Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı •...
Transcript of Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı •...
![Page 1: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/1.jpg)
![Page 2: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/2.jpg)
EnderUNIX Yazılım Gelistirme Ekibi 2
Ag Trafigi Dinleme Ve Yorumlama
Huzeyfe ÖNAL [email protected] EnderUNIX Yazılım Geliştirme Ekibi
![Page 3: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/3.jpg)
Sunum İçeriği
• Paket Kavramı• Ham trafik, Protokoller ve çalışma yapıları• Tcpdump paket analizi• Ethereal ile ag trafik analizi• Data Carving• Yerel Ağlarda Güvenlik sorunsalı• Şifrelenmiş trafik Güvenli mi?• Çözümler..
![Page 4: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/4.jpg)
Sniffing for what?
• Good/Admins = “Protocol Analysis”• Bad/Hackers = “Sniffing The Wire”• Developers = “Is My Application Working
![Page 5: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/5.jpg)
Paket Kavramı..
• Iletisim == paket (?)• Ne işe yarar
– Bilinmeyen Protokol Analizi– Ag trafigi basarimi– Anormal trafik gözleme– Firewall/IDS/IPS altyapısı..
• TCP, UDP Paketleri• Protokoller
– SMTP, FTP, P2P trafiği nasıl ayırt edilir– Linux L7filter projesi
![Page 6: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/6.jpg)
L2 İletişim Ortamları
• HUB
• Switch
![Page 7: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/7.jpg)
Ham Trafik
• Tcpdump çıktısı – 68 byte
16:21:24.174180 192.168.60.3.34720 > 10.10.10.3.3389: S 2354677536:2354677536(0) win 5840 <mss 1460,sackOK,timestamp 25027249 0,nop,wscale 0> (DF)
![Page 8: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/8.jpg)
Tcpdump analizi• 16:21:24.174180 Timestamp
• 192.168.60.3 Source IP address
• 34720 Source port
• 10.10.10.3 Destination IP address
• 3389 Destination port
• S TCP SYN flag is set
• 2354677536TCP initial sequence number (ISN)• …
![Page 9: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/9.jpg)
Ethereal ile trafik Analizi
![Page 10: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/10.jpg)
ARP Analizi
![Page 11: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/11.jpg)
Ethereal Paket detaylari
![Page 12: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/12.jpg)
HTTP oturum Detayı
![Page 13: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/13.jpg)
Normal Anormal Trafik..
![Page 14: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/14.jpg)
Data Carving…
• Ham veriden orijinal veri elde etme yöntemi
• Örnek;• #tcpdump s9000 host www.enderunix.org w enderunix • arkasindan wget ile EnderUNIX altindan bir gif dosyasi
indiriyoruz ve chaosreader ile enderunix dosyasina kaydettigim trafigi okutuyoruz, sonuc?
• $perl chaosreader0.94 enderunix
![Page 15: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/15.jpg)
ChaosReader
![Page 16: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/16.jpg)
Driftnet
![Page 17: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/17.jpg)
Ağ Performans ölçümü
• Firewall, IDS gibi cihazların trafik kapasitesi
• 1GBps, 150Mbs gibi sayılar ne ifade ediyor?
• Iperf– TCP/UDP kullanarak ag performansı ölçümü
• Bpfstat– Drop edilen paket sayısı
![Page 18: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/18.jpg)
Trafik dinleme ile Gerceklestirilen Saldirilar
• Kandırmaca(Spoofing) Saldırıları– MAC, IP, DNS vs..
• Araya Girme, • Trafik değiştirme, yönlendirme• Sistem yorma, DOS vs
• Kötü Durum Senaryosu!!Kötü Durum Senaryosu!!
![Page 19: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/19.jpg)
Araya Girme Uygulamasi1
![Page 20: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/20.jpg)
Araya Girme Uygulamasi2
![Page 21: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/21.jpg)
Araya Girme Uygulamasi3
![Page 22: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/22.jpg)
Araya Girme Uygulamasi4
![Page 23: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/23.jpg)
Araya Girme Uygulamasi5
![Page 24: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/24.jpg)
Araya Girme Uygulamasi6
![Page 25: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/25.jpg)
2. Katmanda Guvenlik
• İletişimin başlangıç noktası, dolayısıyla en önemli katman.
• Arpwatch Arp Gözlem Aracı• SwarpMon – Switch Gözlem aracı• Yönetilebilir switch kullanmak ve MAC
security, VLAN özelliklerini aktif hale getirmek
![Page 26: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/26.jpg)
Şifreli Trafik Ne kadar Güvenli?
• Dinlemeye karşı en etkin çözüm:Şifreleme• Peki şifreleme Ne kadar güvenli ?• Sertifika otorite kavramı(CA)• Şifreleme kullanırken dikkat+bilgi
– Her sorulan soruya Yes! denmez!• Ettercap, Cain & Abel vs• Banka Örneği…
![Page 27: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/27.jpg)
Şifreli trafikte Araya Girme
![Page 28: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/28.jpg)
HTTPS Trafigi Degistirme
![Page 29: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/29.jpg)
HTTPS Trafigi Degistirme
![Page 30: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/30.jpg)
Firefox/Internet Explorer?
![Page 31: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/31.jpg)
Tor ile güvenli sörf!
![Page 32: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/32.jpg)
!Sonuc
• Eğitim Şart ;)• Türkiye Güvenlik eğitimleri• Kitap, Belge, Yayinlar..
Açık Akademi Yayınlari – Güvenlik Kitapları– Ağ guvenligi ipuclari– TCP/IP Guvenligi– Penguence Dergisi– Olympos Security(www.olympos.org)– EnderUNIX.org
![Page 33: Ag Trafigi Dinleme Ve Yorumlama - seminer.linux.org.tr · Sunum İçeriği • Paket Kavramı • Ham trafik, Protokoller ve çalışma yapıları • Tcpdump paket analizi • Ethereal](https://reader030.fdocument.pub/reader030/viewer/2022040705/5e045ff542c02c64eb59c0f1/html5/thumbnails/33.jpg)
Sorularınız
Teşekkürler..