Herşey yolundayken ağ trafiğini izlemeye genellikle pek ihtiyaç duyulmaz.Fakat hiçbir dosya indirme ya da gönderme işlemi yapmadığınız halde google ana sayfası bile bir kaç dakika da yüklenirse işte o zaman ters giden birşeyler olduğunu farkedersiniz
Ağ trafiğini nasıl koklayabilirsiniz?
Daha önceleri 'Ethereal' olarak da bilinen 'Wireshark' aracı, bir ağ güvenliği uzmanının alet çantasında bulunan en güçlü araçlardan birisidir. Bir ağ paketi çözümleyicisi olarak çalışan 'Wireshark' aracı, ağ sisteminin içine bir göz atarak ağ içinde gerçekleşen trafiğin tüm detaylarını, bağlantı seviyesi bilgilerinden bir paketi kapsayan parçalara kadar uzanan, geniş bir yelpazede ve birçok farklı seviyede inceleyebilir. Aracın bu kadar esnek olması ve yaptığı incelemelerin oldukça derin olması, bu değerli analiz aracının bazı güvenlik durumlarını analiz etmesine ve ağ güvenliği aygıtlarıyla ilgili problemlerin çözümünü bulmasına izin veriyor. Ayrıca bu aracın makul olmasının bir nedeni daha var. Zira Wireshark tamamen ücretsiz!
Neden 'Ağ Trafiğini Koklamak' deyimi?
'Ağ Trafiğini Koklamak' (Sniffing) deyimi birçok insanın, bir 'Big Brother' ağındaki yöneticinin, insanların kişisel ve gizli e-posta mesajlarını okuduğu, 'Orwellian' tarzı bir sahneyi hayal etmesine neden olabilir. Her kim olursa olsun, bir kişi 'Wireshark' aracını kullanmadan önce organizasyonun; kendi ağını kullanan tüm bağımsız kişilerin haklarını belirten ve tamamen açık bir şekilde tanımlanmış olan, bir gizlilik bildirgesinin ortaya koyduğundan; bazı güvenlik ve problem çözümleme konuları için, ağ içinde gerçekleşen tüm trafiğin takip edilmesine izin verdiğinden; ağ trafiği içinde bulunan her türlü öğenin toplanması, analiz edilmesi ve alıkoyulması ile ilgili, organizasyonun tüm ilke gerekliliklerinin açıkça belirtilmiş olduğundan kesinlikle emin olmalıdır. 'Wireshark' gibi bir aracı, gerekli izinleri almadan kullanmaya çalışan herhangi biri, kolayca kendini yasal olarak çok ciddi suçlamaların içinde bulabilir.
Bir güvenlik profesyoneli olarak, bir ağ trafiğini takip edebilmeniz için iki tane önemli nedeniniz bulunabilir. Bu nedenlerden ilki, bir ağ saldırısını incelerken ve bu saldırıyı savuşturabilecek olan önlemleri almaya çalışırken, ağ trafiği içindeki paketlerin detaylarını görebilmenin ve inceleyebilmenin, size paha biçilemez derecede önemli bilgiler sağlayabilmesidir. Örneğin, ağ sisteminde bir hizmet dışı bırakma problemi (DoS) ortaya çıkarsa, 'Wireshark' aracı bu saldırının tam türünü belirmek için kullanılabilir. Bu araç, istenmeyen tüm trafik öğelerinin engellenmesini sağlamak için, güvenlik duvarında yeni akış kurallarını ortaya koyabilir. 'Wireshark' aracının ikinci önemli kullanım alanı ise, güvenlik aygıtlarında oluşan problemlerinin çözülmesi sayılabilir. Örneğin 'Wireshark' aracını kullanarak, güvenlik duvarı (firewall) kurallarıyla ilgili tüm problemleri çözebilirsiniz. Eğer 'Wireshark' aracını kullanan sistemleri, güvenlik duvarının her iki tarafınadabağlarsanız, hangi tür paketlerin rahatlıkla ve başarıyla bu güvenlik duvarından geçebildiğini, güvenlik duvarının herhangi bir bağlantı problemine yol açıp açmadığını, kolayca öğrenebilirsiniz.
Fakat açıkça belirtmek gerekir ki, tüm güvenlik analizcilerinin asla unutmaması gereken bir gerçek vardır. 'Wireshark' aracı, hem iyi amaçlı olarak, hem de kötü amaçlı olarak kullanılabilir. 'Wireshark' aracı, eğer iyi bir ağ ya da güvenlik yöneticisinin ellerindeyse, mükemmel bir problem çözümleme aracı olarak kullanılabilir. Fakat 'Wireshark' aracı, etik değerleri sorgulanabilir seviyede olan bir kişinin eline geçerse, ağ trafiği içinden geçen tüm paketlerin her detayını görebilmesine olanak sağlayarak, tehlikeli bir gizli dinleme aracına dönüşebilir.
Wireshark Kurulumu
Wireshark kurulumu, oldukça basit bir işlemdir. indirebilirsiniz. 'Wireshark' aracı aynı zamanda, Unix/Linux işletim sistemleri için neredeyse tüm özellikleriyle beraber, standart yazılım dağıtımı aracılığıyla elde edilebilir. Ayrıca diğer işletim sistemlerinde kurulum yapabilmek için kaynak kodları da dağıtılmaktadır.
'Wireshark' aracının geliştirici takımı, aracın 'Windows' sürümünü 'WinPcap' paket yakalama kitaplığı üstüne inşa etmiştir. Windows işletim kullanıyorsanız ve daha önceden WinPcap paketini kurmadıysanız, kurulum sırasındabu program da otomatik olarak kurulacaktır. Yalnız burada dikkat edilmesi gereken önemli bir nokta bulunuyor. Eğer 'WinPcap' programının eski bir sürümünü kullanıyorsanız, 'Wireshark' kurulumunu başlatmadan önce ilk olarak, bu eski sürümü 'Program Ekle/Kaldır' (Add/Remove Programs) kontrol panelini kullanarak, bilgisayarınızdan kaldırmalısınız.
Aracın kurulum süreci, oldukça tanıdık olan ve sadece iki tane önemli soru soran, sihirbaz tabanlı bir dizi işlemi içeriyor. Bu süreçte karşınıza çıkan sorulardan ilki, 'WinPcap' kitaplığını yüklemek isteyip istemediğinizle alakalıdır. Diğer soru ise, bilgisayarınızı her açtığınızda 'WinPcap NPF' (Netgroup Packet Filter / Ağ Grubu Paket Filtresi) hizmetinin çalışmasını isteyip istemediğinizi soruyor. Bu seçeneklerden her ikisini de tercih ederseniz, yönetici yetkilerine sahip olmayan kullanıcıların dahi, ağ trafiği içindeki paketleri yakalamasına izin vermiş olursunuz. Eğer bu hizmetin, bilgisayar her açıldığında çalışmasını tercih etmezseniz, sadece yönetici yetkisine sahip olan kişiler, 'Wireshark' aracını çalıştırıp ağ trafiği içindeki paketleri yakalayabilirler.
Paket Yakalama
Basit bir paket yakalama fonksiyonunu çalıştırmak
'Wireshark' aracı, bilgisayarınıza yüklendikten sonra uygulamayı çalıştırdığınızda, karşınıza aşağıda ekran görüntüsünde görüldüğü gibi boş bir ekran gelecektir.
Tarama işlemine başlamak için, Capture (Yakalama) menüsünde bulunan Interfaces (Arayüzler) seçeneğini seçin. Bu işlemleri tamamladığınız zaman, karşınıza aşağıdaki ekran görüntüsünde olduğu gibi, açılır bir pencere gelecektir.
Eğer daha önceden kaydettiğiniz yakalama dosyasını incelemek , belirli bir 'MAC' adresi ya da ip adresiyle ilgili trafiği yakalamak gibi gelişmiş özellikler kullanmak isterseniz sağ tarafında bulunan Options kısmına girmelisiniz. Burada bulunan seçeneklerin büyük bir bölümü, Wireshark uygulamasının performansını artırmak için büyük ölçüde yardımcı olabilir. Örneğin aracınızın seçeneklerini, isim ve çözünürlük ile ilgili durumları önemsememesi için ayarlayabilirsiniz. Bu seçeneği ayarlamadığınız takdirde, yakalama sisteminiz önemli ölçüde yavaşlar ve oldukça büyük sayılarda isim sorgulama listeleri oluşturulur. Ayrıca katılımolmayan yakalama işlemlerine, zaman ve boyut sınırlaması getirebilirsiniz. Tüm bu seçenekleri tamamladığınızda ya da atladığınızda, trafik detaylarını yakalamak istediğiniz arayüzün (interface) sağ tarafında bulunan Start (Başlat) tuşuna basarak yakalama işlemini başlatabilirsiniz. Yakalama işlemini başlattığınızda, 'Wireshark' uygulamasının ekranı aşağıdaki ekran görüntüsünde görüldüğü gibi seçmiş olduğunuz ağ ara yüzünde gerçekleşen tüm trafiği görüntülemeye başlar.
Sonuçları Yorumlamak
Wireshark uygulamasının ana penceresinin üst kısmında bulunan her satır, bu ağ sistemi içinde görülen tek bir pakete karşılık gelmektedir. Uygulama varsayılan görüntüleme ayarlarındayken her satırda, bu paketin yollandığı zaman (Yakalama işlemini başlattığınız zamana göre göreceli olabilir.), paketin kaynağının ve alıcısının IP adresleri, trafikte kullanılan protokol ve paket hakkında bazı bilgiler görüntülenir. Herhangi bir satırın üstüne tıklayarak, bu paket hakkında daha derin bir araştırma yapabilir ve çok daha fazla bilgi sahibi olabilirsiniz.
Üst bölümdeki herhangi bir satıra tıkladığınız zaman, altta bulunan diğer iki bölüm bu işlem hakkında daha detaylı bilgiler vermektedir.
Orta bölümde bulunan + ikonlarına tıklayarak paketin içinde bulunan çeşitli bilgi katmanları hakkında detayların ortaya çıkarılmasına sağlayabilirsiniz.
Wireshark uygulamasını kullanarak paketleri analiz ederken, renkler her zaman en yakın dostunuz olurlar. Yukarıdaki ekran görüntüsünde gösterilen örnekte bulunan her satırın, bir renkle kodlandığını fark etmişsinizdir. Koyu mavi renkle kodlanmış olan satırlar, 'DNS' trafiğine karşılık geliyorlar. Açık mavi renkle kodlanmış olan satırlar ise, 'UDP SNMP' trafiği anlamına geliyorlar. Yeşil renkle kodlanmış olan satırlar ise, 'HTTP' trafiğini temsil ediyorlar. 'Wireshark' uygulaması, oldukça karmaşık bir renk kodlama şemasını (Bu şemayı, kendi isteğinize göre kişiselleştirebiliyorsunuz.) içeriyor. Uygulamanın varsayılan renk kodlama ayarları, aşağıdaki ekran görüntüsünde gösterildiği şekilde geliyor.
Bu belge de 'Wireshark' uygulamasını ağ trafiğini yakalamak ve analiz etmek için belli başlı temel özellikleri inceledik. Kısa zaman içinde uzman bir ağ trafiği analisti olmak istiyorsanız, ellerinizi hiçbir zaman kirletmekten kaçınmayıp, ağ trafiği öğelerini (OSI Katmalarında yer alan) bir an önce tanımanızı ve nasıl çalıştıklarını öğrenmenizi tavsiye ederiz. Bu oldukça yetenekli programı, güvenlik duvarı kurallarını yapılandırmaktan, ağ sistemine yapılan bir saldırıyı bulmaya kadar, birçok farklı işlemde kullanabileceğiniz mükemmel bir araç olarak göreceğinize hiç şüphe yok. Yalnız herhangi bir ağda trafiği yakalamaya başlamadan önce, her zaman ağ sahibinden gerekli izinleri almanız gerektiğini,hiçbir zaman aklınızdan çıkarmayın.
kaynak: https://www.turkhackteam.org/resimli-program-anlatimi/513526-ag-trafigini-izleme-ve-guvenlik-taktikleri.html