Paket yakalama (pcap), üretimde iki uç risk taşır: ya hiç kanıt yoktur ya da “her şeyi yakalayalım” diye disk, CPU ve gizlilik tarafında yeni bir problem yaratılır. Bu runbook’un hedefi; minimum riskle maksimum teşhis değeri üretmektir.
Ne zaman pcap gerçekten gerekir?
Şu durumlarda pcap çok değerlidir:
- TLS handshake takılması / bağlantı reset / garip time-out
- MTU/PMTUD şüphesi (büyük payload bozuluyor)
- DNS anomali (yanlış cevap, gecikme, NXDOMAIN dalgası)
- Retransmission / paket kaybı / jitter analizi
Üretimde güvenli pcap prensipleri
- Kapsamı daralt: host/port/proto filtrele
- Süreyi kısalt: 30–120 saniye çoğu triage için yeterli
- Ring buffer kullan: tek dev dosya yerine dönen küçük dosyalar
- Snaplen ayarla: çoğu durumda tam payload gerekmez
- Gizliliği sahiplen: pcap potansiyel olarak hassas veri içerir
Hızlı başlangıç: güvenli ring buffer komutu
Örnek: belirli bir hedefe giden TCP trafiğini 60 saniye, 10 MB’lık parçalara bölerek yakala:
sudo mkdir -p /var/tmp/pcap
sudo tcpdump -i any -nn \
-s 256 \
-C 10 -W 12 \
-w /var/tmp/pcap/incident-%Y%m%d-%H%M%S.pcap \
'host <hedef-ip> and tcp'-s 256: çoğu teşhis için yeterli header + bir miktar payload (ihtiyaca göre artır)-C 10 -W 12: maksimum ~120 MB dönen arşiv-i any: doğru arayüzü bilmiyorsan hızlıdır (yük yüksekse spesifik interface seç)
Filtre örnekleri (pratik)
1) TLS/HTTPS handshake (443)
sudo tcpdump -i eth0 -nn -s 256 -w /var/tmp/pcap/tls.pcap \
'host <hedef-ip> and tcp port 443'2) DNS problemi (53/udp)
sudo tcpdump -i eth0 -nn -s 256 -w /var/tmp/pcap/dns.pcap \
'host <dns-ip> and udp port 53'3) PMTUD sinyali (ICMP)
sudo tcpdump -i any -nn -s 256 -w /var/tmp/pcap/pmtu.pcap \
'icmp or icmp6'“Doğru” snaplen nasıl seçilir?
Genel pratik:
- MTU/PMTUD, TCP reset, SYN/ACK analizi →
-s 128/-s 256yeter - Uygulama katmanı ipucu gerekiyorsa (bazı protokoller) →
-s 1024düşün - Tam payload sadece net gerekçe varsa →
-s 0(ve mutlaka süre/kapsam daralt)
Pcap teslimi: sık yapılan hata
Pcap’i topladın ama sonra “kimde, nerede, ne kadar süre tutulacak?” bilinmiyor. Basit bir disiplin:
- Dosyaları sıkıştır:
sudo gzip -9 /var/tmp/pcap/*.pcap- Hash al (kanıt bütünlüğü için):
sha256sum /var/tmp/pcap/*.gz | tee /var/tmp/pcap/SHA256SUMS.txt- Erişimi sınırla:
sudo chmod 600 /var/tmp/pcap/*- Ticket’a şu bilgileri yaz:
- Yakalama zamanı aralığı (UTC tercih)
- Hedef filtre (host/port)
- Snaplen ve ring buffer parametreleri
- Dosya yolu + hash
Sonuç
Paket yakalama, doğru yapıldığında MTTR’ı dramatik düşürür; yanlış yapıldığında ise üretimde yeni bir risk katmanı oluşturur. Bu runbook’un özü: dar filtre + kısa süre + ring buffer + gizlilik disiplini. Kanıt toplama, teknik olduğu kadar operasyonel bir süreçtir.