Ağ Trafiğini Nasıl Takip Edebiliriz?

21.Yüzyılda internet neredeyse temel insani ihtiyaçlar arasına girdi. Tüm dünyanın kullandığı bu teknolojide güvenlik ve yoğunluk nasıl işliyor? Ağ trafiği hakkındaki detaylar yazımızın devamında.

A- A+

27.09.2021 tarihli yazı 12089 kez okunmuştur.

Ağ Trafiği İnternet NetFlow Siber Güvenlik

İnternet ağımız biz bilmeden her an yoğun bir trafik içerisinde. İnternet paketlerinin (TCP,UDP vs.) yer aldığı bu yoğun trafiği izlemek bize ağımız hakkında bilgiler sağlayabilir. Bu yazımda internet ağımızın yoğun trafiğini izlemek için kullanılan dosyaların ve dosya türlerini inceleyeceğiz.

NetFlow

NetFlow, ağ trafiğini izlemede kullanılan bir araç (tool)’tır. Aslında ağ trafiğini çeşitli yöntemlerle izleyen ve analiz eden protokoldür. Genel olarak ağ kullanıcıları, ağ uygulamaları ve yönlendirme trafiği (route) hakkında bilgi sağlar.

►İlginizi Çekebilir: Ağ Saldırıları Nedir?

Cisco tarafından geliştirilen NetFlow, bir ağ anahtarına giden ve gelen tüm IP bilgilerini toplamak, kaydetmek ve ağ trafiğini izlemek için yaygın olarak kullanılır. 3.Katman (L3 = Network Layer) ve sonrasında çalışır. NetFlow, durum tanımlı (stateful) olarak çalışarak bir arayüz üzerinden gerçekleşen tüm IP haberleşmelerini izleyerek bir raporlama yapar.

►İlginizi Çekebilir: SD-WAN Teknolojisi Nedir?

NetFlow’da her bir IP haberleşmesi ‘flow’(akış) kavramı ile açıklanmıştır. Flow aslında temel olarak bir gönderici ve alıcı arasında geçen konuşmayı oluşturan paketler dizisi olarak tanımlanabilir. NetFlow ise tüm IP trafiğini dair verileri toplayarak bu verileri flow’lara gruplandırır. Flow’lar ile ilgili veriler cache (ön bellek) ‘e alınır ve collector (kollektor) ‘lere gönderilir.

Flow oluşturulmak üzere paketlerden toplanan veriler şunlardır:

• Kaynak IP adresi
• Hedef IP adresi
• UDP veya TCP için kaynak port, UDP veya TCP için hedef port
• IP protokolü
• Giriş arayüzü
• IP Hizmet Türü (Type of Service)

PCAP

PCAP’de yine NetFlow gibi ağ trafiğini yakalamak için kullanılan WireShark tarafından geliştirilen bir API’dir. Dosya uzantısı .pcap dosyasıdır. Temel olarak bir bilgisayar ağı üzerinden ağ paketlerini yakalamak, ağ paketlerini iletmek bu ağ arayüzlerinin bir listesini almak için kullanılan dosya türüdür.

►İlginizi Çekebilir: İstemci-Sunucu İletişimi Nedir?

PCAP, bir “Packet Capture Data” dosyasıdır. Bu dosyayı açabilmek için Linux’ta libpcap, Windows’da WinPcap veya Npcap kütüphaneleri kullanılır. PCAP dosyaları kullanıldığında NetFlow dosyasından farklı olarak bazı avantajlar sağlar. Bu avantajlar:

►Bant genişliği kullanımının izlenmesi
►Sahte DHCP sunucularının belirlenmesi
►Kötü amaçlı yazılımların algılanması
►DNS çözümlemesi

Packet Capture’nin en büyük avantajı görünürlük sağlamasıdır. Paket verilerini kullanarak ağ sorunları belirlenebilir. Fakat Packet Capture’nin bazı sınırlamaları bulunmaktadır. PCAP ağ trafiğini izleyebilir fakat her şeyi izleyemez. Örneğin çoğu siber saldırı ağ trafiğinde görünemeyebilir. Bu yüzden farklı güvenlik önlemleri alınması gerekebilir.

PCAP, dosyalarını WireShark programı ile açabiliriz. Örnek dosya aşağıdaki gibidir.

No: “No” sütunu, satırın kaçıncı paket olduğunu belirtir.

Time: “Time” sütunu, pcap dosyasının dinlenmeye başladıktan sonraki geçen süreyi belirtir. Paket hakkında süre bilgisini verir.

Source: Source sütunu, atılan paketin hangi kaynaktan geldiğini belirtir. Kaynak bir IP adresidir.

Destination: Bu sütun atılan paketin gönderildiği hedefi belirtir. Hedef bir IP adresidir.

Protocol: Atılan paketin hangi protokol olduğunu belirtir. (TCP,UDP,HTTP….)

Length: Atılan paketin byte cinsinden büyüklüğünü belirtir.

Info: Bu sütun, atılan paket hakkında detaylı bilgiler verir. Örneğin 97.porttaki info sütununda ilk numara “Source Port”, ikinci numara “Destination Port”, Seq parametresi “Sequence Number”, Ack parametresi “Acknowledgment Number” ‘ verir.

Zeek

Zeek, açık kaynak kodlu bir network trafiği izleme ve takip etme framework’udur. Güvenlik sorunlarına müdahale etmek amacıyla kullanılmaktadır. Karmaşık ağ trafiğini bulmak ve izlemek amacıyla “signature-based” (imza tabanlı) araçlarla birlikte kullanılır. Sadece güvenlik olayların tespitinde değil bu olaylara karşı bir çözüm oluşturmayı amaçlar.

Zeek, tüm network trafiğini izleyerek gerçekleşen şüpheli olayları tespit eder. Tüm bu network trafiğini izleyerek bir .log dosyasına kaydeder. (zeeklog). Bunu yaparken Layer 7 (Application Layer) katmanında çalışır. Aynı zamanda Signature-Based olduğu için protokoller üzerinde güçlü analiz seçenekleri sunabilir. Her bir protokol için ayrı log dosyalarında trafiği kaydeder.

Zeek’in avantajı; her bir domain için bir script oluşturmasıdır.

►Açık Kaynaklı olması
►Açık bir arayüz
►Yüksek kapasiteli ağlar için derin analiz
►Yüksek performans için uyarlanabilir ve esnek.
►Her bir domain için ayrı bir script oluşturur.

KDD

KDD (Knowledge Discovery in Databases), bir veri kümesindeki bilgileri, kalıpları anlamlandırma ve çıkarım sürecidir. Bilgi çıkarımı temel olarak büyük veritabanlarındaki veri yığınlarından bilgiler çıkarmaktadır. Çıkarım için bir süreç gereklidir.

Bir süreç yukarda örnek olarak gösterilmiştir. Bu süreç, ilk başta veri kümesinin seçilerek yukardaki adımları gerçekleştikten sonra sonuç olarak anlamlandırılabilir bir bilgiyi temsil etmektedir. Ortaya çıkan bu bilginin makine tarafından okunabilir ve yorumlanabilir bir formatta olması gerekmektedir. Kısaca özetlemek gerekirse bu bir veri madenciliğinde kullanılan, veriyi hazırlama ve seçme, veriyi temizleme adımlarından sonra doğru çözümü yorumlamaya çalışan bir süreçtir.

Uygulama Alanları

►Pazarlama
►Dolandırıcılık Tespiti
►Telekomünikasyon

Veri boyutu son zamanlarda terabayt seviyelerine ulaştığından dolayı bir veriyi anlamlı hale getirme işlemini manuel hale getirmek zorlaştı. Bunun için gerekli yazılımlar geliştirildi. KDD’deki nihai amaç düşük seviyeli veri yığınından yüksek seviyeli anlamlı bir bilgi çıkarmaktır.

Kaynakça:

► zeek.org
► dnsstuff.com