IPS/IDS Atlatma Saldırıları
1.1.1. Tanımlamalar
IDS (Intrusion Detection System)
Tehdit Tespit sistemi bir ağ cihazına gelebilecek yetkisiz girişleri ve atak vektörlerini tespit etmeyi sağlayan sistemlerdir. Tespit ve loglama gerçekleştirir.
IPS (Intrusion Prevention System)
Tehdit Önleme Sistemi bir ağ cihazına gelebilecek yetkisiz girişleri ve atak vektörlerini engellemeyi sağlayan sistemlerdir.
IPS ve IDS arasındaki fark ise,
IDS, atağı sadece görüntüler.
IPS, atağı görüntüler ve engeller.
1.1.2. Ids/Ips atlatma teknikleri:
Parçalama Saldırısı (Fragmentation Attack):
MTU(maximum transmission unit) ağa girecek maksimum kapasitedir. Ethernet ağlarında bu değer 1500 bayttır. Gönderilen paket ethernet ağındaki yönlendiriciye (router’) geldiğinde 1800 bayt ise 1500 olan kısmı parçalanır ve kalan 300 bayt ile tekrar birleştirilerek alınır.
Paket parçalalama teknikleri:
- fragroute aracıyla IDS atlatılabilmektedir.
- Fragroute linux işletim sisteminde kullanılabilmektedir.
- Gerekli ayarları yapmadan fragroute kullanılamaz.
Fragroute aracı Kullanımı:
apt-get install fragroute komutu ile yüklenir
yönetici (root) yetkisi elde edildikten sonra;
komutu girilir:
echo “0″ > /proc/sys/net/ipv4/conf/all/rp_filter
fragroute programı çalıştırılır:
fragroute -f /etc/fragroute.conf hedefip
ngrep paket yakalama programı çalıştırılır:
ngrep -d any -q -i -q ‘/etc/passwd’
telnet ile örnek komut girilir:
telnet hedefsite.com 80
GET /etc/passwd HTTP/ 1.0
fragroute aktifken yani paket parçalama işlemi olunca ngrep bu isteği yakalayamaz.
rp_filter aktifken ve fragroute pasif olduğunda ise istek ngrep tarafından rahatça yakalanır.
Şekil 2‑34 Bloklanan Siteye Giriş
Engellenmiş web sitelerine ulaşmak için kullanılabilecek yöntemlerden birisi adres yerine web sitesinin ip numarasını kullanmaktır. Yine benzer şekilde engellemesi yapılmış web sitelerine ulaşmak için alt alan adları kullanılabilir.
Örnek: twitter.com kapandığında mobile.twitter.com adresi kullanılarak siteye girmek mümkündü. [30]