Ağ koklama, bilgisayar ağ bağlantıları üzerinden gerçek zamanlı olarak akan verileri izleyen veya koklayan, ağ dinleyicisi adı verilen bir yazılım aracının kullanılmasıdır. Bu yazılım aracı, bağımsız bir yazılım programı veya uygun yazılım veya bellenime sahip bir donanım aygıtıdır.
Ağ Sniffer Nedir?
Ağ koklayıcıları, yeniden yönlendirmeden veya değiştirmeden ağ üzerinden akan verilerin anlık kopyalarını alır. Bazı sniffer'lar yalnızca TCP/IP paketleriyle çalışır, ancak daha karmaşık araçlar diğer birçok ağ protokolüyle ve Ethernet çerçeveleri dahil daha düşük seviyelerde çalışır.
Yıllar önce, koklayıcılar yalnızca profesyonel ağ mühendisleri tarafından kullanılan araçlardı. Ancak günümüzde, web üzerinde ücretsiz olarak sunulan yazılımlarla, internet korsanları ve ağ kurmayı merak eden kişiler arasında da popülerdirler.
Ağ sniffer'larına bazen ağ araştırmaları, kablosuz sniffer'lar, Ethernet sniffer'lar, paket sniffer'lar, paket analizörleri veya sadece snoop'lar denir.
Paket Analizörleri Nasıl Kullanılır
Paket koklayıcılar için çok çeşitli uygulamalar vardır. Çoğu paket koklayıcı, bir kişi tarafından uygunsuz bir şekilde ve başka bir kişi tarafından meşru nedenlerle kullanılabilir.
Örneğin, şifreleri yakalayan bir program bir bilgisayar korsanı tarafından kullanılabilir, ancak aynı araç bir ağ yöneticisi tarafından kullanılabilir bant genişliği gibi ağ istatistiklerini bulmak için kullanılabilir.
Ağ koklama, güvenlik duvarı veya web filtrelerini test etmek ve istemci/sunucu ilişkilerinde sorun gidermek için de kullanılır.
Ağ Sniffing Nasıl Çalışır
Herhangi bir ağa bağlı bir paket dinleyicisi, o ağ üzerinden akan tüm verileri yakalar.
Yerel alan ağında (LAN), bilgisayarlar genellikle ağdaki diğer bilgisayarlar veya cihazlarla doğrudan iletişim kurar. Bu ağa bağlı olan her şey tüm bu trafiğe maruz kalır. Bilgisayarlar, kendisine yönelik olmayan tüm ağ trafiğini yok sayacak şekilde programlanmıştır.
Ağ koklama yazılımı, bu trafiği dinlemek için bilgisayarın ağ arabirim kartını (NIC) açarak tüm trafiğe açar. Yazılım bu verileri okur ve üzerinde analiz veya veri çıkarma işlemi gerçekleştirir.
Ağ verilerini aldığında, yazılım bunun üzerinde aşağıdaki işlemleri gerçekleştirir:
- İçerikler veya bireysel paketler (ağ verilerinin bölümleri) kaydedilir.
- Bazı yazılımlar, yerden tasarruf etmek için veri paketlerinin yalnızca başlık bölümünü kaydeder.
- Yakalanan ağ verilerinin kodu çözülür ve kullanıcının bilgileri görebilmesi için biçimlendirilir.
- Paket koklayıcıları ağ iletişimindeki hataları analiz eder, ağ bağlantılarında sorun giderir ve diğer bilgisayarlar için amaçlanan tüm veri akışlarını yeniden yapılandırır.
- Bazı ağ koklama yazılımları şifreler, PIN numaraları ve özel bilgiler gibi hassas bilgileri alır.
Ağ Sniffer Saldırılarını Nasıl Önlersiniz
Ağ koklama yazılımının bilgisayarınızdan gelen ağ trafiğini gözetlemesi konusunda endişeleriniz varsa, kendinizi korumanın yolları vardır.
Bir ağ yöneticisinin ağ trafiği akışını izlemesi gibi, birinin sniffer yazılımı kullanması gerekebilecek etik nedenler vardır.
Ağ yöneticileri ağlarında bu araçların kötü niyetli kullanımından endişe duyduklarında, sniffer saldırılarına karşı koruma sağlamak için koklama önleyici taramalar kullanırlar. Bu, kurumsal ağların genellikle güvenli olduğu anlamına gelir.
Ancak, sniffer yazılımını kötü niyetli nedenlerle edinmek ve kullanmak kolaydır, bu da evinizin internetine karşı yasa dışı kullanımını endişe kaynağı haline getirir. Birinin böyle bir yazılımı kurumsal bir bilgisayar ağına bile bağlaması çok kolay olurdu.
Kendinizi internet trafiğinizi gözetleyen birinden korumak istiyorsanız, internet trafiğinizi şifreleyen bir VPN kullanın. VPN'ler ve kendinizi korumak için kullanabileceğiniz VPN sağlayıcıları hakkında her şeyi öğrenebilirsiniz.
Ağ Sniffer Araçları
Wireshark (önceden Ethereal olarak biliniyordu) dünyanın en popüler ağ dinleyicisi olarak yaygın bir şekilde tanınmaktadır. Bu, trafik verilerini iletmek için hangi protokolün kullanıldığını belirtmek için renk kodlamasıyla görüntüleyen ücretsiz, açık kaynaklı bir uygulamadır.
Ethernet ağlarında, kullanıcı arayüzü tek tek çerçeveleri numaralı bir listede görüntüler ve TCP, UDP veya diğer protokoller aracılığıyla gönderilip gönderilmediklerini ayrı renklerle vurgular.
Wireshark ayrıca bir kaynak ve hedef (zaman içinde diğer konuşmalardan gelen trafikle karıştırılan) arasında ileri geri gönderilen mesaj akışlarını da gruplar.
Wireshark, başlatma/durdurma düğmesi arabirimi aracılığıyla trafik yakalamalarını destekler. Araç ayrıca, hangi verilerin görüntüleneceğini ve yakalamalara dahil edileceğini sınırlayan filtreleme seçenekleri içerir. Çoğu ağ trafiği, ilgilenilmeyen rutin kontrol mesajları içerdiğinden, bu kritik bir özelliktir.
Yıllar içinde birçok farklı problama yazılımı uygulaması geliştirilmiştir. İşte sadece birkaç örnek:
- tcpdump (Linux ve diğer Unix tabanlı işletim sistemleri için bir komut satırı aracı)
- CloudShark
- Kain ve Habil
- Microsoft Message Analyzer
- CommView
- Omnipeek
- Kapsa
- Ettercap
- PRTG
- Ücretsiz Ağ Analizcisi
- NetworkMiner
- IP Araçları
Bu ağ sniffer araçlarından bazıları ücretsizdir, diğerleri ise ücretli veya ücretsiz deneme süresine sahiptir. Ayrıca, bu programlardan bazıları artık korunmuyor veya güncellenmiyor, ancak hala indirilebilir durumdalar.
Ağ Sniffers ile İlgili Sorunlar
Sniffer araçları, ağ protokollerinin nasıl çalıştığını öğrenmenin harika bir yolunu sunar. Ancak, ağ şifreleri gibi bazı özel bilgilere de kolay erişim sağlarlar. Ağlarında bir sniffer kullanmadan önce izin almak için sahiplere danışın.
Ağ araştırmaları yalnızca ana bilgisayarlarının bağlı olduğu ağlardan gelen verileri yakalar. Bazı bağlantılarda, sniffer'lar yalnızca söz konusu ağ arabirimine yönlendirilen trafiği yakalar. Her durumda, hatırlanması gereken en önemli şey, trafiği gözetlemek için bir ağ dinleyicisi kullanmak isteyen herkesin, bu trafik şifrelenmişse bunu yapmakta zorlanacağıdır.
SSS
Birinin ağınızı kokladığını nasıl anlarsınız?
Koklayıcıları tespit etmek zor olabilir çünkü genellikle sadece veri toplayarak pasif kalırlar. Ancak bir bilgisayara bir sniffer kuruluysa, fazladan trafik sizi bir sniffer'ın varlığı konusunda uyarabilir. Anti-Sniff, Sniff Detection, ARP Watch veya Snort gibi koklayıcıları algılayan bir yazılım programı kullanmayı düşünün.
Paket dinleyicisi kullanılarak ne tür veriler ve bilgiler bulunabilir?
Paket dinleyicisi meşru bir ağ mühendisi aracı veya antivirüs özelliğidir, ancak aynı zamanda bir bilgisayar korsanının aracı olabilir ve kötü amaçlı bir e-posta eki olarak görünebilir. Kötü amaçlı paket dinleyicileri, parolaları ve oturum açma bilgilerini kaydedebilir, ayrıca bir kullanıcının web sitesi ziyaretlerini ve etkinliğini izleyebilir. Bir işletme, gelen trafiği kötü amaçlı yazılımlara karşı taramak veya çalışanların ağ kullanımını takip etmek için meşru bir paket dinleyicisi kullanabilir.