Bu yazıda Network Monitor tanımı ele alınacak ve Network Monitor bileşenleri incelenecektir.Windows 2000’de bulunan Network Monitoring yazılımını kullanarak lokal ağ trafiğinin nasıl izleneceği ve yerel ağda meydana gelen problemlerin nasıl algılanabileceği ele alınacaktır.
Network Monitor Nedir?
Network Monitor, Windows 2000 Server ailesi ile birlikte gelen bir yazılımdır ve ağ üzerindeki bir sunucuya gelen ve sunucudan giden paketleri yakalayarak bu paketlerin istatistiklerini çıkartır. Bunun yanında, Network Monitor yardımıyla ağ trafiğinizi analiz edip, meydana gelen problemlerin sebeplerini bularak sorunları çözebilirsiniz. Örneğin iletişim kuramayan iki bilgisayar arasındaki sorunun ne olduğunu, yazılımsal bir sorun mu yoksa donanımsal bir sorun mu olduğunu anlayabilirsiniz. Eğer uygulama geliştirici iseniz Network Monitor yardımıyla geliştirdiğiniz programın ağ üzerindeki davranışlarını analiz edebilirsiniz. Ayrıca ağdaki paketlerin içinden sizin belirlediğiniz kriterlere uyanlarının yakalanması durumunda bir trigger (tetikleme) mekanizmasının devreye girerek belirli eylemler arasından sizin belirlediğiniz eylemi gerçekleştirmesini sağlayabilirsiniz.
Network Monitor uygulamasının iki versiyonu vardır. Bu versiyonlardan birisi Windows 2000 Server ailesi ile birlikte gelir. Diğer versiyon ise SMS (System Manegement Server) paketi içinde gelir ve Windows 2000 Server ailesi ile birlikte gelen versiyondan daha gelişmiş özelliklere sahiptir. Örneğin SMS ile birlikte gelen versiyonda tüm ağ üzerindeki paketleri yakalayabilmeniz mümkünken, Windows 2000 Server ailesiyle gelen versiyonunda sadece uygulamanın çalıştırıldığı sunucuya gelen ve sunucudan giden paketleri yakalayabilirsiniz.
Network Monitor Kurulumu
Kurulum işlemine geçmeden önce, Network Monitor’ü kullanabilmek için gerekli donanımlardan bahsedelim. Öncelikle fiziksel olarak bir ağa bağlı olmalısınız. Ayrıca kullandığınız ağ kartı NDIS 4.0 uyumlu olmalıdır. ( Günümüzde bir çok ağ kartı üreticisi , ürünlerini NDIS 4.0 uyumlu olarak üretiyorlar. Ağ kartınızın NDIS 4.0 uyumlu olup olmadığını anlamak için ,ağ kartının kitapçığından yaralanabilirsiniz. ) NDIS 4.0 uyumlu bir ağ kartı kullanıyorsanız Network Monitor’ü lokal modda kullanabilirsiniz. Lokal modda ,ağdaki paketlerden sadece, paketin içindeki kaynak veya hedef adres kısımlarında Network Monitor’ün yüklü olduğu bilgisayarın adresinin bulunduğu paketleri yakalayabilirsiniz.
NOT
Eğer ağ üzerindeki tüm paketleri yakalamak istiyorsanız bu durumda ağ kartınız Promiscuous modda çalışmalıdır. Premiscuous modda çalışan bir ağ kartı işlemciye %30 daha fazla yük bindirir. Windows 2000’de bulunan Network Monitor sadece lokal modda çalışır. System Manegement Server ile birlikte gelen Network Monitor ise Premiscuous modda çalışabilir.
|
Network Monitor, Windows 2000 Server’ın kurulumu sırasında kurulum bileşenleri arasından seçilerek veya Control Panel (Denetim Masası)’deki Add/Remove Programs (Program Ekle/Kaldır) uygulaması çalıştırılarak kurulabilir. Network Monitor kurulumu için Control Panel’deki Add/Remove Programs uygulamasını çalıştırıyoruz..Karşımıza çıkan ekrandan Add/Remove Windows Components’e tıklayıp Windows Components başlıklı pencereyi açıyoruz.Windows 2000 Server bileşenlerinin listelendiği bu pencerede, Management And Monitoring Tools bileşenini seçip Details butonuna basıyoruz. Karşımıza çıkan ekrandan Network Monitor Tools seçeneği seçip OK butonuna basarak kurulum işlemini başlatıyoruz.
Resim girecek: sekil1.jpg
Resim altı: Add/Remove Programs uygulamasını kullanarak Network Monitor’ü kurabilirsiniz..
Network Monitor iki bileşenden oluşur. Birinci bileşen verileri toplayan bir ajan (agent), ikinci bileşen ise toplanan verilerin izlenmesi ve analiz edilmesi için kullanılan yönetim programı. Windows 2000 Server’a Network Monitor’ü kurduğunuzda bu iki bileşen otomatik olarak kurulur.
NOT
System Management Server (SMS) ile birlikte gelen Network Monitor uygulamasını kullanarak uzak bir bilgisayar üzerindeki ağ trafiğini izleyebilirsiniz. Bunun için uzak bilgisayarda Network Monitor sürücüsünün yüklü olması gerekir.
|
Network Monitor uygulamasını başlatmak için Start->Programs->Administrative Tools->Network Monitor yolunu izliyoruz. Eğer bilgisayarınızda birden fazla ağ kartı varsa bu durumda Network Monitor uygulaması başlamadan önce karşınıza hangi ağ kartındaki trafiği yakalamak istediğinizi soran Select a network başlıklı Şekil-2’deki pencere çıkacaktır. Buradaki listede bilgisayarınızda bulunan tüm ağ kartları ve modemler listelenecektir. İleride paket yakalamak istediğiniz ağ kartını değiştirmek isterseniz Capture menüsünden Networks seçeneğini seçerek Select a network penceresini yeniden açıp bu pencerede ilgili ağ kartını seçebilirsiniz.
Resim girecek: sekil2.jpg
Resim altı: Hangi ağ kartına ait trafiğin izleneceğinin belirlendiği Select a network başlıklı pencere
NOT
Eğer bilgisayarınızda birden fazla ağ kartı varsa ve siz bu ağ kartlarındaki trafiği yakalamak istiyorsanız bu durumda her bir ağ kartı için bir Network Monitor uygulaması başlatarak bu kartlara ait ağ istatistiklerini inceleyebilirsiniz.
|
Network Monitor uygulamasını başlattığınızda karşınıza Şekil-3’deki ekran çıkacaktır. Bu ekran Capture Window olarak isimlendirilir ve yakalanan paketler hakkında bilgiler içerir. Capture Window penceresi dört panelden oluşmuştur. Şimdi bu panelleri teker teker inceleyelim.
§ Grafik Paneli (Graph Pane) : Capture Window penceresinin sol üst tarafında bulunan panel Grafik Paneli olarak adlandırılır ve bu panelde o anki ağ trafiği istatistikleri grafiksel olarak ve gerçek zamanlı (real time) gösterilir. Network kapasitesinin yüzde kaçının kullanıldığı (% Network Utilization), saniyede yakalanan çerçeve (frame) ve Byte miktarı ile saniyede yayımlanan Broadcast ve Multicast paket sayısı, grafik panelinde gerçek zamanlı izlenebilecek istatistiklerdir.
§ Oturum Paneli (Session Pane) : Grafik panelinin altındaki paneldir ve o anki ağ oturumlarına ilişkin istatistiksel bilgiler bu panelde gösterilir. Bu panelde oturumun hangi bilgisayarlar arasında kurulduğu ve oturumu gerçekleştiren bilgisayarlar arasında alınıp verilen çerçeve sayısı bulunur. Network Address 1 ve Network Address 2 kısımlarında oturumun gerçekleştiği adresler gösterilir. 1—>2 kısmında gösterilen sayı, Network Address 1 adresinden Network Address 2 adresine gönderilen çerçeve sayısını , 1<—2 kısmında gösterilen sayı ise Network Address 2 adresinden Network Address 1 adresine gönderilen çerçeve sayısını gösterir. (Ağda yakalanan ilk 128 adres listelenir.)
§ İstaston İstatistik Paneli (Station Stats Pane) : Bu panel, Oturum panelinin altında bulunur ve Network Monitor’ün çalıştırıldığı bilgisayara gelen ve giden paketlerin, iletişim kurulan bilgisayarlar bazında istatistiklerini gösterilir. Bu panelde, iletişim kurulan her bir bilgisayar için alınan çerçeve ve Byte sayısı ile gönderilen çerçeve ve Byte sayısının yanında Multicast, Broadcast ve Directed çerçeve sayıları görülebilir. (Ağda yakalanan ilk 128 adres listelenir.)
§ Toplam İstatistik Paneli (Total Stats Pane) : Bu panel Capture Window penceresinin sağ üst tarafında bulunan paneldir ve paket yakalama işleminin başladığı andan itibaren ağ üzerinde algılanan trafik hakkında istatistiksel bilgiler içerir. Bu bölümde Network Statistics, Captured Statistics, Per Second Statistics, Network Card (MAC) Statistics, Network Card (MAC) Error Statistics olmak üzere beş ayrı kategoride istatistik bulunur.
NOT
Capture Window penceresindeki Window menüsü aracılığıyla bu panellerden istediğinizi gizleyebilir yada görünür yapabilirsiniz.
|
Resim girecek: sekil3.jpg
Resim altı: Network Monitor ekranı
Network Monitor kullanarak ağ üzerinden bize gelen ve bizim yolladığımız paketleri nasıl yakalayacağımızı inceleyelim. Capture Window penceresindeki menülerden Capture->Start komutunu çalıştırarak veya F10 tuşuna basarak yada Capture Window penceresindeki Start Capture butonuna basarak paket yakalamaya başlayabiliriz. Paket yakalamaya başladığınızda Capture Window penceresindeki grafiklerin ve istatistiklerin değiştiğini göreceksiniz.
Peki yakalanan paketler bilgisayarımızda nerede tutulur? Yada bu yakalanan paketler ne kadar süreyle bilgisayarımızda kalır? Network Monitor tarafından yakalanan paketler tampon (buffer) bellekte tutulurlar ve bu belleğin boyutu varsayılan olarak 1 MB’dır. Yakalanan paketler tampon belleğe alınır ve tampon belleğin dolması durumunda yeni yakalanan paketler eski paketlerin yerine yazılacak, dolayısıyla paket kayıpları meydana gelecektir. Bu durum özellikle network analizi yapıyorsanız istenen bir durum değildir. Bunu önlemek için tampon bellek boyutunu arttırmalısınız. Tampon belleğin boyutunu arttırmak için Capture menüsünden Buffer Settings seçeneğini seçerek Şekil-4’deki Capture Packet Settings başlıklı pencereyi açıyoruz. Bu pecneredeki Buffer Size (MB) kısmındaki değer tampon belleğin boyutunu belirler. Tampon belleğin boyutu en fazla 1024 MB olabilir. Burada belirteceğiniz değerin pratik olarak limiti, bilgisayarınızda bulunan RAM miktarı kadardır. Eğer bu değeri bilgisayarınızda bulunan gerçek RAM değerinden fazla tutarsanız bu durumda RAM’deki paketlerin diske yazılması sırasında ağda bulunan paketler yakalanamayabilir.Dolayısıyla paket kaybına uğrayabilirsiniz. Bu penceredeki ayarlardan birisi de yakalanan paketlerin ne kadarlık kısmının tampon belleğe alınacağının belirlendiği Frame Size (Bytes) kısmıdır. Bu kullanışlı özelliği şöyle bir örnekle açıklayalım. Örneğin bilgisayarınıza gelen ve bilgisayarınızdan giden paketlerde en çok hangi İletişim Katmanı (Transport Layer) protokollerinin kullanıldığını merak ediyorsunuz. Bu durumda yakalanan paketlerin sadece İletişim Katmanı başlığına kadar olan kısmı sizi ilgilendirir. Dolayısıyla yakalanacak paketlerin IP başlık bilgisinden sonraki kısmı sizin için bir anlam ifade etmeyecektir. Bu penceredeki Frame Size (Bytes) kısmındaki değeri ayarlayarak tampon belleğe daha fazla paket alınmasını sağlayabilirsiniz. Bu kısımdaki değer, varsayılan olarak yakalanan çerçevenin tamamını tampon belleğe alacak şekilde ayarlanmıştır.
Resim girecek: sekil4.jpg
Resim altı: Tampon belleğin boyutunu ve yakalanan paketlerin ne kadarlık kısmının belleğe alınacağını Capture Buffer Settings penceresi yardımıyla belirleyebilirsiniz.
Yakaladığınız paketleri daha sonra kullanmak üzere bilgisayarınıza kaydedebilirsiniz. Ayrıca kaydettiğiniz bu dosyayı Network Monitor yüklü başka bir bilgisayarda da açabilirsiniz. Yakaladığınız paketleri kaydetmek için Network Monitor ekranındaki File menüsünden Save as komutunu çalıştırmalı yada araç çubuğundaki File Save as butonuna basmalısınız. Karşımıza Şekil 5’deki Save As başlıklı pencere çıkacaktır.Kaydedilen dosyaların uzantıları .CAP olacaktır. Save As başlıklı pencerede, dosyanın sabit diskinizde nerede saklanacağını belirlenmesinin yanında önemli bir seçenek daha bulunur. Bu seçenek, yakalanan paketler içinden hangi numaralar arasındakilerin kaydedileceğinin belirlendiği Range kısmıdır. Örneğin yakaladığınız paketlerden, paket numarası 15 ile 25 arasında olanları kaydetmek isteyebilirsiniz. Bu durumda Save As penceresindeki Range kısmındaki From kısmına 15 To kısmına ise 25 değerini girmelisiniz.
Resim girecek: sekil5.jpg
Resim altı: Yakalanan paketlerin kaydedilmesini sağlayan Save As başlıklı pencere
Network Monitor tarafından yakalanan paketler diskte geçici olarak tutulurlar ve Save as komutuyla bir CAP dosyasına yazıldıktan sonra yada Network Monitor uygulamasından çıkılması durumunda tutuldukları geçici dosya silinir.Geçici yakalama dosyalarının diskte nerede saklanacağını belirlemek için Options menüsündeki Change Temporary Capture Directory komutunu çalıştırıyoruz. Karşımıza Şekil-6’daki Network Monitor-Temporary Capture Directory başlıklı pecnere çıkacaktır. Bu pencere yardımıyla geçici yakalama dosyalarının saklanacağı klasörü belirliyoruz.
Resim girecek: sekil6.jpg
Resim altı: Geçici yakalama dosyalarının hangi klasörde saklanacağının belirlendiği pencere
Yakalama Filtresi (Capture Filter)
Kullanılan tampon bellekte daha fazla paket tutmanın bir diğer yolu da yakalanacak paketleri bir filtre aracılığıyla belirlemektir. Örneğin siz sadece belirli bir bilgisayardan gelen ve belirli bir protokole ait paketleri yakalayıp tampon bellekte tutmak isteyebilirsiniz. Bu durumda ağdaki paketlerden hepsi yakalanmayacak sadece sizin belirlediğiniz kriterlere uyan paketler yakalanıp tampon belleğe alınacaktır. Ayrıca filtre kullanarak gereksiz paketlerin yakalanmasını önlediğinizden, analiz edeceğiniz paket sayısı azalacak ve problemin çözümüne daha kısa zamanda ulaşma şansınız artacaktır.Yapılan bu işleme Capture Filter denir.
Şimdi yeni bir Yakalama Filtresinin nasıl oluşturulacağını inceleyelim. Network Monitor Capture
Window ekranındaki Capture menüsünden Filter komutunu veya klavyedeki F8 tuşuna basarak yada araç çubuğundaki Edit Capture Filter butonuna (huni şeklindeki buton) basarak Şekil-7’deki Capture Filter başlıklı pencereyi açıyoruz. Bu pencerede oluşturduğumuz filtre, bir karar ağacı şeklinde, grafiksel olarak gösterilir.
Resim girecek: sekil7.jpg
Resim altı: Yakalama filtresinde kullanılacak kriterlerin belirlendiği Capture Filter başlıklı pencere .
Yakalama filtresinde kullanılabilecek kriterler şunlardır ;
Windows 2000’de Network
Aktivitelerinin İzlenmesi
Protokol:
Bu kriter yardımıyla sadece belirli protokollere ait
paketlerin yakalanmasını sağlayabilirsiniz. Varsayılan olarak Network Monitor,
tüm protokollere ait paketleri yakalayacak şekilde ayarlanmıştır.
Oluşturacağımız yakalama filtresinde hangi protokollere ait paketlerin
yakalanacağını belirlemek için Şekil-7’teki pencerede bulunan karar
ağacındaki SAP/ETYPEkısmına çift tıklayarak yada SAP/ETYPE kısmını
seçip Edit butonuna basarak Capture Filter SAPs and ETYPEs başlıklı
Şekil-6’daki pencereyi açıyoruz. Network Monitor tarafından yakalanacak
paketlerin hangi protokollere ait olabileceği bu penceredeki Enable
Protocols kısmında listelenir. Bunun yanında hangi protokollere ait
paketlerin tampon belleğe alınmayacağı ise Disabled Protocols kısmında
listelenir. Örneğin biz sadece IP paketlerini yakalamak istediğimiz için
Şekil-8’deki resimde görüldüğü gibi Enable Protocols kısmında sadece IP
protokolü olacak şekilde bir filtre oluşturduk. Disable, Disable All, Enable ve
Enable All butonlarını kullanarak Enable Protocols ve Disabled Protocols
bölümleri arasında geçiş gerçekleştirebilirsiniz.
Resim
girecek: Şekil8.jpg
Resim
altı:
Hangi protokollere ait paketlerin yakalanacağının belirlendiği Capture
FilterSAPs and ETYPEs başlıklı pencere
Adres:
Yakalama filtresinde
kullanılabilecek bir diğer kriter adres kriteridir. Bu kriter yardımıyla
sadece belirli adresler arasında gidip gelen paketlerin yakalanmasını
sağlayabilirsiniz. Örneğin DHCP istemci olan bir bilgisayarın DHCP
sunucudan geçerli bir IP adresi alamaması durumunu ele alalım. Bu
problemi analiz edebilmek için sadece DHCP istemci ve DHCP sunucu arasında
gidip gelen paketleri yakalayacak bir filtre tanımı işimizi görecektir. Hangi
adreslere ait paketlerin yakalanacağını belirlemek için Şekil-7’deki Capture
Filter penceresinde bulunan Address Pair kısmına çift tıklayarak yada
Address Pair kısmını eçip Address butonuna basarak
Şekil-9’daki Address Expression başlıklı pencereyi açıyoruz. Bu
pencerede Station 1, Direction ve Station 2 kısımları bulunur. Bu kısımlardan
Station 1 ve Station 2 kısımlarında oturumu kuracak bilgisayarlar listelenir.
Direction kısmında ise hangi yönde gelen paketlerin yakalanacağı
belirlenir. Buradaki <—> işareti hem gelen hem de giden paketlerin,
—> işareti Station 1 adresinden Station 2 adresine giden paketlerin, <—
işareti ise Station 2 adresinden Station 1 adresine giden paketlerin
yakalanmasını sağlar. Örneğimizde ISASERVER1 ve ISASERVER2 adlı bilgisayarlar
arasındaki iki yönlü trafiği de yakalamak istediğimizden Direction kısmındaki
işaretlerden <—> işaretini seçiyoruz. Bu pencerede ayrıca Include ve Exclude olmak
üzere iki seçenek bulunur. Bu seçenekler belirli adresler arasındaki ve belirli
bir yöndeki trafiğin yakalanıp yakalanmayacağını belirler. Eğer Include
seçeneğini seçip Station 1, Direction ve Station 2 kısımlarına uygun değerleri
girerseniz bu kriterlere uyan paketler yakalanacaktır. Exclude seçeneğini
seçtiğiniz takdirde bu kriterlere uyan paketler tampon belleğe alınmayacaktır.
Örneğin analiz yaparken ağ üzerindeki Macintosh bilgisayarların ürettiği
trafiğin tampon belleğine alınmasını istemiyorsanız bu durumda Station 1,
Direction ve Station 2 kısımlarına uygun değerleri girerek Exclude seçeneğini
seçmelisiniz.
NOT
Network Monitor uygulamasının Windows 2000 Server ailesi ile birlikte gelen versiyonunda Station 1 kısmında daima lokal bilgisayar adresi yani Network Monitor uygulamasının yüklü olduğu adres bulunur. Network Monitor’ün SMS versiyonunda ise Station 1 kısmındaki adres, ağdaki herhangi bir adres olabilir.
|
Resim
girecek: sekil9.jpg
Resim
altı: Hangi adresler arasındaki ve bu adresler arasında hangi yöndeki ağ
trafiğinin yakalanacağının belirlendiği Address Expression başlıklı
pencere
Şekil-9’daki
Station 1 ve Station 2 kısımlarında listelenen adresler Network Monitor
uygulamasının çalıştırılmasından itibaren öğrenilen adreslerdir. Eğer bu
tabloya yeni bir adres eklemek için Edit Addresses butonuna
basarak Şekil-10’deki Address Database başlıklı pencereyi
açıyoruz. Address Database başlıklı pencerede o zamana kadar öğrenilen adresler
listelenir.
Resim girecek: sekil10.jpg
Resim altı: Network Monitor uygulamasının çalıştırılmasında itibaren öğrenilen adreslerin listelendiği Address Database başlıklı pencere.
Bu penceredeki Add butonuna basarak listeye yeni bir adres ekleyebiliriz. Bunun için Add butonuna basarak Şekil-11’deki Address Information başlıklı pencereyi açıyoruz. Bu penceredeki en önemli kısım Type kısmıdır ve tanımladığımız adresin ne tür bir adres olduğunu belirtir. Burada seçilebilecek adres türleri ise şunlardır; ATM, ETHERNET, FDDI, IP, IPX/XNS, TOKENRING ve VINES IP.
Resim girecek: sekil11.jpg
Resim altı:Adres veritabanına yeni bir adres eklemek için kullanılan Address Information başlıklı pencere
Adres veritabanında bulunan kayıtları Address Database başlıklı penceredeki Save butonuna basarak saklayabilirsiniz. Daha sonra bu adresleri Network Monitorde kullanmak içinse bu pecneredeki Load butonuna basarak bu kayıtları yüklemelisiniz.
Yakalama filtresinde en fazla üç tane adres çifti tanımlayabilirsiniz.
§ Veri Kalıbı (Data Pattern) : Eğer ağdaki paketler arasında sadece belirli bir veri kalıbını (data pattern) içeren paketleri tampon belleğe almak istiyorsanız bu kriteri kullanmalısınız. Yeni bir veri kalıbı tanımlamak için Şekil-7’teki pencerede bulunan Pattern Matches kısmını çift tıklayarak yada bu kısmı seçip Pattern butonuna basarak Şekil-12’deki Pattern Match başlıklı pencereyi açıyoruz. Bu penceredeki Pattern kısmına yakalanacak paketlerde bulunulması gereken veri kalıbını yazıyoruz. Buraya gireceğimiz değer Hex yada ASCII formatında olabilir. Ayrıca Offset (in Hex) kısmındaki değer ise From Start of Frame yada From End of Topology Header seçeneklerine bağlı olarak veri kalıbının paket içerisindeki başlangıç yerini belirtir. Eğer yakalamak istediğiniz paketlerde birden fazla veri kalıbı varsa bu durumda Capture Filter penceresindeki karar ağacında bulunan AND ve OR butonlarını kullanarak farklı veri kalıplarını kapsayacak şekilde bir yakalama filtresi oluşturabilirsiniz. Yakalama filtresinde tanımlayabileceğiniz en fazla veri kalıbı sayısı dörttür.
Eğer networkünüzün bir saldırıya maruz kaldığını yada bir virüs tarafından meşgül edildiğini düşünüyorsanız ve bu saldırıyı herhangi bir saldırı tesbit yazılımı (IDS - Intrusion Detection System) kullanmadan Network Monitor yardımıyla tesbit etmek istiyorsanız bu durumda oluşturacağınız yakalama filtresinde tanımlayacağınız veri kalıpları (pattern) işinizi kolaylaştıracaktır. Güncel saldırılarda kullanılan paketlerin yapısı hakkında ayrıntılı bilgileri internetde bulabilirsiniz.
Resim girecek: sekil12.jpg
Resim altı: Yakalanacak paketlerde aranacak veri kalıbının belirlendiği pencere
Oluşturduğunuz bu yakalama filtresini daha sonra tekrar kullanmak üzere Capture Filter penceresindeki Save butonuna basarak kaydedebilir, önceden oluşturulan bir yakalama filtresini de Loadbutonuna basarak yükleyebilirsiniz. Kaydedilen yakalama filtrelerinin dosya uzantısı .cf’dir. Oluşturduğunuz bu filtreleri kaydederek başka bilgisayarlarda da kullanabilirsiniz.
Network Monitor programının en güzel özelliklerinden biriside, önceden belirli olayların meydana gelmesi durumunda bir tetikleme mekanizması sayesinde belirli eylemleri yerine getirebilmesidir. Örneğin yakalanan paketler içinde, aranan bir kalıbın (pattern) bulunması halinde yakalama işleminin sonlandırılmasını yada bir toplu komut dosyasının çalıştırılmasını sağlayabilirsiniz. Tetikleme ile alakalı ayarların yapıldığı Capture Trigger başlıklı pencereyi açmak için Network Monitor ekranındaki Capture menüsünde bulunan Trigger komutunu çalıştırıyoruz. Karşımıza Şekil-13’deki pencere çıkacaktır. Şimdi bu penceredeki ayarları inceleyelim.
Resim girecek: sekil13.jpg
Resim altı: Paket yakalama işlemi sırasında belirli durumların meydana gelmesi halinde Network Monitor’ün nasıl davranacağını Capture Trigger penceresi yardımıyla ayarlayabilirsiniz.
Trigger on kısmında bulunan seçeneklerden Nothing seçeneğini seçerseniz tetikleme işlemini pasif hale getirmiş olursunuz. Pattern match seçeneğini seçtiğinizde ise Pattern kısmı aktif olacaktır ve bu kısımda belirteceğiniz kalıbı içeren paketler yakalandığında Trigger Action kısmında belirlenen eylemler gerçekleştirilecektir. Buffer space seçeneğini seçerseniz bu pencerenin sol tarafında bulunan Buffer Space kısmı aktif olacaktır. Eğer yakalanan paketlerin, tampon belleğin belirli bir yüzdesini doldurduğu anda tetiklemenin gerçekleşmesini istiyorsanız bu durumda Trigger on kısmındaki seçeneklerden Buffer spaceseçeneğini seçmeli ve Buffer Space kısmındaki yüzdelik değerlerden de sizin için uygun olan değeri seçmelisiniz. Bunun haricinde eğer siz hem veri kalıbı hem de tampon bellek miktarını gözönünde bulunduran bir tetikleme mekanizması oluşturmak istiyorsanız bu durumda Pattern match then buffer space yada Buffer space than pattern match seçeneklerinden birisini seçmelisiniz. Pattern match then buffer space seçeneğini seçerseniz Network Monitor tetikleme yapmak için önce sizin belirlemiş olduğunuz veri kalıbını içeren paketin yakalanmasını bekleyecek ardından tampon belleğin Buffer Space kısmında belirlenen yüzdelik kısmının dolmasıyla birlikte tetikleme gerçekleşecek ve Trigger Action kısmındaki eylemler gerçekleştirilecektir. Buffer space than pattern match seçeneğinde ise öncelikle tampon belleğin doluluk miktarına bakılacak ve ardından tetikleme mekanizmasını çalıştırmak için yakalanan paketler içinde sizin belirlemiş olduğunuz veri kalıbını arayacaktır.
Trigger Action kısmındaki seçenekler ise şunlardır.
· Audible Signal Only : Varsayılan olarak bu seçenek seçilidir ve tetiklemenin meydana gelmesi halinde bilgisayarınızdan bip sesinin çıkmasını sağlar ve paket yakalama işlemine devam edilir.
· Stop Capture : Bu seçeneği seçerseniz tetiklemenin meydana gelmesi durumunda paket yakalama işlemi sona erecektir.
· Execute Command Line : Eğer tetikleme işlemi meydana geldiğinde hazırladığınız bir toplu komut dosyasının çalıştırılmasını istiyorsanız bu seçeneği seçerek toplu komut dosyasının yerini belirtmelisiniz. Toplu komut dosyası ile yapabilecekleriniz sizin programcılık yeteneklerinizle sınırlıdır.
Dedicated Capture Mode
Eğer sizin için paket kaybı kabul edilemez bir durumsa bu durumda Network Monitor uygulamasının çalıştığı bilgisayarın tüm kaynaklarını paket yakalama için ayıracak şekilde ayarlamanız gerekir. Bu işlem için Capture Window penceresinde bulunan Capture menüsündeki Dedicated Capture Mode komutunu çalıştırmanız gerekir. Bu modda çalıştığınız zaman dilimi içinde Network Monitor penceresindeki istatistik değerlerinde herhangi bir değişiklik yapılmaz.
Yakalanan Paketlerin Analizi
Network Monitor aracılığıyla yakaladığımız paketlerde nelerin taşındığını anlamak, meydana gelen ağ problemlerinin sebeplerini bulmak için yakalanan paketlerin içeriğini görmeli ve bu paketleri analiz etmeliyiz. Yakalanan paketleri görmek için Capture Window ekranındaki araç çubuğunda bulunan Stop and View Capture butonuna basarak yada yakalama işlemini durdurduktan sonra Capture menüsündenDisplay Captured Data komutunu çalıştırarak (bu komut yerine klavyedeki F12 tuşunu kullanabilirsiniz) Şekil-14’deki Frame Viewer penceresini açıyoruz. Bu pencere aşağıdaki üç panelden oluşmuştur.
§ Özet Paneli (Summary Pane) : Bu panalde, yakalanan çerçeveler yakalama zamanlarına göre bir liste halinde gösterilirler. Bu pencerede, yakalanan paketler hakkında şu bilgiler bulunur; yakalama işlemine başladıktan ne kadar sonra paketin yakalandığı, kaynak ve hedef bilgisayarların MAC adresleri, paketin hangi protokole ait olduğu ve paket hakkında bir açıklama. Bunların haricinde eğer yakalanan pakette başka bir protokol tarafından kullanılan bir adres yapısı varsa bu protokole ait adres bilgileri de özet panelinde gösterilir. İlk kez Frame Viewer penceresini açtığınızda sadece bu panel karşınıza çıkacaktır. Diğer panelleri açmak için özet panelinde listelenen paketlerden herhangi birisine çift tıklamalısınız.
NOT
Frame Viewer penceresinde listelenen paketlerin, ait oldukları protokole göre farklı bir renkte gösterilmelerini sağlayabilirsiniz. Bunun için Display menüsündeki Colors komutunu çalıştırıp Protocol Colors penceresini açmalısınız. Bu pencerede hangi protokole ait paketlerin hangi renkte gösterileceğini Foreground ve Background seçenekleri yardımıyla ayarlayabilirsiniz.
|
§ Ayrıntı Paneli (Detail Pane) : Özet panelinde seçtiğiniz paketin ayrıntıları bu panelde gösterilir. Network analizi sırasında kullanacağınız bilgilerin çoğunu bu panelde bulabilirsiniz. Eğer paket analizi ile yeni tanışıyorsanız, bu paneldeki verileri dikkatle inceleyerek protokoller hakkında temel bilgilere ulaşabilirsiniz.
§ Hex Paneli (Hex Pane) : Özet panelinde seçilen paketin içeriği Hex ve ASCII modlarında gösterilir.
Resim girecek: sekil14.jpg
Resim altı: Yakalanan paketlerin analizinin yapıldığı Frame Viewer penceresi
NOT
Network Monitor penceresindeki adres kısımlarında Hex değerler yerine isim görmek istiyorsanız bu durumdaOptions menüsündeki Show Address Names seçeneğini seçmelisiniz.
|
Şekil-14’deki paketleri kısaca analiz edelim. 25 numaralı paket bir ICMP Echo paketi ve 26 numaralı paket ise ICMP Echo mesajına gelen ICMP Echo Reply yanıtıdır. Yani IP adresi 192.168.0.15 olan bilgisayardan, IP adresi 192.168.0.3 olan bilgisayara ping atılmış ve bu bilgisayardan yanıt alınmıştır. Bir sonraki paket yani Protocol kısmında COMMENT yazan 27 numaralı paket diğer paketlerden biraz farklıdır. Çünkü bu paketi yakalama işlemi bittikten sonra kendimiz açıklama amacıyla ekliyoruz. İyi bir analiz için daha doğrusu ağ üzerindeki olayları Frame Viewer penceresinde birbirinden ayırmak için COMMENT paketleri kullanılabilir. Yeni bir COMMENT paketi eklemek için Frame Viewer penceresinde bulunan Tools menüsünden Insert Comment Frame komutunu çalıştırarak Şekil-15’deki Insert Comment Frame başlıklı pencereyi açıyoruz. Bu pencerede, açıklama paketinin paket numarasını, tipini ve bu pakette bulunacak açıklamayı yazarak bir COMMENT paketi oluşturabilirsiniz.
Resim girecek: sekil15.jpg
Resim altı: Açıklama paketinin oluşturulduğu Insert Comment Frame başlıklı pencere
COMMENT paketinde sonra ardarda üç tane TCP paketi görüyoruz. Bu paketler tipik bir TCP Three-Way Handshake olayını gösterir. TCP protokolü bağlantı temelli bir protokol olduğu için her iki tarafın bağlantı kurmadan önce bağlantı parametreleri üzerinde anlaşmaları gerekir. 31 numaralı paketten itibaren FTP protokolüne ait paketleri görüyoruz. Bu paketleri dikkatlice incelediğinizde bir FTP oturumu açma girişimi olduğunu ve bu oturum açma sırasında hangi kullanıcı adı ve şifresinin kullanıldığını görebilirsiniz. Frame Viewer penceresinde özellikle 34 numaralı paketi seçmemin ayrı bir nedeni var.Bu paket FTP oturumu açma sırasında kullanılacak şifrenin taşındığı paket ve biz bu paketin içerisinde taşınan şifreyi ekstra bir çaba göstermeden görebiliyoruz. Yani ağ üzerinden düz yazı (clear text) şeklinde gönderilen şifreler Network Monitor kullanılarak rahatlıkla ele geçirilebilir. Buradan çıkacak sonuç şudur ; yetkisiz kullanıcılar tarafından çalıştırılan Network Monitor programı ağ güvenliğinizi ciddi manada sarsabilir. Peki ağ üzerinde hangi bilgisayarlar Netwok Monitor programının çalıştırıldığını anlamanın bir yolu yok mu? Neyse ki bunu anlamanın bir yolu var. Network Monitor programının ağ üzerindeki bilgisayarlardan hangilerinde çalıştığını görmek istiyorsanız Capture Window ekranındaki Tools menüsünden Identify Network Monitor users komutunu çalıştırmanız gerekiyor. Bu komutu çalıştırdığınızda karşınıza Identify Network Monitor users başlıklı Şekil-16’daki pencere çıkacaktır.
Resim girecek: sekil16.jpg
Resim altı: Ağ üzerindeki hangi bilgisayarlarda Network Monitor uygulamasının çalıştırıldığının gösterildiği pencere
Bu pencerede Network Monitor uygulamasının çalıştığı bilgisayarın adı ve MAC adresi, bu uygulamayı çalıştıran kullanıcının adı, Network Monitor programının versiyonu gibi bilgilerin yanında Network Monitor programının o anki durumu hakkında bilgi bulunur. Bu penceredeki Current State kısmında bulunabilecek değerler şunlardır;
· Driver is installed : Bu bilgisayarda Network Monitor sürücüsünün yüklü olduğunu ama Network Monitor programının o an çalışmadığını gösterir.
· Running : Network Monitor uygulamasının çalıştığını ama o an için herhangi bir paket yakalama işlemi gerçekleştirmediğni gösterir.
· Capturing :Network Monitor uygulamasının çalıştığını ve paket yakalama işlemini gerçekleştirdiğini gösterir.
· Transmitting : Network Monitor uygulamasının ağ üzerinde paket iletimi yaptığını gösterir.
NOT
Ağ üzerinde hangi bilgisayarlarda Network Monitor uygulamasının çalıştığını anlamak için kullanılan tekniklerin neler olduğu Microsoft tarafından tam olarak açıklanmamıştır. Ayrıca testler sırasında Network Monitor uygulamasını çalıştıran bazı bilgisayarın algılanamadığını görülmüştür.
|
Frame Viewer penceresinde listelenen paketlerin en sonuncusu yakalama işlemi hakkında istatistiksel bilgiler içeren ve listeye Network Monitor tarafında eklenen bir pakettir.
Gösterme Filtresi (Display Filter)
Yakalanan paketlerin içinden, sizin belirleyeceğiniz kriterlere uyanlarını ayıklamak için gösterme filtresi (Display Filter) kullanılır. Gösterme filtresini veritabanındaki veriler arasında aramak yapmak için oluşturulmuş bir sorgu olarak düşünebilirsiniz. Tabii ki burada kullanılan veritabanı, yakalanan paketlerin bulunduğu tampon bellek bölgesidir. Gösterme filtresi oluştururken kullanılan kriterler yakalama filtresi oluşturulurken kullanılan kriterler temelde birbirine çok benzerler.
Yeni bir gösterme filtresi oluşturmak için Frame Viewer penceresinde bulunan Display menüsündeki Filters komutunu çalıştırarak yada klavyedeki F8 tuşuna basarak Şekil-17’deki Display Filterbaşlıklı pencereyi açıyoruz.
Resim girecek: sekil17.jpg
Resim altı: Yakalanan paketler arasında arama yapmak için gösterme filtresini kullanabilirsiniz.
Yakalanan paketler arasında bizim belirlediğimiz kriterlere uyanlarının gösterilmesini sağlayan sorguları bu pencere aracılığıyla oluşturuyoruz.
Şimdi bir örnek üzerinde gösterme filtresinin nasıl kullanıldığını inceleyelim. Şirketteki kullanıcılardan birisi sabah kahvenizi içtiğiniz vakit sizi telefonla aradı ve ağdaki diğer bilgisayarları göremediğini söyledi. Siz de bu bilgisayarın ayarlarını kontrol etmeye gittiniz ve bu bilgisayarın IP adresinin yerel ağda kullanılan IP adres aralığına ait olmadığını, 169.254 ile başlayan bir IP adresine sahip olduğunu gördünüz. Bu durumda ilk olarak bu istemcinin DHCP sunucuya erişemediğini düşündünüz ve bu bilgisayardaki fiziksel bağlantılar öncelikli olmak üzere problemin sebebini aramaya başladınız. Tam bu sırada aynı sorunla karşılaşan başka kullanıcılardan da size şikayetler gelmeye başladı. Bu durumda sorunun istemcilerde değil de DHCP sunucuda olabileceğini düşünerek DHCP sunucu üzerinde Network Monitor uygulamasını çalıştırmaya karar verdiniz ve DHCP sunucu üzerinde paket yakalama işlemine başladınız. Belirli bir süre yakalama işlemine devam ettikten sonra yakalama işlemini sonlandırarak paketleri incelemeye başladınız. Bu noktada sizin aradığınız paketler, DHCP sunucunun DHCP istemcilerden gelen IP adres kiralama isteğine verdiği DHCP ACK yanıtını içeren paketler olacaktır. Bu paketleri görebilmek için Şekil-17’deki pencerede görüldüğü gibi bir sorgu oluşturduk ve bu sorgu, yakalanan paketlerin içinde DHCP sunucu tarafından ağdaki DHCP istemcilere, DHCP protokolü kullanılarak, DHCP ACK paketlerinin gönderilip gönderilmediği gösterecektir. Böylece ağ üzerindeki DHCP sunucunun istemcilere hizmet verip vermediğini incelemiş oluruz.
Yukarıdaki örnekte anlatıldığı gibi bir sorgu oluşturmak için Şekil-17’de gösterilen penceredeki Expression butonuna basarak Şekil-18’deki pencereyi açıyoruz.
Resim girecek: sekil18.jpg
Resim altı: Protokollerin özelliklerini kullanarak daha gelişmiş gösterme filtreleri oluşturabilirsiniz.
Bu pencerede Address, Protocol ve Property olmak üzere üç sekme bulunur. Bu sekmelerde bulunan veriler yardımıyla gösterme filtresini oluşturuyoruz. Address sekmesine tıkladığınızda karşınıza hangi adresler arasında ve hangi yöndeki trafiğin filtreleneceğinin belirlendiği ve yakalama filtresindekine benzer bir pencere çıkacaktır. Protocol sekmesine tıkladığınızda ise yine yakalama filtresindekine benzer bir pencere çıkacaktır. Burada gösterme filtresinde hangi protokollere ait paketlerin gösterileceği belirleniyor. Eğer dikkatle incelerseniz gösterme filtresinde kullanabileceğiniz protokol sayısının, yakalama filtresinde kullanılabilecek protokol sayısından fazla olduğunu göreceksiniz. Property sekmesi ise seçilen protokole ait özellikler bazında bir gösterme filtresi oluşturulmasını sağlar. Bu sekmedeki verileri tam anlamıyla kullanmak için listede bulunan protokoller hakkında derinlemesine bilgiye ihtiyacınız olacaktır. Bu makalenin sonunda vereceğimiz Web sitesi adreslerinden faydalanarak buradaki protokoller hakkında detaylı bilgilere sahip olabilirsiniz.
Yakaladığınız paketleri yazıcıdan çıktı alarak da inceleyebilirsiniz. Network Monitor ekranında Print butonuna bastığınızda yada File menüsünden Print komutunu çalıştırdığınızda karşınıza Şekil-19 ‘daki Print başlıklı pencere çıkacaktır.
Resim girecek: sekil19.jpg
Resim altı: Yakalanan paketlerin yazıcıdan çıktısını almak için kullanılan Print başlıklı pencere
Bu pencerede hangi numaralı paketlerin yazıcıya gönderileceğini belirlemek için General sekemesindeki Print Range kısmını kullanabilirsiniz. Netmon adli sekmede ise, yakalanan paketlerin yazıcıya gönderilecek ayrıntılarını belirleyebilirsiniz. Örneğin yakalanan paketlerin Hex kısmının yazıcıya gönderilip gönderilmeyeceği gibi ayarlar bu pencereden yapılır. Ayrıca oluşturduğunuz gösterme filtrelerini de kullanabilirsiniz. Böylece sadece belirlediğiniz kriterler uyan paketlerin yazıcıdan çıkmasını sağlarsınız.
Network ve Protokol Analizi Hakkında Bilgi Edinilebilecek Bazı Siteler ve Kitaplar
“Internet Protokols Handbook” Dave Roberts ISBN: 1883577888
“Introduction to Network Analysis” Laura A. Chappell ISBN: 1-893939-36-7
“Advanced Network Analysis Techniques” Laura A. Chappell ISBN: 1-893939-28-6
“TCP-IP Analysis and Troubleshooting” Laura A. Chappell ISBN: 1-893939-01-4
Microsoft Official Curriculum (MOC) Course #692, “Microsoft Windows NT Server 4.0—Network Analysis and Optimization,”
|
Halil Öztürkci
halil@turkmcse.com
MCSE, MCDBA, CCNA, CCSA, CCSE
