Dinleme (Sniffing)

1. Dinleme (Sniffing)

Dinleme (Sniffing), dinleme araçları kullanarak ağdan geçen tüm veri paketlerini yakalayıp izleme sürecidir. Aynı fiziksel lokasyondaki herhangi biri ethernet kablo kullanarak ağa bağlanabilir. Bununla DNS, e-posta, web, syslog trafiği, sohbet (chat) oturumları, telnet, ftp parolaları ve router yapılandırması ele geçirilebilir. Dinleyici (sniffer), iletilen tüm veriyi dinlemek için bir sistemin NIC’ini seçici olmayan (promiscuous) moda çevirir.  [20]

 

Dinleyici (Sniffing) Çeşitleri:

Pasif Dinleyici (Sniffing): bir bağlantı noktası aracılığıyla, trafiğin tüm portlara gönderildiği bir bağlantı noktası üstünden dinleme yapmaktır. Ek veri paketleri göndermeden başkaları tarafından gönderilen paketleri izler. Günümüzde bağlantı noktası (hub) kullanılmaz. Yeni ağlarda yönlendirici (switch) tercih edilir.

 

Aktif Dinleyici (Sniffing): Yönlendirici (switch)tabanlı ağı dinlemektir. Yönlendiricinin (switch) CAM’ini (Content Addressable Memory/İçerik Adreslenebilir Bellek) basmak için ağa ARP enjekte eder –CAM hostun bağlı olduğu portun izini tutar-. Aktif Sniffing Teknikleri, MAC Flooding (Basma), DNS Poisoning (Zehirleme), ARP Poisoning, DHCP Saldırıları, Switch Portu Çalma (Stealing), Kandırma (Spoofing) Saldırısıdır.

 

Dinleyici (Sniffing) Kullanarak Ağ Hackleme: Saldırgan dizüstünü yönlendirici (switch) portuna bağlar. Ağ topolojisini öğrenmek için keşif araçlarını çalıştırır. Saldıracağı kurbanı belirler. ARP sızdırma (spoofing) teknikleri kullanarak kurbanı zehirler. Kurbana gönderilen trafik saldırgana yeniden yönlendirilir. İstilacı yönlendirilmiş trafikten gizli veri ve parolaları alır.

 

Dinleyici (Sniffing) Zafiyeti Olan Protokoller:

• HTTP (Clear Text gönderilen veri),
• Telnet ve Rlogin (Kullanıcı adı ve parolaları içeren keystrokelar),
• POP (Clear Text gönderilen veri ve parolalar),
• IMAP (Clear Text gönderilen veri ve parolalar),
• SMTP ve NNTP (Clear Text gönderilen veri ve parolalar),
• FTP (Clear Text gönderilen veri ve parolalar).

 

OSI Modelindeki Veri Bağlantısı Katmanını Dinleme: Dinleyici (Sniffing) veri iletişimi katmanını dinlerse ederse üst OSI katmanları bunu fark etmez.

 

Donanım Protokol Analyzer: Kablo tarafında trafik değiştirmeden sinyalleri yakalayan bir donanımdır. Ağa kurulmuş yazılım hacklenerek oluşturulmuş kötücül ağ trafiğini belirleyebilir ve ağ kullanımını izleyebilir. Önceden belirlenmiş kurallara göre veri paketini yakalayıp çözer ve içeriğini inceler. Saldırgan kablodan geçen her paketin veri bytelarını görür. Keysight, RADCOM, FLUKE kullanılan donanımlardır.

 

SPAN Port: Yönlendiriciden (switch) geçen her paketin kopyasını almak için yapılandırılmış bir porttur. Saldırgan SPAN Port’a bağlandığında tüm ağla anlaşabilir.

 

Telekulak (Wiretapping): Hatta Girme, üç parti ile internet ve telefon sohbetini izleme sürecidir. Saldırgan internetteki hostlar veya iki telefon arasında bilgi taşıyan devreyi dinleyen cihaza (donanım, yazılım, ikisinin birleşimi) bağlanır. İletim sistemindeki veri akışının içerdiği bilgi izlenip ele geçirilir, erişilip kaydedilir.

 

Aktif Telekulak (Wiretapping) (Hatta Girme): Trafik veya iletimi izler, değiştirir, kaydeder, bir şey enjekte eder.

Pasif Telekulak; Trafiği izleyip kaydeder ve veri bilgisi elde eder. Çoğu ülkede ceza gerektiren bir suçtur. PRISM (Planning Tool for Resource Integration, Synchronization and Management/Kaynak Entegrasyonu, Senkronizasyonu ve Yönetimi için Planlama Aracı) Amerikan sunucularından geçen dış istihbaratı (foreign intelligence) işlemden geçirip (process) toplamak için tasarlanmış bir veri aracıdır. NSA (National Security Agency/Ulusal Güvenlik Teşkilatı) Amerika sunucularında tutulan veya yönlendirilen büyük miktardaki dış internet trafiğini wiretapler (hatta girmek).

 

Yasal Ele Geçirme (Interception): Haberleşmeler, VoIP, veri ve çoklu servis ağlarını izlemek için iki uç nokta arasındaki veri iletimini yasal olarak ele geçirmektir.

 

1.1. Mac saldırıları

Her yönlendirici (switch) sabit boyutlu hareketli (dynamic) bir MAC tablosuna sahiptir. MAC Tablosu:

Şekil 2‑7 Mac Adres Tablosu

MAC tablosu dolar dolmaz ek ARP talep trafiği yönlendiricinin (switch) tüm portlarından basılır (flood). Bu, öğrenme modunu (learning mode) resetlemek için yönlendiricinin (switch) davranışını değiştirecektir –bir bağlantı noktası (hub) gibi tüm portlarından yayın yapar-. Bu saldırı komşu (adjacent) switchlerin de MAC tablolarını doldurur.

 

MAC Flooding

Sahte MAC adresleri ve IP çiftiyle MAC tablosu dolana kadar baskın (flood) yapmaktır. Sonra da Yönlendirici (switch), ağdaki tüm makinelere paketleri yayın ederek bir bağlantı noktası (hub) gibi davranıp saldırganın trafiği kolayca dinlemesine sebep olur. macof; rastgele kaynak mac ve ip adresleri yollar. macof –i interface komutuyla yapılır.

 

Dönüştürücü Girişi Çalma (Switch Port Stealing)

Paketleri dinlemek için MAC baskını (flooding) kullanır. Saldırgan yönlendiriciye (switch) hedef mac adresi kendi, kaynak mac adresi kurbanın olan sahte ARP paketleri basar. Saldırganın bastığı paketler ve kurbanın paketleri aynı anda yönlendiriciye (switch) ulaşmaya çalışacaktır bu yüzden switch, devamlı olarak iki farklı port arasına bağlanan (bind) mac adresini değiştirmek zorunda kalır. Bu durumda saldırgan yeterince hızlıysa istenilen kurban paketlerini kendi switch portuna yönlendirebilir. Saldırgan artık kurbanın switch portunu çalmayı başarıp çalınmış porta kurbanın IP adresini öğrenmek için ARP talebi yollar.

 

MAC Saldırılarından Korunma Yolları: Cisco Yönlendiriciye (switch);

switchport port-security,

switchport port-security maximum 1 vlan access,

switchport port-security violation restrict,

switchport port-security aging time 2,

switchport port-security aging type inactivity,

snmp-server enable traps port-security trap-rate 5

Komutları girilir. Port güvenliği, iç trafiği sadece seçilmiş MAC adreslerinden gelenlerle sınırlandırıp MAC baskını saldırısını kısıtlar.

 

1.1.2. DHCP Saldırıları

DHCP sunucular geçerli TCP/IP yapılandırma parametreleri, IP adresleri ve sunucudan teklif edilen kiralama süresi (duration of lease) gibi veri tabanındaki TCP/IP yapılandırma bilgisini yollar. İstemci, DHCP yapılandırma bilgisini isteyen DHCPDISCOVER/SOLICIT talebi yayın eder (broadcast). DHCP yanıtı aracı (agent) istemci talebini yakalayıp ağdaki DHCP sunuculara gönderir (unicast). DHCP sunucu kendinin ve istemcinin MAC adresini içeren DHCPOFFER/ADVERTISE gönderir (unicast). Relay (aktarma) aracı istemci subnetindeki DHCPOFFER/ADVERTISE’ı yayın eder (broadcast). İstemci, DHCP sunucudan DHCP yapılandırma bilgisini sağlamasını isteyen DHCPREQUEST/REQUEST yayın eder (broadcast). DHCP sunucu IP yapılandırmasını (config) ve bilgisini içeren DHCPACK/REPLY mesajını istemciye gönderir (unicast).

 

DHCPv4 Mesajı	DHCPv6 Mesajı	Tanım
DHCPDiscover	Solicit	İstemcinin DHCP sunucuları tespit etmek için yaptığı yayın (broadcast).
DHCPOffer	Advertise	Sunucunun, istemcinin yapılandırma parametreleri teklifi içeren DHCPDISCOVER’ına yanıtı.
DHCPRequest	Request, Confirm, Renew, Rebind	Sunucudan teklif edilmiş parametreleri, dağıtılmış adresin doğruluğu onayını ya da kira süresinin uzatılmasını talep eden istemci mesajı.
DHCPAck	Reply	Sunucudan istemciye gönderilen verilmiş ağ adresini içeren yapılandırma parametreleri mesajı.
DHCPRelease	Release	İstemcinin sunucuya ağ adresini bırakıp kalan kirayı iptal ettiğini bildirdiği mesaj.
DHCPDecline	Decline	İstemcinin sunucuya ağ adresinin zaten kullanımda olduğunu bildirdiği mesaj.
	Reconfigure	Sunucu istemciye yeni veya güncellenmiş yapılandırma ayarları olduğunu bildirdikten sonra istemcinin bilgi güncellemesi almak için yolladığı bir renew (yenileme)/reply (yanıt) ya da information-request (bilgi talebi)/reply transaction (işlem yanıtı) mesajı.
DHCPInform	Information Request	İstemcinin sunucudan sadece yerel yapılandırma parametrelerini istediği mesaj –istemci zaten harici yapılandırılmış ağ adresine sahip-.
	Relay-Forward	Relay agent’ın (aktarma aracı) doğrudan ya da başka bir relay agent aracılığıyla sunuculara mesajları aktarmak (relay) için yolladığı mesaj.
	Relay-Reply	Sunucunun, relay agent’ın (aktarma aracı) istemciye ilettiği bir mesajı içeren relay agent’a gönderdiği mesaj.
DHCPNAK		Sunucunun, istemcinin ağ adres bilgisinin yanlış olduğunu belirten mesajı.

Çizelge 2‑3 DHCP Mesaj Tanımları

 

IPv4 DHCP Paket Formatı:

Şekil 2‑8DHCP Paket Formatı

 

DHCP Starvation (Açlığı)

Saldırganın sahte DHCP taleplerini yayın edip (broadcast) DHCP alanındaki mevcut DHCP adreslerinin hepsini kiralamaya (lease) çalıştığı DHCP sunucular üzerindeki DoS saldırısıdır. Sonuç olarak kullanıcı DHCP aracılığıyla talep edilmiş IP adresini yenileyemez ya da alamaz. Dhcpstarv, Yersinia bunun için kullanılan araçlardır.

 

Rogue (Sahte) DHCP Sunucu Saldırısı

Saldırgan ağda sahte DHCP sunucu ayarlar ve sahte IP adresleriyle DHCP taleplerine cevap verir böylece ağ erişimi sağlanır. DHCP Starvation ile beraber çalışır. Saldırgan gerçek DHCP sunucudan kullanıcıyı indirdikten sonra ona ayarladığı TCP/IP’yi yollar.

 

DHCP Açlığı ve Sahte Sunucu Saldırısından Korunma Yolları:

DHCP starvation için port security kullanılmalıdır. Yönlendiricinin (switch) uç portlarındaki MAC sınırı, limit dolar dolmaz fazla gelen MAC paketlerini düşürecek (drop) şekilde yapılandırılmalıdır. switchport port-security, switchport port-security maximum 1, switchport port-security violation restrict, switchport port-security aging time 2, switchport port-security aging type inactivity şeklinde yapılandırma yapılır. DHCP snooping (izleme), güvenilen (trusted) portan gelen DHCP işlemini kabul edecek şekilde etkinleştirilmelidir. ip dhcp snooping vlan vlan veya araya virgül koyarak vlanlar komutuyla snop edilecek VLANlar seçilir. no ip dhcp snooping information option komutuyla bazı DHCP seçeneklerine izin verilir. ip dhcp snooping ile de DHCP snooping açılır. Untrusted portlarda Option 82’ye (information) izin verilmelidir (ip dhcp snooping information option allow-untrusted). Ne kadar discover paketi geleceğine dair limit rate de ayarlanmalıdır.

 

1.1.3. Arp zehirlemesi

ARP (Address Resolution Protocol/Adres Çözümle Protokolü), IP adreslerini MAC adreslerine çözümler. Bir makine diğeriyle iletim kurarken ARP tablosuna bakar. MAC adresi tabloda yoksa ARP_REQUEST tüm ağa yayın edilir (broadcast).  Ağda iletim yapan tüm cihazlar diğer makinelerin MAC adreslerini öğrenmek için ARP sorguları yayın ederler. [21]

 

ARP Sızdırma (Spoofing) Saldırısı

ARP paketleri saldırgana veri yollamak için sahte olabilirler. Yönlendiriciye (switch) aşırı yükleme yapmak (overload) için birçok sahte ARP talep ve yanıt paketleri oluşturulur. ARP tablosu sızdırılmış ARP yanıtlarıyla baskılandıktan sonra switch forwarding (iletme) moduna geçer ve saldırgan ağdaki tüm paketleri dinleyebilir. Hedef bilgisayarın ARP cache’ine (önbellek) sahte girdiler –zehirleme olarak bilinen- flood edilir. XArp, ARP saldırılarını belirleyip özel verileri tutar. ARP saldırıları için tüm subnetleri izlemeni sağlar.

 

ARP Zehirlemesi Tehditleri:

• Paket Dinleme (Sniffing),
• Oturum Ele Geçirme (Hijacking),
• VoIP Araması Dinleme (Call Tapping),
• Veri Manipüle Etme,
• Ortadaki Adam (Man-in-the Middle) Saldırısı,
• Veri Ele Geçirme (Data Interception),
• Bağlantı Ele Geçirme (Connection Hijacking),
• Bağlantı Resetleme (Resetting),
• Parolaları Çalma,
• Hizmet Aksatma (Denial-of-Service/DoS) Saldırısı.

 

Cain & Abel, aynı zamanda çok hostun IP trafiğini ele geçirerek switch edilen LANlardaki çeşitli protokol paketlerini dinler. WinArpAttacker, mümkün olduğunca hızlı bir şekilde hedef bilgisayarlara çakışan IP paketleri yollar ve tüm iletimi yönlendirir. Ufasoft Snif ağdaki parolaları ve e-postaları dinleyip Wi-Fi ağda da çalışan bir otomatik ARP zehirleme aracıdır.

 

ARP Zehirlenmesi’nden (Poisoning) Korunma Yolları: DHCP tablosu kullanarak Dynamic ARP Inspection (Hareketli ARP Kontrolü) yapılmalıdır. IP DHCP snooping, ip DHCP snooping vlan vlan id, ^Z, ip arp inspection vlan snooping’teki vlan id, ^Z komutlarıyla yapılır. Önyüzdeki ARP’ın verisi tablosunda olup olmadığına bakmak için MAC ve IP alanlarını kontrol eder, yoksa trafik engellenir.

 

1.1.4. Kandırma (spoofing) saldırısı

MAC Kopyalama (Spoofing/Duplicating) à Aktif olarak bir yönlendirici (switch) portuna bağlı istemcilerin MAC adresleri için ağı dinleyip o adreslerden birini yeniden kullanarak yapılır. Ağdaki trafiğini dinleyerek kötücül bir kullanıcı gönderilen tüm trafiği almak için ağdaki kullanıcının MAC adresini ele geçirip kullanabilir. Bu saldırıyla ağa erişim sağlanıp ağdaki birinin kimliği ele geçirilir.

 

Teknikleri:

Windows 8 için, 1. Yöntem;

Ağ Arayüz Kartı (Network Interface Card/NIC) MAC adres kopyalamayı destekliyorsa sırasıyla şu adımlar izlenir: Control Panel à Network and Internet à Networking and Sharing Center à Ethernet à Ethernet status penceresindeki Properties à Configure à Advanced à Propery altındaki Network Address taranır ve üstüne tıklanır à Sağda Value altına atamak istediğin yeni MAC adresini girersin (- gibi arada işaretler kullanmadan) à CMD’ye değişiklikleri doğrulamak için ipconfig/all veya net config rdr yazılır à Değişiklikler tamamsa sistem yeniden ön yüklenir (reboot).

 

2. Yöntem; Start à Run à regedt32 à HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Class\{4d36e972-e325-11ce-bfc1-08002be10318} ve genişletmek için iki kere tıkla à Ağ kartlarını (network adapter) temsil eden dört haneli alt anahtarlar bulunur (0000, 0001, 0002 vb. başlayan) à İstenen interface’i bulmak için uygun “DriverDesc” anahtarı aranır à Yeni MAC adresi almak için “NetworkAddress” (veri tipi “REG_SZ”) string anahtarı eklenir veya düzeltilir (edit). değişmiş ağ kartı devre dışı bırakılıp yeniden etkinleştirilir veya sistem yeniden ön yüklenir. SMAC, Windows’taki herhangi NIC için MAC adresi değiştirmeyi sağlayan bir MAC Adres değiştiricisidir (MAC Address Changer/Spoofer – Kandıran). Yeni bir MAC adresini otomatik olarak aktif edip değiştirir. MAC adresi üreticisini gösterir. Rastgele veya seçilmiş üretici tabanlı yeni MAC adresi üretir.

 

IRDP Sızdırma (Spoofing)

ICMP Router Discovery Protocol (ICMP Router Keşif Protokolü), router ilanını ve ağdaki mesaj talebini dinleyerek subnetteki aktif routerların ip adreslerini keşfetmeyi sağlayan bir yönlendirme (routing) protokolüdür. Saldırgan alt ağdaki (subnet) sunucuda sızdırılmış (spoof) IRDP yönlendirici (router) ilanı mesajını yollar –saldırganın seçtiği varsayılan yönlendirici (router) ile değiştirerek-. Bu saldırı paketlerdeki değerli bilgiyi toplayıp trafiği dinlemeyi sağlar. Saldırganlar MITM, DoS ve pasif dinleme saldırıları (passive sniffing attacks) başlatmak için IRDP Sızdırmayı (spoof) kullanabilirler.

 

MAC Spoofing’e Karşı Savunma Yolları:

DHCP Snooping Binding Tablosu, Dynamic ARP Inspection, IP Source Guard (IP Kaynağı Koruması) kullanılmalıdır. Dinamik olarak yapılacaksa ip verify source vlan dhcp-snooping, statik olarak yapılacaksa ip source binding mac adres vlan vlan id ip adres interface interface komutları kullanılır. Arayüzdeki trafiğin veri tablosunda olup olmadığına bakmak için MAC ve IP alanları kontrol eder yoksa trafik engellenir.

 

1.1.5. Dns zehirlemesi

DNS sunucuyu gerçek bilgiyi aldığına dair kandırmaktır. Web adreslerini sayısal IP adreslerine dönüştüren DNS seviyesinde sahte IP adresleri yer alır. Saldırgan kontrol ettiği sunucunun IP adresiyle verilen DNS sunucudaki hedef sitenin IP adres girdilerini değiştirir. Saldırgan sunucu için hedef sunucudakiyle aynı isme sahip taklit DNS girdileri oluşturabilir.

 

İç Ağ (Intranet) DNS Sızdırması (Spoofing)

LAN’a bağlı olup paketleri dinleyebilen kişi bu tekniği kullanabilir hale gelmiştir. Router üzerinde ARP zehirlemesi kullanarak çalışır.

Şekil 2‑9 Örnek ARP Zehirlemesi

 

İnternet DNS Sızdırması (Spoofing)

Saldırgan hedefe Trojan bulaştırıp DNS IP adresini kendisininkiyle değiştirir.

 

Vekil Sunucu (Proxy) Sunucu DNS Sızdırması (Spoofing)

Saldırgan, kendisininkiyle hedefin Vekil Sunucu (Proxy) sunucu ayarlarını değiştirmek için Trojan yollar ve hedefi taklit olan web sitesine yönlendirir.

 

DNS Cache (Önbellek) Sızdırması (Spoofing)

DNS çözücülere (resolver) sahte DNS kayıtları eklemek veya değiştirmektir böylece DNS sorgusu kötücül siteye yönlendirilir. DNS çözücü, yetkili kaynaktan gelmiş olan DNS yanıtlarını onaylayamazsa (validate), yerel olarak yanlış girdiler önbelleğe alınıp (cache) aynı talebi yapan kullanıcılara gönderilir.

 

DNS Sızdırması (Spoofing) Karşı Korunma Yolları:

Tüm DNS sorgularını yerel DNS sunucuya çözdürmek, DNS taleplerinin harici sunuculara gitmesini engellemek, Harici DNS Araması (lookup) sınırlandırması için güvenlik duvarını yapılandırmak, IDS çalıştırıp doğru şekilde kullanmak, DNSSEC uygulamak, Giden her sorguda rastgele yeni bir kaynak portu kullanmak için DNS çözücü yapılandırmak, DNS Yineleme (Recursing) Servisini yetkili kullanıcılar için tamamen ya da kısmen sınırlandırmak, DNS Mevcut Olmayan (Non-Existent) Domain (NXDOMAIN) Hız Sınırlayıcı (Rate Limiting) kullanmak, İç makinelerin güvenliğini sağlamak.

 

1.1.6. Koklama araçları (sniffing tool)

Wireshark

Bilgisayar ağında çalışan trafiği tarayıp yakalar. Paketleri yakalamak için Winpcap kullanır bu yüzden Winpcap tarafından desteklenen ağlardaki paketleri yakalayabilir. Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB Token Ring (USB Anahtar Halka), Frame Relay, FDDI ağlardaki trafiği yakalar. Yakalanan dosyalar komut satırı aracılığıyla programlanabilir şekilde düzenlenebilir. Görüntü filtreleri yakalanmış dosyalardaki paketlerin görünüşünü değiştirmek için kullanılır. Protokol ile Görüntü Filtreleme; Filtre içine protokol yazılır (arp, http, tcp, udp, dns, ip),

Özel Portları İzleme; tcp.port==23, ip.addr==192.168.1.100 machine, ip.addr==192.168.1.100 && tcp.port =23, Çok IP Adresiyle Filtreleme; ip.addr == 10.0.0.4 or ip.addr == 10.0.0.5, IP adresiyle Filtreleme; ip.addr == 10.0.0.4, Diğer Filtreler; ip.dst == 10.0.1.50 && frame.pkt_len > 400, ip.addr == 10.0.1.12 && icmp && frame.number > 15 && frame.number < 30, ip.src==205.153.63.30 or ip.dst==205.153.63.30. Ek Filtreler; tcp.flags.reset==1 (tüm TCP resetlerini görüntüler), udp contains 33 : 27 : 58 (herhangi sapmadaki (offset) 0x33 0x27 0x58 HEX değerleri için filtre ayarlar), http.request (tüm HTTP GET taleplerini gösterir), tcp.analysis. retransmission (İşaretteki tüm yeniden iletimleri gösterir), tcp contains traffic (‘traffic’ kelimesini içeren tüm TCP paketlerini gösterir), ! (arp or icmp or dns) (arp, icmp, dns veya diğer protokolleri gizler ve ilgilendiğin trafiklerini görmeni sağlar).

 

SteelCentralPacket Analyzer

Yüksek hızda paket analizi için grafiksel konsol sağlar.

 

Tcpdump

Linux’ta çalışan interface paket dinleme komut satırıdır. tcpdump –i ethernet komutuyla kullanılır.

 

Windump

Windows’ta çalışan interface paket dinleme komut satırıdır.

 

Capsa Network Analyzer

Ağdaki iletilmiş tüm veriyi yakalar ve grafik ile sezgisel şekilde istatistik analizini sağlar.

 

OmniPeek Network Analyzer

Yakalanmış paketlerin genel (public) IP adreslerinin yerini gösteren OmniPeek yakalama penceresinde (capture window) Google Map’i gösterir. Gerçek zamanlı olarak ağı izlemek için harika bir yöntemdir. Dünyadan gelen trafiği gösterir.

 

Observer

Ağ trafiğinde kapsamlı bir detay ve geçmiş (back-in-time) analizi, bildirme, eğilim belirleme (trending), alarmlar, uygulama araçları ve yönlendirme (route) izleme kabiliyeti sağlar.

 

Sniff-O-Matic

Ağ protokolü analizi yapan ve ağ trafiğini yakalayan paket dinleyici bir araçtır. Veri analizi yapılmasını sağlar.

 

Colasoft Packet Builder

Şablonlardan birini seçmene izin verir: Ethernet Paketi, ARP Paketi, IP Paketi, TCP Paketi, UDP paketi. Şifre çözücü (decoder) düzenleyici (editor), on altılı (hexadecimal) düzenleyici veya ASCII düzenleyici içindeki parametreleri bir paket yaratmak için değiştirir.

 

RSA NetWitness Investigator

Herhangi bir var olan ağ bilgisi toplama araçlarından (network collection devices) canlı trafiği yakalayıp paket dosyalarını işlemden geçirir.

 

Koklayıcılara (Sniffing)’e Karşı Önlemler

1. Paket dinleyici (sniffer) kurulmamasından emin olmak için ağ ortamına fiziksel erişimi sınırlandırmak
2. Gizli bilgiyi korumak için şifreleme kullanmak
3. Kalıcı olarak ARP önbelleğine ağ geçidinin (gateway) MAC adresini eklemek
4. Ağdaki makinelere spoof edilmiş ARP girdileri eklenmesini önlemek için sabit (static) ARP tabloları ve IP adresleri kullanmak
5. Ağ yayın (broadcast) tanımasını kapatıp (identification broadcasts) mümkünse ağı sniffing araçlarıyla keşfedilmekten korumak için yetkili kullanıcıların ağa erişimini sınırlandırmak
6. IPv4 protokolü yerine IPv6 kullanmak
7. Kablosuz ağ kullanıcılarını sniffing saldırılarına karşı korumak için Telnet yerine SSH, FTP yerine SCP (Secure Copy Protocol/Güvenli Kopyalama Protokolü), e-posta bağlantısı için SSL vb. gibi şifrelenmiş oturumlar kullanmak
8. Kullanıcı adları ve parolaları korumak için HTTP yerine HTTPS kullanmak
9. Verinin sadece istenen alıcıya iletilmesi için bağlantı noktası (hub) yerine yönlendirici (switch) kullanmak
10. Dosyaların iletim güvenliği için FTP yerine SFTP (S=Secure / Güvenli) kullanmak
11. Tek kullanımlık parolalar (One-time passwords/OTP) ve Secure Shell (SSH), SSL/TLS, IPSec, VPN, S/MIME (Secure Multipurpose Internet Mail Extensions/Çok amaçlı İnternet Posta Eklentileri; E-posta uygulamaları aracılığıyla gönderilecek olan iletiye çeşitli türdeki içeriği eklemek için kullanılan bir İnternet standartıdır) ve PGP (Pretty Good Privacy/Çok İyi Gizlilik; Doğru bir şekilde kullanıldığında gönderdiğiniz mesajların, metinlerin ve hatta dosyaların içeriğinin, sağlam bütçeli devlet gözetim programları tarafından dahi okunmasını engelleyebilir) kullanmak
12. Her zaman kablosuz trafiği WPA ve WPA2 gibi güçlü şifreleme protokolüyle şifrelemek
13. MAC’i işletim sistemi yerine NIC’ten doğrudan almak –bu MAC Spoofing’i önler-
14. NIClerin promiscuous (seçici olmayan) modda çalışıp çalışmadığını görmek için araçlar kullanmak

 

Sniffing Belirleme Teknikleri

Sniffing Belirleme;

Karışık (Promiscuous) Mod: Makineler bu modda çalışıyorken kontrol edilmelidir. Bu mod bir ağ cihazının ağ paketinin tümünü ele geçirip okumasına izin verir.

IDS: Bunu çalıştırıp belli makinelerin MAC adresinin değişip değişmediğine bakılır. Şüpheli eylemlerde alarm verebilir (alert).

Ağ Araçları: Tuhaf paketleri ağda izlemek için Capsa Network Analyzer gibi ağ araçları çalıştırılır. Farklı ağ kaynakları ve teknolojileri üzerinden veri trafiğini toplayıp, sağlamlaştırıp, analiz etmeyi sağlar.

 

Teknikleri:

Ping Yöntemi à IP adresiyle ve yanlış MAC adresiyle şüpheli makineye ping talebi yollanır. Mac adresi eşleşmediğinden ethernet kartı bunu reddeder oysa farklı MAC adresli paketi reddetmediğinden sniffer olarak çalışan şüpheli makine buna yanıt verir.

Şekil 2‑10 Ping/Mac Adres Eşleşmesi

ARP Yöntemi à Sadece karışık modundaki bir makine ARP bilgisini önbelleğe alır. Karışık modundaki makine önbelleğindeki ping talebini gönderen hostla ilgili doğru bilgiye sahip olduğundan ping mesajına cevap verir. Bunun dışındaki makineler ping talebinin kaynağını belirlemek için ARP araştırma (probe) gönderirler.

Şekil 2‑11 ARP / Mac Adres Eşleşmesi

DNS Yöntemi à Çoğu koklayıcı IP adresinde makineyi belirlemek için ters DNS araması (reverse DNS lookup) yapar. Ters DNS araması trafiği yaratan makine yüksek ihtimalle bir sniffer çalıştırıyordur.

 

PromqryUI Promiscuous belirleme aracıdır. Nmap, promiscuous moddaki ağ kartına sahip yerel bir ethernette hedef olup olmadığını kontrol eder.

nmap –script=sniffer-detect hedef ip adresi, ip adres aralığı komutuyla kullanılır.

 

1.1.7. Dinleme (sniffing) sızma testi

Dinleme (Sniffing) için sızma testi, bir organizasyondaki veri iletimi dinleyen ve ele geçirme (interception) saldırılarına karşı güvenli mi kontrol etmek için yapılır.

 

MAC baskını saldırısı yapılır (Yersinia ve macof) à DHCP Açlığı (Starvation) saldırısı yapılır (Dhcpstarv) à Sahte (Rogue) Sunucu saldırısı yapılır (sahte DHCP server çalıştırılır) à ARP Zehirlemesi (Poisoning) yapılır (Cain and Abel, WinArpAttacker, Ufasoft Snif vb.) à MAC Sızdırması (Spoofing) yapılır (SMAC) à IRDP Sızdırması (Spoofing) yapılır (sızdırılmış IRDP yönlendirici (router) ilanı mesajları yollanır) à DNS Sızdırması (Spoofing) yapılır (arpspoof/dnsspoof gibi teknikle kullanılır) à Önbellek Zehirlemesi (Cache Poisoning) yapılır (Truva atı gönderilir) à Vekil Sunucu (Proxy) DNS Zehirlemesi yapılır (Rogue DNS çalıştırılır) à Tüm bulgular dokümante edilir.