Ağ saldırıları, İp-Tcp-Dns-Arp Spoofing ve Ddos Atakları
Ağ saldırıları doğrudan protokol yada uygulamayla ilişikli zayıflıklar üzerine kuruludur. Yine de bunların çoğu en iyi bilen beşinin türevleridir.
Fragment saldırılar
Bu saldırı IP filtreleme ekipmanının ötesine geçer. Uygulama için sabotajçı iki değişik yöntem kullanır: Tiny Fragments and Fragment Overlapping. Bu saldırılar oldukça tarihsel olup günümüz güvenlik duvarlarnca uzun zamandır kontrol edebilmektedir.
Tiny Fragments
RFC (Request For Comment) 791 (IP) ile ilişkili olarak, tüm internet düğümleri (routers) 64 byte lık paketleri parçalamadan iletebilmelidir. Bir IP paketi başlığının seçenek içermediği halde minimum boyutu 20 byte tır. Seçenekler eklendiğinde boyut 60 byte tır. IHL (Internet Header Length) hanesi başlık uzunluğunu 32 bit tutar. Bu hane 4 bit kullanır, yani mümkün olan değerler 2^4 - 1 = 15 (0000 değerini alamaz). Sonuçta mümkün olan en yüksek değer gerçekten 15*4 = 60 byte tır. Son, Fragment Offset hanesi fragment'in ilk byte offset'inin tüm datagram ile ilişkili olaraktan 8 byte ile yazıldığı gösterir. Bir veri en az 8 byte ta parçalanabilir. Bu gerçekten 68 byte eder.
Saldırı, iki IP paketine parçalanmış bir TCP bağlantı isteğinden oluşur. 64 byte lık ilk IP paketi sadece ilk 8 byte lık TCP başlığını içerir (kaynak ve hedef kapıları ve sıra numarası). İkinci IP paketindeki veri TCP bağlantı isteğini içerir (SYN bayrağı 1 ve ACK bayrağı 0).
Yine de IP filtreleri bir paket içindeki parçalara aynı kuralı uygularlar. İlk parça filtresi (Fragment Offset = 0) kuralı tanımlar, bağlantılı olarak başka bir kontrol olmaksızın diğer parçalara da (Offset = 1) uygular. Sonunda hedef makinada TCP katmanında birleştirilirken bağlantı talep paketi yeniden yaratılır ve TCP katmanına iletilir. IP filtresinin engellemiş olması gerekmesine rağmen bağlantı kurulmuştur.
Şekil 1 ve 2 parçaları ve şekil 3 hedef makinadakine de birleştirilmiş paketi göstermektedir:
Pic.1: Parça 1
Pic.2: Parça 2
Pic.3: Birleştirilmiş paket
Parça Karşılaşması
Halen RFC 791 (IP) ile ilişkili olaraktan eğer 2 IP paketi karşılaşırsa, ikincisi birincinin üzerine yazar. Saldırı bir IP paketini ikiye ayırmakla başlar. IP filtresi 68 byte (Bkz. Tiny Fragments) taşıyan ilk paketi TCP bağlantısı (SYN flag = 0 and ACK flag = 0) talep edene kadar kabul eder. Bu kural paketin diğer parçalarına da uygulanır. Gerçek bağlantı verisini bekleyen ikinci paket (Fragment Offset = 1) orada açık bir bağlantı görünmediğinden IP filtresi tarafından kabul edilir. Bu sebeple, parçalanma esnasında ikinci parçadaki veri 8 inci byte'tan (the fragment offset = 1 den itibaren) sonra birincide ki verinin üzerine yazar. Böylece yeniden birleştirilen paket hedef makine için geçerli bir bağlantı talebidir. IP filtresine karşın bağlantı kurulmuştur.
Şekil 1 ve 2 parçaları ve şekil 3 hedef makinede birleştirilmiş paketi göstermektedir:
Pic.4: Parça 1
Pic.5: Parça 2
Pic.6: Birleştirilmiş paket
IP Spoofing
Bu saldırının amacı bir makinenin IP adresini ele geçirmektir. Bilgisayar sabotajçısının orijinal saldırı noktasını saklamasına (DOS'ta kullanıldığı gibi) yaramakta yada iki makine arasındaki güvenilir ilişkiden faydalanmaktır. Biz burada ikinci kullanımından bahsedeceğiz.
Sabotajçı için bu saldırının temel prensibi kendi IP paketlerinin kalpazanlığını yaparak (hping2
or nemesis
gibi programlar ile) diğerlerinin arasında kendisininkinin IP kaynağını değiştirmektir. IP Spoofing sıklıkla Blind Spoofing olarak anılır. Kaynak değiştirildiğinden sahte pakete karşılık giden cevaplar sabotajçının makinesine gidemez. Yani spoof edilen makineye giderler. Yine de cevapları geri almanın iki yolu vardır:
-
Kaynak Yönlendirme: IP protokolünün Kaynak Yönlendirme olarak adlandırılan ve IP paketlerinin izlemesi gereken yolu tanımlayan bir seçeneği vardır.Bu yol paketlerin izlemesi gereken bir dizi yönlendirici IP adresinden meydana gelmektedir. Şimdilerde birçok TCP/IP yığın uygulaması bu seçeneği içeren paketleri reddetmektedir.;
-
Yeniden Yönlendirme: Yönlendirme tabloları kendilerine yeni yönlendirme bilgileri içeren RIP paketleri gönderilerek değiştirilebilirler. Bu işlem, paketlerin sabotajçının sahibi olduğu bir makineye yönlenmesine sebep olur.li>
Bu taktikler çoklukla kullanılmakta: saldırı, hedef sunucudan gelen paket bilgileri bilinmeden desteklenir.
Blind Spoofing, rlogin yada rsh gibi servislere karşı kullanılır. Onay mekanizmaları yalnızca alıcı makine IP kaynak adresine güvenir. Bu oldukça iyi bilinen yöntem (Kevin Mitnick 1994'te Tsutomu Shimomura'nın makinesine karşı kullandı) çeşitli adımlar içerir:
-
Örnek olarak sistem dosyalarını nereye export edildiğini gösteren
showmount -e
komutunu kullanarak güvenli makinenin IP adresini bulmak yada daha fazla bilgi sağlayanrpcinfo
komutunu kullanmak ve ardından SYN Flooding kullanarak güvenilir makineyi hizmet dışı bırakmak. Öbür türlü TCP RST paketleri göndererek bağlantı taleplerini durdurmak isteyecektir; -
TCP sequence numarasını tahmin etme: her TCP paketi bir sıra numarası ile ilişiklidir. OS TCP/IP yığını bunu düz yoldan, zamana bağlı, rastgele, pseudo-random, sistemle ilişkili olarak oluşturur. Sabotajçı yalnızca tahmin edilebilir rastgele sıra numaraları oluşturan sistemlere saldırabilir (düz yoldan oluşturma yada zamana bağlı olarak);
-
saldırı istenen kapıda bir TCP bağlantısı açmaya dayanır. Daha iyi anlaşılması için TCP yapısının nasıl çalıştığını sizlere hatırlatacağız. Üç aşamada gerçekleşir (TCP Three Way Handshake):
-
Arayıcı, TCP SYN bayrağı ve x sıra numarası içeren paketi hedef makineye gönderir;
-
Hedef buna içinde aktif olmuş TCP SYN bayrağı ve ACK bayrağı (x+1 anlaşma numarası ile) olan bir paketle karşılık verir. Bunun sıra numarası y' dir;
-
Atak sırasında sabotajcı hedeften gelen SYN-ACK 'leri almaz. Kurulacak bağlantı için doğru ACK numarası ((y+1) ile gönderebilmek için y sıra numarasını önceden belirtir. Ardından IP adres doğrulaması üzerinden bağlantı kurulur. Sabotajcı daha yüksek haklar elde etmek için artık rsh servisine komut yollayabilir (echo ++ >> /.rhosts
gibi). Bunun için bir TCP paketini PSH bayrağı (Push) ile kuvvetlendirir: alınan veri hemen bir üst katmana iletilir (burada rsh servisi). Ve artık rlogin veya rsh kullanarak bir makineye IP Spoofing yapmadan bağlanabilir.
Şekil 7 IP Spoofing 'in farklı aşamalarını göstermektedir:
Pic.7: rsh servisine uygulanmış bir IP Spoofing
Güvenilir makine C ile gösterilirken sabotajcı A makinesini kullanır. A(C) gösterimi paketin A dan spoof IP olan C ile gönderildiğini anlatır. Not: Bu tür IP spoof mekanizmalarını uyarlayan mendax
adında bir program vardır.
TCP Session Hijacking
TCP Session Hijacking sabotajcının TCP flow yönlendirmesi yapabilmesini sağlar. Ardından parola korumasını atlayabilir (telnet yada ftp de olduğu gibi). Dinleme ihtiyacı (sniffing) bu saldırıyı hedefin fiziksel ağında sınırlar. Bu saldırıyı detaylandırmadan önce TCP protokolünün bazı prensiplerini anlatalım;
Burada TCP protokolünün gizemini açığa çıkatmayacak fakat saldırıyı anlamak için gerekli ana noktalara odaklanacağız. TCP başlığı çeşitli alanlar içerir:
-
kaynak ve hedef kapısı iki makine arasındaki bağlantıyı tanımlar;
-
sıra numarası gönderilen her bir byte'ı tanımlar;
-
alınan en son byte'la ilişkili onay numarası;
-
ilginç bayraklar ise:
-
bir bağlantı kurulduğunda sıra numarasını düzenleyen SYC;
-
ACK, bir TCP segmentinin bayrak onayı;
-
PSH veriyi uygulamaya göndermesini için alıcıya söyleyendir.
-
Şekil 8 bir TCP bağlantısının kuruluşunu göstermektedir (Üç Yol Elsıkışma):
Pic.8: Üç Yol Elsıkışma
Burada A makinesi B makinesi üzerinde bir TCP bağlantısı başlattı.
Şekil 9 bir TCP verisinin aktarımını göstermektedir:
Sıra numaraları gönderilen veri byte sayılarına bağlı olarak değişir. Sıra numarası Seq ile temsil edilir. Anlaşma numarası PSH ve ACK bayrakları ardından bulunur ve gönderilen verinin byte bilgisi ayraçlar içerinde yer alır.
Bu saldırı TCP bağlantısının her iki tarafında oturumun ele geçirilmesine müsade eden bir uyumsuzluk oluşturur. Bağlantının uyumsuz olması A makinesi tarafından gönderilen bir sonraki sıradaki verinin sıra numarasının B makinesi tarafından beklenen verinin sıra numarasından farklı olması durumunda gerçekleşir. Aksi yönüde elbette aynıdır.
Şekil 9'daki örnekte B'nin paketlerini ilk aldığı adımın sonunda x+60 onay numarası ile A bir paket beklemektedir. Eğerki B tarafından gönderilen bir sonraki paket bu onay numarasını içermezse A ile B uyumsuz olmaktadır.
C makinesindeki bir sabotajcı A ile B makinesi arasında kurulu olan bir Telnet oturumuna sızmak istiyor. İlk olarak C makinesi, A ile B arasındaki Telnet trafiğini (TCP port 23) dinler. Sabotajcı A makinesinin B makinesinde Telnet oturumu için varlığını onaylatmak için zamanı olduğunu düşündüğünde A'yı B'ye karşı uyumsuz kılar. Bunu yapabilmek için B makinesince kabul edilen TCP onay numarasını ve A makinesinin IP numarasını içeren bir paketi taklit eder. Elbetteki B paketi kabul eder. Bunun yanında uyumsuzluk sabotajcının Telnet oturumdan komut girebilmesini de sağlar. Bu paket veri taşıyabilmektedir (PSH flag =1).
Şekil 10 saldırıyı göstermektedir:
Pic.10: TCP Session Hijacking
B makinesi C tarafından gönderilen komutu kabul eder, ACK bayrağı ile A'ya gönderilmiş gibi onaylar. Aynı zamanda eğer A'dan B'ye bir paket gönderilirse sıra numarası B tarafından beklenilmediği için reddedilecektir.
Ardından görülen bir sorun: ACK fırtınası. Çok sayıca ACK oluşturulmuştur. A, tanımsız sıra numaralı TCP paketleri (A uyumsuz olduğu andan itibaren) gönderdiği zaman meydana gelir. B bunu reddederek beklediği ACK numarasını A'ya gönderir. A bu ACK'yı alır, beklenen ile uyuşmadığından A'da B'ye ACK gönderir ve bu tekrar edip durur.
Bu ACK fırtınası sorunu eğer ki sabotajcı ARP Spoofing kullanırsa çözülür. Bu durumda B makinesinin ARP ön belleği C makinesi tarafından zehirlenecek ve A makinesinin IP adresi C makinesinin MAC adresi ile ilişkilendirilecek. Bu teknikler hunt
programı tarafından uygulanmaktadır.
ARP Spoofing
Bu saldırı, ARP Redirect olarakta adlandırılır, ağ trafiğini bir yada birden fazla makineden sabotajcının makinesine yönlendirir. Kurbanların fiziksel ağlarında gerçekleşir. ARP protokolünün ne olduğunu ve nasıl çalıştığını haırlatalım.
ARP protokolü (Address Resolution Protocol)çözümleme mekanizmasını IP adresinden Ethernet MAC adresine dönüştürür. Ağ ekipmanları Ethernet bilgilerini data link katmanında değişerek anlaşırlar (özellikle Ethernet ağında). Bu bilgiyi dağıtabiliyor olmak için ağ kartlarının kendilerine özel Ethernet adresleri olması gerekir. MAC adresi budur. (MAC=Media Access Control).
Bir IP paketi gönderilirken gönderici makine alıcının MAC adresini bilmelidir. Bu bilginin elde edilmesi için ağdaki makinelere broadcast ARP isteği gönderilir. Bu istek şunu sorar: "Bu IP adresine ilişik MAC adresi nedir?" Bu IP'ye sahip makine isteği alınca MAC adres bilgisini verir. Bu noktadan sonra gönderici makine o IP adresi ile ilişikli MAC adresini bilmektedir. Bu bilgi bir süre önbellekte tutulacaktır (her defasında aynı talebi yapmamak için).
Bu saldırı hedef makinenin önbelleğini zehirler. Sabotajcı hedef makineye ARP cevapları göndererek yeni MAC adresinin bir gateway ile ilişkili (örnek olarak) IP adresi olduğunu (sabatajcının adresi) söyler. Bundan sonra sabotajcı gateway'e gönderilen tüm trafiği alacaktır. Bu da tüm trafiği dinlemesi (ve/veya değiştirmesi) için yeterli olacaktır. Bundan sonra paketleri gerçek hedefine yönlendirecek ve kimse değişiklikten haberdar olmayacaktır.
ARP Spoofing yerel ağda switch'ler kullanıldığında yararlıdır. Bunlar Ethernet bilgilerini MAC adresi ile ilgili kapılara (kablolar) yönlendirir. Böylece bir sniffer bilgileri kendi fiziksel ağının ötesinden alabilir. Sonuç olarak ARP Spoofing farklı switch kapılarında bulunan makineler arasındaki trafiği dinlemeye imkan tanır.
ARP Spoofing atağı uygulamak için ARPSpoof
veya nemesis
gibi ARP paket oluşturucu kullanacaktır. Örnek: kurban makine 10.0.0.171
, default gateway 10.0.0.1
ve sabotajcının makinesi 10.0.0.227
. Saldırıdan önce traceroute sonucu:
[root@cible -> ~]$ traceroute 10.0.0.1 traceroute to 10.0.0.1 (10.0.0.1),
30 hops max, 40 byte packets 1 10.0.0.1 (10.0.0.1) 1.218 ms 1.061 ms 0.849 ms
Ve hedef makinenin ARP önbelleği:
[root@cible -> ~]$ arp Address HWtype HWAddress Flags Mask Iface 10.0.0.1
ether 00:b0:c2:88:de:65 C eth0 10.0.0.227 ether 00:00:86:35:c9:3f C eth0
Sabotajcı ARPSpoof
çalıştırır:
[root@pirate -> ~]$
arpspoof -t 10.0.0.171 10.0.0.1 0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42:
arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f 0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42:
arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f 0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42:
arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f 0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42:
arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f 0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42:
arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f 0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42:
arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f 0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42:
arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f
Gönderilen paketler 10.0.0.171
makinanın ARP önbelleğini zehirleyen ARP paketleri, 10.0.0.1
'ya ilişkin MAC adresinin bundan sonra 00:00:86:35:c9:3f
olduğunu söyleyen ARP cevabı ile.
10.0.0.171
makinenin ARP önbelleği şu hale gelir:
[root@cible -> ~]$
arp Address HWtype HWAddress Flags
Mask Iface 10.0.0.1 ether 00:00:86:35:c9:3f C
eth0 10.0.0.227 ether 00:00:86:35:c9:3f C eth0
Trafiğin şimdi 10.0.0.227
üzerinden gittiğini anlamak için 10.0.0.1
gateway'e doğru yeni bir traceroute çalıştırmak yeterlidir:
[root@cible -> ~]$ traceroute 10.0.0.1 traceroute to 10.0.0.1 (10.0.0.1), 30 hops max,
40 byte packets 1 10.0.0.227 (10.0.0.227) 1.712 ms 1.465
ms 1.501 ms 2 10.0.0.1 (10.0.0.1) 2.238 ms 2.121 ms 2.169 ms
Artık sabotajcı 10.0.0.171
and 10.0.0.1
makineleri arasındaki trafiği dinleyebilir. 10.0.0.227
makinesindeki IP yönlendirmesini canlandırmayı unutmamalıdır.
DNS Spoofing
DNS protokolü (Domain Name System) alan isimlerini(örneğin www.test.com) kendi IP adreslerine (örneğin 192.168.0.1
) vede tersine çevirir. Bu saldırı kurbana DNS hizmeti talebi karşısında yanlış cevap kullanır. Bu saldırı iki ana yöntemle gerçekleştirilir.
DNS ID Spoofing
DNS protokolünün başlığı cevapları ve talepleri eşleştirmek için bir kimlik sahası içerir. DNS IP Spoofing'in getirisi asıl DNS sunucusundan önce DNS talebine yanlış cevap dönebilmektir. Bunu yapmak için talep ID'si önceden belirlenmelidir. Bu belirleme lokal olarak ağı sniff ederek kolayca yapılabilmekte, uzaktan erişimde biraz daha zor olabilmektedir. Bu işlem için çeşitli yöntemler vardır:
-
ID kısmındaki tüm olasılıkları denemek. 65535 olasılık olduğundan pek gerçekçi değil (bu kısım 16 bit);
-
Doğru sırada birkaç yüz DNS talebi göndermek. Açıkçası bu yöntem pekte güvenilir değil;
-
Tahmin edilebilir ID'ler oluşturan bir sunucu bulmak (örneğin, 1 arttırılmış ID . Bu tarz bir zayıflık bazı Bind sürümlerinde veya Windows 9x makinelerde bulunabilir.
Her durumda gerçek DNS sunucusundan önce cevaplamak gereklidir. Denial of Service Attack ile kırarak yapılabilir.
Başarılı olmak için saldırgan attaquant.com
alan adında hakka sahip bir DNS sunucusunu kontrol edebilmelidir (ns.attaquant.com
).Hedef DNS sunucusu (ns.cible.com
) tahmin edilebilir sıra numaralarına sahip olmalı şeklinde kabul edilir (her defasında 1 arttırılmış).
Saldırı 4 aşamadan oluşur:
-
Saldırgan
cible.com
DNS sunucusunawww.attaquant.com
için şekil 11'de görüldüğü gibi bir DNS talebi gönderir;
Pic.11:ns.cible.com
'a gönderilen DNS talebi
-
Hedef DNS sunucusu talebi
attaquant.com
DNS sunucusuna yayınlar; -
Saldırgan kendi ID'sini ele geçirmek için talebi sniff edebilir (örneğimizde ID 100'dür);
-
Saldırı IP adresini ilişikli bir makine ile değiştirir; burada IP'si
192.168.0.1
olması gereken kurban makinewww.spoofed.com
. Sabotajcıns.cible.com
adresinewww.spoofed.com
ismini çözmek için DNS sorgusu gönderir. Ardından aynıspoofed.com
alan adının DNS sunucusundan spoof edilmiş IP alan sorguya bir demet değiştirilmiş IP demeti gönderir (saldırganın10.0.0.1
site IP adreslerinden birini vererek). Doğru ID numarasını bulabilme şansını arttırmak için ikinci adım olarak (ID = 100) süresince ilk elde edilenden başlayarak her cevabın ID'si 1 arttırılacaktır. Bu durumdans.cible.com
diğer sorgulara cevap vermiş olmalı ve böylece DNS ID'si artmış olur. Şekil 12 bu adımları göstermektedir.Pic.12: DNS ID Spoofing
Böylece hedef DNS sunucusunun önbelleği zehirlenmiş olur ve www.spoofed.com
isminin çözümünü isteyen sıradaki makine saldırganın makine IP'sini alacak ve saldırganın sitesine yönlenecektir. Bu gerçek sitenin bir kopyası olabilir ve internet kullanıcılarının gizli bilgilerini elde etmek için kullanılabilir.
DNS Önbellek Zehirleme
DNS sunucuları, bir önceki sorguya verdikleri cevabı bir süreliğine saklamak için önbellek kullanırlar. Her defasında talep yapılan alandan yetki almakla vakit kaybetmemk içindir. İkinci tip DNS Spoofing bu önbelleğin zehirlenerek yanlış bilgi göndermesini sağlamaya yöneliktir. İşte bir örnek:
Önceki örneğin parametrelerini saklıyoruz. İşte saldırının farklı adımları:
-
cible.com
DNS sunucusunawww.attaquant.com
isminin çözümlenmesi için sorgu gönderilir; -
Hedef DNS sunucusu
www.attaquant.com
ismini çözümlemek için saldırganın DNS sunucusuna sorgu gönderir; -
Saldırganın DNS sunucusu IP adresi ve makine ismini birbirlerine atamaya yarayacak değişmiş kayıtlarla cevap gönderir. Örneğin,
www.cible.com
sitesinin DNS kayıtlarında gerçek IP'si yerinewww.attaquant.com
sitesinin IP adresini gönderecek şekilde değişmiş kayıdı olmalıdır.
Uygulama saldırıları
Bu tür saldırılar uygulamalar içerisindeki çeşitli zayıflıklardan yararlanırlar. Yinede bir kısmı tiplerine göre sınıflandırılabilir.
Ayarlama sorunları
Uygulamalardaki öncelikli güvenlik sorunlarının başında ayarlama hataları gelmektedir. İki tip hata vardır: önkabüllü (default) kurulum ve hatalı ayarlama.
WEB sunucuları gibi yazılımlar önkabullü kurulumda saldırganlar için gizli bilgilere erişim sağlar. Örneğin kaynak veriye ulaşmak için dinamik sayfalar üzerinde betikler çalıştırabilirler. Bundan başka bir kurulum önkabullü login/password ile yönetim arayüzü sağlayabilir (uygulama yönetim klavuzunda bulundu). Böyulece saldırgan sitede istediği herşeyi değiştirebilir.
Ana zayıflıklar yanlış tanımlarla ve parametrelerle oluşturulmuş erişim listeleridir. Böylece saldırgan özel sayfalara ve veritabanlarına erişebilir.
Hatalı tanımlamaya klasik örnek Lotus domino web sunucusunda sıklıkla rastlanır. Bu sunucuyu kurarken, Lotus tanım veritabanı hiçbir erişim listesine sahip değildir. Açıkça, eğer names.nsf Lotus veritabanı web tarayıcısı üzerinden kontrol edilmeden erişilebilirse, tüm Lotus kullanıcı isimleri gibi birçok bilginin alınması mümkündür.
Hatalar
Kötü bir program yazılımı her zaman hatalar içerir. Bunlar en önemli zayıflıklardır. Keşfedildikleri zaman dinamik sayfaların kaynak kodlarını ele geçirmek, servisleri kullanılmaz hale getirmek, makinenin kontrolünü almak gibi amaçlarla komutlar çalıştırmaya müsade eder. Bu hatalardan en bilineni ve en ilginç olanı buffer overflow'dur.
Buffer overflow
Bufer overflow kötü proglamlamanın sebep olduğu bir zayıflıktır. Argüman olarak bir değişkenin boyutuna bakılmadan bellek içerisinde bir fonksiyona kopyalanması sonucu ortaya çıkar. Eğer ki değişken, bellek için hafızada ayrılmış yerden büyükse buffer overflow gerçekleşmesi için yeterlidir. Değişkene parçalı bir program geçirerek patlayacaktır. Eğer ki saldırgan başarılı olursa saldırılan uygulamanın hakları ile hedef makinede uzaktan komut çalıştırabilecektir. Güvenli programcılık başlığı altında daha fazla bilgi için:
-
Avoiding security holes when developing an application - Part 1
-
Avoiding security holes when developing an application - Part 3: buffer overflows
-
Avoiding security holes when developing an application - Part 4: format strings
-
Avoiding security holes when developing an application - Part 5: race conditions
-
Avoiding security holes when developing an application - Part 6: CGI scripts
Betikler
Kötü betik programlamasıda sıklıkla sistem güvenliğini etkilemektedir. Perl betiklerinin içerisinde web yolu dışındaki dosyaları okumaya izin verebilecek yada izinsiz komutlar çalıştırmaya müsade edebilecek birçok zayıflık bulunmaktadır. Programlama sorunları CGI güvenliği başlığı altında aşağıda sunulmuştur (bölüm 6).
Ortadaki Adam
Bu saldırının en temel amacı iki makine arasındaki trafiği değiştirmektir. İletişim esnasındaki veriyi durdurmak, değiştirmek yada yoketmek olabilir. Bu saldırı, gerçek bir saldırıdan kavram olarak daha geneldir. Bir web sunucusu ve istemcisi arasındaki trafiği değiştirmeye yönelik DNS Spoofing kullana DNS Ortadaki Adam gibi bu prensipe oturtulmuş çeşitli saldırılar vardır. En çok rastlananı SSH trafiğini değiştirmeye yönelik olanıdır.
Denial of service
Bu saldırı, bir servisin yada hedef makinanın erişilebilir olmamasına (belirli uygulama) önderlik edeceğinden iyi adlandırılmıştır. Biz iki tipini ele alacağız: bir tarafta bir uygulama açığını patlatanlar, diğer tarafta bir protokolün kötü uygulanması yada zayıflığı.
Uygulama denial of service
Eğer ki bir uygulama zayıflıkları makinenin kontrolünü ele geçirmeye izin veriyorsa (buffer overflow örneği), aynı zamana denial of service 'e de izin verebilirler. Atanan kaynakların yetersizliği yada bir çökme sebebi ile uygulama erişilemez duruma gelecektir.
Ağ denial of service
TCP yığını protokol özelliklerini kullanan değişik tiplerde denial of service vardır.
SYN Flooding
Bir TCP bağlantısının üç aşamadan oluştuğunu görmüştük (TCP Üç Yollu El Sıkışma). SYN Floofing bu mekanizmayı patlatır. Üç aşama; SYSN göndermek, SYN-ACK almak ve ACK göndermektir. Düşünce hedef makinada bir çok bekleyen TCP bağlantısı bırakmaktır. Bunu başarmak için saldırgan birçok istek gönderir (SYN bayrak=1), hedef makina cevap amacıyla karşılığında SYN-ACK gönderir. Saldırgan ACK ile cevap vermeyecek ve böylece her alınan SYSN için hedef makina askıda TCP bağlantılarına sahip olacaktır. Yarım açık bağlantılar hafıza kaynaklarını kullandıkları için bir yerden sonra makina diğer bağlantıları kabul edemez olacaktır. Bu tip saldırı sadece hedef makinayı etkilemektedir.
Saldırgan, hedef TCP kapısını işaret ederek makinesinin tanımlananamaması için rastgele kaynak IP adresleri (synk4 gibi SYN Flooder) kullanır.
UDP Flooding
Bu saldırı UDP kapısının bağlanmamış modunu patlatır. Tek yada iki makine arasında UDP Fırtınası (UDP paket demeti) yaratır; iki makina arasında ağda tıkanıklık yada her iki tarafta da kaynak doluluğu gibi. UDP trafiğinin TCP trafiğinde önceliği olduğundan bu tıkanıklık daha önemlidir. TCP protokolünün uzun sürede gelen paket onayları karşısında tıkanıklığı kontrol eden bir mekanizması vardır: bu mekanizma gönderme aralığını düzenleyerek tıkanıklık oranını azaltır. UDP protokolü bu mekanizmaya sahip değildir: bir süre sonra tüm bant genişliğini kullanarak TCP trafiğine çok az yer bırakır.
En çok bilinen örneği Chargen Denial of Service Attack'tır. Bu saldırının uygulaması basittir: Bir makinenin chargen
servisi ile bir diğerinin echo
servisi arasında iletişim sağlamak yeterlidir. Chargen
servisi aldığı verilere cevap verene kadar karakterler üretir. Saldırgan kurban makinenin 19 kapısına (chargen
) diğer makinenin kaynak kapısından UDP paketleri gönderir. Bu durumda kaynak kapısı UDP kapı 7'dir(echo
). UDP Flooding her iki makina arasında bant genişliğinde doluluğa sebep olur. Tüm ağ UDP Flooding'in "kurbanı" olabilir.
Packet Fragment
Packet Fragment DOS, IP parçalanması içeren TCP/IP yığınlarının bazı zayıflıklarını kullanır (IP parçalarını yeniden toplama).
Bu yöntemi kullanan bildik bir saldırı Teardrop'tur. İkinci segmentin parçalanma offset'i ilkinden daha küçüktür ve offset ikincinin boyutuna eklenmiştir. Bunun anlamı ilk parça ikinciyide kapsamaktadır (overlapping). Parçalanma anında birkaç sistem bunu idare etmez ve denial of service meydana gelir. Bu saldırının türevleri vardır: bonk, boink ve newtear gibi. Ping of Death denial of service IP paketinin maksimum boyutundan büyük veri göndererek ICMP yönetiminde patlamaya sebep olur. Bu tip değişik saldırılar hedef makinanın yığılmasına neden olurlar.
Smurfing
Bu saldırı ICMP protokolünü kullanır. Bir Ping (ICMP ECHO mesajı) broadcast adresine gönderildiğinde (örnekte 10.255.255.255), ağdaki her makinaya gönderilir. Bu saldırının temeli ICMP ECHO paketlerini hedefe kaynak IP adresinden gelir gibi göndermektir. Saldırgan ağ broadcast adreslerine sürekli Ping akını gönderecek ve tüm makineler hedefe bir ICMP ECHO REPLY mesajı döneceklerdir. Bu akın ağdaki konukçu sayısı kadar katlanacaktır. Bu durumda, ta ki bu saldırı ile oluşan büyük saldırı tıkanıklığa sebep olana dek tüm ağ denial of service 'ten etkilecektir.
Distributed denial of service
Distributed denial of service saldırılan ağı doldurur. Amaç bu saldırı için çeşitli kaynaklar (daemons) kullanmak ve onları sahip ile kontrol etmektir. En çok bilinen DDoS (Distributed Denial of Service) araçları Tribal Flood Network (TFN),TFN2K, Trinoo ve Stacheldraht 'dir. Şekil 13 tipik bir DDoS ağını göstermektedir:
Pic.13: DDoS network
Saldırgan kaynakların kolayca kontrolü için sahipler kullanır. Saldırıyı ayarlamak ve hazırlamak için sahiplere bağlanmak (TCP) zorundadır. Sahipler kaynağa UDP yoluyla sadece komutlar gönderirler. Sahipler olmazsa saldırgan her bir kaynağa bağlanmak zorundadır. Saldırını kaynağı kolayca belirlenebilir ve uygulamaya konulması uzun olmaktadır.
Her daemon ve sahip kullanılan araçlara ilişkin aralarında özel mesajlar geçerler. Bu bağlantılar aynı zamanda şifrelenebilir yada yetkilendirilebilir. Saldırgan, bu deamon ve sahipleri kurmak için bilinen zayıflıkları kullanır (RPC, FTP gibi servislerdeki buffer overflow). Saldırı tek başına bir SYN Flooding yada Smurf Attack'tır. Her denial of service saldırısının amacı ağı erişilemez kılmaktır.
Sonuç
Günümüzde dışarıdan saldırılara karşı alınan güvenlik tedbirleri daha güçlü olmaktadır ancak aynı şey iç kaynaklı saldırılar için geçerli değildir. Saldırganlara karşı olan zayıf ilişkili korunmalar halen TCP Session Hijacking, ARP Spoofing ve DNS Spoofing gibi saldırılara güzel imkanlar bırakmaktadır. Bundan başka sıra numarasının önceden tahmin edilmesi (IP Spoofing'in kalbi) ve Fragment Attack türevleri ağ cihazlarının işletim sistemlerindeki hatalardan hayat bulmaktadır. Uygulama saldırılarının daha çok zamanı var. Bunun sebebi web ilişkili uygulamaların karmaşıklığındaki büyüme ve geliştiriciler ile sistem idarecilerinin sınırlı zamanlarıdır. Denial of Service saldırısı her bir kullanıcının kendisini koruması gerektiği gerçeğini kabul edene kadar korkutucu olmaya devam edecektir.
Links
-
RFC 1858 - Security Considerations for IP Fragment Filtering: sunsite.dk/RFC/rfc/rfc1858.html
-
IP Spoofing Demystified - Phrack 48: www.phrack.org/
-
Simple Active Attack Against TCP - Laurent Joncheray: www.insecure.org/stf/iphijack.txt
-
DNS ID Hacking - ADM Crew: packetstorm.securify.com/groups/ADM/ADM-DNS-SPOOF/ADMID.txt
-
The DoS Project's "trinoo" - David Dittrich: staff.washington.edu/dittrich/misc/trinoo.analysis
-
The Strange Tale of the DENIAL OF SERVICE Attacks against GRC.COM: grc.com
-
hping2: www.kyuzz.org/antirez/hping.html
-
mendax: packetstorm.securify.com/Exploit_Code_Archive/mendax_linux.tgz
-
dsniff: www.monkey.org/~dugsong/dsniff/
-
fragrouter: packetstorm.securify.com/UNIX/IDS/fragrouter-1.6.tar.gz
Çeviren: İnanç Özçubukçu
Siteye Ekleyen: renegadealien
Hit: 11569
Yazar: renegadealien