GNU/Linux Cybersecurity - ağ yakalama dosyasını analiz etmek ve kapsamlı bir rapor oluşturmak

  • Konbuyu başlatan Sld
  • Başlangıç tarihi
S

Sld

Ziyaretçi
merhaba arkadaslar, siberguvenlik kurslarina yeni basladim ve suan ilk yazili sinavima hazirlaniyorum.

Proje seklinde hazirlanmasi gereken bir odev ve 2 bolumden olusuyor. Birinci bolumde, bize verilmis bir pcap dosyasini Wireshark'da analiz edip Malware nin kimden/nerden/nasil geldigini bulup raporlamak.
Ikinci bolumde ise bu gorevi anlatan bir video cekmek. Gorevin bu ilk bolumunde, analizi basli gozlu anlayabilmem icin yardima ihticayim var. Nerden baslayacagim, bu durumda hangi filtreler kullanilmali ve nasil raporlanmali vs.

Sanirim bu ilk sinav oldugu icin ve bende nerden baslayacagimi tam anlamadim.
Yardim edebilirmisiniz lutfen?

Simdiden tesekkurler
Sld
 
Tarihe göre sırala Oylara göre sırala
Eratronos

Eratronos

Ar-Ge Ekibi Asistanı
8 Kas 2021
168
93
(LPSTR)"dxeiz.exe";
Merhaba sizlere bir görev vereceğim diyim, bu sizin Wireshark anlamanıza yardımcı olacaktır. Bundan sonra nasıl yapılacağını umarım öğrenirsiniz.

İlk olarak Tryhackme den bunu bir Writeup okuyarak yapmanızı isteyeceğim.

Ayrıca Türkçe kaynak olarak bu makaleyi okumanızı tavsiye ederim.
 
Oyla 0 Downvote
Lihtg

Lihtg

Moderatör
15 Mar 2022
2,013
851
lihtgTHT.php
Merhabalar, daha iyi kavrayabilmek için farklı kaynaklardan farklı anlatımlar dinlemek sizin için daha doğru olacaktır. İngilizce olarak fazla fazla kaynak var, örnek olarak aşağıdaki videoları inceleyebilirsiniz. Esenlikler.
medium.com

Analyzing PCAP Files using Wireshark

Hello, thanks for stopping by to read this blog. Its a deep-dive into the use of Wireshark to investigate captured network traffic.
medium.com medium.com
 
Oyla 0 Downvote
S

Sld

Ziyaretçi
@Eratronos ve @Lihtg,

Cevapladiginiz icin tesekkur ederim.
Gonderdiginiz kaynaklari okudum/izledim (Hashi kinin videosu ekran hatasi veriyor bu arada).

Guideline gibi bir bilgi kaynaginiz olabilir mi? Hani adim anlatan.
Zaten bir cok kaynaktan faydalandigim icin kafam iyice karisti.
Hangi filtreyi kullanmaliyim hangisi ne ise yarar cok sacmaladi.
Asagida Assignment Structure yada Methodology olarak hazirladigim bir eki paylasiyorum.
Bi bakarmisiniz dogru filtreleri dogru siralama yapmismiyim diye?

Mesela ben ilk once Protocol Hierarchy ile basladim ve Endpoint ile devam ettim Sonra bu asagidaki sirayi takip edecegim.
Zamansizliktan biraz panikledigim dogrudur.


Assignment 1: Project analysis of data traffic flows

Methodology: Establishing a Network Baseline
1. Data Collection
A. Traffic density:
Data Source: Network monitoring tools such as NetFlow or SNMP.
By monitoring overall network traffic over time (hourly, daily, weekly),
The total number of bytes transmitted and received was recorded.

B. Protocols and Ports:
Data Source: Network logs, firewalls or packet captures (pcap files).
Using different protocols (HTTP, DNS, FTP, etc.), it was determined which ports were commonly used (e.g. 80 for HTTP, 443 for HTTPS).

C. Devices and Users:
Data Source: Listed all devices (servers, workstations, IoT devices) and their roles using network inventory, DHCP logs, authentication logs. Additionally, user activity and authentication models were processed.

D. Applications:
Data Source: Application logs, proxy logs.
Figure out which applications generate the most traffic (web browsers, email clients, file sharing tools).

to. Performance Metrics:
Data Source: Network monitoring tools, performance monitoring systems.
Captured latency, bandwidth usage and response times.


2. Data Analysis
A. Normalize Data:
Calculate means, medians, and standard deviations for each measurement.
Normalize data by time intervals (hourly, daily, weekly).

B. Document the Baseline:
????

Valid Data Traffic Flows
A. Regular User Activity:
Web Browsing: Identify HTTP traffic (port 80) or HTTPS (port 443).
Understand user behavior, visited websites, and potential security risks.
Email Traffic: Look for SMTP (port 25) or IMAP/POP3 (ports 143/110) traffic.
Validate legitimate email communication.

B. Legitimate File Transfers:
FTP Traffic: Confirm FTP data transfers (port 21).
Verify authorized file exchanges.

HTTP Downloads: Check for large HTTP downloads (e.g., software updates).
Ensure they are expected and not malicious.

C. Standard Communication:
DNS Queries: Monitor DNS traffic (port 53).
Understand domain resolutions and potential DNS tunneling.

ICMP (Ping) Traffic: Detect network connectivity checks.
Ensure normal network health.
 
Oyla 0 Downvote
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.