Dijital hizmetlerin yaygınlaşmasıyla birlikte, kurumsal ağlar her gün büyük miktarda veri üretmekte, bu veriler sayısız veri paketine ayrıştırılmakta ve belirlenen kurallara göre ağ üzerinde düzenli bir şekilde iletilmektedir.
Veri paketlerinden herhangi biri bozulduğunda ve anormal olduğunda, tüm iletim süreci etkilenir. Network sniffing (paket analizi) araçları temel olarak ağ iletim alışverişlerindeki paketleri analiz etmek için kullanılır.
Ağ güvenlik mühendisi bu verileri analiz ederek ağ operasyonlarını daha iyi anlayabilir ve güvenlik tehditlerini önceden algılayabilir.
Bu makale, ağ güvenliği yönetimi perspektifinden, en yaygın kullanılan 10 ağ dinleme analiz aracını ve bu araçların uygulama özelliklerini tanıtmaktadır.
Veri paketlerinden herhangi biri bozulduğunda ve anormal olduğunda, tüm iletim süreci etkilenir. Network sniffing (paket analizi) araçları temel olarak ağ iletim alışverişlerindeki paketleri analiz etmek için kullanılır.
Ağ güvenlik mühendisi bu verileri analiz ederek ağ operasyonlarını daha iyi anlayabilir ve güvenlik tehditlerini önceden algılayabilir.
Bu makale, ağ güvenliği yönetimi perspektifinden, en yaygın kullanılan 10 ağ dinleme analiz aracını ve bu araçların uygulama özelliklerini tanıtmaktadır.
Wireshark
Wireshark, ağ paketlerini derinlemesine analiz edebilen açık kaynaklı bir dinleme analiz aracıdır. Bu ürün projesi 1998 yılına kadar uzanan uzun bir geçmişe sahiptir.
Wireshark şu anda yüzlerce ağ protokolünü desteklemektedir ve Catapult DCT2000, Microsoft Network Monitor ve Cisco Secure IDS iplog gibi çeşitli dosya formatlarıyla uyumludur.
Linux, Solaris, Windows, macOS veya FreeBSD gibi hemen hemen her platformda çalışır. Daha hızlı görsel trafik taraması ve dinamik gzip dekompresyonu elde etmek için farklı algılama kuralları ile ayarlanabilir.
Wireshark şu anda yüzlerce ağ protokolünü desteklemektedir ve Catapult DCT2000, Microsoft Network Monitor ve Cisco Secure IDS iplog gibi çeşitli dosya formatlarıyla uyumludur.
Linux, Solaris, Windows, macOS veya FreeBSD gibi hemen hemen her platformda çalışır. Daha hızlı görsel trafik taraması ve dinamik gzip dekompresyonu elde etmek için farklı algılama kuralları ile ayarlanabilir.
Tcpdump
Tcpdump klasik bir Linux yardımcı programıdır. Grafiksel bir arayüzü ve uygulama ortamı olmamasına rağmen, uygulamasının kolaylığı sayesinde bu eksikliği telafi edebilir.
Tcpdump'ın araç komutları basittir ve kullanıcıların ağ paket analizindeki belirli sorunları çözmelerine yardımcı olmak için tasarlanmıştır. Farklı tespit problemleri için farklı komutlar mevcuttur.
Kullanıcının ihtiyaçları basitse, ancak hızlı bir şekilde tarama yapması gerekiyorsa, tcpdump iyi bir seçim olacaktır.
Mevcut Linux dağıtım işletim sistemlerinin çoğu bu araçla birlikte gelir.
Tcpdump'ın araç komutları basittir ve kullanıcıların ağ paket analizindeki belirli sorunları çözmelerine yardımcı olmak için tasarlanmıştır. Farklı tespit problemleri için farklı komutlar mevcuttur.
Kullanıcının ihtiyaçları basitse, ancak hızlı bir şekilde tarama yapması gerekiyorsa, tcpdump iyi bir seçim olacaktır.
Mevcut Linux dağıtım işletim sistemlerinin çoğu bu araçla birlikte gelir.
SolarWinds Network Monitoring Tool
SolarWinds'in bu aracı, kapsamlı paket analizi yetenekleri sağlar ve ağ işlemlerine genel bir bakış gösteren çok katmanlı bir araçtır. Kullanıcılar herhangi bir ağ sorununu çok hızlı bir şekilde tespit edebilir, teşhis edebilir ve çözebilir.
Windows cihazlarını yönetmek için derin paket incelemesinin (DPI) paket düzeyinde verileri yakalamasına yardımcı olmak için kurulu sensörleri kullanabilir.
Ayrıca, kullanıcılar sensörleri dağıtmak ve izlenecek özel uygulamaları seçmek için adım adım sihirbaz aracını kullanabilirler. NetFlow, sFlow, NetStream, JFlow ve IPFIX dahil olmak üzere kapsamlı ağ bant genişliği analiz işlevlerine sahiptir.
Windows cihazlarını yönetmek için derin paket incelemesinin (DPI) paket düzeyinde verileri yakalamasına yardımcı olmak için kurulu sensörleri kullanabilir.
Ayrıca, kullanıcılar sensörleri dağıtmak ve izlenecek özel uygulamaları seçmek için adım adım sihirbaz aracını kullanabilirler. NetFlow, sFlow, NetStream, JFlow ve IPFIX dahil olmak üzere kapsamlı ağ bant genişliği analiz işlevlerine sahiptir.
NetworkMiner
NetworkMiner bir ağ adli analiz aracı (FNAT) ve mükemmel bir GUI arayüzü ile pasif ağ analizi için açık kaynaklı bir araçtır. Bu araç ile kullanıcılar aktarılan görüntüleri ve diğer dosyaları kolayca görüntüleyebilirler.
NetworkMiner ayrıca IPv6 desteği, Pcap-over-IP, OS fingerprinting, Geo IP lokalizasyonu, komut satırı komut dosyaları desteği gibi çeşitli algılama fonksiyonlarına sahiptir. Bu işlevler HTTP, SMB2, POP3, TFTP, FIP ve SMB gibi Trafik gibi farklı trafik türleri için uygundur.
NetworkMiner ayrıca IPv6 desteği, Pcap-over-IP, OS fingerprinting, Geo IP lokalizasyonu, komut satırı komut dosyaları desteği gibi çeşitli algılama fonksiyonlarına sahiptir. Bu işlevler HTTP, SMB2, POP3, TFTP, FIP ve SMB gibi Trafik gibi farklı trafik türleri için uygundur.
ManageEngine NetFlow Analyzer
Güvenlik ekiplerine optimum trafik modelleri için bant genişliği performansı sağlamak üzere derinlemesine bilgi sağlamak için trafik teknolojisini kullanan tam özellikli bir trafik analiz yazılımıdır.
Bu sniffer hem Windows hem de Linux sistemlerinde kullanılabilir.
ManageEngine NetFlow Analyzer, ağ yanıt süresini ve uygulama yanıt süresini izlemek ve bir ağın veya uygulamanın hata yaşayıp yaşamadığını belirlemek için analiz yapmak için bir DPI motoru kullanır.
NetFlow Analyzer ayrıca kullanıcıların etkilenen kullanıcıları listelemesine olanak tanır, böylece işletmeler sorunları gidermek için kullanıcıları çözümler hakkında bilgilendirebilir.
Yüksek öncelikli uygulamalar için ağ performansı garantileri sağlarken, bant genişliği yönetim tekniklerine uymak için trafik şekillendirme mekanizmaları aracılığıyla koşullandırma sağlar.
Bu sniffer hem Windows hem de Linux sistemlerinde kullanılabilir.
ManageEngine NetFlow Analyzer, ağ yanıt süresini ve uygulama yanıt süresini izlemek ve bir ağın veya uygulamanın hata yaşayıp yaşamadığını belirlemek için analiz yapmak için bir DPI motoru kullanır.
NetFlow Analyzer ayrıca kullanıcıların etkilenen kullanıcıları listelemesine olanak tanır, böylece işletmeler sorunları gidermek için kullanıcıları çözümler hakkında bilgilendirebilir.
Yüksek öncelikli uygulamalar için ağ performansı garantileri sağlarken, bant genişliği yönetim tekniklerine uymak için trafik şekillendirme mekanizmaları aracılığıyla koşullandırma sağlar.
Kismet
Kismet, en yaygın kullanılan paket dinleme araçlarından biridir. Esas olarak Wi-Fi iletim arızalarının analizi ve sorun giderme için kullanılır ve ayrıca bir kuruluşun intranet sistemindeki uygulama trafiğini tespit etmek için de kullanılabilir.
Ağa yasadışı olarak bağlanan ağ cihazlarını bulmak istiyorsanız, bunları kismet ile hızlı bir şekilde bulabilir ve tüm ağ altyapısına bağlanmasını önleyebilirsiniz. Bu araç Windows ve Linux gibi birden fazla işletim sisteminde çalışabilir, ancak daha iyi kullanıcı deneyimi için grafik özelliklerinden de yoksundur.
Bu araç hızlıdır ve pasif modda çalışır. Herhangi bir dijital iz bırakmadan paketleri yakalar. Kismet'i benzersiz kılan şey, bağımsız bir uygulama olarak çalışması gerektiğidir. İstemci desteği gerektiren ve kapsamlı analiz için yakalanan paketleri sunucuya geri göndermesi gereken bir araçtır.
Ağa yasadışı olarak bağlanan ağ cihazlarını bulmak istiyorsanız, bunları kismet ile hızlı bir şekilde bulabilir ve tüm ağ altyapısına bağlanmasını önleyebilirsiniz. Bu araç Windows ve Linux gibi birden fazla işletim sisteminde çalışabilir, ancak daha iyi kullanıcı deneyimi için grafik özelliklerinden de yoksundur.
Bu araç hızlıdır ve pasif modda çalışır. Herhangi bir dijital iz bırakmadan paketleri yakalar. Kismet'i benzersiz kılan şey, bağımsız bir uygulama olarak çalışması gerektiğidir. İstemci desteği gerektiren ve kapsamlı analiz için yakalanan paketleri sunucuya geri göndermesi gereken bir araçtır.
Colasoft Capsa
Kullanıcının yalnızca Windows ortamında uygulama yapması gerekiyorsa, Colasoft Capsa iyi bir seçim olacaktır. Üç versiyonu vardır: ücretsiz versiyon, standart versiyon ve kurumsal versiyon. Farklı sürümler, farklı seviyelerdeki kullanıcıların uygulama ihtiyaçlarını karşılayabilir.
Bununla birlikte, ücretsiz sürüm bile 300 protokolü destekleyebilir ve mükemmel trafik analizi ve algılama işlevlerine sahiptir. Standart sürüm daha da iyidir, 1.000'den fazla protokolü destekler ve ayrıca kullanıcıların paket trafiğini yeniden yapılandırmak için analiz oturumlarını özelleştirmelerine olanak tanır.
Bununla birlikte, ücretsiz sürüm bile 300 protokolü destekleyebilir ve mükemmel trafik analizi ve algılama işlevlerine sahiptir. Standart sürüm daha da iyidir, 1.000'den fazla protokolü destekler ve ayrıca kullanıcıların paket trafiğini yeniden yapılandırmak için analiz oturumlarını özelleştirmelerine olanak tanır.
EtherApe
EtherApe güçlü bir görselleştirme ve açık kaynaklı ağ dinleme analiz aracıdır.
EtherApe'nin temsili işlevi, verileri "canlı kapalı" modda okuyabilen veya tcpdump dosyalarından veri okuyabilen çok düğümlü trafik kodlama izlemesidir. Ayrıca ağ paketleri için standart isim çözümlemesini de destekler.
En son sürümde, EtherApe'nin GUI arayüzü GTK3'e yükseltildi ve bu da daha iyi bir uygulama deneyimi getiriyor.
EtherApe'nin temsili işlevi, verileri "canlı kapalı" modda okuyabilen veya tcpdump dosyalarından veri okuyabilen çok düğümlü trafik kodlama izlemesidir. Ayrıca ağ paketleri için standart isim çözümlemesini de destekler.
En son sürümde, EtherApe'nin GUI arayüzü GTK3'e yükseltildi ve bu da daha iyi bir uygulama deneyimi getiriyor.
Fiddler
Fiddler, dış ağ ile iç ağ kullanıcı cihazı arasında uygulanan pasif bir ağ dinleyicisidir. Ağın normal çalışmasını sağlamak için kullanıcıların Fiddler'a ihtiyacı vardır.
Kullanıcının ana gereksinimi HTTP ve HTTPS trafiğini koklamaksa, Fiddler en uygun araçlardan biri olarak kabul edilir.
Kullanıcılar Fiddler ile oturum manipülasyonu, güvenlik analizi ve ağ performans testi gibi birçok analiz işlemi gerçekleştirebilir.
Oturum manipülasyonunda Fiddler, oturum verilerini gerektiği gibi değiştirebilen HTTP başlıklarını kullanır; güvenlik testlerinde, kullanıcıların ortadaki adam saldırılarını simüle etmelerine ve belirli bir kullanıcı için tüm HTTPS trafiğinin şifresini çözmelerine olanak tanır; performans testlerinde, kullanıcıların ağ uygulamalarındaki performans darboğazlarını bulmalarına yardımcı olmak için sayfa yükleme (veya API yanıt) süresini analiz edebilir.
Kullanıcının ana gereksinimi HTTP ve HTTPS trafiğini koklamaksa, Fiddler en uygun araçlardan biri olarak kabul edilir.
Kullanıcılar Fiddler ile oturum manipülasyonu, güvenlik analizi ve ağ performans testi gibi birçok analiz işlemi gerçekleştirebilir.
Oturum manipülasyonunda Fiddler, oturum verilerini gerektiği gibi değiştirebilen HTTP başlıklarını kullanır; güvenlik testlerinde, kullanıcıların ortadaki adam saldırılarını simüle etmelerine ve belirli bir kullanıcı için tüm HTTPS trafiğinin şifresini çözmelerine olanak tanır; performans testlerinde, kullanıcıların ağ uygulamalarındaki performans darboğazlarını bulmalarına yardımcı olmak için sayfa yükleme (veya API yanıt) süresini analiz edebilir.
Wifi Explorer
Wifi Explorer, kullanıcıların ağa müdahale edebilecek kanal çakışmalarını ve sinyal çakışmalarını tespit etmelerine yardımcı olan macOS için bir kablosuz ağ paket analiz aracıdır.
Wifi Explorer, ağın merkez kısmındaki trafik analizine doğrudan uygulanabilen iyi tasarlanmış işlevlere ve zengin algılama ve analiz araçlarına sahiptir.
Ayrıca, kullanıcıların yasadışı kablosuz ağ sinyal kaynaklarını tespit etmelerine ve kullanıcıların normal uygulamalarına müdahale eden kablosuz ağ sinyalleri olup olmadığını öğrenmelerine yardımcı olabilir.
Wifi Explorer, ağın merkez kısmındaki trafik analizine doğrudan uygulanabilen iyi tasarlanmış işlevlere ve zengin algılama ve analiz araçlarına sahiptir.
Ayrıca, kullanıcıların yasadışı kablosuz ağ sinyal kaynaklarını tespit etmelerine ve kullanıcıların normal uygulamalarına müdahale eden kablosuz ağ sinyalleri olup olmadığını öğrenmelerine yardımcı olabilir.