CyberFlow Logo CyberFlow BLOG
Network Analysis Forensics

Wireshark ile Ağ Trafiğini Derinlemesine Analiz Etme

✍️ Ahmet BİRKAN 📂 Network Analysis Forensics

Wireshark kullanarak ağ trafiğinizi derinlemesine analiz etmeyi öğrenin. Derinlemesine paket analizi ile güvenliğinizi artırın.

Wireshark ile Ağ Trafiğini Derinlemesine Analiz Etme

Bu yazıda Wireshark ile ağ trafiğinizi nasıl derinlemesine analiz edeceğinizi öğreneceksiniz. Arayüz belirleme, filtreleme ve güvenlik analizi adımlarını keşfedin.

Giriş ve Konumlandırma

Günümüz dijital dünyası, sürekli olarak artan ağ trafiği ve veri alışverişi ile şekillenirken, siber güvenlik de bu dinamik yangının ortasında bir savunma mekanizması olarak önem kazanmaktadır. Ağ trafiğinin analizi, siber güvenlik profesyonellerinin, sistem yöneticilerinin ve penetrasyon test uzmanlarının etkili bir şekilde güvenlik açıdan karar vermelerini sağlayan kritik bir süreçtir. Bu bağlamda, Wireshark, ağ trafiğini derinlemesine analiz etme yeteneği sunan güçlü bir araç olarak öne çıkmaktadır.

Wireshark, açık kaynaklı bir ağ protokol analizörü olarak, ağ üzerinde iletilen verilerin yakalanması ve detaylı bir şekilde incelenmesi için kullanılan en yaygın yazılımlardan biridir. Kullanıcıların paketi yakalayıp analiz etmelerine olanak tanıyan bu araç, yalnızca bir trafik kaynağını dinlemekle kalmaz; aynı zamanda bu veriyi anlamlı bir şekilde yorumlayan ve inceleyen özelliklerle donatılmıştır. Bu yazıda, Wireshark ile ağ trafiğinin nasıl derinlemesine analiz edileceği ve bu sürecin siber güvenlik açısından taşıdığı önem üzerinde duracağız.

Neden Wireshark Kullanmalıyız?

Ağ trafiğinin analizi, birçok nedenden ötürü kritik bir önem taşımaktadır:

  1. Zafiyet Tespiti: Siber güvenlik tehditlerini belirlemek, bir ağın güvenliğini sağlamak adına yapılan en önemli adımdır. Wireshark, anormal trafik desenlerini ve potansiyel güvenlik ihlallerini tespit etmeye yardımcı olabilir. Örneğin, bir sistemdeki yetkisiz erişim denemeleri veya zararlı yazılım aktivitesi, ağ trafiği analizi ile gün yüzüne çıkarılabilir.

  2. Performans İzleme: Ağ yönetimi ve optimizasyonu açısından, Wireshark’ın sunduğu detaylı analizler, ağ performansını değerlendirmenize ve sorunları hızlı bir şekilde belirlemenize yardımcı olur. Bu, ağ yöneticilerinin tıkanıklıkları, gecikmeleri ve diğer performans sorunlarını tanımlayarak çözüm bulmalarını sağlar.

  3. Paket Analizi ve Derinlemesine İnceleme: Wireshark, ağ trafiğini bir dizi protokol altında detaylı bir biçimde rezerve ederek sunar. Bu durum, ağ yöneticilerine ve güvenlik uzmanlarına, verilerin nereden geldiğini ve nereye gittiğini, hangi protokollerin kullanıldığını açıkça görme imkanı tanır.

Siber Güvenlik, Pentest ve Savunma Açısından Bağlam

Wireshark, güvenlik açıdan tehditlerin keşfedilmesinde kritik bir rol oynamaktadır. Penetrasyon testleri (pentest), bir sistemin güvenliğini değerlendirirken, ağ trafiği analizi bu aşamanın temel bileşenlerinden biridir. Bir penetrasyon testi sırasında, hedef ağdaki zayıf noktalar tespit edilmeden önce, aktarımda bulunan veriyi incelemek ve anormal ya da saldırgan davranışları ortaya çıkarmak son derece önemlidir.

Ayrıca, Wireshark yalnızca saldırganları tespit etmeye değil, aynı zamanda güvenlik önlemleri geliştirmeye de olanak tanır. Ağın nasıl saldırıya uğrayabileceği konusunda analizler yaparak, güvenlik stratejileri oluşturmak mümkündür. Bu örneğin, bir TLS Handshake süreci sırasında hangi güvenlik zafiyetlerinin yaşanabileceğini anlamak ve buna yönelik çözümler geliştirmek anlamına gelir.

Teknik İçeriğe Hazırlık

Bu blog yazısının devamında, Wireshark'ın kullanımına dair detaylı bilgiler paylaşılacaktır. İlk aşamalarda Wireshark üzerinde arayüz belirlemeden, görüntüleme filtrelerinin nasıl kullanılacağına kadar birçok konuyu ele alacağız. Özellikle, yakalanan verilerin analizinde ihtiyaç duyabileceğiniz temel teknikleri öğrenerek, Wireshark’ı etkin bir şekilde nasıl kullanabileceğinizi keşfedeceksiniz.

Wireshark’ın etkili bir şekilde kullanımı, pratik bilgi ve deneyim gerektiren bir süreçtir. Bu nedenle, ağ trafiği analizi konusundaki temel kavramları anlamanız, kullanımınızı kolaylaştıracak ve sizi bu alanda daha yetkin bir profesyonel haline getirecektir. Gerektiğinde paylaşılacak olan örnek komutlar ve filtreleme yöntemleri, okurların bilgi seviyelerini artırmalarına yardımcı olacaktır.

İçeriğin derinlemesine inceleneceği bu çalışmanın sonunda, Wireshark ile ağ trafiğinin nasıl verimli bir şekilde analiz edilebileceğine dair sağlam bir temel kazanmış olacaksınız.

Teknik Analiz ve Uygulama

Ağ Trafiği Analizi

Wireshark, ağ trafiğini yakalamak ve analiz etmek için kullanılan güçlü bir araçtır. Ağ yöneticileri ve siber güvenlik uzmanları tarafından yaygın olarak kullanılan Wireshark, kullanıcıların ağa bağlı cihazlar arasındaki iletişimleri derinlemesine incelemesine olanak tanır. Bu bölümde, Wireshark ile ağ trafiği analizi sırasında izlenecek adımlar ve teknik detaylara odaklanacağız.

Arayüz Belirleyerek Yakalamayı Başlatma

Wireshark'ı kullanmaya başlamadan önce, hangi ağ arayüzünü dinleyeceğinizi belirlemeniz gerekir. Bu, gerçekleştireceğiniz analizlerin kapsamını belirler. Wireshark'ı, belirli bir arayüzde veri yakalamak için komut satırından başlatabilirsiniz:

wireshark -i eth0

Burada eth0, dinlemek istediğiniz ağ arayüzünün adıdır. Linux sistemlerde ağ arayüzleri genellikle eth0, wlan0 gibi adlandırılır. Uygun arayüzü belirlemek için komut satırından ifconfig veya ip a komutunu kullanarak mevcut arayüzlerinizi görebilirsiniz.

Wireshark Arayüz Bileşenleri

Wireshark arayüzü, analizinizi gerçekleştirmek için üç ana bölüm içerir:

  1. Packet List: Yakalanan tüm paketlerin özet bilgilerini içeren liste oluşturur. Bu bölümde, her paketin numarası, zamanı, kaynağı, hedefi ve protokolü yer alır.
  2. Packet Details: Seçilen paketin OSI katmanları ile hiyerarşik ve detaylı görünümünü sağlar. Her katmanda paket içeriği hakkında daha fazla bilgi edinmek mümkündür.
  3. Packet Bytes: Paketlerin ham hali, hexadecimal ve ASCII karakterler olarak gösterilir. Bu bölüm, paket içeriğini daha derinlemesine analiz etmenize olanak tanır.

Bu bölümlerin her biri, anlaşılır bir formatta veri sunarak, kullanıcıların trafiği daha etkili bir şekilde analiz etmelerine yardımcı olur.

Görüntüleme Filtreleri (Display Filters)

Wireshark'ın en güçlü özelliklerinden biri, verilerinizi filtreleme yeteneğidir. Binlerce paket arasından yalnızca belirli bir trafiği görmek için filtreleme yapmalısınız. Örneğin, sadece HTTP POST isteklerini görmek istiyorsanız filtre alanına şu komutu girebilirsiniz:

http.request.method == "POST"

Bu filtre, yalnızca POST metodunu kullanan HTTP isteklerini listeleyecektir. Bu şekilde, ilgilendiğiniz trafik türlerini daha kısa sürede tespit edebilirsiniz.

Kayıt ve Dosya Formatı

Wireshark ile yakalanan trafik, daha sonra analiz edilmek veya kanıt olarak sunulmak üzere kaydedilir. Modern Wireshark sürümleri için endüstri standardı olan dosya uzantısı pcapng şeklindedir. Trafik kaydetmek için "File" menüsünden "Save" veya "Save As" seçeneklerini kullanarak yakalamanızı bu formatta kaydedebilirsiniz.

Akışı Takip Etme (Follow Stream)

Yakalanan trafiğin içeriğini anlamak için "Follow TCP Stream" özelliğini kullanabilirsiniz. Bu özellik, parçalanmış paketleri birleştirerek, iki cihaz arasındaki tüm iletişimi tek bir metin belgesi gibi gösterir. Bu sayede, örneğin bir web sayfası yüklemesi sırasında meydana gelen tüm iletişimi kolayca görebilirsiniz. Bu işlemi gerçekleştirmek için analiz etmek istediğiniz TCP paketine sağ tıklayıp “Follow” > “TCP Stream” seçeneğini seçebilirsiniz.

Güvenlik ve Şifreleme Analizi

Paket analizi sırasında, trafiğin güvenli olup olmadığını belirlemek, siber güvenlik açısından kritik bir adımdır. Güvenli iletişim protokolleri (SSH, HTTPS, SFTP) trafiği şifrelerken, güvensiz iletişim protokolleri (Telnet, HTTP, FTP) tüm veri paketlerini açık metin olarak iletir. Şifreleme kullanmayan bir protokol ile iletilen veri, dışarıdan gözlemlenebilir ve güvenlik zafiyeti oluşturabilir.

Özellikle TLS Handshake aşamasında, bağlantının şifreleme algoritmaları belirlenir. Bu aşama, şifreli bir bağlantı kurmanın temellerini atar ve kullanıcı bilgilerini korur.

Sonuç

Wireshark ile ağ trafiği analizi, ağ güvenliğinin sağlanması ve oturum açma girdilerinin izlenmesi gibi birçok üst düzey işlemi mümkün kılar. Gerçekleştirilen analizlerin başarılı bir şekilde sonuçlanabilmesi için yukarıda bahsedilen adımlar ve tekniklerin dikkatlice uygulanması gereklidir. Bu yöntemler, ağ trafiğinin izlenmesi ve analiz edilmesinde önemli bir rol oynar. Wireshark kullanarak gerçekleştirdiğiniz analizler, hem ağ güvenliğini artıracak hem de potansiyel tehditleri erkenden tespit etmenize olanak tanıyacaktır.

Risk, Yorumlama ve Savunma

Wireshark kullanarak ağ trafiğini derinlemesine analiz etme süreci, siber güvenlik açısından birçok risk ve zafiyetin tespit edilmesine olanak tanımaktadır. Bu bölümde, analiz sırasında elde edilen bulguların güvenlik anlamını nasıl yorumlayabileceğimizi, yanlış yapılandırma ya da zafiyetlerin etkisini, sızan veri, topoloji ve servis tespiti gibi sonuçları ele alacağız. Son olarak, profesyonel önlemler ve hardening önerileri ile kısa bir sonuç özeti sunacağız.

Elde Edilen Bulguların Güvenlik Anlamı

Wireshark ile yapılan analizlerde elde edilen veriler, ağın güvenliği hakkında çok şey söyleyebilir. Örneğin, ağ trafiğinde herhangi bir anormal davranış ya da beklenmeyen paket akışı tespit edildiğinde, bu durum saldırı olasılığına işaret edebilir. Aşağıda birkaç önemli bulgu örneği verilmiştir:

  • TCP Yeniden İletimleri: Eğer belirli bir IP adresine gönderilen paketlerde aşırı sayıda yeniden iletim (retransmission) görüyorsanız, bu durum ağa yapılan bir DDoS saldırısının belirtisi olabilir.
  • Açık Protokoller: HTTP, Telnet gibi açık metinle çalışan protokoller kullanılıyorsa, kritik verilerin (şifreler gibi) saldırganlar tarafından kolaylıkla yakalanabileceğini göz önünde bulundurmalısınız.
  • Anonim Trafik: Belirttiğiniz yapılandırmalarla ilişkili olmayan, dış kaynaklı ve anormal trafik göze çarpıyorsa bu, bir sızma girişimi ya da bir iç tehdit olabilir.

Yanlış Yapılandırma ve Zafiyet Etkisi

Yanlış yapılandırmalar, siber güvenlikte en yaygın ancak en belirgin olmayan problemlerdir. Yanlış yapılandırmanın etkileri oldukça geniş bir yelpazeye yayılabilir:

  1. Ağ İzolasyonu Eksiklikleri: Eğer ağ segmentasyon kuralları yanlış belirlenmişse, iç ağda yaşanan bir ihlal dışarıya yayılabilir.
  2. Düşük Şifreleme Standartları: Zayıf şifreleme kullanılması durumunda, hassas verilerin korunma seviyesi ciddi anlamda azalır ve bu hedef alınmaya neden olur.
  3. Eski veya Kriptoanalizlere Açık Protokoller: Eski protokoller kullanarak iletişim kurmak (örneğin, WEP) ciddi zafiyetler yaratır ve saldırılara açık hale getirir.

Sızılan Veri ve Servis Tespiti

Sızma girişimlerine maruz kalındığında, belirli verilerin tehlikeye girmesi kaçınılmaz olabilir. Wireshark ile yaptığınız analizler sırasında aşağıdaki verilerin sızma durumunda nasıl tespit edilebileceğini gözlemleyebilirsiniz:

HTTP Response Code: 401 Unauthorized

Yukarıdaki HTTP yanıt kodu, genellikle bir kimlik doğrulama hatası olduğunu gösterir. Bu durum, bir saldırganın yetkisiz bir erişim denemesi yaptığını işaret ediyor olabilir.

Profesyonel Önlemler ve Hardening Önerileri

Elde edilen bulgular ışığında, profesyonel savunma önlemleri alınması hayati öneme sahiptir. Aşağıda bazı öneriler verilmiştir:

  • Güçlü Şifreleme Protokolleri Kullanımı: SSH, HTTPS gibi güvenli protokollerin tercih edilmesi gerekir. Bunlar, verilerin gizliliğini koruyarak sızma girişimlerine karşı tavan güvenlik sağlar.
  • Ağ İzolasyonunun Sağlanması: Ağ segmentasyonu ve firewall kuralları ile ağın zayıf noktalarının minimize edilmesi gerekmektedir. Örneğin, iç ve dış ağların birbirinden izole edilmesi.
  • Güvenlik Güncellemelerinin Sürekli Takibi: Ağ üzerinde kullanılan tüm sistemlerin ve yazılımların güncel tutulması, bilinen zafiyetlerin kapatılmasını sağlayacaktır.

Sonuç Özeti

Wireshark ile ağ trafiğini analiz etmek, ağ güvenliğini artırmak için kritik bir rol oynamaktadır. Elde edilen bulgular, ağda potansiyel riskleri ve zafiyetleri belirlemenize yardımcı olurken; bu verilerin uygun bir şekilde yorumlanması, proaktif güvenlik önlemleri almanızı sağlayacaktır. Yanlış yapılandırmaların etkilerini anlamak, sızma girişimlerini tespit etmek ve uygun savunma stratejileri geliştirmek, ağ güvenliğinin sağlanması açısından hayatidir.