Wireshark ve Tshark ile Ağ Trafiğini Derinlemesine Analiz Etme

Wireshark ve Tshark ile Ağ Trafiğini Derinlemesine Analiz Etme

Wireshark ve Tshark, ağ analistleri için vazgeçilmez araçlar. Bu yazıda, bu araçlarla ağ trafiğini nasıl etkili bir şekilde filtrenleyeceğinizi keşfedin.

Giriş ve Konumlandırma

Ağ trafiği analizi, modern siber güvenlik stratejilerinin vazgeçilmez bir parçasıdır. Özellikle her geçen gün artan siber tehditler ve karmaşık ağ yapılarına bağlı olarak, organizasyonların güvenlik duruşlarını güçlendirmek adına ağ trafiği izleme ve analiz etme becerileri kazanmaları şart hale gelmiştir. Wireshark ve Tshark, ağ trafiğini derinlemesine incelemek için kullanılan iki güçlü araçtır. Bu blog yazısında, bu araçların nasıl kullanılacağını ve ağ verilerinin analizi açısından neden bu kadar önemli olduğunu ele alacağız.

Wireshark ve Tshark Nedir?

Wireshark, ağ trafiğini gerçek zamanlı olarak yakalayan ve analiz eden güçlü bir grafik kullanıcı arayüzü (GUI) tabanlı uygulamadır. Genellikle ağ yöneticileri, güvenlik analistleri ve siber güvenlik uzmanları tarafından kullanılır. Tshark ise Wireshark'ın komut satırı arayüzüdür ve büyük veri setlerinin işlenmesi, script yazımı veya otomatize işlemler için idealdir.

Bu araçlarla, ağ üzerinde gerçekleşen paketlerin detaylarını görebilir, protokol analizleri yapabilir ve güvenlik analizi gerçekleştirebilirsiniz. Ayrıca, çeşitli filtreleme ve veri çıkarım teknikleriyle, yalnızca ilginizi çeken verileri izole etme imkanı sunar. Örneğin, sadece belirli bir port üzerinden giden HTTP trafiğini aşağıdaki gibi bir komut ile yakalayabilirsiniz:

tshark -i eth0 port 80

Bu, hem ağ trafiğinin genel yapısını anlamak hem de potansiyel tehditleri belirlemek açısından kritik bir öneme sahiptir.

Ağ Analizinin Önemi

Siber güvenlik ortamı, sürekli değişen tehditler ve saldırı vektörleri ile doludur. Ağ analizi, bu tehditleri tespit etmenin ve değerlendirme yapmanın temel yollarından biridir. Wireshark ve Tshark, yalnızca ağ trafiğini görüntülemekle kalmaz, aynı zamanda kaydedilen verileri analiz ederek olağandışı davranışları ortaya çıkarmanıza olanak tanır. Bu, güvenlik zafiyetlerinin belirlenmesine ve gerekli önlemlerin alınmasına yardımcı olur.

Örneğin, saldırganlar genellikle ağ üzerinde anormal trafik desenleri yaratır. Wireshark kullanarak bu desenleri analiz edebilir ve potansiyel bir saldırıyı erken aşamada tespit edebilirsiniz. Buna ek olarak, Tshark sayesinde komut satırında gerçekleştirdiğiniz analizlerle otomatik raporlama yapabilir ve zaman kazanabilirsiniz.

Siber Güvenlik ve Penetrasyon Testleri Bağlamında

Ağ analizi, yalnızca savunma değil, aynı zamanda saldırı senaryoları için de hayati öneme sahiptir. Penetrasyon testleri, bir sistemin güvenlik açıklarını tespit etmeyi amaçlar ve bu süreçte, ağ trafiğinin incelenmesi kritik bir rol oynar. Saldırganların kullandıkları yöntemler ve araçlar hakkında bilgi sahibi olmak, güvenlik takımının bu tür tehditlere karşı nasıl bir savunma geliştirebileceğine dair fikir verir.

Wireshark ve Tshark, penetrasyon testleri sırasında ağ trafğini kaydetmek ve analiz etmek için yaygın olarak kullanılır. Örneğin, bir sızma testinde kullanılan belirli portların ve protokollerin izlenmesi, saldırının başarısız olduğu noktaların belirlenmesine yardımcı olur. Ayrıca, bu araçlar sayesinde elde edilen verilere dayanarak, savunma stratejileri geliştirilebilir.

Kurulum ve İlk Adımlar

Wireshark ve Tshark kullanmaya başlamak için öncelikle bu araçların sisteminize kurulu olması gerekmektedir. İlgili kurulum belgelerini takip ederek, kolayca bu araçları kurabilir ve kullanmaya başlayabilirsiniz. İlk adım olarak, ağ trafiğini yakalamak için hangi arayüzü kullanacağınızı belirleyebilirsiniz. Örneğin:

tshark -i eth0

Bu komut, 'eth0' arayüzündeki tüm trafiği kabullenerek ekrana basar. Bu şekilde, ilk analizlerinizi gerçekleştirerek verileri daha detaylı inceleme aşamasına geçebilirsiniz.

Sonuç olarak, Wireshark ve Tshark kullanarak ağ trafiğini analiz etmek, siber güvenlik dinamiklerinin anlaşılmasında ve özellikle de potansiyel tehditlerin tespitinde kritik bir öneme sahiptir. Bu araçlar, analistlere derinlemesine analiz, raporlama ve veri çıkarımı yapabilme yetenekleri sunar. Bir sonraki bölümlerde, bu araçların nasıl etkili bir şekilde kullanılacağını, farklı filtreleme yöntemlerini ve veri çıkarım tekniklerini detaylı bir şekilde inceleyeceğiz.

Teknik Analiz ve Uygulama

Display Filtreleri

Wireshark, ağ trafiğini analiz ederken kullanıcıların ihtiyaç duyduğu özel verileri filtrelemek için güçlü bir arayüz sunar. Şu anki veriler arasında kaybolmamak ve belirli protokolleri veya trafiği görmek için display filtreleri kullanılır. Wireshark arayüzünde, ağ arayüzünden yakalanmış olan trafiği daraltmak ve spesifik hedefleri görmek için yazılan bu filtreler, analistlere büyük bir kolaylık sağlar.

Örneğin, sadece HTTP isteklerini görmek için aşağıdaki filtre kullanımını gerçekleştiriyoruz:

http.request

Bu basit filtre, ağda yalnızca HTTP isteklerini gösterecektir. Ancak daha karmaşık durumlar için, mantıksal operatörler kullanılarak detaylı filtreleme yapılabilir.

Tshark Kavramı

Tshark, Wireshark'ın komut satırı üzerinden çalışan bir versiyonudur ve büyük boyutlu trafik dosyalarını GUI kullanmadan, doğrudan terminal üzerinden hızlıca ayrıştırmak için kullanılır. Özellikle otomasyon ve betik yazma süreçlerinde faydalı bir araçtır.

Örneğin, 'eth0' arayüzünde sadece 80. port trafiğini yakalamak için gereken komut dizilimi şu şekildedir:

tshark -i eth0 port 80

Bu komut, ilgili ağ arayüzünde bulunan HTTP trafiğini anlık olarak yakalayacaktır. Tshark ile çalışırken, kullandığınız parametreleri ve filtreleri dikkatli bir şekilde seçmek, elde edeceğiniz sonuçları doğrudan etkiler.

Mantıksal Operatörler

İleri düzey filtreleme yaparken kullanılan Wireshark mantıksal operatörleri, analistlere daha karmaşık ve kapsamlı filtreler oluşturmada yardımcı olur. İşte bazı temel operatörler ve kullanım örnekleri:

• Eşitlik (==): Veri eşitlik durumu.
• Eşitsizlik (!=): Veri hariç tutma durumu.
• Mantıksal VE (&&): İki koşulun da sağlanması gerekmektedir.

Örnek bir filtre kullanımı aşağıdaki gibidir:

tcp.flags.syn == 1 && tcp.flags.ack == 0

Bu filtre, yalnızca bağlantı başlatan SYN paketlerini gösterecektir.

Capture Filtresi Yazımı

Tshark veya Wireshark kullanırken, trafiği yakalamadan önce belirli koşullara göre filtre yazmak önemlidir. Berkeley Packet Filter (BPF) kullanarak, sadece ilgilendiğiniz trafiği yakalayabilirsiniz. Örneğin, belirli bir IP adresinden gelen trafiği yakalamak için şu komutu yazabilirsiniz:

tshark -i eth0 host 192.168.1.1

Bu komut, yalnızca 192.168.1.1 IP adresine ait trafiği yakalayacaktır.

Gerçek Dosya Okuma

Simülasyonlardan kaçınarak, doğrudan diske kaydedilmiş gerçek bir 'traffic_log.pcap' dosyasını Tshark ile terminalden okumak için kullanılan parametre -r parametresidir. Aşağıdaki örneği göz önünde bulundurun:

tshark -r traffic_log.pcap

Bu komut, belirtilen dosyadaki tüm trafiği okuyarak analiz etmenizi sağlar.

Protokol Filtreleme

Ağ trafiğini analiz ederken belirli protokollere odaklanmak gerekebilir. Örneğin, sadece DNS sorgularını görmek istiyorsanız şu şekilde bir filtre tanımlamanız yeterli olacaktır:

dns

Bu şekilde, yalnızca DNS ile ilgili trafik detaylarını görüntüleyebilirsiniz.

Tshark ile Veri Çıkarımı

Tshark kullanarak bir pcap dosyasından belirli verileri çıkarmak için, filitreleme ve çıktı formatını dikkatlice ayarlamak önemlidir. Aşağıda, bir pcap dosyasından sadece kaynak IP adreslerini ayrıştırıp ekrana basmak için gereken Tshark komutu bulunmaktadır:

tshark -r traffic_log.pcap -T fields -e ip.src

Bu komut, log dosyasındaki tüm kaynak IP adreslerini listeleyecektir.

Endpoints İncelemesi

Ağda en çok trafiği üreten (top talker) veya en çok bağlantı kuran cihazları tespit etmek için Wireshark’ta** Statistics** menüsü altındaki Endpoints tablosunu analiz etmek gereken önemli bir adımdır. Buradan, her bir cihazın ağ üzerindeki etkisini kolayca görebilirsiniz.

Veri Birleştirme

Ağ trafiği içindeki parçalanmış paketler halindeki zararlı bir dosyanın (payload) tüm içeriğini tek bir pencerede bütün olarak görebilmek için "follow tcp stream" yöntemini kullanarak bağlantı akışını yeniden oluşturabilirsiniz.

SOC L2 Analist Pratiği

Bir SOC analisti, rutin Tshark kullanımı ile pcap ayrıştırmasını gerçekleştirir. Tshark üzerinde sık kullanılan birkaç işlem şunlardır:

• Trafiği anlık izleme ve kaydetme
• Özel filtreler ile ağ güvenliğini sağlama
• Log dosyalarının analizi ve raporlanması

Bu pratikler, analistin ağ güvenliğini kusursuz bir şekilde yönetmesine yardımcı olur.

Risk, Yorumlama ve Savunma

Ağ Trafigi Analizinde Risk Değerlendirmesi

Ağ trafiği analizi, siber güvenlikte kritik bir rol oynar. Wireshark ve Tshark gibi araçlarla derinlemesine yapılan analizler, ağ ortamındaki potansiyel riskleri ve zafiyetleri erken tespit etmek için önemlidir. Bu bölümde, elde edilen bulguların güvenlik anlamını yorumlayarak yanlış yapılandırmalar veya zafiyetler sonucunda oluşabilecek etkileri değerlendireceğiz.

Güvenlik Anlamının Yorumlanması

Wireshark veya Tshark kullanarak elde edilen veri akışları, ağınızdaki cihazların nasıl iletişim kurduğunu ve hangi protokollerin kullanıldığını net bir şekilde ortaya koyar. Ağ trafiği analizi yaparken en çok dikkat edilmesi gereken noktalar, sızan veriler, topoloji ve servis tespiti gibi unsurlardır.

Örneğin, belirli bir IP adresinden gelen anormal bir trafik artışı, potansiyel bir veri sızıntısının habercisi olabilir. Aşağıdaki komut dizilimi ile belirli bir IP adresinden gelen tüm bağlantılar izlenebilir:

tshark -r traffic_log.pcap -Y "ip.src == 192.168.1.100"

Bu şekilde, ağda belirlenen IP adresinin hangi verileri gönderdiği veya aldığı tespit edilebilir.

Yanlış Yapılandırma veya Zafiyetlerin Etkisi

Yanlış yapılandırmalar çoğunlukla ağ güvenliğini tehlikeye atar. Örneğin, HTTPS yerine HTTP kullanan bir servisin verdiği bilgiler şifrelenmemekte ve bu durum, verilerin üçüncü şahıslar tarafından dinlenmesine sevk edebilir. Aynı şekilde, güvenlik duvarı kurallarındaki eksiklikler, belirli bir port üzerinden gelen isteklerin izlenmesine olanak tanır. Aşağıda, 80. port üzerinden gelen trafiği yakalamak için kullanılan bir filtre örneği verilmiştir:

tshark -i eth0 port 80

Bu tür yapılandırmalar, genellikle kötü niyetli saldırıların başlangıç noktasını oluşturur.

Servis Tespiti ve Topoloji

Ağ üzerindeki servislerin doğru bir şekilde tespit edilmesi de oldukça kritiktir. Kullanıcıların giriş yaptığı tüm servisler loglanmalı ve denetlenmelidir. Wireshark üzerinde "Statistics" menüsü altında "Services" tablosunu incelemek, hangi servislerin en çok kullanıldığını ve potansiyel zafiyetlerin nereden kaynaklandığını anlamak açısından faydalıdır.

Örneğin, sızma testi uygulamaları veya ağ güvenliği tarayıcıları, hangi portların açık olduğuna dair bilgileri verir ve bu bilgiler ışığında güvenlik duvarı politikaları gözden geçirilebilir.

Profesyonel Önlemler ve Hardening Önerileri

Ağ trafiği analizi, sadece zafiyetleri tespit etmekle kalmamalı, aynı zamanda güvenliğin artırılması için gerekli adımların atılmasını da gerektirir. İşte bazı profesyonel önlemler:

1. Protokol Güncellemeleri: Kullanılan tüm protokollerin güncel ve güvenlik standartlarına uygun olduğundan emin olun.
2. Ağ Segmentasyonu: Ağınızı segmentlere ayırarak her bölüm için ayrı güvenlik politikaları uygulamak, potansiyel saldırıların yayılmasını azaltabilir.
3. Saldırı Tespit Sistemleri (IDS): Agresif trafik analizi için IDS kullanmak, anormal davranışları tespit etmenizi kolaylaştırır.
4. Eğitim ve Farkındalık: Çalışanlarınıza düzenli siber güvenlik eğitimi vererek insan faktörünü minimize etmek.

Sonuç Özeti

Wireshark ve Tshark ile yapılan ağ trafiği analizi, potansiyel zafiyetlerin ve yanlış yapılandırmaların tespit edilmesi açısından hayati önem taşır. Elde edilen bulguların yorumlanması, özellikle veri sızıntılarını ve ağ topolojisini anlamak için kritik bir adımdır. Bu analizler sonucunda, profesyonel güvenlik önlemleri geliştirilerek ağ güvenliği artırılabilir. Analytics bilgilerinin güvenli bir şekilde kullanılması, siber tehditlerle mücadelede temel bir stratejidir.