği tecrübesi olmayan kişiler bile NetworkMiner kullanarak detaylı analizler yapabilir.
Pasif Dinleme: NetworkMiner ağ trafiğine müdahale etmeden, gizli bir şekilde analiz yapabilir, bu sayede tespit edilmeden trafik incelemesi yapılabilir.
Dosya Çıkarma: Trafikteki dosyaları ve içerikleri çıkarması, kötü niyetli dosyaların tespiti ve analiz edilmesi için büyük bir avantajdır.
Dezavantajları:
Aktif Trafik Analizi Yapamama: Wireshark gibi canlı trafik yakalama ve analiz yetenekleri sınırlıdır. Canlı ağ trafiğini doğrudan yakalamaz, sadece yakalanan trafiği analiz eder.
SSL/TLS Trafiğini Çözememe: Şifrelenmiş trafiği çözme yeteneği yoktur, yalnızca şifrelenmiş trafiğin meta verilerini analiz edebilir.
Sonuç:
NetworkMiner, özellikle pasif analiz, dosya çıkarma ve oturum yeniden yapılandırma özellikleri ile network forensics çalışmalarında oldukça güçlü bir araçtır.
TCP Dump
Tcpdump, ağ yöneticileri ve güvenlik uzmanları için en popüler ve güçlü ağ paket analiz araçlarından biridir. Bu araç, komut satırında çalışan bir paket yakalama yazılımıdır ve ağ trafiğini gerçek zamanlı olarak izlemek veya kaydedilmiş trafiği analiz etmek için kullanılır. Tcpdump, özellikle Unix tabanlı sistemlerde yaygın olarak kullanılır ve ağ trafiği üzerinde detaylı analizler yapılmasına olanak tanır.
Tcpdump’ın Temel Özellikleri:
Paket Yakalama (Packet Capture):
Tcpdump, bir ağ arayüzü (network interface) üzerinden geçen tüm paketleri yakalar. Kullanıcı, belirli protokollere, portlara, kaynak veya hedef IP adreslerine dayalı filtreler uygulayarak yalnızca belirli trafiği yakalayabilir.
Varsayılan olarak, paketlerin sadece başlıkları (header) yakalanır; ancak tüm paketlerin içeriği de kaydedilebilir.
Protokol Desteği:
Tcpdump, yaygın olarak kullanılan pek çok protokolü destekler ve analiz eder. Bu protokoller arasında TCP, UDP, ICMP, DNS, ARP, HTTP, FTP, SSH, SMTP ve daha fazlası bulunur.
Hangi protokol üzerinden iletişim kurulduğuna dair detaylı bilgi sağlar.
Gerçek Zamanlı Analiz:
Tcpdump, yakaladığı trafiği anlık olarak analiz eder ve bu verileri komut satırında kullanıcıya sunar. Bu, ağ trafiğinde oluşan anormal aktiviteleri veya sorunları gerçek zamanlı olarak gözlemleme olanağı sağlar.
Örneğin, bir DDoS saldırısı esnasında ağ üzerindeki aşırı trafik veya anormal paketler izlenebilir.
Filtreleme Özelliği:
Tcpdump, BPF (Berkeley Packet Filter) ile çalışan gelişmiş bir filtreleme mekanizmasına sahiptir. Bu filtreler sayesinde kullanıcılar, sadece ilgilendikleri trafiği izleyebilir.
Örneğin, yalnızca belirli bir porttan gelen TCP trafiğini yakalamak için bir filtre ayarlanabilir:
tcpdump -i eth0 tcp port 80
Bu komut, yalnızca eth0 arayüzünden geçen TCP paketlerini ve 80 numaralı port (HTTP trafiği) üzerinden akan trafiği yakalar.
PCAP Dosyası Desteği:
Tcpdump, yakaladığı trafiği PCAP formatında kaydedebilir. Bu sayede daha sonra Wireshark gibi grafik arayüzü olan analiz araçlarıyla bu dosya üzerinde analiz yapılabilir.
Ayrıca, daha önce yakalanmış bir PCAP dosyasını açıp inceleme yeteneği de vardır.
tcpdump -r yakalanan_trafik.pcap
Bu komut, önceden kaydedilen bir PCAP dosyasını okur ve içindeki trafiği analiz eder.
Paket İçeriğini İnceleme:
Tcpdump, paketlerin başlıklarının yanı sıra içeriğini de gösterebilir. Bu özellik, ağda şifrelenmemiş iletişimleri (örneğin, HTTP) analiz etmek için kullanışlıdır.
Aşağıdaki komut ile her bir paketin başlığı ve içeriği görüntülenebilir:
tcpdump -A -i eth0
Bu komut, eth0 arayüzünden geçen paketlerin ASCII formatında içeriğini gösterir.
Promiscuous Mode Desteği:
Tcpdump, ağ arayüzünü promiscuous mode olarak çalıştırabilir. Bu modda, ağ arayüzü sadece kendisine yönlendirilen trafiği değil, ağ üzerinden geçen tüm trafiği yakalar.
Bu özellik, özellikle ağdaki tüm trafiği görmek isteyen güvenlik uzmanları ve adli bilişim analistleri için faydalıdır.
Yüksek Performans ve Hafiflik:
Tcpdump, çok hafif ve hızlı bir araçtır. Grafik arayüzü olmadığı için çok az kaynak tüketir ve yüksek performans gerektiren ağ analizlerinde tercih edilir.
Sunucularda veya yüksek trafiğe sahip ağlarda bile stabil çalışabilir ve minimum sistem kaynağı kullanarak verimli analiz sağlar.
Paket Yakalama Limiti:
Tcpdump ile belirli bir sayıdaki paketi yakalayıp durmak mümkündür. Örneğin, sadece 100 paket yakalamak için şu komut kullanılabilir:
tcpdump -c 100
Bu komut, 100 paketi yakalar ve ardından otomatik olarak işlemi sonlandırır.
Özet Çıktı (Summary Output):
Tcpdump, paketlerin sadece başlıklarını (header) göstermekle yetinip daha az detaylı bir özet çıktı sunabilir. Bu, büyük veri kümelerinde paketlerin hızlı bir şekilde gözden geçirilmesini sağlar.
Bunun için standart komut çıktısı, paket başlıklarının önemli bölümlerini gösterir (örneğin, kaynak ve hedef IP adresleri, portlar, protokol bilgisi).
Detaylı Zaman Damgası:
Yakalanan her paket, Tcpdump tarafından yüksek hassasiyetli zaman damgalarıyla işaretlenir. Bu özellik, ağdaki gecikmelerin veya belirli olayların sıralanması gerektiği durumlarda faydalıdır.
Ağ Sorunlarını Tespit Etme:
Tcpdump, ağ trafiğinde oluşan sorunları hızlıca tespit etmek için kullanılır. Örneğin, hatalı paketler, TTL (Time to Live) süresi dolmuş paketler, yanlış konfigüre edilmiş cihazlardan gelen trafiği tespit edebilir.
Bu, ağ yöneticilerinin trafiği optimize etmesine ve ağın performansını artırmasına yardımcı olur.
Ağ Saldırılarını İzleme:
Tcpdump, ağ üzerindeki potansiyel saldırıları tespit etmek için kullanılır. Örneğin, TCP SYN flood saldırıları veya şüpheli port taramaları gibi durumlar, yakalanan trafiği analiz ederek anlaşılabilir.
Belli bir trafiğin veya saldırı türünün tespit edilmesi için özel filtreler kullanılabilir.
Tcpdump Kullanım Örnekleri:
Belirli Bir IP’ye Ait Trafiği Yakalama:
Belirli bir IP adresine giden veya gelen trafiği izlemek için şu komut kullanılabilir:
tcpdump -i eth0 host 192.168.1.100
Bu komut, 192.168.1.100 IP adresine gelen veya giden tüm trafiği yakalar.
Belirli Bir Port Üzerinden Akan Trafiği Yakalama:
Yalnızca belirli bir porttan geçen trafiği izlemek için:
tcpdump -i eth0 port 443
Bu komut, 443 numaralı port (genellikle HTTPS trafiği) üzerinden geçen trafiği yakalar.
Yalnızca TCP Trafiğini Yakalama:
Sadece TCP trafiğini izlemek için şu komut kullanılabilir:
tcpdump -i eth0 tcp
Trafiği Kaydetme:
Tcpdump, yakaladığı trafiği bir dosyaya kaydedebilir. Daha sonra bu dosya, başka analiz araçlarıyla (örneğin, Wireshark) açılabilir:
tcpdump -i eth0 -w trafik.pcap
Bu komut, eth0 arayüzünden geçen tüm trafiği trafik.pcap dosyasına kaydeder.
DNS Trafiğini İzleme:
Yalnızca DNS trafiğini izlemek için şu komut kullanılabilir:
tcpdump -i eth0 port 53
ICMP (Ping) Trafiğini İzleme:
Ağdaki ICMP paketlerini (ping istekleri ve yanıtları) izlemek için:
tcpdump -i eth0 icmp
Detaylı Zaman Bilgisi ile Yakalama:
Paketlerin zaman bilgilerini mikrosaniye doğruluğunda görmek için:
tcpdump -tttt -i eth0
Tcpdump’ın Avantajları:
Hafif ve Hızlı: Grafik arayüzü olmayan komut satırı tabanlı yapısı sayesinde, düşük kaynak tüketir ve hızlı çalışır.
Esnek Filtreleme: Çok detaylı filtreleme mekanizması sayesinde sadece ilgilenilen trafiği yakalar ve analiz eder.
Gerçek Zamanlı ve Kapsamlı Analiz: Ağ trafiğini anlık olarak analiz eder ve yüksek miktarda trafiği yönetebilir.
PCAP Desteği: PCAP formatında kaydetme ve okuma yeteneği sayesinde diğer araçlarla (Wireshark gibi) kolay entegrasyon
Bottom of Form
CurrPorts, Windows işletim sistemlerinde çalışan bir ağ izleme ve analiz aracıdır. Bu araç, sisteminizdeki açık TCP/UDP portlarını ve bunlara bağlı aktif ağ bağlantılarını listelemek için kullanılır. Ağ güvenliği ve sistem analizi için oldukça faydalıdır.
NetworkUsageView, NirSoft tarafından geliştirilen ve Windows işletim sistemi için tasarlanmış bir araçtır. Bu yazılım, Windows’un dahili ‘Network Data Usage’ (Ağ Veri Kullanımı) günlüklerini okuyarak, sistemdeki uygulamalar tarafından gerçekleştirilen ağ etkinliklerini analiz etmenize olanak tanır. Özellikle, Windows 8 ve üzeri sürümlerde ağ kullanımını incelemek için oldukça faydalıdır.
