CyberFlow Logo CyberFlow BLOG
Soc L2 Network Analysis C2

TCP, UDP ve ICMP Trafiklerinde Anomali Tespiti Eğitimi

✍️ Ahmet BİRKAN 📂 Soc L2 Network Analysis C2

TCP, UDP ve ICMP protokollerinde anomali tespiti konusunu detaylıca ele alan bir eğitim. Güvenlik uzmanları için vazgeçilmez bilgiler sunuyor.

TCP, UDP ve ICMP Trafiklerinde Anomali Tespiti Eğitimi

Bu eğitimde, TCP, UDP ve ICMP protokollerinde anomali tespiti yöntemlerini öğreneceksiniz. Teorik ve pratik bilgi birikiminizi artıracak içerik. Siber güvenlik alanında rakiplerinizden bir adım önde olun.

Giriş ve Konumlandırma

Giriş

Siber güvenlik, günümüz dijital dünyasında en kritik unsurlardan biridir. Özellikle bilgi sistemlerinin saldırılara açık hale gelmesi, siber güvenlik uzmanlarının veri akışlarını ve ağ trafiğini sürekli olarak izlemelerini zorunlu kılmaktadır. Bu bağlamda, ağ trafiği analizinde kullanılan temel protokoller olan TCP (Transmission Control Protocol), UDP (User Datagram Protocol) ve ICMP (Internet Control Message Protocol) üzerinde yapılan anomali tespiti, siber güvenlik stratejilerinin etkinliğini artırmaktadır.

Protokol Tanımlamaları

TCP, bağlantı odaklı bir protokol olarak veri iletimi için güvenilir bir yol sunarken, UDP ise bağlantısız olması sebebiyle daha hızlı ama güvenilir olmayan bir veri iletimi sağlar. ICMP ise daha çok hata mesajları ve ağ durumu bilgisi iletmek için kullanılır. Her biri, ağ üzerinde farklı işlevlere sahiptir ve farklı tehditlere maruz kalma olasılıkları bulunmaktadır.

Ağ güvenliği açısından, anomali tespiti, o protokol üzerindeki olağan dışı durumları veya saldırı teşebbüslerini belirlemek için son derece önemlidir. Anomali tespitinin sağlanması, ağ trafiğinin gözlemlenmesi ve analiz edilmesini gerektirir. Bu analiz, potansiyel siber tehditleri anlamaya ve bunlara karşı savunma mekanizmaları geliştirmeye yönelik kritik bir başlangıçtır.

Anomali Tespitinin Önemi

TCP, UDP ve ICMP protokollerinin her birinin kendine özgü karakteristikleri ve potansiyel açıkları vardır. Örneğin, TCP trafiğinde sıkça karşılaşılan "TCP RST Storm" durumu, çok sayıda bağlantı reddetme paketinin aniden görünmesiyle belirginleşir. Bu durum, bir ağın aşırı yüklenmesine veya siber saldırıya işaret edebilir. Bunun yanı sıra, UDP üzerinden yapılan "UDP Flood" saldırıları, hedef sunucunun bant genişliğini tüketecek şekilde planlanmış port saldırılarıdır. ICMP protokollerinde ise "Smurf" saldırıları, zararlı bir IP'nin yayın adresine sahte kaynakla ping atmasını içerir ve bu tür anormallikler ağ güvenliği için büyük tehditler oluşturur.

Anomaly detection (anomali tespiti), sadece sızma testleri (pentest) ve zararlı yazılımları tespit etmekle kalmaz; aynı zamanda ağ trafiğinde olağan dışı davranışları da yakalayarak proaktif bir güvenlik sağlama işlevi görür. Bu açıdan, ağ kaynaklarını korumak ve güvenlik açıklarını minimize etmek için bu tespit yöntemleri kritik bir rol oynamaktadır. Eğitimimizin ilerleyen bölümlerinde, TCP, UDP ve ICMP protokollerindeki anomali tespiti yöntemlerini ele alacağız ve bu trafikte karşılaşılan olağan dışı durumları inceleyeceğiz.

Tekniğe Hazırlık

Bu eğitimin temel hedefi, katılımcıları ağ güvenliği alanında anomali tespiti konusunda bilgilendirmek ve uygulamalı bilgi kazandırmaktır. TCP, UDP ve ICMP protokollerinin karakteristik anomali tespit yöntemlerini anlamak için, her bir protokolün temel işlevlerini ve güvenlik zaafiyetlerini dikkatli bir şekilde inceleyeceğiz.

Eğitimin ilerleyen kısımlarında, Tcpdump veya Tshark gibi araçlar kullanılarak nasıl veri analizi yapılacağı, belirli protokol türleri için anomali tespit yaklaşımları ve testlerde karşılaşabileceğiniz gerçek senaryolar üzerinde durulacaktır. Özellikle TCP anomali tespitinde kullanılan bayrak durumu, UDP veri hacmi analizleri ve ICMP paketlerinin kontrol edilmesi yöntemleri üzerinde durulacaktır. 

# Örnek: Sadece SYN-ACK paketlerini filtrelemek için Tshark komutu
tshark -r pcap_dosyasi.pcap -Y "tcp.flags.syn == 1 && tcp.flags.ack == 1"

Sonuç olarak, bu eğitim kursu, siber güvenlik alanında gereken temel bilgi ve becerileri kazandırmakla kalmayacak, aynı zamanda katılımcıları güncel tehditlere karşı daha kuşatıcı bir anlayış ve yanıt geliştirmeye teşvik edecektir.

Teknik Analiz ve Uygulama

TCP Anomali Tespiti

TCP (Transmission Control Protocol), bağlantı odaklı bir protokol olup, veri aktarımını güvenli bir şekilde gerçekleştirmek için bir dizi kontrol mekanizması barındırır. Ancak, ağda meydana gelen anormallikler güvenlik açısından kritik bir tehdit oluşturabilir. TCP anomali tespiti, genellikle bayrak (flag) kontrolleri ile gerçekleştirilir. Örneğin, normalde görülmemesi gereken veya şüpheli kabul edilen bayrak kombinasyonlarına dikkat etmek gerekir.

Bayrak kombinasyonları:

  • tcp.flags.syn == 1 && tcp.flags.ack == 1: Bu komut, bağlantı kabul eden SYN-ACK paketlerini filtrelemek için kullanılabilir. Bağlantının ya da hizmetin normal çalışıp çalışmadığını değerlendirmek için bu tür paketlerin analizi oldukça önemlidir.
tshark -Y "tcp.flags.syn == 1 && tcp.flags.ack == 1"

TCP RST Storm: Kısa sürede çok sayıda bağlantı reddetme paketinin görülmesi anlamına gelen bu durum, genellikle ağda bir anomali olduğunun işaretidir. Aynı zamanda, bir tarama (scan) üzerinde SYN paketleri gönderip ACK almadan bağlantıyı kesen durumlar da TCP anomali tespitinde önemli bir belirteçtir.

UDP Trafik Karakteristiği

UDP (User Datagram Protocol), bağlantısız bir protokol olduğu için anomali tespiti genellikle bayraklar yerine veri hacmi üzerinden değerlendirilir. Çünkü UDP'nin yapısı gereği bağlantı kurulmaksızın yalnızca veri iletilmesi söz konusudur. Bu özellik, UDP üzerinden gerçekleştirilen saldırıların analizini zorlaştırabileceği gibi, anomali tespitini de karmaşık hale getirir.

UDP Amplification: DDoS saldırıları genellikle UDP protokolü kullanılarak gerçekleştirilir. Bu tür saldırılarda, küçük bir UDP isteğine karşılık çok daha büyük bir yanıt dönmesi amaçlanır. Bu durum, hedefin bant genişliğini tüketmeyi hedefler. 

tshark -Y "udp && ip.src == <source_ip> && ip.dst == <destination_ip>"

Protokol Anomalileri

TCP ve UDP protokollerinde görülen anomali türleri arasında, bayrak kombinasyonlarının yanı sıra, belirli bir yük (payload) boyutunu aşan paketlerin varlığı da dikkat çekicidir. Özellikle ICMP gibi diğer protokollerle birlikte kullanıldığında, bu tür anormallikler kritik bilgiler sunabilir.

ICMP Tunneling Belirtisi

ICMP, genellikle hata raporları ve ilişkilendirme için kullanılır, ancak kötü niyetli kullanıcılar tarafından komut kontrol (C2) kanalı olarak kullanılabilmektedir. Normalde görülmemesi gereken büyük yük (large payload size) içeren ICMP paketleri, bu tür bir kullanımı gösterebilir. Analiz edilmesi gereken yük, tipik olarak sıkça tekrarlanan echo isteği (ping) paketlerinin büyüklüğüdür.

tshark -Y "icmp && icmp.length > <threshold>"

Trafik Yönü Analizi

SOC (Security Operations Center) analizlerinde, dış ağdan iç ağa (inbound) doğru gelen şüpheli TCP paketlerinden çok, iç ağdan dış ağa (outbound) doğru giden trafik daha kritik kabul edilmektedir. Bu tür trafik, daha fazla güvenlik riskini içerebilir ve C2 şüphesi taşıyan outbound trafiği dikkate alınmalıdır.

tshark -Y "tcp && tcp.flags == 0x12"

ICMP Payload Kontrolü

Normalden büyük bir ICMP paketi tespit edildiğinde, bu durum detaylı bir analiz gerektirir. ICMP trafiği üzerinden yola çıkılarak, zararlı bir aktivitenin varlığı incelenmelidir. Anomali tespiti sürecinde, analizcinin TCP paketlerindeki uyumsuzlukları doğrulama aşaması çok önemlidir. Bu, genellikle paket yakalama (pcap) dosyaları üzerinden gerçekleştirilir.

tshark -r <capture_file>.pcap -Y "icmp && icmp.length > <threshold>"

SOC L2 Pratiği: Anomali Onayı

Anomali tespiti sürecinde sağlık kontrolü yapan analistlerin, TCP paketlerinde anomali olup olmadığını doğrulamak için belirli adımları izlemesi gerekmektedir. Bu adımlar, analizlerin doğruluğunu sağlamak ve yanlış alarm oranını minimize etmek için önemlidir.

Herhangi bir anomali tespit edildiğinde, bu tür durumların kaydedilmesi ve raporlanması gerekmektedir. Ayrıca, bu tespitlerin ardındaki sebeplerin incelenmesi, geçmişteki olayların daha iyi anlaşılmasına katkı sağlar. Kapsamlı analizler, güvenlik protokollerinin güçlendirilmesi için gerekli bilgi sağlar.

Risk, Yorumlama ve Savunma

Siber güvenlik dünyasında, ağ trafiği analizinde kullanılan temel protokoller arasında TCP, UDP ve ICMP yer almaktadır. Bu protokoller, gelişmiş tehdit tespit sistemleri ve güvenlik operasyon merkezi (SOC) işlemleri için anahtar rol oynamaktadır. Anomali tespiti, şüpheli trafiğin belirlenmesi ve güvenlik açıklarının tarlamanması açısından kritik öneme sahiptir. Bu bölümde, TCP, UDP ve ICMP protokollerinin anomali tespitindeki risklerini, yorumlanabilir bulgularını ve bunlara karşı alınabilecek savunma önlemlerini inceleyeceğiz.

TCP Anomali Tespiti

TCP anomali tespiti, ağ üzerindeki etkili iletişimi sağlamak ve potansiyel saldırıları önlemek için hayati bir işlemdir. TCP protokolü üzerinde en yaygın görülen anomali türlerinden biri, TCP RST Storm durumudur. Bu tür bir saldırıda, yüksek hacimli paketler, bağlantıları kesme amacıyla çok sayıda RST (reset) paketinin görünmesine yol açar. Bu, ağın aşırı yüklenmesine ve hizmet kesintilerine neden olabilir.

tcp.flags.reset == 1

Yukarıdaki filtre, ağda görülen RST paketlerini izlemek için kullanılabilir. Anomaliler bulunduktan sonra, bu durumun kaynağının belirlenmesi ve gerekirse bağlı cihazların gözden geçirilmesi önemlidir.

UDP Trafik Karakteristiği

UDP, doğası gereği bağlantısız bir protokoldür ve bu, çalıştığı uygulama için bazı zafiyetler ortaya çıkarabilir. Birçok saldırgan, bağlantısız özelliklerden faydalanarak UDP Flood saldırıları gerçekleştirebilir. Bu tür saldırılarda, hedef sunuculara rastgele ve yüksek hacimli UDP paketleri gönderilir. 

udp.port == <hedef_port>

Belirli bir UDP portuna yönelik trafik gelen her paketin analizi, bu tür saldırıların tespiti için fayda sağlayabilir.

Protokol Anomalileri

Ağ analizlerinde görülen bazı protokol anomali örnekleri arasında, TCP bayraklarının beklenen kombinasyonlarla uyuşmaması sayılabilir. Örneğin, bir TCP oturumunda SYN + FIN kombinasyonunun görüldüğü durumlar, genellikle saldırılara işaret eder. Bu tür durumların analizi için güçlü araçlar kullanmak şarttır.

tcp.flags.syn == 1 && tcp.flags.fin == 1

Elde edilen sonuçlar, ağa yönelik olası tehditlerin tanımlanmasına yardımcı olabilir.

ICMP Trafiği ve Analizi

ICMP trafiği, ağ iletişiminin sağlanmasının yanı sıra, bazen siber saldırılar için de kullanılmaktadır. Özellikle ICMP Smurf saldırıları, hedef halinde olan cihazın bant genişliğini düşürmek amacıyla gerçekleştirilen yıkıcı eylemlerdir. ICMP paketlerinin boyutlarının aşırı derecede büyük olduğu durumlarda, bunun ayrıntılı analizi yapılmalıdır.

icmp.type == 8 && icmp.code == 0

Bu komut, ICMP Echo isteklerinin izlenmesini sağlar.

Savunma Yöntemleri ve Hardening

Tespit edilen anomali türlerine karşı çeşitli savunma önlemleri alınabilir. Önerilen bazı önlemler şunlardır:

  1. Ağ Segmentasyonu: Kritik sistemlerinize erişimi kısıtlamak için ağ segmentasyonu uygulayın.
  2. Güvenlik Duvarı Ayarları: Duyarlı protokollere gelen bağlantıları denetlemek için güvenlik duvarı kuralları oluşturun.
  3. Sürekli İzleme: Bu protokoller üzerindeki trafiğin sürekli izlenmesi ve potansiyel anomali durumlarının hızlı bir şekilde analiz edilmesi önemlidir.
  4. Düzenli Güncellemeler: Kullanılan yazılımların en son güvenlik yamaları ile güncel tutulması saldırı yüzeyini azaltabilir.

Sonuç Özeti

Ağ trafiği analizi, TCP, UDP ve ICMP protokollerindeki anomali tespitinin önemi, siber tehditlerin tespiti açısından kritik olduğu bir gerçektir. Yanlış yapılandırmalar veya zafiyetler tespit edildiğinde, bu durumların etkili bir şekilde analiz edilmesi ve uygun savunma yöntemlerinin devreye sokulması gerekmektedir. Elde edilen bulgular üzerinden gerçekleştirilmesi gereken savunma çalışmaları, ağın güvenliğini artırabilir ve potansiyel saldırılara karşı direncini yükseltebilir.