Open in app

Sign in

Write

Sign in

Wireshark Temelleri — 5

TCP Paket Analizi ve DNS Trafiği Analizi

ALİ EKBER KARA
5 min readSep 27, 2024

Ağ analizinde sıkça kullanılan Wireshark Temelleri serimizin bu yazısında, TCP Paket Analizi ve DNS Trafiği Analizini detaylı bir şekilde inceleyeceğiz.

Wireshark

TCP Protokolüne İlk Bakış

TCP (Transmission Control Protocol), sıralama ve hataları içeren paketlerin teslimatını yönetir. TCP’nin nasıl çalıştığı ile ilgili dökümana buradan ulaşabilirsiniz.

Aşağıda, 80 ve 443 numaralı portları tarayan bir Nmap taramasının örneğini görebilirsiniz. Kırmızı renkteki RST, ACK paketi nedeniyle portun kapalı olduğunu söyleyebiliriz.

TCP Packet

TCP paketlerini analiz ederken Wireshark oldukça yardımcı olabilir ve paketleri tehlike seviyesine göre renklendirebilir.

TCP analiz ederken bir ağ hakkında faydalı bilgiler sağlayabilir ancak gönderdiği paket sayısı nedeniyle analiz edilmesi zor olabilir. Burada, yakalamaları filtrelemek ve daha fazla analiz etmek için RSA NetWitness ve NetworkMiner gibi diğer araçları kullanmamız gerekebilir.

RSA NetWitness, geniş bir yelpazede ağ güvenliği çözümleri sunan kapsamlı bir platformdur. Bu platform, ağ trafiğini gerçek zamanlı olarak izler, analiz eder ve güvenlik olaylarını tespit eder.

NetworkMiner ise, ağ trafiğini analiz etmek için kullanılan açık kaynaklı bir araçtır. Özellikle dijital forensic ve incident response alanında yaygın olarak kullanılır. NetworkMiner, ağ trafiğini yakalar ve analiz ederek hostlar, dosyalar, e-posta trafiği ve web trafiği gibi bilgileri çıkarır.

TCP Trafiğine İlk Bakış

TCP paketlerini analiz ederken göreceğimiz en yaygın şey TCP 3-way handshake olarak bilinir. Bir dizi paket içerir: syn, synack, ack. Bu, cihazların bir bağlantı kurmasını sağlar.

TCP 3-way Handshake

Genellikle bu el sıkışma sırasız olduğunda veya RST paketi gibi diğer paketleri içerdiğinde, ağda şüpheli veya yanlış bir şey oluyor demektir. Yukarıdaki bölümdeki Nmap taraması bunun güzel bir örneğidir.

TCP Paket Analizi

TCP paketlerini analiz etmek için paketlerin her bir detayına girmeyeceğiz ancak paketlerin sahip olduğu birkaç davranışa ve yapıya bakacağız.

Aşağıda bir SYN paketi için paket ayrıntılarını görüyoruz. Bir TCP paketine bakarken bakmak istediğimiz en önemli şey sıra numarası ve onay numarasıdır.

TCP SYN Packet

TCP SYN paketinde onay numarası ayarlanmamıştır çünkü istemci sunucudan herhangi bir veriyi onaylamamaktadır. Genellikle ilk SYN paketinde 0'dır.

Wireshark içinde, Edit > Preferences > Protocols > TCP > Relative Sequence Numbers (işaretini kaldırabiliriz) seçeneğine giderek orijinal sıra numarasını da görebiliriz.

Relative Sequence Numbers
Original Sequence Number

Genellikle TCP paketlerine tek tek ayrıntılarına bakmak yerine bir bütün olarak bakılarak bir hikaye anlatılması gerekir.

DNS Trafiği

Bu bölümün sonunda incelenecek olan DNS Trafiği için bazı sorular bulunmaktadır. Bu soruların çözümü için gerekli PCAP dosyasına buradan ulaşabilirsiniz.

DNS Protokolüne İlk Bakış

DNS (Domain Name Service) protokolü, adları IP adresleriyle çözmek için kullanılır. Diğer protokoller gibi, DNS’in de nasıl çalıştığını bilmekte fayda var. Buradan detaylı bilgiye ulaşabilirsiniz.

DNS paketlerini analiz ederken aklımızda bulundurmamız gereken birkaç madde aşağıda özetlenmiştir.

  • Query - Response
  • DNS - Servers Only
  • UDP

Bunlardan herhangi biri yerinde değilse, paketlere daha fazla bakılmalı ve şüpheli olarak değerlendirilmelidir. Aşağıda birden fazla DNS sorgusu ve yanıtı olan bir paket yakalama görüyoruz.

DNS Traffic

Paketlere genel olarak bakıldığında ne sorguladıklarını görebiliriz. Bu, çok sayıda paketimiz olduğunda ve şüpheli veya sıra dışı trafiği hızla tespit etmemiz gerektiğinde faydalı olacaktır.

DNS Trafiğine İlk Bakış

  • DNS Query

Aşağıdaki sorguya baktığımızda paketi analiz etmek için kullanabileceğimiz iki bilgi parçasına sahibiz. Bakabileceğimiz ilk bilgi parçası, sorgunun nereden kaynaklandığıdır yani UDP 53'tür. Bu da bu paketin bu kontrolü geçtiği anlamına gelir, eğer TCP 53 ise şüpheli trafik olarak değerlendirilmeli ve daha fazla analiz edilmelidir. Ayrıca neyi sorguladığına da bakabiliriz, bu, ne olduğuna dair bir hikaye oluşturmak için diğer bilgilerle birlikte yararlı olabilir.

DNS Query

DNS paketlerini analiz ederken, ortamımızı ve trafiğin ortamımızda normal veya şüpheli olarak kabul edilip edilmeyeceğini gerçekten anlamamız gerekir.

  • DNS Response

Aşağıda bir response paketi görüyoruz, query paketine benzer, ancak sorguyu doğrulamak için kullanılabilecek bir yanıt da içerir.

DNS Response

Pratik DNS Trafik Analizi

Sıra sizde!

Bu bölümde başta indirdiğimiz PCAP dosyası ile alakalı bazı sorular ve cevapları yer almaktadır. Soruları önce çözüp sonra cevaplarına bakmamız bize fayda sağlayacaktır.

Not: Bu PCAP dosyasında yalnızca iki protokol vardır. Bu yüzden filtreleme bilgisine fazla ihtiyaç duyulmamaktadır.

  • Soru 1: Paket 1'de ne sorgulanıyor?
  • Soru 2: Paket 26'da hangi site sorgulanıyor?
  • Soru 3: Paket 26 için Transaction ID nedir?
Yükleniyor :D
  • Cevap 1

Paket 1'in neyi sorguladığını öğrenmek için paket detaylarından Queries bölümünden bunu öğrenebiliriz.

Cevap 1

Cevap 1: 8.8.8.8.in-addr.arpa

  • Cevap 2

Paket 26'nın hangi web sitesini sorguladığını öğrenmek için paket detaylarından Queries bölümünden bunu öğrenebiliriz.

Cevap 2

Cevap 2: www.wireshark.org

  • Cevap 3

Paket 26'ya ait Transaction ID’yi öğrenmek için paket detaylarından bunu öğrenebiliriz.

Cevap 3

Cevap 3: 0x2c58

Bu bölümde TCP Trafiği Analizi, TCP 3-way Handshake, DNS Trafiği Analizi, DNS Paketlerinin incelenmesi ve Örnek DNS Trafiğinin İncelenmesi konularından bahsettik. Benimle birlikte analizi gerçekleştirdiğiniz için teşekkür ederim. İyi Çalışmalar.

Wireshark
Networking
Tcp
DNS
Cybersecurity

--

--

ALİ EKBER KARA

Written by ALİ EKBER KARA

56 Followers

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams