23 Temmuz 2012 Pazartesi

Sniffer

Sniffer’lar
Bir sniffer, paket yakalama veya frame yakalama aracıdır. Networkdeki trafiği yakalar ve hacker’ın görmesini sağlamak için bir grafiksel arayüzde yada komut satırında yakaladıklarını gösterir. Bazı gelişmiş, karmaşık snifferlar paketleri yorumlar ve paket katarını orjinal data içine tekrar yerleştirebilir.

Snifferlar iki sistem arasında gönderilen trafiği yakalar. Sniffer’ın kullanımına ve güvenlik konularına bağlı olarak bir hacker, kullanıcı adlarını, şifreleri ve diğer önemli bilgileri bulmak için sniffer kullanabilir. Bir çok hacking saldırıları ve çeşitli hacking araçları hedef sistemden gönderilen önemli bilgileri elde etmek için sniffer kullanır. Bu chapter, snifferların nasıl çalıştığını ve en yaygın olan sniffer araçlarını anlatacaktır.

Not : Packet terimi, OSI modelinde layer 3 veya diğer adıyla network katmanındaki datayı ifade ederken frame, layer 2 diğer adıyla data link katmanındaki veriyi ifade eder.Frame’ler MAC adreslerini içerirken paketler IP adreslerini içerir.


Sniffing’den Etkilenen Protokoller :
Sniffer programı, sistemin MAC adresine yönlendirilmemiş paketleri yakalama mantığıyla çalışır, daha çok hedefin destination MAC adresine olan paketleri yakalar.Buna promiscuous mode denir. Daha açık bir şekilde ifade edelim, normalde network üzerindeki bir sistem sadece kendi MAC adresine gelen mesajları alır ve bunlara cevap verir. Gelen frame içindeki destination MAC adres kısmı network kartın kendisini  göstermiyorsa frame’i bırakır başka bir deyişle almaz veya düşürür (Drop yapar). Promiscuous mode’da network kartı tüm trafiği alır ve bunu sniffer’a gönderir.Yani başka network kartları için olan frame’leride alır, kabul eder. Promiscuous mode network kartında özel sürücü yazılımı ile aktif hale gelir. Bir çok hacking aracı sniffing için bir promiscuous-mode sürücüsünüde içerir ki yukarda bahsettiğimiz tüm paketleri yakakalama, kabul etme işlemini gerçekleştirebilsin.

Datayı encryptlemeyen protokoller sniffing için elverişlidir. HTTP, POP3, SNMP ve FTP gibi protokoller sniffer ile yakalanan ve kullanıcı adı ve şifre gibi değerli bilgileri toplayabilmek için hacker tarafından kullanılan en yaygın protokollerdir.

Aktif ve Pasif Sniffing :
İki çeşit sniffing vardır : pasif ve aktif. Pasif sniffing, trafiği dinlemek ve yakalamaktır ve hublar ile bağlı olan networklerde kullanışlıdır. Aktif sniffing ise ARP (Address Resolution Protocol) spoofing (Kandırma, aldatma) başlatma veya trafiği yakalamak için switch’e karşı traffic flooding (Aşırı trafik yaratma) yapılmasıdır. Adındanda anlaşıldığı gibi aktif sniffing tespit edilebilir fakat pasif sniffing tespit edilemez.

Sistemlere bağlantı için kablosuz aygıtları veya hublar kullanan networklerde tüm hostlar trafiği görebilir, bu yüzden pasif paket sniffer hublar ile bağlı olan hostlara giden trafiği ve gelen trafiği yakalayacaktır. Switch kulanılan networklerde durum farklıdır. Switch, kimin yolladığını bilmek için dataya bakar ve paketi MAC adresine göre paketi alması gereken kişiye forward eder. Switch, bünyesinde sistemin tüm MAC adreslerinin bulunduğu MAC tablosunu ve bağlı oldukları port numaralarını barındırır. Bu da switch’in network trafiğini segmentlere bölmesini ve trafiğin sadece doğru MAC adrese gönderilmesini sağlar. Bir switch, networkte aktarım yapılan veri miktarınında artış sağlar ve hublar ile bağlı olan networklere göre daha güvenlidir.

ARP Poisoning İşlemini Anlamak :
ARP protokolü networkte IP adresini MAC adresine eşleştirme işini gerçekleştirir. LAN üzerinde TCP/IP kullanan bir host başka bir host ile iletişim kurmaya çalıştığında karşı tarafın MAC adresine veya diğer adıyla donanım adresine ihtiyacı vardır. Bilgisayar iletişim kurmak istediği bilgisayarın MAC adresini bulmak için ilk olarak kendi ARP cache’ine bakar. Eğer kendi ARP cache’inde hedef için bir MAC adres girişi bulamazsa “Bu IP adrese sahip kişinin MAC adresi Nedir” içerikli bir ARP request paketini boradcast olarak networke gönderir. Eğer bu IP adresine sahip olan bilgisayar ARP request mesajını duyarsa kendi MAC adresini bulunduran bir ARP reply mesajı ile cevap verir ve iletişim TCP/IP kullanılarak başlatılır.

ARP poisoning, bir Ethernet network’e saldırı yapmak için kullanılan bir yöntemdir ve saldırgan switch kullanılan LAN üzerinde data framelerini koklayabilir veya tamamen trafiği durdurabilir. ARP Poisoning, amacın ARP mesajlarını kandırmak veya fake olarak göndermek olduğu ARP spoofing işleminden yararlanmaktır. Bu frame’ler network aygıtlarını şaşırtmak için yanlış MAC adreslerini içerir. Sonuç olarak bir makineye gitmesi için hazırlanmış olan frameler yanlışlıkla başka bir makineye (paketin yakalanıp incelenmesine olanak sağlayan) veya ulaşılamayan bir hosta (DoS saldırısı) gönderilir. ARP spoofing ayrıca, tüm trafiğin bir host vasıtasıyla yönlendirildiği man-in-the middle saldırısı ve şifreler ve diğer bilgiler için analiz edilmesi içinde kullanılır.

ARP sppofing işlemini önlemek için gateway’in MAC adresini kalıcı olarak ARP cache’e koymak gerekir. Bunu Windows sistemlerde yapmak için komut satırından ARP –s komutu kullanılır ve gateway’in IP ve MAC adresi eklenir. Bunu yapmak sistemde hackerın ARP cache üzerinde oynama yaparak ARP spoofing saldırısı gerçekleştirmesini önler fakat buda çok fazla miktarda sistemin olduğu ortamda yönetimi zorlaştırır. Büyük networklerde port tabanlı güvenliği aktif hale getirerek switchdeki her bir port için bir MAC adrese izin verilebilir.

MAC Flooding :
Switch kullanılan networkde bir paket sniffer aracı, hub kullanılan networkte olduğu gibi kolay bir şekilde paket yakalayamaz. Bunun yerine sistemden gelen veya sisteme giden trafikden birini yakalar. Switch’li networklerde tüm trafiği yakalamak için ek araçların kullanılması gerekir. Aktif sniffing işlemini gerçekleştirmek için ve sniffer çalışan sisteme switch’in trafiği yollamasını sağlamak için temek olarak iki yol vardır :
ARP spoofing ve flooding.Daha önce bahsettiğimiz gibi ARP spoofing saldırısı network gateway’in MAC adresini değiştirmek şeklinde gerçekleşir ve bu nedenlede gateway için hedeflenen tüm trafik alınmış olur. Bir hacker ayrıca switch’e işlevini yerine getiremiyecek kadar çok trafik gönderebilir (flood) ve tüm trafiği tümportlara göndermek suretiyle switch’i hub haline getirebilir. Bu aktif sniffing saldırısı sistemi, sniffer ile tüm trafiğin yakalanmasına neden olur.

DNS Spoofing Teknikleri :
DNS spoofing veya diğer adıyla DNS poisoning, DNS server’ı gerçek (doğru) bilgiyi aldığına inandırarak kandırmaktır. Bir kez DNS server aldatıldığında bilgi genelde bir süreliğine cache’lenir, server kullanıcılarına yapılan saldırının etkisi genişler. Bir kullanıcı belli bir web sitesinin URL yolunu talep ettiğinde, adresin ilişkili IP adresini bulmak için DNS servera bakılır. Eğer DNS serverda sorun var ise kullanıcı, istediği adres yerine başka bir fake adrese yönlendirilir.

DNS saldırısı gerçekleştirmek için, saldırgan DNS server’ın yanlış bilgiyi kabul edeceği,DNS server yazılımı içindeki bir hatadan faydalanır. Eğer server DNS cevaplarının yetkili kaynaktan geldiğini doğrulamazsa DNS server yanlış bilgiyi local olarak cache’lemiş olacak ve bu bilgileride daha sonra istekde bulunacak olan kullanıcılara verecektir.

Bu teknik bir takım kurbanlar için belirlenen gelişigüzel içeriği, saldırganın seçtiği içerik ile değiştirir. Örneğin, saldırgan DNS server üzerinde hedef web sitesinin adreslerini hacker’ın kontrolünde olan server’ın IP adresleri ile değiştirir. Hacker daha sonra hedef sistemdeki isimler ile eşleşen serverdaki dosyalar için fake girişler yaratır.

Etkilenmiş olan DNS serverdan referansı alan bilgisayar kullanıcısı, isteğinin hedef serverdan geldiğini düşünerek kandırılmış olur ve farkında olmadan tehlikeli içeriği indirir.

DNS spoofing teknikleri :
Intranet spoofing : Aynı internal networkteki bir aygıt olarak davranır.
Internet spoofing : İnternetteki bir aygıt olarak davranır.
Proxy Server DNS poisoning : Bir proxy server üzerindeki DNS girişleri değiştirilerek kullanıcılar farklı bir hosta yönlendirilir.
DNS cache poisoning : Herhangi bir sistem üzerindeki DNS girişleri modifiye edilir böylece kullanıcılar farklı bir sisteme yönlendirilir.

Sniffing’e Karşı Önlemler :
Network üzerinde sniffing’e karşı en iyi savunma önlemi encryption yapmaktır.Bununla birlikte encryption sniffing’i önleyemeyebilir. Sniffing saldırısı sırasında yakalanan veriyi kullanışsız hale getirir ve hacker bilgiyi yorumlayamaz. AES, RC4 veya RC 5 gibi enryption yöntemleri VPN teknolojilerinde faydalanılır ve sniffing’e  karşı kullanılan en yaygın yöntemlerdir.

Hiç yorum yok:

Yorum Gönder