IPS/IDS Atlatma Saldırıları

IPS/IDS Atlatma Saldırıları

1.1.1. Tanımlamalar

IDS (Intrusion Detection System)

Tehdit Tespit sistemi bir ağ cihazına gelebilecek yetkisiz girişleri ve atak vektörlerini tespit etmeyi sağlayan sistemlerdir. Tespit ve loglama gerçekleştirir.

IPS (Intrusion Prevention System)

Tehdit Önleme Sistemi bir ağ cihazına gelebilecek yetkisiz girişleri ve atak vektörlerini engellemeyi sağlayan sistemlerdir.

IPS ve IDS arasındaki fark ise,

IDS, atağı sadece görüntüler.

IPS, atağı görüntüler ve engeller.

1.1.2. Ids/Ips atlatma teknikleri:

Parçalama Saldırısı (Fragmentation Attack):

MTU(maximum transmission unit) ağa girecek maksimum kapasitedir. Ethernet ağlarında bu değer 1500 bayttır. Gönderilen paket ethernet ağındaki yönlendiriciye (router’) geldiğinde 1800 bayt ise 1500 olan kısmı parçalanır ve kalan 300 bayt ile tekrar birleştirilerek alınır.

Paket parçalalama teknikleri:

  • fragroute aracıyla IDS atlatılabilmektedir.
  • Fragroute linux işletim sisteminde kullanılabilmektedir.
  • Gerekli ayarları yapmadan fragroute kullanılamaz.

Fragroute aracı Kullanımı:

apt-get install fragroute komutu ile yüklenir

yönetici (root) yetkisi elde edildikten sonra;

komutu girilir:

echo “0″ > /proc/sys/net/ipv4/conf/all/rp_filter

fragroute programı çalıştırılır:

fragroute -f /etc/fragroute.conf hedefip

ngrep paket yakalama programı çalıştırılır:

ngrep -d any -q -i -q ‘/etc/passwd’

telnet ile örnek komut girilir:

telnet hedefsite.com 80

GET /etc/passwd HTTP/ 1.0

fragroute aktifken yani paket parçalama işlemi olunca ngrep bu isteği yakalayamaz.

rp_filter aktifken ve fragroute pasif olduğunda ise istek ngrep tarafından rahatça yakalanır.

Şekil 2‑34 Bloklanan Siteye Giriş

Engellenmiş web sitelerine ulaşmak için kullanılabilecek yöntemlerden birisi adres yerine web sitesinin ip numarasını kullanmaktır. Yine benzer şekilde engellemesi yapılmış web sitelerine ulaşmak için alt alan adları kullanılabilir.

Örnek: twitter.com kapandığında mobile.twitter.com adresi kullanılarak siteye girmek mümkündü. [30]

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir