Paket çözümleyicisi

Paket çözümleyici, Paket koklayıcı, protokol analizörü, ağ analizörü^{[1][2][3][4][5][6][7][8]} olarak da bilinen bir paket analizörü, bir bilgisayar programı veya paket yakalama cihazı gibi bir bilgisayar donanımı olup analiz ve günlük kaydı (loglama) trafiğini bir bilgisayar ağı veya bir ağın bir parçası üzerinden geçirebilir.^[9] Paket yakalama trafiği durdurma ve günlüğe kaydetme işlemidir. Veri akışı veya veri katarları ağ üzerinden akarken, analizör her paketi yakalar ve gerekirse paketin ham verilerinin kodunu çözerek paketteki çeşitli alanların değerlerini gösterir, ayrıca içeriğini uygun RFC veya diğer özelliklere göre analiz eder.

Wireshark 3.6 sürüm ağ protokol çözümleyicisi ekran görüntüsü

Kablosuz ağlardaki trafiği yakalamak için kullanılan bir paket çözümleyici kablosuz analizör veya WiFi analizörü olarak da bilinir. Bir paket analizörü ağ analizörü veya protokol analizörü olarak da adlandırılabilirken, bu terimler başka anlamlara da gelebilir. Protokol çözümleyici teknik olarak paket analizörlerini/koklayıcıları içeren daha geniş, daha genel bir sınıf olabilir.^[10] Ancak bu terimler sıklıkla birbirlerinin yerine kullanılmaktadır.^[11]

Yetenekler

Ethernet, Token Ring ve FDDI gibi kablolu paylaşımlı ortam ağlarında, ağ yapısına (hub veya switch) bağlı olarak,^{[12][lower-alpha 1]} Ağdaki tüm trafiği tek bir makineden yakalamak mümkün olabilir. Modern ağlarda trafik, port aynalama kullanan bir ağ anahtarı kullanılarak yakalanabilir; bu anahtar, port aynalamayı destekliyorsa, anahtarın belirlenmiş portlarından geçen tüm paketleri başka bir porta yansıtır. Bir ağ tapası, bir izleme portu kullanmaktan daha güvenilir bir çözümdür çünkü muslukların yüksek trafik yükü sırasında paketleri düşürme olasılığı daha düşüktür.

Kablosuz LANlarda, trafik bir seferde bir kanalda veya birden fazla adaptör kullanılarak aynı anda birkaç kanalda yakalanabilir.

Kablolu yayın ve kablosuz LAN'larda, diğer makineler arasındaki unicast trafiğini yakalamak için, trafiği yakalayan ağ bağdaştırıcısı promiscuous modda olmalıdır. Kablosuz LAN'larda, bağdaştırıcı karışık modda olsa bile, bağdaştırıcının yapılandırıldığı hizmet kümesi için olmayan paketler genellikle yoksayılır. Bu paketleri görmek için bağdaştırıcının monitör modunda olması gerekir.^{[kaynak belirtilmeli]}Paket analizörünün zaten izlemekte olduğu birçok noktaya yayın grubuna yönelik multicast trafiğini veya broadcast trafiğini yakalamak için özel hükümlere gerek yoktur. Trafik yakalandığında, paketlerin tüm içeriği ya da sadece başlıklar kaydedilir. Sadece başlıkların kaydedilmesi depolama gereksinimlerini azaltır ve bazı yasal gizlilik sorunlarını önler, ancak genellikle sorunları teşhis etmek için yeterli bilgi sağlar.

Yakalanan bilgiler ham dijital formdan, mühendislerin değiş tokuş edilen bilgileri incelemesine olanak tanıyan insan tarafından okunabilir biçim haline getirilir. Protokol analizörleri, verileri görüntüleme ve analiz etme yeteneklerine göre değişir.

Bazı protokol analizörleri de trafik oluşturabilir. Bunlar protokol test cihazları olarak görev yapabilir. Bu tür test cihazları, işlevsel testler için protokole uygun trafik üretir ve test edilen cihazın hataları işleme yeteneğini test etmek için kasıtlı olarak hatalar sunma yeteneğine de sahip olabilir.^[13][14]

Protokol analizörleri, prob formatında ya da giderek yaygınlaştığı üzere bir disk dizisi ile birlikte donanım tabanlı da olabilir. Bu cihazlar paketleri veya paket başlıklarını bir disk dizisine kaydeder.

Kullanım

Paket analizörleri şunları yapabilir:

• Ağ sorunlarını analiz edebilir.
• Ağ saldırısı girişimlerini tespit eder.
• İç ve dış kullanıcılar tarafından ağın kötüye kullanımını tespit eder.
• Tüm çevre ve uç nokta trafiğini günlüğe kaydederek mevzuata uygunluğu belgeler.
• Bir ağ izinsiz girişini gerçekleştirmek için bilgi edinmeyi sağlar.
• İşletim sistemleri gibi yazılımların veri toplama ve paylaşımının (gizlilik, kontrol ve güvenliğin güçlendirilmesi için) tanımlanmasını sağlar.
• İstismar edilen sistemleri izole etmek için bilgi toplamaya yardımcı olur.
• WAN bant genişliği kullanımını izler.
• İç ve dış kullanıcılar ve sistemler dahil ağ kullanımını izler.
• Aktarım halindeki verileri izler.
• WAN ve uç nokta güvenliği durumunu izler.
• Ağ istatistiklerini toplar ve raporlar.
• Ağ trafiğindeki şüpheli içeriği belirler.
• Bir uygulamadan ağ verilerini izleyerek performans sorunlarını gidermeye yardımcı olur.
• Günlük ağ izleme ve yönetimi için birincil veri kaynağı olarak hizmet verir.
• Diğer ağ kullanıcılarını gözetlemeyi sağlar ve oturum açma bilgileri veya kullanıcı çerezleri gibi hassas bilgileri toplayabilir. (kullanılıyor olabilecek herhangi bir içerik şifreleme yöntemine bağlı olarak)
• Ağ üzerinde kullanılan tescilli protokollerin tersine mühendisliğini yapar.
• İstemci/sunucu iletişiminde hata ayıklar.
• Ağ protokolü uygulamalarında hata ayıklar.
• Ağdaki ekleme, taşıma ve değişiklikleri doğrular.
• Güvenlik duvarları, erişim kontrolü, Web filtresi, spam filtresi, proxy gibi iç kontrol sisteminin etkinliğini doğrular.

Paket yakalama, bir kolluk kuvveti tarafından bir birey tarafından oluşturulan tüm ağ trafiğini dinlemek [en] için verilen bir emri yerine getirmek için kullanılabilir. Amerika Birleşik Devletleri'ndeki İnternet servis sağlayıcıları ve VoIP sağlayıcıları Communications Assistance for Law Enforcement Act düzenlemelerine uymak zorundadır. Paket yakalama ve depolamayı kullanan telekomünikasyon taşıyıcıları, hedeflenen ağ trafiğine yasal olarak gerekli güvenli ve ayrı erişimi sağlayabilir ve aynı cihazı dahili güvenlik amaçları için kullanabilir. Bir taşıyıcı sistemden arama izni olmadan veri toplamak, dinleme ile ilgili yasalar nedeniyle yasadışıdır. Uçtan uca şifreleme kullanılarak, iletişimler telekomünikasyon taşıyıcılarından ve yasal makamlardan gizli tutulabilir.

Süreç

Toplama/Yakalama

Paket çözümleyicisi seçili ağ arayüzünü rastgele modda anahtarlar. Bu moddaki ağ kartı belirli segmentteki tüm ağ trafiğini dinleyebilir. Çözümleyici bu modu kablodan ham ikili veriyi yakalamak için arayüze erişimde kullanır.

Dönüştürme

Yakalanmış ikili veri okunabilir biçime dönüştürülür. Bu noktada, ağ verisi son kullanıcıya analiz etmesi için temel seviyede yorumlanabilen bir biçim içerisindedir.

Analiz

Yakalanmış verinin derinlemesine incelendiği adımdır. Paket çözümleyicisi yakalanmış ağ verisini alır, çıkarılan bilgiye dayanarak protokolünü doğrular ve protokolün belirli özelliklerinin analizi ile başlar.

Daha gelişmiş analiz birden çok paketi diğer ağ elemanlarıyla aynı anda karşılaştırarak gerçekleştirilir.

Önemli paket çözümleyicileri

Detaylı liste için bakınız: Paket çözümleyicileri karşılaştırması

• Allegro Network Multimeter
• Capsa Network Analyzer
• Charles Web Debugging Proxy
• Carnivore (yazılım)
• CommView
• dSniff
• EndaceProbe Packet Capture Platform
• Ettercap
• Fiddler
• Kismet
• Lanmeter
• Microsoft Network Monitor
• NarusInsight
• NetScout Systems nGenius Infinistream
• ngrep, Network Grep
• OmniPeek, Omnipliance by Savvius
• SkyGrabber
• The Sniffer
• snoop
• tcpdump
• Observer Analyzer
• Wireshark (önceden Ethereal olarak biliniyordu)
• Xplico Open source Network Forensic Analysis Tool

Ayrıca bakınız

• Veri yolu analizörü
• Mantık analizörü
• Ağ dedektörü
• pcap
• Elektronik istihbarat
• Trafik üretim modeli

Notlar

1. Bazı yöntemler, ağdaki diğer sistemlerden gelen trafiğe erişim sağlamak için anahtarlar tarafından trafiğin daraltılmasını önler (örn, ARP sahteciliği).

Kaynakça

1. Chapple, Mike; Stewart, James Michael; Gibson, Darril (2018). (ISC)2 CISSP Certified Information Systems Security Professional Official Study Guide (İngilizce). John Wiley & Sons. ISBN 978-1-119-47587-3. 5 Nisan 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 12 Ekim 2023. A sniffer (also called a packet analyzer or protocol analyzer) is a software application that captures traffic traveling over the network.
2. Rakibul, Hoque, Md; Edward, Bashaw, R. (2020). Cross-Border E-Commerce Marketing and Management. IGI Global. s. 186. ISBN 978-1-7998-5824-9. 5 Nisan 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 12 Ekim 2023. Packet Sniffing: It is also known as packet analyzer, protocol analyzer
3. Trost, Ryan (2009). Practical Intrusion Analysis: Prevention and Detection for the Twenty-First Century: Prevention and Detection for the Twenty-First Century. Pearson Education. ISBN 978-0-321-59188-3. 5 Nisan 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 12 Ekim 2023. A packet sniffer (also known as a packet analyzer, protocol analyzer, or networkanalyzer) monitors network traffic
4. Cyber Law, Privacy, and Security: Concepts, Methodologies, Tools, and Applications. IGI Global. 2019. s. 58. ISBN 978-1-5225-8898-6. 6 Nisan 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 12 Ekim 2023. Packet Sniffing: A packet analyzer, also called as a network analyzer, protocol analyzer or packet sniffer
5. Asrodia, Pallavi; Patel, Hemlata (2012). "Analysis of Various Packet Sniffing Tools for Network Monitoring and Analysis". International Journal of Electrical, Electronics and Computer Engineering: 55. CiteSeerX 10.1.1.429.567 $2. ISSN 2277-2626. Packet Sniffing... also known as Network or Protocol Analyzer or Ethernet Sniffer
6. "What is a Packet Sniffer?". www.kaspersky.com. 2018. 30 Ağustos 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 12 Ekim 2023.
7. "What is Network Packet Capture?". www.endace.com. 2023. 30 Temmuz 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 12 Ekim 2023.
8. "Definition of network analyzer". PCMAG. 5 Nisan 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 12 Ekim 2023.
9. Kevin J. Connolly (2003). Law of Internet Security and Privacy. Aspen Publishers. s. 131. ISBN 978-0-7355-4273-0.
10. Sikos, Leslie F. (2020). "Packet analysis for network forensics: A comprehensive survey". Forensic Science International: Digital Investigation. 32: 200892. doi:10.1016/j.fsidi.2019.200892 . ISSN 2666-2817. Those protocol analyzers that are designed for packet analysis are called packet analyzers (packet sniffers, sometimes network analyzers).
11. Poulton, Don (2012). MCTS 70-642 Cert Guide: Windows Server 2008 Network Infrastructure, Configuring. Pearson Education. ISBN 978-0-13-280216-1. 13 Nisan 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 12 Ekim 2023. protocol analyzer. Also known as a network analyzer or packet analyzer, a protocol analyzer is a hardware device or software program that enables you to capture, store, and analyze each packet that crosses your network
12. "Network Segment Definition". www.linfo.org. 7 Haziran 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 14 Ocak 2016.
13. "Lab Protocol Analyzers". www.amilabs.com. 30 Haziran 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 30 Haziran 2023.
14. shivakumar (18 Aralık 2020). "Where is Protocol analyzer used?". Prodigy Technovations (İngilizce). 30 Haziran 2023 tarihinde kaynağından arşivlendi. Erişim tarihi: 30 Haziran 2023.

Dış bağlantılar

Vikiversite'de

Paket çözümleyicisi ile ilgili kaynaklar bulunur.

• Curlie'de Protocol Analyzers (DMOZ tabanlı)
• Packet Capture

Konuyla ilgili okumalar

• Chris Sander (Mart 2017), Practical Packet Analysis (3 bas.), No Starch Press, ISBN 9781593278021