Mirror Trafik Analizi: Port Mirroring, PCAP ve Zararlı Aktivite Tespiti
Siber Güvenlik

Mirror Trafik Analizi: Port Mirroring, PCAP ve Zararlı Aktivite Tespiti

AUTH: Esad Özkan
DATE: 16 Mayıs 2026
Paylaş

Modern ağlarda dolaşımda olan veri miktarı her gün artmakta olup bunun yanında siber tehditlerde daha komplike yöntemlere evrilmektedir. Bir ağdaki haberleşmenin varsayılan durumlarda görünemez olduğunu düşünürsek, bu tehditleri tespit etmenin zor olduğunu düşünebiliriz. Normalde switch yapılarında veri paketleri sadece hedef porta/portlara iletilir, yani ağdaki başka herhangi cihaz bu trafiği okuyamaz.

Mirror trafik analizi ise ağdaki trafiği herhangi bir kesintiye uğratmadan veya bozmadan tam anlamıyla kopyalayarak belirli bir analiz portuna yönlendirme işlemine deniyor.

Bu blog yazısında mirror trafik analizinin ne olduğundan, nasıl çalıştığından SPAN kavramından ve türlerinden, TAP kavramından ve uygulamalı olarak örnek zararlı akvitive incelemesini ele alacağız.

MİRROR TRAFİK ANALİZİ NEDİR?

Mirror trafik analiz herhangi bir ağdaki cihazın, portun veya port aralığının üzerinden geçen trafiği kopyalayarak belirli bir analiz portuna/cihazına yönlendirmesi işlemidir. Bu işlem yapılırken orijinal veri akışına bir müdahale olmadan trafiğin incelenmesi ve analiz edilmesi amaçlanır.

Mirror trafik analizi temelde üç alanda kullanılmaktadır;

1.     Güvenlik izlemesi: Ağdaki trafikte zararlı yazılım etkileşimi, şüpheli aktiviteler veya yetkisiz erişim istekleri tespit edebilmektir.

2.     Adli Analiz: Güvenlik olaylarında, hukuki süreçlerde olay sonrası durumu analiz edebilmek ve anlamlandırmak için trafik kayıtları incelenir

3.     Sorun Giderme: Ağın performans durumu, veri kayıpları veya yanlış yapılandırmalar içinde trafik analizi yapmak sorunları tespit etmede etkili yöntemdir.

Son olarak IPS ve IDS sistemlerde gerçek zamanlı trafiği kopyalayıp analiz ederek saldırıları tespit ederken bu yöntemi kullanır.

PORT MIRRORING NASIL ÇALIŞIR?

Port mirroring, bir switchdeki belirli portlardan geçen paketlerin kopyasını başka bir porta gönderilmesi işlemidir. Kaynak porttan geçen her bir paket kopyalanıp hedef porta yani analiz portuna iletilir. Bu porta bağlı olan bir cihaz, Wireshark gibi programlarla bu trafiği görüp inceleyebilir.

Buradaki sürecimiz şu şekilde olur. Switchte izlemek istediğimiz portu belirleriz. Ardından analiz cihazının bağlı olduğu hedef port belirlenir. Daha sonra switch kaynak porttan geçen her paketi hedef porta iletir ve buradaki analiz cihazından gerçek zamanlı olarak izleme ve analiz işlemi yapılır.

Port mirroring hem fizikisel hem sanal ağlarda kullanılabilir. Akan trafiğin iki yönünü izleyebildiğimiz gibi sadece gelen veya giden trafiği de izlemek ağ yöneticileri için esneklik kazandırıyor.

SPAN ÇEŞİTLERİ VE TAP KARŞILAŞTIRMASI

Port mirroring teknolojisi farklı ağ mimarilerine göre üç çeşitte incelenebilir;

1.     Local SPAN: Aynı switch üzerindeki portlar arasında gerçekleştirilen en temel ve maliyetsiz mirroring türüdür.

2.     RSPAN(Remote Switched Port Analyzer): Farklı switchler arasında mirroring yapmak için kullanılır. Kopyalanan trafik, switchler arasında özel VLAN üzerinden taşınır. Daha büyük ve dağıtık ağ altyapılarında kullanılır.

3.     ERSPAN (Encapsulated Remote Switched Port Analyzer): Bu protokol ise Cisco’ ya özgüdür. Kopyalanan trafik özel tünel ile Layer 3 ağı üzerinden taşınır. Lokasyonların birbirleri arasında çok uzak mesafeler olmasına rağmen bile mirroring yapılmasına olanak tanır.

TAP ile Karşılaştırma

Network TAP (Test Access Point), switch yazılımına değil donanıma dayalı bir çözümdür. Ağ kablosuna fiziksel olarak eklenen bu cihaz, üzerinden geçen tüm trafiği pasif olarak kopyalar.

Adli süreçlerde TAP tercih edilmesinin en temel sebebi paket kaybının olmamasıdır. SPAN yüksek trafik yükünde switch CPU ve bant genişliğini kullandığından dolayı bazen paketler düşebilir. Bu durum hukuki süreçlerde delil bütünlüğünü zedeleyebilir. TAP ise pasif çalıştığı için tüm trafiği eksiksiz ve bütün şekilde kopyalar.

PCAP NEDİR?

PCAP (Packet Capture), bahsetmiş olduğumuz bu ağ trafiğini dosya olarak kaydedilmesinde kullanılan standart bir formattır. Analizi yapılan trafik alındıktan sonra .pcap uzantılı dosya olarak kaydedilebilir ve detaylı analiz için kullanılabilir.

Bir PCAP dosyasında kaynak ve hedef IP adresleri, port numaraları, kullanılan protokol (HTTP, DNS), paket içeriği (Yalnızca şifrelenmemiş trafikte görülebilir.) ve her bir paketin zaman damgası bulunur.

PCAP analizi için kullanılan en yaygın araçlardan birisi Wireshark’ tır. Açık kaynak kodlu ve grafiksel arayüz sunmasından dolayı popülerdir. Belirli IP, protokol veya porta göre izole gelişmiş filtreleme imkanı sunar. Komut satırı tabanlı tcpdump ise Unix/Linux sistemlerde kullanılan bir diğer araçtır. Güçlü filtreleme dili sayesinde veri toplama aşamasında bile trafik daraltılabilir.

TEST ORTAMI ve ÖRNEK UYGULAMA

Şimdi bu aşamada mirror trafik analizini uygulamalı göreceğiz. Elimizdeki üç adet VMware üzerinde kurulu sanal makinemiz ile test ortamı simüle edeceğiz. Bu makinelerden Kali Linux saldırgan, Windows Server hedef ve Ubuntu ise mirror trafik alan izleme cihazı rolünü üstlenmektedir.

Tüm makineler VMnet8 (NAT) sanal switch üzerinden aynı ağ segmentinde (192.168.111.0/24) konumlandırılmıştır. Sanal ortamımızda port mirroring işlemini simüle etmek için Ubuntu cihazının ağ arayüzü promiscuous mode'a alınmıştır.

Ardından tcpdump ile trafik yakalanmaya başlanmıştır.

root@wazuh-server:/home/wazuh$$ tcpdump -i ens33 host 192.168.111.131 -w /home/wazuh/mirror-capture.pcap

Saldırı aşamasında ise Kali makinesi Windosw Server’ a SSH protokolü üzerinden brute-force saldırısı düzenlemiştir. Saldırı tekniği olarakta yaygın kullanılan açık kaynaklı parola kırma aracı Hydra kullanılmıştır.

┌──(root㉿kali)-[~]
└─# hydra -l Administrator -P /usr/share/wordlists/rockyou.txt ssh://192.168.111.131 -t 4 -V

Hydra çalışmaya başladıktan sonra hedef hedef makineye saniyeler içinde yüzlerce başarısız oturum açma denemesi gerçekleştirildi. Bu süreçte Ubuntu üzerinden tcpdump tüm trafiği mirror-capture.pcap dosyasına kaydetmiştir.

Yakalanan trafiği Wireshark’tan açıp inceliyoruz.

PCAP ANALİZİ

Dosyayı tcp.port == 22 filtresi uygulayarak analiz etmeye başlıyoruz. Analiz sonucunda 192.168.111.128 (Kali) kaynaklı, 192.168.111.131 (Windows Server) hedefli yoğun SSH bağlantı denemeleri tespit edilmiştir.

Her deneme döngüsünde sırasıyla SYN → SYN-ACK → SSHv2 Key Exchange → RST/ACK paketi gözlemlenmiştir. RST/ACK paketinin ardından hemen yeni bir SYN paketi gelmesi ve bu döngünün saniyeler içinde yüzlerce kez tekrarlanması klasik bir SSH brute-force saldırısı imzasını ortaya koymaktadır.

SONUÇ

Mirror trafik analizi, ağ güvenliğinin görünmez kısmını görünür kılan kritik bir tekniktir. Sanal ortamda promiscuous mode ile port mirroring simüle edilmiş, tcpdump ile trafik kaydedilmiş ve Wireshark ile SSH brute-force saldırısı başarıyla tespit edilmiştir.