30 Ocak 2014

Paket yakalayıcılar daha çok belirtilen ağ arayüzüne gelen giden trafiğin analizinin gerçekleştirilmesinde kullanılan araçlardır. Özellikle detaylı trafik inceleme yetenekleri ile ağ sorunlarının çözümünde ingiliz anahtarı vazifesi görmektedirler.

Belirtilen ağ arayüzüne gelen, giden trafiği detaylı analiz etme , trafik kaydetme vs. özellikleri güvenlik gerekçeleri nedeni ile tehlikeli olabilmektedirler. Linux/Unix dünyasında bu amaç için en çok kullanılan yazılımlar tcpdump, wireshark, tshark olarak göze çarpmaktadır.
Ethernet kartlarının çalışmasında donanım seviyesinde aşağıda belirtilen 4 tip filtreleme etkindir.
Unicast-> Kendi adresine gelen paketler
Broadcast -> Broadcast adresine gelen paketler
Multicast-> Üye olunan multicast gruba ait paketler.
Promiscious -> Gelen paketin ne olduğuna bakmadan kabul edildiği durum.
Yerel ağda iletişime geçmek isteyen iki uç birim arasında iletişim mac adresi aracılığı ile gerçekleştirilir. İletişime geçmek isteyen uç birim hedef  IP adresinin mac adresini biliyorsa eğer, bu mac adresli uç birimle iletişimi başlatabilir, eğer hedef uç birimin mac adres bilgisine sahip değilse bütün ağa (broadcast) bu IP adresli uç birimin mac adresi nedir manasına gelen bir mesaj yayınlar ve ilgili uç birim bu mesaja bu IP adresi benim diyerek ilgili mesaja mac adresini dönerek, iletişimin başlamasını sağlar.

Bu arada diğer uç birimler ilgili mesaj kendileri ile ilgili olmadığı için bu mesajı dikkate almazlar. Normal trafik akışı bu şekilde işlerken ,uç birimler promiscious mod olarak adlandırılan, gelen paketin ne olduğuna bakılmadan kabul edildiği durumda uç birimler ilgili mesajı alarak işleme alırlar. Paket yakalayıcılarda promiscious modda çalışarak gelen giden her türlü paketi işleme alırlar.

Paket yakalayıcı çalıştırılan uç birimlere kendisinin sorgulandığı bozuk broadcast paketleri gönderilir. Normalde uç birim promiscious modda değilse bu paketleri önemsemeyecektir. Ama promiscious modda ise paketin hedefi neresi olduğunu kontrol etmeksizin paketi kabul edecektir ve paketin içerisinde de kendisinin sorgulandığını gördüğü için cevaplayacaktır. Böylece biz de o uç birimde paket yakalayıcı çalışıp çalışmadığını anlayabileceğiz.

Bu işlem çeşitli araçlar kullanılarak gerçekleştirilebilmektedir. scapy kütüphanesi kullanılarak hazırlanan paket koklayıcı aracına https://raw.github.com/galkan/tools/master/detect_sniffer/detect_sniffer.py
linkinden erişim sağlanabilir. Aracın çalışmasına ilişkin örnek kullanım ve çıktılar aşağıda görüldüğü gibi olmaktadır.


# ./dedect_sniffers.py -ip 192.168.1.1
192.168.1.1: NOT
# ./dedect_sniffers.py -ip 192.168.1.2
192.168.1.2: OK
# ./dedect_sniffers.py -net 192.168.1.0/24
192.168.1.2
192.168.1.37
192.168.1.109

NOT: Bu makalenin en güncel haline http://www.galkan.net/2013/12/yerel-agdaki-paket-koklayicilarin-kesfedilmesi.html adresinden erişim sağlanabilir.
Makalelerin kötüye kullanım kullanıcının sorumluluğundadır. | networkpentest.net. Blogger tarafından desteklenmektedir.