Güvenlik / Security Makaleleri - Veri Güvenlikleri

* Service overloading: Bu atak tipi belirli host ve servisleri düşürmek için kullanılır. Atak yapan kişi özel port ve host’a bir çok ICMP paketi gönderir. Bu olay network monitör ile kolayca anlaşılır

* Message flooding: Service overloading’den farkı sistemin normal çalışmasını engellemez. Yine aynı şekilde gönderilen paketler bu sefer normal olarak algılanır. Örnek Nis server’ında flood yapılırsa (Unix network) Nis bunu şifre isteği gibi görür ve saldırganın host’a hükmetmesi sağlanır.

Clogging: Saldırganın SYN gönderip ACK alıp ondan sonra da gelen ACK’ya cevap vermeyip sürekli SYN göndermesinden oluşur. Bu durum defalarca kez tekrarlanırsa server artık cevap veremez hâle gelir. Bu paketler sahte IP ile gönderildiğinden sistem bunu anlayamaz ve hizmeti keser. Anlasa ne olur? Anlasa aynı IP’ den gelen o kadar isteğe cevap vermez. Kurtuluş yolu bunları tarayan firewall’lardır.

* Ping of death: Bir saldırgan hedef aldığı bir makineye büyük ping paketleri gönderir. Birçok işletim sistemi, gelen bu maksimum derecede paketleri anlayamaz, cevap veremez duruma gelir ve işletim sistemi ya ağdan düşer ya da çöker.

* SSPing: SSPing bir DoS aracıdır. SSPing programı hedef sisteme yüksek miktarda ICMP veri paketleri gönderir. İşletim sistemi bu aldığı data paketlerini birbirinden ayırmaya çalışır. Sonuç olarak bir hafıza taşması yaşar ve hizmet vermeyi durdurur.

* Land exploit: Land Exploit bir DoS atak programıdır. TCP SYN paketiyle hedef sisteme saldırıdır. Saldırı aynı port numarasına sürekli olarak yapılır.Land Expoit aynı kaynak ve hedef portları kullanarak SYN paketleri gönderir.Bir çok makine bu kadar yüklenmeyi kaldıramayacağı için Buffer overflow yaşar ve hiçbir bağlantıyı kabul edemeyecek duruma gelir.

* Smurf: Smurf broadcast adreslere ICMP paketleri gönderen bir DoS Saldırı programıdır. Saldırgan ICMP echo istekleri yapan kaynak adresi değiştirerek ip broadcast’a gönderir. Bu broadcast network üzerindeki her makinenin bu istekleri almasını ve her makinenin bu sahte ipli adrese cevap vermesini sağlar.Bu sayede yüksek seviyede network trafiği yaşanır. Sonuç olarak bir DoS saldırısı gerçekleşmiş olur.

Bir TCP bağlantısının başında istekte bulunan uygulama SYN paketi gönderir. Bunacevaben alıcı site SYN-ACK paketi göndererek isteği aldığını teyit eder. Herhangi bir sebeple SYN-ACK paketi gidemezse alıcı site bunları biriktirir ve periyodik olarak göndermeye çalışır.Zombiler de kullanılarak, kurban siteye dönüş adresi kullanımda olmayan bir IPnumarası olan çok fazla sayıda SYN paketi gönderilirse hedef sistem SYN-ACK paketlerini geri gönderemez ve biriktirir. Sonuçta bu birikim kuyrukların dolup taşmasına sebep olur ve hedef sistem normal kullanıcılarına hizmet verememeye başlar.

* WinNuke: WinNuke programı hedef sistemin 139 nu.lı portuna “out of band”adı verilen verileri gönderir. Hedef bunları tanımlayamaz ve sistem kilitlenir.

* Jolt2: Jolt2 kendisini farklı segmentte bulunuyormuş izlenimi vererek NT/2000 makinelere DoS atak yapabilen bir programdır. İllegal paketler göndererek hedefin işlemcisini %100 çalıştırıp kilitlenmesine yol açar.

Komut satırında görülen, 1.2.3.4 ip numarası saldırganın spoof edilmiş adresidir.

* Bubonic.c: Bubonic.c Windows 2000 makineleri üzerinde DoS exploitlerinden faydalanarak çalışan bir programdır. Hedefe düzenli olarak TCP paketlerini gönderir.

* Targa: Targa 8 farklı modül içinde saldırı yapabilen bir Denial of Service programıdır.DoS (nuke) saldırı türleri aşağıdaki gibidir.

* NUKE: Nuke, sisteminizi kilitleyen, göçerten, internet erişimini kesen ve bu gibi zararlar veren saldırılara Nuke (nükleer bombanın kısaltması gibi) adı verilir. Nuke, siz internete bağlıyken ISS nizce size verilen bir ip numarası yardımı ile bir başka kişinin özel programlar yardımı ile bilgisayarınıza paketler göndermesi ve bu paketlerin bilgisayarınıza zarar vermesidir.

* OOB Nuke: (Out of band Nuke ) Sadece Windows NT ve 95’te bir bug olan OOB nuke, işletim sistemi Windows olan bir makinenin 139. portuna (Netbios session port) MSG_OOB tipi bir bağlantı (connection) yapılmasıyla gerçekleşir. Eğer 95 kullanıyorsanız sisteminizin mavi ekran vererek internet bağlantısının kopmasına, NT kullanıyorsanız sistemin durmasına yol açar.

* Land: Bilgisayarı kendi kendine senkronize ettirerek, arka planda internet meselelerini yürüten Winsock adlı programın sonsuz döngüye girmesini sağlar. Böylece farenizi bile hareket ettiremezsiniz. Kaynak IP (Source), Kaynak Port ve Hedef IP (Destination IP) IP, Hedef Port’un aynı olduğu bir IP paketi, Land saldırısının gerçekleşmesini sağlar.

* Teardrop, Boink, Nestea: İnternet üzerinde gelen giden veri, parçalar hâlinde taşınır, daha sonra işletim sistemi tarafından birleştirilen paket parçacıkları veriyi oluşturur (fragmentation). Çoğu sistemin duyarlı olduğu bu saldırı tipleri, bilgisayarınızın bozuk olarak bölünmüş 2 paketi birleştirmeye çalışması ile gerçekleşir. Boink, teardrop saldırısının ters olarak çalışan hâlidir. Nestea, teardrop saldırısının küçük değişimlere uğramış hâlidir ve teardrop ve boink saldırılarına karşı patch edilmiş Linux sistemlerinde etkilidir.

* Brkill: Eğer Windows yüklü bir bilgisayara, bağlantının sonlanması ile oluşan PSH ACK tipi bir TCP paketi gönderirseniz Windows size o anki son bağlantı seri numarasını gönderir. Buradan yola çıkarak hedef makinedeki herhangi bir bağlantıyı zorla kesmeniz mümkün olur.

* ICMP Nuke: Bilgisayarlar çoğu zaman aralarındaki bağlantının sağlamlığını birbirlerine ICMP paketleri göndererek anlarlar. Bu saldırı var olan bir bağlantının arasına sanki hata varmış gibi ICMP_UNREACH paketi göndererek oluşur.

* Jolt/SSPing: Windows 95 ve NT’nin yüksek boyuttaki bölünmüş ICMPpaketlerini tekrar birleştirememesinden kaynaklanan bir saldırı tipidir. 65535+5 byte’lık bir ICMP paketi göndermek bu saldırıyı gerçekleştirir.

* SMURF: Networkler’de “broadcast address” olarak tanımlanan ve kendine gelen mesajları bütün network’e yönlendiren makineler vardır. Eğer birisi başka biri adına o makineye ping çekerse, ağ üzerindeki bütün çalışan makineler hedef olarak belirlenen makineye ping çeker. Smurf, bu işlemi yüzlerce broadcast makineye tek bir kaynak IP adresinden ping çekerek saldırı hâline çevirir. Bir anda bilgisayarlarınıza on binlerce bilgisayarın ping çektiğini düşünürsek değil sizin şirketinizin bağlantısı, maalesef Turnet (Türkiye internet omurgası) çıkış gücü bile buna cevap vermeye yetmez ve bağlantılarınız kopar.

* Suffer: Suffer saldırısı bilgisayarınıza sanki binlerce farklı bilgisayardan bağlantı isteği geliyormuş gibi SYN paketleri gönderir. Bu saldırının sonunda Windows yeni bağlantılar için yeterli hafıza ayıramaz ve kalan hafızayı da bitirir. Bazı firewall türleri de böyle bir durum karşısında binlerce soru kutucuğu açarak makinenin kilitlenmesine sebep olur.

Bir saldırgan daha önceden tasarladığı birçok makine üzerinden hedef bilgisayara saldırı yaparak hedef sistemin kimseye hizmet veremez hâle gelmesini amaçlayan bir saldırı çeşididir. Koordineli olarak yapılan bu işlem hem saldırının boyutunu artırır hem de saldırıyı yapan kişinin gizlenmesini sağlar. Bu işlemleri yapan araçlara Zombi denir.

Bu saldırı çeşidinde saldırganı bulmak zorlaşır. Çünkü saldırının merkezinde bulunan

saldırgan aslında saldırıya katılmaz. Sadece diğer ip numaralarını yönlendirir. Eğer saldırı bir tek ip adresinden yapılırsa bir Firewall bunu rahatlıkla engelleyebilir. Fakat saldırının daha yüksek sayıdaki IP adresinden gelmesi Firewall’un devre dışı kalmasını sağlar(Log taşması firewall servislerini durdurur.).İşte bu özelliği onu DoS saldırısından ayıran en önemliözelliğidir.

ulaşılır ve saldırıyı gerçekleştirecek olan programlar yüklenir. Bunlar birincil

* DDoS Attack Phase: Bu safhada hedef sitelere saldırı yapılır bunun için de

(bu komut 23.4.56.4 numaralı IP’den 56.3.4.5 numaralı IP’ye saldırı başlatır.)

* Stacheldraht: TFN ve Trinoo gibi çalışır fakat modüllerine paketleri kriptolu gönderebilir.

Exploit’in kelime anlamı “kötüye kullanma, sömürme” demektir. Yani sisteminizinnormal bir özelliğinin bir açığını yakalayarak, bunu kötüye kullanabilir, sisteminizdeki,bilgilere ulaşabilirler. Exploit’ler genelde sistem tabanlı olarak çalışırlar yani Unix’e ait bir exploit Windows için çalışmaz. Bugüne kadar bulunan yaklaşık olarak 1000’in üzerinde exploit var. Ve bunların hepsinin nasıl çalıştığını anlatmamız güvenlik sebeplerinden dolayı mümkün değildir. Aşağıda çok popüler olan bir kaç tanesinden bahsedilecektir.

Windows Null Session Exploit: Windows işletim sistemi, dışarıdaki kullanıcılaranetwork üzerinde hiç bir hakka sahip olmadan oturum, kullanıcı ve paylaşım bilgilerini (session, user ve share) verir. Ve ne kadar ilginçtir ki, bu exploit, Windows Network API’sinde belgelenmiş ve feature (özellik) olarak gösterilmiştir. Kötü niyetli birisi bu exploit’i kullanarak sistem hakkında çok kritik bilgilere sahip olabilir.

PHF Exploit: Bu exploit oldukça eski olmasına rağmen hâlen karşılaşabileceğiniz bir güvenlik açığıdır. Phf cgi yardımı ile sistemdeki dosyalara admin olarak erişebilirsiniz. Yukarıdaki örnek Unix işletim sistemi ya da türevini kullanan bir makineden kullanıcı bilgilerinin ve şifrelerinin bulunduğu passwd dosyasını görmenizi sağlar.

ASP Exploit: Active server page (ASP) özelliği kullanan Web sunucularda URL’nin sonuna bir nokta (.) ya da ::şDATA yazarak ASP’nin içeriğini (source code) görebilirsiniz.

Eğer ASP’nin içerisinde herhangi bir şifre varsa bu exploit çok tehlikeli olabilir.

Sendmail Exploit: Eski “send mail” sürümlerinde bir kaç basit hile ile sisteminşifrelerinin tutulduğu dosyayı çekmeniz mümkündür. Ayrıca sistem kullanıcıları hakkında bilgi almak (EXPN) ya da bir kullanıcı isminin o sunucuda olup olmadığını da öğrenmek mümkündür (VRFY).

ICQ Tabanlı Exploitler: Son derece zayıf bir mimariye sahip olan ICQ sistemi,kolayca taklit edilebilen hatta gerçek “spoofing” bile yapmanıza gerek kalmayan birsistemdir. ICQ kullanıcıları kolayca mesaj bombasına tutulabilir, şifreleri değiştirilebilir, onaya gerek kalmadan listenize alabilir, IP’si kullanıcı istemese bile görülebilir ya da ICQ chat yaparken mesaj taşması (flooding) yapılabilir