Konu: Ağlar İçin Güvenlik Tehditleri Salı Ara. 02, 2008 12:02 am
Ağlar İçin Güvenlik Tehditleri
Günümüzde kurumsal ağlarda güvenlik kavramı, büyük bir değişim geçirmektedir. İnternetin yaygınlaşmaya başladığı günlerde, sadece dış dünyadan (ağ dışından) gelebileceği varsayılan belirgin tehditlere karşı önlem almakla eş değer kabul edilen ağ güvenliği, günümüzde hem iç hem de dış tehditlere karşı önlemler almaya, hatta önlem almaktan öte, ağ davranışını aktif biçimde gözleyerek beklenmeyen aktiviteleri engelleme ve böylelikle henüz belirgin biçimde bilinmeyen tehditleri dahi etkisiz kılmaya varan bir gelişme göstermiştir.
İnternetin genişlemesi ile beraber ağ uygulaması da beklenmedik şekilde genişlemiştir.
Bu gelişmeyle birlikte ağ kurulup işletmeye alındıktan sonra ağ yönetimi ve ağ güvenliği büyük önem kazanmıştır. Çünkü internete bağlı ağ sistemleri arasında dolaşan hiçbir veri
gerekli önlemler alınmadığı takdirde güvenli değildir. Ağın güvenilir biçimde çalıştırılması
anahtar sözcük konumuna gelmiştir. Çünkü ağın günümüz teknolojisi ile kurulup çalıştırılmasıyla iş bitmemekte esas iş ağ performansının ve güvenilirliğinin sağlanmasında bitmektedir.
1.2.1. Dış Tehditler
Bilgisayarları ağlarla birbirine bağlamak, teknolojinin de bununla doğru orantılı olarak gelişmesine yol açmıştır. Bu kültürel değişikliklerle daha yüksek güvenliğe olan ihtiyaç da artmıştır. Eskiden bir bilgisayar suçlusu sistemlere tek bir noktadan saldırı yapabilmekte ve bu da sistem yöneticilerine bir siteyi koruma avantajını sunmaktaydı.
Günümüzün istemci - sunucu ortamında ağ yöneticileri çok farklı bir savaşın içindedirler. Ağlarındaki her erişim noktasından saldırılara açıklar. İnternet çok sayıda sistemin birbirine bağlanmasını sağlayarak kendine özgü problemleri de beraberinde getirmiştir.
1.2.1.1. Servis Reddetme (DoS)
DoS yani açılımı Denial of Sevice olan bu saldırı çeşidi bir hizmet aksatma yöntemidir. Bir kişinin bir sisteme düzenli veya arka arkaya yaptığı saldırılar sonucunda hedef sistemin kimseye hizmet veremez hâle gelmesi veya o sisteme ait tüm kaynakların tüketimini amaçlayan bir saldırı çeşididir. Birçok yöntemle hizmet aksatma saldırıları gerçekleştirilebilir.
Genellikle kullanılan yöntemler üç sınıf altında toplanabilir:
Ø Bant Genişliğine Yönelik Ataklar
Ø Protokol Atakları
Ø Mantıksal Ataklar
1.2.1.1.1. DoS Ataklarının Türleri
Ø Service overloading: Bu atak tipi belirli host ve servisleri düşürmek için kullanılır. Atak yapan kişi özel port ve host’a bir çok ICMP paketi gönderir. Bu olay network monitör ile kolayca anlaşılır
Ø Message flooding: Service overloading’den farkı sistemin normal çalışmasını engellemez. Yine aynı şekilde gönderilen paketler bu sefer normal olarak algılanır. Örnek Nis server’ında flood yapılırsa (Unix network) Nis bunu şifre isteği gibi görür ve saldırganın host’a hükmetmesi sağlanır.
Ø Clogging: Saldırganın SYN gönderip ACK alıp ondan sonra da gelen ACK’ya
cevap vermeyip sürekli SYN göndermesinden oluşur. Bu durum defalarca kez tekrarlanırsa server artık cevap veremez hâle gelir. Bu paketler sahte IP ile
gönderildiğinden sistem bunu anlayamaz ve hizmeti keser. Anlasa ne olur?
Anlasa aynı IP’ den gelen o kadar isteğe cevap vermez. Kurtuluş yolu bunları
tarayan firewall’lardır.
1.2.1.1.2. DoS Atakları İçin Kullanılan Programlar
Ø Ping of death: Bir saldırgan hedef aldığı bir makineye büyük ping paketleri gönderir. Birçok işletim sistemi, gelen bu maksimum derecede paketleri anlayamaz, cevap veremez duruma gelir ve işletim sistemi ya ağdan düşer ya da çöker.
Ø SSPing: SSPing bir DoS aracıdır. SSPing programı hedef sisteme yüksek miktarda ICMP veri paketleri gönderir. İşletim sistemi bu aldığı data paketlerini birbirinden ayırmaya çalışır. Sonuç olarak bir hafıza taşması yaşar ve hizmet vermeyi durdurur.
Ø Land exploit: Land Exploit bir DoS atak programıdır. TCP SYN paketiyle hedef sisteme saldırıdır. Saldırı aynı port numarasına sürekli olarak yapılır. Land Expoit aynı kaynak ve hedef portları kullanarak SYN paketleri gönderir.
Bir çok makine bu kadar yüklenmeyi kaldıramayacağı için Buffer overflow yaşar ve hiçbir bağlantıyı kabul edemeyecek duruma gelir.
Ø Smurf: Smurf broadcast adreslere ICMP paketleri gönderen bir DoS Saldırı programıdır. Saldırgan ICMP echo istekleri yapan kaynak adresi değiştirerek ip broadcast’a gönderir. Bu broadcast network üzerindeki her makinenin bu istekleri almasını ve her makinenin bu sahte ipli adrese cevap vermesini sağlar. Bu sayede yüksek seviyede network trafiği yaşanır. Sonuç olarak bir DoS saldırısı gerçekleşmiş olur.
Bir TCP bağlantısının başında istekte bulunan uygulama SYN paketi gönderir. Buna cevaben alıcı site SYN-ACK paketi göndererek isteği aldığını teyit eder. Herhangi bir sebeple SYN-ACK paketi gidemezse alıcı site bunları biriktirir ve periyodik olarak göndermeye çalışır.
Zombiler de kullanılarak, kurban siteye dönüş adresi kullanımda olmayan bir IP numarası olan çok fazla sayıda SYN paketi gönderilirse hedef sistem SYN-ACK paketlerini geri gönderemez ve biriktirir. Sonuçta bu birikim kuyrukların dolup taşmasına sebep olur ve hedef sistem normal kullanıcılarına hizmet verememeye başlar.
Ø WinNuke: WinNuke programı hedef sistemin 139 nu.lı portuna “out of band”
adı verilen verileri gönderir. Hedef bunları tanımlayamaz ve sistem kilitlenir.
Ø Jolt2: Jolt2 kendisini farklı segmentte bulunuyormuş izlenimi vererek NT/2000 makinelere DoS atak yapabilen bir programdır. İllegal paketler göndererek hedefin işlemcisini %100 çalıştırıp kilitlenmesine yol açar.
c: \\> jolt2 1.2.3.4 -p 80 4.5.6.7
Komut satırında görülen, 1.2.3.4 ip numarası saldırganın spoof edilmiş adresidir. Hedef adresin 4.5.6.7 80 numaralı portuna saldırı yapar. CPU kaynaklarının tamamını harcar ve sistemi aksatır.
Ø Bubonic.c: Bubonic.c Windows 2000 makineleri üzerinde DoS exploitlerinden faydalanarak çalışan bir programdır. Hedefe düzenli olarak TCP paketlerini gönderir.
c: \\> bubonic 12.23.23.2 10.0.0.1 100
Ø Targa: Targa 8 farklı modül içinde saldırı yapabilen bir Denial of Service programıdır.
DoS (nuke) saldırı türleri aşağıdaki gibidir.
Ø NUKE: Nuke, sisteminizi kilitleyen, göçerten, internet erişimini kesen ve bu gibi zararlar veren saldırılara Nuke (nükleer bombanın kısaltması gibi) adı verilir. Nuke, siz internete bağlıyken ISS nizce size verilen bir ip numarası yardımı ile bir başka kişinin özel programlar yardımı ile bilgisayarınıza paketler göndermesi ve bu paketlerin bilgisayarınıza zarar vermesidir.
Ø OOB Nuke: (Out of band Nuke ) Sadece Windows NT ve 95’te bir bug olan OOB nuke, işletim sistemi Windows olan bir makinenin 139. portuna (Netbios session port) MSG_OOB tipi bir bağlantı (connection) yapılmasıyla gerçekleşir. Eğer 95 kullanıyorsanız sisteminizin mavi ekran vererek internet bağlantısının kopmasına, NT kullanıyorsanız sistemin durmasına yol açar.
Ø Land: Bilgisayarı kendi kendine senkronize ettirerek, arka planda internet meselelerini yürüten Winsock adlı programın sonsuz döngüye girmesini sağlar. Böylece farenizi bile hareket ettiremezsiniz. Kaynak IP (Source), Kaynak Port ve Hedef IP (Destination IP) IP, Hedef Port’un aynı olduğu bir IP paketi, Land saldırısının gerçekleşmesini sağlar.
Ø Teardrop, Boink, Nestea: İnternet üzerinde gelen giden veri, parçalar hâlinde taşınır, daha sonra işletim sistemi tarafından birleştirilen paket parçacıkları veriyi oluşturur (fragmentation). Çoğu sistemin duyarlı olduğu bu saldırı tipleri,
bilgisayarınızın bozuk olarak bölünmüş 2 paketi birleştirmeye çalışması ile
gerçekleşir. Boink, teardrop saldırısının ters olarak çalışan hâlidir. Nestea, teardrop saldırısının küçük değişimlere uğramış hâlidir ve teardrop ve boink
saldırılarına karşı patch edilmiş Linux sistemlerinde etkilidir.
Ø Brkill: Eğer Windows yüklü bir bilgisayara, bağlantının sonlanması ile oluşan PSH ACK tipi bir TCP paketi gönderirseniz Windows size o anki son bağlantı seri numarasını gönderir. Buradan yola çıkarak hedef makinedeki herhangi bir bağlantıyı zorla kesmeniz mümkün olur.
Ø ICMP Nuke: Bilgisayarlar çoğu zaman aralarındaki bağlantının sağlamlığını birbirlerine ICMP paketleri göndererek anlarlar. Bu saldırı var olan bir bağlantının arasına sanki hata varmış gibi ICMP_UNREACH paketi göndererek oluşur.
Ø Jolt/SSPing: Windows 95 ve NT’nin yüksek boyuttaki bölünmüş ICMP paketlerini tekrar birleştirememesinden kaynaklanan bir saldırı tipidir. 65535+5 byte’lık bir ICMP paketi göndermek bu saldırıyı gerçekleştirir.
Ø SMURF: Networkler’de “broadcast address” olarak tanımlanan ve kendine gelen mesajları bütün network’e yönlendiren makineler vardır. Eğer birisi başka biri adına o makineye ping çekerse, ağ üzerindeki bütün çalışan makineler hedef olarak belirlenen makineye ping çeker. Smurf, bu işlemi yüzlerce broadcast makineye tek bir kaynak IP adresinden ping çekerek saldırı hâline çevirir. Bir anda bilgisayarlarınıza on binlerce bilgisayarın ping çektiğini düşünürsek değil sizin şirketinizin bağlantısı, maalesef Turnet (Türkiye internet omurgası) çıkış gücü bile buna cevap vermeye yetmez ve bağlantılarınız kopar.
Ø Suffer: Suffer saldırısı bilgisayarınıza sanki binlerce farklı bilgisayardan bağlantı isteği geliyormuş gibi SYN paketleri gönderir. Bu saldırının sonunda Windows yeni bağlantılar için yeterli hafıza ayıramaz ve kalan hafızayı da bitirir. Bazı firewall türleri de böyle bir durum karşısında binlerce soru kutucuğu açarak makinenin kilitlenmesine sebep olur.[size=12]
Dağıtık Servis Reddetme (DDoS)
Bir saldırgan daha önceden tasarladığı birçok makine üzerinden hedef bilgisayara saldırı yaparak hedef sistemin kimseye hizmet veremez hâle gelmesini amaçlayan bir saldırı çeşididir. Koordineli olarak yapılan bu işlem hem saldırının boyutunu artırır hem de saldırıyı yapan kişinin gizlenmesini sağlar. Bu işlemleri yapan araçlara Zombi denir.
Bu saldırı çeşidinde saldırganı bulmak zorlaşır. Çünkü saldırının merkezinde bulunan saldırgan aslında saldırıya katılmaz. Sadece diğer ip numaralarını yönlendirir. Eğer saldırı bir tek ip adresinden yapılırsa bir Firewall bunu rahatlıkla engelleyebilir. Fakat saldırının daha yüksek sayıdaki IP adresinden gelmesi Firewall’un devre dışı kalmasını sağlar(Log taşması firewall servislerini durdurur.).İşte bu özelliği onu DoS saldırısından ayıran en önemli özelliğidir.
Detaylı Mesaj
Bilgileri
Mesaj No: 311
Mesajın Ana Konusu:Ağlar İçin Güvenlik Tehditleri
Gönderilme Tarihi:Salı Ara. 02, 2008 12:02 am
Bu Mesajı Şikayet Et:
Konu: Geri: Ağlar İçin Güvenlik Tehditleri Salı Ara. 02, 2008 12:07 am
Anasayfa 
Latest images 
] 
Salı Ara. 02, 2008 12:02 am
WRECH 