Wireshark ve CTI
Last updated
Last updated
Wireshark, 1998 yılında Gerald Combs tarafından "Ethereal" ismiyle başlatılmış, sonradan Wireshark ismini almış bir ağ trafiği analiz aracıdır. Wireshark, ağ üzerinde gönderilen ve alınan tüm paketlerin detaylı incelemesini yapmamızı sağlar ve ağdaki anormallikleri tespit etmek için kullanılabilir.
Paket Yakalama: Wireshark, ağ kartını "promiscuous mode" adı verilen bir moda alarak, ağ üzerinden geçen tüm paketleri yakalar. Bu sayede sadece bilgisayarınıza yönelik değil, ağa bağlı tüm trafiği gözlemleyebilirsiniz. Bu, özellikle büyük ağlarda güvenlik analizi yapmak için kullanışlıdır.
Paket İnceleme: Yakalanan her paketi detaylı olarak inceleyebilir ve katman katman (OSI modeline göre) analiz edebiliriz. Bu, ağ üzerinde hangi protokollerin çalıştığını ve her bir protokolün nasıl davrandığını gözlemlememize olanak tanır.
Protokol Desteği: Wireshark, birçok popüler ağ protokolünü (TCP, UDP, HTTP, DNS vb.) tanır ve bu protokollerle ilişkili paketleri analiz edebilir. 700'den fazla protokolü destekler ve yeni protokoller sürekli olarak eklenmektedir.
Filtreleme: Belirli paket ve trafiğe odaklanarak çok sayıdaki paketler arasında istediğimiz paketleri bulmamıza ve analiz etmemize olanak sağlar. Filtreleme barı ile trafiği filtreleyerek hedeflenen veri üzerinde çalışabilirsiniz. Örneğin, sadece bir IP adresine gelen trafiği görmek için filtre uygulayabilirsiniz.
Güvenlik Analizi: Wireshark ile ağdaki zararlı yazılım buluşmalarını analiz ederek, bu yazılımın hangi sunuculara erişmeye çalıştığını ve ağ üzerindeki aktiviteleri izleyebilirsiniz. Şüpheli bir trafik artışı veya belirli portlara yoğun ilgi gibi anormallikleri tespit edebilirsiniz. Ayrıca, Wireshark'ın sunduğu filtreleme ve protokol analiz yetenekleri sayesinde ağınızda bulunan güvenlik açıklarını tespit edebilir ve tehditlerin kaynağını belirleyebilirsiniz.
Wireshark’ı açtığınızda, karşınıza gelen ana ekran, ağ arayüzlerini (ethernet, wifi vb.) seçmenize olanak tanır. Bu arayüzler üzerinden paket yakalamaya başlayabilirsiniz. Ayrıca, daha önce kaydedilmiş bir pcap dosyasını açarak, bu dosya üzerinden analiz yapabilirsiniz.
İstediğimiz seçenekleri seçtikten sonra karşımıza aşağıdaki 3 ekrana sahip bir arayüz gelir.
1) Paket Listesi Panosu:
Bu ekran, yakalanan tüm paketleri listeler. Her bir satır, bir paketi temsil eder ve satırda birkaç sütun bulunur. Paket listesinde paket sırası, zamanı, kaynak, hedef, protokol, büyüklük ve paket bilgileri gibi detaylar yer alır.
2) Paket Detayları:
Seçilen paket hakkında detaylı bilgileri gösterir. Burada paket, protokol katmanlarına ayrılmış şekilde detaylandırılır.
Ethernet : Bu katman, fiziksel ağ üzerinde paketlerin iletilmesinden sorumludur. Ethernet çerçevelerinde kaynak ve hedef MAC adreslerine buradan erişebiliriz. Ayrıca, çerçeve uzunluğu ve hata kontrol bilgileri gibi detaylar da burada bulunur.
Internet Protocol (IP): Bu katman, IP adresleri kullanarak veriyi yönlendirir. IP, genellikle internet üzerinden yapılan iletişimde kullanılır. Burada, versiyon bilgisi (IPv4 veya IPv6), kaynak ve hedef IP adresleri, TTL (Time to Live) değeri gibi bilgilere erişebiliriz. TTL değeri, bir paketin ağda ne kadar süre kalabileceğini belirler.
TCP/UDP Protokolleri: Bu bölümde, TCP ve UDP gibi protokoller hakkında bilgi ediniriz. Bu protokoller, verinin güvenli ve doğru bir şekilde taşınmasından sorumludur. TCP ve UDP, en sık kullanılan protokollerdir, ancak işleyişleri farklıdır:
TCP (Transmission Control Protocol): Bağlantılı bir protokoldür ve verinin güvenilir bir şekilde iletilmesini sağlar. TCP'de hedef ve kaynak port numaraları bilgisi alabiliriz. TCP'nin bağlantı durumunu gösteren bayraklar vardır:
SYN: Bağlantı kurulumu için ilk adımdır.
SYN-ACK: Bağlantı talebinin kabul edildiğini ifade eder.
ACK: Veri aktarımı sırasında veri aktarımının doğrulandığını belirtir.
FIN: Bağlantının sonlandığını ifade eder.
UDP (User Datagram Protocol): Bağlantısız bir protokoldür, yani güvenlik garantisi sunmaz. UDP, veri iletiminde hız sağlar ancak iletilen verilerin güvenilirliği konusunda herhangi bir garanti vermez. Bu nedenle, hata kontrolü ve akış kontrolü gibi işlemler yapılmaz.
3) Paket Baytları:
Seçilen paketin ham verisini (byte düzeyinde) gösterir. Bu veriler, onaltılık (hex) ve ASCII formatında görüntülenebilir.
4) Filtreleme Barı:
Bu bar sayesinde, belirli bir trafiğe odaklanarak paketler arasından hızlıca ihtiyacımız olan pakete ulaşabiliriz. Örneğin, belirli bir IP adresine gelen paketleri ya da yalnızca DNS sorgularını filtreleyebilirsiniz.
5) Menü Barı:
Wireshark’ın menü barı, çeşitli işlemler yapmanıza olanak sağlar:
Dosya: Yakalama işlemini başlatma, kaydetme ve dosyaları açma.
Düzenle: Paket listesi ve yakalanan verilerle ilgili düzenlemeler yapma.
Görünüm: Arayüzü özelleştirme ve panelleri ayarlama.
Git: Paketler arasında hızlıca geçiş yapma.
Paket Yakalama: Ağ trafiğini kaydetmeye başlama ve durdurma.
Analiz: Protokol hiyerarşisini görüntüleme ve istatistikleri inceleme.
İstatistik: Ağ performansı ve paket yoğunluğu ile ilgili istatistiksel bilgiler.
Telefon ve Kablosuz: Özel telefon protokolleri ve kablosuz ağ analizleri.
Araçlar: Ek araçlara erişim.
Yardım: Yardım dökümanlarına erişim ve Wireshark hakkında bilgi.
Veri Toplama: Wireshark, ağ trafiğinden toplanan verileri kullanarak tehdit istihbaratına katkıda bulunur. Anomaliler ve potansiyel tehditler tespit edilebilir.
Analiz ve Görselleştirme: Wireshark, karmaşık ağ trafiğini analiz etme ve anlamlı görselleştirmeler oluşturma yeteneği sunar. Bu görselleştirmeler, güvenlik ekiplerine olayları anlamada yardımcı olur.
Zararlı Yazılım Analizi: Wireshark ile yakalanan zararlı trafik, CTI kapsamında analiz edilerek, tehditlerin doğası ve davranışları hakkında bilgi edinilir.
Olay Müdahale Süreçleri: CTI, olay müdahale süreçlerinin etkinliğini artırır. Wireshark, olayların hızlı bir şekilde analiz edilmesine olanak tanıyarak, güvenlik ekiplerinin daha hızlı yanıt vermesini sağlar.
Tehdit Paylaşımı: Wireshark ile elde edilen veriler, diğer güvenlik araçları ve platformları ile entegre edilerek, tehdit paylaşımını kolaylaştırır. Bu, benzer organizasyonların karşılaştığı tehditleri anlamalarına yardımcı olur.
Sonuç
Wireshark, CTI'nın önemli bir parçasıdır ve siber güvenlikteki rolü giderek artmaktadır. Ağ trafiği analizi, güvenlik ekiplerine tehditleri daha iyi anlamaları ve savunmalarını güçlendirmeleri konusunda yardımcı olur.
Olay: Target, 2013'te 40 milyon kredi kartı bilgisinin çalındığı büyük bir veri ihlali yaşadı. Kullanım:
Wireshark: Ağ trafiğinde şüpheli veri transferi tespit edildi.
CTI: Çalınan verilerin "Kaptoxa" adlı zararlı yazılımla elde edildiği belirlendi. Sonuç: Diğer perakende firmalarına karşı farkındalık yaratıldı.
Olay: Sony Pictures, e-posta yazışmaları ve hassas verilerin çalındığı bir siber saldırıya uğradı. Kullanım:
Wireshark: Saldırganların veri çıkışları analiz edildi.
CTI: Lazarus Grubu’nun saldırı yöntemleri tespit edildi. Sonuç: Kuzey Kore'nin siber tehdit aktörü olarak tanınmasını sağladı.
Olay: 143 milyon kişinin verileri çalındı. Kullanım:
Wireshark: Veri sızıntısı sırasında kullanılan trafik izlenerek analiz edildi.
CTI: Apache Struts zafiyeti kullanılarak sisteme sızıldığı belirlendi. Sonuç: Güvenlik önlemleri güçlendirildi.
Olay: Çin merkezli APT10 grubu, birçok sektöre yönelik siber casusluk saldırıları gerçekleştirdi. Kullanım:
Wireshark: Şüpheli bağlantılar tespit edildi.
CTI: Tehdit istihbaratı paylaşımı ile diğer şirketler bilgilendirildi. Sonuç: Siber casusluk faaliyetleri daha görünür hale geldi.
Olay: IoT cihazlarını hedef alan büyük DDoS saldırıları. Kullanım:
Wireshark: Botnet’in trafiği incelendi.
CTI: Zayıf IoT cihazlarına dair bilgiler paylaşıldı. Sonuç: Gelecekteki IoT tehditlerinin tespitine katkı sağlandı.
