Wireshark Temelleri — 5
TCP Paket Analizi ve DNS Trafiği Analizi
Ağ analizinde sıkça kullanılan Wireshark Temelleri serimizin bu yazısında, TCP Paket Analizi ve DNS Trafiği Analizini detaylı bir şekilde inceleyeceğiz.
TCP Protokolüne İlk Bakış
TCP (Transmission Control Protocol), sıralama ve hataları içeren paketlerin teslimatını yönetir. TCP’nin nasıl çalıştığı ile ilgili dökümana buradan ulaşabilirsiniz.
Aşağıda, 80 ve 443 numaralı portları tarayan bir Nmap taramasının örneğini görebilirsiniz. Kırmızı renkteki RST, ACK paketi nedeniyle portun kapalı olduğunu söyleyebiliriz.
TCP paketlerini analiz ederken Wireshark oldukça yardımcı olabilir ve paketleri tehlike seviyesine göre renklendirebilir.
TCP analiz ederken bir ağ hakkında faydalı bilgiler sağlayabilir ancak gönderdiği paket sayısı nedeniyle analiz edilmesi zor olabilir. Burada, yakalamaları filtrelemek ve daha fazla analiz etmek için RSA NetWitness ve NetworkMiner gibi diğer araçları kullanmamız gerekebilir.
RSA NetWitness, geniş bir yelpazede ağ güvenliği çözümleri sunan kapsamlı bir platformdur. Bu platform, ağ trafiğini gerçek zamanlı olarak izler, analiz eder ve güvenlik olaylarını tespit eder.
NetworkMiner ise, ağ trafiğini analiz etmek için kullanılan açık kaynaklı bir araçtır. Özellikle dijital forensic ve incident response alanında yaygın olarak kullanılır. NetworkMiner, ağ trafiğini yakalar ve analiz ederek hostlar, dosyalar, e-posta trafiği ve web trafiği gibi bilgileri çıkarır.
TCP Trafiğine İlk Bakış
TCP paketlerini analiz ederken göreceğimiz en yaygın şey TCP 3-way handshake olarak bilinir. Bir dizi paket içerir: syn, synack, ack. Bu, cihazların bir bağlantı kurmasını sağlar.
Genellikle bu el sıkışma sırasız olduğunda veya RST paketi gibi diğer paketleri içerdiğinde, ağda şüpheli veya yanlış bir şey oluyor demektir. Yukarıdaki bölümdeki Nmap taraması bunun güzel bir örneğidir.
TCP Paket Analizi
TCP paketlerini analiz etmek için paketlerin her bir detayına girmeyeceğiz ancak paketlerin sahip olduğu birkaç davranışa ve yapıya bakacağız.
Aşağıda bir SYN paketi için paket ayrıntılarını görüyoruz. Bir TCP paketine bakarken bakmak istediğimiz en önemli şey sıra numarası ve onay numarasıdır.
TCP SYN paketinde onay numarası ayarlanmamıştır çünkü istemci sunucudan herhangi bir veriyi onaylamamaktadır. Genellikle ilk SYN paketinde 0'dır.
Wireshark içinde, Edit > Preferences > Protocols > TCP > Relative Sequence Numbers (işaretini kaldırabiliriz) seçeneğine giderek orijinal sıra numarasını da görebiliriz.
Genellikle TCP paketlerine tek tek ayrıntılarına bakmak yerine bir bütün olarak bakılarak bir hikaye anlatılması gerekir.
DNS Trafiği
Bu bölümün sonunda incelenecek olan DNS Trafiği için bazı sorular bulunmaktadır. Bu soruların çözümü için gerekli PCAP dosyasına buradan ulaşabilirsiniz.
DNS Protokolüne İlk Bakış
DNS (Domain Name Service) protokolü, adları IP adresleriyle çözmek için kullanılır. Diğer protokoller gibi, DNS’in de nasıl çalıştığını bilmekte fayda var. Buradan detaylı bilgiye ulaşabilirsiniz.
DNS paketlerini analiz ederken aklımızda bulundurmamız gereken birkaç madde aşağıda özetlenmiştir.
- Query - Response
- DNS - Servers Only
- UDP
Bunlardan herhangi biri yerinde değilse, paketlere daha fazla bakılmalı ve şüpheli olarak değerlendirilmelidir. Aşağıda birden fazla DNS sorgusu ve yanıtı olan bir paket yakalama görüyoruz.
Paketlere genel olarak bakıldığında ne sorguladıklarını görebiliriz. Bu, çok sayıda paketimiz olduğunda ve şüpheli veya sıra dışı trafiği hızla tespit etmemiz gerektiğinde faydalı olacaktır.
DNS Trafiğine İlk Bakış
- DNS Query
Aşağıdaki sorguya baktığımızda paketi analiz etmek için kullanabileceğimiz iki bilgi parçasına sahibiz. Bakabileceğimiz ilk bilgi parçası, sorgunun nereden kaynaklandığıdır yani UDP 53'tür. Bu da bu paketin bu kontrolü geçtiği anlamına gelir, eğer TCP 53 ise şüpheli trafik olarak değerlendirilmeli ve daha fazla analiz edilmelidir. Ayrıca neyi sorguladığına da bakabiliriz, bu, ne olduğuna dair bir hikaye oluşturmak için diğer bilgilerle birlikte yararlı olabilir.
DNS paketlerini analiz ederken, ortamımızı ve trafiğin ortamımızda normal veya şüpheli olarak kabul edilip edilmeyeceğini gerçekten anlamamız gerekir.
- DNS Response
Aşağıda bir response paketi görüyoruz, query paketine benzer, ancak sorguyu doğrulamak için kullanılabilecek bir yanıt da içerir.
Pratik DNS Trafik Analizi
Sıra sizde!
Bu bölümde başta indirdiğimiz PCAP dosyası ile alakalı bazı sorular ve cevapları yer almaktadır. Soruları önce çözüp sonra cevaplarına bakmamız bize fayda sağlayacaktır.
Not: Bu PCAP dosyasında yalnızca iki protokol vardır. Bu yüzden filtreleme bilgisine fazla ihtiyaç duyulmamaktadır.
- Soru 1: Paket 1'de ne sorgulanıyor?
- Soru 2: Paket 26'da hangi site sorgulanıyor?
- Soru 3: Paket 26 için Transaction ID nedir?
- Cevap 1
Paket 1'in neyi sorguladığını öğrenmek için paket detaylarından Queries bölümünden bunu öğrenebiliriz.
Cevap 1: 8.8.8.8.in-addr.arpa
- Cevap 2
Paket 26'nın hangi web sitesini sorguladığını öğrenmek için paket detaylarından Queries bölümünden bunu öğrenebiliriz.
Cevap 2: www.wireshark.org
- Cevap 3
Paket 26'ya ait Transaction ID’yi öğrenmek için paket detaylarından bunu öğrenebiliriz.
Cevap 3: 0x2c58
Bu bölümde TCP Trafiği Analizi, TCP 3-way Handshake, DNS Trafiği Analizi, DNS Paketlerinin incelenmesi ve Örnek DNS Trafiğinin İncelenmesi konularından bahsettik. Benimle birlikte analizi gerçekleştirdiğiniz için teşekkür ederim. İyi Çalışmalar.