NetworkMiner Nedir? (Network Forensics)

Öncelikle NetworkMiner Nedir? sorusunu cevaplamadan önce Network Forensics’in ne olduduğu hakkında kısa bir bilgi verelim.

Network Forensics, Türkçe olarak ifade edecek olursak Ağ Adli Bilişimi, Bilgisayar veya internet bağlantısı olan herhangi bir aracın ağ trafiğini dinlemek ve bu dinleme sonucu elde edilen kayıtların analiz edilmesidir.

Bu analiz sonucunda çeşitli bilgilere ulaşılır ve delil olarak kullanılabilir.

NetworkMiner da Network Forensics işlemi çerçevesinde kullandığımız araçlardan bir tanesidir. Basit ara yüzü, direkt olarak indirilip kullanılabilmesi ve raporlamada sağladığı kolaylıklar sayesinde, piyasaya çıktığı 2007 tarihinden itibaren olay müdahale ekipleri, kolluk kuvvetleri ve Siber Güvenlik Araştırmacıları tarafından sıklıkla tercih edilmiştir.

Windows için açık kaynaklı bir Ağ Adli Bilişimi analiz aracı olarak geçmektedir. Fakat Mac OS, Linux ve FreeBSD gibi sistemlerde de çalışabilmektedir. Free ve Proffesional olmak üzere iki farklı sürümü mevcuttur. Ayrıca canlı analiz ve çevrimdışı analiz(pcap dosya türlerini inceleyebiliriz.) için uygundur.

Arayüzü hakkında Bilgi verecek olursak..

File bölümünde:

  • Open(Ctrl+O), çevrimdışı analiz için pcap dosya türleri açılabilir.
  • Read From PacketCache, PacketCache’den okur. PacketCache nedir? Bir bilgisayarın ağ ara yüzlerini sürekli izler ve elde edilen paketleri RAM’de depolar.
  • Exit(Alt+F4), programdan çıkış yapar.

Tools Bölümünde:

  • Start Capturing F5 ve Stop Capturing F8 ile canlı analiz için paket yakalama başlatılır veya sonlandırılır.
  • Clear GUI(Ctrl+N) ile arayüz temizlenir.
  • Delete Captured Data(Ctrl+Del) seçeneği ile de yakalanan paketler silinir.

Help Bölümünde:

  • Check for Updates bölümünden güncellemeler kontrol edilebilir.
  • About NetworkMiner kısmında ise araçla ilgili bilgi alınabilir.

Canlı analiz için — Select a network adapter in the list — bölümünden izlemek istediğimiz network adaptörü seçilebilip Start ile canlı analize başlanılabilir.

Örnek olması açısından bir pcap dosyasını inceleyelim aynı zamanda da Host,Files,Images,Messanges,Credentials,Sessions,DNS,Parameters,Keywords sekmelerinin görevlerini açıklayalım.

File > open diyerek örnek bir pcap dosyası açalım..

Hosts sekmesinde analiz edilen trafikteki tüm IP adreslerinin bir listesini vermektedir.

Ayrıca host ikonlarının anlamları yukarıdaki görselde belirtilmiştir.

Ip adreslerinin başındaki + işaretine tıkladığımızda biraz daha detay alabiliriz. Burada MAC adresi, host adresi, gönderilen ve alınan paketlerin boyutu, hangi portlar üzerinden iletişim kurduğu, işletim sistemi bilgileri vs.. gibi bilgilere ulaşabiliyoruz.

Sort Host On kısmında ise adresleri çeşitli parametrelere göre sıralayabilirsiniz. Örneğin “Sent Packets (descending)” seçersek adreslerdeki gönderilen paket boyutunu çoktan aza doğru sıralar.

Files sekmesinde NetworkMiner tarafından ayıklanmış(extract) dosyaları içerir.
NetworkMiner canlı analize başlandığında veya bir pcap dosyası açılır açılmaz HTTP, SMB, FTP ve TFTP protokollerinden dosyaları otomatik olarak indirir.
Bu dosyalar geçici bir şekilde saklanır. Dosya üzerine sağ tık yapılarak ilgili dosya açılabilir veya klasörüne gidilebilir.

Files sekmesinden alabileceğimiz bilgilere bakacak olursak..

1. Bölümde ayıklanmış dosyanın ismi,
2. Bölümde dosyanın uzantısı,
3. Bölümde dosyanın boyutu,
4. Bölümde dosyanın kaynak adres bilgileri,
5. bölümde ise iletişim portu görülmektedir.

Sayfanın devamında bulunduğu geçici dosya konumu, tam adresi, zaman damgası vs.. gibi bilgiler de mevcuttur.

Ayrıca Filter keyword bölümünden dosya uzantısı, boyut vs.. gibi filtrelemeler yapılabilir.

İmages sekmesinde ayıklanmış tüm görüntü dosyalarını küçük resim olarak bizlere sunmaktadır. Görüntü dosyasının üzerine sağ tıklayıp görüntü açılabilir ayrıca görüntünün üzerine mouse ile geldiğimiz zaman daha detaylı bilgiye ulaşabiliriz.

Credentials kimlik bilgileri sekmesi, kullanıcı adları ve parolalar gibi bilgiler barındırabilir bunun yanında trafikte yer alan HTTP,FTP çerezleri (cookie), NTLM challenge-response mesajları da barındırabilir.

Sessions sekmesinde, client-server arası iletişim daha net gözükmektedir ayrıca protokol ve port bilgisi yanında zamanlaması da verilmektedir. Burada Filter Keyword kısmında belirli bir porta yönelik filtreleme yapılabilir.

Parameters sekmesi, trafikten çıkarılan her türlü bilgi burada görüntülenir. İsim veya değer dizileri filtrelenebilir. Http sorgu dizeleri, değerleri, POST ve GET değişkenleri ve daha fazlası bu sekmede bulunur.

DNS sekmesinde, site içeriği, SSL sertifika durumu, kara liste girme durumları gibi değişiklikleri bu sekmede gözlemleyebiliriz.

Messages sekmesinde,e-mails1’den alınan tüm mesajlar, IRC(Internet Relay Chat), IM(Instant messaging) ve sosyal medya mesajlar sekmesinden erişilebilir.

Keywords sekmesinde ise belirli bir karakter dizisinin trafik kaydı içerisinde aranmasına olanak tanır.

Not1: NetworkMiner programının web sitesine ve dokümanlara ulaşmak için..

Not2: Yukarıda gösterilen adreslerde hiçbir şekilde hedef gösterme amacı yoktur. Sadece eğitim amaçlıdır.

 

About The Author

Reply