CyberFlow Logo CyberFlow BLOG
Network Security Analysis

Scapy ile Ağ Üzerinde Paket Manipülasyonu ve Analiz Tekniği

✍️ Ahmet BİRKAN 📂 Network Security Analysis

Scapy kullanarak ağ paketlerini nasıl manipüle edebilir ve analiz edebilirsiniz? Bu blogda adım adım öğrenin.

Scapy ile Ağ Üzerinde Paket Manipülasyonu ve Analiz Tekniği

Scapy, ağ güvenliği alanında önemli bir araçtır. Bu blog yazısında, Scapy ile paket manipülasyonu ve analizi adımlarını öğreneceksiniz. Hedef IP belirleme, paket gönderme ve ağ trafiğini koklama gibi temel teknikler üzerinde durulacak.

Giriş ve Konumlandırma

Giriş

Siber güvenlik alanında, ağ güvenliğini sağlamak ve zafiyetleri analiz etmek için çeşitli tekniklerin uygulanması gerekmektedir. Bu bağlamda, Scapy kütüphanesi, güçlü bir paket oluşturma ve manipülasyon aracı olarak siber güvenlik profesyonellerinin ve araştırmacıların en çok tercih ettikleri araçlardan biridir. Scapy, Python tabanlı bir kütüphane olup, ağ protokollerinin inşasına, gönderimine ve analizine olanak tanır. Modern ağ güvenliğinin temellerini oluşturan bu kütüphane, sadece kötü niyetli etkinlikleri tespit etmek için değil, aynı zamanda ağların güvenliğini artırmak adına etkili bir şekilde kullanılmaktadır.

Neden Önemli?

Günümüz dijital dünyasında, ağ güvenliği tehditleri sürekli evrim geçirmekte ve siber saldırganlar, daha sofistike saldırı yöntemleri geliştirerek veri güvenliğini tehlikeye atmaktadır. Siber güvenlik uzmanlarının bu tehditlere karşı etkin bir şekilde önlem alabilmesi için güçlü araçlar ve metodolojilere ihtiyaçları bulunmaktadır. Scapy, kullanıcıların paketleri kolaylıkla oluşturmasına, göndermesine ve analiz etmesine olanak tanıyarak, bu ihtiyaçları karşılamaktadır. Özellikle penetrasyon testleri (pentest) sırasında, zafiyetlerin belirlenmesi ve güvenlik açıklarının kapatılması amacıyla Scapy’nin sunduğu olanaklardan faydalanmak, kritik bir öneme sahiptir.

Siber Güvenlik Bağlamı

Scapy’nin sağladığı araçlar, yalnızca paket gönderimi ve alımı ile sınırlı kalmayıp, aynı zamanda ağ trafiğini analiz etme, izleme ve manipüle etme işlemlerini de kapsamaktadır. Ağ güvenliği uzmanları, Scapy kullanarak aşağıdaki işlemleri gerçekleştirebilir:

  • Paket İnşası ve Manipülasyonu: Ağ üzerindeki çeşitli protokolleri kullanarak özelleştirilmiş paketler oluşturmak ve bu paketleri yönlendirmek.
  • Ağ Trafiği Koklama: Gerçek zamanlı olarak ağ üzerindeki tüm paketleri yakalayıp incelemek.
  • Zafiyet Tespiti ve Sızma Testi: Ağ ortamında potansiyel zafiyetleri belirleyerek, güvenlik açıklarını değerlendirmek.
  • Hedefe Yönelik Saldırı Simülasyonu: Kötü niyetli aktiviteleri, kurban makinelerine yönelik senaryolarla test etmek.

Bu işlevler sayesinde, ağ üzerindeki etkileşimlerin nasıl gerçekleştiğini anlamak ve güvenlik stratejilerini uygulamak mümkün hale gelir.

Teknik İçeriğe Hazırlık

Scapy kullanmaya başlamak için, kütüphanenin temel işlevlerine ve protokol katmanlarına aşina olmak önemlidir. Scapy, protokollerin katmanlar arası ilişkilerini anlamanızı sağlayacak bir yapı sunar. Örneğin, bir ICMP paketini oluştururken, IP katmanını belirlemeniz gerekecektir. Bu tür bilgiler, ağ analizi ve paket oluşturma süreçlerinin temel taşlarını oluşturur.

from scapy.all import *

# Basit bir ICMP paketi oluşturma
packet = IP(dst="8.8.8.8")/ICMP()
packet.show()

Yukarıdaki örnekte, Scapy kullanarak belirli bir IP adresine (8.8.8.8) yönelik bir ICMP paketi oluşturmaktayız. packet.show() fonksiyonu, oluşturulan paket hakkında detaylı bilgi sunar.

Bu teknik içerikte, Scapy ile ağ üzerinde paket manipülasyonu ve analizi gerçekleştirmek için temel adımları, kullanılan yöntemleri ve karşılaşılebilecek yaygın senaryoları inceleyeceğiz. Öncelikle, Scapy'nin dünya üzerindeki önemine ve ağ güvenliği alanındaki rolüne daha derinlemesine bir bakış atmak amacıyla, kütüphanenin özelliklerini ve işlevselliğini keşfetmekle başlayacağız.

Teknik Analiz ve Uygulama

Scapy Dünyasına Giriş

Scapy, Python tabanlı, güçlü bir ağ paketi oluşturma ve analiz aracıdır. Ağ üzerindeki paketleri oluşturmak, manipüle etmek ve yakalamak için kapsamlı bir yetenek sunar. Scapy ile çeşitli protokoller üzerinde çalışırken, katmanlı bir yapı izleriz. İlk adımda, Scapy'nin sunduğu temel komutları öğrenerek işe başlarız. Aşağıdaki komutu kullanarak desteklenen tüm protokol katmanlarını görebiliriz:

ls()

Bu komut, Scapy tarafından tanınan tüm protokollerin ve katmanların listesini sağlar.

Katmanlı Paket İnşası

Paket oluştururken, Scapy'de katmanlar arası geçiş yaparken / operatörünü kullanırız. Örneğin, bir ICMP (Ping) paketi oluşturmak için aşağıdaki şekilde bir yapı kurabiliriz:

packet = IP(dst='8.8.8.8') / ICMP()

Burada IP(dst='8.8.8.8'), ağ katmanını temsil ederken, ICMP() ise kontrol protokolü katmanını belirler. Scapy, bu katmanları bir araya getirerek, üst üste inşa edilmiş bir paket oluşturur. Bu tür bir yapı, daha karmaşık protokollerin ve paketlerin oluşturulmasını kolaylaştırır.

Paket Gönderme ve Cevap Alma

Scapy ile paket göndermek için bir dizi fonksiyon bulunmaktadır. Bunlar arasında send, sendp ve sr (Send/Receive) en yaygın olanlarıdır. Örneğin, 8.8.8.8 adresine bir ICMP paketi gönderip cevabını beklemek için şu komutu kullanabiliriz:

response = sr1(IP(dst='8.8.8.8') / ICMP())

Bu komut, belirtilen IP adresine bir ICMP paketi gönderir ve cevap alır. Elde edilen cevabı incelemek için response.show() komutunu kullanarak, cevabın içeriğini detaylı bir şekilde görüntüleyebiliriz.

Ağ Trafiğini Koklama (Sniffing)

Scapy, ağ trafiğini gerçek zamanlı olarak yakalamak için sniff fonksiyonunu kullanır. Bu fonksiyon BPF (Berkeley Packet Filter) filtrelerini destekleyerek, belirli kriterlere uyan paketleri yakalamamıza olanak tanır. Örneğin, yalnızca TCP 80 portuna gelen paketleri yakalamak için aşağıdaki komutu kullanabiliriz:

packets = sniff(filter='tcp port 80')

Yakaladığımız paketleri daha sonrasında inceleyerek analiz yapmak mümkündür. Yakalanan paketlerin içeriğini görüntülemek için ise show() ya da summary() fonksiyonlarını kullanabiliriz.

ARP Zehirleme (Cache Poisoning)

Scapy, siber saldırıları simüle etmek ve test etmek için de etkili bir araçtır. Örneğin, bir saldırgan olarak, bir cihazın ARP tablosuna sahte bir kayıt gönderebiliriz. Aşağıdaki komutu kullanarak, kurbanın ARP tablosuna sahte bir kayıt ekleyebiliriz:

send(ARP(op=2, psrc='10.0.0.1', pdst='10.0.0.5'))

Bu komut, belirtilen kaynak IP adresi (psrc) ile kurbanın hedef IP adresine (pdst) sahte bir ARP yanıtı gönderir. Bu tür bir teknoloji, ARP zehirleme saldırılarını simüle etmek ve ağ güvenliğini test etmek için kullanılabilir.

Mavi Takım: Paket Analizi

Siber güvenlikte, saldırıları analiz etmek ve olayları anlamak önemli bir adımdır. Scapy ile yakalanan paketlerin içeriğini incelemek için show() ve pdump() fonksiyonları kullanılabilir. Örneğin, bir paketi daha detaylı incelemek için şu komutu kullanabiliriz:

packet.show()

Bu komut, paketin tüm katmanlarını ve alanlarını okunabilir bir formatta gösterecektir. Ek olarak, daha fazla analiz yapmak için Wireshark gibi araçlardan kaydedilen pcap dosyalarını içeri aktarmak için rdpcap('dosya.pcap') komutunu kullanabiliriz.

Scapy, hem saldırı hem de savunma açısından önemli bir araçtır. Ağ üzerinde paket manipülasyonu ve analizi yaparken, bu tekniklerin derinlemesine anlaşılması, hem saldırılara karşı koymak hem de potansiyel güvenlik zafiyetlerini tespit etmek için hayati önem taşır.

Risk, Yorumlama ve Savunma

Risk ve Zayıflıkların Yorumlanması

Scapy, ağ analizi ve paket manipülasyonu için güçlü bir araçtır. Ancak, elde edilen bulguların güvenlik anlamını yorumlamak, doğru bir değerlendirme yapabilmek için son derece önemlidir. Örneğin, bir ağ üzerindeki paketleri analiz ederken, IP adresi, port bilgileri ve protokoller gibi temel bilgilere dikkat edilmelidir. Belirli bir IP adresine yönlendirilen anormal veri trafiği, potansiyel bir tehlikenin habercisi olabilir. Bu tür gözlemler, ağ yöneticileri tarafından daha fazla incelenmelidir.

Yanlış yapılandırma ve zafiyetler, bir ağın güvenliğini ciddi şekilde tehlikeye atabilir. Örneğin, yanlış yapılandırılmış bir firewall, belirli portlara gelen trafiği kontrol edemeyebilir ve bu noktadan sızma girişimlerine kapı aralayabilir. Ağ üzerindeki güvenlik açığı taramaları ile elde edilen sonuçlar, bu noktada kritik öneme sahiptir. Scapy ile toplanan veriler, ağın mimarisini ve zayıf noktalarını gün yüzüne çıkarabilir. Bu verilerin analizi, potansiyel tehditlerin önlenmesi amacıyla gerekli savunma stratejilerinin geliştirilmesine zemin hazırlar.

Zafiyetlerin Etkisi

Elde edilen veriler arasında, sızan kimlik bilgileri veya Ağ Tablosu Protokolü (ARP) üzerinde yapılan değişiklikler gibi bulgular önemli risk faktörleri olarak değerlendirilebilir. Örneğin, ARP zehirleme (ARP spoofing) saldırısı ile, kötü niyetli bir kullanıcı, bir cihazın ARP tablosuna sahte bir IP adresi ya da MAC adresi yerleştirerek veri trafiğini kendi üzerinden geçirebilir. Bu tür saldırılar, bilgi sızıntılarına ve hizmet kesintilerine yol açabilir.

Ayrıca, ağ üzerinde tespit edilen veri trafiği analizi sırasında, gizli bilgilere erişim sağlanması da potansiyel bir tehlikedir. Bu durum, hem kullanıcıların özel verilerinin ifşası, hem de sistemlerin bütünlüğüne ciddi zararlar verebilir. Örneğin, toplam gösterge dosyası (pcap) üzerinden yapılan bir analiz ile hassas verilerin ele geçirilmesi mümkündür. Kullanıcıların bilgileri, saldırganların eline geçerse, bu durum doğrudan organizasyonu tehdit eden bir unsur haline gelir.

Profesyonel Önlemler ve Güvenlik Sertifikasyonu

Sistemde tespit edilen riskler doğrultusunda alınacak önlemler arasında, ağ güvenliği politikalarının güncellenmesi ve sıkılaştırılması yer alır. Uygulama güvenlik duvarları, saldırı tespit sistemleri (IDS) ve sanal özel ağlar (VPN), bu bağlamda değerlendirilebilecek unsurlardır. Her bir bileşenin düzenli olarak test edilmesi ve sızma testlerinin uygulanması, güvenlik duruşunu güçlendirebilir.

Ayrıca, düzenli ağ taramaları ve analizleri, olası zafiyetlerin tespit edilmesi adına kritik öneme sahiptir. Scapy gibi araçlarla yapılan analizler sonrasında, sorunların belirlenmesi ve giderilmesi, ağ yönetiminin bir parçası olmalıdır. Cihazların güncellemelerinin yapılması, zafiyetlerin kapatılması ve sistem hardening (sertleştirme) yöntemlerinin uygulanması, risklerin azaltılmasına katkı sağlar. Örneğin, gereksiz servislerin kapatılması, portların sadece gerekli olanlarına izin verilmesi, ve güçlü şifreleme yöntemlerinin kullanılması sistemin içine sızma girişimlerini zorlaştırmaktadır.

Sonuç

Sonuç olarak, Scapy ile gerçekleştirdiğimiz paket analizi ve manipülasyonu, ağ üzerindeki zafiyetlerin ve risklerin tespit edilmesinde önemli bir araçtır. Görülen bulguların güvenlik anlamı doğru bir şekilde yorumlandığında, ağ yöneticileri etkin önlemler alabilirler ve olası tehditleri zamanında engelleyebilirler. Yanlış yapılandırmalar, zafiyetler ve potansiyel veri sızıntıları gibi unsurların dikkate alınması, profesyonel güvenlik stratejilerinin etkili bir şekilde uygulanmasına yardımcı olur. Ağ güvenliğinin artırılması adına sürekli güncel kalmak ve yeni tehditleri gözlemlemek, siber güvenlik alanında kaçınılmaz bir gerekliliktir.