BoAgEnTe

Ağa Düzenlenen Saldırıların Tesbitinde Izlenecek Yöntemler


Intrusion Detection Nedir?

1. Ağ ortamına bağlı bilgisayarlarda saldırganı tesbit etme.

2. Protokoller ve portlar yardımı ile kurulan bağlantılardan yararlanılır.


Kimler ağınıza saldırı düzenler?

Saldırgan Çeşitleri:

1. Dışardan Saldırı Yapan Saldırgan:Ağa direk bağlı olmadığı halde sistem üzerinde bulunan açıkları arar. Ağa internet, dial-up gibi hatlar üzerinden bağlanır.

2. İçeriden Saldırı Yapan Saldırgan:Ağa direk olarak bağlıdır. Tüm "hack" ad ı verilen olaylar ın %80 'i bu şekilde gerçekleşmektedir.



Saldırganlar ağınıza nasıl saldırı düzenlerler?

Fiziksel Saldırı:

1. Bilgisayardaki BIOS parolasını kaldırma
2. Sabit diski alıp başka bir bilgisayara takmak suretiyle verileri ele geçirme.

Sistem Saldırıları:

1. Sistemin eksik ayarlanması
2. Son çıkan güvenlik yamalarının yüklenmemiş olması
3. Eksik şifreler gibi açıkları kullanarak sistemin en yetkili kişisi olmaya yönelik düzenlenen saldırılardır.

Uzak Saldırı:

1. Sistemde hiçbir hakkı olmadığı halde (nobody, guest) ağa uzaktan herhangi bir yöntemle ulaşıp ağın en yetkili kişisi olmaya yönelik olarak yapılan saldırıdır.
2. http, e-mail vs. vs. açıklardan yararlanırlar.


Saldırgan Sisteme Nasıl Girmeye Çalışır?

1- Yazılım Problemleri
2- Sistem Konfigürasyonu
3- Parola Kırma
4- Ağı Gözetleme

1- Yazılım Problemleri:
a- Buffer Overflow:Yazılımlar programlanırken bazı problemleride beraberlerinde getirirler. Örneğin bir sistemle login olmak için programcı 255 karakter yerayırmış olabilir. Saldırgan bunun gibi problemleri genellikle "kodu açık" programları inceleyerek bulur ve login satırına 256 karakterlik giriş yapar, yazılım bu durumda olması grekenden daha farklı davranacak ve saldırgana bazı özel haklar verecektir.

b- Yazılımlar Arasında İrtibat kurmak:Yazılımlar genellikle geçişik programlar topluluğudur, gerektiğinde farklı bir rutini çağırabilirler, işte bundan yararlanmak isteyen bir saldırgan örneğin |mail > /etc/passwd gibi bir satırı kullanarak sistem şifreleri alabilecektir. (Windows ta DLL ler)

c- Düşünülmemiş Veri Girişleri:Bir yazılımda veri girişi farklı tipte yapılırsa problemler çıkabilir. Örneğin sayı girilmesi gereken bir yere saldırgan harf girerek programın çeşitli tepkiler vermesini sağlayabilir.

d- Ana Bellekte Aynı Anda Birden Çok Program Çalışması:Özellikle çok kullanıcılı işletim sistemlerinde hafızada aynı anda birden fazla işlem tutulmak zorundadır. Örneğin hem web server hem de ftp server aynı anda çalıştırılabilir.


2- Sistem Konfigürasyonu:
a- Ön Tanımlı Konfigürasyon:Pekçok yazılımın üzerinde paketlendiği şekliyle bir konfügurasyon gelmektedir. İşte bu konfigürasyonlar genel için tanımlandığından dolayı problemler çıkartabilirler.

b- Sistem Yöneticisi Dikkatsizlikleri:Bazı sistem yöneticileri yeni kurulan bir sisteme boş şifre vermek gibi hatalar yapabilmektedirler.


3- Parola Kırma:
a- Zayıf Parolalar:Bazı sistem yöneticileri ya da kullanıcılar şifre olarak boşluk, isimleri, soyadları gibi kelimeler kullanmaktadırlar, bir saldırgan bunlardan çok kolay yararlanabilir.

b- Sözlük Atakları:Çeşitli programlar yardımıyla mevcut bir sözlükten parola denemesine yönelik saldırılardır. Saldırganın gücü sözlüğün gücü kadardır.

c- Brute Force (Kaba Kuvvet) Atakları:Çeşitli programlar yardımıyla harf kombinasyonları ile parola denemesidir. Sözlük ataklarından farkı kelimeler karakter setinden türetilmektedir.


4- Ağ Trafiğini Gözetleme: (Sniffing)
a- Paylaşılmış Ortam:Aynı ağ ortamında bulunan bilgisayarların ağ trafikleri özel çaba sarfetmeksizin gözetlenebilir. bunu önlemenin yolu "switch" kullanmaktır.

b- Sunucu Gözetleme:Bir sunucu ya da yönlendirici üzerine yerleştirilecek "sniffer programı" ile tüm ağ üzerindeki veriler kolayca görüntülenebilir.


Saldırgan Ağa Girmek İçin Hangi Yöntemleri Kullanır?

Ping Sweep
PortScan
DIG
D.O.S Attack
Exploit Saldırıları


1- Ping Sweep:Ağ üzerindeki tüm bilgisayarlara ICMP veri paketi gönderilir ve bilgisayarların o an için ağa bağlı olup olmadıklarını belirlenir. Saldırgan Ağa Girmek
İçin Hangi Yöntemleri Kullanır?

2- Port Scan:Saldırgan hayatta olduğunu bildiği bir bilgisayarda hangi portların açık olduğunu anlamak için PortScan yöntemini kullanır. Bu atak tüm portlara TCP/UDP ile bağlantı kurmaya çalışır, atak yapılacak bilgisayar üzerinde hangi portların açık olduğu ve hangi daemon ların çalıştığı belirlenmiş olur. (Porter)

3- DIG:Saldırganın herhangi bir DNS (Domain Name System) sunucusuna bağlanıp o sunucudaki DNS kayıtlarının lokal kopyasını almasını sağlar. Bu atak, yapan kişiye içsel ağdaki DNS tanımlamalarını ve bilgisayarlar üzerindeki işletim sisteminin tipinin belirlenmesini sağlar.

4- D.O.S Attack:Halihazırda çalışan bir sistemi çalışmaz hale getirmeye çabalayan bir saldırganın en yoğun kullanacağı ataktır. İşletim sistemlerinin ve TCP/IP nin zayıf yönlerinden yararlanılarak geliştirilmişlerdir.


(D.O.S Çeşitleri)


SYN FLOOD
ICMP Flood
UDP Flood
Ping Of Death
Smurf


a- SYN FLOOD:Saldırgan, hedef bilgisayara senkron olmamış TCP paketleri gönderir. Sonuç olarak hedef bilgisayarda tamamlanmamış yüzlerce TCP bağlantısı kalacak ve soket çökecektir.

b- ICMP Flood:Bu da bir D.O.S atak çeşidi. Internet Control Messaging Protocol alt protokolünü kullanarak hedef bilgisayarda başka soket açılmasına izin vermeyecek şekilde atak yapma prensibine dayanır.

c- UDP Flood:UDP bağlantıdan bağımsız bir protokoldür. Saldırgan arka arkaya bombardıman şeklinde göndereceği veri paketlerine karşılık kontrol onayı beklemeyecek ve saldırı çok daha hızlı olacaktır. Bir süre sonra hedef bilgisayar kilitlenecek ve saldırı başarılı olacaktır.

d- Ping Of Death: Hedef bilgisayara ping gönderilirken paketin daha büyütülmesi ve sıklığının artırılması mantığına dayanır. Geçtiğimiz yıllarda tüm işletim sistemlerinin “buffer overflow” hatasına sebep olan bu atak yamalarla giderilmeye çalışılmıştır.

e- Smurf: Bir paket verinin broadcast IP’sine gönderilip verinin yükseltilerek daha sonra hedef bilgisayara gönderilmesi prensibine dayanır.


5-Exploit Saldırıları

CGI Script Saldırıları

WEB Server Saldırıları

WEB Browser Saldırıları

SMTP Saldırıları


a.CGI Script Saldırıları: Kullanımı kolay ve etkilidir. En çok bilinen CGI program problemleri, phf, info2www, php.cgi, count.cgi vs. dir.(Son zamanlarda showcode.asp gibi asp saldırıları.cgi scanner download bölümünden bulabilirsiniz.)

b. Web Server Saldırıları: Çeşitli işletim sistemleri üzerinde çalışan web server lerin çeşitli problemleri vardır. Örneğin "../" tekniği ile sistem kök dizinine kadar ulaşabilme, işletim sistemini öğrenme, web sunucusuna buffer overflow yaptırma gibi saldırganın deneyeceği saldırılar bu tekniğe bir örnektir.

c. Web Browser Saldırıları: Web browserlardan yararlanarak internet kullanıcılarının cookie lerini çalma, içiçe frame ya da pencereler açarak browser i çökertme gibi ataklardır. Activex, Java, Jscript saldırıları da bu saldırı çeşidine örnektir.

d. SMTP Saldırıları:Saldırgan Simple Mail Transfer protocol zaaflarından yararlanarak sistemin en yetkili kişisi olabileceği gibi anonymous mail adı verilen nereden geldiği belli olmayan mailler de atabilmektedir.


Bu Saldırılar Nasıl Tespit Edilir?

Ağa bu kadar çeşitli saldırı teknikleri varken sistem yöneticisi temelde iki tekniği kullanır, bunlar:

1- İmzayı Tanıma:Sık kullanılan yöntemdir, içeriye giren ve dışarıya çıkan veri trafiği daha önceden belirlenen “imza” larla karşılaştırılır. Eğer trafik bir atak imzası taşıyorsa trafiğe belirlenen şekilde müdahale edilir.

2- Anormalliği Tanıma:
Ağ trafiği çok arttığında
CPU yükü arttığında
Sabit diskten çok fazla ses çıktığında

problemi anlamaya yönelik saldırıyı tesbit etmeye yardımcı yöntemlerdir. İmzayı tanımaya göre daha hantal bir yöntem olmasına karşılık sık kullanılmayan yada bilinmeyen saldırıların tanınmasında daha etkili bir yöntemdir.

Devamı Gelecek


Not: Ayrıca [AlıntıdıR]

__________________
Az once dogdum
Halatım yirmi yedi bogum
Sele gitti agustosum
VASİYET etmek istedim şarkilarimi kizima,
[b][COLOR="Blue"