Gelişmiş Ağ Yakalama Yapılandırması
Önemli
Bu makale, deneyimli kullanıcılar için ağ paketi yakalama yapılandırması hakkında ek bilgiler sağlamaktadır.
Ağ paket yakalama (Packet Capture) modülüyle çalışırken aşağıdaki özellikler mevcuttur:
Yüksek hacimli ağ trafiği geçerken, Router'ın bunları işlemek için yeterli zamanı olmayacağından bazı paketler atılabilir. Bu nedenle, tanılama verisi toplanırken filtrelerin kullanılması, yakalama yönlerinin belirtilmesi ve üçüncü taraf trafiğinin sınırlandırılması önerilir.
Dosya döngüsel olarak kaydedilir. Belirtilen boyut aşılırsa, kaydın başlangıcı silinir ve dosyanın sonuna kademeli olarak yeni bilgiler eklenir.
Şimdi, paket yakalama ayarlarına daha yakından bakacağız.
Bağlantı — paket yakalamanın gerçekleştirildiği arayüzdür. Genellikle, Router ile ilgili sorunlar varsa, etkin bir İnternet bağlantısından (bu bir WAN İSS arayüzü veya bir USB modem aracılığıyla bağlantı olabilir) trafik toplamak gerekir. İSS'ye bağlanmak için tünellenmiş bir bağlantı (PPTP, L2TP, PPPoE) kullanılıyorsa, trafik bu arayüzden toplanmalıdır. Trafik akışı veya port yönlendirme ile ilgili sorunlar olması durumunda, trafiğin hem WAN arayüzünden (örn. İSS) hem de Ev ağı arayüzünden toplanması önerilir.
Depolama konumu yakalanan paketleri içeren dosyanın Wireshark formatında (*.pcapng uzantılı) kaydedileceği konumu belirtir. Harici bir USB sürücü seçilirse, harici USB sürücüdeki klasörün yolunu tanımlamanız gereken ek bir Depolama klasörü alanı görünür. Dahili depolama seçilirse, dosya Router'ın dahili belleğine kaydedilir. Yeterli boş alana (en az dahili bellek kadar) sahip harici bir USB sürücü Router'a bağlıysa, daha faydalı bilgilerin depolanabilmesini sağlamak için bunu kullanmanız önerilir.
Arabellek boyutu, yakalama kitaplığındaki (veya platforma bağlı olarak çekirdekteki) paketleri geçici olarak depolamak için kullanılan arabelleğin boyutunu ayarlar. Minimum değer 64 KB, maksimum ise [KB cinsinden RAM boyutu]/16'dır. Örneğin, KN-1711 modeli için maksimum arabellek boyutu 128*1024/16 = 8192 KB olabilir. En eksiksiz paket dökümünü toplamak için belirli bir model için mümkün olan en yüksek değeri ayarlamanız önerilir.
Maksimum dosya boyutu — yakalanan paketleri içeren çıktı dosyasının maksimum boyutu. Boyut kilobayt cinsinden belirtilir. Bu parametre ayarlanırsa yakalama döngüsel bir arabellekte gerçekleştirilir ve yakalama oturumunun sonunda çıktı dosyasına kaydedilir. Bu parametre, USB depolama birimi olmayan cihazlar için gereklidir. Minimum değer 64 KB, maksimum ise [KB cinsinden RAM boyutu]/16'dır. Örneğin, KN-1711 modeli için maksimum arabellek boyutu 128*1024/16 = 8192 KB olabilir.
Maksimum paket boyutu, alınan çerçeveden kaydedilecek maksimum veri miktarını belirtir. Parametre her zaman yapılandırılan değeri döndürür. Varsayılan değer 1518 olup, kabul edilebilir aralık [1...16380]'dir.
Yakalanacak trafik türü, ne tür trafiğin yakalanacağını belirler (gelen/giden/her ikisi). Varsayılan değer Gelen ve giden'dir. Seçilen ayar her zaman yapılandırmaya kaydedilir.
Yakalama filtresi, paket filtresini Berkeley paket filtresi biçiminde açıklayan bir dize belirtir. Filtre sözdizimi, Wireshark'ta kullanılanla aynıdır.
Filtre kullanım örnekleri:
ip host x.x.x.x — yalnızca x.x.x.x adresli paketleri yakalayan bir filtre
tcp dst port 80 — yalnızca HTTP paketlerini yakalayan bir filtre (hedef port tcp 80)
ip proto \icmp — yalnızca ICMP isteklerini (ping) yakalayan bir filtre
udp port 53 — bir DNS sunucusuyla yapılan istek ve yanıt alışverişini yakalayan bir filtre
udp port 67 or udp port 68 or arp — DHCP ve ARP istek alışverişini yakalayan bir filtre
Zaman aşımı, arayüzden bir paket okunurken zaman aşımı değerini milisaniye cinsinden ayarlar. Her zaman yapılandırılan değeri döndürür. Varsayılan değer 1000 olup, kabul edilebilir aralık [10...10000]'dir.
Karışık mod — seçilen arayüze yönelik olmayanlar da dahil olmak üzere tüm paketlerin kaydedilmesini sağlar. Normal modda, bu tür paketler atılır.
Örneğin, bir PC ile İnternet'teki bir kaynak arasındaki ICMP isteklerini izlemek için ev ağındaki bir PC'den ağ paketleri yakalamayı ele alalım. Bu durumda, paket yakalama, İnternet'e bağlı Router'ın Ev segmenti arayüzünden ve harici (WAN) arayüzünden (örneğimizde bu İSS arayüzüdür) gerçekleştirilmelidir.
Yerel ağdaki PC'nin IP adresi 192.168.4.34 ve İSS'nin WAN arayüzündeki IP adresi 46.72.188.17'dir.
Ping istekleri gönderdiğimiz İnternet kaynağı 8.8.8.8'dir (örneğimizde bu, Google'ın genel DNS sunucusudur).
(Ev segmenti ve İSS arayüzleri için) iki filtre oluşturulmalıdır:
1. Yerel ağda, ICMP protokolünü kullanarak 192.168.4.34 IP adresli paketleri filtrelemeniz gerekir.
Filtre şu şekilde olacaktır: ip host 192.168.4.34 and ip proto \icmp
2. WAN arayüzünde, yerel ağdaki bilgisayarın ICMP istekleri gönderdiği 8.8.8.8 IP adresine ve ICMP protokolüne göre paketleri filtrelemeniz gerekir.
Filtre şu şekilde olacaktır: ip host 8.8.8.8 and ip proto \icmp
Sonuç olarak, Başlat düğmesine tıklayarak etkinleştirmeniz gereken iki kural oluşturulacaktır.
Ağ trafiği yakalamayı başlattıktan sonra, Router belirtilen filtrelerle eşleşen paketleri toplamaya başlayacaktır. Modül çalışırken, yerel ağdaki bir bilgisayardan belirtilen İnternet kaynağına ping göndermeniz gerekir:
ping 8.8.8.8 -t
Birkaç ping denemesinden sonra (başarılı veya başarısız), Durdur düğmesine tıklayarak paket yakalamayı durdurun. *.pcapng dosyasını görüntülemek için Wireshark ağ trafiği analizörünü kullanın.
Önemli
Teknik destek servisimizle iletişime geçtiğinizde, paket yakalama sonucunda elde edilen ağ trafiği döküm dosyasına (*.pcapng) ek olarak self-test.txt sistem dosyasını da sağlamalısınız. Dosyayı, paket yakalama işlemi gerçekleştikten hemen sonra kaydedin. Sadece döküm dosyalarına bakarak paket yakalamanın hangi koşullar altında yapıldığını belirlemek mümkün olmadığından, self-test.txt dosyası olmadan tek bir *.pcapng dosyasındaki bilgiler faydasız olacaktır.