myNetMon, Network Monitor ve Paket Analiz Programı (Versiyon 1.0.3)
(http://www.trsecurity.net/mynetmon)

1. Giriş
    myNetMon, Microsoft Windows 95, 98, ME ile Windows NT, 2000, XP İşletim sistemleri altında çalışabilen Network Monitor ve Paket Analiz Programı" dır.

    Program, özellikle Unix ve türevi işletim sistemlerinde kullanılan Libpcap "Paket Yakalama Arabirimi" nin Windows uyarlaması olan Winpcap'i kullanmaktadır.

2. myNetMon'un Genel Özellikleri:

  • Fiziksel (Ethernet)
  • ARP-RARP, IPX, IPV4-6
  • ICMP, UDP, TCP paketlerini özelliklerine göre gösterebilme,
  • Paketleri Hexadesimal olarak görüntüleyebilme,
  • Paketleri tipine, protokolüne, MAC Adresi, IP Adresi ve portlarına göre listeleyebilme,
  • Sadece istenen paketleri kesebilme (filtreleme), (Sadece 2. ve 3. katmanda,  Porta (TCP-UDP), sunucudan sunucuya, paket boyutuna göre filtreleyebilme alt programının yanında, güçlü BPF (Berkeley Packet Filter) yapısını da desteklemektedir.)
  • İstenen paketleri yeniden gönderebilme,
  • TCP paketlerini birleştirerek değişik formatlarda kaydedebilme, (ağdaki tüm web istek ve cevaplarını .HTML formatında, gelen ve gönderilen e-postaları .EML formatında, bağlanılan haber gruplarından alınan bilgileri .NWS formatında kaydetmektedir.)
  • Paketleri daha sonra yeniden okumak amacıyla kaydedebilme,
  • Libpcap (TCPDump, Ethereal..) formatında kaydedilen paketleri açıp analiz edebilme,
  • Sadece istenen paketleri kaydedebilme,
  • Yeniden oluşturularak kaydedilmiş formatlı dosyaları arşivleyebilme,

3. Programın Kurulması:
    Programın çalışabilmesi için  Winpcap kurulu olmalıdır. Bu kütüphane belirtilen linkten yüklenerek kurulmalıdır.
    Winpcap kurulduktan sonra myNetMon'un Kur programı çalıştırılarak bilgisayara yüklemesi yapılır. Yükleme sonucunda Başlat/Programlar/myNetMon yolu takip edilerek myNetMon başlatılabilir.

4. Programın Kullanılması:

   a. Menüler:


File Menüsü: 
New Session alt menüsü ile daha önce yakalanan paketler ana bellekten temizlenerek program yeniden paket yakalamaya hazır hale getirilir.

Open menüsü altından myNetMon tarafından kaydedilmiş bir capture dosyası (.mnc) yeniden açılabilir. Ayrıca Libpcap (ethereal, tcpdump..) ile kaydedilmiş bir capture dosyası filtreli ya da filtresiz olarak açılabilir.


Save menüsü:
"Dump All Packets" ile, yakalanan tüm paketler myNetMon formatında (.mnc) kaydedilebilir.
"Save All Marked Packets" ile, yakalanan paketlerden sadece seçilenleri myNetMon formatında (.mnc) kaydedilebilir.
"Save List" ile, yakalanan tüm paketlerle ilgili liste bilgisi Text formatında kaydedilebilir.
"Save Selected Packet's Info" ile, seçili olan paketin detayları Text formatında kaydedilebilir. 


Configuration Menüsü:
Adapter Selection ile paketlerin kesileceği ağ bağdaştırıcısı seçilebilir ve detayları görüntülenebilir.
Capture Options ile kesimle ilgili çeşitli ayarlar yapılabilir.
Filtering Options ile filtreleme ayarları yapılabilir.


Packet Decoding Menüsü: TCP paket birleştirme özelliği ile yeniden oluşturulacak dosyalar için ayarlamaların yapıldığı ve oluşturulan dosyaların görüntülendiği menüdür.


     b. Ayarlar:

Paketlerin yakalanacağı Ağ Arabirimi Configuration/Adapter Selection Menüsü ile seçilmektedir. Eğer doğru arabirim seçilmezse ağdan paket yakalanamaz. Listedeki ilk arabirim genellikle ethernet kartını ifade eder. Listeden istenen arabirim seçildiğinde arabirime ait IP ayarları, MAC adresi gibi bilgiler görüntülenmektedir.

Paket yakalamaya başlamadan önce Configuration/Capture Options ile gerekli ayarlamalar yapılmalıdır. Geçerli ayarlar:
- Capture Buffer Size: Bir oturumda ne kadar paket yakılanacağını belirtir. Varsayılan değer 4196 dır. Eğer paket yakalama esnasında bilgisayar yavaşlıyorsa bu değer düşürülmelidir. 

- Clear/Stop Capture After Buffer Filled: Buffer için belirtilen limit doldurulduktan sonra eğer Stop Capture seçilmişse (varsayılan) paket yakalama durdurulur. Aksi taktirde buffer temizlenerek yeniden paket yakalanmaya başlanır.

- Auto Scroll Packet List: Yakalanan her paket işaretlenerek paket listesinin aşağı doğru kayması sağlanır.

- Enable Anti Anti Sniff: Ağda sniffer olup olmadığını kontrol eden yazılımlardan saklanma modu. 

- Delete Decoded Files On Exit: Geçerli oturumda oluşturulan dosyalar sabit diske kaydedilmektedir. Eğer seçili değilse her oturumda oluşturulacak dosyalar arşivlenecektir.
TCP Packet Decoding özelliği ile yeniden oluşturulacak dosyaların neler olacağını belirlemek için bu Packet Decoding/Decode Options menüsü kullanılmaldıır. 

Eğer Save HTTP Files özelliği seçili ise web trafiği içerisinde hangi tür dosyaların yeniden oluşturulacağı belirlenir. (Html, Gif, Zip, Mp3...)

Ayrıca ağdaki e-mail, NNTP ve FTP trafiği de kaydedilebilir.

     c. Genel Görünüm:

   

             A. Paket Çözümleme Bölümü: Bu sütun paketleri Ethernet Başlığı, IP Başlığı, ICMP/TCP/UDP başlık ve detayları şeklinde görüntüler.
             B. Liste Bölümü: Bu bölüm kaynak ve hedef MAC Adresi, protokol, kaynak ve hedef IP adresi ve port şeklinde bir liste oluşturur.
             C. Heksadesimal Görünüm Bölümü: Bu bölümde listeden seçilen paketin heksadesimal içeriği görüntülenir.
             D. Reklam Paneli: Bu bölüm Trsecurity.net ürünleri hakkında son bilgilere ulaşmanızı sağlar.

     d. Filtreleme:
         Programın çeşitli filtreleme seçenekleri mevcuttur, bunlar:

2 nci ve 3 ncü Katmanda Filtreleme: 2 nci katmanda (ARP, IP, Chaosnet, IPX..)  ve 3ncü katmanda (ICMP, IGMP, UDP, TCP, OSPF..) kesilecek/kesilmeyecek paketler belirlenebilir. Eğer Include seçilmişse belirtilen tipteki paketleri kesilecek, Exclude seçilmişse belirtilen tipteki paketler kesilmeyecektir.
IP Adress/Hostname Bazında Filtreleme: Source, Destination, and, or kelimeleri ile IP Adreslerini, sunucu adları kullanılarak kompleks filtreler üretilebilir.
Şekildeki örnekte:
"include source 192.168.0/24 and_destination zeos" şeklinde bir filtre yazılmıştır.
Bu filtre, 192.168.0 ağından yapılan tüm isteklerden sadece zeos sunucusuna giden tüm paketleri kesecektir.
Port Bazında Filtreleme: TCP/UDP protokolü ile iletilen paketlerin hedef/kaynak bazında birden fazla port bazında and ve or bağlaçlarıyla filtreleme yapılabilir.
Şekildeki örnekte:
"tcp dst port 25 or tcp dst port 110 or tcp dst port 80"
şeklinde bir filtre yazılmıştır. 
Bu filtre, sadece TCP paketlerinden hedef portu 25 ya da 110 ya da 80 olan paketleri kesecektir. Dolayısıyla sadece HTTP, gelen ve giden posta içeren paketler kesilecektir.
Özel veya BPF Filtreleme: Paket boyutu belirlenen boyuta eşit, daha az ya da daha fazla olan paketler kesilebilir. Ya da BPF filtreleri yazılabilir.
Şekildeki örnekte:
"ether[0]&1 != 0
şeklinde bir filtre yazılmıştır. 
Bu filtre sadece ethernet multicast paketlerinin kesilmesini sağlar.

     e. Kaydedilmiş Dosyaların Görüntülenmesi:

        Şekilde kaydedilen dosyalar görüntülenmektedir. Ağdaki trafikten paketler birleştirilerek HTML, GIF ve e-postalar sabit diske kaydedilmiştir.

     f. Paket Gönderme:      

    Kesilen paketlerin bir kısmı ya da tamamı yeniden gönderilebilir. Bunun için gönderilecek paket/paketler işaretlenerek "Send Packet"  butonuna basmak ve ayarları yapmak yeterlidir.

 

     g. Paket İçeriğini Değiştirme (Packet Forging): Herhangi bir paketin içeriği istenilen şekilde değiştirilebilir. Bunun için  Heksadesimal görünümün olduğu bölümden değiştirilmek istenen bölüm için yeni değerler yazılır.