1
Bilgisayar Ağlarında Adli Bilişim Analizi(Network Forensics)
EĞĠTĠM SÜRESĠ
Dört (4) Gün
NELER KATACAK?
-Ağ ve güvenlik sistemlerinin
detaylı çalışma yapısının
anlaşılması
-Ağ ve güvenlik sistemlerinin
adli bilişim açısından ince-
lenmesi
-Internet izleme ve telefon
dinleme sistemlerinin teknik
ayrıntıları
-Olay inceleme
-Ağ trafiğinde veri analizi,
kanıt toplama ve koruma
yöntemleri
-GSM dünyası ve çalışma
yapılarının anlaşılması
-Adli analiz konusundaki
güncel yazılımların efektif
kullanımı.
ĠġLEYĠġ VE
EĞĠTĠM NOTLARI
Eğitim gerçek sistemler üze-
rinde uzman eğitmenler eşli-
ğinde uygulamalı olarak ger-
çekleştirilecektir. Eğitim son-
rası katılımcılara gerçek
olaylar üzerinde inceleme
yapması için olanaklar sağla-
nacaktır.
 Eğitime özel Linux dağı-
tımı Vmware imajı
 Eğitim notlarının basılı
hali
 “Uygulamalı TCP/IP ve
Ağ Güvenliği” kitabı
 Eğitim notlarına bir yıllık
online erişim hakkı
 Katılım sertifikası
Bilgi Güvenliği AKADEMİSİ www.bga.com.tr | Tüm Hakları Saklıdır. © 2010
Günümüz sosyal yaşamın parçası haline gelen siber dünyaya bağımlılık arttıkça bu du-
rum suç odaklarının da dikkatini çekmiş ve bilişim sistemleri suç aracı olarak kullanılma-
ya başlanmıştır.
Bilişim suçlarının araştırılmasında en önemli hususlardan birisi sayısal kanıtlardır. Bilişim
sistemi denildiğinde akla gelen ilk sözcüklerden biri “ağ “ olmaktadır. Bağlantısız (ağsız)
bilgisayar tekerliksiz araca benzer özlü sözünün doğruluğunu kanıtlar nitelikte tüm bili-
şim suçlarında en önemli bileşen “ağ” kavramı olmaktadır.
Bu ağ yeri geldiğinde internet, yeri geldiğinde yerel/özel ağ, yeri geldiğinde GSM olmak-
tadır.
Bu eğitimle birlikte günümüz bilişim dünyasının en önemli bileşeni sayılabilecek bilgisa-
yar ve GSM ağlarının çalışma mantığı, suç odaklarının internet, GSM altyapılarını kulla-
narak hangi yöntemlerle, nasıl suç işledikleri, izlerini nasıl sildikleri uygulamalı olarak
gösterilecektir.
Eğitim sonunda her bir katılımcı bilgisayar ağları kullanılarak işlenen suçlarda olay anali-
zi, delil toplama, iz sürme, delil karartma gibi süreçleri teknik detaylarıyla pratik olarak
görme şansı yakalayacaktır.
KĠMLER KATILMALI?:
 Sistem yöneticileri
 Ağ yöneticileri ve operatörleri
 Ağ güvenliği yönetici ve operatörleri
 Bilgi güvenliği uzmanları
 Adli bilişim uzmanları
 Bilişim hukuku alanı çalışanları
ÖN GEREKSĠNĠMLER:
 Temel TCP/IP ve ağ bilgisi
 Katılımcılara onlien olarak ağ ve tcp/ip eğitimi hediye edilecektir.
EĞĠTĠM ĠÇERĠĞĠ:
Network Forensics Kavramları
 Adli analiz bilimi ve çeşitleri
 Bilgisayar ağlarında adli analiz
 Adli bilişim analizi
 Bilgisayar ağlarında adli bilişim analizinin önemi
 Diğer adli analiz çeşitlerinden farklılıkları
 Adli bilişim analizlerinde zaman kavramı ve önemi
 Bilgisayar ağlarında adli bilişim ve Türkiye’deki kanunlar (5651)
TCP/IP Ağlarda Protokol Analizi
 Paket, protokol kavramları
 Paket, protokol analizi

Bilgisayar Ağlarında Adli Bilişim Analizi(Network Forensics)
EĞĠTĠM SÜRESĠ
Dört (4) Gün
NELER KATACAK?
-Ağ ve güvenlik sistemlerinin
detaylı çalışma yapısının
anlaşılması
-Ağ ve güvenlik sistemlerinin
adli bilişim açısından ince-
lenmesi
-Internet izleme ve telefon
dinleme sistemlerinin teknik
ayrıntıları
-Olay inceleme
-Ağ trafiğinde veri analizi,
kanıt toplama ve koruma
yöntemleri
-GSM dünyası ve çalışma
yapılarının anlaşılması
-Adli analiz konusundaki
güncel yazılımların efektif
kullanımı.
ĠġLEYĠġ VE
EĞĠTĠM NOTLARI
Eğitim gerçek sistemler üze-
rinde uzman eğitmenler eşli-
ğinde uygulamalı olarak ger-
çekleştirilecektir. Eğitim son-
rası katılımcılara gerçek
olaylar üzerinde inceleme
yapması için olanaklar sağla-
nacaktır.
 Eğitime özel Linux dağı-
tımı Vmware imajı
 Eğitim notlarının basılı
hali
 “Uygulamalı TCP/IP ve
Ağ Güvenliği” kitabı
 Eğitim notlarına bir yıllık
online erişim hakkı
 Katılım sertifikası
Bilgi Güvenliği AKADEMİSİ www.bga.com.tr | Tüm Hakları Saklıdır. © 2010
 Örnek protokol analiz çalışmaları
 http, smtp, arp, tcp, udp, voip, h323,
sip, msn,. HTTP, SIP, FTP, IMAP, POP,
SMTP, TCP, UDP, IPv4, IPv6, ...
 Internet trafiği takip/izleme sistemleri ve
çalışma mantığı
 Ağ trafiğini gizli/okunmaz hale getirme
 Tünelleme sistemleri
 Şifreli tünelleme sistemleri
 Paket yakalama ve analiz araçları
 tcpdump, Wireshark, snort, tshark, Ar-
gus, Kismet, Ngrep, NetworkMiner, Xpli-
co, tcpxtract, Ntop, NetFse, tcpstat,
tcpdstat, Etherape, p0, Netwitness
 Ağda çalışan paket koklayıcı(Sniffer) ya-
kalama
ġifreli trafik analizi
 SSL, TLS incelemesi
 SSL trafiğinde araya girme, veri okuma
 SSL trafiği ve HTTP (HTTPS)
 Şifreli anonimleştirme ağları (TOR ) ince-
lemesi
Derinlemesine Paket Ġncelemesi(DPI)
 Saldırı ve anormallik tespit sistemleri
 Çalışma yapıları
 Paket karekteristiği algılama
 Diğer güvenlik sistemlerinden temel
farklılıkları
 Açık kod IPS/ADS sistemleri
 BroIDS
 Snort IDS
 Saldırı tespit sistemi imzaları nasıl geliş-
tirilir?
 Saldırı tespit sistemleri kötücül yazılımlar
tarafından nasıl atlatılır?
 Saldırı tespit sistemleri ve şifreli trafik
 Yakalanan paketlerden orjinal verilerin
elde edilmesi
 Ağ trafiğinde kelime bazlı izleme
 Uygulama seviyesi protokollerin pasif
olarak izlenmesi
2
Ağ Trafiği Analizinde Donanımsal Bile-
Ģenler
 HUB
 Switch
 Bridge
 Router
 TAP sistemleri
TCP/IP Protokollerine Yönelik Adli Bili-
Ģim Analizi
 TCP/IP 2. katmana yönelik adli bilişim
analizi
 MAC adreslerinin kanıt olma durumu
 KAblosuz ağlarda MAC adresleri ve öne-
mi
 ARP saldırıları ve önlemleri
 ArpON, Arpwatch yazılımları
 IP katmanında adli bilişim analizi
 Yerel ağlar ve Internet üzerinde IP ad-
resleri
 IP adresleri ve sahiplerinin bulunması
 IP adreslerinin lokasyon bilgilerine ulaş-
ma
 Sahte IP adresleriyle iletişim

Sahte IP adreslerinin belirlenmesi ve
engellenmesi
 TCP ve UDP katmanlarında adli bilişim
analizi
 DNS protokolü üzerinde adli bilişim anali-
zi
 DNS protokolü ve çalışma mantığı
 DNS hakkında bilgi toplama, dns sorgu-
ları
 Dns tünelleme yöntemleriyle veri trans-
feri
 Socks proxyler ve dns sorguları
 Dns flood saldırıları ve incelemesi
 HTTP trafiği ve çalışma mantğı

HTTP komutları, istek ve cevapları
 HTTPS trafiği inceleme
 HTTPS trafiğinde araya girme
 HTTP paketlerini ağda yakalama .
 URL saklama teknikleri
 Veri encoding ve decoding

Bilgisayar Ağlarında Adli Bilişim Analizi(Network Forensics)
EĞĠTĠM SÜRESĠ
Dört (4) Gün
NELER KATACAK?
-Ağ ve güvenlik sistemlerinin
detaylı çalışma yapısının
anlaşılması
-Ağ ve güvenlik sistemlerinin
adli bilişim açısından ince-
lenmesi
-Internet izleme ve telefon
dinleme sistemlerinin teknik
ayrıntıları
-Olay inceleme
-Ağ trafiğinde veri analizi,
kanıt toplama ve koruma
yöntemleri
-GSM dünyası ve çalışma
yapılarının anlaşılması
-Adli analiz konusundaki
güncel yazılımların efektif
kullanımı.
ĠġLEYĠġ VE
EĞĠTĠM NOTLARI
Eğitim gerçek sistemler üze-
rinde uzman eğitmenler eşli-
ğinde uygulamalı olarak ger-
çekleştirilecektir. Eğitim son-
rası katılımcılara gerçek
olaylar üzerinde inceleme
yapması için olanaklar sağla-
nacaktır.
 Eğitime özel Linux dağı-
tımı Vmware imajı
 Eğitim notlarının basılı
hali
 “Uygulamalı TCP/IP ve
Ağ Güvenliği” kitabı
 Eğitim notlarına bir yıllık
online erişim hakkı
 Katılım sertifikası
Bilgi Güvenliği AKADEMİSİ www.bga.com.tr | Tüm Hakları Saklıdır. © 2010
 HTTP oturum yönetimi ve cookie mantığı
 Veritabanı ağ bağlantıları incelemesi
 Ağ üzerinde Mysql iletişimi
 Ağ üzerinde MsSQL iletişimi
 Ağ üzerinde Oracle iletişimi
 DHCP
 DHCP’nin adli bilişim açısından önemi
 Dhcp bilgisayara ait hangi bilgileri verir
 Dhcp logları analizi
 Dhcp kullanarak mitm saldırıları
 Wireless da dhcp vs ne olabilirse
Güvenlik Cihazları Ve Temel ÇalıĢma
Mantıkları
 Router ve işlevi
 OSI ve TCP/IP’deki görevleri
 Firewall ve kullanım amaçları
 Firewall çeşitleri
 OSI ve TCP/IP’deki görevleri
 Örnek firewall kuralları ve analizi
 Firewall log analizi
 IPS ve kullanım amaçları
 Firewall, IPS farklılıkları
 Örnek IPS, ADS kuralı geliştirme çalış-
maları
 IPS loglarını yorumlama
E-posta ĠletiĢiminde Adli BiliĢim Analizi
 E-posta çalışma mantığı
 SMTP, POP, IMAP protokolleri
 SMTP Ve DNS ilişkisi
 SMTP 25. port ve 587( Submission) fark-
lılıkları
 E-posta başlık incelemesi
 E-posta göndericisinin IP adresi ve lokas-
yonunun bulunması
 Sahte e-posta başlık bilgileri kullanarak
posta gönderimi
 Yahoo webmail üzerinden gönderilen e-
postaların incelenmesi
 Gmail webmail üzerinden gönderilen e-
postaların incelenmesi
3
 Hotmail webmail üzerinden gönderilen e-
postaların incelenmesi
 Diğer web tabanlı e-posta servisleri üze-
rinden gönderilen postaların incelenmesi
 Anlık e-posta gönderim servisleri
 Facebook üzerinden gönderilen mesajla-
rın kimliğini belirleme
 Hotmail, Yahoo, Gmail, gibi webmail hiz-
metlerinde e-posta göndericisini bulma
 Spam mantığı ve incelemesi
 Spam gönderen firmaların bulunması
 E-posta takip programları ve çalışma
yapıları
 E-postanızı kaç kişi okudu?
 E-postanızı hangi bilgisayarlardan kimler
okudu?
 E-postanız kaç kişiye iletildi(forward)
Windows Kullanılan Ağlarda Adli BiliĢim
Analizi
 Windows spesifik ağ protokolleri

Windows ağ servisi logları
 Başarılı başarısız giriş deneyimleri
 Windows güvenlik duvarı logları
 Windows güvenlik olay loglarının incelen-
mesi
 Açık servisleri ve kullanan programları
bulma
Linux/UNIX Kullanılan Ağlarda Adli Bili-
Ģim Analizi
 Linux ağ servisi logları
 Linux iptables güvenlik duvarı logları
 Linux sistemlerde güvenlik olaylarının
logları
 Başarılı başarısız giriş deneyimleri
Kablosuz Ağlarda Adli BiliĢim Analizi
 Kablosuz ağ protokolleri ve kullanımı
 Kablosuz ağlarda trafik analizi
 Trafik analiz yazılımları
 Wireshark
 tcpdump, tshark

Bilgisayar Ağlarında Adli Bilişim Analizi(Network Forensics)
EĞĠTĠM SÜRESĠ
Dört (4) Gün
NELER KATACAK?
-Ağ ve güvenlik sistemlerinin
detaylı çalışma yapısının
anlaşılması
-Ağ ve güvenlik sistemlerinin
adli bilişim açısından ince-
lenmesi
-Internet izleme ve telefon
dinleme sistemlerinin teknik
ayrıntıları
-Olay inceleme
-Ağ trafiğinde veri analizi,
kanıt toplama ve koruma
yöntemleri
-GSM dünyası ve çalışma
yapılarının anlaşılması
-Adli analiz konusundaki
güncel yazılımların efektif
kullanımı.
ĠġLEYĠġ VE
EĞĠTĠM NOTLARI
Eğitim gerçek sistemler üze-
rinde uzman eğitmenler eşli-
ğinde uygulamalı olarak ger-
çekleştirilecektir. Eğitim son-
rası katılımcılara gerçek
olaylar üzerinde inceleme
yapması için olanaklar sağla-
nacaktır.
 Eğitime özel Linux dağı-
tımı Vmware imajı
 Eğitim notlarının basılı
hali
 “Uygulamalı TCP/IP ve
Ağ Güvenliği” kitabı
 Eğitim notlarına bir yıllık
online erişim hakkı
 Katılım sertifikası
Bilgi Güvenliği AKADEMİSİ www.bga.com.tr | Tüm Hakları Saklıdır. © 2010
 Kismet
 Promiscious ve monitor mode farklılıkları
 Kablosuz ağlardan bilgi toplama
 Ağa bağlı istemcileri bulma
 Erişim noktası(AP) lokasyon tespiti
 İstemcilerin daha önce hangi ağlara bağ-
lanıldığını listesi
 Şifreli WLAN paketlerini çözümleme
(WEP/WPA)
Voip Sistemlerde Adli BiliĢim Analizi
 Temel Voip bilgisi
 TCP/IP ve Voip
 Voip için kullanılan protokoller
 Real-Time Protocol (RTP)
 Real-Time Transport Protocol (RTCP)
 H.323
 SIP
 MGCP (Media Gateway Control Protocol/
Megaco)
 Arayan numaranın hangi şirkete, hangi
lokasyona ait olduğunun bulunması
 Voip ağlarını tarama
 Caller id spoofing teknikleri
 Sahte numaralardan SMS gönderimi
 SIP protokolü analizi
 SIP-PSTN, PSTN-SIP iletişimi
 VOIP üzerinden yapılan telefon konuş-
malarının kaydedilmesi
 Skype güvenliği ve analizi
 Ağ trafiğinde skype analizi
 Skype telefon görüşmelerinin izlenmesi
GSM Ağlarında Adli BiliĢim Analizi
 GSM Hakkında Temel Bilgiler
 Temel Kavramlar
 GSM (Global System for Mobile Commu-
nication)
 BTS (Base Transceiver Station)
 GPRS (General Packet Radio Service)
4
 HSDPA (High-Speed Downlink Packet
Access)
 3G
 Roaming
 IMEI
 UMTS (Universal Mobile Telephony Stan-
dard)
 Base Station Subsystem (BSS)
 Mobile Station (MS)
 Home Location Register (HLR)
 Visitors Location Register (VLR)
 MSISDN
 SS7 protokolü
 GPRS ve 3G bağlantı tipleri

Telefon dinleme yöntemleri
 Ortam dinleme telefon dinleme farkları
 GPRS/EDGE ve 3G güvenliği
 GTP/GGSN/SGSN protokolleri incelemesi
 BlackBerry, iphone ağ trafiklerinin ince-
lenmesi
 BlackBerry iletişim güvenliği
Ağ Ve Güvenlik Cihazlarında Log Analizi
 DHCP loglarının analizi
 Wireless AP loglarının incelenmesi
 Switch ve router sistemlerinin loglama
altyapısı ve incelemesi
 Cisco sistemlerde denetim loglarının açıl-
ması ve izlenmesi
 show audit komutları
 Cisco loglama altyapısı
 AAA loglama
 syslog loglama
 Netflow, sflow , jflow

Güvenlik duvarı(Firewall) loglama altya-
pısı ve logların incelenmesi-
 Web sunucu loglarının incelenmesi
 Apache logları
 IIS logları
 Saldırı tespit ve engelleme sistemleri
loglarının analizi

Bilgisayar Ağlarında Adli Bilişim Analizi(Network Forensics)
EĞĠTĠM SÜRESĠ
Dört (4) Gün
NELER KATACAK?
-Ağ ve güvenlik sistemlerinin
detaylı çalışma yapısının
anlaşılması
-Ağ ve güvenlik sistemlerinin
adli bilişim açısından ince-
lenmesi
-Internet izleme ve telefon
dinleme sistemlerinin teknik
ayrıntıları
-Olay inceleme
-Ağ trafiğinde veri analizi,
kanıt toplama ve koruma
yöntemleri
-GSM dünyası ve çalışma
yapılarının anlaşılması
-Adli analiz konusundaki
güncel yazılımların efektif
kullanımı.
ĠġLEYĠġ VE
EĞĠTĠM NOTLARI
Eğitim gerçek sistemler üze-
rinde uzman eğitmenler eşli-
ğinde uygulamalı olarak ger-
çekleştirilecektir. Eğitim son-
rası katılımcılara gerçek
olaylar üzerinde inceleme
yapması için olanaklar sağla-
nacaktır.
 Eğitime özel Linux dağı-
tımı Vmware imajı
 Eğitim notlarının basılı
hali
 “Uygulamalı TCP/IP ve
Ağ Güvenliği” kitabı
 Eğitim notlarına bir yıllık
online erişim hakkı
 Katılım sertifikası
Bilgi Güvenliği AKADEMİSİ www.bga.com.tr | Tüm Hakları Saklıdır. © 2010
5
 Logların merkezi syslog sunucusuna ak-  Tuzak sistemler kullanma
tarılması  Anonimleştirici ağlardan saldırı gerçek-
 Loglara sayısal zaman damgası vurma leştirme
Örnek Olay Ġncelemeleri
 DDOS saldırı analizi
 SYN Flood saldırı analizi
 HTTP GET flood saldırı analizi
 DNS flood saldırı analizi-DDoS saldırı
analizi
 Hacklenmiş web sunucu analizi
 Hacklenmiş e-posta hesabı analizi
 Proxy üzerinden gerçekleştirilen saldırıla-
rın analizi
 MITM saldırısına uğramış yerel ağlarda
analiz çalışması
 İzinsiz sniffer kullanan çalışanın izini sür-
me
 Hacklenmiş kablosuz ağ incelemesi
 Ultrasurf anonimity aracı incelemesi
 Internet üzerinde ücretsiz proxy servisle-
ri ve adli bilişim açısından incelenmesi
Anlık MesajlaĢma Sistemleri (IM) Trafik
Ġncelemesi
 Tercih edilen IM yazılımları ve çalışma
yapıları
 Gtalk, MSN Messenger, ICQ
 Msn messenger görüşmelerinin takip
edilmesi
 Msn shadow yazılımı
 MSN video ve ses görüşmelerinin takibi
 Web üzerinden kullanılan IM mesajlaşma
yazılımlarının takibi
Anti Network Forensic Teknikleri
 Anti forensic teknikleri
 Tünelleme
 Şifreleme
 Proxy kullanımı
 IP spoofing
 Güvenlik sistemlerini kandırma