A
B
C
Ç
D
E
F
G
Ğ
H
I
İ
J
K
L
M
N
O
P
R
S
Ş
T
U
Ü
V
Y
Z
Q
W
X
+ Ekle
Windows 2000 Network Aktivitelerinin iz

Windows 2000 Network Aktivitelerinin iz Windows 2000’de Network Aktivitelerinin İzlenmesi

Bu yazıda Network Monitor tanımı ele alınacak ve Network Monitor bileşenleri  incelenecektir.Windows 2000’de bulunan Network Monitoring yazılımını kullanarak lokal ağ trafiğinin nasıl izleneceği ve yerel ağda meydana gelen problemlerin nasıl algılanabileceği  ele alınacaktır.

Network Monitor Nedir?

Network Monitor, Windows 2000 Server ailesi ile birlikte gelen bir yazılımdır ve ağ üzerindeki bir sunucuya gelen ve sunucudan giden paketleri yakalayarak bu paketlerin istatistiklerini çıkartır. Bunun yanında,  Network Monitor yardımıyla ağ trafiğinizi analiz edip, meydana gelen problemlerin sebeplerini bularak sorunları çözebilirsiniz. Örneğin iletişim kuramayan iki bilgisayar arasındaki sorunun ne olduğunu, yazılımsal bir sorun mu yoksa donanımsal bir sorun mu olduğunu anlayabilirsiniz. Eğer uygulama geliştirici iseniz Network Monitor yardımıyla geliştirdiğiniz programın ağ üzerindeki davranışlarını analiz edebilirsiniz. Ayrıca ağdaki paketlerin içinden sizin belirlediğiniz kriterlere uyanlarının yakalanması durumunda bir  trigger (tetikleme) mekanizmasının devreye girerek belirli eylemler arasından sizin belirlediğiniz eylemi gerçekleştirmesini sağlayabilirsiniz.

Network Monitor uygulamasının iki versiyonu vardır. Bu versiyonlardan birisi Windows 2000 Server ailesi ile birlikte gelir. Diğer versiyon ise SMS (System Manegement Server) paketi içinde gelir ve Windows 2000 Server ailesi ile birlikte gelen versiyondan daha gelişmiş özelliklere sahiptir. Örneğin SMS ile birlikte gelen versiyonda tüm ağ üzerindeki paketleri yakalayabilmeniz mümkünken, Windows 2000 Server ailesiyle gelen versiyonunda sadece uygulamanın çalıştırıldığı sunucuya gelen ve sunucudan giden paketleri yakalayabilirsiniz.

 

Network Monitor Kurulumu

Kurulum işlemine geçmeden önce, Network Monitor’ü kullanabilmek için gerekli donanımlardan bahsedelim. Öncelikle fiziksel olarak bir ağa bağlı olmalısınız. Ayrıca kullandığınız ağ kartı NDIS 4.0 uyumlu olmalıdır. ( Günümüzde bir çok ağ kartı üreticisi , ürünlerini  NDIS 4.0 uyumlu olarak üretiyorlar. Ağ kartınızın NDIS 4.0 uyumlu olup olmadığını anlamak için ,ağ kartının kitapçığından yaralanabilirsiniz. ) NDIS 4.0 uyumlu bir ağ kartı kullanıyorsanız Network Monitor’ü lokal modda kullanabilirsiniz. Lokal modda ,ağdaki paketlerden sadece, paketin içindeki kaynak veya hedef adres kısımlarında Network Monitor’ün yüklü olduğu bilgisayarın adresinin bulunduğu paketleri yakalayabilirsiniz.

NOT








Eğer ağ üzerindeki tüm paketleri yakalamak istiyorsanız bu durumda ağ kartınız Promiscuous modda çalışmalıdır. Premiscuous modda çalışan bir ağ kartı işlemciye %30 daha fazla yük bindirir. Windows 2000’de bulunan Network Monitor sadece lokal modda çalışır. System Manegement Server ile birlikte gelen Network Monitor ise Premiscuous modda çalışabilir.

 

Network Monitor, Windows 2000 Server’ın kurulumu sırasında kurulum bileşenleri arasından seçilerek veya Control Panel (Denetim Masası)’deki Add/Remove Programs (Program Ekle/Kaldır) uygulaması çalıştırılarak kurulabilir. Network Monitor kurulumu için Control Panel’deki Add/Remove Programs uygulamasını çalıştırıyoruz..Karşımıza çıkan ekrandan Add/Remove Windows Components’e tıklayıp  Windows Components başlıklı pencereyi açıyoruz.Windows 2000 Server bileşenlerinin listelendiği bu pencerede,  Management And Monitoring Tools bileşenini seçip Details butonuna basıyoruz. Karşımıza çıkan ekrandan Network Monitor Tools seçeneği seçip OK butonuna basarak  kurulum işlemini başlatıyoruz.

Resim girecek: sekil1.jpg

Resim altı: Add/Remove Programs uygulamasını kullanarak Network Monitor’ü kurabilirsiniz..

Network Monitor iki bileşenden oluşur. Birinci bileşen  verileri toplayan bir ajan (agent), ikinci bileşen ise  toplanan verilerin izlenmesi ve analiz edilmesi için kullanılan yönetim programı. Windows 2000 Server’a  Network Monitor’ü kurduğunuzda bu iki bileşen otomatik olarak kurulur.

 

NOT






System Management Server (SMS) ile birlikte gelen Network Monitor uygulamasını kullanarak uzak bir bilgisayar üzerindeki ağ trafiğini izleyebilirsiniz. Bunun için uzak bilgisayarda Network Monitor sürücüsünün yüklü olması gerekir.

Network Monitor uygulamasını başlatmak için Start->Programs->Administrative Tools->Network Monitor yolunu izliyoruz. Eğer bilgisayarınızda birden fazla ağ kartı varsa bu durumda Network Monitor uygulaması başlamadan önce karşınıza  hangi  ağ kartındaki trafiği yakalamak istediğinizi soran Select a network başlıklı Şekil-2’deki  pencere çıkacaktır. Buradaki listede bilgisayarınızda bulunan tüm ağ kartları ve modemler listelenecektir. İleride paket yakalamak istediğiniz ağ kartını değiştirmek isterseniz Capture menüsünden Networks seçeneğini seçerek Select a network penceresini yeniden açıp bu pencerede ilgili ağ kartını seçebilirsiniz.

Resim girecek: sekil2.jpg

Resim altı: Hangi ağ kartına ait trafiğin izleneceğinin belirlendiği Select a network başlıklı pencere

NOT






Eğer bilgisayarınızda birden fazla ağ kartı varsa ve siz bu ağ kartlarındaki trafiği yakalamak istiyorsanız bu durumda her bir ağ kartı için bir Network Monitor uygulaması başlatarak bu kartlara ait  ağ istatistiklerini inceleyebilirsiniz.

Network Monitor uygulamasını başlattığınızda karşınıza Şekil-3’deki ekran çıkacaktır. Bu ekran Capture Window olarak isimlendirilir ve yakalanan paketler hakkında bilgiler içerir. Capture Window penceresi dört panelden oluşmuştur.  Şimdi bu panelleri teker teker inceleyelim.

§         Grafik Paneli (Graph Pane) : Capture Window penceresinin sol üst tarafında bulunan panel Grafik Paneli olarak adlandırılır ve bu panelde o anki ağ trafiği istatistikleri grafiksel olarak ve gerçek zamanlı (real time) gösterilir. Network kapasitesinin yüzde kaçının kullanıldığı (% Network Utilization), saniyede yakalanan çerçeve (frame) ve  Byte miktarı ile saniyede yayımlanan Broadcast ve Multicast paket sayısı, grafik panelinde gerçek zamanlı izlenebilecek istatistiklerdir.

§         Oturum  Paneli (Session Pane) : Grafik panelinin altındaki paneldir ve  o anki ağ oturumlarına ilişkin istatistiksel bilgiler bu panelde gösterilir. Bu panelde oturumun hangi bilgisayarlar arasında kurulduğu ve oturumu gerçekleştiren bilgisayarlar arasında alınıp verilen çerçeve sayısı bulunur. Network Address 1 ve Network Address 2 kısımlarında oturumun gerçekleştiği adresler gösterilir. 1—>2 kısmında gösterilen sayı, Network Address 1 adresinden Network Address 2 adresine gönderilen  çerçeve sayısını , 1<—2 kısmında gösterilen sayı ise Network Address 2 adresinden Network Address 1 adresine gönderilen çerçeve sayısını gösterir. (Ağda yakalanan ilk 128 adres listelenir.)

§         İstaston İstatistik Paneli (Station Stats Pane) : Bu panel, Oturum panelinin altında bulunur ve Network Monitor’ün çalıştırıldığı bilgisayara gelen ve giden paketlerin,  iletişim kurulan bilgisayarlar bazında istatistiklerini  gösterilir. Bu panelde, iletişim kurulan her bir bilgisayar için alınan çerçeve ve Byte sayısı ile gönderilen çerçeve ve Byte sayısının yanında Multicast, Broadcast ve Directed çerçeve sayıları görülebilir. (Ağda yakalanan ilk 128 adres listelenir.)

§         Toplam İstatistik Paneli (Total Stats Pane) : Bu panel Capture Window penceresinin sağ üst tarafında bulunan paneldir ve paket yakalama işleminin başladığı andan itibaren ağ üzerinde algılanan trafik hakkında istatistiksel bilgiler içerir. Bu bölümde Network Statistics, Captured Statistics, Per Second Statistics, a>Network Card (MAC) Statistics
, Network Card (MAC)  Error Statistics olmak üzere beş ayrı kategoride istatistik bulunur.

NOT






Capture Window penceresindeki Window menüsü  aracılığıyla bu panellerden istediğinizi gizleyebilir yada görünür yapabilirsiniz.

 

Resim girecek: sekil3.jpg

Resim altı: Network Monitor ekranı

Network Monitor kullanarak ağ üzerinden bize gelen ve bizim yolladığımız paketleri nasıl yakalayacağımızı inceleyelim. Capture Window penceresindeki menülerden Capture->Start komutunu çalıştırarak veya F10 tuşuna basarak yada Capture Window penceresindeki Start Capture butonuna basarak paket yakalamaya başlayabiliriz. Paket yakalamaya başladığınızda Capture Window penceresindeki grafiklerin ve istatistiklerin  değiştiğini göreceksiniz.

Peki yakalanan paketler bilgisayarımızda nerede tutulur? Yada bu yakalanan paketler ne kadar süreyle bilgisayarımızda kalır? Network Monitor tarafından yakalanan paketler tampon (buffer) bellekte tutulurlar ve bu belleğin boyutu varsayılan olarak  1 MB’dır. Yakalanan paketler tampon belleğe alınır ve  tampon belleğin dolması durumunda yeni yakalanan paketler eski paketlerin yerine yazılacak, dolayısıyla paket kayıpları meydana gelecektir. Bu durum özellikle network analizi yapıyorsanız istenen bir durum değildir. Bunu önlemek için tampon bellek boyutunu arttırmalısınız. Tampon belleğin boyutunu arttırmak için Capture menüsünden Buffer Settings  seçeneğini seçerek Şekil-4’deki Capture Packet Settings başlıklı pencereyi açıyoruz. Bu pecneredeki Buffer Size (MB) kısmındaki değer tampon belleğin boyutunu belirler. Tampon belleğin boyutu en fazla 1024 MB olabilir. Burada belirteceğiniz değerin pratik olarak limiti, bilgisayarınızda bulunan RAM miktarı kadardır. Eğer bu değeri bilgisayarınızda bulunan gerçek RAM değerinden fazla tutarsanız bu durumda RAM’deki paketlerin diske yazılması sırasında ağda bulunan paketler yakalanamayabilir.Dolayısıyla paket kaybına uğrayabilirsiniz. Bu penceredeki ayarlardan birisi de yakalanan paketlerin ne kadarlık kısmının tampon belleğe alınacağının belirlendiği Frame Size (Bytes) kısmıdır. Bu kullanışlı özelliği şöyle bir örnekle açıklayalım. Örneğin bilgisayarınıza gelen ve bilgisayarınızdan giden paketlerde en çok hangi İletişim Katmanı (Transport Layer) protokollerinin kullanıldığını merak ediyorsunuz. Bu durumda yakalanan paketlerin sadece İletişim Katmanı başlığına kadar olan kısmı sizi ilgilendirir. Dolayısıyla yakalanacak paketlerin IP başlık bilgisinden sonraki kısmı sizin için bir anlam ifade etmeyecektir. Bu penceredeki Frame Size (Bytes) kısmındaki değeri ayarlayarak tampon belleğe daha fazla paket alınmasını sağlayabilirsiniz. Bu kısımdaki değer, varsayılan olarak yakalanan çerçevenin tamamını tampon belleğe alacak şekilde ayarlanmıştır

Resim girecek: sekil4.jpg

Resim altı: Tampon belleğin boyutunu ve yakalanan paketlerin ne kadarlık kısmının belleğe alınacağını Capture Buffer Settings penceresi yardımıyla belirleyebilirsiniz.

Yakaladığınız paketleri daha sonra kullanmak üzere bilgisayarınıza kaydedebilirsiniz. Ayrıca kaydettiğiniz bu dosyayı  Network Monitor yüklü başka bir bilgisayarda da açabilirsiniz. Yakaladığınız paketleri kaydetmek  için Network Monitor ekranındaki File menüsünden Save as komutunu çalıştırmalı  yada araç çubuğundaki  File Save as butonuna basmalısınız. Karşımıza Şekil 5’deki Save As başlıklı pencere çıkacaktır.Kaydedilen dosyaların uzantıları .CAP olacaktır. Save As başlıklı pencerede, dosyanın sabit diskinizde nerede saklanacağını belirlenmesinin  yanında önemli bir seçenek daha  bulunur. Bu seçenek, yakalanan paketler içinden  hangi numaralar arasındakilerin kaydedileceğinin belirlendiği Range kısmıdır. Örneğin yakaladığınız paketlerden, paket numarası 15 ile 25 arasında olanları kaydetmek isteyebilirsiniz. Bu durumda Save As penceresindeki Range kısmındaki From kısmına 15 To kısmına ise 25 değerini girmelisiniz.

Resim girecek: sekil5.jpg

Resim altı: Yakalanan paketlerin kaydedilmesini sağlayan Save As başlıklı pencere

Network Monitor tarafından yakalanan paketler diskte geçici olarak tutulurlar ve Save as komutuyla bir CAP dosyasına yazıldıktan sonra yada Network Monitor uygulamasından çıkılması durumunda tutuldukları geçici dosya silinir.Geçici yakalama dosyalarının diskte nerede saklanacağını belirlemek için Options menüsündeki Change Temporary Capture Directory komutunu çalıştırıyoruz. Karşımıza Şekil-6’daki Network Monitor-Temporary Capture Directory başlıklı pecnere çıkacaktır. Bu pencere yardımıyla geçici yakalama dosyalarının saklanacağı klasörü belirliyoruz.

Resim girecek: sekil6.jpg

Resim altı: Geçici yakalama dosyalarının hangi klasörde  saklanacağının belirlendiği pencere

Yakalama Filtresi (Capture Filter)

Kullanılan tampon bellekte daha fazla paket tutmanın bir diğer yolu da yakalanacak paketleri bir filtre aracılığıyla belirlemektir. Örneğin siz sadece belirli bir bilgisayardan gelen ve belirli bir protokole ait paketleri yakalayıp tampon bellekte tutmak isteyebilirsiniz. Bu durumda ağdaki paketlerden hepsi yakalanmayacak sadece sizin belirlediğiniz kriterlere uyan paketler yakalanıp tampon belleğe alınacaktır. Ayrıca filtre kullanarak gereksiz paketlerin yakalanmasını önlediğinizden, analiz edeceğiniz paket sayısı azalacak ve problemin çözümüne daha kısa zamanda ulaşma şansınız artacaktır.Yapılan bu işleme Capture Filter denir.

Şimdi yeni bir Yakalama Filtresinin nasıl oluşturulacağını inceleyelim. Network Monitor Capture

Window ekranındaki Capture menüsünden Filter komutunu veya klavyedeki  F8 tuşuna basarak yada araç çubuğundaki Edit Capture Filter butonuna (huni şeklindeki buton) basarak Şekil-7’deki Capture Filter başlıklı pencereyi açıyoruz. Bu pencerede oluşturduğumuz filtre, bir karar ağacı şeklinde, grafiksel olarak gösterilir.

Resim girecek: sekil7.jpg

Resim altı: Yakalama filtresinde kullanılacak kriterlerin belirlendiği Capture Filter başlıklı pencere .

 

Yakalama filtresinde kullanılabilecek kriterler şunlardır ;

 

§         Protokol: Bu kriter yardımıyla sadece belirli protokollere ait paketlerin yakalanmasını sağlayabilirsiniz. Varsayılan olarak Network Monitor, tüm protokollere ait paketleri yakalayacak şekilde ayarlanmıştır. Oluşturacağımız yakalama filtresinde hangi protokollere ait paketlerin yakalanacağını belirlemek için Şekil-7’teki pencerede bulunan karar ağacındaki  SAP/ETYPE kısmına çift tıklayarak yada SAP/ETYPE kısmını seçip Edit butonuna basarak  Capture Filter SAPs and ETYPEs başlıklı Şekil-6’daki pencereyi açıyoruz. Network Monitor tarafından yakalanacak paketlerin hangi protokollere ait olabileceği bu penceredeki Enable Protocols kısmında listelenir. Bunun yanında hangi protokollere ait paketlerin tampon belleğe alınmayacağı ise Disabled Protocols kısmında listelenir. Örneğin biz sadece IP paketlerini yakalamak istediğimiz için Şekil-8’deki resimde görüldüğü gibi Enable Protocols kısmında sadece IP protokolü olacak şekilde bir filtre oluşturduk. Disable, Disable All, Enable ve Enable All  butonlarını kullanarak Enable Protocols ve Disabled Protocols bölümleri arasında geçiş gerçekleştirebilirsiniz

Resim girecek: sekil8.jpg

Resim altı: Hangi protokollere ait paketlerin yakalanacağının belirlendiği Capture FilterSAPs and ETYPEs  başlıklı pencere

 

§         Adres: Yakalama filtresinde kullanılabilecek bir diğer kriter adres kriteridir. Bu kriter yardımıyla  sadece belirli adresler arasında gidip gelen paketlerin yakalanmasını sağlayabilirsiniz. Örneğin DHCP istemci olan bir bilgisayarın DHCP sunucudan  geçerli bir IP adresi alamaması durumunu ele alalım. Bu  problemi analiz edebilmek için sadece DHCP istemci ve DHCP sunucu arasında gidip gelen paketleri yakalayacak bir filtre tanımı işimizi görecektir. Hangi adreslere ait paketlerin yakalanacağını belirlemek için Şekil-7’deki Capture Filter penceresinde bulunan Address Pair kısmına çift tıklayarak yada Address Pair kısmını seçip Address butonuna  basarak Şekil-9’daki Address Expression başlıklı pencereyi açıyoruz. Bu pencerede Station 1, Direction ve Station 2 kısımları bulunur. Bu kısımlardan Station 1 ve Station 2 kısımlarında oturumu kuracak bilgisayarlar listelenir. Direction kısmında ise hangi yönde gelen paketlerin  yakalanacağı belirlenir. Buradaki  <—> işareti hem gelen hem de giden paketlerin, —> işareti Station 1 adresinden Station 2 adresine giden paketlerin, <— işareti ise Station 2 adresinden Station 1 adresine giden paketlerin yakalanmasını sağlar. Örneğimizde ISASERVER1 ve ISASERVER2 adlı bilgisayarlar arasındaki iki yönlü trafiği de yakalamak istediğimizden Direction kısmındaki işaretlerden  <—> işaretini seçiyoruz. Bu pencerede ayrıca Include ve Exclude olmak üzere iki seçenek bulunur. Bu seçenekler belirli adresler arasındaki ve belirli bir yöndeki trafiğin yakalanıp yakalanmayacağını belirler. Eğer Include seçeneğini seçip Station 1, Direction ve Station 2 kısımlarına uygun değerleri girerseniz bu kriterlere uyan paketler yakalanacaktır. Exclude seçeneğini seçtiğiniz takdirde bu kriterlere uyan paketler tampon belleğe alınmayacaktır. Örneğin analiz yaparken ağ üzerindeki Macintosh bilgisayarların ürettiği trafiğin tampon belleğine alınmasını istemiyorsanız bu durumda Station 1, Direction ve Station 2 kısımlarına uygun değerleri girerek Exclude seçeneğini seçmelisiniz.

NOT

Network Monitor uygulamasının Windows 2000 Server ailesi ile birlikte gelen versiyonunda Station 1 kısmında daima lokal bilgisayar adresi yani Network Monitor uygulamasının yüklü olduğu adres bulunur. Network Monitor’ün SMS versiyonunda ise Station 1 kısmındaki adres, ağdaki herhangi bir adres olabilir.
 

Resim girecek: sekil9.jpg

Resim altı: Hangi adresler arasındaki ve bu adresler arasında hangi yöndeki ağ trafiğinin yakalanacağının belirlendiği Address Expression başlıklı pencere

Şekil-9’daki Station 1 ve Station 2 kısımlarında  listelenen adresler Network Monitor uygulamasının çalıştırılmasından itibaren öğrenilen adreslerdir. Eğer bu tabloya yeni bir adres eklemek için Edit Addresses butonuna basarak Şekil-10’deki Address Database başlıklı pencereyi açıyoruz. Address Database başlıklı pencerede o zamana kadar öğrenilen adresler listelenir.

Resim girecek: sekil10.jpg

Resim altı: Network Monitor uygulamasının çalıştırılmasında itibaren öğrenilen adreslerin listelendiği Address Database başlıklı pencere.

Bu penceredeki Add butonuna basarak listeye yeni bir adres ekleyebiliriz. Bunun için  Add butonuna basarak Şekil-11’deki Address Information başlıklı pencereyi açıyoruz.  Bu penceredeki en önemli kısım Type kısmıdır ve tanımladığımız adresin ne tür bir adres olduğunubelirtir. Burada seçilebilecek adres türleri ise şunlardır; ATM, ETHERNET, FDDI, IP, IPX/XNS, TOKENRING ve VINES IP.

 

Resim girecek: sekil11.jpg

Resim altı:Adres veritabanına yeni bir adres eklemek için kullanılan Address Information başlıklı pencere

 

Adres veritabanında bulunan kayıtları Address Database başlıklı penceredeki Save butonuna basarak saklayabilirsiniz. Daha sonra bu adresleri Network Monitorde kullanmak içinse bu pecneredeki Load butonuna basarak bu kayıtları yüklemelisiniz.

Yakalama filtresinde en fazla üç tane adres çifti tanımlayabilirsiniz.

§         Veri Kalıbı (Data Pattern) : Eğer ağdaki paketler arasında sadece belirli bir veri kalıbını (data pattern) içeren paketleri tampon belleğe almak istiyorsanız bu kriteri kullanmalısınız. Yeni bir veri kalıbı tanımlamak için Şekil-7’teki pencerede bulunan Pattern Matches kısmını çift tıklayarak yada bu kısmı seçip Pattern butonuna basarak Şekil-12’deki  Pattern Match başlıklı pencereyi açıyoruz. Bu penceredeki Pattern kısmına yakalanacak paketlerde bulunulması gereken veri kalıbını yazıyoruz. Buraya gireceğimiz değer Hex  yada ASCII formatında olabilir. Ayrıca Offset (in Hex) kısmındaki değer ise From Start of Frame yada From End of Topology Header seçeneklerine bağlı olarak veri kalıbının  paket içerisindeki başlangıç yerini belirtir. Eğer yakalamak istediğiniz paketlerde birden fazla veri kalıbı varsa bu durumda Capture Filter penceresindeki karar ağacında bulunan AND ve OR butonlarını kullanarak farklı veri kalıplarını kapsayacak şekilde bir yakalama filtresi oluşturabilirsiniz. Yakalama filtresinde tanımlayabileceğiniz en fazla veri kalıbı sayısı dörttür.

Eğer networkünüzün bir saldırıya maruz kaldığını yada bir virüs tarafından meşgül edildiğini düşünüyorsanız ve bu saldırıyı herhangi bir saldırı tesbit yazılımı (IDS - Intrusion Detection System) kullanmadan Network Monitor yardımıyla tesbit etmek istiyorsanız  bu durumda oluşturacağınız yakalama filtresinde tanımlayacağınız veri kalıpları (pattern) işinizi kolaylaştıracaktır. Güncel saldırılarda kullanılan paketlerin yapısı hakkında ayrıntılı bilgileri internetde bulabilirsiniz

Resim girecek: sekil12.jpg

Resim altı: Yakalanacak paketlerde aranacak veri kalıbının belirlendiği pencere

Oluşturduğunuz bu yakalama filtresini daha sonra tekrar kullanmak üzere Capture Filter penceresindeki Save butonuna basarak kaydedebilir, önceden oluşturulan bir yakalama filtresini de Load butonuna basarak yükleyebilirsiniz. Kaydedilen yakalama filtrelerinin dosya uzantısı .cf’dir. Oluşturduğunuz bu filtreleri kaydederek başka bilgisayarlarda da kullanabilirsiniz.

Network Monitor programının en güzel özelliklerinden biriside, önceden belirli olayların meydana gelmesi durumunda bir tetikleme mekanizması sayesinde belirli eylemleri yerine getirebilmesidir. Örneğin yakalanan paketler içinde, aranan bir kalıbın (pattern) bulunması halinde yakalama işleminin sonlandırılmasını yada bir toplu komut dosyasının çalıştırılmasını sağlayabilirsiniz. Tetikleme ile alakalı ayarların yapıldığı  Capture Trigger başlıklı pencereyi açmak için Network Monitor ekranındaki Capture menüsünde bulunan Trigger komutunu çalıştırıyoruz. Karşımıza Şekil-13’deki pencere çıkacaktır. Şimdi bu penceredeki ayarları inceleyelim.

Resim girecek: sekil13.jpg

Resim altı: Paket yakalama işlemi sırasında belirli durumların meydana gelmesi halinde Network Monitor’ün nasıl davranacağını Capture Trigger penceresi yardımıyla ayarlayabilirsiniz.

 

Trigger on kısmında bulunan seçeneklerden Nothing seçeneğini seçerseniz tetikleme işlemini pasif hale getirmiş olursunuz. Pattern match seçeneğini seçtiğinizde ise  Pattern kısmı aktif olacaktır ve bu kısımda belirteceğiniz kalıbı içeren paketler yakalandığında Trigger Action kısmında belirlenen eylemler gerçekleştirilecektir. Buffer space seçeneğini seçerseniz bu pencerenin sol tarafında bulunan Buffer Space kısmı aktif olacaktır. Eğer yakalanan paketlerin, tampon belleğin belirli bir yüzdesini doldurduğu anda tetiklemenin gerçekleşmesini istiyorsanız bu durumda Trigger on kısmındaki seçeneklerden Buffer space seçeneğini seçmeli ve Buffer Space kısmındaki yüzdelik değerlerden de sizin için uygun olan değeri seçmelisiniz. Bunun haricinde eğer siz hem veri kalıbı hem de tampon bellek miktarını gözönünde bulunduran bir tetikleme mekanizması oluşturmak istiyorsanız bu durumda Pattern match then buffer space yada Buffer space than pattern match seçeneklerinden birisini seçmelisiniz. Pattern match then buffer space seçeneğini seçerseniz Network Monitor tetikleme yapmak için önce sizin belirlemiş olduğunuz veri kalıbını içeren paketin yakalanmasını bekleyecek ardından tampon belleğin Buffer Space kısmında belirlenen yüzdelik kısmının dolmasıyla birlikte  tetikleme gerçekleşecek ve Trigger Action kısmındaki eylemler gerçekleştirilecektir. Buffer space than pattern match seçeneğinde ise öncelikle tampon belleğin doluluk miktarına bakılacak ve ardından tetikleme mekanizmasını çalıştırmak için  yakalanan paketler içinde sizin belirlemiş olduğunuz veri kalıbını arayacaktır.

Trigger Action kısmındaki seçenekler ise şunlardır.

 

·         Audible Signal Only : Varsayılan olarak bu seçenek seçilidir ve  tetiklemenin meydana gelmesi halinde bilgisayarınızdan bip sesinin çıkmasını sağlar ve paket yakalama işlemine devam edilir.

·         Stop Capture : Bu seçeneği seçerseniz tetiklemenin meydana gelmesi durumunda paket yakalama işlemi sona erecektir.

·         Execute Command Line : Eğer tetikleme işlemi meydana geldiğinde hazırladığınız bir toplu komut dosyasının çalıştırılmasını istiyorsanız bu seçeneği seçerek  toplu komut dosyasının yerini belirtmelisiniz. Toplu komut dosyası ile yapabilecekleriniz sizin programcılık yeteneklerinizle sınırlıdır.

 

 

Dedicated Capture Mode

Eğer sizin için paket kaybı kabul edilemez bir durumsa bu durumda Network Monitor uygulamasının çalıştığı bilgisayarın tüm kaynaklarını paket yakalama için ayıracak şekilde ayarlamanız gerekir. Bu işlem için Capture Window penceresinde bulunan Capture menüsündeki Dedicated Capture Mode komutunu çalıştırmanız gerekir. Bu modda çalıştığınız zaman dilimi içinde Network Monitor penceresindeki istatistik değerlerinde herhangi bir değişiklik yapılmaz.

 

Yakalanan Paketlerin Analizi

Network Monitor aracılığıyla yakaladığımız paketlerde nelerin taşındığını anlamak, meydana gelen ağ problemlerinin sebeplerini bulmak için yakalanan paketlerin içeriğini görmeli ve bu paketleri analiz etmeliyiz. Yakalanan paketleri görmek için Capture Window ekranındaki araç çubuğunda bulunan Stop and View Capture butonuna basarak yada yakalama işlemini durdurduktan sonra Capture menüsünden Display Captured Data komutunu çalıştırarak (bu komut yerine klavyedeki F12 tuşunu kullanabilirsiniz) Şekil-14’deki Frame Viewer penceresini açıyoruz.  Bu pencere aşağıdaki üç panelden oluşmuştur.

 

§         Özet Paneli (Summary Pane) : Bu panalde, yakalanan çerçeveler yakalama zamanlarına göre bir liste halinde gösterilirler. Bu pencerede, yakalanan paketler hakkında şu bilgiler bulunur; yakalama işlemine başladıktan ne kadar sonra paketin yakalandığı, kaynak ve hedef bilgisayarların MAC adresleri, paketin hangi protokole ait olduğu ve paket hakkında bir açıklama. Bunların haricinde eğer yakalanan pakette başka bir protokol tarafından kullanılan bir adres yapısı varsa bu protokole ait adres bilgileri de özet panelinde gösterilir. İlk kez Frame Viewer penceresini açtığınızda sadece bu panel karşınıza çıkacaktır. Diğer panelleri açmak için özet panelinde listelenen paketlerden herhangi birisine çift tıklamalısınız

NOT

     Frame Viewer penceresinde listelenen paketlerin, ait oldukları protokole göre farklı bir renkte gösterilmelerini sağlayabilirsiniz. Bunun için Display menüsündeki Colors komutunu çalıştırıp  Protocol Colors penceresini açmalısınız. Bu pencerede hangi protokole ait paketlerin hangi renkte gösterileceğini Foreground ve Background seçenekleri yardımıyla ayarlayabilirsiniz.
 .         Ayrıntı Paneli (Detail Pane) : Özet panelinde seçtiğiniz paketin ayrıntıları bu panelde gösterilir. Network analizi sırasında kullanacağınız bilgilerin çoğunu bu panelde bulabilirsiniz. Eğer paket analizi ile yeni tanışıyorsanız, bu paneldeki verileri dikkatle inceleyerek protokoller hakkında temel bilgilere ulaşabilirsiniz.

.        Hex Paneli (Hex Pane) : Özet panelinde seçilen paketin içeriği Hex ve ASCII modlarında gösterilir.

Resim girecek: sekil14.jpg

Resim altı: Yakalanan paketlerin analizinin yapıldığı Frame Viewer penceresi

 

NOT

Network Monitor penceresindeki adres kısımlarında Hex değerler yerine isim görmek istiyorsanız bu durumda Options menüsündeki  Show Address Names seçeneğini seçmelisiniz.

Şekil-14’deki paketleri kısaca analiz edelim. 25 numaralı paket bir ICMP Echo paketi ve 26 numaralı paket ise ICMP Echo mesajına gelen ICMP Echo Reply yanıtıdır. Yani  IP adresi 192.168.0.15 olan bilgisayardan, IP adresi 192.168.0.3 olan bilgisayara ping atılmış ve bu bilgisayardan yanıt alınmıştır. Bir sonraki paket yani Protocol kısmında COMMENT yazan 27 numaralı paket diğer paketlerden biraz farklıdır. Çünkü bu paketi yakalama işlemi bittikten sonra kendimiz açıklama amacıyla ekliyoruz. İyi bir  analiz için daha doğrusu ağ üzerindeki olayları Frame Viewer penceresinde birbirinden ayırmak için COMMENT paketleri kullanılabilir. Yeni bir COMMENT paketi eklemek için Frame Viewer penceresinde bulunan Tools menüsünden Insert Comment Frame komutunu çalıştırarak Şekil-15’deki Insert Comment Frame başlıklı pencereyi açıyoruz. Bu pencerede, açıklama paketinin paket numarasını, tipini ve bu pakette bulunacak açıklamayı yazarak bir COMMENT paketi oluşturabilirsiniz.

Resim girecek: sekil15.jpg

Resim altı: Açıklama paketinin oluşturulduğu Insert Comment Frame başlıklı pencere

 

COMMENT paketinde sonra ardarda üç tane TCP paketi görüyoruz. Bu paketler tipik bir TCP Three-Way Handshake olayını gösterir. TCP protokolü bağlantı temelli bir protokol olduğu için her iki tarafın bağlantı kurmadan önce bağlantı parametreleri üzerinde anlaşmaları gerekir. 31 numaralı paketten itibaren  FTP protokolüne ait paketleri görüyoruz. Bu paketleri dikkatlice incelediğinizde bir FTP oturumu açma girişimi olduğunu ve bu oturum açma sırasında hangi kullanıcı adı ve şifresinin kullanıldığını görebilirsiniz. Frame Viewer penceresinde özellikle 34 numaralı paketi seçmemin ayrı bir nedeni var.Bu paket FTP oturumu açma sırasında kullanılacak şifrenin taşındığı paket ve biz bu paketin içerisinde taşınan şifreyi ekstra bir çaba göstermeden görebiliyoruz. Yani ağ üzerinden düz yazı (clear text) şeklinde gönderilen şifreler Network Monitor kullanılarak rahatlıkla ele geçirilebilir. Buradan çıkacak sonuç şudur ; yetkisiz kullanıcılar tarafından çalıştırılan Network Monitor programı ağ güvenliğinizi ciddi manada sarsabilir. Peki ağ üzerinde hangi bilgisayarlar Netwok Monitor programının çalıştırıldığını anlamanın bir yolu yok mu? Neyse ki bunu anlamanın bir yolu var. Network Monitor programının ağ üzerindeki bilgisayarlardan hangilerinde  çalıştığını görmek istiyorsanız  Capture Window ekranındaki Tools menüsünden Identify Network Monitor users komutunu çalıştırmanız gerekiyor. Bu komutu çalıştırdığınızda karşınıza Identify Network Monitor users başlıklı Şekil-16’daki pencere çıkacaktır.

a rel="nofollow" href="http://img376.imageshack.us/img376/9918/17networkaktiviteizlenmnf8.jpg" target=_blank>

 

Resim girecek: sekil16.jpg

Resim altı: Ağ üzerindeki hangi bilgisayarlarda Network Monitor uygulamasının çalıştırıldığının gösterildiği pencere

Bu pencerede Network Monitor uygulamasının çalıştığı bilgisayarın adı ve MAC adresi, bu uygulamayı çalıştıran kullanıcının adı, Network Monitor programının versiyonu gibi bilgilerin yanında Network Monitor programının o anki durumu hakkında bilgi bulunur. Bu penceredeki Current State kısmında bulunabilecek değerler şunlardır;

·         Driver is installed : Bu bilgisayarda Network Monitor sürücüsünün yüklü olduğunu ama Network Monitor  programının o an çalışmadığını gösterir.

·         Running : Network Monitor uygulamasının çalıştığını ama o an için herhangi bir paket yakalama işlemi gerçekleştirmediğni gösterir.

·         Capturing :Network Monitor uygulamasının çalıştığını ve  paket yakalama işlemini gerçekleştirdiğini gösterir.

·         Transmitting : Network Monitor uygulamasının ağ üzerinde paket iletimi yaptığını gösterir.

NOT

Ağ üzerinde hangi bilgisayarlarda Network Monitor uygulamasının çalıştığını anlamak için kullanılan tekniklerin neler olduğu  Microsoft tarafından tam olarak açıklanmamıştır. Ayrıca testler sırasında Network Monitor uygulamasını çalıştıran bazı  bilgisayarın algılanamadığını görülmüştür.
 

 

Frame Viewer penceresinde listelenen paketlerin en sonuncusu yakalama işlemi hakkında istatistiksel bilgiler içeren ve listeye Network Monitor tarafında eklenen bir pakettir.

 

Gösterme Filtresi (Display Filter)

Yakalanan paketlerin içinden, sizin belirleyeceğiniz kriterlere uyanlarını ayıklamak için gösterme filtresi (Display Filter) kullanılır. Gösterme filtresini veritabanındaki veriler arasında aramak yapmak için oluşturulmuş bir sorgu olarak düşünebilirsiniz. Tabii ki burada kullanılan veritabanı, yakalanan paketlerin bulunduğu tampon bellek bölgesidir. Gösterme filtresi oluştururken kullanılan kriterler yakalama filtresi oluşturulurken kullanılan kriterler temelde birbirine çok benzerler.

Yeni bir gösterme filtresi oluşturmak için Frame Viewer penceresinde bulunan Display menüsündeki Filters komutunu çalıştırarak yada klavyedeki F8 tuşuna basarak Şekil-17’deki Display Filter başlıklı pencereyi açıyoruz.

Resim girecek: sekil17.jpg

Resim altı: Yakalanan paketler arasında arama yapmak için gösterme filtresini kullanabilirsiniz.

Yakalanan paketler arasında bizim belirlediğimiz kriterlere uyanlarının gösterilmesini sağlayan sorguları bu pencere aracılığıyla oluşturuyoruz.

Şimdi bir örnek üzerinde gösterme filtresinin nasıl kullanıldığını inceleyelim. Şirketteki kullanıcılardan birisi sabah kahvenizi içtiğiniz vakit sizi telefonla aradı ve ağdaki diğer bilgisayarları göremediğini söyledi. Siz de bu bilgisayarın ayarlarını kontrol etmeye gittiniz ve bu bilgisayarın IP adresinin yerel  ağda  kullanılan  IP adres aralığına ait olmadığını, 169.254 ile başlayan bir IP adresine sahip olduğunu gördünüz. Bu durumda  ilk olarak bu istemcinin DHCP  sunucuya erişemediğini düşündünüz ve bu bilgisayardaki fiziksel bağlantılar öncelikli olmak üzere problemin sebebini aramaya başladınız. Tam bu sırada aynı sorunla karşılaşan başka kullanıcılardan da  size şikayetler gelmeye başladı. Bu durumda sorunun istemcilerde değil de DHCP sunucuda olabileceğini düşünerek DHCP sunucu üzerinde Network Monitor uygulamasını çalıştırmaya karar verdiniz ve DHCP sunucu üzerinde paket yakalama işlemine başladınız. Belirli bir süre yakalama işlemine devam ettikten sonra yakalama işlemini sonlandırarak paketleri incelemeye başladınız. Bu noktada sizin aradığınız paketler, DHCP sunucunun DHCP istemcilerden gelen IP adres kiralama isteğine verdiği DHCP ACK yanıtını içeren paketler olacaktır. Bu paketleri görebilmek için Şekil-17’deki pencerede görüldüğü gibi bir sorgu oluşturduk ve bu sorgu, yakalanan paketlerin içinde DHCP sunucu tarafından ağdaki DHCP istemcilere, DHCP protokolü kullanılarak, DHCP ACK paketlerinin gönderilip gönderilmediği gösterecektir. Böylece ağ üzerindeki DHCP sunucunun istemcilere hizmet verip vermediğini incelemiş oluruz.

Yukarıdaki örnekte anlatıldığı gibi bir sorgu oluşturmak için Şekil-17’de gösterilen penceredeki Expression butonuna basarak Şekil-18’deki pencereyi açıyoruz.

Resim girecek: sekil18.jpg

Resim altı: Protokollerin özelliklerini kullanarak daha gelişmiş gösterme filtreleri oluşturabilirsiniz.

Bu pencerede Address, Protocol ve Property olmak üzere üç sekme bulunur. Bu sekmelerde bulunan veriler yardımıyla gösterme filtresini oluşturuyoruz. Address sekmesine tıkladığınızda karşınıza hangi adresler arasında ve hangi yöndeki trafiğin filtreleneceğinin belirlendiği ve yakalama filtresindekine benzer bir pencere çıkacaktır. Protocol sekmesine tıkladığınızda ise yine yakalama filtresindekine benzer bir pencere çıkacaktır. Burada gösterme filtresinde hangi protokollere ait paketlerin gösterileceği belirleniyor. Eğer dikkatle incelerseniz gösterme filtresinde kullanabileceğiniz protokol sayısının, yakalama filtresinde kullanılabilecek protokol sayısından fazla olduğunu göreceksiniz. Property sekmesi ise seçilen protokole ait özellikler bazında bir gösterme filtresi oluşturulmasını sağlar. Bu sekmedeki verileri tam anlamıyla kullanmak için listede bulunan protokoller hakkında derinlemesine bilgiye ihtiyacınız olacaktır. Bu makalenin sonunda vereceğimiz Web sitesi adreslerinden faydalanarak buradaki protokoller hakkında detaylı bilgilere sahip olabilirsiniz.

Yakaladığınız paketleri yazıcıdan çıktı alarak da inceleyebilirsiniz. Network Monitor ekranında Print butonuna bastığınızda yada File menüsünden Print komutunu çalıştırdığınızda karşınıza Şekil-19 ‘daki  Print başlıklı pencere çıkacaktır.

Resim girecek: sekil19.jpg

Resim altı: Yakalanan paketlerin yazıcıdan çıktısını almak için kullanılan Print başlıklı  pencere

Bu pencerede hangi numaralı paketlerin yazıcıya gönderileceğini belirlemek için General sekemesindeki Print Range kısmını kullanabilirsiniz.  Netmon adli sekmede ise, yakalanan paketlerin yazıcıya gönderilecek ayrıntılarını belirleyebilirsiniz. Örneğin yakalanan paketlerin Hex kısmının yazıcıya gönderilip gönderilmeyeceği gibi ayarlar bu pencereden yapılır. Ayrıca oluşturduğunuz gösterme filtrelerini de kullanabilirsiniz. Böylece sadece belirlediğiniz kriterler uyan paketlerin yazıcıdan çıkmasını sağlarsınız.


Windows 2000’de Network aktivitelerinin izlenmesi

İlk önce Network Monitor’ün ne olduğuna bir bakalım. Network Monitor, Windows 2000 Server ailesi ile birlikte gelen bir yazılımdır ve ağ üzerindeki bir sunucuya gelen ve sunucudan giden paketleri yakalayarak bu paketlerin istatistiklerini çıkartır. Bunun yanında, Network Monitor yardımıyla ağ trafiğinizi analiz edip, meydana gelen problemlerin sebeplerini bularak sorunları çözebilirsiniz. Örneğin iletişim kuramayan iki bilgisayar arasındaki sorunun ne olduğunu, yazılımsal bir sorun mu yoksa donanımsal bir sorun mu olduğunu anlayabilirsiniz. Eğer uygulama geliştirici iseniz Network Monitor yardımıyla geliştirdiğiniz programın ağ üzerindeki davranışlarını analiz edebilirsiniz. Ayrıca ağdaki paketlerin içinden sizin belirlediğiniz kriterler uyanlarının yakalanması durumunda bir trigger (tetikleme) mekanizmasının devreye girerek belirli eylemler arasından sizin belirlediğiniz eylemi gerçekleştirmesini sağlayabilirsiniz.

Network Monitor uygulamasının iki versiyonu vardır. Bu versiyonlardan birisi Windows 2000 Server ailesi ile birlikte gelir. Diğer versiyon ise SMS (System Manegement Server) paketi içinde gelir ve Windows 2000 Server ailesi ile birlikte gelen versiyondan daha gelişmiş özelliklere sahiptir. Örneğin SMS ile birlikte gelen versiyonda tüm ağ üzerindeki paketleri yakalayabilmeniz mümkünken, Windows 2000 Server ailesiyle gelen versiyonunda sadece uygulamanın çalıştırıldığı sunucuya gelen ve sunucudan giden paketleri yakalayabilirsiniz.

Network monitor kurulumu

Kurulum işlemine geçmeden önce, Network Monitor’ü kullanabilmek için gerekli donanımlardan bahsedelim. Öncelikle fiziksel olarak bir ağa bağlı olmalısınız. Ayrıca kullandığınız ağ kartı NDIS 4.0 uyumlu olmalıdır. (Günümüzde bir çok ağ kartı üreticisi , ürünlerini NDIS 4.0 uyumlu olarak üretiyorlar. Ağ kartınızın NDIS 4.0 uyumlu olup olmadığını anlamak için, ağ kartının kitapçığından yararlanabilirsiniz.) NDIS 4.0 uyumlu bir ağ kartı kullanıyorsanız Network Monitor’ü lokal modda kullanabilirsiniz. Lokal modda, ağdaki paketlerden sadece paketin içindeki kaynak veya hedef adres kısımlarında Network Monitor’ün yüklü olduğu bilgisayarın adresinin bulunduğu paketleri yakalayabilirsiniz.

Network Monitor, Windows 2000 Server’ın kurulumu sırasında kurulum bileşenleri arasından seçilerek veya Control Panel (Denetim Masası )’deki Add/Remove Programs (Program Ekle/Kaldır) uygulaması çalıştırılarak kurulabilir. Network Monitor kurulumu için Control Panel’deki Add/Remove Programs uygulamasını çalıştırıyoruz. Karşımıza çıkan ekrandan Add/Remove Windows Components’e tıklayıp Windows Components başlıklı pencereyi açıyoruz.Windows 2000 Server bileşenlerinin listelendiği bu pencerede, Management And Monitoring Tools bileşenini seçip Details butonuna basıyoruz. Karşımıza çıkan ekrandan Network Monitor Tools seçeneği seçip OK butonuna basarak kurulum işlemini başlatıyoruz.

Network Monitor iki bileşenden oluşur. Birinci bileşen verileri toplayan bir ajan (agent), ikinci bileşen ise toplanan verilerin izlenmesi ve analiz edilmesi için kullanılan yönetim programı. Windows 2000 Server’a Network Monitor’ü kurduğunuzda bu iki bileşen otomatik olarak kurulur.

Network Monitor uygulamasını başlatmak için Start->Programs->Administrative Tools->Network Monitor yolunu izliyoruz. Eğer bilgisayarınızda birden fazla ağ kartı varsa bu durumda Network Monitor uygulaması başlamadan önce karşınıza hangi ağ kartındaki trafiği yakalamak istediğinizi soran “Select a network” başlıklı bir pencere çıkacaktır. Buradaki listede bilgisayarınızda bulunan tüm ağ kartları ve modemler listelenecektir. İleride paket yakalamak istediğiniz ağ kartını değiştirmek isterseniz Capture menüsünden Networks seçeneğini seçerek Select a network penceresini yeniden açıp bu pencerede ilgili ağ kartını seçebilirsiniz.

Netwok Monitor uygulamasını başlattığınızda karşınıza  ekran çıkacaktır. Bu ekran Capture Window olarak isimlendirilir ve yakalanan paketler hakkında bilgiler içerir. Capture Window penceresi dört panelden oluşmuştur. Şimdi bu panelleri teker teker inceleyelim.

Grafik paneli (Graph pane ): Capture Window penceresinin sol üst tarafında bulunan panel Grafik Paneli olarak adlandırılır ve bu panelde o anki ağ trafiği istatistikleri grafiksel olarak ve gerçek zamanlı (real time) gösterilir. Network kapasitesinin yüzde kaçının kullanıldığı (% Network Utilization ), saniyede yakalanan çerçeve (frame) ve Byte miktarı ile saniyede yayımlanan Broadcast ve Multicast paket sayısı, grafik panelinde gerçek zamanlı izlenebilecek istatistiklerdir.

Oturum paneli ( Session pane ): Grafik panelinin altındaki paneldir ve o anki ağ oturumlarına ilişkin istatistiksel bilgiler bu panelde gösterilir. Bu panelde oturumun hangi bilgisayarlar arasında kurulduğu ve oturumu gerçekleştiren bilgisayarlar arasında alınıp verilen çerçeve sayısı bulunur. Network Address 1 ve Network Address 2 kısımlarında oturumun gerçekleştiği adresler gösterilir. 1—>2 kısmında gösterilen sayı, Network Address 1 adresinden Network Address 2 adresine gönderilen çerçeve sayısını , 1<—2 kısmında gösterilen sayı ise Network Address 2 adresinden Network Address 1 adresine gönderilen çerçeve sayısını gösterir (Ağda yakalanan ilk 128 adres listelenir).

İstasyon istatistik paneli (Station stats pane): Bu panel, Oturum panelinin altında bulunur ve Network Monitor’ün çalıştırıldığı bilgisayara gelen ve giden paketlerin, iletişim kurulan bilgisayarlar bazında istatistiklerini gösterilir. Bu panelde, iletişim kurulan her bir bilgisayar için alınan çerçeve ve Byte sayısı ile gönderilen çerçeve ve Byte sayısının yanında Multicast, Broadcast ve Directed çerçeve sayıları görülebilir (Ağda yakalanan ilk 128 adres listelenir).

Toplam istatistik paneli (Total stats pane): Bu panel Capture Window penceresinin sağ üst tarafında bulunan paneldir ve paket yakalama işleminin başladığı andan itibaren ağ üzerinde algılanan trafik hakkında istatistiksel bilgiler içerir. Bu bölümde Network Statistics, Captured Statistics, Per Second Statistics, Network Card ( MAC ) Statistics, Network Card ( MAC ) Error Statistics olmak üzere beş ayrı kategoride istatistik bulunur.

Network Monitor kullanarak ağ üzerinden bize gelen ve bizim yolladığımız paketleri nasıl yakalayacağımızı inceleyelim. Capture Window penceresindeki menülerden Capture->Start komutunu çalıştırarak veya F10 tuşuna basarak yada Capture Window penceresindeki Start Capture butonuna basarak paket yakalamaya başlayabiliriz. Paket yakalamaya başladığınızda Capture Window penceresindeki grafiklerin ve istatistiklerin değiştiğini göreceksiniz.

Peki yakalanan paketler bilgisayarımızda nerede tutulur? Yada bu yakalanan paketler ne kadar süreyle bilgisayarımızda kalır? Network Monitor tarafından yakalanan paketler tampon (buffer) bellekte tutulurlar ve bu belleğin boyutu varsayılan olarak 1 MB’dır. Yakalanan paketler tampon belleğe alınır ve tampon belleğin dolması durumunda yeni yakalanan paketler eski paketlerin yerine yazılacak, dolayısıyla paket kayıpları meydana gelecektir. Bu durum özellikle network analizi yapıyorsanız istenen bir durum değildir. Bunu önlemek için tampon bellek boyutunu arttırmalısınız. Tampon belleğin boyutunu arttırmak için Capture menüsünden Buffer Settings seçeneğini seçerek  Capture Packet Settings başlıklı pencereyi açıyoruz. Bu pecneredeki Buffer Size (MB) kısmındaki değer tampon belleğin boyutunu belirler. Tampon belleğin boyutu en fazla 1024 MB olabilir. Burada belirteceğiniz değerin pratik olarak limiti, bilgisayarınızda bulunan RAM miktarı kadardır. Eğer bu değeri bilgisayarınızda bulunan gerçek RAM değerinden fazla tutarsanız bu durumda RAM’deki paketlerin diske yazılması sırasında ağda bulunan paketler yakalanamayabilir. Dolayısıyla paket kaybına uğrayabilirsiniz. Bu penceredeki ayarlardan birisi de yakalanan paketlerin ne kadarlık kısmının tampon belleğe alınacağının belirlendiği Frame Size (Bytes) kısmıdır. Bu kullanışlı özelliği şöyle bir örnekle açıklayalım. Örneğin bilgisayarınıza gelen ve bilgisayarınızdan giden paketlerde en çok hangi İletişim Katmanı (Transport Layer) protokollerinin kullanıldığını merak ediyorsunuz. Bu durumda yakalanan paketlerin sadece İletişim Katmanı başlığına kadar olan kısmı sizi ilgilendirir. Bu penceredeki Frame Size (Bytes) kısmındaki değeri ayarlayarak tampon belleğe daha fazla paket alınmasını sağlayabilirsiniz. Bu kısımdaki değer, varsayılan olarak yakalanan çerçevenin tamamını tampon belleğe alacak şekilde ayarlanmıştır.

Yakaladığınız paketleri daha sonra kullanmak üzere bilgisayarınıza kaydedebilirsiniz. Ayrıca kaydettiğiniz bu dosyayı Network Monitor yüklü başka bir bilgisayarda da açabilirsiniz. Yakaladığınız paketleri kaydetmek için Network Monitor ekranındaki File menüsünden Save as komutunu çalıştırmalı yada araç çubuğundaki File Save as butonuna basmalısınız. Kaydedilen dosyaların uzantıları .CAP olacaktır. Ayrıca Save As başlıklı pencerede, dosyanın sabit diskinizde nerede saklanacağını belirlenmesinin yanında önemli bir seçenek daha bulunur. Bu seçenek, yakalanan paketler içinden hangi numaralar arasındakilerin kaydedileceğinin belirlendiği Range kısmıdır. Örneğin yakaladığınız paketlerden, paket numarası 15 ile 25 arasında olanları kaydetmek isteyebilirsiniz. Bu durumda Save As penceresindeki Range kısmındaki From kısmına 15 To kısmına ise 25 değerini girmelisiniz.

Geçici yakalama dosyalarının diskte nerede saklanacağını belirlemek için Options menüsündeki Change Temporary Capture Directory komutunu çalıştırıyoruz. Karşımıza çıkan pencereden geçici yakalama dosyalarının saklanacağı klasörü belirliyoruz.

Yakalama filtresi (Capture filter)

Kullanılan tampon bellekte daha fazla paket tutmanın bir diğer yolu da yakalanacak paketleri bir filtre aracılığıyla belirlemektir. Örneğin siz sadece belirli bir bilgisayardan gelen ve belirli bir protokole ait paketleri yakalayıp tampon bellekte tutmak isteyebilirsiniz. Bu durumda ağdaki paketlerden hepsi yakalanmayacak sadece sizin belirlediğiniz kriterlere uyan paketler yakalanıp tampon belleğe alınacaktır. Ayrıca filtre kullanarak gereksiz paketlerin yakalanmasını önlediğinizden, analiz edeceğiniz paket sayısı azalacak ve problemin çözümüne daha kısa zamanda ulaşma şansınız artacaktır.Yapılan bu işleme Capture Filter denir.

Şimdi yeni bir Yakalama Filtresinin nasıl oluşturulacağını inceleyelim. Network Monitor Capture Window ekranındaki Capture menüsünden Filter komutunu veya klavyedeki F8 tuşuna basarak yada araç çubuğundaki Edit Capture Filter butonuna (huni şeklindeki buton) basarak  Capture Filter başlıklı pencereyi açıyoruz. Bu pencerede oluşturduğumuz filtre, bir karar ağacı şeklinde, grafiksel olarak gösterilir.

Yakalama filtresi kriterleri

Protokol: Bu kriter yardımıyla sadece belirli protokollere ait paketlerin yakalanmasını sağlayabilirsiniz. Varsayılan olarak Network Monitor, tüm protokollere ait paketleri yakalayacak şekilde ayarlanmıştır. Oluşturacağımız yakalama filtresinde hangi protokollere ait paketlerin yakalanacağını belirlemek için pencerede bulunan karar ağacındaki SAP/ETYPE kısmına çift tıklayarak yada SAP/ETYPE kısmını seçip Edit butonuna basarak Capture Filter SAPs and ETYPEs başlıklı Şekil-5’teki pencereyi açıyoruz. Network Monitor tarafından yakalanacak paketlerin hangi protokollere ait olabileceği bu penceredeki Enable Protocols kısmında listelenir. Bunun yanında hangi protokollere ait paketlerin tampon belleğe alınmayacağı ise Disabled Protocols kısmında listelenir. Örneğin biz sadece IP paketlerini yakalamak istediğimiz için resimde görüldüğü gibi Enable Protocols kısmında sadece IP protokolü olacak şekilde bir filtre oluşturduk. Disable, Disable All, Enable ve Enable All butonlarını kullanarak Enable Protocols ve Disabled Protocols bölümleri arasında geçiş gerçekleştirebilirsiniz.

Adres: Yakalama filtresinde kullanılabilecek bir diğer kriter adres kriteridir. Bu kriter yardımıyla sadece belirli adresler arasında gidip gelen paketlerin yakalanmasını sağlayabilirsiniz. Örneğin DHCP istemci olan bir bilgisayarın DHCP sunucudan geçerli bir IP adresi alamaması durumunu ele alalım. Bu problemi analiz edebilmek için sadece DHCP istemci ve DHCP sunucu arasında gidip gelen paketleri yakalayacak bir filtre tanımı işimizi görecektir. Hangi adreslere ait paketlerin yakalanacağını belirlemek için Capture Filter penceresinde bulunan Address Pair kısmına çift tıklayarak yada Address Pair kısmını seçip Address butonuna basarak Şekil-6 Address Expression başlıklı pencereyi açıyoruz. Bu pencerede Station 1, Direction ve Station 2 kısımları bulunur. Bu kısımlardan Station 1 ve Station 2 kısımlarında oturumu kuracak bilgisayarlar listelenir. Direction kısmında ise hangi yönde gelen paketlerin yakalanacağı belirlenir. Buradaki <—> işareti hem gelen hem de giden paketlerin, —> işareti Station 1 adresinden Station 2 adresine giden paketlerin, <— işareti ise Station 2 adresinden Station 1 adresine giden paketlerin yakalanmasını sağlar. Örneğimizde ISASERVER1 ve ISASERVER2 adlı bilgisayarlar arasındaki iki yönlü trafiği de yakalamak istediğimizden Direction kısmındaki işaretlerden <—> işaretini seçiyoruz. Bu pencerede ayrıca Include ve Exclude olmak üzere iki seçenek bulunur. Bu seçenekler belirli adresler arasındaki ve belirli bir yöndeki trafiğin yakalanıp yakalanmayacağını belirler. Eğer Include seçeneğini seçip Station 1, Direction ve Station 2 kısımlarına uygun değerleri girerseniz bu kriterlere uyan paketler yakalanacaktır. Exclude seçeneğini seçtiğiniz takdirde bu kriterlere uyan paketler tampon belleğe alınmayacaktır. Örneğin analiz yaparken ağ üzerindeki Macintosh bilgisayarların ürettiği trafiğin tampon belleğine alınmasını istemiyorsanız bu durumda Station 1, Direction ve Station 2 kısımlarına uygun değerleri girerek Exclude seçeneğini seçmelisiniz.

Hangi adresler arasındaki ve bu adresler arasında hangi yöndeki ağ trafiğinin yakalanacağının belirlendiği Address Expression başlıklı pencere Şekil-6’daki Station 1 ve Station 2 kısımlarında listelenen adresler Network Monitor uygulamasının çalıştırılmasından itibaren öğrenilen adreslerdir. Eğer bu tabloya yeni bir adres eklemek istiyorsanız Edit Addresses butonuna basarak Address Database başlıklı pencereyi açmalısınız. Address Database başlıklı pencerede o zamana kadar öğrenilen adresler listelenir. Bu penceredeki Add butonuna basarak listeye yeni bir adres ekleyebilir, bu listedeki kayıtları daha sonra kullanılmak üzere Save butonuna basarak saklayabilirsiniz.

Yakalama filtresinde en fazla üç tane adres çifti tanımlayabilirsiniz.

Veri kalıbı (Data pattern): Eğer ağdaki paketler arasında sadece belirli bir veri kalıbını (data pattern) içeren paketleri tampon belleğe almak istiyorsanız bu kriteri kullanmalısınız. Yeni bir veri kalıbı tanımlamak için Şekil-4’teki pencerede bulunan Pattern Matches kısmını çift tıklayarak yada bu kısmı seçip Pattern butonuna basarak Şekil-7’deki Pattern Match penceresini açıyoruz. Bu penceredeki Pattern kısmına yakalanacak paketlerde bulunulması gereken veri kalıbını yazıyoruz. Buraya gireceğimiz değer Hex yada ASCII formatında olabilir. Ayrıca Offset (in Hex) kısmındaki değer ise From Start of Frame yada From End of Topology Header seçeneklerine bağlı olarak veri kalıbının paket içerisindeki başlangıç yerini belirtir. Eğer yakalamak istediğiniz paketlerde birden fazla veri kalıbı varsa bu durumda Capture Filter penceresindeki karar ağacında bulunan AND ve OR butonlarını kullanarak farklı veri kalıplarını kapsayacak şekilde bir yakalama filtresi oluşturabilirsiniz. Yakalama filtresinde tanımlayabileceğiniz en fazla veri kalıbı sayısı dörttür.

Oluşturduğunuz bu yakalama filtresini daha sonra tekrar kullanmak üzere Capture Filter penceresindeki Save butonuna basarak kaydedebilir, önceden oluşturulan bir yakalama filtresini de Load butonuna basarak yükleyebilirsiniz.

Network Monitor programının en güzel özelliklerinden birisi de, önceden belirli olayların meydana gelmesi durumunda bir tetikleme mekanizması sayesinde belirli eylemleri yerine getirebilmesidir. Örneğin yakalanan paketler içinde, aranan bir kalıbın (pattern) bulunması halinde yakalama işleminin sonlandırılmasını yada bir toplu komut dosyasının çalıştırılmasını sağlayabilirsiniz. Tetikleme ile alakalı ayarların yapıldığı Capture Trigger başlıklı pencereyi açmak için Network Monitor ekranındaki Capture menüsünde bulunan Trigger komutunu çalıştırıyoruz. Karşımıza Şekil-8’deki pencere çıkacaktır. Şimdi bu penceredeki ayarları inceleyelim.

Trigger on kısmında bulunan seçeneklerden Nothing seçeneğini seçerseniz tetikleme işlemini pasif hale getirmiş olursunuz. Pattern match seçeneğini seçtiğinizde ise Pattern kısmı aktif olacaktır ve bu kısımda belirteceğiniz kalıbı içeren paketler yakalandığında Trigger Action kısmında belirlenen eylemler gerçekleştirilecektir. Buffer space seçeneğini seçerseniz bu pencerenin sol tarafında bulunan Buffer Space kısmı aktif olacaktır. Eğer yakalanan paketlerin, tampon belleğin belirli bir yüzdesini doldurduğu anda tetiklemenin gerçekleşmesini istiyorsanız bu durumda Trigger on kısmındaki seçeneklerden Buffer space seçeneğini seçmeli ve Buffer Space kısmındaki yüzdelik değerlerden de sizin için uygun olan değeri seçmelisiniz. Bunun haricinde eğer siz hem veri kalıbı hem de tampon bellek miktarını gözönünde bulunduran bir tetikleme mekanizması oluşturmak istiyorsanız bu durumda Pattern match then buffer space yada Buffer space than pattern match seçeneklerinden birisini seçmelisiniz. Pattern match then buffer space seçeneğini seçerseniz Network Monitor tetikleme yapmak için önce sizin belirlemiş olduğunuz veri kalıbını içeren paketin yakalanmasını bekleyecek ardından tampon belleğin Buffer Space kısmında belirlenen yüzdelik kısmının dolmasıyla birlikte tetikleme gerçekleşecek ve Trigger Action kısmındaki eylemler gerçekleştirilecektir. Buffer space than pattern match seçeneğinde ise öncelikle tampon belleğin doluluk miktarına bakılacak ve ardından tetikleme mekanizmasını çalıştırmak için yakalanan paketler içinde sizin belirlemiş olduğunuz veri kalıbını arayacaktır.

Trigger Action kısmındaki seçenekler ise şunlardır.

Audible signal only: Varsayılan olarak bu seçenek seçilidir ve tetiklemenin meydana gelmesi halinde bilgisayarınızdan bip sesinin çıkmasını sağlar ve paket yakalama işlemine devam edilir.

Stop capture: Bu seçeneği seçerseniz tetiklemenin meydana gelmesi durumunda paket yakalama işlemi sona erecektir.

Execute command line: Eğer tetikleme işlemi meydana geldiğinde hazırladığınız bir toplu komut dosyasının çalıştırılmasını istiyorsanız bu seçeneği seçerek toplu komut dosyasının yerini belirtmelisiniz. Toplu komut dosyası ile yapabilecekleriniz sizin programcılık yeteneklerinizle sınırlıdır.

Dedicated capture mode

Eğer sizin için paket kaybı kabul edilemez bir durumsa bu durumda Network Monitor uygulamasının çalıştığı bilgisayarın tüm kaynaklarını paket yakalama için ayıracak şekilde ayarlamanız gerekir. Bu işlem için Capture Window penceresinde bulunan Capture menüsündeki Dedicated Capture Mode komutunu çalıştırmanız gerekir. Bu modda çalıştığınız zaman dilimi içinde Network Monitor penceresindeki istatistik değerlerinde herhangi bir değişiklik yapılmaz.

 

Yakalanan paketlerin analizi

Yakalanan paketleri görmek için Capture Window ekranındaki araç çubuğunda bulunan Stop and View Capture butonuna basarak yada yakalama işlemini durdurduktan sonra Capture menüsünden Display Captured Data komutunu çalıştırarak (bu komut yerine klavyedeki F12 tuşunu kullanabilirsiniz) Şekil-9’deki Frame Viewer penceresini açıyoruz. Bu pencere aşağıdaki üç panelden oluşmuştur.

Özet paneli (Summary pane): Bu panalde, yakalanan çerçeveler yakalama zamanlarına göre bir liste halinde gösterilirler. Bu pencerede, yakalanan paketler hakkında şu bilgiler bulunur; yakalama işlemine başladıktan ne kadar sonra paketin yakalandığı, kaynak ve hedef bilgisayarların MAC adresleri, paketin hangi protokole ait olduğu ve paket hakkında bir açıklama. Bunların haricinde eğer yakalanan pakette başka bir protokol tarafından kullanılan bir adres yapısı varsa bu protokole ait adres bilgileri de özet panelinde gösterilir. İlk kez Frame Viewer penceresini açtığınızda sadece bu panel karşınıza çıkacaktır. Diğer panelleri açmak için özet panelinde listelenen paketlerden herhangi birisine çift tıklamalısınız.

Ayrıntı paneli (Detail pane): Özet panelinde seçtiğiniz paketin ayrıntıları bu panelde gösterilir. Network analizi sırasında kullanacağınız bilgilerin çoğunu bu panelde bulabilirsiniz. Eğer paket analizi ile yeni tanışıyorsanız, bu paneldeki verileri dikkatle inceleyerek protokoller hakkında temel bilgilere ulaşabilirsiniz.

Hex paneli (Hex pane): Özet panelinde seçilen paketin içeriği Hex ve ASCII modlarında gösterilir.

paketleri kısaca analiz edelim. 25 numaralı paket bir ICMP Echo paketi ve 26 numaralı paket ise ICMP Echo mesajına gelen ICMP Echo Reply yanıtıdır. Yani IP adresi 192.168.0.15 olan bilgisayardan, IP adresi 192.168.0.3 olan bilgisayara ping atılmış ve bu bilgisayardan yanıt alınmıştır. Bir sonraki paket yani Protocol kısmında COMMENT yazan 27 numaralı paket diğer paketlerden biraz farklıdır. Çünkü bu paketi yakalama işlemi bittikten sonra kendimiz açıklama amacıyla ekliyoruz. İyi bir analiz için daha doğrusu ağ üzerindeki olayları Frame Viewer penceresinde birbirinden ayırmak için COMMENT paketleri kullanılabilir. Yeni bir COMMENT paketi eklemek için Frame Viewer penceresinde bulunan Tools menüsünden Insert Comment Frame komutunu çalıştırarak Insert Comment Frame başlıklı pencereyi açmalısınız. Bu pencerede, açıklama paketinin paket numarasını, tipini ve bu pakette bulunacak açıklamayı yazarak bir COMMENT paketi oluşturabilirsiniz.

COMMENT paketinde sonra ardarda üç tane TCP paketi görüyoruz. Bu paketler tipik bir TCP Three-Way Handshake olayını gösterir. TCP protokolü bağlantı temelli bir protokol olduğu için her iki tarafın bağlantı kurmadan önce bağlantı parametreleri üzerinde anlaşmaları gerekir. 31 numaralı paketten itibaren FTP protokolüne ait paketleri görüyoruz. Bu paketleri dikkatlice incelediğinizde bir FTP oturumu açma girişimi olduğunu ve bu oturum açma sırasında hangi kullanıcı adı ve şifresinin kullanıldığını görebilirsiniz. Frame Viewer penceresinde özellikle 34 numaralı paketi seçmemin ayrı bir nedeni var.Bu paket FTP oturumu açma sırasında kullanılacak şifrenin taşındığı paket ve biz bu paketin içerisinde taşınan şifreyi ekstra bir çaba göstermeden görebiliyoruz. Yani ağ üzerinden düz yazı (clear text) şeklinde gönderilen şifreler Network Monitor kullanılarak rahatlıkla ele geçirilebilir. Buradan çıkacak sonuç şudur ; Yetkisiz kullanıcılar tarafından çalıştırılan Network Monitor programı ağ güvenliğinizi ciddi manada sarsabilir. Peki ağ üzerinde hangi bilgisayarlar Netwok Monitor programının çalıştırıldığını anlamanın bir yolu yok mu? Neyse ki bunu anlamanın bir yolu var. Network Monitor programının ağ üzerindeki bilgisayarlardan hangilerinde çalıştığını görmek istiyorsanız Capture Window ekranındaki Tools menüsünden Identify Network Monitor users komutunu çalıştırmanız gerekiyor. Bu komutu çalıştırdığınızda karşınıza Identify Network Monitor users başlıklı bir pencere çıkacaktır. Bu pencerede Network Monitor uygulamasının çalıştığı bilgisayarın adı ve MAC adresi, bu uygulamayı çalıştıran kullanıcının adı, Network Monitor programının versiyonu gibi bilgilerin yanında Network Monitor programının o anki durumu hakkında bilgi bulunur. Bu penceredeki Current State kısmında bulunabilecek değerler şunlardır;

Driver is installed: Bu bilgisayarda Network Monitor sürücüsünün yüklü olduğunu ama Network Monitor programının o an çalışmadığını gösterir.

Running : Network Monitor uygulamasının çalıştığını ama o an için herhangi bir paket yakalama işlemi gerçekleştirmediğni gösterir.

Capturing: Network Monitor uygulamasının çalıştığını ve paket yakalama işlemini gerçekleştirdiğini gösterir.

Transmitting: Network Monitor uygulamasının ağ üzerinde paket iletimi yaptığını gösterir.

Frame Viewer penceresinde listelenen paketlerin en sonuncusu yakalama işlemi hakkında istatistiksel bilgiler içeren ve listeye Network Monitor tarafında eklenen bir pakettir.

Gösterme filtresi (Display filter)

Yakalanan paketlerin içinden, sizin belirleyeceğiniz kriterlere uyanlarını ayıklamak için gösterme filtresi (Display Filter) kullanılır. Yeni bir gösterme filtresi oluşturmak için Frame Viewer penceresinde bulunan Display menüsündeki Filters komutunu çalıştırarak yada klavyedeki F8 tuşuna basarak Şekil-10’daki Display Filter başlıklı pencereyi açıyoruz. Yakalanan paketler arasında arama yapmak için gösterme filtresini kullanabilirsiniz.

Yakalanan paketler arasında bizim belirlediğimiz kriterlere uyanlarının gösterilmesini sağlayan sorguları bu pencere aracılığıyla oluşturuyoruz.

Şimdi bir örnek üzerinde gösterme filtresinin nasıl kullanıldığını inceleyelim. Şirketteki kullanıcılardan birisi sabah kahvenizi içtiğiniz vakit sizi telefonla aradı ve ağdaki diğer bilgisayarları göremediğini söyledi. Siz de bu bilgisayarın ayarlarını kontrol etmeye gittiniz ve bu bilgisayarın IP adresinin yerel ağda kullanılan IP adres aralığına ait olmadığını, 169.254 ile başlayan bir IP adresine sahip olduğunu gördünüz. Bu durumda ilk olarak bu istemcinin DHCP sunucuya erişemediğini düşündünüz ve bu bilgisayardaki fiziksel bağlantılar öncelikli olmak üzere problemin sebebini aramaya başladınız. Tam bu sırada aynı sorunla karşılaşan başka kullanıcılardan da size şikayetler gelmeye başladı. Bu durumda sorunun istemcilerde değil de DHCP sunucuda olabileceğini düşünerek DHCP sunucu üzerinde Network Monitor uygulamasını çalıştırmaya karar verdiniz ve DHCP sunucu üzerinde paket yakalama işlemine başladınız. Belirli bir süre yakalama işlemine devam ettikten sonra yakalama işlemini sonlandırarak paketleri incelemeye başladınız. Bu noktada sizin aradığınız paketler, DHCP sunucunun DHCP istemcilerden gelen IP adres kiralama isteğine verdiği DHCP ACK yanıtını içeren paketler olacaktır. Bu paketleri görebilmek için Şekil-10’daki pencerede görüldüğü gibi bir sorgu oluşturduk ve bu sorgu, yakalanan paketlerin içinde DHCP sunucu tarafında ağdaki DHCP istemcilere, DHCP protokolü kullanılarak, DHCP ACK paketlerinin gönderilip gönderilmediği gösterecektir. Böylece ağ üzerindeki DHCP sunucunun istemcilere hizmet verip vermediğini incelemiş oluruz.


  • diline pelesenk olmak ne demek
  • dillere pelesenk olmuş ne demek
  • pelesenk
  • pelesenk ne demek
  • Pelesenk Ne Demek – Pelesenk Sözlük Anlamı
  • pelesenk olmak ne demek
  • pelesenk olmak ne demektir
  • pelesenk olmuş ne demek
  • Yüksek Yüksek Tepelere sözleri
  •   Ad Soyad
      Yorum