WiFi Trafik Analiz Rehberi

Siber güvenlik operasyonlarında, kablosuz ağ trafiğinin fiziksel katman düzeyinde incelenmesi, keşif ve tehdit analizi süreçlerinin temelini oluşturur. Bu rehber, bir WiFi paketinin havadan yakalanma sürecinden, verinin anlamlandırılmasına kadar olan teknik aşamaları kapsamaktadır.

Terminoloji

• RF (Radyo Frekansı): Verinin elektromanyetik dalgalar aracılığıyla taşındığı fiziksel ortamdır.
• ISM Bandı: WiFi protokollerinin çalıştığı, lisans gerektirmeyen 2.4 GHz ve 5 GHz frekans aralıklarıdır.
• Monitor Mode: Bir ağ kartının herhangi bir ağa dahil olmaksızın, ortamdaki tüm paketleri pasif olarak dinleme modudur.
• Beacon Frame: Erişim noktalarının (AP) mevcudiyetlerini ve teknik özelliklerini çevreye duyurduğu yönetim paketidir.
• Probe Request: İstemci cihazların tanıdıkları ağları bulmak amacıyla yayınladıkları sorgu paketidir.
• RSSI (Received Signal Strength Indicator): Alıcı cihazın sinyali duyma gücünü temsil eden, negatif dBm cinsinden ölçülen değerdir.
• LNA / VGA Gain: Sinyal yakalama sırasında kullanılan düşük gürültülü amplifikatör ve değişken kazançlı amplifikatör ayarlarıdır.
• ANonce & SNonce: 4-Way Handshake sırasında üretilen rastgele sayılardır (A: Authenticator/AP, S: Supplicant/İstemci).
• PSK (Pre-Shared Key): Kullanıcıların ağa bağlanmak için kullandığı paylaşımlı paroladır.
• PTK & GTK: El sıkışma sonunda üretilen, trafiği şifrelemek için kullanılan geçici anahtarlardır (Pairwise & Group Transient Key).
• I/Q Data (In-phase and Quadrature): Bir radyo sinyalinin genliğini ve fazını temsil eden iki ana bileşendir. SDR cihazları sinyali bu formatta işleyerek dijital ortama aktarır. (URH’de gördüğümüz o ham verinin temelidir).
• Noise Floor (Gürültü Tabanı): Hiçbir sinyal yokken ortamda bulunan doğal elektromanyetik gürültü seviyesidir. Bir paketin başarıyla çözülebilmesi için sinyal gücünün bu tabanın üzerinde olması gerekir.
• Demodülasyon: HackRF tarafından yakalanan analog radyo dalgalarının, URH gibi yazılımlar aracılığıyla tekrar dijital bit dizilerine (0 ve 1) çevrilme işlemidir.
• Waterfall (Şelale) Diyagramı: Sinyallerin zaman, frekans ve güç (renk yoğunluğu) boyutunda üç boyutlu olarak izlenmesini sağlayan grafiksel gösterimdir.

Kablosuz Sinyallerin Dijital Ortama Aktarılması

WiFi trafiği, elektromanyetik spektrumda radyo dalgaları formunda yayılır. Bir paket analizi süreci, bu analog sinyallerin Yazılım Tanımlı Radyo (SDR) veya özelleşmiş ağ kartları aracılığıyla dijital veriye dönüştürülmesiyle başlar.

Monitor Mode Kullanımı: Donanım “Monitor Mode” konumuna alınarak, cihazın bir ağa bağlı olmasına gerek kalmaksızın, seçilen kanal üzerindeki tüm paketler pasif olarak toplanır.
Örnekleme ve Yakalama: PortaPack H2M donanımı, seçilen frekanstaki ham veriyi yakalayarak PCAP veya IQ formatında dijital depolama birimlerine aktarır.

Cihaz Hazırlığı ve Optimizasyon

LNA/VGA Kazancı: Ortamdaki gürültü seviyesine göre cihaz üzerindeki kazanç (gain) ayarları optimize edilmelidir. Çok yüksek kazanç, sinyalin bozulmasına yol açabilir.
Anten Seçimi: PortaPack H2M kullanılırken, hedeflenen frekansa uygun anten boyu ayarlanmalıdır. Yanlış anten seçimi, paket kaybına ve hatalı RSSI ölçümlerine neden olur.

WiFi Paketinin Yapısı (802.11 Frame)

Kablosuz ağ iletişimi, IEEE 802.11 standartları çerçevesinde belirlenen katmanlı bir yapı üzerinden gerçekleştirilir.

• PHY (Physical Layer): Sinyalin havada yayılmasını sağlayan fiziksel katman bilgilerini içerir.
• MAC Header: Paketin yönetimsel merkezidir. “Frame Control” alanı üzerinden paketin türü (Beacon, Probe Request vb.) belirlenir.
• Address Fields (1-4): 802.11 protokolünde iletişim; paketi alan (Receiver), paketi gönderen (Transmitter), kaynak (Source) ve hedef (Destination) olmak üzere dört farklı adres alanı üzerinden yönetilir. Analiz süreçlerinde genellikle Transmitter Address (TA) verisine odaklanılarak sinyalin hangi cihazdan çıktığı tespit edilir.
• FCS (Frame Check Sequence): Paketin iletim sırasında bozulup bozulmadığını denetleyen hata kontrol mekanizmasıdır.
  

MAC Adresi Analizi ve Cihaz Tanımlama

WiFi paketlerinin başlık (header) kısmında yer alan MAC adresleri, ağdaki trafiğin kaynağını ve hedefini belirleyen fiziksel kimliklerdir. İki ana bloktan oluşur:

• OUI (Organizationally Unique Identifier): İlk üç baytlık (24 bit) alandır, IEEE tarafından üretici firmaya (örneğin Intel, Apple veya Cisco) atanan bloktur.
• NIC Specific: Son üç baytlık (24 bit) alandır, üretici tarafından ağ kartına atanan benzersiz seri numarasıdır. Cihazları tekil olarak ayırt etmemizi sağlar.

RSSI (Sinyal Gücü) Parametresi

RSSI (Received Signal Strength Indicator), alıcı cihazın gelen sinyali ne kadar güçlü duyduğunun ölçüsüdür ve negatif dBm (decibel-milliwatts) cinsinden ifade edilir.

• Değer Aralıkları: -80 dBm ve altındaki değerler sinyalin çok zayıf olduğunu ve veri kaybı riskinin yüksek olduğunu gösterir. -30 dBm ile -40 dBm arası daha temiz bir aralığı temsil eder.
• Analizdeki Rolü: RSSI değerlerinin takibi, sinyal kaynağının fiziksel konumunu tahmin etmek veya ortamda harici bir müdahale (jammer gibi) olup olmadığını anlamak için kullanılır. RSSI değerinin stabil olmaması, sinyal kaynağının hareket halinde olduğunu veya fiziksel engellerin sinyali sönümlediğini gösterir.

Paket Yakalama ve Analiz Metodolojisi

Analiz süreci, donanımın (PortaPack H2M veya SDR) ilgili kanala ayarlanmasıyla başlar.

1. Veri Toplama: Cihaz monitor moduna alınır ve trafik akışı PCAP formatında kaydedilir.
2. Filtreleme: Wireshark gibi araçlar kullanılarak wlan.fc.type_subtype üzerinden yönetim çerçeveleri ayrıştırılır.
3. Yorumlama: Paket başlıklarındaki MAC adresleri üzerinden cihaz kimlikleri, RSSI değerleri üzerinden ise cihazların fiziksel yakınlıkları dökümante edilir.

Wireshark Filtreleme Tablosu

Filtre Kodu	Açıklama	Analiz Amacı
wlan.fc.type_subtype == 0x08	Beacon Frame	Ortamdaki tüm Wi-Fi ağlarını (SSID) listeler.
wlan.fc.type_subtype == 0x04	Probe Request	Bir ağ arayan cihazları ve o cihazların MAC adreslerini bulur.
wlan.fc.type_subtype == 0x05	Probe Response	Modemin cihazın arama isteğine verdiği yanıtı gösterir.
wlan.addr == [MAC]	Spesifik Filtre	Sadece hedef alınan belirli bir cihazın trafiğine odaklanır.

Not: Yeni nesil cihazlar anonimlik için Probe Request sırasında ‘rastgele MAC’ kullanır. Gerçek donanım kimliği ancak cihaz ağa tam olarak bağlanma (Association) aşamasına geçtiğinde netleşir.

Handshake Tespiti

Analiz sürecinde bir cihazın ağa bağlanma anı yakalandığında, şifreleme anahtarlarının havada türetildiği 4-Way Handshake süreci gerçekleşir.

WPA2 4-Way Handshake Mekanizması: Kablosuz ağ güvenliğinde istemci ve erişim noktası (AP) arasındaki güvenli bağlantı, dört aşamalı bir el sıkışma süreciyle kurulur.

Görselde detaylandırıldığı üzere, ANonce (AP tarafı) ve SNonce (İstemci tarafı) değerleri karşılıklı olarak iletilerek ağ parolasını (PSK) havada açıkça paylaşmadan oturum anahtarları (PTK ve GTK) türetilir. Bu sürecin yakalanması, ağın parola güvenliğinin test edilmesi için zorunludur.

Etik ve Yasal Standartlar

Kablosuz ağ analizleri yalnızca yetkilendirilmiş test ortamlarında yapılmalıdır. 5237 sayılı TCK ve KVKK düzenlemeleri gereği, yetkisiz ağlara müdahale edilmesi hukuki yaptırımlara tabidir.

Uygulama

HackRF bir ağ kartı değil, bir SDR cihazıdır. URH ve SDR# üzerinde yakaladığımız veriler ‘Physical Layer’ (Fiziksel Katman) verisidir. Amacımız paket içeriğini okumaktan ziyade, sinyalin fiziksel karakteristiğini ve ham bit yapısını analiz etmektir.

Sinyalleri İzleme (SDR# ile): SDR# programını kullandık. Bu program, HackRF’in havadan yakaladığı radyo dalgalarını bir grafik (Waterfall) olarak görmemizi sağladı. 2.4 GHz frekansına odaklanarak, WiFi paketlerinin ne kadar yoğun olduğunu ve sinyalin gücünü ekrandaki sarı-turuncu patlamalarla net bir şekilde dökümante ettik.

URH Analysis süreci: URH Analysis ekranında, HackRF tarafından yakalanan I/Q sinyallerinin demodüle edilmiş hali görülmektedir. Tablodaki her bir satır, havadaki bağımsız bir WiFi çerçevesini temsil etmektedir. Senkronizasyon (Preamble) bloklarının “f f f” şeklinde düzenli yapısı, sinyalin temiz bir şekilde yakalandığını kanıtlamaktadır. Renkli alanlar ise paketler içindeki protokol hiyerarşisini (Header, Payload, Checksum) simgelemekte olup, siber güvenlik analizlerinde cihaz imzalarının tespiti için bu bit seviyesindeki farklılıklar incelenmektedir.

Sonuç

Bu rehberde, kablosuz sinyallerin havadan yakalanıp dijital verilere dönüştürülme süreci SDR teknolojisi üzerinden incelenmiştir. Fiziksel katman analizleri sayesinde, klasik ağ kartlarının göremediği sinyal gürültüleri ve ham bit dizilimleri tespit edilebilmektedir.

Kaynakça:

• IEEE 802.11-2020 Standard: https://standards.ieee.org/ieee/802.11/7028/
• MAC Address Guidelines: https://standards.ieee.org/wp-content/uploads/2024/10/ieee-mac-address.pdf
• Wireshark User Guide: https://www.wireshark.org/docs/wsug_html/
• NetworkLessons WPA Handshake: https://networklessons.com/wireless/wpa-and-wpa2-4-way-handshake
• https://sharetechnote.com/image/WLAN_Frame_Packet_MAC.png
• https://www.pynetlabs.com/wp-content/uploads/2023/11/MAC-Address.jpeg
• https://cdn.networklessons.com/wp-content/uploads/2023/12/wpa-4-way-handshake-workflow.png