Network izleme programları network kartına gelen tüm paketleri izleyebilmemize olanak sağlar. Normalde network üzerinden alınan bilgiler belirli protokoller yardımı ile frameler yani küçük paketler bazında iletilir. Frame; kaynak ve hedef bilgisayarlarının adresi, protokol bilgileri ve veriden oluşmaktadır. Network izleme programları bu paketlerin hangi protokole ait olduğunu anlayabilir ve bu paketlerin karakteristiğine göre parse edebilir.
Bu makalede network izlemede kullanılabilir güçlü bir programdan bahsedeceğiz. Microsoft Network Monitoring 3.3 programı ile bilgisayarınızda bulunan herhangi bir network kartı izlenebilmektedir. Bu program sayesinde paketlerin izleme kayıtlarını kaydedilebilir, analiz edilebilir, paket içerikleri detaylı bir şekilde görülebilmektedir. Herhangi bir filtreye göre istenilen kriterlere ait paketler izlenilebilmektedir.
Network Monitoring Ana Ekran: Program ilk açıldığında aşağıdaki gibi bir ekran (Şekil 1) karşınıza gelecektir.
 |
Şekil 1 |
Şekil-1’de kırmızı çerçeve içerisine alınan bölümde yeni bir izleme sayfası açılabilir ya da daha önceden yapılmış ve kaydedilmiş izlemeleri açılabilir. Mavi çerçeve içerisindeki bölümde ise kurulu bilgisayar üzerindeki network kartlarını görebilir ve buradan izlenmek istenilen kartları seçilebilir.
Kırmızı çerçeveli ekranda “New capture tab” ya da toolbarda bulunan“New Capture” butonuna basıldığında karşınıza network’ü izlemek için yeni bir ekran (Şekil 2) gelecektir. Bu ekran Tab şeklinde ekranda yerini alır. Şekil 2 de görünen ve tab adı “Capture 1” olan ekran gibi.
 |
Şekil 2 |
“Capture 1” adlı tab üzerinde kırmızı çerçeve ile işaretlenmiş (Sol menü) yerde İzlenilen paketler uygulama (googletalk.exe, iexplorer.exe, Outlook.exe, …),ip version (ipV4, ipV6, …), protokol (TCP,UDP, …), kaynak ve hedef bilgisayarlar kriterlerine göre gruplandırılmış şekilde gösterilmektedir. Hangi karakteristikteki frameler(paketler) filtrelemek istendiğinde buradaki ağaçtan biri seçilip, paket özetleri ekranında o paketler gösterilebilir.
Yeşil çerçeve içerisinde işaretlenmiş alan ise, izlenecek paketlere veya izlenmiş paketlere filtrelemek içindir. Yani bir nevi “where” kriteridir. Örneğin sadece TCP protokolü üzerinden alınan paketleri izle, kaynağı veya hedefi şu olan paketleri izle gibi filtreler buradan verilebilmektedir. Yeşil çerçevedeki altındaki tablarda:
Capture Filter: Eğer bu tab kullanılarak filtre verilirse, programın yakalayacağı frameler filtrelenir. Örneğin protokol için “TCP” protokolü filtre olarak verilirse sadece TCP protokolündeki frameler yakalanır.
 |
Şekil 3 |
Şekil-3’de gösterildiği gibi program içerisinde standart konulmuş bazı filtreler bulunmaktadır. Toolbar üzerindeki “History” butonunu yanında bulunan klasöre basıldığında çıkan menüden hem standart filtreler kullanılabilir hem de daha önceden kaydedilenler kullanılabilir. Network üzerinden veri alış verişi yapan programları çalıştıralım ve bunları network monitor programı ile izlenmiş hallerine bakalım.
 |
Şekil 4 |
Şekil-4’te görüldüğü gibi her uygulama ayrı ayrı izlenebilmektedir. Sql üzerinden gönderilen ve alınan paketler bile izlenebildiği görülmektedir (Ssms.exe).
Aşağıdaki adresten indirilebilir: http://www.microsoft.com/downloads/details.aspx?FamilyID=983b941d-06cb-4658-b7f6-3088333d062f&displaylang=en
Armağan DÖKER
Yorumlar
Yorum Gönder