Təhlükəsiz Kiber Dünyaya Giriş

Telegrama üzv ol

Yeni Əlavə olunanlar:

Wireshark ilə Paket Analizi

Mehran Hematyar (Hemmatyar) 16 mins0

Wireshark ilə Paket Analizi
Wireshark – şəbəkə trafikini sistemə girərkən və ya sistemdən çıxarkən görüntüləmək üçün istifadə edilən bir tool’dur. Yəni qısaca, paketləri dinləyir.Wireshark bizə trafiki bir interface vasitəsilə göstərir bununla bir növ eyni rolu oynayan amma  CMD Line’a əsaslanan tcpdump adlı bir tool var.
 Wireshark’ı buradan yükləyə bilərsiniz
Wireshark bizə dinlədiyimiz paketi (OSİ Layer) təbəqələrə bölünmüş halda göstərir. Biz buradan təbəqələrdə gedən prosseslər haqqında öyrənmək və şəbəkə trafikini vizuallaşdırmaq üçün istifadə edəcəyik. Wireshark’ı yükləyə, quraşdıra, istər öz şəbəkənizi istərsə də, hərhansı bir pcap faylı yükləyib analizlər edə bilərsiniz.

1- Ən yuxarı hissə Paketlərin olduğu hissədir.Hər hansı bir paket ilə əlaqəli məlumat əldə etmək istəyirsinizsə, birinə klik edin.
2-Hər bir paket və ya OSİ layer haqqında məlumatlar burada yerləşir.
3-Ekranın ən aşağı hissəsində isə, Raw byte adı verdiyimiz hissədir.
 
Physical Layer
İlk öncə Physical Layer ilə başlayaq paketləri analiz etməyə. Bu layer’da məlumatı A nöqtəsindən B nöqtəsinə daşıyan kabel və ya simsiz siqnallar haqqında məlumat əldə edilir.
 
Data Link Layer

Bu Layer’da ən geniş istifadə edilən protokol Ethernet-dir. Wireshark interfeysində bu üst bölümdən ikinci hissə və bölümdür.(Ethernet II şəklində adlandırılır). Paket analiz sırasında fokuslanmalı olduğumuz şey ilk öncə Destination və Source olaraq adlandırılan MAC adreslərdir. İkinci layerdakı cihazları/kompüterləri müəyyən etmək üçün istifadə edilir. İkinci layer ancaq eyni şəbəkədəki cihazlar arasındakı lokal əlaqə ilə maraqlanır. (Buna bir növ bir-birinə bağlı / Connected olan cihazaların kolleksiyası da deyilir)
 
MAC adresləri Ethernet avadanlığına təyin edilir, yəni bu siz tərəfdən manual olaraq verilən bir dəyər deyildir.( Ancaq MAC adreslərini dəyişdirə bilər və ya virtual şəbəkə interfeys üçün yeni MAC adresləri yarada və təyin edə bilərsiniz) Bir Switch şəbəkə cihazı  freymləri (Frame – bu layerdəki, paketləməyə deyilir )  bir cihazdan digərinə daşımaq üçün MAC adreslərdən istifadə edir.
Network Layer

Wireshark’dakı bir sonrakı hissə 3. Layer, yəni Şəbəkə qatıdır. Burada demək olar ki, istifadə edilən protokol yalnızca  İnternet Protokolu (IP) protokoludur. İki növü var; Birincisi 192.168.122.1 kimi adresləri istifadə edən IPv4 və FE80:0000:0000:0000:0202:B3FF:FE1E:8329 kimi adresləri istifadə edən IPv6 . IPv4 ən geniş itifadə olunandır. En çox IPv4 ilə qarşılaşacaqsınız ancaq IPv6’i göz ardı etməyin! Bəzi cihazlar tərəfindən istifadə edilir. Üçüncü qat ancaq end-to-end bağlantılarına əhəmiyyət verir, bir növ küçə adreslənməsi kimi düşünə bilərsiniz. Sadə bir nümüunə : Dünyanın hər hansı bir yerinə küçə nömrəsi ilə məktub göndərdiyinizi düşünün, IP ünvanları bütün dünyaya göndərmək üçün istifadə edilə bilər. Bu ünvan sizin ən çox təyin edəcəyiniz və ən çox qarışacağınız ünvandır.
IPv4 Ünvanları IP ünvanları səkkiz ikili rəqəmə malik olan dörd hissəyə bölünür və buna görə də oktet adlanır: <octet>.<octet>.<octet>.<octet>. Oktetdə gedə bilən ən böyük rəqəm 255-dir (səkkiz ikili rəqəmin təmsil edə biləcəyi ən böyük rəqəm).
 Kompüterdə və ya şəbəkə cihazında IP ünvanından istifadə edərkən o, həmişə “alt şəbəkə maskası / Subnet mask” ilə birləşdirilir. Bu alt şəbəkə maskası data ilə göndərilmir, lakin bələdçi kimi cihazlar tərəfindən istifadə olunur. Alt şəbəkə maskaları hansı cihazların yerli şəbəkələrinin nə olduğunu və nə olmadığını müəyyən etmək üçün istifadə olunur. Onlar adətən belə görünürlər: 255.255.255.0 (IP ünvanına bənzər) və ya /24 “kəsmə şəklində “. (Bu rəqəm alt şəbəkə maskasındakı bitlərin ümumi sayıdır, nəzərə alın ki, hər seqment 8 bitdir, ona görə də 8 + 8 + 8 = 24) Lokal şəbəkəni böyütmək üçün alt şəbəkə maskasındakı bitlərin sayı artırıla və ya azaldıla bilər və bu proses “subnetting” adlanır. Bugün  alt şəbəkə söhbətinə girməyəcəyik, bu bir az mürəkkəbdir saxlayaq gələn mövzulara .
 
 Lokal şəbəkədə iki şəxsi ünvan var
İlk ədədi ünvan ( əgər /.24 istifadə edilərsə – 0) “şəbəkə ünvanı” kimi qorunur və cihaza təyin edilməməlidir
İkinci ünvan “yayım ünvanı” adlanır. Bu, son ünvandır (/.255) və yerli şəbəkədəki hər kəsə göndərmək üçün istifadə olunur. Bu ünvana da cihaz təyin etməyin.
Başqa bir xüsusi ünvan da var, 255.255.255.255. Bu, hər hansı bir şəbəkənin və hər hansı bir şəbəkənin yayım ünvanıdır. Əgər bu təyinat ünvanıdırsa, bu, əsasən hamıya ünvanlanıb! Bu ünvana heç bir cihaz təyin etməyin.
Transport Layer

Bir sonrakı Layer isə Transport adlanır.Bu qatın xüsusi adresləmələri yoxdur, amma datanın hansı məqsəd üçün nəzərdə tutduğunu təyin etmək üçün istifadə olunur. Əlavə olaraq da, bu layer bütün datanın necə gəldiyini də idarə edir. Bu qatın istifadə etdiyi iki əsəs protokol var : TCP və UDP
 
TCP 
TCP iki tərəfin (adreslərin) əlaqə qurmasını və dataların doğru ardıcılıq ilə və sağlam(bütün) şəkildə ötürülməsini təmin edir. TCP “3lü əl sıxma/salamlamadan (3 way handshake)” istifadə edir.
Wireshark’takı ilk üç sətirdə , “3lü əl sıxma/salamlama” haqqında məlumat əldə etmək olur.

TCP-də hərbir əlaqənin vəziyətini bildirmək üçün bayraqlardan(FLAGS) istifadə edilir.
 
SYN Flag- İlk öncə SYN paketi göndərilir və qarşı tərəfdən SYN-ACK (təsdiq bayraqları olan) bir paket qəbul edər. Və “3-lü əl sıxma/salamlama” tamamlamaq üçün də əlaqəni başladan tərəfən ACK bayrağı olan paket göndərilir.Və son göndərilən bu paketin bir digər məqsədi də, paket ardıcılığına nəzarət edilə bilməsi üçün də sıra nömrələri istifadə edir.Qurulan bu əlaqənin hər iki tərəfdə də  bitdiyini  qeyd etməsi üçün FİN (tamamlandı) və ACK bayraqları ilə başqa bir əl sıxışma (Wireshark’takı son 4 sətirə baxın)  istifadə edilir.
 
UDP
Digər bir protokol UDP isə işləməsi və anlaşılması çox asandır – yəni qısaca bir əlaqinin edilib edilib edilməməsi və ya göndərilən data qarşı tərəfə çatıb çatmadığını yoxlama əziyəti çəkmədən hərşeyi göndərir )
PORT / PORTLAR
Portlar – hansı servisin hansı datalara təyin edildiyini bildirmək üçün həm TCP həm də UDP tərəfindən istifadə edilir. Məsələn, Veb serverin datalarını yoxsa e-poçt serverinin datalarını hədəflədiyinizi təyin etmık üçün Portlardan istifadə edilir. Yəni qısaca, portlar üzərindən öncədən təyin etdiyini servislər və ona aid datalar ötürülür.
 
Əlaqə quran hər iki tərəfində özlərinə aid bir Port adresləri olur. Göndərən tərəf cihazın Port adresi normalda, daha böyük bir port nömrəsinə və  ya   32768 ilə 61000 arasında  təsadüfi (random) olaraq seçilir. Qəbul edən tərəf isə gələn dataları qəbul etmək və ya ona təyin edilən xidməti yerinə yetirmək üçün verilən port adresini dinləyər (listening)
 
Bəzi servislər “hər kəs tərəfindən bilinən” portları dinləyər, məsələn, Veb serverlər onlara gələn istəkləri /requests dinləmək üçün 80 nömrəli portu istifadə edər. Buna görə də o port adres üzərindən xidmət almaq və ya da oraya sorğu göndərmək üçün 80 nömrəli port adresi hədəfləyər.

 
Bugünlük bu qədər : )
 
Növbəti yazıda isə ələ alacağım mövzular,
·         Routing təməlləri
·         OSİ Modeli
·         NAT
·         ARP
·         Adreslərin təyin edilməsi

Məqalə xoşunuza gəldi? Gələcək yazı üçün hər hansı bir sualınız və ya təklifiniz varsa, mehran@hematyar.net ünvanında və ya whatsapp da sizdən eşitmək istərdim .bu yazıdan yararlandığınız halda mənbəni qeyd etməyiniz xahiş olunur.

Author: Ph.D.c Mehran Hematyar(Hemmatyar -مهران همت یار )

Mehran Hematyar (Hemmatyar)

Ph.D (c) Mikrotik Cisco Official Trainer CyberSecurity Activist AzTU - UNEC - BMU - BANM Senior Lecturer

Leave a Reply

Your email address will not be published. Required fields are marked *

Related Articles

Qaçırmış Ola Bilərsiniz