Argus Aracı ile Network Flow Analizi

0
338
views
Argus, ağ adli analizinde kullanılan network flow araçlarından bir tanesidir. Bu yazıda Argus aracının Kali Linux üzerinde kurulumu ve konfigurasyonu detaylıca anlatılacaktır.

Argus kelimesi yüzlerce gözü olan bir mitolojik Yunan tanrısının adından gelmektedir. Argus, ağ trafiğini kapsamlı olarak denetlemek için tasarlanmış bir gerçek zamanlı ağ akış monitörü uygulamasıdır. Argus açık kaynak kodludur ve  server-client olmak üzere iki bileşenden oluşmaktadır.

 

Argus Kurulumu

Argus kurulumunu Kali 2018.v1 dağıtımı üzerinde kaynak kodundan derleyerek gerçekleştireceğiz. Öncelikle kaynak indirilmesi bir kaç gerekli paketin kurulması ve son olarak da Argus kaynak kodlarının derlenmesi ve kurulması etapları aşağıdaki gibi gerçekleştirilir. Bu komutlar yardımıyla kurulumu sorunsuz şekilde gerçekleştirebilirsiniz.

 

Not: Ubuntu 16.04 dağıtımında paket olarak gelmektedir fakat eski versiyonu olduğu için yeni eklenen özellikler bu versiyonda yoktur. O yüzden güncel sürümünün kurulması daha iyi olacaktır.

 

Argus aracının en önemli özellikleri büyük miktarda veriyi verimli bir şekilde depolayabilme, bu verileri hızlıca işleyebilme ve analiz edebilme kabiliyetine sahiptir. Bunun yanı sıra her bir akışın paket dinamiklerini ve semantiğini istatistiksel işlemler yaparak yakalar. Bu açıdan, Argus aracı, ağ güvenliği yönetiminde ve ağ adli analizinde kullanılabilir.

Argus sunucu bileşeni canlı trafikten ya da kayıtlı pcap dosyalar üzerinde işlem yaparak ilgili bileşenleri binary olarak kaydeder. Bu bileşenin bir yapılandırma dosyasına ihtiyaç duyar. Aşağıda örnek bir yapılandırma verilmiştir.

Buradaki yapılandırma dosyasındaki en önemli iki anahtara biraz değinelim.

  • ARGUS_FLOW_TYPE anahtarı ağ akışının tipini belirler. Bilindiği gibi ağ akışı “Bidirectional” ve “Unidirectional” olmak üzere ikiye ayrılır.
    • Unidirectional: Ağ akışının iki ucu arasındaki kaynak ve hedef noktalar için ayrı ayrı flow kayıdı oluşturulur. Yani A <-> B arasındaki bağlantıda hem A->B’ye bir ağ akışı hem de B->A’ya bir ağ akışı oluşturulur.
    • Bidirectional: Ağ akışının iki ucu arasındaki kaynak ve hedef noktalar için tek bir ağ kaydı oluşturulur.
  • ARGUS_FLOW_STATUS_INTERVAL anahtarı ağ akışında belirtilen süre içerisinde periodik olarak flow kaydı oluşturur. Böylelikle çok uzun ömürlü akışların aktivitesine daha net ve anlamlı göz atılmış olunabilir.

Yukardaki yapılandırma dosyası argus.conf adında kaydedilip. Aşağıdaki gibi öncelikle bir pcap dosyası indirilerek daha sonra argus sunucunun bunu işleyip binary olarak test.argus dosyasına kaydetmesi sağlanır.

wget https://mcfp.felk.cvut.cz/publicDatasets/CTU-Malware-Capture-Botnet-50/normal-capture-20110817.pcap –no-check-certificate argus -F argus.conf -r normal-capture-20110817.pcap -w test.argus

 

İstemci bileşeninin de analiz edilen ve kaydedilen binary dosydan istenilen verileri elde etmek için aşağıdaki gibi bir yapılandırma kullanılabilir.

 

Yapılandıma dosyası ra.conf olarak kaydedilip aşağıdaki gibi çalıştırılabilir.

ra -F ra.conf -r test.argus | head -5

Örnek olması açısından sadece ilk 5 çıktı ekranda gösterilmiştir.  ra.conf içerisinde istediğiniz alanları aktif edip analizinizi kişiselleştirebilirsiniz. Bir sonraki yazımızda bu alanları özellik olarak kullanan makina öğrenmesi algoritmaları aracılığıyla ağ protokollerinin tespit ve sınıflanmasını işleyeceğiz. Bir sonraki yazıda görüşmek üzere.

 

Kaynaklar:

http://argus.tcp4me.com/install.html

 

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz