Sniffing Saldırıları Ve Korunma Yöntemleri

Sniffing saldırısı, bilgisayar ağında veri paketlerinin yakalanması anlamına gelir. Paket sniffer, bu sniff saldırısını yapmak için kullanılan aygıt veya ortamdır. Ağ protokolü analizi denir. Paketler güçlü ağ güvenliği ile şifrelenmedikçe, herhangi bir bilgisayar korsanı verileri çalabilir ve analiz edebilir. Wireshark, Dsniff, Etherpeek vb. Gibi farklı paket sniffer’lar vardır.

Sniffing Saldırı Türleri:

  • LAN Sniff – Sniffer, dahili LAN’a saldırır ve canlı IP’lere, açık bağlantı noktalarına, sunucu envanterine vb. Erişen tüm IP’yi tarar. LAN dinlenmesinde bir bağlantı noktasına özgü güvenlik açığı saldırıları gerçekleşir.
  • Protokol Sniff – Kullanılan ağ protokolüne dayanarak, sniffer saldırıları gerçekleşir. ICMP, UDP, Telnet, PPP, DNS vb. Veya diğer protokoller gibi farklı protokoller kullanılabilir.
  • ARP Sniff – ARP Zehirlenme saldırıları veya paket sahteciliği saldırıları, IP adresi ve ilgili MAC adreslerinin bir haritasını oluşturmak için yakalanan verilere göre gerçekleşir.
  • TCP Oturumu çalma – TCP oturumu çalma, kaynak ve hedef IP adresi arasındaki trafik ayrıntılarını izlemek ve almak için kullanılır. Port numarası, servis tipi, TCP sıra numaraları, veriler gibi tüm detaylar bilgisayar korsanları tarafından çalınır.
  • Uygulama düzeyinde Sniff- Sunucuda çalışan uygulamalar uygulamaya özel saldırı planlamak için saldırıya uğradı.
  • Web şifresi Sniff – Kullanıcılar tarafından oluşturulan HTTP oturumu, kullanıcı kimliği, şifre ve diğer hassas bilgileri almak için sniffers tarafından çalınmaktadır.

Sniffing Yapmak için kullanılan araçlar:

Şu anda ve dünyada yaygın olarak kullanılan çeşitli sniff araçlarını görelim –

  • Wireshark – Ağdaki ağ ve paket akışlarını izlemek için yaygın olarak kullanılan ağ protokolü analizörü. Ücretsiz ve çok platformda çalışıyor.
  • Tcpdump – Daha az güvenlik riski vardır, sadece az kaynak gerektirir. Pencerelerde WinDump olarak çalışır.
  • Dsniff – Sadece UNIX ve Linux sistemlerinde farklı protokolleri dinlemek ve şifreleri ortaya çıkarmak ve ifşa etmek için kullanılır.
  • NetworkMiner – Ağ algılamayı basitleştirir, paket algılamasıyla ana bilgisayarı ve açık bağlantı noktalarını algılar. Çevrimdışı çalışabilir.
  • Kısmet – Gizli ağlardan ve SSID’lerden bile kablosuz ağlarda sniff yapmak için kullanılır. KisMac, MAC ve OSX ortamı için kullanılır.

EtherApe, Fiddler, OmniPeek, PRTG Network monitör ve benzeri gibi çeşitli paket dinleme araçları vardır.

MAC saldırıları ve Flooding Anahtarları:

MAC saldırıları CAM tablo overflow atak saldırısı olarak da bilinir, burada saldırgan doğrudan ana makineye saldırmaz, ancak ağ anahtarlarına saldırır. Bir ağ anahtarı, cihazları aynı bilgisayar ağında birbirine bağlamak için kullanılır. MAC flooding, anahtarların sahte adres / port eşleştirmesiyle şebeke anahtarlarının güvenliğini tehlikeye sokar. Anahtar çok fazla MAC adresi kaydedemez; Bu nedenle, bir açık haline girer ve böylece tüm gelen veriyi portlara yayınlamaya başlar. Böylece saldırgan kurbanın veri paketlerine erişir.

Bir MAC flooding atağını önlemek için, Port güvenliği (Cisco Switches), AAA sunucuları ile Kimlik Doğrulama, ARP veya IP spoofing ve IEEE 802.1X uygulamalarını uygulamak için Güvenlik önlemlerini kullanmamız gerekir.

Sniff Saldırılarını Algılama ve Korunma teknikleri:

Snifferları tespit etmek, özellikle paylaşılan bir Ethernette çoğunlukla pasif olduğundan (sadece veri topladığından) zor olabilir. Anahtarlı bir ethernet ağı parçası üzerinde çalışırken, aşağıdaki teknikleri kullanarak sniff saldırısını algılamak daha kolaydır;

  • Ping yöntemi – Etkilenen makinenin IP adresinin ping isteği gönderildiğinde, şüpheli makine hala çalışıyorsa, sniffer makine ping’e yanıt verebilir. Bu kesinlikle güvenilir bir yöntem değildir.
  • ARP yöntemi – Makineler her zaman ARP’yi yakalar ve önbelleğe alır. Yayınlanmamış bir ARP’yi gönderdikten sonra, sniffer / promiscuous makine ARP’yi önleyecek ve yayın ping ile cevap verecektir.
  • Yerel Sunucuda – Günlükler, makinenin bir sniffer saldırısında çalışıp çalışmadığını bulmak için kullanılabilir.
  • Gecikme metodu – Ping zamanı, sniff saldırısını tespit etmek için kullanılır, zaman genellikle kısadır. Yük, dinleyici tarafından ağırsa, pingleri yanıtlamak uzun zaman alır.
  • ARP Watch – ARP’nin yinelenen bir önbelleğini gördüğünde alarmları tetiklemek için kullanılır.
  • IDS kullanma – Ağda ARP sahtekarlığı için saldırı tespit sistemleri izler. Paketlenmiş ARP adresleriyle ağdaki paketleri kaydeder.

Sniff Ataklarını önlemenin en iyi yolu, şifreleme araçlarının kullanımıdır, ağ geçidinin MAC adresini kalıcı olarak ARP önbelleğine eklemek, SSH’ye geçmek, http yerine https, vb. tarzı güvenlik önlemleri alınarak kullanılabilir.

Dilimin döndüğü kadarıyla sniff olayından bahsettim. Bu yazı 3-5 nöbetinde yazılmıştır eksik yada kusurlu bir taraf varsa uyarabilirsiniz. Başka yazıda görüşmek üzere 🙂

 

Bunlara da bakmak isteyebilirsin ;)

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir