CyberFlow Logo CyberFlow BLOG
Soc L2 Network Analysis C2

PCAP Dosyalarını Anlama: Veri Kazıma ve Ayrıştırmanın Temelleri

✍️ Ahmet BİRKAN 📂 Soc L2 Network Analysis C2

PCAP dosyalarını anlamak için gereken temel bilgileri, veri kazımayı ve ayrıştırmayı keşfedin.

PCAP Dosyalarını Anlama: Veri Kazıma ve Ayrıştırmanın Temelleri

PCAP dosyaları, ağ trafiği analizi için kritik öneme sahiptir. Bu yazıda, veri kazıma ve ayrıştırma süreçlerine dair detayları bulacaksınız.

Giriş ve Konumlandırma

PCAP Dosyalarını Anlama: Veri Kazıma ve Ayrıştırmanın Temelleri

Siber güvenlik alanında, veri analizi ve ağ trafiği izleme, güvenlik tehditlerini tespit etme ve önleme konusunda kritik bir rol oynamaktadır. Bu bağlamda, nemli bir veri formatı olan PCAP (Packet Capture) dosyaları, ağ trafiğini analiz etmek isteyen uzmanlar için vazgeçilmez bir araçtır. PCAP dosyaları, bir ağ üzerindeki verilerin ham haliyle kaydedilmesini sağlar ve bu verilerin daha sonra detaylı bir şekilde incelenmesine olanak tanır. Bu blog yazısında, PCAP dosyalarının ne olduğu, neden önemli olduğu ve siber güvenlikte nasıl kullanıldığı üzerine derinlemesine bir bakış sunulacaktır.

PCAP Dosya Formatı Nedir?

PCAP dosyaları, ağ trafiğini yakalamak ve diske kaydetmek için kullanılan bir formattır. Bu format, ağ üzerinde taşınan paketlerin içeriği ile birlikte, zaman damgaları ve protokol bilgilerini de içermektedir. Ağa bağlı cihazların gönderdiği veya aldığı verilerin tümü, bu dosya formatı aracılığıyla analiz edilebilir. Bunun yanı sıra, PCAPNG (Packet Capture Next Generation) formatı, daha fazla esneklik ve ek bilgi sağlamak için geliştirilmiştir. Örneğin, arayüz bilgisi eklemek veya kayıtlara açıklama eklemek gibi özellikler sunar.

Neden PCAP Dosyaları Önemli?

PCAP dosyalarının önemi, siber güvenlik alanında ortaya çıkan tehditleri anlamak ve tespit etmek için sunduğu imkanlardan kaynaklanmaktadır. Özellikle, kötü amaçlı yazılım analizi, ağ saldırılarının tespiti ve ağ davranışı anomali analizi gibi senaryolar için kritik öneme sahiptir. Örneğin, bir ağda şifrelenmeden gönderilen parolalar, PCAP dosyalarından kolaylıkla çıkarılabilir. Bu tür bilgiler, bir siber saldırının analizinde ve tehdit istihbaratında büyük bir değere sahiptir.

Siber Güvenlik ve Pentest Bağlamında PCAP

Siber güvenlik uzmanları, PCAP dosyalarını kullanarak ağ trafiğini ayrıştırmakta ve bu veriler üzerinden olası tehditleri tespit etmektedir. Penetrasyon testleri (pentest) sırasında, ağ güvenliği açığı ararken, PCAP dosyaları önemli bir kaynak olarak kullanılabilir. Örneğin, bir saldırganın gerçekleştirdiği kötü amaçlı bir aktivite sonrasında, ağ trafiği incelenerek saldırının izleri takip edilebilir. Bu sayede, olası güvenlik zafiyetlerinin tespit edilmesi ve gerekli önlemlerin alınması sağlanmış olur.

Eğitim Hedefi

Bu blog yazısı, okuyucuyu PCAP dosyalarının yapısı, veri kazıma süreçleri ve ayrıştırma teknikleri konusunda bilgilendirmeyi amaçlamaktadır. Ayrıca, okuyucuların siber güvenlik alanındaki pratiklerini geliştirmelerine ve araçları daha etkin kullanmalarına yardımcı olmayı da hedeflemektedir.

Veri kazıma ve ayrıştırma süreçlerinin detayları, bu yazının ilerleyen bölümlerinde ele alınacaktır. Özellikle, veri ayrıştırma araçları ve teknikleri üzerine derinlemesine bir inceleme yapılacak ve bu araçların nasıl kullanılacağına dair örnekler sunulacaktır. Ayrıca, NetworkMiner ve Wireshark gibi popüler analiz araçları üzerinden pratik uygulamalar yapılacak ve okurların edinmiş olduğu bilgilerle güvenlik açıklarını nasıl tespit edebilecekleri gösterilecektir.

Siber güvenlik uzmanları için, PCAP dosyalarının analizi sadece bir teknik beceri değil, aynı zamanda tehditlere karşı etkili bir savunma mekanizması oluşturmada da önemli bir adımdır. Bu blog yazısının içeriği, okuyuculara siber güvenlik alanında bir adım daha ileri gitmelerini sağlamak için bir fırsat sunacaktır. 

# Örnek PCAP Dosyası Okuma Komutu
tcpdump -r <dosya.pcap>

Yukarıdaki gibi komutlar aracılığıyla PCAP dosyaları üzerinde analiz yapmak mümkündür. Bu tür analizler, ağ trafiğinin dinamiklerini anlamak ve güvenlik zafiyetlerini tespit etmek açısından kritik öneme sahiptir. Bu noktadan itibaren, PCAP dosyaları ve bunların ayrıştırılması üzerine derin bir yolculuğa çıkacağız.

Teknik Analiz ve Uygulama

PCAP Dosyalarını Anlama: Veri Kazıma ve Ayrıştırmanın Temelleri

PCAP Tanımı

PCAP (Packet Capture), ağ trafiğinin içerik kaybı yaşanmadan, ileride detaylı analiz edilebilmesi için ham (raw) haliyle diske kaydedilmiş dosyalarına verilen isimdir. Ağ trafiği analizi yaparken, bu dosyaların anlaşılması ve etkili bir şekilde manipüle edilmesi kritik öneme sahiptir. Hem klasik PCAP hem de modern PCAPNG formatları, ağdaki veri akışlarının etkili bir şekilde yakalanmasını ve analiz edilmesini sağlar.

PCAP ve PCAPNG Farkı

PCAP, klasik bir paket yakalama formatı iken, PCAPNG (Packet Capture Next Generation) yeni nesil bir format olarak gelişmiş özelliklere sahiptir. PCAPNG, arayüz bilgisi ekleme ve yorum ekleme gibi avantajlar sunarak, daha esnek ve geniş kapsamlı bir analiz olanağı sağlar. Özellikle çoklu ağ arayüzleri ve meta veri gereksinimleri için tercih edilir.

Veri Kazıma (Data Scraping)

Veri kazıma (data scraping), pcap dosyalarının içeriğinden doğrudan zararlı yazılım payload'larını, kullanıcı adlarını veya şifreleri elde etme işlemine verilen isimdir. Bu süreçte belirli bir araç veya script kullanarak, ağ trafiğindeki belirli veriler işlenir ve kullanıma hazır hale getirilir. Örneğin, bir pcap dosyasından credential bilgilerini çıkarmak için aşağıdaki Python kodu kullanılabilir:

import dpkt

def extract_credentials(pcap_file):
    with open(pcap_file, 'rb') as f:
        pcap = dpkt.pcap.Reader(f)
        for ts, buf in pcap:
            eth = dpkt.ethernet.Ethernet(buf)
            # Protokolü kontrol et
            if isinstance(eth.data, dpkt.ip.IP):
                ip = eth.data
                if isinstance(ip.data, dpkt.tcp.TCP):
                    # Burada veri ayrıştırma işlemleri yapılır
                    payload = ip.data.data
                    # Payload'da parolalar, kullanıcı adları vb. kontrol edilebilir
                    # Örnek bir kontrol
                    if b'username' in payload:
                        print('Kullanıcı adı bulundu:', payload)

extract_credentials('network_traffic.pcap')

Yukarıdaki kod, belirli bir pcap dosyasındaki IP trafiği üzerinden kullanıcı adı bilgilerini çıkarmayı amaçlamaktadır.

Ayrıştırma (Parsing) Süreci

Ayrıştırma, bir pcap dosyasından veri elde etme adımlarının sıralandığı süreçtir. Bu süreç, ağ trafiğini analiz etmek için özellikle önemlidir. İlk olarak, pcap dosyasının okunması, ardından iletilerin ayrıştırılması ve son olarak belirli verilerin elde edilmesi adımları izlenir. Her bir aşamada kullanılacak araç veya kütüphane, analistin bilgi birikimi ve ihtiyaçlarına göre değişir.

Otomatize Ayrıştırma Araçları

Otomatize ayrıştırma araçları, veri kazıma ve ayrıştırma süreçlerini hızlandıran yazılımlardır. Öne çıkan araçlar arasında NetworkMiner, TCPFlow ve Brim yer almaktadır. Bu araçlar, pcap dosyalarını analiz etmenize, dosyaları otomatik olarak dışa aktarmanıza ve ağdaki sunucu ile istemcileri listelemenize olanak tanır.

Örneğin, NetworkMiner aracı paket düzeyinden (packet-centric) çok, ağdaki sunucuları ve istemcileri listeleyen odaklı (host-centric) bir yaklaşıma sahiptir. Bu sayede, bir ağın genel durumu hızlıca analiz edilebilir.

NetworkMiner Odak Noktası

NetworkMiner, pcap dosyalarından otomatik dosya, resim ve kimlik bilgisi (credential) çıkaran güçlü bir araçtır. Kullanıcılara, ağ trafiği üzerinde daha fazla kontrol sağlar ve işlem yapılması gereken verileri hızlı bir şekilde belirler. NetworkMiner ile ayrıca, trafik akışlarındaki anormallikleri tespit etmek de mümkündür.

Wireshark ile Veri Dışa Aktarma

Wireshark, en yaygın kullanılan ağ trafiği analiz aracıdır. HTTP ile indirilmiş zararlı bir dosyayı diske kaydetmek için şu adımlar izlenebilir:

  1. Wireshark ile pcap dosyası açılır.
  2. İlgili paketin üzerine sağ tıklanır ve "Follow TCP Stream" seçeneği seçilir.
  3. Açılan ekranda "Save As" seçeneği kullanılarak dosya kaydedilir.

Bu işlem, özellikle zararlı yazılımların analizinde kritik bir stratejidir.

Şifresiz (Cleartext) Trafik Zafiyeti

FTP, Telnet veya HTTP gibi şifrelenmeden (cleartext) olarak iletilen protokolleri içeren pcap dosyalarından parola bilgileri çok kolay ayrıştırılabilir. Şifreleme yoksa, ağ trafiği içindeki bilgiler, basit bir json ayrıştırması veya regex kullanımı ile kolayca ortaya çıkarılabilir.

SOC L2 Pratiği: Zararlı Ayrıştırma

Bir SOC L2 (Security Operations Center Level 2) analisti, pcap üzerindeki operasyonel görevleri sırasında zararlı dosyaları doğrudan ayrıştırmakla yükümlüdür. Analiz sırasında pcap dosyasından çıkarılan bir payload'un SOC ortamında incelenmesi, riskleri belirlemek ve önleyici tedbirleri almak açısından kritik bir adımdır.

Payload Analiz Süreci

Son aşamada, bir pcap dosyasından çıkarılan payload’lar, tehdit istihbaratı ile karşılaştırılarak analiz edilir ve hash değerleri hesaplanır. Bu süreç, ağdaki kötü niyetli aktiviteleri tespit etmek adına önemli bir strateji kullanmaktır.

Bu bölümde ele alınan konular, PCAP dosyalarının etkili bir şekilde nasıl anlaşılıp analiz edileceğini kapsamlı bir şekilde açıklamaktadır. Ağ güvenliğini sağlamak adına, bu becerilerin geliştirilmesi ve uygulanması gerekmektedir.

Risk, Yorumlama ve Savunma

PCAP (Packet Capture) dosyaları, ağ trafiğini yakalayıp kaydederek güvenlik analistlerine önemli bilgiler sunan dosyalardır. Bu dosyalar, güvenlik olaylarının incelenmesi ve sorunların çözülmesi sürecinde kritik bir rol oynar. Ancak, bu dosyaların ele alınması, yanlış yapılandırmaların ve potansiyel zafiyetlerin tespit edilmesi açısından da büyük bir önem taşır. Bu bölümde, PCAP dosyalarındaki riskleri değerlendirirken elde edilen bulguların güvenlik anlamını yorumlayacağız, yanlış yapılandırmaların veya zafiyetlerin etkilerini açıklayacağız, veri sızmaları, topoloji ve servis tespiti örnekleri vereceğiz. Ayrıca, profesyonel önlemler ve hardening önerileri sunarak bu bağlamda kapsamlı bilgiler aktaracağız.

PCAP Dosyalarının Güvenlik Anlamı

Bir PCAP dosyasının analizi sırasında, zararlı faaliyetler hakkında önemli bulgular elde edilebilir. Örneğin, bir ağ üzerindeki şifrelenmemiş (cleartext) trafik, kullanıcı adı ve şifreler gibi hassas bilgilerin sızdığı anlamına gelebilir. Aşağıda, bu tür bir durumun değerlendirilmesine dair örnek:

GET /login HTTP/1.1
Host: example.com
User-Agent: Mozilla/5.0
Authorization: Basic dXNlcm5hbWU6cGFzc3dvcmQ=

Yukarıdaki örnekte, HTTP üzerinden gönderilen bir yetkilendirme bilgisi, kötü niyetli bir aktör tarafından yakalanabilir. Bu durumda, ağdaki herhangi bir kötü amaçlı içerik, zafiyetlerden faydalanarak kolaylıkla elde edilebilir.

Yanlış Yapılandırmalar ve Zafiyetler

Yanlış yapılandırmalar, birçok güvenlik zafiyetinin kaynağıdır. Örneğin, bir sunucuya ait yanlış bir güvenlik politikası veya yanlış ayarlanmış bir firewall, yetkisiz erişimlere yol açabilir. Eğer PCAP dosyasından, izin verilmeyen bir IP adresinin ağa erişim sağladığı tespit edilirse, bunun nedenlerini araştırmak gerekecektir. Bu tür bir durum, doğrudan ağın güvenliğine tehdit oluşturur ve hemen ele alınmalıdır.

Veri Sızıntısı ve Servis Tespiti

PCAP dosyaları, sızan verilerin yanı sıra, ağ topolojisini ve hizmetlerin tespitini de sağlayabilir. Örneğin, belirli bir protokol üzerinden geçirilen trafik analiz edilerek, hangi servislerin çalıştığı ve hangi bağlantı noktalarının açık olduğu tespit edilebilir. Bu, bir ağın güvenlik durumu hakkında da bilgi verir. Örneğin, bir etki alanı denetim sunucusu, ağ üzerinde başka bir sunucudan gelen istekleri işaret ederek, potansiyel bir ihlal durumunu ortaya çıkarabilir.

Profesyonel Önlemler ve Hardening Önerileri

PCAP dosyalarını analiz etmek, siber güvenlik stratejilerinin geliştirilmesi açısından kritik öneme sahiptir. Profesyonel önlemler arasında şunlar yer alır:

  • Ağ Segmentasyonu: Ağınızı bölmek, olası saldırı yüzeylerini azaltır ve bir bölgedeki bir güvenlik açığının tüm ağı etkilemesini önler.

  • Şifreleme Kullanımı: Hassas verilerin HTTP yerine HTTPS gibi güvenli protokoller üzerinden iletilmesi, istismar riskini ortadan kaldırır.

  • Firewall ve IDS/IPS Kurulumu: Ağ güvenliğini artırmak için gelişmiş güvenlik politikaları ve tehdit algılama sistemleri kullanılmalıdır.

  • Güvenlik Güncellemeleri: Sistem ve yazılımlarının güncel tutulması, bilinen güvenlik açıklarının kapatılmasını sağlar.

Sonuç

PCAP dosyaları, doğru bir şekilde analiz edildiğinde, ağ güvenliği ile ilgili önemli bilgiler sunar. Yanlış yapılandırmalar ve zafiyetler, ağın güvenliğini tehdit edebilir. Veri sızıntıları, topoloji ve servis tespiti ise olası saldırıların ve ihlallerin önceden belirlenmesi adına kritik öneme sahiptir. Yukarıda belirtilen önlemler ve hardening önerileri, siber güvenlik stratejinizi güçlendirmek için faydalı olacaktır. Unutulmamalıdır ki sürekli izleme ve güncellemeler, güvenlik duruşunun en iyi şekilde sağlanmasında temel bir rol oynar.