Ağ Trafiğini Nasıl Takip Edebiliriz?
21.Yüzyılda internet neredeyse temel insani ihtiyaçlar arasına girdi. Tüm dünyanın kullandığı bu teknolojide güvenlik ve yoğunluk nasıl işliyor? Ağ trafiği hakkındaki detaylar yazımızın devamında.
27.09.2021 tarihli yazı 12117 kez okunmuştur.
İnternet ağımız biz bilmeden her an yoğun bir trafik içerisinde. İnternet paketlerinin (TCP,UDP vs.) yer aldığı bu yoğun trafiği izlemek bize ağımız hakkında bilgiler sağlayabilir. Bu yazımda internet ağımızın yoğun trafiğini izlemek için kullanılan dosyaların ve dosya türlerini inceleyeceğiz.
NetFlow
NetFlow, ağ trafiğini izlemede kullanılan bir araç (tool)’tır. Aslında ağ trafiğini çeşitli yöntemlerle izleyen ve analiz eden protokoldür. Genel olarak ağ kullanıcıları, ağ uygulamaları ve yönlendirme trafiği (route) hakkında bilgi sağlar.
►İlginizi Çekebilir: Ağ Saldırıları Nedir?
Cisco tarafından geliştirilen NetFlow, bir ağ anahtarına giden ve gelen tüm IP bilgilerini toplamak, kaydetmek ve ağ trafiğini izlemek için yaygın olarak kullanılır. 3.Katman (L3 = Network Layer) ve sonrasında çalışır. NetFlow, durum tanımlı (stateful) olarak çalışarak bir arayüz üzerinden gerçekleşen tüm IP haberleşmelerini izleyerek bir raporlama yapar.
NetFlow’da her bir IP haberleşmesi ‘flow’(akış) kavramı ile açıklanmıştır. Flow aslında temel olarak bir gönderici ve alıcı arasında geçen konuşmayı oluşturan paketler dizisi olarak tanımlanabilir. NetFlow ise tüm IP trafiğini dair verileri toplayarak bu verileri flow’lara gruplandırır. Flow’lar ile ilgili veriler cache (ön bellek) ‘e alınır ve collector (kollektor) ‘lere gönderilir.
Flow oluşturulmak üzere paketlerden toplanan veriler şunlardır:
• Kaynak IP adresi
• Hedef IP adresi
• UDP veya TCP için kaynak port, UDP veya TCP için hedef port
• IP protokolü
• Giriş arayüzü
• IP Hizmet Türü (Type of Service)
Flow oluşturulmak üzere paketlerden toplanan veriler şunlardır:
• Kaynak IP adresi
• Hedef IP adresi
• UDP veya TCP için kaynak port, UDP veya TCP için hedef port
• IP protokolü
• Giriş arayüzü
• IP Hizmet Türü (Type of Service)
PCAP
PCAP’de yine NetFlow gibi ağ trafiğini yakalamak için kullanılan WireShark tarafından geliştirilen bir API’dir. Dosya uzantısı .pcap dosyasıdır. Temel olarak bir bilgisayar ağı üzerinden ağ paketlerini yakalamak, ağ paketlerini iletmek bu ağ arayüzlerinin bir listesini almak için kullanılan dosya türüdür.
PCAP, bir “Packet Capture Data” dosyasıdır. Bu dosyayı açabilmek için Linux’ta libpcap, Windows’da WinPcap veya Npcap kütüphaneleri kullanılır. PCAP dosyaları kullanıldığında NetFlow dosyasından farklı olarak bazı avantajlar sağlar. Bu avantajlar:
►Bant genişliği kullanımının izlenmesi
►Sahte DHCP sunucularının belirlenmesi
►Kötü amaçlı yazılımların algılanması
►DNS çözümlemesi
Packet Capture’nin en büyük avantajı görünürlük sağlamasıdır. Paket verilerini kullanarak ağ sorunları belirlenebilir. Fakat Packet Capture’nin bazı sınırlamaları bulunmaktadır. PCAP ağ trafiğini izleyebilir fakat her şeyi izleyemez. Örneğin çoğu siber saldırı ağ trafiğinde görünemeyebilir. Bu yüzden farklı güvenlik önlemleri alınması gerekebilir.
PCAP, dosyalarını WireShark programı ile açabiliriz. Örnek dosya aşağıdaki gibidir.
No: “No” sütunu, satırın kaçıncı paket olduğunu belirtir.
Time: “Time” sütunu, pcap dosyasının dinlenmeye başladıktan sonraki geçen süreyi belirtir. Paket hakkında süre bilgisini verir.
Source: Source sütunu, atılan paketin hangi kaynaktan geldiğini belirtir. Kaynak bir IP adresidir.
Destination: Bu sütun atılan paketin gönderildiği hedefi belirtir. Hedef bir IP adresidir.
Protocol: Atılan paketin hangi protokol olduğunu belirtir. (TCP,UDP,HTTP….)
Length: Atılan paketin byte cinsinden büyüklüğünü belirtir.
Info: Bu sütun, atılan paket hakkında detaylı bilgiler verir. Örneğin 97.porttaki info sütununda ilk numara “Source Port”, ikinci numara “Destination Port”, Seq parametresi “Sequence Number”, Ack parametresi “Acknowledgment Number” ‘ verir.
Zeek, tüm network trafiğini izleyerek gerçekleşen şüpheli olayları tespit eder. Tüm bu network trafiğini izleyerek bir .log dosyasına kaydeder. (zeeklog). Bunu yaparken Layer 7 (Application Layer) katmanında çalışır. Aynı zamanda Signature-Based olduğu için protokoller üzerinde güçlü analiz seçenekleri sunabilir. Her bir protokol için ayrı log dosyalarında trafiği kaydeder.
Zeek’in avantajı; her bir domain için bir script oluşturmasıdır.
►Açık Kaynaklı olması
►Açık bir arayüz
►Yüksek kapasiteli ağlar için derin analiz
►Yüksek performans için uyarlanabilir ve esnek.
►Her bir domain için ayrı bir script oluşturur.
Bir süreç yukarda örnek olarak gösterilmiştir. Bu süreç, ilk başta veri kümesinin seçilerek yukardaki adımları gerçekleştikten sonra sonuç olarak anlamlandırılabilir bir bilgiyi temsil etmektedir. Ortaya çıkan bu bilginin makine tarafından okunabilir ve yorumlanabilir bir formatta olması gerekmektedir. Kısaca özetlemek gerekirse bu bir veri madenciliğinde kullanılan, veriyi hazırlama ve seçme, veriyi temizleme adımlarından sonra doğru çözümü yorumlamaya çalışan bir süreçtir.
►Dolandırıcılık Tespiti
►Telekomünikasyon
Veri boyutu son zamanlarda terabayt seviyelerine ulaştığından dolayı bir veriyi anlamlı hale getirme işlemini manuel hale getirmek zorlaştı. Bunun için gerekli yazılımlar geliştirildi. KDD’deki nihai amaç düşük seviyeli veri yığınından yüksek seviyeli anlamlı bir bilgi çıkarmaktır.
PCAP, bir “Packet Capture Data” dosyasıdır. Bu dosyayı açabilmek için Linux’ta libpcap, Windows’da WinPcap veya Npcap kütüphaneleri kullanılır. PCAP dosyaları kullanıldığında NetFlow dosyasından farklı olarak bazı avantajlar sağlar. Bu avantajlar:
►Bant genişliği kullanımının izlenmesi
►Sahte DHCP sunucularının belirlenmesi
►Kötü amaçlı yazılımların algılanması
►DNS çözümlemesi
Packet Capture’nin en büyük avantajı görünürlük sağlamasıdır. Paket verilerini kullanarak ağ sorunları belirlenebilir. Fakat Packet Capture’nin bazı sınırlamaları bulunmaktadır. PCAP ağ trafiğini izleyebilir fakat her şeyi izleyemez. Örneğin çoğu siber saldırı ağ trafiğinde görünemeyebilir. Bu yüzden farklı güvenlik önlemleri alınması gerekebilir.
PCAP, dosyalarını WireShark programı ile açabiliriz. Örnek dosya aşağıdaki gibidir.
No: “No” sütunu, satırın kaçıncı paket olduğunu belirtir.
Time: “Time” sütunu, pcap dosyasının dinlenmeye başladıktan sonraki geçen süreyi belirtir. Paket hakkında süre bilgisini verir.
Source: Source sütunu, atılan paketin hangi kaynaktan geldiğini belirtir. Kaynak bir IP adresidir.
Destination: Bu sütun atılan paketin gönderildiği hedefi belirtir. Hedef bir IP adresidir.
Protocol: Atılan paketin hangi protokol olduğunu belirtir. (TCP,UDP,HTTP….)
Length: Atılan paketin byte cinsinden büyüklüğünü belirtir.
Info: Bu sütun, atılan paket hakkında detaylı bilgiler verir. Örneğin 97.porttaki info sütununda ilk numara “Source Port”, ikinci numara “Destination Port”, Seq parametresi “Sequence Number”, Ack parametresi “Acknowledgment Number” ‘ verir.
Zeek
Zeek, açık kaynak kodlu bir network trafiği izleme ve takip etme framework’udur. Güvenlik sorunlarına müdahale etmek amacıyla kullanılmaktadır. Karmaşık ağ trafiğini bulmak ve izlemek amacıyla “signature-based” (imza tabanlı) araçlarla birlikte kullanılır. Sadece güvenlik olayların tespitinde değil bu olaylara karşı bir çözüm oluşturmayı amaçlar.Zeek, tüm network trafiğini izleyerek gerçekleşen şüpheli olayları tespit eder. Tüm bu network trafiğini izleyerek bir .log dosyasına kaydeder. (zeeklog). Bunu yaparken Layer 7 (Application Layer) katmanında çalışır. Aynı zamanda Signature-Based olduğu için protokoller üzerinde güçlü analiz seçenekleri sunabilir. Her bir protokol için ayrı log dosyalarında trafiği kaydeder.
Zeek’in avantajı; her bir domain için bir script oluşturmasıdır.
►Açık Kaynaklı olması
►Açık bir arayüz
►Yüksek kapasiteli ağlar için derin analiz
►Yüksek performans için uyarlanabilir ve esnek.
►Her bir domain için ayrı bir script oluşturur.
KDD
KDD (Knowledge Discovery in Databases), bir veri kümesindeki bilgileri, kalıpları anlamlandırma ve çıkarım sürecidir. Bilgi çıkarımı temel olarak büyük veritabanlarındaki veri yığınlarından bilgiler çıkarmaktadır. Çıkarım için bir süreç gereklidir.Bir süreç yukarda örnek olarak gösterilmiştir. Bu süreç, ilk başta veri kümesinin seçilerek yukardaki adımları gerçekleştikten sonra sonuç olarak anlamlandırılabilir bir bilgiyi temsil etmektedir. Ortaya çıkan bu bilginin makine tarafından okunabilir ve yorumlanabilir bir formatta olması gerekmektedir. Kısaca özetlemek gerekirse bu bir veri madenciliğinde kullanılan, veriyi hazırlama ve seçme, veriyi temizleme adımlarından sonra doğru çözümü yorumlamaya çalışan bir süreçtir.
Uygulama Alanları
►Pazarlama►Dolandırıcılık Tespiti
►Telekomünikasyon
Veri boyutu son zamanlarda terabayt seviyelerine ulaştığından dolayı bir veriyi anlamlı hale getirme işlemini manuel hale getirmek zorlaştı. Bunun için gerekli yazılımlar geliştirildi. KDD’deki nihai amaç düşük seviyeli veri yığınından yüksek seviyeli anlamlı bir bilgi çıkarmaktır.
Kaynakça:
► zeek.org
► dnsstuff.com
YORUMLAR
Aktif etkinlik bulunmamaktadır.
- Dünyanın En Görkemli 10 Güneş Tarlası
- Dünyanın En Büyük 10 Makinesi
- 2020’nin En İyi 10 Kişisel Robotu
- Programlamaya Erken Yaşta Başlayan 7 Ünlü Bilgisayar Programcısı
- Üretimin Geleceğinde Etkili Olacak 10 Beceri
- Olağan Üstü Tasarıma Sahip 5 Köprü
- Dünyanın En İyi Bilim ve Teknoloji Müzeleri
- En İyi 5 Tıbbi Robot
- Dünyanın En Zengin 10 Mühendisi
- Üretim için 6 Fabrikasyon İşlemi
- DrivePro Yaşam Döngüsü Hizmetleri
- Batarya Testinin Temelleri
- Enerji Yönetiminde Ölçümün Rolü: Verimliliğe Giden Yol
- HVAC Sistemlerinde Kullanılan EC Fan, Sürücü ve EC+ Fan Teknolojisi
- Su İşleme, Dağıtım ve Atık Su Yönetim Tesislerinde Sürücü Kullanımı
- Röle ve Trafo Merkezi Testlerinin Temelleri | Webinar
- Chint Elektrik Temel DIN Ray Ürünleri Tanıtımı
- Sigma Termik Manyetik Şalterler ile Elektrik Devrelerinde Koruma
- Elektrik Panoları ve Üretim Teknikleri
- Teknik Servis | Megger Türkiye
ANKET