Paket analizörü, protokol analizörü veya ağ analizörü olarak da bilinen paket yoklayıcı, ağ trafiğini izlemek için kullanılan bir donanım veya yazılım parçasıdır. Yoklayıcılar, bir ağ üzerindeki bilgisayarlar arasında ve ağa bağlı bilgisayarlar ile daha büyük İnternet arasında akan veri paketi akışlarını inceleyerek çalışır. Bu paketler belirli makinelere yöneliktir, ancak "karışık modda" bir paket yoklayıcısı kullanmak BT uzmanlarının, son kullanıcıların veya kötü niyetli davetsiz misafirlerin hedeften bağımsız olarak herhangi bir paketi incelemesine olanak tanır. Yoklayıcıları iki şekilde yapılandırmak mümkündür. Birincisi "filtrelenmemiş" modudur, yani mümkün olan tüm paketleri yakalar ve daha sonra incelenmek üzere yerel bir sabit diske yazar. Sonraki mod "filtrelenmiş" modudur, yani analizörler yalnızca belirli veri öğelerini içeren paketleri yakalar.
Paket yoklayıcılar hem kablolu hem de kablosuz ağlarda kullanılabilir ve etkinlikleri ağ güvenlik protokollerinin bir sonucu olarak ne kadarını "görebildiklerine" bağlıdır. Kablolu bir ağda, yoklayıcılar bağlı her makinenin paketlerine erişebilir veya ağ anahtarlarının yerleşimi ile sınırlı kalabilir. Kablosuz bir ağda, çoğu yoklayıcı bir seferde yalnızca bir kanalı tarayabilir, ancak birden fazla kablosuz arabirimin kullanılması bu özelliği genişletebilir.
Yaygınlık ve Risk Faktörleri
Yoklayıcı kullanarak bir kullanıcının hangi web sitelerini ziyaret ettiği, sitede nelerin görüntülendiği, herhangi bir e-postanın içeriği ve hedefi ile indirilen dosyalarla ilgili ayrıntılar gibi hemen hemen her türlü bilgiyi yakalamak mümkündür. Protokol analizörleri genellikle şirketler tarafından çalışanların ağ kullanımını takip etmek için kullanılır ve aynı zamanda birçok tanınan antivirüs yazılım paketinin bir parçasıdır. Dışa dönük yoklayıcılar, gelen ağ trafiğini belirli kötü amaçlı kod öğeleri için tarayarak bilgisayara virüs bulaşmasını önlemeye ve kötü amaçlı yazılımların yayılmasını sınırlamaya yardımcı olur.
Ancak bu analizörlerin kötü niyetli amaçlarla da kullanılabileceğini belirtmek gerekir. Bir kullanıcı kötü amaçlı yazılım yüklü e-posta eklerini veya virüslü dosyaları bir web sitesinden indirmeye yönlendirilirse yetkisiz bir paket yoklayıcının kurumsal bir ağa yüklenmesi mümkündür. Paket yoklayıcı bir kez yerleştirildiğinde, iletilen tüm verileri kaydedebilir ve daha fazla analiz için bir komuta ve kontrol (C&C) sunucusuna gönderebilir. Bu durumda bilgisayar korsanlarının paket enjeksiyonu ya da ortadaki adam saldırılarına kalkışmaları ve gönderimden önce şifrelenmemiş verileri ele geçirmeleri mümkündür.
Paket yoklayıcıların doğru kullanımı ağ trafiğini temizlemeye ve kötü amaçlı yazılım bulaşmalarını sınırlamaya yardımcı olabilir ancak kötü amaçlı kullanıma karşı korunmak için akıllı bir güvenlik yazılımı gereklidir.
