|
İÇİNDEKİLER
İçindekiler
Önsöz 5
1. Network Adli Bilişimin Tanımı ve Kapsamı 13
1.1. Tanımsal Yaklaşım: Network Adli Bilişimin Temel Kavramsallaştırması 13
1.2. Kapsam: Teknik ve Operasyonel Katmanlar 13
1.2.1. Veri Toplama (Data Acquisition) 13
1.2.2. Veri Koruma ve Delil Zinciri (Chain of Custody) 13
1.2.3. Olay Tespiti ve Saldırı İzi Analizi 14
1.2.4. Adli Raporlama ve Delil Sunumu 14
1.3. Modern Tehditler Bağlamında Network Adli Bilişimin Evrimi 14
1.4. İnsan Unsuru ve Siber Kimlik Profillemesi 15
1.4.1 Geleneksel Adli Bilişim ile Farkları 15
1.4.1.1 Kavramsal Ayrışma 15
1.4.1.2 Yapısal Farklılıklar: Veri Türü, Zaman, Müdahale 16
1.4.1.3 Yöntemsel Ayrışma: Yakalama, Koruma, Analiz Süreci 16
1.4.1.4 Delilin Uçuculuğu 17
1.4.1.5 Vaka Tabanlı Karşılaştırma: Örnek Senaryolarla Farklar 19
1.4.1.6 Davranışsal ve Psikometrik Ayrım: İnsana Dair Farklar 19
1.4.2 Kullanım Alanları ve Önemi 21
1.4.2.1 Giriş 21
1.4.2.2 Kurumsal Ağ Güvenliğinde Kullanım Alanları 24
1.4.2.3 Kamu Kurumlarında Kullanım ve Devlet Güvenliği Açısından Önemi 25
2. Network Protokolleri ve Temel Kavramlar 27
2.1 OSI ve TCP/IP Katmanları 28
2.1.1 Katmanlar Arası İz: Saldırılar Hangi Katmanda İz Bırakır? 31
2.1.2 Görünmeyen Aktarım: Layer 2 ve 3’teki Sessiz İzler 32
2.1.3 Uygulama Katmanında Delil Üretimi: , SMTP ve DNS Protokolleri Üzerinden Forensik İzler 33
2.1.4 Katman Tabanlı Delil Haritası: OSI Modeline Göre Delil Sınıflandırması 35
2.1.5 Forensik Bozulmaya Açık Katmanlar: İz Silmenin En Kolay Olduğu Noktalar 38
2.1.6 Katmanlar Arası İz Takibi: Saldırının Forensik Süreçte Yükselmesi 39
2.1.7 TCP/IP’nin OSI ile Farklılaştığı Noktalarda Adli Duyarlılık 41
2.1.8 OSI Katmanlarında Müdahale Yetkisi 43
3. Veri Paketlerinin Analizi ve Yakalanması 47
3.1 Paket Yakalama (Packet Capture) Yöntemleri 48
3.1.1 Ağ Tabanlı ve Host Tabanlı Yakalama Teknikleri 51
3.1.2 SPAN, TAP ve Mirroring Arasındaki Farklar 53
3.1.3 Kablosuz Ortamda Paket Yakalama Zorlukları 55
3.1.4 Gerçek Zamanlı vs. Pasif Yakalama Senaryoları 57
3.2 Wireshark ile Uygulamalı Paket Analizi 58
3.2.1 Wireshark Arayüzünün Katmanlı Yapısı 60
3.2.2 Protokol Filtreleme ve Saldırı Tespiti için Kullanılan Filtreler 63
3.2.3 Wireshark ile Kimlik Doğrulama İzleri Nasıl Yakalanır? 65
3.2.4 ARP Spoofing, DNS Poisoning, TCP Reset ve Diğer Saldırı İmzalarının Analizi 67
3.2.5 Forensik Etiketleme: Delil Olarak Paketlerin Zaman ve Oturum Bağlantısı 70
3.3 pcap Dosyalarının İncelenmesi 72
3.3.1 pcap vs. pcapng: Dosya Formatı Karşılaştırması ve Meta Veri Yapıları 75
3.3.2 pcap Dosyası İçerisinde Kullanıcı Hareketlerinin Geriye Dönük İzlenmesi 77
3.3.3 Komut Satırı Tabanlı pcap Analizi: Tshark, tcpdump ve editcap 79
3.3.4 pcap Dosyalarında Zaman ve Paket Boyutu İlişkisi ile Anomali Tespiti 81
3.3.5 pcap Dosyalarının Hash’lenmesi ve Delil Zincirine Eklenmesi 84
3.4 Deep Packet Inspection (DPI) 86
3.4.1 DPI Nedir, Nasıl Çalışır? Katmanlar Üzerinden Derin Analiz 88
3.4.2 Gizli Tünellemelerin DPI ile Tespiti (DNS, ICMP, Tunneling) 90
3.4.3 DPI ile Şifreli Trafik Analizi Mümkün mü? 92
3.4.4 Adli Bilişimde DPI Kullanım Senaryoları 95
3.5 Zaman Damgaları ve Paket Zamanlaması 99
3.5.1 Her Paketin Bir Anlamı Vardır: Zaman Damgası Neden Kritiktir? 101
3.5.2 Zaman Senkronizasyonu: NTP Hatalarının Adli Etkilere Katkısı 103
3.5.3 Zaman Tabanlı İlişkilendirme: Bağlantıların Korelasyonu 105
3.5.4 Flood ve Scan Tespiti için Zaman Aralığına Dayalı Analiz 107
3.5.5 Zaman Damgalı Paketlerin Hash’lenerek Delil Olarak Saklanması 110
4. Sniffing Teknikleri ve Araçları 115
4.1 Sniffing Nedir? 115
4.1.1 Sniffing’in Kavramsal Temeli 118
4.1.2 Sniffing’in Amacı ve Kullanım Alanları 122
4.1.3 OSI ve TCP/IP Katmanlarında Sniffing 125
4.1.4 Şifreli ve Şifresiz Trafiğin Sniffing’e Karşı Dayanıklılığı 131
4.2 Aktif ve Pasif Sniffing Teknikleri 139
4.2.1 Pasif Sniffing Nedir? 145
4.2.2 Aktif Sniffing Nedir? 147
4.2.3 Teknik Karşılaştırma: Pasif vs Aktif Sniffing 153
4.2.4 Aktif Sniffing Senaryoları 156
4.3 ARP Spoofing ve MITM Saldırıları 160
4.4.1 ARP Protokolünün Zayıflıkları 163
4.4.2 ARP Spoofing Mekanizması 165
4.4.3 MITM (Man–in–the–Middle) Kavramı 167
4.4.4 SSL Strip ile S Trafiğinin Düşürülmesi 170
4.4.5 ARP Spoofing’e Karşı Koruma Yöntemleri 172
5. Log Yönetimi ve Logların Analizi 177
5.1 Log Türleri: Sistem, Ağ, Uygulama Logları 178
5.1.1 Sistem Logları ve Olay Kaydı Standartları 179
5.1.2 Ağ Logları ve Trafik İzleme Kayıtları 185
5.1.3 Logların Hiyerarşik Sınıflandırılması 197
6. Zararlı Yazılım Analizi ve Tespiti 207
6.1 Ağ Üzerinden Yayılım Gösteren Zararlılar 207
6.1.1 Yatay ve Dikey Yayılım Dinamikleri 208
6.1.2 SMB, RDP, RPC Protokolleri Üzerinden Zararlı Yayılım Yöntemleri 215
6.1.3 Self–Propagation (Kendi Kendine Yayılan) Zararlılar ve Ağ Trafik İpuçları 221
6.2 C2 Sunucuları ve Network Davranışları 229
6.2.1 C2 (Command & Control) Mimarisi: 232
6.2.2 C2 Trafik Tespiti: Şifrelenmiş ve Şifrelenmemiş Modeller 238
6.2.3 Beaconing (Düzenli İletişim) Trafik Analizi 249
6.2.4 DNS, S ve Sosyal Medya Tabanlı C2 Yöntemleri 254
6.2.5 C2 Trafiğinde Gizlenme ve Tünelleme Yöntemlerinin Forensik Tespiti 268
6.3 Sandbox ve Dinamik Analiz 280
6.3.1 Sandbox Teknolojisinin Ağ Forensik Bağlamdaki Rolü 284
6.3.2 Dinamik Analizde Ağ Trafiği: Normal ve Anormal Davranış Ayrımı 290
6.3.3 Anti–Sandbox Teknikleri Kullanan Zararlıların Davranış İpuçları 300
6.3.4 Sandbox İletişim İzleme Stratejileri: Pcap ve Netflow Analizleri 308
7. Tanık ve Delil Toplama İçin Yöntemler 317
7.1 Ağ Üzerinden Delil Toplama Prosedürleri 320
7.1.1 Aktif vs. Pasif Delil Toplama Yaklaşımları 321
7.1.2 TAP ve SPAN Port Üzerinden İzleme Teknikleri 323
7.1.3 Paket Seviyesinde Delil (Full Packet Capture) ve Meta–Data Kayıtları 325
7.1.4 Olay Anında ve Olay Sonrası Delil Toplama Farkları 329
7.1.5 Log Toplama ve Standartlaştırma Yöntemleri 330
7.1.6 Delil Toplama Araçlarının Güvenilirliği ve Sertifikasyonu 335
7.1.7 Adli Delil Olarak Ağ Trafiğinin Filtrelenmesi ve Kategorize Edilmesi 337
7.1.8 Bulut Tabanlı Sistemlerde Ağ Delili Toplama Yöntemleri 341
7.1.9 IoT ve SCADA Sistemlerinde Delil Toplama Yaklaşımları 343
7.1.10 Delil Toplarken Anti–Forensics Önlemleri 347
7.2 Dijital Tanıklık ve Zaman Uyumu 350
7.2.1 Zaman Damgası Güvenilirliği: NTP ve Saat Senkronizasyonu 351
7.2.2 Loglar Arası Zaman Tutarlılığı ve Olay Korelasyonu 354
7.2.3 Dijital Tanıklığın Tanımı ve Sınırları 357
7.2.4 Zaman Manipülasyonuna Yönelik Tespit Yöntemleri 359
7.2.5 Olay Zaman Çizelgesi Oluşturma Teknikleri (Timeline Forensics) 362
7.2.6 Zaman Hatalarının Delil Geçerliliğine Etkisi 366
7.2.7 Gerçek Zamanlı İzleme Sistemleri ve Forensik Uyum 368
7.2.8 Adli Süreçlerde Zamanın Sorgulanabilirliği ve Savunma Taktikleri 371
7.3 Chain of Custody (Zincirleme Delil Süreci) 374
7.3.1 Delil Bütünlüğü: Hash Değerleri ile Koruma 375
7.3.2 Zincirin İlk Halkası: Delilin İlk Alındığı Anın Kaydı 377
7.3.3 Delil Transferi: Fiziksel ve Dijital Aktarım Süreçleri 378
8. Adli Bilişim Araçları ve Yazılımlar 381
8.1 Wireshark, NetworkMiner, Xplico – Sessiz Paketin Anatomisi 382
8.1.1 Wireshark ile Derin Paket Analizi Teknikleri 383
8.1.2 Wireshark Tabanlı Forensik Vaka İncelemeleri ve Uygulama Senaryoları 385
8.1.3 NetworkMiner ile Pasif Trafik Toplama ve Otomatik Varlık Tespiti 387
8.1.4 NetworkMiner Log Analitiği ve Delil Çıkarımı 389
8.1.5 Xplico ile Görsel Oturum Yeniden Yapılandırması 391
8.1.6 , VoIP, FTP ve Mail Tabanlı İçerik Kurtarma Yöntemleri 392
8.1.7 Wireshark, NetworkMiner ve Xplico’nun Adli Bilişim Sürecindeki Rolü 394
8.2 Zeek (Bro), NetWitness, Sguil – Ağın Davranışını Dinleyen Üçlü 399
8.2.1 Zeek ile Davranışsal Trafik Analizi ve Forensik Script Yazımı 400
8.2.2 Zeek Loglarının Olay Zaman Çizelgesinde Kullanımı (Timeline Forensics) 402
8.2.3 NetWitness ile Tehdit Avcılığı ve Derinlemesine Olay İncelemesi 405
8.2.4 NetWitness Decoder ve Concentrator Mimarisi 406
8.2.5 Sguil ile Olay Yanıt Süreçlerinin Tetiklenmesi ve NSM Uygulamaları 408
8.2.6 Zeek, NetWitness ve Sguil’in Olay Müdahalesindeki Etkileşimi 410
8.2.7 IDS, NSM ve Forensik Senaryolarda Araçların Kullanım Örüntüleri 412
8.3 Araçların Karşılaştırmalı Özellikleri 414
8.3.1 Trafik Analizi Derinliği (L2–L7) 415
8.3.2 Loglama Yetkinliği ve Zaman Senkronizasyonu Uyumu 417
8.3.3 Grafiksel Arayüz vs. CLI Tabanlı Kullanım Etkinliği 419
8.3.4 Olay Korelasyonu Yetkinliği ve SIEM Entegrasyonu 421
8.3.5 Delil Saklama Standartlarına Uygunluk (Hashing, Timestamp, Export Formatı) 423
8.3.6 Performans ve Kaynak Tüketimi Kıyaslamaları 425
8.4 Araç Seçiminde Dikkat Edilmesi Gerekenler 428
9. Veri Bütünlüğü ve Güvenliği: Hash Fonksiyonları 431
9.1 Hash Fonksiyonu Nedir ve Neden Kullanılır? 432
9.1.1 Hash Fonksiyonu Tanımı ve Temel Özellikleri 433
9.1.2 Deterministik Yapı ve Girdi–Çıktı İlişkisi 435
9.1.3 Kriptografik Hash ile Normal Hash Arasındaki Fark 437
9.1.4 Veri Bütünlüğü ve Kimlik Doğrulamada Kullanım Senaryoları 438
9.1.5 Adli Bilişimde Hash’in Kavramsal Rolü 440
9.2 MD5, SHA–1, SHA–256 ve Güvenlik Seviyeleri 442
9.2.1 MD5 Özellikleri, Hızı ve Zafiyetleri 443
9.2.2 SHA–1'in Kriptanalitik Saldırılar Karşısındaki Dayanıklılığı 445
9.2.3 SHA–256 ve SHA–2 Ailesinin Güçlü Yönleri 447
9.2.4 Hash Fonksiyonlarının Hız–Güvenlik Dengesi 449
9.2.5 Günümüzde Tercih Edilen Hash Fonksiyonları ve Uygulama Alanları 451
9.3 Hash Çatışmaları ve Tehditleri 453
9.3.1 Hash Çakışması (Collision) Nedir? 455
9.3.2 MD5 ve SHA–1’de Bilinen Çatışma Saldırıları 456
9.3.3 Birthday Attack, Pre–image ve Second Pre–image Saldırıları 458
9.3.4 Çatışmaların Adli Bilişimde Doğurabileceği Sorunlar 462
9.3.5 Güvenilir Hash Algoritması Seçiminde Dikkat Edilmesi Gerekenler 465
9.4 Veri Doğrulama Süreçlerinde Hash Kullanımı 468
9.4.1 Dosya Bütünlüğü Doğrulama Yöntemleri 469
9.4.2 Network Trafiğinde Hash Kullanımı (Pcap, Log vb.) 471
9.4.3 Adli Kopya Alma Süreçlerinde Hashleme (Disk, Bellek İmajları) 473
9.4.4 Hash Doğrulama Kayıtlarının Denetlenebilirliği 474
9.5 Forensik Zincirde Hash Fonksiyonları 478
9.5.1 Zincirleme Delil Sürecinde Hash’in Yeri 479
9.5.2 Delil İmajlama ve Hash Tutarlılığı 480
Kaynakça ve Referanslar 483
Kavram Dizini 489 |
Bilgisayar, Teknoloji Kitapları 
