Zararlı Trafik Analizi
Ağ içerisinde oluşan ağ etkinliği incelenerek, aktivitelerin olması gerektiğinden farklı anormal ağ davranışlarını tespit etmeyi amaçlayan analiz biçimidir.
Ağlar üzerinde güvenliğinin derinlemesine incelenebilmesi ve ağ sorunlarının anlaşılabilmesi için, ağ üzerinde iç ve dış trafiğin incelenebilmesi gerekir.
Ağ trafiği ve paket analizi çeşitli araçlar kullanılarak ağ trafiğinde yakalanan paketleri okuyup yorumlama, trafiği değerlendirme, çeşitli protokollere hakim olma ve anormallikleri tespit edilmektedir. Böylelikle hem ağ performansı sorunlarının hem de ağ trafiğinde saldırıların tespit edilip engellenmesine yardımcı olmayı hedefler.
Analiz Araçları
Çok amaçlı kullanımı nedeniyle, ağ analiz yazılımları, kapsamlı bir ağ performansı yönetim sisteminin çok önemli bir bileşenidir. Bu yazılımların neler olduğu ve öncelikli amaçları şu şekildedir;
- Güvenliği Sağlamak;
Veri paketleri, ağ güvenliği izlemenin önemli bir bileşeni olarak hizmet edebilir. Bu analiz araçları, trafik modellerini otomatikleştirmenize ve görselleştirmenize yardımcı olur, böylece güvenlik tehditlerini ortaya çıkar çıkmaz tanımlayabilirsiniz.
Örneğin, paket yakalama analizi, yetkisiz etkinlikte hızlı bir artış gösterebilen gerçek zamanlı ağ trafiği verilerini gösterir.
- Tıkanıklığı Bulmak;
Paket koklama, verilerinizin seyahat sürelerinin gerçek zamanlı bir görünümünü sunar ve bu, trafik sıkışıklığını belirlemenize yardımcı olabilir.
- Sorun giderme;
Sorun giderme analizinizle bir ağ sorununu işaretledikten sonra, sorunun kaynağını belirlemek için her paketin ayrıntılı boyutlarına bakılabilmektedir. Yalnızca meta verileri yakalasanız bile, etkili sorun giderme için olağandışı paketlerin önemli ayrıntılarını izleyebilirsiniz.
1- Wireshark
Wireshark ücretsiz ve açık kaynaklı bir ağ trafiği analiz aracıdır. Genellikle ağ üzerinden akan paketleri incelemek için kullanılır, ancak ağ trafiği yakalamalarından dosya çıkarmak için de kullanılabilir.
Wireshark’tan bir dosya çıkarmak için, ağ üzerinden nasıl aktarıldığını bilmek gerekir.
Örneğin, bir kötü amaçlı yazılım örneği, bir HTTP GET isteği kullanılarak alınabilir. Protokol bilindiğinde, dosyalar Dosya → Nesneleri Dışa Aktar → <Protokol Adı> aracılığıyla çıkarılabilir.
2- NetworkMiner
NetworkMiner, NETRESEC tarafından üretilen bir ağ trafiği analiz aracıdır. Web sitelerinden ücretsiz veya ücretli bir sürümü mevcuttur . Wireshark’ın aksine, NetworkMiner tek tek paketlerin incelenmesi için tasarlanmamıştır. Bunun yerine, bir analistin paket yakalamadan büyük miktarda özel bilgi almasını kolaylaştırır. NetworkMiner’ın Wireshark’tan diğer bir farkı ise gelen-giden paketlerin hepsini daha az göstermesine rağmen daha detaylı bir şekilde inncelenmesini sağlamaktadır.
NetworkMiner ayrıca ağ trafiği yakalamalarında bulunan dosyaları otomatik olarak çıkarır ve yeniden yapılandırır. NetworkMiner’ın dizinindeki Assembled Files klasörüne yerleştirilirler. Bu, NetworkMiner’ı ağ trafiği yakalamalarından dosya ayıklamak için mevcut en uygun araçlardan biri yapar.
3- TShark
TShark , canlı bir ağdan paket verilerini yakalamanıza veya önceden kaydedilmiş bir yakalama dosyasındaki paketleri okumanızı sağlayan bir komut satırı ağ trafiği analizcisidir . Herhangi bir seçenek olmadan TShark, tcpdump komutuna benzer şekilde çalışır. Ek olarak, TShark, Wireshark tarafından desteklenenlerle aynı yakalama dosyalarını algılayabilir, okuyabilir ve yazabilir.
Aşağıda görüldüğü gibi komut satırında çalışabilmektedir.
4- TCPdump
Tcpdump, komut satırından çalışan genel bir paket analiz aracıdır. Kullanıcı bilgisayarına bağlı bulunduğu bir ağ üzerinden iletilen veya alınan TCP/IP paketlerini veya diğer paketleri kaydetme, inceleme ve filtreleme imkânı sunmaktadır.
Tcpdump, Linux sistemlerinde kurulu olarak gelen bir araçtır. Diğer işletim sistemlerine genellikle yüklü olarak gelmez. Tcpdump, paket yakalamak için “libpcap” kütüphanesini kullanır.
Tcpdump’ın Windows için olanı WinDump olarak adlandırılır ve libpcap’in Windows’a port edilmiş hali olan WinPcap kullanır.
Zararlı Aktiviteyi Belirleyebilecek Durumlar
Zararlı aktivite durumlarını belirlemek için yukarıda bahsettiğim ağ dinleme cihazları kullanılmaktadır. Zararlı aktiviteyi çok fazla farklı durumlar belirleyebilir ancak spesifik olarak şu durumlar zararlı aktivite olarak değerlendirilebilir cümlesini kurmak biraz yanlış olacaktır. Ancak mantığını anlatmak amacıyla aşağıdaki durumları inceleyebilirsiniz.
- Sunucu İstekleri
Sunucular üzerinde kullanılan servislere sürekli olarak aynı IP adreslerinden yapılan istekler zararlı aktiviteleri gerçekleştirmeyi hedefleyebilmektedir.
Buradaki amaç sadece tek bir servisin kullandığı port üzerine saldırgan tarafından sürekli istekte bulunulması.
- Port İstekleri
Belirli veya farklı adresten sürekli olarak gelen farklı port istekleri zararlı aktivite olabilmektedir.
Örneğin saldırgan tarafından sunucunun kendi üzerinde bulunan aktif olararak çalışan servisin olduğu veya aktif olmayan portlara da istek göndermesi zararlı aktivite olabillmektedir. Yani portlara kaba kuvvet olarak da düşünülebilir.
- Ortadaki Adam Saldırıları
Saldırganın birbiri ile iletişim kurduğu iki uç cihaz arasındaki iletişimi dinlediği, değiştirdiği saldırıları, örneğin ARP Poisining saldırılarının trafiği kontrol edilebilir.
- Hatalı Session
Sürekli olarak belirli admin panellerine aynı IP adresinden gelen istekler bir Brute Force olabilmektedir. Ve bunun sonucunda zararlı bir aktivite olarak görülmeli ve takip edilmektedir.
Basit Zararlı Trafik Analizi
Temelde ağ trafiği analiz edilirken yapılabilecek yada kontrol edilebilecek kısımların nasıl inceleneceğini basit bir şekilde görsellerle anlatılmıştır. Bu kısımda incelediğim “pcap” uzantılı dosyayı internet üzerinden bulup inceledim.
- Öncelikle bir “pcap” dosyasını şu şekilde import ediyoruz. Pcap dosyası ağ analiz araçlarının incelenmesi ve kaydedilmesi için kullanılan bir dosya uzantısıdır.
- Bu kısımda protokolleri yeşil kısımda görünen search kısmından incelemek istediğimiz protokol adını yazarak inceleyebiliriz.
- Bu kısımda “Statistics” seçeneğinden “endpoints(uçcihazlar)” kısmından uçcihazlar hakkında bilgi sahibi olabilir ve detaylı bir şekilde inceleyebiliriz.
- Yine Statistic seçeneğinin altında bulunan “Resolved Adresses” yani cihazların çözümlenmiş adreslerine ulaşılabilmektedir.
- Trafik detaylı incelenebilir. TCP akışını başladığı ilk noktadan son noktaya kadar olan veri iletişiminin detayı TCP stream ile görüntülenebilir.
- Trafik içerisinde yapılan HTTP vb isteklerinin içerisinde gelen giden ikili dosyalar ağ trafiğini tutan uygulamalar tarafından dışarı aktarılabilmektedir.
- Burada HTTP, TFTP gibi protokoller üzerinden aktarılan dosyaların dışarıya Export Objects seçeneği ile dışarıya aktarılması gösterilmiştir.
Buraya kadar okuduğunuz için Teşekkürler 🙂