Derin paket teftişi ile ilgili pek çok yönü ele alan özgün bir araştırmamın kısmi sunumu (TR). A partial presentation of my original work about deep packet inspection with its several aspects (EN).

1. DDeeerpinP aPcakekteInt sTpeefcttiioşni
Özgün Araştırma
Gürol Canbek
Ankara, Mart 2014
Telif Hakkı (C) 2014 Gürol CANBEK Tüm hakları saklıdır.

2. Derin Paket Teftişi
• Bilgisayar ağı paketlerinin başlık ve yük
kısımları dâhil tamamının çözümlenmesi ve
paket ile ilgili uygulamanın belirlenmesi için
birden çok paketin çaprazlama bilgilerinin
ilintilendirilmesidir.
• Sığ Paket Teftişi: Sadece paket başlığı teftiş
edilir.
Telif Hakkı (C) 2014 Gürol CANBEK
Shutterstock

3. Mektupların İçlerine Bakmak
• Normalde zarfların üzerindeki bilgiler, bir
mektubun alıcıya ulaşması için yeterlidir.
– Paketlerdeki başlık bilgileri de buna benzer.
• Ancak paketin asıl yükünü (faydalı – fena)
görmek -yani derin paket teftişi- mektupların
içine bakmaya benzetilebilir.
Telif Hakkı (C) 2014 Gürol CANBEK
etsy.com

4. Ağ Aygıtı
??
??
??
??
??
??
??
??
Ağ Görünürlüğü
• Ağın iç yüzü belirsizdir
• DPT, bu iç yüzle alâkalı
anlayışı kazandırarak
daha fazla ağ
görünürlüğünün elde
edilmesini sağlar
HTTP
SSL
FTP
Sağnak
VoIP
Solucan
IPTV
Virüs
Hangi
kullanıcı?
Hangi
uygulama?
Hangi
cihaz?
Çizim: Telif Hakkı (C) 2014 Gürol CANBEK

5. “Steroid’e karşı PRISM”
• Rusya’nın Sochi şehrinde yapılan 2014 Kış
Olimpiyatlarında Rus Federal Güvenlik Bürosu
derin paket teftişine dayalı ‘Sorm’ adını
verdikleri dinleme ile tüm atlet ve
ziyaretçilerin İnternet tabanlı trafiği, anahtar
sözcük saptamasına göre dinlenmiş.
Telif Hakkı (C) 2014 Gürol CANBEK
The Guardian

6. Ne Maksatla?
Telif Hakkı (C) 2014 Gürol CANBEK

7. DPT Kullanabilecek İş Kolları
Veri Yoğun Uygulamalar
Toplum Ortamı
Çoklu Ortam Bilgi
Mobil Çağ
Devlet İHS* Kurum Eğitim
Telif Hakkı (C) 2014 Gürol CANBEK
*İHS, İnternet Hizmet Sağlayıcı

8. Farkı ne?
• İçerik süzme genellikle URL
seviyesinde gerçekleştirilir.
• İstenmeyen posta (sağnak)
önleyiciler ise içeriği inceler
ancak sadece e-posta
protokolleri için geçerli ve
genelde isteğe bağlıdır.
• Alametifarikası Wireshark eski
namıyla Ethereal
– Ağ koklayıcı
– 1998’de 20 bin satır koddan
oluşurken;
– 15 yılda 2,3 milyon satıra çıkmıştır.
2500000
2000000
1500000
1000000
500000
0
Satır Sayısı
1998 2013
Telif Hakkı (C) 2014 Gürol CANBEK

9. Protokoller giderek artıyor!
Çizim: Telif Hakkı (C) 2014 Gürol CANBEK

10. “port = uygulama” artık geçerli değil.
• Olağan olmayan port’ta, bilindik protokoller
– Mesela, 80 dışında HTTP saptama
• Malum port’ta, olağan dışı protokoller
– Mesela, 80’de Skype trafiği
1024’den 65535’e...
Telif Hakkı (C) 2014 Gürol CANBEK
* “Skype”, associated trademarks and logos and the “S” logo are trademarks of Skype.

11. İkinci Hayat
if ((ntohs(packet->udp->dest) == 12035 || ntohs(packet->udp->dest) == 12036 ||
(ntohs(packet->udp->dest) >= 13000 && ntohs(packet->udp->dest) <= 13050))
//port
&& packet->payload_packet_len > 6 // min length with no extra header,
high frequency and 1 byte message body
&& get_u8(packet->payload, 0) == 0x40// reliable packet
&& ntohl(get_u32(packet->payload, 1)) == 0x00000001 // sequence
number equals 1
//ntohl (get_u32 (packet->payload, 5)) == 0x00FFFF00 // no extra
header, low frequency message - can't use, message may have higher frequency
) {
IPQ_LOG(IPOQUE_PROTOCOL_SECONDLIFE, ipoque_struct,
IPQ_LOG_DEBUG, "Second Life detected.n");
ipoque_int_secondlife_add_connection(ipoque_struct);
return; Telif Hakkı (C) 2014 Gürol CANBEK
Second Life and the Second Life Eye-in-Hand logo are trademarks of Linden Research, Inc.

12. DPT K2-K7 Katmanlarda Yapılabilir
K7 Uygulama Veri HTTP, FTP, DNS, DHCP, IMAP, IRC, LDAP,
MIME, HTTPS, SSH, SIP, SNMP, NTP, Telnet
K6 Sunum Veri Şifreleme, ASCII, EBCDIC, TIFF, GIF, PICT,
JPEG, MPEG, MIDI
K5 Oturum Veri NFS, RPC, SQL
6001/tcp K4 Nakliye Parça
(Segment)
TCP, UDP, SPX, AH, ESP, ICMP
66.35.250.150 K3 Ağ Paket IP, IPv6 IPSec, IPX, AppleTalk DDP
00:E0:81:10:57:E3 K2 Veri
Bağlantı
Çerçeve
(Frame)
Ethernet, PPP, Frame Relay, FDDI, ATM
K1 Fiziksel
Telif Hakkı (C) 2014 Gürol CANBEK

13. Çerçeve içinde paket, içinde parça,
içinde veri, içinde veri, ...
Ethernet
Kaynak MAC
Hedef MAC
Ether türü
CRC
IP
Kaynak IP
Adresi
Hedef IP Adresi
Protokol
TCP
Kaynak Port
No
Hedef Port
No
Sıra No
Veri
•Veri
•Veri
Telif Hakkı (C) 2014 Gürol CANBEK

14. Gerçekleştirme: Adımlar...
• Geleneksel K2-K4 çerçeve, paket ve parça başlık bilgisi çözümlemesi
• Tüm ağ protokolleri ve yüklerinin çözümlemesi
• Durağan, devingen ve pazarlıklı protokol ve port alanları ile
uygulamaların belirlenmesi
• Standart TCP el sıkışmasının ötesinde oturum kurulumu sırasında
çoklu paketlerin sorgulanabilmesi
• Bağlantı takibi
• Yaygın uygulamaların tanımlanması için bir imza veritabanı
• Uygulama ve tanımlanan protokole dayalı trafiğin ayrıştırılabilmesi
ve tüm akışın veya akışın diğer uygulamaları alakalı akışın bir
parçasının sağlanması
• Birden fazla paket içinde verilerin incelenmesi
• Hatta (etkin) ve hat dışı (edilgen) yapılandırma
Telif Hakkı (C) 2014 Gürol CANBEK

15. Başa Çıkılması Gereken Noktalar...
• Şifreli Protokoller
• Hız, bant genişliği
– Hat hızında tam çözümleme (sayma ve istatistik)
– Yüksek kapasitede donanım
• Ağ g/ç sanallaştırmalı, çok çekirdekli Merkezi İşlem Birimi
• Sürekli değişen ve dönüşen protokol, uygulama,
hizmet ve tehdit kümesini kotaracak esneklik ve
programlama kabiliyeti
• Yasal konular Telif Hakkı (C) 2014 Gürol CANBEK

16. ITU Standardı
• Yeni nesil ağlarda derin paket
teftişi için gereksinimler, 2012
Telif Hakkı (C) 2014 Gürol CANBEK

17. Telif Hakkı (C) 2014 Gürol CANBEK
Milli Gereksinim
• Avrupa Birliği düzenlemesi (no. 1232/2011)
– BT gözetleme sistemlerinin Arjantin, Çin,
Hırvatistan, Hindistan, Rusya, Güney Afrika, Güney
Kore, Türkiye ve Ukrayna’ya ihracı yasaktır.