Paket Analizi Nedir?
girilen her mesaj, gönderilen her mail, sesli konuşmalar gibi herşey paketlenip iletilir. Paket TCP/IP ağlarında iletişimi temeli olarak bilinir.
Paketlerin içerğini görebilmek için sniffer lazım, ihtiyacımız olacak birden çok tool var.
Sniffing Nedir?
Bir ağ saldırı stratejisi olan Sniffing, Ethernet çerçeve düzeyinde ağ trafiğini yakalar. Yakalandıktan sonra bu veriler analiz edilebilir ve hassas bilgiler alınabilir. Şifrelenmemiş veriler okunabilir durumdadır, parolalar ve diğer hassas veriler bile.
Pasif Sniffing, hub olan sistemlerde geçerli olmaktadır, hub olan sistemlerde paketler tüm sistemlere iletilebilir
ağdaki paket "LAN" üzerinden gönderildiği için basit bir yöntemdir.
Aktif Sniffing, MAC adresine bakılarak verileri gönderilen sistemden alır,
hedefin sistemine saldırılır, birsürü mac yollanarak sistemin hub gibi davranması sağlanılır ve paketler tüm portlardan alınabilir.
kısaca pasifte ip adresi ile, aktifte paketler ile işimiz oluyor.
Kullanılan Araçlar
SolarWinds
SolarWinds ağ İzleyicisi, bu çok katmanlı araç ağınızın kapsamlı bir görünümünü sağlar, böylece ağ performans sorunlarını hızlı bir şekilde algılayabilir, teşhis edebilir ve çözebilir ve kesinti sürelerini önleyebilirsiniz. Ayrıca, sistem minimum bant genişliği kullanır ve Orion® Platform sunucularında düşük yük gerektirir.
Ayrıca, aracın bant genişliği Çözümleyicisi özelliği sayesinde, ağ bant genişliğinizin nasıl ve kimler tarafından kullanıldığını anlayabilirsiniz. UÖM kaldıraçları
Paesseller
Paessler'in PRTG Ağ İzleyicisi, etkileyici bir paket yakalama özelliği içerir. Yazılım, IP paketlerini snifflemek için ağınızdaki dört ana sensöre dayanır. Paket sniffleme sensörü , sistem yöneticilerinin web, posta, dosya aktarımı, altyapı ve uzaktan denetim trafiği dahil olmak üzere bir dizi trafiği izlemelerine yardımcı olmak için tasarlanmıştır. Paket içeriklerini değil, yalnızca paket başlıklarını analiz eder, bu nedenle sisteminize daha az yük bindirir ve hassas bilgilerin korunmasına yardımcı olur.
WireShark
Wireshark bir ağda hareket eden veri paketlerini yakalayan ve görüntüleyen açık kaynaklı uygulamadır.
Wireshark paket sniffing aracı, hem veri yakalama hem de analiz özellikleri ile bilinir. Wireshark'ın topladığı verilerin kapsamını sınırlamak için filtreler uygulayabilir veya seçtiğiniz ağdan geçen tüm trafiği toplamasına izin verebilirsiniz. Önemli olarak, yalnızca masaüstü yüklü bir sunucuda veri toplayabilir. Masaüstü bilgisayarlar sunucularda yaygın olmadığından, birçok sistem yöneticisi bir dosyaya giden trafiği yakalamak için tcpdump veya WinDump kullanmayı tercih eder ve daha sonra derinlemesine analiz için Wireshark'a yüklenir.
Wireshark, Windows, Linux, macOS, Solaris, FreeBSD ve NetBSD dahil olmak üzere neredeyse tüm ağ işletim sistemlerine taşınan tamamen ücretsiz, açık kaynaklı bir araçtır.
Network Miner
NetworkMiner, işletim sistemlerini, oturumları, ana bilgisayar adlarını, açık bağlantı noktalarını v.s algılamak için bir ağ algılayıcı ve paket yakalama aracı olarak kullanılabilen, kendi trafiğinden hiçbirini ağa koymadan kullanılabilen açık kaynaklı bir ağ adli analiz aracıdır (nfat). Wireshark gibi NetworkMiner da belirli bir TCP akışını izleyebilir ve ağ üzerinden gönderilen dosyaları yeniden oluşturarak tüm konuşmaya erişmenizi sağlayabilir. Bu yazılım aynı zamanda çevrimdışı modda çalışabilir, çevrimdışı analiz için pcap dosyalarını ayrıştırır ve iletilen dosyaları ve sertifikaları pcap dosyalarından yeniler/yeniden birleştirir. Seçtiğiniz paketleri yakalamak ve dosyaları analiz için Networkminer'a aktarmak için tcpdump'ı kullanmanız yeterlidir.
Capsa
Capsa, ücretsiz, standart ve kurumsal sürümlere sahip bir Windows paket yakalama aracıdır. Ücretsiz sürüm Ethernet sniffing için tasarlanmıştır ve 10 IP adresini ve yaklaşık 300 protokolü izleyebilir. Ücretsiz sürüm kapsamı oldukça sınırlı olsa da, yakaladığı ağ trafiğinin bazı grafiksel analizlerini sunar ve uyarıları ayarlamak için bile kullanılabilir. Ayak parmaklarını ağ izlemeye daldırmak ve ağ sorunlarını nasıl belirleyeceğini ve ağ güvenliğini nasıl artıracağını öğrenmek isteyenler için en uygun olanıdır.
Tcdump
Birçok sistem yöneticisi tcpdump'ı orijinal paket algılayıcı olarak bilir. 1987'deki lansmanından bu yana biraz gelişse de, büyük ölçüde değişmeden kalıyor. Açık kaynaklı bir araç olan tcpdump, neredeyse tüm Unix benzeri işletim sistemlerine yüklenir ve anında paket yakalama için bir araçtır. Bir komut satırı aracı olduğundan, çalışması için ağır hizmet tipi bir masaüstü gerektirmez, bu da onu sistem yöneticileri arasında favori yapar.
Omnipeek
Omnipeek, her saniye büyük miktarda veri içeren daha büyük ağlar için tasarlanmıştır. Özünde, derinlemesine analizin yanı sıra temel bilgileri sağlayan bir performans, analiz ve adli tıp aracıdır. Omnipeek, gerçek zamanlı analiz için 1.000'den fazla protokolü çözebilir. Yazılımın sezgisel grafik ekranları ve görselleştirmesi, performans sorunlarını tanımlamak için ağ trafiğini ayrıntılandırmayı, karşılaştırmayı ve bunlara bakmayı kolaylaştırır. Omnipeek, bir ağ sorununun en olası kök nedenini bile öne sürerek sorun giderme işlemini daha da kolaylaştırır.
girilen her mesaj, gönderilen her mail, sesli konuşmalar gibi herşey paketlenip iletilir. Paket TCP/IP ağlarında iletişimi temeli olarak bilinir.
Paketlerin içerğini görebilmek için sniffer lazım, ihtiyacımız olacak birden çok tool var.
Sniffing Nedir?
Bir ağ saldırı stratejisi olan Sniffing, Ethernet çerçeve düzeyinde ağ trafiğini yakalar. Yakalandıktan sonra bu veriler analiz edilebilir ve hassas bilgiler alınabilir. Şifrelenmemiş veriler okunabilir durumdadır, parolalar ve diğer hassas veriler bile.
Pasif Sniffing, hub olan sistemlerde geçerli olmaktadır, hub olan sistemlerde paketler tüm sistemlere iletilebilir
ağdaki paket "LAN" üzerinden gönderildiği için basit bir yöntemdir.
Aktif Sniffing, MAC adresine bakılarak verileri gönderilen sistemden alır,
hedefin sistemine saldırılır, birsürü mac yollanarak sistemin hub gibi davranması sağlanılır ve paketler tüm portlardan alınabilir.
kısaca pasifte ip adresi ile, aktifte paketler ile işimiz oluyor.
Kullanılan Araçlar
SolarWinds
SolarWinds ağ İzleyicisi, bu çok katmanlı araç ağınızın kapsamlı bir görünümünü sağlar, böylece ağ performans sorunlarını hızlı bir şekilde algılayabilir, teşhis edebilir ve çözebilir ve kesinti sürelerini önleyebilirsiniz. Ayrıca, sistem minimum bant genişliği kullanır ve Orion® Platform sunucularında düşük yük gerektirir.
Ayrıca, aracın bant genişliği Çözümleyicisi özelliği sayesinde, ağ bant genişliğinizin nasıl ve kimler tarafından kullanıldığını anlayabilirsiniz. UÖM kaldıraçları
Paesseller
Paessler'in PRTG Ağ İzleyicisi, etkileyici bir paket yakalama özelliği içerir. Yazılım, IP paketlerini snifflemek için ağınızdaki dört ana sensöre dayanır. Paket sniffleme sensörü , sistem yöneticilerinin web, posta, dosya aktarımı, altyapı ve uzaktan denetim trafiği dahil olmak üzere bir dizi trafiği izlemelerine yardımcı olmak için tasarlanmıştır. Paket içeriklerini değil, yalnızca paket başlıklarını analiz eder, bu nedenle sisteminize daha az yük bindirir ve hassas bilgilerin korunmasına yardımcı olur.
WireShark
Wireshark bir ağda hareket eden veri paketlerini yakalayan ve görüntüleyen açık kaynaklı uygulamadır.
Wireshark paket sniffing aracı, hem veri yakalama hem de analiz özellikleri ile bilinir. Wireshark'ın topladığı verilerin kapsamını sınırlamak için filtreler uygulayabilir veya seçtiğiniz ağdan geçen tüm trafiği toplamasına izin verebilirsiniz. Önemli olarak, yalnızca masaüstü yüklü bir sunucuda veri toplayabilir. Masaüstü bilgisayarlar sunucularda yaygın olmadığından, birçok sistem yöneticisi bir dosyaya giden trafiği yakalamak için tcpdump veya WinDump kullanmayı tercih eder ve daha sonra derinlemesine analiz için Wireshark'a yüklenir.
Wireshark, Windows, Linux, macOS, Solaris, FreeBSD ve NetBSD dahil olmak üzere neredeyse tüm ağ işletim sistemlerine taşınan tamamen ücretsiz, açık kaynaklı bir araçtır.
Network Miner
NetworkMiner, işletim sistemlerini, oturumları, ana bilgisayar adlarını, açık bağlantı noktalarını v.s algılamak için bir ağ algılayıcı ve paket yakalama aracı olarak kullanılabilen, kendi trafiğinden hiçbirini ağa koymadan kullanılabilen açık kaynaklı bir ağ adli analiz aracıdır (nfat). Wireshark gibi NetworkMiner da belirli bir TCP akışını izleyebilir ve ağ üzerinden gönderilen dosyaları yeniden oluşturarak tüm konuşmaya erişmenizi sağlayabilir. Bu yazılım aynı zamanda çevrimdışı modda çalışabilir, çevrimdışı analiz için pcap dosyalarını ayrıştırır ve iletilen dosyaları ve sertifikaları pcap dosyalarından yeniler/yeniden birleştirir. Seçtiğiniz paketleri yakalamak ve dosyaları analiz için Networkminer'a aktarmak için tcpdump'ı kullanmanız yeterlidir.
Capsa
Capsa, ücretsiz, standart ve kurumsal sürümlere sahip bir Windows paket yakalama aracıdır. Ücretsiz sürüm Ethernet sniffing için tasarlanmıştır ve 10 IP adresini ve yaklaşık 300 protokolü izleyebilir. Ücretsiz sürüm kapsamı oldukça sınırlı olsa da, yakaladığı ağ trafiğinin bazı grafiksel analizlerini sunar ve uyarıları ayarlamak için bile kullanılabilir. Ayak parmaklarını ağ izlemeye daldırmak ve ağ sorunlarını nasıl belirleyeceğini ve ağ güvenliğini nasıl artıracağını öğrenmek isteyenler için en uygun olanıdır.
Tcdump
Birçok sistem yöneticisi tcpdump'ı orijinal paket algılayıcı olarak bilir. 1987'deki lansmanından bu yana biraz gelişse de, büyük ölçüde değişmeden kalıyor. Açık kaynaklı bir araç olan tcpdump, neredeyse tüm Unix benzeri işletim sistemlerine yüklenir ve anında paket yakalama için bir araçtır. Bir komut satırı aracı olduğundan, çalışması için ağır hizmet tipi bir masaüstü gerektirmez, bu da onu sistem yöneticileri arasında favori yapar.
Omnipeek
Omnipeek, her saniye büyük miktarda veri içeren daha büyük ağlar için tasarlanmıştır. Özünde, derinlemesine analizin yanı sıra temel bilgileri sağlayan bir performans, analiz ve adli tıp aracıdır. Omnipeek, gerçek zamanlı analiz için 1.000'den fazla protokolü çözebilir. Yazılımın sezgisel grafik ekranları ve görselleştirmesi, performans sorunlarını tanımlamak için ağ trafiğini ayrıntılandırmayı, karşılaştırmayı ve bunlara bakmayı kolaylaştırır. Omnipeek, bir ağ sorununun en olası kök nedenini bile öne sürerek sorun giderme işlemini daha da kolaylaştırır.
