Bilgisayar Güvenliği - Backdoorlar
[Beyaz Tahribat] Arp Spoofing & Mac Seli Oluşturma
[Beyaz Tahribat] Arp Spoofing & Mac Seli Oluşturma
-
beyaz tahrbiat kampanyası
Bu dökümanharbi harbi hack tekniklertine dalıştır.Sağalm dökümandır.
MAC SELİ OLUŞTURMA
MAc adresleri ethernet kartlarının fiziksel donnım adresleri olup her kart için tek bir tanedir.Ancahtar cihazıda görevi icabı ağdaki her makinanın mac adresinden oluşan bir mac tablsou tutar bua göre trafiği yonlendirir.Dsniff in macof programı lan a çok sayıda ama rastgele mac adresleri gönderirve lan trafiği mac adesiinden oluşan bir sele çevirir.Bu adresleri gören anahtar cihazıda birden bire ortaya çıkan ve kendi mac tablosunda bulunmayan adresleri mecburen saklamak ister.Ancak belli bir süre sonra cihzın hafızası bu sahte mac adresleriyle dolar.İşte bu esnada bazı anahtarlar kendi üzerindeki linklerde olan tüm dataları işletmeye başlar.Bu olay anahtar cihazına yenib ir mnakina bağlandığında cihazun yeni makinanın mac adresini öğrenmek için veri paketini diğer anahtar portalarına iletmesine benezer.
Mac seli oluşturmak suretiyle anahtar cihazı üzerinde bilgileri ağ ortamına taşımayı başaran hacker bir aktif yada pasif sniffer yardımıyla bu bilgileri görebilir.
SAHTE ARP TABLOSU OLUŞTURMA
Mac seli oluşturmak suretiyle anahtar cihazındaki bilgilerin ağa yayılmasını sağlamak bazı durumdarla işe yaramaya bilir.Çünkü her anahtar cihazı mac seline aynı tepkiyi vermez, kendi hafızası dolduğunda yeni adresleri dikkate almaz.Dolayısıyla biraz önce anlattığım tehlike önlenir.Ancak hackerlar için sizce sorunmu elbette değil ;) ikinci bir yol olan sahte arp mesajları vardır.Arp bir ip adresi bilinen makinanın mac adresini bulmak için kullanılan bir protokjoldür hackerlar arp spoofing yada arp poisoning gibi isimle anılan bu tekniği kullanarak anahtarlı bir ağıgözetleye bilmektedir.
Çoğu şirkette ağ trafiğini yonlendirmek için anahtar cihazlar bulunu.Şirketin dışarıya çıkışları için geneleikle yonlendiriciler kullanır.Bir haker bu sistemi kullanan ağda nasıl sniffing yapar bakalım.
BAŞLIYORUZ
Hacker öncelikle şirketin varsayıln yonlendiricisinin ip adresini öğrenir(default gateway ip).Daha sonra çoğu işletim sisteminde bulnan ip forwarding özelliğini aktif yapar bu sayede kendisine gelen her verinin varsayılan yonlendiriciye gitmesini sağlar.Bundan sonra ki aşama dniff içinde yer alan arp spoof programıyla sahte arp reply mesajları göndermektir.Sahte arp mesajlarıyla tutlan ve ip adresi mac adresi eşlenmesinden oluşan arp tablosu yanlış bilgilerle doldururlur.Buradaki tabloda varsayıln yonlendiricinin ip adresinin karşıdaki bilgisayar kullanıcının varsayılan yonlendiriciye gonderdiği her veri hackerın bilgisayarınauğrayacaktır.Hackerda kullandığı sniffer yardımıyla kolaylıkla bu verilere ulaşacaktır.Kendi makinasında ip forwardin aktif olduğu için kendisine gelen veriler daha sonra varsayılan yonlendiriciye gidecek böylece olası yabaşlık konulu kullanıcı şikayetleri ve ddos olayı onlenecek.
http://rapidshare.com/files/5920348/mitm.rar
Burdaki video buna tam örnek oluyor :)
Ancak linuxta şu komutlarla ip forwarding çalıştırılıyor
http://ipucu.enderunix.org/view.php?id=463&lang=tr
Bir tanesine örnek verdim ancak windowsta ne yapacağımızı bulamadım renegadealien hocam saolsun yardım etmek için uğraştı ancak ben derdimi anlatamadım onun dediği normal yonlendirici ancak benim istediğim videodaki tarzda kurbandan gelen veriyi cevaplmak.Neyse devamına geçelim bilen varsa nası olacağını xpye yazarsa memnun olurum.
Linuxta eski komutlar şöyle sanırım
#cat /proc/sys/net/ipv4/ip_forward
#echo 1 > /proc/sys/net/ipv4/ip_forward
#arpspoof-t 10.1.1.1 10.1.1.2
#arpsoof -t 10.1.1.2 10.1.1.1
Yukarda ilk satırda ip forwarding dosyasını bulduk (aq işte windowsta bunu yapamıyorum bide compu kızıyor linuxa geçme diye widnowsta bunlar olsa hiç düşünürmüyüm bilene) daha sonr ikinci komutla özelliği aktif ediyoruz.
3. komutta arpspoof programını kullanarak 10.1.1.1 ip adresine (ip adreslerini salladım) yani kurbana varsayuılan yonlendirici olduğunu ve bunun 10.1.1.2 olduğunu iletiyoruz.Son komutla varsayılan yonlendiriciye kendisinin 10.1.1.1 nolu ipye sahip olduğunu velirtiyor böylece sadece 10.1.1.1 den giden paketlere değil bu ipye gelen paketlerede bakacaktır.Kısacası sadece kurbanın gönderdiği paketlere değil aynı zamanda kurbana geln paketlere bakıyor.Buda verdiğim videoda man in the middle yani ortadaki adam saldırısını oluşturuyor.
Sanırım bu iş nemesis programı iled eoluyor ancak biraz araştırayım deniyeyim becerebilirsem yazarım video bile çekebilirim. -
ha ha şansa bakın ne buldum ethernet sniff araçı :D
http://www.ismaildogan.com.tr/ana_sayfa.php?menu=wetsnif&id=c230d23274596edcb17ef5c3791867b7 -
harbiden eline emeğine sağlık
inş. bu kadar kastığımıza değer bu çalışmalar milletce boş boş oturmaktan başka bişiler yaparız (: -
tuncaxx bu kadar kastık ama baksana okuyan yok nerdeyse boşuna kasıyoruz galba ne dersin ?En sağlam döküman budur ya bunun okunması şart..
-
copy/paste gibi duruyor? Kusura bakma ama verdiği hiç bir yararlı bilgi göremiyorum. ARP nedir, Mac nedir, gateway nedir açıklamamışsın. Ezbere dayalı kafa yapısı ile bir yere varılmaz.
-
a4 sadece diyorum ki yazıyı bul bi yerden sonra gel yüzüme tükür aq internette yazı yoktur vardır çeşitli ufak tefek halleri.Derleyip topplayıp bi ton iş yaptım üstünde aq.
Hoca arp ı sanırım veridm vermemişsem bile yakında yazarım ama mac adresi zaten var okursna görürsün hoca ethernet kartı die arat bulursun bu konuda. -
"Gibi duruyor" dedim, c/p demedim ki :) Derleme türü yazılar genelde fazla bir şey vermiyor, daha geniş içerikli (ezbere dayalı olamyan) şekilde bir şeyler yazsan daha iyi olacak.
-
hoca ayrıca "hacker olmak isteyenler" falan diyosun ama arp nedir gibi olaylara hiç girmemişsin.arpın ne olduğunu bilmeyen bir adam mal mal bakmak zorunda kalıcak.arp=adress resolution protocol.ip adresinin hangi macle çkıştığını belirler.kaldı ki bu olaylar windowsta da yapılabiliyor(xml ile ancak admin olmak gerekiyor [reneden öğrendim] ) .kaldı ki dns server illa o makinanın üzerinde yer alacak diye birşey yok.bunu da belirtelim.
not : ilginçtir ki benim cache poisoning konusuna pek cevap gelmedi : )
-
AntiOksidan bunu yazdı:
-----------------------------hoca ayrıca "hacker olmak isteyenler" falan diyosun ama arp nedir gibi olaylara hiç girmemişsin.arpın ne olduğunu bilmeyen bir adam mal mal bakmak zorunda kalıcak.arp=adress resolution protocol.ip adresinin hangi macle çkıştığını belirler.kaldı ki bu olaylar windowsta da yapılabiliyor(xml ile ancak admin olmak gerekiyor [reneden öğrendim] ) .kaldı ki dns server illa o makinanın üzerinde yer alacak diye birşey yok.bunu da belirtelim.
not : ilginçtir ki benim cache poisoning konusuna pek cevap gelmedi : )
-----------------------------ww.google.com biliyorsun böyle bir yeri dimi isteyn arpıda aratır geri kalanıda.Arp yazar bakar arpın yanında bşaka birşey bulur onada bakar öğrenir.Bütün herşeyi sıfırdan vermek bende yok hoca.araştırmacı olmuyor ben herşeyin bana verilmesini istedim bütün konunun birilerindne yardım istedim hayatım boyuncada eksikliğini gördüm.Araştırma yoksa sıfırsın.
-
araştırma olmadan sıfır olduğunu geçen akşam çok güzel anladım hocam merak etme ; ) .döküman ezberlemekle olmuyo nazı şeyler.
-
ellerine sağlık @zumsuk ,hepsini okudum ve yeni birşeyler daha öğrendim sayende,sağol.