Saldırı Çeşitleri ve Korunma Yolları

Bu başlık kilitlidir. Yeni mesajlar gönderilemez veya mevcut mesajlar düzenlenemez.
Onur OKTAY
01-02-2006, 22:33   |  #1  
OP Yıllanmış Üye
Teşekkür Sayısı: 0
169 mesaj
Kayıt Tarihi:Kayıt: Şub 2006

NUke Nedir ?


Nuke siz internete bağlıyken ISS nizce size verilen bir ip numarası yardımı ile bir başka kişinin özel programlar yardımı ile bilgisayarınıza paketler gönderilmesi ve bu paketlerin bilgisayarınıza zarar vermesidir.
Çeşitleri

OOB Nuke : (Out of Band Nuke ) Sadece Windows NT ve Windows 95’in bir bug olan OOB Nuke, işletim sistemi Windows olan bir makinenin 139. portuna (Netbios Session Port) MSG_OOB tipi bir bağlantı (connection) yapılmasıyla gerçekleşir.(Service Pack ile halledildi)

Eğer Windows 95 kullanıyorsanız sisteminize mavi ekran vererek Internet bağlantısının kopmasına, Windows NT kullanıyorsanız sistemin durmasına yol açar.

Land : Bilgisayarı kendi kendine senkronize ettirerek Winsock’un sonsuz döngüye girmesini sağlar böylece mouse’un bile hareket etmemesine yol açar.

Source IP-Source Port ve Destination IP-Destination Port’un aynı olduğu bir IP paketi land saldırısının gerçekleşmesini sağlar.

Teardrop, Boink, Nestea : Internet üzerinde gelen giden veri parçalar halinde taşınır. Daha sonra işletim sistemi tarafından birleştirilen paket parçacıkları veriyi oluşturur(Fragmentation). Çoğu sistemin duyarlı olduğu bu saldırı tipleri, bilgisayarınızın bozuk olarak bölünmüş iki paketi birleştirmeye çalışması ile gerçekleşir.

Source IP-Source Port ve Destination IP-Destination Port’un aynı olduğu bir IP paketi land saldırısının gerçekleşmesini sağlar.

Teardrop, Boink, Nestea : Internet üzerinde gelen giden veri parçalar halinde taşınır. Daha sonra işletim sistemi tarafından birleştirilen paket parçacıkları veriyi oluşturur(Fragmentation). Çoğu sistemin duyarlı olduğu bu saldırı tipleri, bilgisayarınızın bozuk olarak bölünmüş iki paketi birleştirmeye çalışması ile gerçekleşir.

Boink; teardrop saldırısının ters olarak çalışan halidir.

Nestea; teardrop saldırısının minör değişimlere uğramış halidir. Aynı zamanda teardrop ve boink saldırılarına karşı patch edilmiş Linux sistemlerinde etkilidir.

Brkill : Eğer Windows yüklü bir bilgisayara, bağlantının sonlanmasıyla oluşan PSH ACK tipi bir TCP paket gönderilirse Windows o anki son bağlantı seri numarasını gönderir. Buradan yola çıkarak hedef makinedeki her hangi bir bağlantıyı zorla kesmek mümkün olur.

ICMP Nuke : Bilgisayarlar çoğu zaman aralarındaki bağlantının sağlamlığını birbirlerine ICMP paketleri göndererek anlarlar . Bu saldırı varolan bir bağlantının arasına sanki hata varmış gibi ICMP_UNREACH paketi göndererek oluşur.

Jolt / Ssping : Windows 95 ve NT’nin yüksek boyuttaki bölünmüş ICMP paketlerini tekrar birleştirememesinden kaynaklanan bir saldırı türüdür. 65535 + 5 bytelık bir ICMP paketi göndermek bu saldırıyı gerçekleştirir.

Smurf : Networklerde Broadcast Address olarak tanımlanan ve kendine gelen mesajları bütün network’e yönlendiren makineler vardır. Eğer birisi başka biri adına o makineye ping çekerse, ağ üzerinde çalışan bütün makineler hedef olarak belirlenen makineye ping çeker. Smurf, bu işlemi yüzlerce broadcast makineye tek bir kaynak IP adresten ping çekerek saldırı haline çevirir. Bir anda bilgisayarlara onbinlerce bilgisayarın ping çektiği düşünülürse, değil bir şirketin bağlantısı, maalesef TURNET (Türkiye Internet Omurgası) çıkış gücü bile buna cevap vermeye yetmez ve bağlantılar kesilir.

Suffer3 :Suffer saldırısı karşı bilgisayara sanki binlerce farklı bilgisayardan bağlantı isteği geliyormuş gibi SYN paketleri gönderir . Bu saldırının sonunda Windows yeni bağlantılar için yeterli hafıza ayıramaz ve kalan hafızayı da bitirir. Bazı firewall türleri de böyle bir durum karşısında binlerce soru kutucuğu açarak makinenin kilitlenmesine sebep olur.
Nuke Programları

İnternet üzerinden de temin edilebilen,ve sıkça karşımıza çıkabilecek belli başlı nuke programları şöyle sıralanabilir:

Winpack 1.0 , The aggressor , Nuke v3.2, Winnuke…
Nuke’tan Nasıl Korunulur? NUKENABBER:

NukeNabber kimin size Nuke veya daha farklı yollarla saldırı düzenlediğini öğrenmeniz için tasarlanmış bir güvenlik programıdır. ISP adminlerinin bu hacker’ları belirleyip etkisiz hale getirmeleri için kolaylıklar sağlar.

Birden fazla port u kullanıma sokarak sizin birtek port ile tuzağa düşmemenizi sağlar . Böylece karşıdaki insan sizin hangi portu kullandığınızı kestirmesi çok güç olacağından yoluna oldukça önemli bir engel de koymuş olursunuz.

TCP ve UDP kullanarak yapılan saldırıları tespit etmek için 50 ye kadar port kullanılabilir. TCP ve UDP’nin yanısıra ICMP dest_unreach portlarınıda denetleyebilir.

Bir Saldırı Nasıl Rapor Edilir ?

* Saldırı amacıyla sizin portunuza bağlanan kişinin adres raporunu gözden geçirin.(Bu dosyalara view menüsünden ulaşabilirsiniz.)
* Mümkünse Admin bağlantısı için e-mailleri alın. Eğer raporlardan bir şey elde edemediyseniz, log dosyasını root@isp e gönderin
* E-mail programınızı çalıştırın.
* En son yapılan logonların listesini emailinize geçirin.
* Kısaca başınıza ne geldiğini mesaja ekleyin
* Mesaja gerçek isminizi ve yetkilinin sizinle irtibat kurabileceği bir adres veya telefon bırakmayı ihmal etmeyin.


Trojanlar ( Truva Atı)


Trojan Nedir?

Trojan bir sisteme girmek için arka kapı açan bir programdır.
Trojan Neler Yapabilir?

Trojan, internet bağlantı şifreniz dahil bilgisayarınızdaki bütün şifrelerin ele geçirilmesini sağlayabilen bir saldırı programıdır. Bilgisayarınızın sistem ayarlarıyla oynanmasını, cpu nun, monitörün ve hatta ekran kartının yakalamsını sağlayabilir. Dosyalarınız karıştırılabilir, silinebilir veya değiştirilebilir. Bilgisayarınız formatlanabilir veya restart edilebilir. Mesajlarınız okunabilir, sizin yerinize mesaj yazılabilir, aktif programların listesi çıkarılabilir…vs. Bunlar trojan programının yapabileceği şeylerin sadece birkaçı.

Başlıca bilinen trojan programları Netbus ve Backorifice dir.
BACKORIFICE :

BackOrifice ve BackOrifice2000 adı altında 2 tane sürümü vardır. Bu Trojan programı bir Microsoft Windows üzerinde kurulduğu zaman kullanıcının sistem üzerinde tam yetkili(full access) olmasını sağlar. Bu program firawall tarafından engellenebilmektedir. Henüz firewall’I aşabildiği tespit edilmemiştir.
4.3.3. Nasıl Korunulur?

* Güvenmediğiniz kişilerden exe veya com dosyaları almayınız.
* Eğer bilgisayaranızda trojan olduğundan şüpheleniyorsanız bilgisayarınızdaki giriş ve çıkışları kontrol eden firewall* gibi bir prgram kullanın ve en kısa zamanda cleaner programını çekip bilgisayarınızdaki trojanlardan kurtulun.
* Norton anti-virüs gibi, bir dosyayı çalıştırmadan kontrol eden bir anti virüs programı kullanın ki dosyalara trojan bulaşmışsa çalıştırmadan uyarı alın.
* Anti-trojan programları kullanın.

Anti-Trojan Programları:
NETBUSTER: Netbuster programı netbus(trojan) kullanıcılarına karşı sistemi koruma amaçlı bir programdır.

Netbus ile sizin bilgisayarınıza bağlanan kullanıcıları tespit edip onlardan korunmak için geliştirilmiş bir programdır. Bu program yardımıyla o anda bilgisayarınıza bağlanmış olan hackerlara mesajlar gönderebilir ve onlarla oyun oynayabilirsiniz. .Bu programın asıl amacı tam olarak bir güvenlik sağlamak değildir. Netbus kullanarak bilgisayarınızın portlarına bağlanan başka kullanıcıları o portlardan uzak tutmak amaçlıdır.
Netbuster’ in genel olarak iki kullanım amacı vardır. Birincisi bilgisayarınız da bulunabilecek trojanları temizleyerek bilgisayarınızı olası hackerlardan kurtarmak, ikincisi ise, bilgisayarınıza netbus kullanarak bağlanmaya çalışan kişilerin ip adreslerini tarihleri(gün--saat) ile birlikte kaydederek, karşıdakinin size ne yapmak istediğini ve onun bilgisayarı hakkındaki bilgileri öğrenebilirsiniz böylece sizde ona karşı bir oyun oynayabilirsiniz. Çoğu kullanıcı netbus SERVER ile Netbus Client arasındaki farkı bilemezler . ikisini birden çalıştırırlar ve farkında olmadan kendilerinede trojan bulaştırmış olurlar.Böylece sizde onun bilgisayarı üzerinde hüküm kurabilirsiniz.


NETBUSTER NASIL ÇALIŞIR?

Net buster I çalıştırdığınızda hafızanızdaki kayıtlı Netbus SERVER lerini tarar. Bulunduğu takdirde bunlar silinecektir ve program size kendiliğinden çalışan dosyaların olup olmadığını soracaktır. Eğer yoksa muhtemelen netbus server sisteminizde kayıtlı değildir ve ya tanınmayan bir versiyonudur. Aksi takdirde portlarınız netbus server’a bağlı veya kullanılıyor demektir.

Netbuster 1.31 programında VARIOUS seçeneğini kullanarak programın kullanımında değişiklik yapabilirsiniz . Mesela şekilde görüldüğü gibi, biri sizin makinanıza bağlandığında don’t disconnect seçeneği var: Bu demektir ki bir kişi bilgisayarınıza bağlandığında onu disconnect etmiycektir. Seçenekleri değiştirerek 60 saniye içinde bağlantıyı kesmesini yada bir mesaj gönderip öyle disconnect olmasını da sağlayabilirsiniz.
NETBUSTER HAKKINDA BİLGİ ALABİLECEĞİNİZ VE DOWNLOAD EDEBİLECEĞİNİZ BAZI SİTELER:

* http://surfto.netbuster.com/
* http://www.nttoolbox.com/netbus.htm
* http://www.davidm.8m.com/netbus.html
* http://www.kdrserve.com/support/netbus.html
* http://net-security.org/sw/arhatroj.htm

Saldırı türleri, bunların korunma yolları,çeşitli güvenlik programları hakkında merak ettiklerinizi http://indigo.ie/~lmf/home.htm adresinden öğrenebilirsiniz. Burada ekranın sol tarafındaki menüden hakkında bilgi edinmek istediğiniz konuyu seçin ve dilediğiniz programı download edin.


PROTECTOR PLUS:

Bilgisayarınızda bulunan trojan türü programları bularak bunları etkisiz hale getirmeye yarayan bir programdır.

Protector plus programını çalıştırdığınız da Sizin seçtiğiniz bir alanı tarayarak herhangi bir trojan bulduğunda bunu bilgisayarınız dan siler ve işlem bittiğinde de raporu size gösterir. Bu rapora göre bilgisayarınızda trojan bulunmuşsa bunları listeleyerek üzerinde yapılan işlemleri listeler.

THE AGGRESSOR

The Aggressor, ileri seviye kullanıcılar, adminler ve Internete bağlı kuruluşlar için geliştirilmiş bir network yönetim ve korunma programıdır. Türkiye’ de geliştirilen ilk firewall olma özelliğine sahip olan yazılım dünyada da benzerleri arasında oldukça iyi bir üne sahiptir. Henüz program çıkmadan bile programın Web Sitesine günlük ortalama 54.000’in üzerinde ziyaret yapılmaktaydı. Son derece modüler olan programa, Plug-in özelliği sayesinde en son yenilikleri tek bir dosya ile ekleyebilir, hatta SDK’sı aracılığı ile kendiniz modüller yazabilirsiniz, Delphi ve Visual C için plug-in desteği mevcuttur. Thread manager ve Custom Plugin Runner gibi bir çok gelişmiş fonksiyonlar ve komut satırından hoşlananlar için, Linux benzeri bir komut arabirimine sahiptir. Bu komut arabirimi (CLI) sayesinde Aggressor’ın GUI’si ile yapabildiği herşeyi komut satırları ile yapmak mümkündür.Crashguard özelliği sayesinde herhangi bir koşulda oluşabilecek software hatalarını internal olarak düzeltip çalışmasını aksatmadan devam ettirebilmek özellikleri arasındadır!


Exploit’ler Giriş


Exploitler genelde sistem tabanlı olarak çalışırlar yani Unix’e ait bir exploit Windows için çalışmaz. Bu güne kadar bulunan yaklaşık olarak 1000’in üzerinde exploit vardır.

Windows Null Session Exploit : Windows işletim sistemi, dışarıdaki kullanıcılara network üzerinde hiç bir hakka sahip olmadan session, user ve share information’ı verir. Kötü niyetli birisi bu exploiti kullanarak sistem hakkında çok kritik bilgiler sahibi olabilir.

PHF Exploit : Bu exploit oldukça eski olmasına rağmen halen karşılaşabilecek bir güvenlik açığıdır, PHF CGI yardımı ile sistemdeki dosyalara admin olarak erişilebilinir.

GET /cgi-bin/phf?Qalias=x%0a/usr/bin/ypcat%20passwd


Yukarıdaki örnek Unix işletim sistemi ya da türevini kullanan bir makineden User bilgilerinin ve de şifrelerinin bulunduğu Password dosyasının görülmesini sağlar.

ASP Exploit : Active Server Page özelliği kullanan WebServer’larda URL’ nin sonuna bir nokta(.) yada ::şDATA yazılarak ASP’nin içeriği (source code) görülebilir. Eğer ASP’nin içerisinde her hangi bir şifre varsa bu exploit çok tehlikeli olabilir.



ya da

$DATA


Sendmail Exploit : Eski Sendmail versiyonlarında birkaç basit hile ile sistemin şifrelerinin tutulduğu dosyayı çekmek mümkün olabilir. Ayrıca sistem kullanıcıları hakkında bilgi almak (EXPN) yada bir Username’in o Server’da olup olmadığını öğrenmek de mümkündür. (VRFY)

telnet mail.server.com:25

ICQ Tabanlı Exploitler : Son derece zayıf bir mimariye sahip olan ICQ sistemi, kolayca taklit edilebilen, hatta gerçek spoofing bile yapılmasına gerek kalmayan bir sistemdir. ICQ kullanıcıları kolayca mesaj bombasına tutulabilir, passwordleri değiştirilebilir, onaya gerek kalmadan listeye alınabilir. IP’sini kullanıcı gösterme dese bile görülebilir yada ICQ chat yaparken mesaj taşması (flooding) yapılabilir.
Dosya ve yazıcı paylaşımı :

Windows 95 yada NT’de paylaşıma açılan disk ya da klasörlerin okuma-yazma izinlerine çok dikkat edilmelidir. Şifresiz (Şu birçok ISP’nin Inetpub Directory’sini tüm dünyaya yazma izni vererek paylaşıma açması gibi) ya da kolay tahmin edilebilecek (username ile aynı) bir şifre ile paylaşıma açılan disk yada klasörlerin her türlü saldırıya açık olması gibi durumlar istenmeyen durumlara yol açabilir.

Windows Start menüsünde Run seçeneği tıklatıldıktan sonra \\\IP yazıp Enter tuşuna basılırsa, IP’si yazılan makinede paylaşıma açık olan yerler görülebilir. Windows’un içinde var olan NET komutunu kullanarak (NET VIEW \\\IP) yine paylaşıma açık yerleri görebilir ve yine aynı komutla onlara bağlanılabilir.

(NET USE J: \\\IP\paylaşımismi) Ayrıca linux yüklü bir makineden, smbclient programı ile aynı işlemleri yapılabilir.

Bu tip tehlikelerden korunmak için paylaşımlara sağlam bir şifre zorunludur. (anlamsız kelime+ rakamlar+hem büyük hem küçük harf kullanıması vs.)

Diğer Araçlar : Snork, cachecow, ADMmountd, mountd, faxsurvey, vintra,hotmail_exploit1-2, ioconfig lpd-rm, dilloncrond, nameserver_dead, lpd-mail, imapd4, binfo-udp, pinebug, mailxploit, newxterm, mailex, metainfo, xterm_exploit, dip3.3.7overflow-exploit, coke ve daha bir çok exploit bulunuyor.

Kaynak:Cyber-Security.Org

Edithor by Onur