Network trafiği analizi, modern bilgi teknolojisi ortamında çok kritik bir beceridir. Ağlardaki veri akışını anlamak, potansiyel tehditleri tespit etmek ve sistem performansını optimize etmek için bu alandaki temel kavramların ve ileri seviye komutların bilinmesi gerekir. Bu makale, Wireshark ve Tcpdump gibi popüler araçların ileri seviye kullanımı üzerine odaklanacaktır.

Network Trafiğinin Temelleri

Ağ trafiği analizi, bir ağ üzerinden geçen veri paketlerini yakalamak ve bu paketleri anlamlı bilgileri çıkarmak için incelemeyi kapsar. Bu inceleme, şu ana unsurları içerir:

• Protokoller: TCP/IP, UDP, ICMP vb.
• Paket Yapısı: Header, payload, source ve destination bilgileri.
• Topoloji: Ağın fiziksel ve mantıksal yapısı.

Wireshark: Güçlü Trafik Analizi Aracı

Wireshark, grafik arayüzü sayesinde hem yeni başlayanlar hem de uzmanlar için idealdir. İşte ileri seviye teknikler:

Filtreleme Teknikleri

Wireshark, ağ paketlerini filtrelemek için güçlü bir dil sunar:

• Display Filters: Belirli bir protokolü ya da IP adresini görüntülemek için kullanılır.
• Örnek: tcp.port == 80 (Sadece HTTP trafiğini filtreler)
• Örnek: ip.src == 192.168.1.1 (Belirli bir kaynak IP’den gelen trafiği filtreler)
• Capture Filters: Daha spesifik yakalama filtreleri sunar.
• Örnek: host 192.168.1.1 (Sadece belirtilen IP adresinden gelen veya giden paketleri yakalar)

Renk Kodlama

Karmaşık ağ trafiğinde önemli olayları fark etmenin kolay bir yolu, Wireshark’ın renk kodlama özelliğini kullanmaktır. Özelleştirilmiş renk kuralları ile belirli protokoller veya IP adresleri vurgulanabilir.

Expert Info Analyzer

Bu özellik, ağda potansiyel sorunları otomatik olarak tespit eder:

• Error: Yeniden iletimler ve hatalar.
• Warning: Potansiyel olarak şüpheli trafik.

Tcpdump: Komut Satırı ile Trafik Analizi

Tcpdump, Wireshark kadar kullanışlı, ancak daha hafif bir aracıdr. Komut satırından yönetim sağladığı için çok esnektir.

Temel Kullanım

sudo tcpdump -i eth0

Bu komut, belirli bir ağ arabirimi üzerinden akan tüm trafiği yakalar.

Spesifik Filtreleme

• Port Filtreleme:

  sudo tcpdump port 443

(HTTPS trafiğini yakalar)

• Kaynak veya Hedef IP:

  sudo tcpdump src 192.168.1.1
  sudo tcpdump dst 192.168.1.1

• Protokol Filtreleme:

  sudo tcpdump icmp

(Sadece ICMP trafiğini yakalar)

Trafiği Dosyaya Kaydetme

Yakalanan trafiği daha sonra analiz etmek üzere bir dosyaya kaydetmek için:

sudo tcpdump -i eth0 -w output.pcap

Trafik Analizini Otomatikleştirme

Büyük mıktarda trafiği analiz etmek için Python tabanlı çözümler tercih edilebilir:

Scapy ile Trafik Analizi

Scapy, ağ paketlerini yakalamak ve manipüle etmek için kullanılır.

Kurulum:

pip install scapy

Basit Bir Analiz Script’i:

from scapy.all import *

def paket_yakala(paket):
    if paket.haslayer(TCP):
        print(f"Kaynak: {paket[IP].src}, Hedef: {paket[IP].dst}, Port: {paket[TCP].dport}")

sniff(filter="tcp", prn=paket_yakala)

İleri Analiz Teknikleri

Trafik Kümelendirme

Wireshark’ta şu teknikleri kullanabilirsiniz:

• Statistics > Conversations: Kaynak ve hedefler arasındaki veri akışını görüntüleyin.
• Statistics > Protocol Hierarchy: Protokollerin ağdaki dağılımını analiz edin.

Anomalileri Tespit Etme

• Tcpdump ile: Anormal paket boyutlarını ya da bilinmeyen protokolleri filtrelemek.
• Wireshark ile: Paketlerin yeniden iletim oranlarını analiz etmek.

Network trafiği analizi, hem çok boyutlu bir güvenlik katmanı sağlar hem de ağ performansını optimize eder. Wireshark ve Tcpdump, bu analizin iki vazgeçilmez aracıdır. Bu makalede, temel bilgilerden ileri tekniklere kadar bir rehber sunulmuştur. Pratik yaparak ve bu teknikleri kendi ağ ortamınızda uygulayarak yetkinliğinizi artırabilirsiniz.