1. Duyuruyu Kapat

NetworkMiner İle Ağ Trafiği Analizi

'Windows Ailesi' forumunda KaliBot tarafından 25 Aralık 2015 tarihinde açılan konu

  1. KaliBot

    KaliBot Albay

    Katılım:
    30 Haziran 2015
    Mesaj:
    498
    Beğeniler:
    12
    Ödül Puanları:
    2
    Web Sitesi:
    Selamun Aleyküm Arkadaşlar Konumuzu Anlatmaya Çalıştım;
    1- Programın Genel Tanıtımı,
    2- Download & İnstall Anlatımı,
    3- Programın Kullanılışı.

    1- Network forensics (Ağ adlı)yazılımlarının sniffer ya da ağ analiz yazılımlarından ayrı olarak temel amaçları ağ üzerinden akan trafiği forensics prensipleri çerçevesinde incelemek ve uygun formatta raporlanmasını sağlamaktır. Bu bağlamda paket bazlı değil oturum bazlı çalışırlar. Burada bahsettiğimiz oturum, bir TCP oturumu değil daha üst çerçevede bir kavramdır. Örneğin bir kullanıcının bir web sitesine giriş yapması sırasında birden fazla TCP oturumu oluşturulur ama forensics açısından bakıldığında o kişinin ilgili web sitesine girmesi ve birden fazla TCP oturumu kurarak içerikleri istemesi tek başına bir oturumdur. Şimdi bu temel ayrımı yaptıktan sonra ağ üzerinde adli bilişim prensipleri çerçevesinde kullanabileceğimiz NetworkMiner uygulamasını değinelim.




    [​IMG]
    2- NetworkMiner, Windows ortamında çalışan bir Network Forensic Analysis ( Ağ Adlı Analiz ) uygulamasıdır. Free ve Professional olmak üzere iki versiyonu vardır ve ücretsiz versiyonun son sürümüne Buradan ulaşabilirsiniz; http://www.netresec.com/?page=NetworkMiner adresinden ulaşabilirsiniz. Bir adli bilişim incelemesi sırasında hem canlı ağ trafiği üzerinde hem de .pcap dosyaları üzerinde analiz gerçekleştirmek için kullanılabilir. Professional versiyonu ise bir USB flash üzerinde gelir ve direkt olarak olay müdahalesinin yapılacağı bilgisayarda çalıştırılabilir. Uygulamayı İndirdik. Uygulamayı yönetici olarak çalıştırdıktan sonra aşağıdaki ekran görüntüsünde yer alan bir ekran olacak… Araçların Kullanımları; Select a network adapter in the list : Seçmiş olduğunuz sistem üzerinden arama yapar. [​IMG] File: Open File seçeneği seçilerek dosyaya ulaşılır. ( .pcap vs.) [​IMG] Hosts: Hosts tabında ilgili pcap dosyası içinde yer alan paketlerin ait olduğu bilgisayarlara ilişkin o bilgisayarın IP adresi, ismi, varsa MAC adresi, hangi portlar üzerinden iletişim kurdu, gönderdiği ve aldığı trafiğin byte olarak miktarı gibi bilgiler yer alır. ( Sort Hosts On: da ise İstediğiniz aramayı yaparsınız.) [​IMG] Frames (çerçeve): Çıkan sonuçların hangi İP lere bağlı olduğunu gösterir. [​IMG] Files: Files tabında ise NetworkMiner tarafından extract edilen dosyalara ait bilgiler yer alır. Bu dosyalar geçici bir dizin altında extract edilir ve istenildiği takdirde ilgili dosyanın üzerinde sağ tıklanıp [​IMG] İmages: NetworkMiner uygulaması pcap dosyası içinde yer alan resimleri ayrı bir tab altında gösterir. Bu sayede adli bilişim incelemesinde özellikle aranan bir resim ya da içerik varsa hızlı şekilde bu resim ya da içeriğe kimin eriştiği bilgisi elde edilebilir. Images tabında yer alan bu resimlerin üzerine mouse ile gelindiğinde o resmin hangi IP adresinden hangi IP adresine doğru gerçekleşen bir trafiğin içinde yer aldığı ve geçiçi olarak tutulduğu dizin bilgisi gösterilir. [​IMG] Credentials: Credentials tabında ilgili pcap dosyasında yer alan HTTP çerezleri (cookie), NTLM challenge-response mesajları ve clear text taşınan şifreler yer alır. [​IMG] Sessions: Sonuçların İP’sini Protokol’nosunu verir [​IMG] DNS: DNS, whois, site içeriği, Karalistelere girme durumu, SSL sertifika durumu gibi bilgilerin değişip değişmediğini 7X24 kontrol eden ve ve değişiklik anında size haber vermesini sağlayan sistemdir

    [​IMG]


    Parameters: Nereden Bağlandığını Gösterir.

    [​IMG]


    Keywords: NetworkMiner’ın en kullanışlı özelliklerinden birisi de Keywords tabı üzerinden kullanılan ve belirli bir karakter dizisinin pcap dosyası içinde aranmasına imkan tanıyan özelliktir. Arama yapılacak karakter dizilerinin pcap dosyasını yüklemeden önce NetworkMiner’a girilmiş olması yada pcap dosyası yüklendikten sonra aranacak kelimeler girildiyse bu durumda Reload Case Files butonuna basarak pcap dosyasının yeniden işlenmesi sağlanmalıdır.

    [​IMG]


    İnşAllah anlatmaya çalıştım, yardımcı olabilmişimdir…

    NoT: Alıntıdır
     
  2. nztx

    nztx New Member

    Katılım:
    17 Aralık 2015
    Mesaj:
    10
    Beğeniler:
    0
    Ödül Puanları:
    0
    Ellerine sağlık
     
  3. ProHacker

    ProHacker Albay

    Katılım:
    20 Mart 2016
    Mesaj:
    434
    Beğeniler:
    1
    Ödül Puanları:
    16
    Şehir:
    Belirtilmemiş
    Heyecanla okudum.
    Elinize sağlık.
    Aklıma şu takıldı:
    Bu yöntemle .pcap dosyasında forum veya facebook tarzı bir siteye giriş yaparken kullandığı e posta ve şifreyi yakalama şansımız var değil mi?
     
  4. tababa86

    tababa86 Albay

    Katılım:
    12 Mart 2016
    Mesaj:
    871
    Beğeniler:
    54
    Ödül Puanları:
    28
    Cinsiyet:
    Erkek
    Şehir:
    Kore
    Bir ara Skystar 2 dvb tv kartından uydu sinyallerinden snif yapıyordum.Ona benziyor...İlginç bir araç.:cool:
     

Bu Sayfayı Paylaş

Share