Yazılım adı :Tshark
İndirme adresi :
http://www.wireshark.org/
Kategori : Sniffer, paket analizi
Ortam :Linux/Windows
İşlevi : TCP/IP ağlarda paket analizi amaçlı kullanılan
Tshark, güçlü bir ağ protokolleri analiz programıdır. Tshark komut satırından çalışır ve yine bir ag trafik analiz programı olan Wireshark’da bulunan çoğu özelliği destekler.
Komut satırından çalışan ve çok bilinen diğer bir trafik analiz aracı da tcpdump’dır.
Tshark ile tcpdump’ın ayrıldığı en belirgin nokta Tshark’ın trafik analizinde protokolleri tanıyabilmesi ve bunları detaylı bir şekilde gösterebilmesidir. Aşağıda vereceğim örneklerde
protokol tanımanın ne manaya geldiği daha iyi anlaşılacaktır. Kişisel olarak Tshark’ı imkanım olduğu ortamlarda tcpdump’a tercih ediyorum.
Bu ikili, networking konuları ile ilgilenen herkesin a-z’ye bilmesinde fayda olan araçlardır
Basit Tshark Kullanımı
tshark, çeşitli işlevleri olan bir sürü parametreye sahiptir. Eğer
herhangi bir paramnetre kullanmadan çalıştırılırsa ilk aktif ağ
arabirimi üzerinden geçen trafiği yakalayıp ekrana basar.
home-labs ~ # tshark
Running as user “root” and group “root”. This could be dangerous.
Capturing on eth0
0.000000 192.168.2.23 -> 80.93.212.86 ICMP Echo (ping) request
0.012641 80.93.212.86 -> 192.168.2.23 ICMP Echo (ping) reply
0.165214 192.168.2.23 -> 192.168.2.22 SSH Encrypted request packet len=52
0.165444 192.168.2.22 -> 192.168.2.23 SSH Encrypted response packet len=52
0.360152 192.168.2.23 -> 192.168.2.22 TCP pcia-rxp-b > ssh [ACK] Seq=53 Ack=53 Win=59896 Len=0
0.612504 192.168.2.22 -> 192.168.2.23 SSH Encrypted response packet len=116
1.000702 192.168.2.23 -> 80.93.212.86 ICMP Echo (ping) request
1.013761 80.93.212.86 -> 192.168.2.23 ICMP Echo (ping) reply
1.057335 192.168.2.23 -> 192.168.2.22 SSH Encrypted request packet len=52
16 packets captured
Eğer çıktıların ekrana değil de sonradan analiz için bir dosyaya yazdırılması isteniyorsa -w dosya_ismi parametresi kullanılır.
Tshark ile Protokol Analizi
Paketleri ekrandan izlerken ilgili protokole ait tüm detayları görmek için -V parametresi kullanılabilir.
Mesela udp 53(DNS) paketlerini detaylı çıktısını incelyelim.
home-labs#thsark -i eth0 udp port 53
Frame 2 (100 bytes on wire, 100 bytes captured)
Arrival Time: Jan 17, 2009 11:54:34.174323000
[Time delta from previous captured frame: 0.001332000 seconds]
[Time delta from previous displayed frame: 0.001332000 seconds]
[Time since reference or first frame: 0.001332000 seconds]
Frame Number: 2
Frame Length: 100 bytes
Capture Length: 100 bytes
[Frame is marked: False]
[Protocols in frame: eth:ip:udp:dns]
Ethernet II, Src: Arcadyan_a7:22:5c (00:1a:2a:a7:22:5c), Dst: Giga-Byt_5a:1b:96 (00:1f:d0:5a:1b:96)
Destination: Giga-Byt_5a:1b:96 (00:1f:d0:5a:1b:96)
Address: Giga-Byt_5a:1b:96 (00:1f:d0:5a:1b:96)
…. …0 …. …. …. …. = IG bit: Individual address (unicast)
…. ..0. …. …. …. …. = LG bit: Globally unique address (factory default)
Source: Arcadyan_a7:22:5c (00:1a:2a:a7:22:5c)
Address: Arcadyan_a7:22:5c (00:1a:2a:a7:22:5c)
…. …0 …. …. …. …. = IG bit: Individual address (unicast)
…. ..0. …. …. …. …. = LG bit: Globally unique address (factory default)
Type: IP (0×0800)
Internet Protocol, Src: 192.168.2.1 (192.168.2.1), Dst: 192.168.2.23 (192.168.2.23)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0×00 (DSCP 0×00: Default; ECN: 0×00)
0000 00.. = Differentiated Services Codepoint: Default (0×00)
…. ..0. = ECN-Capable Transport (ECT): 0
…. …0 = ECN-CE: 0
Total Length: 86
Identification: 0×0000 (0)
Flags: 0×04 (Don’t Fragment)
0… = Reserved bit: Not set
.1.. = Don’t fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 64
Protocol: UDP (0×11)
Header checksum: 0xb52e [correct]
[Good: True]
[Bad : False]
Source: 192.168.2.1 (192.168.2.1)
Destination: 192.168.2.23 (192.168.2.23)
User Datagram Protocol, Src Port: domain (53), Dst Port: blueberry-lm (1432)
Source port: domain (53)
Destination port: blueberry-lm (1432)
Length: 66
Checksum: 0×2a35 [correct]
[Good Checksum: True]
[Bad Checksum: False]
Domain Name System (response)
[Request In: 1]
[Time: 0.001332000 seconds]
Transaction ID: 0×0001
Flags: 0×8100 (Standard query response, No error)
1… …. …. …. = Response: Message is a response
.000 0… …. …. = Opcode: Standard query (0)
…. .0.. …. …. = Authoritative: Server is not an authority for domain
…. ..0. …. …. = Truncated: Message is not truncated
…. …1 …. …. = Recursion desired: Do query recursively
…. …. 0… …. = Recursion available: Server can’t do recursive queries
…. …. .0.. …. = Z: reserved (0)
…. …. ..0. …. = Answer authenticated: Answer/authority portion was not authenticated by the server
…. …. …. 0000 = Reply code: No error (0)
Questions: 1
Answer RRs: 1
Authority RRs: 0
Additional RRs: 0
Queries
1.2.168.192.in-addr.arpa: type PTR, class IN
Name: 1.2.168.192.in-addr.arpa
Type: PTR (Domain name pointer)
Class: IN (0×0001)
Answers
1.2.168.192.in-addr.arpa: type PTR, class IN, RT
Name: 1.2.168.192.in-addr.arpa
Type: PTR (Domain name pointer)
Class: IN (0×0001)
Time to live: 2 hours, 46 minutes, 40 seconds
Data length: 4
Domain name: RT
Benzer bir paketin tcpdump ile görüntüsü aşağıdaki gibi olacaktır.
Her iki çıktıdan da görüleceği gibi Tshark ile protokol ve katmanlara
ait tüm detaylar çözümlenirken tcpdump’da sadece özet bilgiler yer alır.
# tcpdump -i eth0 -n udp port 53 -vv
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
11:57:12.096474 IP (tos 0×0, ttl 128, id 21291, offset 0, flags
[none], proto UDP (17), length 59) 192.168.2.23.1446 >
192.168.2.1.53: [udp sum ok] 2+ A?
www.linux.com. (31)
11:57:12.820246 IP (tos 0×0, ttl 64, id 0, offset 0, flags [DF], proto
UDP (17), length 215) 192.168.2.1.53 > 192.168.2.23.1446: 2 q: A?
www.linux.com. 2/3/3
www.linux.com. CNAME linux.com., linux.com.[|domain]
Tshark'ın kullanımı hakkında detay bilgi için
http://blog.lifeoverip.net/2009/01/17/thsark-ile-tcpip-paket-analizi/ adresi ziyaret edilebilir.
Güvenlik kahvesinin bu haftaki konuğu Türkiye'de bilgi güvenliği üzerine çalışmalarıyla yakından tanıdığımız ve bu sektörde ilklerden olan Fatih ÖZAVCI. Satır aralarında kendisi ve bilgi güvenliği dünyasına bakış açısı hakkında önemli notlar bulacaksınız.NGB: Kısaca kendinizden bahsedebilir misiniz?Fatih ÖZAVCI: İ.Ü. İşletme Fakültesi mezunuyum. 12 yıldır bilişim sektöründeyim, son 9 yılımı Bilgi Güvenliği Danışmanı/Denetmeni/Eğitmeni görevlerinde tamamladım. 4 yıldır
GamaSEC ile danışmanlık, eğitim ve sistem sızma denetimi alanlarında çalışmaya devam etmekteyim.
NGB: Güvenlik işine nasil bulaştınız?Fatih ÖZAVCI: Üniversitenin ilk yılından itibaren muhasebe mesleğini seçerek çalışmaya başladım. Ancak ilk çalışma yılımda tanıştığım Unix türevi işletim sistemi, sonrasında evde kullanmaya başladığım Linux ile güvenlik sektörüne yönelik ilk adımları attım. 1997'de amatör, 2000 yılında güvenlik ürünleri desteği, sistem sızma denetimleri ve eğitimler ile profesyonel olarak başladığım çalışma alanı, 2003 yılından itibaren sadece bilgi güvenliği denetimi üzerine odaklandı.
Mesleğimin ilk yıllarında güvenlik eğitimi veren bir kurum/kişi bulunmuyordu, bu nedenle meslek hayatım boyunca (ISO 27001 baş tetkikçiliği haricinde) bir eğitim alma şansı bulamadım. Aksine eğitim/seminer vererek kendimi geliştirmeyi, iş hayatında da pratiğe dökmeyi tercih ettim. Bu noktada LKD'nin üzerimdeki emeği büyüktür.
NGB: Turkiye'de bilgi guvenligi konusunu degerlendirebilir misinizFatih ÖZAVCI:Genellikle kurumlarda güvenliğe verilen önemden bahsedilir ve pazar
hacmi arttırıcı konulara değinilir. Ben biraz daha farklı bir noktayı hatırlatmak isterim. Türkiye'de güvenlik alanındaki üretim ve geliştirme süreci tartışılmalıdır.
Teknoloji ve hizmet üretimi olmaksızın, doğrudan bir ürünün desteği/satışı ile sektör büyütmeye çalışmak maalesef bir hayal. Sahip olmadığımız ve geliştirmediğimiz bir teknolojinin arkasında
bizler değil, üreticileri durmalı.
Türkiye'de bilgi güvenliği alanında yazılım, donanım ve hizmet geliştirmek çok ciddi engellere sahiptir. Bir ürün/hizmet geliştirme süreci zaman istemektedir, ancak ülke insanının sabırsızlığı nedeniyle ilk günden itibaren pişmemiş ürünlerin satışı ortaya çıkıyor. Bu nedenle
de geçmişimizde çok sayıda başarısız olmuş türk güvenlik projesi mevcut.
Üretim için öncelikle bilgi güvenliği şirketlerinin tamamının ar-ge ortamı olmalıdır. Personelin teknoloji geliştirmesine imkan sağlanmalıdır, böylece fark yaratılması mümkün olacaktır. Sonrasında ise sadece teknoloji geliştirmek amacıyla şirketler kurulabilmeli, sermayenin bu doğrultuda yönlendirilmesi gerekmektedir. En önemlisi bu konuda tecrübemizin az olduğu bilinmeli, sabırla gelişmemiz beklenmelidir. Aksi durumda ise Devletin sınırsız (olduğu tartışılır)
kaynaklarından faydalanan kurumların teknolojiyi geliştirilmesi ve yönlendirmesi beklenir/umulur.
Şahsi kanaatim, biz üretmedikçe kurum yöneticilerinin güvenliğe verdikleri önemin anlamsız olduğu yönündedir. Çünkü onlara sunduğumuz şeyleri biz bile tam olarak bilemeyeceğiz ki onlar tatmin olup yatırım kararı alsın.
NGB: Bu ise yeni baslayanlara neler onerirsiniz?Fatih ÖZAVCI: Öncelikle bir çalışma alanı seçmelerini öneririm. Bilgi güvenliğini bir çalışma alanı olarak görüyorlarsa çok ciddi zorluklar yaşayacaklardır.
Bilgi güvenliğinin özelde birçok alt dalı olduğu (yazılım, web uygulamaları, gsm, voip, iptv, ağ, sunucu vb.) ve mesleki olarak (danışman/denetmen/eğitmen/mühendis) birçok alternatifin bulunduğu bilinmelidir. Tamamı olmaya çalışmak sadece hedefi ulaşılmaz yapmak demektir.
Alan belirlemesini takiben kolay bir programlama dili (python, perl, ruby vb.) ile bilgisayara istediklerini yaptırabilmeyi öğrenmeliler. Sonrasında ise sanal makine ve ağ ortamları ile sıklıkla aşina olmayı, çalışma alanı hedefindeki sistemlerin örneklerini olabildiğince
incelemeliler. Belge okumak, doğru bilgi paylaşım kaynaklarını bulmak ise zaten bu yolun üstünde karşılarına çıkacaktır.
Türkiye'de iş bulamayacaklarını düşünmesinler, yeterli olgunluğa sahip ve iş ahlakı düzgün kişiler için çok sayıda işletme kapısı açık beklemektedir. Ancak geçmişte sadece test için dahi bilgilerini kötü niyetli kullanmışlarsa, ne kadar iyi olurlarsa olsunlar bu durum nedeniyle hiçbir zaman başarılı olamayacaklarını bilmeliler.
Son olarak Türkiye'de bulunan çok sayıda sivil organizasyonda rol almalarını öneririm. Bu durum onların sorumluluk, yetki, görev bilinci ve teknik yeterliliklerinin artmasında çok ciddi katkı sağlayacaktır.
Sadece bilgisayar karşısında oturan bir kişinin yazıştığı insanların sorunlarını ve sorumlulukların paylaşması mümkün olmayabilir. Böylece çok sayıda meslektaşı ile tanışmak ve fikir paylaşmak imkanına sahip olabilirler.
NGB: Sizce 2015 yilinda bilgi guvenligi dunyasi hangi konulari konusuyor olacak?Fatih ÖZAVCI: Gömülü sistemler nedeniyle bugünün açıklarının farklı türlerini konuşacağız sanırım. VoIP'nin hayatımızda daha çok yer işgal edeceği, IPTV nedeniyle çok sayıda gelişmenin hayatımıza gireceği, birçok ev eşya veya eğlence sisteminin gömülü yazılımlara sahip olacağını biliyoruz.
Wimax ve 4g teknolojilerinden faydalanan çok sayıda cihazın da (kamera, eğlence sistemi, cep telefonu vb.) güvenlik sıkıntıları çekeceği ortada. Güvenliğin bu ürünlerdeki risklerini konuşmaya başlayacağız ve sadece cümlelerdeki nesneler değişecek diye düşünüyorum.
Güvenlik sektörünün çok büyük gelişmeler gösterdiğini düşünenlerin hatalı olduğu kanaatindeyim. Çünkü bizler VoIP risklerini gördüğümüzde yıl 2001 iken 2009'da halen VoIP hayatımızın tam bir parçası değil ve riskler maalesef aynı. Kablosuz ağın ilk günkü riskleri ne ise bugün halen aynı riskleri tartışıyoruz. Bu nedenle çok büyük teknolojiler hayatımıza girmedikçe aynı cümleleri kuruyor olacağız.
NGB: Zaman ayırarak sorularımıza cevap verdiğiniz için teşekkür ederiz.
Güvenlik E-bülteni #07'e katkıda bulunanlar: Huzeyfe ÖNAL,Ömer ALBAYRAK,Samet İNCE,Bâkır EMRE,
Cüneyt BERGEL, Kerem Kocaer,Mücahid YARDIM
Haftalık Güvenlik Bülteni
Ağ güvenliği listesi Netsec'in üyeleri tarafından hazırlanmakta olup herkesin katkısına açıktır. Amacımız değişken güvenlik dünyasının farklı alanlarını yakından takip eden arkadaşların geçtiğimiz hafta içerisinde dikkatini çeken güvenlikle ilgili haberler, yazılar, araçların paylaşımıdır
.
Güvenlik Bülteni Üyeliği
Güvenlik bültenini mail olarak almak isterseniz
http://www.lifeoverip.net/newsletter/ adresine e-posta adresinizi bırakmanız yeterlidir.
Ağ Güvenliği(
Netsec ) listesine üyeliğiniz varsa tekrar bülten üyeliğine gerek yoktur, bültenler listeye gönderilecektir.
Katkıda Bulunun
Güvenlik bülteninin bir sonraki sayısına katkı vermek için bu sayının başındaki linkten faydalanabilirsiniz. Link GoogleDocs'a uzanmaktadır ve üyelik gerektirmeksizin herkesin katkısına açıktır. Düzenleme konusunda eski sayılardan faydalanabilirsiniz.
Eski Sayılar
Güvenlik bülteninin eski sayılarına
http://www.lifeoverip.net/newsletter/ adresinden erişilebilir.
Bu sayı
Guvenlikegitimleri.com tarafindan sponsor edilmistir.
Copyright(c) 2009 Lifeoverip.Net