Network Forensics
Ağ (network), iki veya daha fazla cihazın birbiriyle iletişim kurmasına ve veri paylaşmasına olanak tanıyan bir sistemdir. Ağlar, bilgisayarlar, sunucular, yazıcılar ve diğer cihazlar arasında bilgi alışverişi yapmayı sağlar. Ağlar, çeşitli büyüklükte olabilir ve yerel alan ağı (LAN), geniş alan ağı (WAN), kişisel alan ağı (PAN) gibi türlere ayrılabilir. Ağ yapıları, kablolu veya kablosuz teknolojilere dayanabilir ve internet gibi geniş çaplı ağlarla bağlantı kurabilir.
Network forensics, digital forensics alanının bir alt dalıdır. Ağ adli bilişiminde; adli delil elde etme ve saldırı tespit amacıyla ağ trafiğini analiz ve raporlanmasını kapsar. Network forensics sayesinde ağ verilerinin tespitini sağladıktan sonra kaydedilip analiz sağlanmasını kapsamaktadır. Ağ adli analizi sayesinde uçucu veriler ve dinamik veriler ile analiz edilir. Uçucu veriler olmasındaki sebep ağ trafiği iletir ve kaybolur.
Network forensics, saldırganın sistemdeki log dosyalarını silmiş olsa bile olayları aydınlatmak için kullanılabilir. Yakalanan ağ trafiği sayesinde aktarılan dosyalar yeniden birleştirilebilir, e-postalar veya sohbet içerikleri incelenebilir. Ayrıca, saldırganların kurmuş olduğu komuta ve kontrol kanalları ya da veri çıkarma mekanizmaları tespit edilebilir. Bu durumda, ele geçirilmiş bir bilgisayar sisteminin değeri neredeyse sıfıra düşer.
Networksel artifact donanımsal veya sistem üzerinde tespit edilebilir. Donanımsal olarak tespit edilebilecek HUB, Switch, Bridge, Router, TAP, Acess Point, Firewall, IDS, IPS, NDR gibi donanımları örnek verebiliriz. Bu donanımların analizinde konfigürasyon dosyaları, önbellek dosyaları alınıp analiz edilebilir.
Network forensics analizi sağlanabilmesi için elimizde verilerin olması gerekmektedir. Bu veriler olay olmadan önce başlayıp olayın sonuna hatta olaydan sonra da trafiğin kaydedilmesinin devam etmesini sağlayabilir ya da olay olduğu an network paketlerinin yakalanması olay sonunda bu işlemin tamamlanması şeklinde olabilir. Bu delillerin toplanmasına Reactive ve Proactive demekteyiz.
- Proactive network izleme için, daha önceden belirlenmiş belirli ağ noktalarına paketleri yakalamak ve saklamak için gerekli donanım ve yazılımlar konumlandırılır.
- Reactive network izleme ise olay gerçekleştikten sonra ya da olayın tespitinden sonra ağ üzerinden delillerin toplanması esasına dayanır. Bu yaklaşım incident halen devam ediyorsa biraz daha anlamlı olabilir.
Bunları ağ trafiği “full paket capture” olarak adlandırmaktayız. Fakat bu trafiğin sadece metadata bilgileri tutularak bu işlem sağlanabilir buna ise “netflow data” denilmektedir. Bu sayede disk kullanım alanında avantaj sağlanır fakat detay analiz sağlanamaz.
Full ağ trafiğini yakalamak için SPAN port, TAP cihazı kullanılabilmektedir.
Txt tabanlı logların analizi sağlanabilir. Log dosyaları bize bir sunucunun davranışının kesin bir görünümünü ve bir sunucuya ne zaman, nasıl ve kim tarafından erişildiği gibi kritik bilgileri sağlar. Zararlı faaliyetlere yol açmış olabilecek olaylar zincirini ortaya çıkarmamıza yardımcı olabilir.
Donanımsal her ürün markası kendine özgü dosya yolları bulunur. Bu çalışmada detay donanımların analizine bakmayacağız. Sistemler arasında ağ trafiğini toplanıp analiz edilmesi ve sistem üzerinde depolanan log dosyaları veya cache dosyaların ve yakalanan ağ paketlerinin analizi sağlanır bu çalışmada yoğunluk olarak bu dosyalara bakacağız.
Network forensics sayesinde;
- Saldırının etki alanının belirlenebilir
- Saldırının ana nedeni tespit edilebilir
- Elde edilmiş olan şüpheli aktivitelerin detaylandırılması
- Delillerin güçlendirilmesi
- Network hareketlerinin anlamlandırılması
- Saldırının başladığı nokta veya noktaların belirlenmesi
- Saldırının niteliğinin ve özelliğinin belirlenmesi
- Saldırının taktik ve metodunun belirlenmesi
- Okunan verilerin ne olduğu, sunuculara erişimlerin ne olduğu, hangi web sitelerine erişim sağlandığı, network üzerinde upload, downloand işlerim tespit işlemleri sağlanabilir.
- En yetenekli saldırgan bile tespit edilemeyen bir exploit bir sistemi ele geçirmiş olsa bile, sistem yine de ağ üzerinden iletişim kurmalıdır. Bundan dolayı saldırgana ait komuta ve kontrol tespiti veya sistem üzerinden çıkarmış olduğu verileri tespit edebilir.
Networking Fundamentals
Network Forensics alanına başlamadan önce bilinmesi gereken terimler sırasıyla aktarılacaktır.
- TCP/IP mimarisi
TCP/IP mimarisi, internet ve ağ iletişiminin temelini oluşturan bir protokol yığınıdır. Bu mimari, verilerin ağ üzerinden iletilmesini sağlayan bir dizi kurallardan (protokoller) oluşur. Adını Transmission Control Protocol (TCP) ve Internet Protocol (IP) protokollerinden alır. TCP/IP, hem yerel ağlar hem de küresel internet üzerinde veri transferini mümkün kılar.
TCP/IP mimarisi dört katmandan oluşur:
- Uygulama Katmanı (Application Layer): Kullanıcıya en yakın katmandır ve uygulama seviyesindeki işlemlerden sorumludur. HTTP, FTP, SMTP gibi protokoller bu katmanda çalışır. Bu katman, veri iletişiminin nasıl yapılacağını belirler.
- Taşıma Katmanı (Transport Layer): Bu katman, verilerin güvenilir bir şekilde bir uçtan diğerine iletilmesini sağlar. TCP, verilerin doğru sırada ve eksiksiz ulaşmasını garanti ederken; UDP (User Datagram Protocol), daha hızlı fakat hata kontrolü olmayan bir veri iletimi sunar.
- İnternet Katmanı (Internet Layer): Verilerin ağlar arasında yönlendirilmesini sağlar. Bu katman, IP adreslerini kullanarak veriyi kaynak ve hedef arasında taşır. IP protokolü, veri paketlerinin hangi yoldan geçeceğini belirler ve paketlerin farklı ağlar arasında iletimini yönetir.
- Ağ Erişim Katmanı (Network Access Layer): Fiziksel bağlantının sağlandığı katmandır. Veri linki ve fiziksel katmanı içerir. Ethernet, Wi-Fi gibi teknolojiler bu katmanda çalışır ve verinin fiziksel olarak iletilmesini sağlar.
Bu mimarinin avantajı, modüler yapısı ve farklı ağ donanımlarıyla uyumlu olmasıdır. TCP/IP, heterojen ağlar üzerinde iletişim sağlayarak internetin büyümesini ve gelişmesini mümkün kılan temel yapı taşlarından biri haline gelmiştir.
2. OSI mimarisi
OSI (Open Systems Interconnection) modeli, farklı bilgisayar sistemlerinin birbiriyle iletişim kurabilmesi için evrensel bir çerçeve sunan, ISO tarafından geliştirilen bir ağ protokolü modelidir. OSI, iletişimi 7 katmana ayırarak, her katmanın belirli bir işlevi yerine getirmesini sağlar. Bu katmanlar, veri iletiminin adım adım nasıl gerçekleştiğini tanımlar ve farklı donanım ve yazılım üreticilerinin sistemlerinin uyumlu olmasını sağlar.
OSI modelindeki katmanlar:
- Fiziksel Katman (Physical Layer): Verinin fiziksel olarak iletildiği katmandır. Elektrik sinyalleri, radyo dalgaları veya ışık üzerinden verilerin kablolar ve diğer fiziksel ortamlar aracılığıyla aktarılmasını sağlar. Bu katmanda kablo türleri, voltaj seviyeleri gibi fiziksel özellikler belirlenir.
- Veri Bağlantı Katmanı (Data Link Layer): Fiziksel katmandan gelen ham veriyi alır ve bunu anlamlı veri bloklarına (çerçevelere) dönüştürür. Ayrıca, hata tespiti ve düzeltme mekanizmalarını kullanarak veri iletimini güvenilir hale getirir. Ethernet gibi protokoller bu katmanda çalışır.
- Ağ Katmanı (Network Layer): Verilerin farklı ağlar üzerinden iletilmesini sağlar. Paketlerin kaynak ve hedef adreslerine göre yönlendirilmesi (routing) bu katmanda gerçekleşir. IP (Internet Protocol) gibi protokoller burada yer alır.
- Taşıma Katmanı (Transport Layer): Uçtan uca veri iletimi ve hata kontrolünü sağlar. Verilerin güvenilir ve sıralı bir şekilde iletilmesini garanti eder. Bu katmanda TCP (Transmission Control Protocol) gibi güvenilir protokoller ve UDP (User Datagram Protocol) gibi hızlı fakat hata kontrolü olmayan protokoller bulunur.
- Oturum Katmanı (Session Layer): İki cihaz arasında oturumların kurulmasını, yönetilmesini ve sonlandırılmasını sağlar. Aynı zamanda veri alışverişi sırasında bağlantının kesilmesi durumunda oturumun yeniden başlatılmasına yardımcı olur.
- Sunum Katmanı (Presentation Layer): Verinin uygulamalar tarafından anlaşılır bir formata dönüştürülmesinden sorumludur. Veri sıkıştırma, şifreleme ve karakter kodlaması gibi işlemler bu katmanda gerçekleştirilir. Farklı veri formatlarına sahip sistemler arasındaki uyumluluğu sağlar.
- Uygulama Katmanı (Application Layer): Kullanıcıya en yakın katmandır ve doğrudan uygulamalarla etkileşime girer. E-posta, web tarayıcıları, dosya transferi gibi hizmetlerin çalıştığı bu katmanda HTTP, FTP, SMTP gibi protokoller yer alır.
OSI modeli, iletişimin karmaşık yapısını basitleştirmek, standartlaştırmak ve farklı üreticiler tarafından geliştirilen sistemlerin birbiriyle sorunsuzca çalışmasını sağlamak amacıyla geliştirilmiştir. Her katmanın belirli bir görevi vardır ve bu sayede iletişim süreci daha yönetilebilir hale gelir.
Paket:
Ağ (network) ortamında paket, verilerin bir ağ üzerinden iletilmesi için küçük parçalara bölünmüş halidir. Paketler, bilgisayarlar, sunucular ve ağ cihazları arasında veri transferini mümkün kılan temel iletim birimleridir. Bir ağ üzerindeki veri transferi sırasında, büyük dosyalar veya mesajlar bir kerede gönderilmez; bunun yerine bu veriler küçük paketlere ayrılır ve daha sonra hedefe ulaştığında tekrar birleştirilir.
Bir paket genellikle en az iki ana bölümden oluşur:
Başlık (Header): Paketin başında yer alır ve ağ üzerinden veri iletilirken hangi yollardan geçeceğini, nereye ulaşacağını ve ne tür bir veri olduğunu belirten bilgileri içerir. Genellikle şu bileşenleri içerir:
- Kaynak ve hedef IP adresleri: Verinin nereden geldiğini ve nereye gitmesi gerektiğini gösterir.
- Paket sırası: Verinin hangi sırayla birleştirileceğini belirlemek için kullanılır.
- Protokol bilgisi: TCP, UDP gibi hangi protokolün kullanıldığını belirtir.
- Kontrol bilgileri: Paketlerin doğru iletilip iletilmediğini doğrulayan hata kontrol bilgilerini içerir.
Veri (Payload): Asıl taşıdığı bilgiyi içerir. Bu, bir dosyanın bir kısmı, bir web sayfası isteği veya bir e-posta mesajı gibi çeşitli veri türleri olabilir. Veri, genellikle küçük parçalara bölünür ve bu parçalara “segment” ya da “frame” de denilebilir.
paketlerin yapılandırılması kullanılan protokole ve katmana göre değişiklik gösterebilir. Ve üçüncü bir bölüm daha olabilir.
Trailer (footer), paketin sonunda yer alır ve genellikle hata kontrolü ve bütünlük kontrolleri için kullanılır. En yaygın kullanım biçimi CRC (Cyclic Redundancy Check) gibi hata tespit mekanizmalarıdır. Trailer, veri iletimi sırasında bir hata olup olmadığını doğrular, yani paketler hedefe ulaştığında herhangi bir bozulma olup olmadığını belirler.
Paketlerin üç bölüm olarak tanımlanmasının sebebi, bazı protokollerde bu hata kontrol bilgisinin başlık ve veriden ayrı bir bölümde yer almasıdır. Ancak bu durum her zaman geçerli değildir ve genellikle daha düşük seviyeli ağ protokollerinde görülür (örneğin, Ethernet çerçevelerinde). TCP/IP mimarisi gibi daha üst seviye protokoller, trailer kullanmadan başlık ve veri bölümlerine dayanır.
Paketler, ağ üzerindeki çeşitli cihazlar (yönlendiriciler, anahtarlar, vs.) aracılığıyla hedeflerine iletilir. Her bir paket, ağ üzerinden farklı rotalardan gidip, hedefte bir araya gelir. Paket bazlı iletişim, verilerin güvenli ve etkili bir şekilde ağlar üzerinde taşınmasını sağlar, aynı zamanda hata kontrolü ve veri bütünlüğü gibi özellikler sunar.
- Port
Port, sistemler üzerinde bağlantı noktalarıdır. Sanal veya fiziksel port olabilir. Portlar sayesinde sistemler birbiriyle iletişim sağlar. Yapılan servislerin özelliklerine göre port numaraları değişmektedir. Port taraması, sistem üzerinde kullanılan var olan portların detaylı bir şekilde listelenmesini sağlar. Nmap port taramasında en çok kullanılan araçtır.
Ağ iletişiminde port, bir cihazın (genellikle bir bilgisayarın) belirli bir uygulama veya servis ile iletişim kurabilmesi için kullanılan mantıksal bir adresleme bileşenidir. Portlar, işletim sisteminin TCP veya UDP gibi taşıma katmanı protokolleri aracılığıyla gelen ve giden trafiği ayırt etmesine olanak tanır. Her port, 16 bitlik bir sayı ile tanımlanır ve 0 ile 65535 arasında bir değere sahiptir. Portlar üç ana kategoriye ayrılır:
- Well-known Ports (İyi Bilinen Portlar): 0-1023 aralığında yer alırlar ve genellikle standart protokoller ve hizmetler için kullanılırlar. Örneğin, HTTP (80/TCP), HTTPS (443/TCP), FTP (21/TCP), DNS (53/UDP)
- Registered Ports (Kayıtlı Portlar): 1024-49151 aralığında yer alır ve belirli uygulamalar için atanmış portlardır.
- Dynamic/Private Ports: 49152-65535 aralığında yer alır ve genellikle istemciler tarafından geçici olarak kullanılır.
Bir cihaz, ağ üzerinde bir paket alırken, IP adresi ile o cihazın hangi port üzerinden iletişim kuracağını belirler. Bu sayede aynı IP adresine sahip bir cihazda birden fazla servis (örneğin, bir web sunucusu ve bir veritabanı sunucusu) çalıştırılabilir ve her biri farklı port numaraları aracılığıyla ayırt edilir. Bu adresleme mantığı, verinin doğru uygulamaya yönlendirilmesini sağlar.
Siber saldırganlar tarafından en çok kullanılan portlar şu şekilde açıklayabiliriz;
Port Numarası | Port İsmi | Açıklama |
22 | SSH | Secure Shell: Güvenli uzaktan erişim protokolü, brute-force saldırıları için hedef olabilir. |
23 | Telnet | Telnet: Şifrelenmemiş uzaktan erişim protokolü, kolayca sniffing ve brute-force saldırılarına açık. |
80 | HTTP | Hypertext Transfer Protocol: Web sunucuları için yaygın olarak kullanılır, web uygulama saldırıları (XSS, SQLi) için hedef. |
443 | HTTPS | HTTP Secure: Güvenli web trafiği, SSL/TLS zafiyetleri için hedef alınabilir. |
21 | FTP | File Transfer Protocol: Dosya transferi için kullanılır, şifrelenmemiş olması zafiyet oluşturur (brute-force, MITM saldırıları). |
25 | SMTP | Simple Mail Transfer Protocol: E-posta iletimi için kullanılır, spam ve phishing saldırıları için hedef alınabilir. |
53 | DNS | Domain Name System: DNS sorguları ve yönlendirmeleri, DNS amplification saldırıları gibi DDoS saldırılarına açık. |
110 | POP3 | Post Office Protocol v3: E-posta alma protokolü, şifrelenmemiş trafiğe karşı hassas. |
143 | IMAP | Internet Message Access Protocol: E-posta alma protokolü, kimlik doğrulama zafiyetleri için hedeflenebilir. |
3389 | RDP | Remote Desktop Protocol: Uzak masaüstü erişimi, brute-force ve exploit saldırılarına karşı savunmasız. |
445 | SMB | Server Message Block: Dosya paylaşım protokolü, EternalBlue gibi zafiyetlerle hedeflenebilir. |
3306 | MySQL | MySQL Database: Veritabanı sunucusu, SQL injection ve kimlik doğrulama atlatma saldırıları için hedef. |
5432 | PostgreSQL | PostgreSQL Database: Veritabanı sunucusu, SQL injection ve zayıf kimlik doğrulama saldırılarına açık. |
8080 | HTTP-Alt | HTTP Alternate: Alternatif HTTP portu, HTTP portu gibi web saldırılarına karşı açık olabilir. |
135 | RPC | Remote Procedure Call: Uzak hizmet çağrıları için kullanılır, MS-RPC zafiyetleri ile hedeflenebilir. |
5060 | SIP | Session Initiation Protocol: VoIP trafiği için kullanılır, VoIP tabanlı saldırılara ve DDoS’a açık. |
1723 | PPTP | Point-to-Point Tunneling Protocol: VPN bağlantıları için kullanılır, zayıf şifreleme zafiyetlerine açıktır. |
Bu portlar, ağ trafiği ve güvenliği izlerken dikkat edilmesi gereken en kritik portlar arasında yer alır. Saldırganlar, bu portlar üzerinden yapılan iletişimleri istismar ederek çeşitli zafiyetlerden yararlanabilirler.
- Protokol
Ağ (network) iletişiminde protokol, iki veya daha fazla cihazın bir ağ üzerinden veri alışverişi yaparken uyması gereken kurallar ve standartlar bütünüdür. Protokoller, veri iletim süreçlerinin nasıl başlayacağını, nasıl ilerleyeceğini ve nasıl sonlanacağını belirler. Ayrıca, verinin nasıl paketleneceğini, adresleneceğini, yönlendirileceğini ve doğrulanacağını da tanımlarlar. Protokoller, ağ üzerindeki cihazların birbirlerini anlamalarını ve uyumlu bir şekilde iletişim kurmalarını sağlar.
Bir protokolün temel özellikleri şunları içerir:
- Söz Dizimi (Syntax): Verinin formatı veya yapısıdır. Paket başlıklarının nasıl düzenleneceğini ve verinin nasıl dizileceğini tanımlar.
- Anlambilim (Semantics): Protokolün taşıdığı verinin anlamıdır. Örneğin, belirli bir bit veya bayt kombinasyonunun ne anlama geldiğini belirler. Kaynak ve hedef adreslerin nasıl kullanılacağını, hata mesajlarının nasıl oluşturulacağını vb. içerir.
- Zamanlama (Timing): Veri iletim hızını, mesajların ne zaman ve hangi sırayla gönderileceğini belirler. Ayrıca, hata durumlarında yeniden iletim süresini ve sıraya koyma gibi konuları kapsar.
Protokoller, saldırganların ağ trafiğini izlemek, verilere erişmek veya sistemlere sızmak amacıyla kullandıkları yaygın araçlardır. Bu nedenle, güvenlik önlemleri alınarak bu protokollerin zayıf noktaları minimize edilmelidir.
Protokol | Port Numarası | Açıklama |
HTTP | 80 | Web sunucuları ile istemciler arasında veri iletimini sağlar. XSS, SQL injection gibi web uygulama saldırıları için hedef alınabilir. |
HTTPS | 443 | Güvenli web trafiği sağlamak için kullanılır. SSL/TLS zafiyetleri ile hedef alınabilir. |
FTP | 21 | Dosya transferi için kullanılır. Şifrelenmemiş olması, veri dinleme ve brute-force saldırılarına açıktır. |
SSH | 22 | Güvenli uzaktan erişim sağlar. Brute-force saldırılarına karşı zayıf şifreleme veya varsayılan şifreler ile hedef alınabilir. |
Telnet | 23 | Şifrelenmemiş uzaktan erişim sağlar. Dinleme ve kimlik doğrulama saldırılarına açıktır. |
SMTP | 25 | E-posta iletimi için kullanılır. Spam ve phishing saldırıları için hedef alınabilir. |
DNS | 53 | Alan adı sorguları için kullanılır. DNS amplification ve spoofing saldırıları için hedef olabilir. |
SNMP | 161 | Ağ cihazlarını izlemek için kullanılır. Zayıf yapılandırmalar üzerinden bilgi sızıntılarına yol açabilir. |
RDP | 3389 | Uzak masaüstü bağlantısı sağlar. Brute-force ve exploit saldırılarına karşı savunmasızdır. |
SMB | 445 | Dosya ve yazıcı paylaşım protokolüdür. EternalBlue gibi zafiyetlerle hedeflenebilir. |
NTP | 123 | Zaman senkronizasyonu için kullanılır. NTP amplification saldırıları ile hedef alınabilir. |
Kerberos | 88 | Ağ güvenliği için kimlik doğrulama sağlar. Zayıf yapılandırmalar veya kimlik bilgisi sızıntıları ile istismar edilebilir. |
LDAP | 389 | Aktif Dizin ve dizin hizmetleri için kullanılır. LDAP injection ve kimlik doğrulama atlatma saldırılarına karşı hassastır. |
Siber saldırganlar tarafından en çok kullanılan protokoller, genellikle ağ üzerindeki zayıf noktaları hedef almak amacıyla istismar edilen yaygın protokollerdir. Yukarda, siber saldırılarda sıkça kullanılan protokollerin listesini, protokol adı, port numarası ve açıklamasıyla birlikte tablo halinde sunulmuştur.
Protokol ile Port Arasındaki Farklar:
Kriter | Protokol | Port |
Tanım | Ağda iletişim kuralları ve veri alışveriş yöntemlerini belirler. | Belirli bir cihaz üzerindeki uygulamalara erişimi sağlayan mantıksal adres. |
İşlev | Veri iletimi, hata kontrolü, güvenlik, sıralama gibi işlemleri yönetir. | Farklı uygulama ve hizmetleri ayırt ederek veri trafiğini yönlendirir. |
Katman | Genellikle OSI modelinin taşıma (TCP/UDP), ağ (IP) veya uygulama katmanında çalışır. | İşletim sisteminin taşıma katmanında (TCP/UDP) yer alır. |
Örnek | TCP, UDP, IP, HTTP, FTP, DNS | 80 (HTTP), 443 (HTTPS), 22 (SSH), 25 (SMTP) |
Sonuç olarak, protokol, verilerin nasıl iletileceğini belirleyen bir dizi kuraldır, port ise bu verilerin hangi uygulama veya hizmete yönlendirilmesi gerektiğini belirleyen mantıksal bir adrestir.
Network Saldırıları
Ağ forensics analizi, bir ağ üzerindeki olayları ve saldırıları tespit etmek, analiz etmek ve anlamak için kullanılan bir yöntemdir. Aşağıda, ağ forensics yöntemleriyle tespit edilebilecek bazı yaygın ağ saldırılarını listeledim:
1. DDoS (Distributed Denial of Service) Saldırıları:
- Bir hedefe yönelik çok sayıda istek göndererek hizmetin kesintiye uğramasına neden olur. Ağ trafiği analizi ile bu tür saldırılar tespit edilebilir. Bir hizmetin mevcudiyetini azaltmak veya kesintiye uğratmak için yapılan saldırılar. Trafik analizi ve anormallik tespiti ile belirlenebilir.
2. Man-in-the-Middle (MitM) Saldırıları:
- İletişim trafiğine gizlice müdahale eder ve veri alışverişini dinler veya değiştirir. ARP spoofing gibi tekniklerle gerçekleştirilebilir. Trafik analizi bu tür saldırıları ortaya çıkarabilir.
3. ARP Spoofing/Poisoning:
- Ağda ARP mesajları ile sahte MAC adresleri göndererek veri akışını yönlendirme veya dinleme. Ağ üzerindeki ARP trafiği incelenerek bu tür saldırılar tespit edilebilir.
4. Port Tarama (Port Scanning):
- Bir ağdaki açık portları bulmak için yapılan sistematik tarama. Ağ trafiği ve log kayıtları ile bu tür aktiviteler belirlenebilir. Ağ trafiği ve log kayıtları ile artan bağlantı isteği sayısı ve zamanlaması analiz edilebilir.
8. Session Hijacking (Oturum Ele Geçirme):
- Kullanıcı oturumunu ele geçirerek, yetkisiz erişim sağlama. Ağ üzerinde oturum bilgileri izlenerek tespit edilebilir.
9. Credential Stuffing (Kimlik Bilgisi Doldurma):
- Daha önce ele geçirilmiş kimlik bilgilerini kullanarak hesaplara erişim sağlama. Ağ logları üzerinden başarısız oturum açma girişimleri analiz edilebilir.
10. Network Reconnaissance (Ağ Keşfi):
- Hedef ağ hakkında bilgi toplamak için yapılan tarama ve analizler. Ağ trafiği ve bağlantı kayıtları ile bu tür aktiviteler belirlenebilir.
11. WIFI Eavesdropping (WIFI Dinleme):
- Kablosuz ağ trafiğini izleyerek hassas bilgilere erişim sağlama. Kablosuz ağ trafiği analizi ile şüpheli aktiviteler tespit edilebilir.
12. DNS Spoofing:
- DNS yanıtlarını manipüle ederek kullanıcıları yanlış yönlendirme. DNS sorguları ve yanıtları analiz edilerek bu tür saldırılar belirlenebilir.
13. Malware İndirme ve Yayılımı:
- Ağ üzerinden kötü amaçlı yazılımların indirilmesi ve yayılması. Trafik analizi ile şüpheli dosya indirme aktiviteleri tespit edilebilir.
14. Subdomain ve Dizin Testi:
- Hedef web uygulamasının alt alan adlarını ve dizinlerini keşfetmek için yapılan sistematik taramalar. Genellikle saldırganlar, mevcut dizinleri ve dosyaları bulmak amacıyla HTTP istekleri gönderir. Tespit Yöntemi: HTTP trafiği ve sunucu logları analiz edilerek, sıra dışı veya sık yapılan istekler belirlenebilir.
15. Brute Force Saldırısı
- Kullanıcı adı ve şifre kombinasyonlarını denemek suretiyle bir sisteme erişim sağlamaya çalışan saldırı türüdür. Tespit Yöntemi: Başarısız oturum açma girişimleri ve ilgili log kayıtları incelenerek şüpheli aktiviteler belirlenebilir.
16. Host Keşfi
- Ağda aktif cihazları belirlemek için yapılan keşif işlemi. Saldırganlar, hangi cihazların bulunduğunu öğrenmek amacıyla ping veya diğer protokolleri kullanabilir. Ağ trafiği ve ping istekleri incelenerek, şüpheli veya aşırı sayıda istekler tespit edilebilir.
18. IP Spoofing
- Saldırganların, sahte bir IP adresi kullanarak hedef cihazla iletişim kurmasını sağlayan bir tekniktir. Genellikle DDoS saldırılarında kullanılır. Gelen trafiğin IP adreslerinin analiz edilmesi ve tutarsızlıkların belirlenmesiyle tespit edilebilir.
19. Macof Saldırısı
- MAC adreslerini rastgele üreterek bir ağda yoğunluk oluşturan bir saldırıdır. Genellikle ağ trafiğini karıştırmak ve ağın performansını düşürmek amacıyla yapılır. Ağ trafiği ve MAC adreslerinin analizi ile sürekli değişen MAC adresleri tespit edilebilir.
Bu saldırılar, ağ forensics analizi ile tespit edilebilir. Ağ güvenliği için bu tür olayların zamanında tespit edilmesi ve analiz edilmesi, etkin bir savunma mekanizması oluşturmak için kritik öneme sahiptir. Bu saldırılar, ağ forensics analizi ile tespit edilebilir ve analiz edilebilir. Ağ güvenliği açısından bu tür olayların önceden tespiti, etkili bir yanıt verme stratejisi oluşturmak için kritik öneme sahiptir.