Merhaba TurkHackTeam ailesi...
Bu yazımda sizlere, bir ağ trafiği analiz aracı olan Wireshark'ı kullanarak nasıl gerçek veri trafiğini okuyabileceğimizi, şifrelerin ve form verilerinin nasıl tespit edilebileceğini anlatacağım. Teknik terimlere çok boğulmadan uygulamalı ve herkesin anlayabileceği bir şekilde ilerleyeceğiz. Biliyorum, pek çoğunuz Ağ trafiği nedir?, PCAP ne işe yarar?, Wireshark neden bu kadar önemli? diye merak ediyor.
Bugün adım adım, en basitinden en detaylısına kadar anlatacağım.
Hazırlayan: ATK32
Neleri İnceleyeceğiz?
- Wireshark nedir, neden tercih edilir?
- PCAP (packet capture) dosyasında neler saklı?
- Bu yakalamaları nasıl analiz edilir?
Peki... Neden Bu Kadar Önemli?
- Ağda neler olup bittiğini daha net görebilirsin.
- Şüpheli trafikleri, siber saldırı denemelerini, zararlı yazılımlardan gelen bağlantıları daha kolay tespit edebilir.
- Performans sorunları, network hataları ve gecikmelerin sebebini daha rahat ortaya çıkarabilir.
Bu bilgiler, network mühendisleri, siber güvenlik analistleri, sistem yöneticileri, ETİK hackerlar ve daha pek çok kişi için oldukça değerli.
Gerekli Malzemeler =
Wireshark Hem Ücretsiz ve en popüler Wireshark • undefined
- İnceleyeceğimiz PCAP (packet capture) dosyasında gerçek trafik örnekleri olması lazım.
Şimdi Adım Adım Uygualamalı İnceleyelim :
Şimdi PCAP dosyamızı Wireshark içinde nasıl açıp analiz edeceğimize bakalım.
Pcap Dosyamızı Açalım...
Wireshark’i ilk açınca şöyle bir ekran gelir.
File > Open ya da kısaca Ctrl + O ile pcap dosyamızı seçebiliriz.
PCAP yüklendiği zaman ekran 3 ana kısımdan oluşur:
Packet List Pane (Üst Kısım)
➡ Her satır 1 paketi temsil eder.
➡ Burada zaman, kaynak IP, hedef IP, protokol gibi bilgiler görülür.
Packet Detail Pane (Ortada)
➡ Yukarıda seçtiğin paketin daha detaylı özelliklerini gösterir.
➡ Örneğin IP, TCP, UDP ya da DNS gibi katmanları teker teker açabilir.
Packet Bytes Pane (Altta)
➡ Bu kısımda paketin hexadecimal ve ascii değerlerini görebiliriz.
Bazen pcap içinde binlerce, on binlerce paket vardır.
Bunlar arasında istediğini daha kolay bulman için Wireshark’in Display Filter özelliğini istifadə edilir.
Örnek:
➥ Sadece TCP trafiğini görmek istersen:
https://pastebin.com/embed_iframe/1BTQbWV2
➥ Sadece Dns İsteklerini:
https://pastebin.com/embed_iframe/ebJ3KyUL
➥ Belirli İP Adresinde Gelip Gidenleri:
https://pastebin.com/embed_iframe/mzDnrHPr
➥ ya da belirli port'u:
https://pastebin.com/embed_iframe/4rY2T44w
İstatislik ve analiz :
Wireshark’in Statistics menüsünü tıklayarak:
* Conversations: Hangi IP’ler arasında kaç paket olmuş.
* Endpoints: Hangi bilgisayarlar daha fazla trafikte rol oynamış.
* Protocol Hierarchy: Hangi protokol toplam trafikte yüzde kaç oluşturuyor.
* I/O Graph: Zaman içinde trafikte ani artışlar olmuş mu.
Özet =
* Ağda neler olmuş
* Hangi makine daha fazla veri göndermiş
* Hangi protokol daha çok tercih edilmiş
* Şüpheli bağlantılar var mı
* Saldırı ya da anormallikler olmuş mu
gibi bilgilere rahatlıkla ulaşabilirsiniz...
- Peki Sonuç?
* Wireshark, ağ trafiğini analiz etmek, hataları tespit etmek ya da siber saldırılardan haberdar olmak için oldukça etkili ve zorunlu bir araç.
* Bu yüzden network mühendisleri, siber güvenlik uzmanları, analistler ve ETİK hackerlar arasında oldukça popüler.
Örnek Pcap İndirme Kaynakları :
SampleCaptures - Wireshark Wiki
➥ İçinde Ne Var :
TCP handshake, DNS sorgusu, SIP çağrısı, ARP isteği, FTP transferi, ICMP (ping) gibi temel protokol örnekleri.
Sample Captures
➥ İçinde Ne Var :
- DDoS attack pcapleri...
- Large scale video stream...
- DNS flood, UDP flood, ARP poisoning gibi çeşitli anomaliler...
Wireshark Ekran Görüntüleri :
Wireshark Kullanım Alanları :
- Ağ Sorunlarını Teşhis Etme (Troubleshooting)
- Siber Güvenlik ve Saldırı Analizi
- Ağ Performansını ve Yapısını İnceleme
- Protokol Analizi ve Eğitim Amaçlı Kullanım
- Kurumsal ve Endüstriyel Kullanım Alanları
➡ DNS Örnek Pcap :
SampleCaptures - Wireshark Wiki
➡ Malicious (Botnet/C2) Örnek Pcap :
( Malicious Örnek Pcap Bulunmamaktadır...)
➡ DDoS Örnek Pcap :
Sample Captures
➡ loT / SCADA Örnek Pcap :
SampleCaptures - Wireshark Wiki
➡ FTP Örnek Pcap :
SampleCaptures - Wireshark Wiki
➡ VoIP (SIP/RTB) Örnek Pcap :
SampleCaptures - Wireshark Wiki
➡ BİLGİ = Pcap linkleri zaman zaman kaldırılıyor ya da değişebiliyor, çünkü onları sağlayan site (Malware-Traffic-Analysis) belirli örnekleri periyodik olarak temizliyor.
* Malicious PCAP Analizinde Dikkat Edilecekler: *
** Traffic içinde hangi IP adresleriyle ya da hangi domainlerle bağlantı kuruluyor **
** Statistics > Conversations > IPv4 ya da TCP streams içinde rahatlıkla görebilirsin **
Şüpheli Portlar =
* Genelde zararlı yazılımlar 80, 443 gibi yaygın portları ya da alışılmadık portları tercih eder. *
➥ Filtre Oluşturabiliriz...
https://pastebin.com/embed_iframe/cyZizRQG
ve ya :
https://pastebin.com/embed_iframe/f5w9sMEf
Payload İncelemesi:
TCP Stream içinde (Sağ tık -> Follow TCP Stream)
➥ C2 ile hangi komutlar ya da veriler göndermiş,
➥ Botnet ise hangi yönergeleri alıp vermiş, onları daha net görebilirsin.
Filtre Örnekleri =
Malicious C2 trafiğini ayıklamak:
https://pastebin.com/embed_iframe/bRa5yFyC
(Burada 185.220.101.42 yerine pcap içinde belirlediğin C2 IP'sini yaz)
DNS istekleri:
https://pastebin.com/embed_iframe/sdQLdAHj
Şüpheli Portlar:
https://pastebin.com/embed_iframe/hguY3hQx
Ek Bilgi =
- Malicious pcap’leri analizinde Suricata ya da Snort kuralları oluşturabilir, pcap içinde belirli kalıplara göre alarm oluşturabilir.
- Zeek (formerly Bro) de pcap’leri daha detaylı loglara dönüştürebilir.
➥ zeek -r sample.pcap yaptığında,
➥ conn.log, dns.log, http.log gibi pek çok analiz çıktısı oluşturur.
- PCAP içinde IOC (indicator of compromise) çıkarmak oldukça önemli, çünkü bu IOC’leri daha sonra network savunma, IPS kuralları oluşturma, ya da analiz raporlarına ekleme için kulanabiliriz.
Wireshark ile manuel olarak çıkarma önerilir :
➥ Statistics > Conversations menüsünü aç (TCP, UDP, IPv4 gibi)
➥ Burada pcap içinde hangi IP adresleri, portlar, komut ve kontrol sunucusu olmuş, onları rahatlıkla görebilirsin.
➥ Analyze > Follow TCP Stream ile belirli bir C2 görüşmesini daha detaylı inceleyebilir,
➥ Bu stream içinde Username, Password, URL, Command gibi IOC oluşturacak bilgiler çıkabilir.
IOC'leri dökümana eklerken :
IP adresleri,
Domain adları,
URL’ler,
Portlar,
➥
Hash değerleri (MD5, SHA-1, SHA-256) — eğer pcap içinde zararlı dosya transferi olmuşsa, onları da çıkartabilir.
IOC'leri Neden Belirttim? :
"Şüpheli domain, C2 ile haberleşirken görülüyor.",
"Malicious IP, botnet'in kontrol sunucusu olarak tespit edildi.",
"Hash değeri, daha önce VirusTotal’da zararlı olarak işaretlenilmiş."
Sonuç olarak :
Bu yazıda Wireshark ile gerçek ağ trafiğini pcap dosyasında nasıl analiz edebileceğimizi adım adım inceledik.Tüm bu adımları kendi pcap’lerinizde de rahatlıkla uygulayabilir, daha derine inerek kendi IOC’lerinizi elde edebilir ve onları güvenlik çalışmalarında değerlendirebilirsiniz. Benim Yazımı Okuyan Herkeze Teşekkürler...
Bu yazımda sizlere, bir ağ trafiği analiz aracı olan Wireshark'ı kullanarak nasıl gerçek veri trafiğini okuyabileceğimizi, şifrelerin ve form verilerinin nasıl tespit edilebileceğini anlatacağım. Teknik terimlere çok boğulmadan uygulamalı ve herkesin anlayabileceği bir şekilde ilerleyeceğiz. Biliyorum, pek çoğunuz Ağ trafiği nedir?, PCAP ne işe yarar?, Wireshark neden bu kadar önemli? diye merak ediyor.
Bugün adım adım, en basitinden en detaylısına kadar anlatacağım.
Hazırlayan: ATK32
Neleri İnceleyeceğiz?
- Wireshark nedir, neden tercih edilir?
- PCAP (packet capture) dosyasında neler saklı?
- Bu yakalamaları nasıl analiz edilir?
Peki... Neden Bu Kadar Önemli?
- Ağda neler olup bittiğini daha net görebilirsin.
- Şüpheli trafikleri, siber saldırı denemelerini, zararlı yazılımlardan gelen bağlantıları daha kolay tespit edebilir.
- Performans sorunları, network hataları ve gecikmelerin sebebini daha rahat ortaya çıkarabilir.
Bu bilgiler, network mühendisleri, siber güvenlik analistleri, sistem yöneticileri, ETİK hackerlar ve daha pek çok kişi için oldukça değerli.
Gerekli Malzemeler =
Wireshark Hem Ücretsiz ve en popüler Wireshark • undefined
- İnceleyeceğimiz PCAP (packet capture) dosyasında gerçek trafik örnekleri olması lazım.
Şimdi Adım Adım Uygualamalı İnceleyelim :
Şimdi PCAP dosyamızı Wireshark içinde nasıl açıp analiz edeceğimize bakalım.
Pcap Dosyamızı Açalım...
Wireshark’i ilk açınca şöyle bir ekran gelir.
File > Open ya da kısaca Ctrl + O ile pcap dosyamızı seçebiliriz.
PCAP yüklendiği zaman ekran 3 ana kısımdan oluşur:
Packet List Pane (Üst Kısım)
➡ Her satır 1 paketi temsil eder.
➡ Burada zaman, kaynak IP, hedef IP, protokol gibi bilgiler görülür.
Packet Detail Pane (Ortada)
➡ Yukarıda seçtiğin paketin daha detaylı özelliklerini gösterir.
➡ Örneğin IP, TCP, UDP ya da DNS gibi katmanları teker teker açabilir.
Packet Bytes Pane (Altta)
➡ Bu kısımda paketin hexadecimal ve ascii değerlerini görebiliriz.
Bazen pcap içinde binlerce, on binlerce paket vardır.
Bunlar arasında istediğini daha kolay bulman için Wireshark’in Display Filter özelliğini istifadə edilir.
Örnek:
➥ Sadece TCP trafiğini görmek istersen:
https://pastebin.com/embed_iframe/1BTQbWV2
➥ Sadece Dns İsteklerini:
https://pastebin.com/embed_iframe/ebJ3KyUL
➥ Belirli İP Adresinde Gelip Gidenleri:
https://pastebin.com/embed_iframe/mzDnrHPr
➥ ya da belirli port'u:
https://pastebin.com/embed_iframe/4rY2T44w
İstatislik ve analiz :
Wireshark’in Statistics menüsünü tıklayarak:
* Conversations: Hangi IP’ler arasında kaç paket olmuş.
* Endpoints: Hangi bilgisayarlar daha fazla trafikte rol oynamış.
* Protocol Hierarchy: Hangi protokol toplam trafikte yüzde kaç oluşturuyor.
* I/O Graph: Zaman içinde trafikte ani artışlar olmuş mu.
Özet =
* Ağda neler olmuş
* Hangi makine daha fazla veri göndermiş
* Hangi protokol daha çok tercih edilmiş
* Şüpheli bağlantılar var mı
* Saldırı ya da anormallikler olmuş mu
gibi bilgilere rahatlıkla ulaşabilirsiniz...
- Peki Sonuç?
* Wireshark, ağ trafiğini analiz etmek, hataları tespit etmek ya da siber saldırılardan haberdar olmak için oldukça etkili ve zorunlu bir araç.
* Bu yüzden network mühendisleri, siber güvenlik uzmanları, analistler ve ETİK hackerlar arasında oldukça popüler.
Örnek Pcap İndirme Kaynakları :
SampleCaptures - Wireshark Wiki
➥ İçinde Ne Var :
TCP handshake, DNS sorgusu, SIP çağrısı, ARP isteği, FTP transferi, ICMP (ping) gibi temel protokol örnekleri.
Sample Captures
➥ İçinde Ne Var :
- DDoS attack pcapleri...
- Large scale video stream...
- DNS flood, UDP flood, ARP poisoning gibi çeşitli anomaliler...
Wireshark Ekran Görüntüleri :
Wireshark Kullanım Alanları :
- Ağ Sorunlarını Teşhis Etme (Troubleshooting)
- Siber Güvenlik ve Saldırı Analizi
- Ağ Performansını ve Yapısını İnceleme
- Protokol Analizi ve Eğitim Amaçlı Kullanım
- Kurumsal ve Endüstriyel Kullanım Alanları
➡ DNS Örnek Pcap :
SampleCaptures - Wireshark Wiki
➡ Malicious (Botnet/C2) Örnek Pcap :
( Malicious Örnek Pcap Bulunmamaktadır...)
➡ DDoS Örnek Pcap :
Sample Captures
➡ loT / SCADA Örnek Pcap :
SampleCaptures - Wireshark Wiki
➡ FTP Örnek Pcap :
SampleCaptures - Wireshark Wiki
➡ VoIP (SIP/RTB) Örnek Pcap :
SampleCaptures - Wireshark Wiki
➡ BİLGİ = Pcap linkleri zaman zaman kaldırılıyor ya da değişebiliyor, çünkü onları sağlayan site (Malware-Traffic-Analysis) belirli örnekleri periyodik olarak temizliyor.
* Malicious PCAP Analizinde Dikkat Edilecekler: *
** Traffic içinde hangi IP adresleriyle ya da hangi domainlerle bağlantı kuruluyor **
** Statistics > Conversations > IPv4 ya da TCP streams içinde rahatlıkla görebilirsin **
Şüpheli Portlar =
* Genelde zararlı yazılımlar 80, 443 gibi yaygın portları ya da alışılmadık portları tercih eder. *
➥ Filtre Oluşturabiliriz...
https://pastebin.com/embed_iframe/cyZizRQG
ve ya :
https://pastebin.com/embed_iframe/f5w9sMEf
Payload İncelemesi:
TCP Stream içinde (Sağ tık -> Follow TCP Stream)
➥ C2 ile hangi komutlar ya da veriler göndermiş,
➥ Botnet ise hangi yönergeleri alıp vermiş, onları daha net görebilirsin.
Filtre Örnekleri =
Malicious C2 trafiğini ayıklamak:
https://pastebin.com/embed_iframe/bRa5yFyC
(Burada 185.220.101.42 yerine pcap içinde belirlediğin C2 IP'sini yaz)
DNS istekleri:
https://pastebin.com/embed_iframe/sdQLdAHj
Şüpheli Portlar:
https://pastebin.com/embed_iframe/hguY3hQx
Ek Bilgi =
- Malicious pcap’leri analizinde Suricata ya da Snort kuralları oluşturabilir, pcap içinde belirli kalıplara göre alarm oluşturabilir.
- Zeek (formerly Bro) de pcap’leri daha detaylı loglara dönüştürebilir.
➥ zeek -r sample.pcap yaptığında,
➥ conn.log, dns.log, http.log gibi pek çok analiz çıktısı oluşturur.
- PCAP içinde IOC (indicator of compromise) çıkarmak oldukça önemli, çünkü bu IOC’leri daha sonra network savunma, IPS kuralları oluşturma, ya da analiz raporlarına ekleme için kulanabiliriz.
Wireshark ile manuel olarak çıkarma önerilir :
➥ Statistics > Conversations menüsünü aç (TCP, UDP, IPv4 gibi)
➥ Burada pcap içinde hangi IP adresleri, portlar, komut ve kontrol sunucusu olmuş, onları rahatlıkla görebilirsin.
➥ Analyze > Follow TCP Stream ile belirli bir C2 görüşmesini daha detaylı inceleyebilir,
➥ Bu stream içinde Username, Password, URL, Command gibi IOC oluşturacak bilgiler çıkabilir.
IOC'leri dökümana eklerken :
IP adresleri,
Domain adları,
URL’ler,
Portlar,
➥
Hash değerleri (MD5, SHA-1, SHA-256) — eğer pcap içinde zararlı dosya transferi olmuşsa, onları da çıkartabilir.
IOC'leri Neden Belirttim? :
"Şüpheli domain, C2 ile haberleşirken görülüyor.",
"Malicious IP, botnet'in kontrol sunucusu olarak tespit edildi.",
"Hash değeri, daha önce VirusTotal’da zararlı olarak işaretlenilmiş."
Sonuç olarak :
Bu yazıda Wireshark ile gerçek ağ trafiğini pcap dosyasında nasıl analiz edebileceğimizi adım adım inceledik.Tüm bu adımları kendi pcap’lerinizde de rahatlıkla uygulayabilir, daha derine inerek kendi IOC’lerinizi elde edebilir ve onları güvenlik çalışmalarında değerlendirebilirsiniz. Benim Yazımı Okuyan Herkeze Teşekkürler...
Son düzenleme:
