Sniffing İşlemi

Yazan: boratanrikulu

Kaynaklar
kevsersrca.github.io/blog/security/tcpdump/
wiki.wireshark.org/CaptureFilters
wiki.wireshark.org/DisplayFilters
guru99.com/wireshark-passwords-sniffer


Sniffing Nedir ?

Bilgisayarlar network’lerde paket yayınlayarak iletişim kurarlar. Bu işlem için IP kullanılır ve paket network’ün türüne göre tüm ağı dolaşabilir. Paket geçtiği yollarda okunabilir yani pakete sniffing işlemi yapılabilir.

Basit bir şekilde söylemek gerekirse Sniffing yani koklama network’te akan paketlerin tek tek incelenmesidir. Paketler değiştirilmeden direkt olarak okunabilir. Paketleri yakalamak için bir çok sniffing tool’u mevcuttur. (WireShark bunlar arasında en popüleridir.)

Network’te akan paketleri sniffing işlemi ile (şifrelenmiş değil ise) parolalar gibi hassas veriler elde edilebilir.

Sniffing Türleri

İki tane sniffing türü var;

  • Pasif Sniffing
  • Aktif Sniffing

Sniffing türleri anlamak için network’leri oluştururken kullanılan iki temel cihaz olan hub ve switch hakkında bilgi sahibi olmamız gerekir.

Hub

Hub’lar yayımlanan paketleri tüm network’teki port’lara yollayarak çalışır. Eğer hedef bilgisayar network’te bulunuyorsa paketi alır ve cevaplar. Hub’daki tüm cihazlar paketi görebilir.

Aşağıdaki örnekte hedefimiz sadece Bilgisayar C ama network’teki tüm cihazlar paketi okuyabilir.

Switch

Switch’ler yollanılan paketi IP ve MAC adresine göre yönlendirir. Network’te sadece hedef sistem paketi okuyabilir.

Aşağıdaki örnekte hedefimiz sadece Bilgisayar C ve network’te sadece Bilgisayar C paketi okuyabilir.

Pasif Sniffing

Hub’da yayımlanan paketlere uygulanan sniffing işlemi türüdür. Pasif Sniffing olarak isimlendirilmesinin nedeni yapılması kolay tespiti zor olmasıdır.

Aktif Sniffing

Switch’te yayımlanan paketlere uygulanan sniffing işlemi türüdür. Aktif Sniffing olarak isimlendirilmesinin nedeni yapılmasının zor olmasıdır. Switch ile bağlanan network’lerde sniffing işlemi için ARP Poisoning ve Mac Flooding uygulanmalıdır. Bu sayede Hub’mış gibi davranması sağlanabilir.

WireShark Nedir ? Nasıl Kullanılır ?

WireShark açık kaynak bir paket analiz tool’udur.

  • 750’nin üzerinde protokolü analiz edebilir
  • Paketleri yakalayıp bir dosyaya kaydedebilir
  • Daha önceden kaydedilmiş bir dosyayı açabilir-
  • Gerçek zamanlı analiz yapabilir
  • Bir analizi filtre edebilir (örneğin “sadece HTTP mesajlarını göster” gibi)
  • Terminal veya kullanıcı arabirimi ile kullanılabilir
  • Gelişmiş bir arayüz sunar

interface

WireShark bir çok filtreleme imkanına sahiptir. Bunlara genel olarak değinelim.

Aşağıdaki örnekteki gibi belirli bir host’un belirli bir portunu dinleyebiliriz.
belli-bir-port

Bu dinlemeleri yaptığımız sırada paketleri daha rahat okumak için filtreleme seçeneklerini kullanabiliriz. Aşağıdaki örnekte sadece http protokolüne bakıyoruz.
belli-bir-protokol

Şifresiz bir veriyi sniffing işlemi ile elde etmek oldukça kolaydır. pass-sniff

Capture filtreleme örnekleri;

  • Belirli bir host
          host 10.0.2.23
    
  • Belirli bir network
          net 10.0.2.1/24
    
  • Belirli bir port
          port 53
    
  • Belirli bir host ama belirli portlar değil
          host 10.0.2.23 and not ( port 80 or port 53 )
    
  • Belirli bir port ve arp değil
          port not 53 and not arp
    
  • Belirli bir tcp port’u
          tcp and port 80
    
  • Belirli bir tcp port aralığı
          tcp portrange 60-6000
    
  • Belirli bir udp port’u
          udp and port 53
    
  • Belirli bir udp port aralığı
          udp portrange 10-1000
    
  • Sadece IPv4 paketleri
          ip
    
  • Sadece IPv6 paketleri
          ip6
    

Display filtreleme örnekleri;

  • Belirli bir source port’u
          ip.src == 10.0.2.23
    
  • Belirli bir destination port’u
          ip.dst == 10.0.2.23
    
  • Belirli bir source ve belirli bir destination değil
          ip.src == 10.0.2.23 and ip.dst != 192.30.252.153
    
  • Belirli bir tcp port’u
          tcp.port == 80
    
  • Belirli bir udp port’u
          udp.port == 53
    
  • Belirli bir port ve belirli bir protokol
          tcp.port == 80 and http
    

TCPDump Nedir ? Nasıl Kullanılır ?

Komut satırı üzerinden paket analizi yapmak için kullanılan bir tool’dur. UNIX tabanlı işletim sistemleri içindir.

tcpdum-help
tcpdump-d
tcpdump

Kullanım örnekleri;

  • Interface’leri görmek
          tcpdump -D
    
  • Belirli bir interface’i dinlemek
          tcpdump -i enp0s3
    
  • Belirli bir port’u taramak
          tcpdump port 53
    
  • Belirli bir protokol ve port’u taramak
          tcpdump tcp port 80
    
  • Belirli bir interface’de, belirli sayıda paketi dinlemek ve .pcap formatında dışarı çıkarmak
          tcpdump -i enp0s3 -c 10 -w output.pcap
    

    .pcap formatında dışarı çıkarılan dosyalar daha sonradan WireSharak gibi başka sniffing tool’ları ile okunabilir.

  • Dosya halindeki veriyi okumak
          tcpdump -r output.pcap