Wireshark ile Network Forensic (Ağ Adli Bilişimi)

B

ByFelez

Uzman üye
9 Tem 2013
1,818
1,774
Selamlar Dostlar. Ben ByFelez..

Bugün ki Konumuzda Sizlere Wireshark aracının Network Forensic Alanında ki kullanımını örnek üzerinde Anlatmaya Çalışacağım..


NOT: Ben Bu Konuda Ubuntu işletim sistemi kullanacağım, siz illa ki Ubuntu Kullanmak Zorunda değilsiniz.


Hadi Konumuza Geçelim :)

BLUE-TANITIMcb8b01e06458b7f1.png

Ağ Trafiğini Görüntüleme ve Depolama

Makinenizde Wireshark'ı başlatın ve birincil ağ bağdaştırıcınızda yakalamaya başlayın. Bu trafiği kaydetmek ve depolamak için TCPdump'ı kullanabilirsiniz, ancak bugün ki amaçlarımız için her şeyi Wireshark'ta canlı olarak görüntülemek muhtemelen daha kolaydır.

5-10 dakikalık rahat web taraması yapın. Neyin kurtarılabileceğiyle ilgilendiğimiz için birçok farklı web sayfasını ziyaret etmeye çalışın. Herhangi bir site için bir ziyaret ekleyin ve bağlantınızın izlendiğine dikkat ederek bu web sitelerindeki arama alanına bazı metinler yazın. Ardından paket yakalamanızı durdurun ve dosyayı casualbrowsing.pcap olarak kaydedin.

BLUE-TANITIMcb8b01e06458b7f1.png


Yakalama dosyasını çözümleme

TCP Yeniden Birleştirme

Yakalamakta olduğunuz paketler yük verileri içerir. Aktarılan içerik ve dosya biçimleri hakkında bir fikrimiz varsa ve işlem şifrelenmemişse, ikili verileri tekrar tanınabilir bir şeye dönüştürebiliriz. Bu bölümde, bir web sayfası işleminin öğelerini nasıl ortaya çıkaracağınızı göstereceğiz.

Görüntüleri Yeniden Birleştirme

PNG veya JPEG gibi belirli bir görüntü formatını filtreleyebiliriz. Bunu, bu sözcükleri sayfanın üst kısmındaki filtre çubuğuna yazarak yapabilirsiniz. Tanımlanan görüntülerden birine tıklayın, ardından alt Wireshark penceresindeki Taşınabilir Ağ Grafikleri satırına sağ tıklayın. Seçili Paket Baytlarını Veri seçin ve Masaüstüne görüntü olarak kaydedin. png. Kayıtlı resminizi açmayı deneyin.

577px-Export_packets.png


HTTP sayfalarını yeniden birleştirme

Sayfaları ve görüntüleri yeniden birleştirmenin başka bir yolu da File->Export Objects->HTTP öğesini tıklatmaktır. Bunu yapabilmek için yakalamanızı durdurmuş olmanız gerekir. Daha sonra tek tek öğeleri seçebilir veya yakalanan içeriğin tümünü bir dosyaya kaydedebilirsiniz.

Metin Arama

Wireshark aracılığıyla veri aramanın çok zaman aldığını düşünebilirsiniz, ancak araçları ne kadar iyi anlarsanız, bu iğneyi samanlıkta o kadar hızlı bulabilirsiniz. Edit->Find Packet'e gidin. Ardından, Dize ve Arama Paketi baytlarına göre bulun. Aşağıdaki şekli rehber olarak kullanabilirsiniz.

419px-Wireshark_string_search.png


İnternet varsayılan olarak şifrelendiği için bunu yapmanın giderek zorlaştığını unutmayın. Web'in HTTPS'ye ne kadar hızlı geçiş yaptığını görmek için Google Transparency Report adresinden kontrol edebilirsiniz.

DNS

Birçok HTTPS web sitesinden görüntüleri veya web sitelerini kurtaramıyorsanız, DNS kaydına hala bakabileceğinizi unutmayın. Üstteki filtre çubuğuna DNS yazın. Bu, sıradan tarama oturumunuzun nelerden oluştuğu hakkında iyi bir fikir veriyor mu?

HTTP ve HTTPS

Bir aşamada, muhtemelen Google.com ziyaret etmiş ve bir şeyler aramış olursunuz. google.com girdiğiniz bazı metinlerde dize araması yapmayı deneyin. O zaman bulabilir siniz, Neden olmasın :)

BLUE-TANITIMcb8b01e06458b7f1.png


SSL/TLS şifresini çözme

HTTPS, daha önce SSL olan Aktarım Katmanı Güvenliği'ne dayanır. Tüm web sitelerimizin yakalanmasını koruyan şey budur. Şifresini çözmek için kullanılabilecek bir dizi yöntem vardır. İzlenen makineye erişebildiğiniz basit bir tane varsayacağım. Bu örnekte, kendi SSL / TLS işlemlerimizin şifresini çözeceğiz.

İlk olarak, bir ortam değişkeni ayarlamak istiyoruz:

Kod: 
export SSLKEYLOGFILE=/home/murdoch/sslkeylog.log

Laboratuvarlarda çalışmıyorsanız, yolun farklı olacağını unutmayın. Yolu istediğiniz gibi yapabilirsiniz. Bu ortam değişkenini ayarladıktan sonra denetlemeniz gerekir.

Kod: 
echo $SSLKEYLOGFILE

Bunu kalıcı hale getirmek için, bunu ~/.bashrc dosyasının sonuna da ekleyebilirsiniz. Ardından aynı terminal penceresinde bir web tarayıcısı açın.

Kod: 
firefox

Bu tarayıcı penceresini kullanarak birkaç web sitesini ziyaret edin, ardından:

Kod: 
cat sslkeylog.log

Şuna benzeyen bir dizi satır yapmalısınız:

Kod: 
CLIENT_HANDSHAKE_TRAFFIC_SECRET ad596600bb1b13027ed0500921c9e3a62e89c3f945d27d15ea08745ed105eb[/SIZE][/CENTER][/SIZE][/CENTER][/SIZE][/CENTER]
[SIZE=4][CENTER][SIZE=4][CENTER][SIZE=4][CENTER]SERVER_HANDSHAKE_TRAFFIC_SECRET ad596600bb1b13027ed0500921c9e3a62e89c3f945d2715ea08745ed105eb0e
CLIENT_TRAFFIC_SECRET_0 aa9f7a2e8d4ce8c19a7348002b219128824a011eb4663a9a3c9485788ed114ff
SERVER_TRAFFIC_SECRET_0 aa9f7a2e8d4ce8c19a7348002b219128824a011eb4663a9a3c9485788ed114ff4b4bda4c653ef00501c5109d4f
EXPORTER_SECRET aa9f7a2e8d4ce8c19a7348002b219128824a011eb4663a9a3c9485788ed1145cce06373f8bfdbae




Şimdi Wireshark'ı açın, ağ bağdaştırıcınızda yakalayın ve ardından açık olan pencereyle web'de biraz daha gezinin. Tarayıcıyı GUI menüsünü kullanarak açarsanız, büyük olasılıkla ortam değişkeniyle başlamayacağını ve anahtarlarınızı kaydetmeyeceğini lütfen unutmayın.

Biraz tarama yaptıktan sonra SSL filtresini kullanarak filtre uygulayabilirsiniz. İşlemlerin şifrelenmiş olduğunu unutmayın. Şimdi Wireshark'ı SSL anahtarları dosyanıza yönlendirmek istiyoruz. edit->preferences->protocols sayfasına gidin ve TLS'yi bulun. Wireshark'ın en son sürümüne sahipseniz, artık SSL yerine TLS'dir. Aşağıdaki resmi izleyin ve Wireshark'ı (önceki) Master-Secret günlük dosyanızın konumuna getirin.

toat0k9.PNG


Her şey yolunda gittiyse, şimdi tüm SSL işlemlerinizin şifresinin çözüldüğünü görmelisiniz.

Decrypted_ssl.png


BLUE-TANITIMcb8b01e06458b7f1.png


SSL/TLS Şifresinin Çözülmesini Arama

Paket arama işlevinin düştüğünü ve şifresi çözülmüş verilerde arama yaparken beklediğim gibi çalışmadığını gördüm. Şifresi çözülmüş verilerde metin aramak için File->Export-Packet-Disections->As-Plain-Text sayfasına giderdim.

Bir dosyaya kaydettikten sonra, Dosya Sistemlerinde Arama için daha gelişmiş araçlar ve teknikler kullanabilirsiniz.
 
Son düzenleme:
JohnWick51

JohnWick51

Uzman üye
20 Mar 2022
1,867
770
28
ByFelez' Alıntı:
Selamlar Dostlar. Ben ByFelez..

Bugün ki Konumuzda Sizlere Wireshark aracının Network Forensic Alanında ki kullanımını örnek üzerinde Anlatmaya Çalışacağım..


NOT: Ben Bu Konuda Ubuntu işletim sistemi kullanacağım, siz illa ki Ubuntu Kullanmak Zorunda değilsiniz.


Hadi Konumuza Geçelim :)

BLUE-TANITIMcb8b01e06458b7f1.png

Ağ Trafiğini Görüntüleme ve Depolama

Makinenizde Wireshark'ı başlatın ve birincil ağ bağdaştırıcınızda yakalamaya başlayın. Bu trafiği kaydetmek ve depolamak için TCPdump'ı kullanabilirsiniz, ancak bugün ki amaçlarımız için her şeyi Wireshark'ta canlı olarak görüntülemek muhtemelen daha kolaydır.

5-10 dakikalık rahat web taraması yapın. Neyin kurtarılabileceğiyle ilgilendiğimiz için birçok farklı web sayfasını ziyaret etmeye çalışın. Herhangi bir site için bir ziyaret ekleyin ve bağlantınızın izlendiğine dikkat ederek bu web sitelerindeki arama alanına bazı metinler yazın. Ardından paket yakalamanızı durdurun ve dosyayı casualbrowsing.pcap olarak kaydedin.

BLUE-TANITIMcb8b01e06458b7f1.png


Yakalama dosyasını çözümleme

TCP Yeniden Birleştirme

Yakalamakta olduğunuz paketler yük verileri içerir. Aktarılan içerik ve dosya biçimleri hakkında bir fikrimiz varsa ve işlem şifrelenmemişse, ikili verileri tekrar tanınabilir bir şeye dönüştürebiliriz. Bu bölümde, bir web sayfası işleminin öğelerini nasıl ortaya çıkaracağınızı göstereceğiz.

Görüntüleri Yeniden Birleştirme

PNG veya JPEG gibi belirli bir görüntü formatını filtreleyebiliriz. Bunu, bu sözcükleri sayfanın üst kısmındaki filtre çubuğuna yazarak yapabilirsiniz. Tanımlanan görüntülerden birine tıklayın, ardından alt Wireshark penceresindeki Taşınabilir Ağ Grafikleri satırına sağ tıklayın. Seçili Paket Baytlarını Veri seçin ve Masaüstüne görüntü olarak kaydedin. png. Kayıtlı resminizi açmayı deneyin.

577px-Export_packets.png


HTTP sayfalarını yeniden birleştirme

Sayfaları ve görüntüleri yeniden birleştirmenin başka bir yolu da File->Export Objects->HTTP öğesini tıklatmaktır. Bunu yapabilmek için yakalamanızı durdurmuş olmanız gerekir. Daha sonra tek tek öğeleri seçebilir veya yakalanan içeriğin tümünü bir dosyaya kaydedebilirsiniz.

Metin Arama

Wireshark aracılığıyla veri aramanın çok zaman aldığını düşünebilirsiniz, ancak araçları ne kadar iyi anlarsanız, bu iğneyi samanlıkta o kadar hızlı bulabilirsiniz. Edit->Find Packet'e gidin. Ardından, Dize ve Arama Paketi baytlarına göre bulun. Aşağıdaki şekli rehber olarak kullanabilirsiniz.

419px-Wireshark_string_search.png


İnternet varsayılan olarak şifrelendiği için bunu yapmanın giderek zorlaştığını unutmayın. Web'in HTTPS'ye ne kadar hızlı geçiş yaptığını görmek için Google Transparency Report adresinden kontrol edebilirsiniz.

DNS

Birçok HTTPS web sitesinden görüntüleri veya web sitelerini kurtaramıyorsanız, DNS kaydına hala bakabileceğinizi unutmayın. Üstteki filtre çubuğuna DNS yazın. Bu, sıradan tarama oturumunuzun nelerden oluştuğu hakkında iyi bir fikir veriyor mu?

HTTP ve HTTPS

Bir aşamada, muhtemelen Google.com ziyaret etmiş ve bir şeyler aramış olursunuz. google.com girdiğiniz bazı metinlerde dize araması yapmayı deneyin. O zaman bulabilir siniz, Neden olmasın :)

BLUE-TANITIMcb8b01e06458b7f1.png


SSL/TLS şifresini çözme

HTTPS, daha önce SSL olan Aktarım Katmanı Güvenliği'ne dayanır. Tüm web sitelerimizin yakalanmasını koruyan şey budur. Şifresini çözmek için kullanılabilecek bir dizi yöntem vardır. İzlenen makineye erişebildiğiniz basit bir tane varsayacağım. Bu örnekte, kendi SSL / TLS işlemlerimizin şifresini çözeceğiz.

İlk olarak, bir ortam değişkeni ayarlamak istiyoruz:

Kod: 
export SSLKEYLOGFILE=/home/murdoch/sslkeylog.log

Laboratuvarlarda çalışmıyorsanız, yolun farklı olacağını unutmayın. Yolu istediğiniz gibi yapabilirsiniz. Bu ortam değişkenini ayarladıktan sonra denetlemeniz gerekir.

Kod: 
echo $SSLKEYLOGFILE

Bunu kalıcı hale getirmek için, bunu ~/.bashrc dosyasının sonuna da ekleyebilirsiniz. Ardından aynı terminal penceresinde bir web tarayıcısı açın.

Kod: 
firefox

Bu tarayıcı penceresini kullanarak birkaç web sitesini ziyaret edin, ardından:

Kod: 
cat sslkeylog.log

Şuna benzeyen bir dizi satır yapmalısınız:

Kod: 
CLIENT_HANDSHAKE_TRAFFIC_SECRET ad596600bb1b13027ed0500921c9e3a62e89c3f945d27d15ea08745ed105eb[/SIZE][/CENTER][/SIZE][/CENTER][/SIZE][/CENTER]
[SIZE=4][CENTER][SIZE=4][CENTER][SIZE=4][CENTER]SERVER_HANDSHAKE_TRAFFIC_SECRET ad596600bb1b13027ed0500921c9e3a62e89c3f945d2715ea08745ed105eb0e
CLIENT_TRAFFIC_SECRET_0 aa9f7a2e8d4ce8c19a7348002b219128824a011eb4663a9a3c9485788ed114ff
SERVER_TRAFFIC_SECRET_0 aa9f7a2e8d4ce8c19a7348002b219128824a011eb4663a9a3c9485788ed114ff4b4bda4c653ef00501c5109d4f
EXPORTER_SECRET aa9f7a2e8d4ce8c19a7348002b219128824a011eb4663a9a3c9485788ed1145cce06373f8bfdbae




Şimdi Wireshark'ı açın, ağ bağdaştırıcınızda yakalayın ve ardından açık olan pencereyle web'de biraz daha gezinin. Tarayıcıyı GUI menüsünü kullanarak açarsanız, büyük olasılıkla ortam değişkeniyle başlamayacağını ve anahtarlarınızı kaydetmeyeceğini lütfen unutmayın.

Biraz tarama yaptıktan sonra SSL filtresini kullanarak filtre uygulayabilirsiniz. İşlemlerin şifrelenmiş olduğunu unutmayın. Şimdi Wireshark'ı SSL anahtarları dosyanıza yönlendirmek istiyoruz. edit->preferences->protocols sayfasına gidin ve TLS'yi bulun. Wireshark'ın en son sürümüne sahipseniz, artık SSL yerine TLS'dir. Aşağıdaki resmi izleyin ve Wireshark'ı (önceki) Master-Secret günlük dosyanızın konumuna getirin.

toat0k9.PNG


Her şey yolunda gittiyse, şimdi tüm SSL işlemlerinizin şifresinin çözüldüğünü görmelisiniz.

Decrypted_ssl.png


BLUE-TANITIMcb8b01e06458b7f1.png


SSL/TLS Şifresinin Çözülmesini Arama

Paket arama işlevinin düştüğünü ve şifresi çözülmüş verilerde arama yaparken beklediğim gibi çalışmadığını gördüm. Şifresi çözülmüş verilerde metin aramak için File->Export-Packet-Disections->As-Plain-Text sayfasına giderdim.

Bir dosyaya kaydettikten sonra, Dosya Sistemlerinde Arama için daha gelişmiş araçlar ve teknikler kullanabilirsiniz.
Genişletmek için tıkla ...
Ellerine saglik
 
Cevap yazmak için giriş yap yada kayıt ol.
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.