Sayfayı Yazdır | Pencereyi Kapat

IP Spoofing Teknikleri

Nereden Yazdırıldığı: Bilginin Adresi
Kategori: Bilgisayar Güvenliði / Computer Security
Forum Adı: Güvenlik / Security Makaleleri
Forum Tanımlaması: Bilgisayarýnýzý Her Türlü Saldýrýya Karþý Korumak Ýçin Yapmanýz Gerekenler
URL: https://www.bilgineferi.com/forum/forum_posts.asp?TID=8987
Tarih: 22-11-2024 Saat 00:39


Konu: IP Spoofing Teknikleri
Mesajı Yazan: megabros
Konu: IP Spoofing Teknikleri
Mesaj Tarihi: 29-03-2011 Saat 12:45

IP SPOOFING NEDÝR?


Internet veya aða baðlý sisteminizle baþka bir sisteme baðlanacaksýnýz, ama bu baðlantýn sizin tarafýnýzdan yapýldýðýný gizlemek istiyorsunuz. Bunun için baðlantý sýrasýnda kimliðinizi (ki TCP/IP protokollerinde kimliðiniz IP adresinizdir), yanlýþ gösteriyorsunuz. Ýþte bu yaptýðýný iþleme IP Spoofing denir ( Hani bunun teknik makale üslubu? ). Yani yaptýðýnýz baðlantýda IP adresinizi karþýdaki bilgisayara farklý gösterme iþlemine IP Spoofing denir.

IP SPOOFING YÖNTEMLERÝ:


IP Spoofing iki þekilde yapýlýr. Proxy/Socks sunucularýný kullanarak, veya IP paketlerini editleyerek. Proxy/Socks sunucusu kullanmak basit bir yöntemdir. Daha çok web/IRC baðlantýlarýnda IPyi gizlemek için kullanýlýr. IP paketlerini editleyerek yapýlan IP Spoofing çok etkilidir ve genel olarak D.o.S saldýrýlarýnda veya session-hijacking yönteminde kullanýlýr.

PROXY/SOCKS KULLANIMI:

Internetde gezdiðiniz sitelerin sizin IP adresinizi loglarýnda tutmamasý için, kullandýðýnýz browserýn baðlantý ayarlarýna girerek bir proxy sunucusu üzerinden baðlantý yapmasýný saðlayabilirsiniz. Bu þekilde siz aslýnda proxy sunucusuna baðlanmýþ olurken, proxy sunucusu sizin yerinize hedef bilgisayara baðlanmýþ olacaktýr. Örnek:

MySystem:1059 -> MyProxy:8080
MyProxy:1039 -> MyTarget:80

Önce sistemimiz (MySystem) kullanmak istediðimiz proxy`ye (MyProxy), proxynin portundan baðlanýyor. Proxy portlarý 80, 3128, 8080 gibi deðiþik portlar olabilir. Bu baðlantý saðlanýnca, sistemimiz daha üst bir protokol ile (HTTP, HTTPS), baðlanmak istediði hedef (MyTarget) bilgisayarla ilgili bilgiyi proxy`ye yolluyor. Proxy`de hedef bilgisayara baðlanýp bizim gönderdiklerimizi ona, ondan gelen bilgileri, bizim sistemimize aktarýyor. Böylece hedef bilgisayarýn baðlantý loglarýna bizim deðil Proxy`nin IPsi geçmiþ oluyor. Yalnýz bazý proxy yazýlýmlarý bu konuda tam olarak IP saklama özelliðine sahip deðil. Bizim isteðimizi karþý tarafa yollarken, bizim IPmizide HTTP baþlýðýna ekleyenler var. Loglarýn incelenmesi durumunda baðlantýnýn gerçekten kim adýna istenmiþ olduðu ortaya çýkýyor. Proxy kullanýmýnýn da IP adresinizin gizlenmesiyle ilgili bir de þu tehlike var. Sizin IP adresiniz, hedef bilgisayara iletilmese de proxy loglarýnda tutuluyor. Bu yüzden hedef bilgisayarýn admini, proxy sunucusunun loglarýna baþvurup sizin IPnizi bulabilir.

Eðer IP adresimizi webde surf yaparken deðil de, baþka bir TCP baðlantýsýnda spoof etmek istiyorsak socks sunucusu kullanabiliriz. Socks sunucularý genelde 1080. porttan baðlantý kabul ederler ve kullanýcýya Proxy sunucusundan çok daha fazla seçenek sunar. Socks sunucusu kullanarak telnet, ftp, IRC gibi TCP baðlantýsý kabul eden her sunucuya baðlanabilirsiniz. Socks sunucusu ile sistemimiz haberleþmek için TCP baðlantýsýný yaptýktan sonra socks protokolünü kullanýr. Örnek:

MySystem:1075 -> MySocks:1080
MySocks:1043 -> MyTarget:ftp

Proxy baðlantýsýnda olduðu gibi yine sistemimiz önce socks sunucusuna baðlanýr. Sistemimiz yapmak istediði baðlantýyý socks sunucusuna socks protokolü yardýmýyla bildirir. Socks sunucusu da bizim sistemimiz yerimize hedef bilgisayara baðlanýr. Bu sayede yine IP adresimiz hedef bilgisayara ulaþmamýþ olur.

IP Spoofing yöntemini durdurmak için hedef sunucuda socks sunucusu kontrolü olabilir. Yani baðlantý isteðini kabul etmeden önce baðlantýnýn bir socks sunucusundan gelip gelmediðini kontrol eder. Eðer baðlantý bir socks sunucusundan geliyor ise baðlantýyý kabul etmez. Özellikle socks sunucusu ile IP Spoof yapýlmasýnýn önlenmesi için IRC sunucularýnda bu kontrolün olduðunu görebilirsiniz.

Socks baðlantý desteði olan telnet ve ftp programlarýný internetden ücretsiz indirebilirsiniz. Zaten IRC istemcilerinin hemen hepsinde socks desteði vardýr. Socks ve Proxy sunucularýn listelerini CyberArmy sitesinden alýyordum. Siteyi uzun zamandýr ziyaret etmediðimden hala açýk mý, açýksa listeler hala yayýnlanýyor mu bilmiyorum.

IP PAKETLERÝNÝ EDÝTLEMEK


Bu basit proxy/socks yöntemi bir çoklarýnýn iþini görse de en etkili IP Spoofing yöntemi paketleri editlemektir. Eðer ileri düzeyde TCP/IP bilginiz varsa, IP paketlerin editlenmesi fikri size yabancý deðildir. Eðer IP paketlerindeki kaynak adreslerini editlerseniz, IP spoof yapýlmýþ paketler elde edersiniz. UDP/TCP/ICMP/IGMP paket yapýlarý, 3way handshaking ve Seq# ile Ack# karþýlaþtýrmalarýný anlatmak çok detaya kaçtýðý için ben sadece IP paketlerini editleyerek nelerin, nasýl yapýlabileceðinden bahsedeceðim:

TCP BAÐLANTISI GEREKMEYEN DURUMLARDA IP SPOOF:


Genelde TCP baðlantý gerekmediði durumlarda IP spoof yapmak, yapýlan D.o.S saldýrýlarýnýn kaynaðýnýn tespitini önlemek içindir. KOD, jolt, papasmurf gibi bir çok D.o.S saldýrýsýnda gönderilen paketlerin kaynak adresleri deðiþtirilerek, kaynaðýn gizliliði saðlanýr. Bu iþe yarayan programlarýn Linux için yazýlan kaynak kodlarýný packetstorm.securify.com adresinden bulabilirsiniz.

TCP SESSION HIJACKING:


Hacking için bazý durumlarda kendi IP adresimizden farklý bir adresle hedef sunucuya baðlanmamýz gerekebilir. Örneðin elimizde bir web sunucusu olsun. Sunucuya dosya güncellemek için sysadmin þirketin local aðýna ve lease line sattýðý x.x.x.x static IP adresi olan müþterisine izin vermiþ olsun. Yani web sunucusunun önündeki firewall, sunucunun ftp portuna gelen isteklerden sadece x.x.x.x adresinden gelenlere izin veriyor. Bu tip bir durumda bir hackerýn ftp root/admin þifresini bilmesine raðmen sisteme girebilmesi için bu x.x.x.x IP adresine sahip olmasý gereklidir. Bunu saðlamak için hacker sistemde tanýmlý olan x.x.x.x IP adresinden sahte bir baðlantý oluþturmalýdýr. Karþýmýza þu sorun ortaya çýkar: Biz gönderdiðimiz paketleri editleyerek kaynak adreslerini deðiþtirebiliyoruz ama sunucu aldýðý paketlere vereceði cevaplarý nereye yollayacak? Tabi ki sunucu cevaplarý bizim verdiðimiz sahte IP adresine yollayacak. TCP protokolündeki baðlantý kontrolünü bildiðinizi varsayarak böyle bir durumda sunucunun gönderdiði ve bizim alamadýðýmýz paketlere karþýlýk gelen doðru cevaplarýn (ve Seq# Ack#lerin) yollanmasýnýn ne kadar zor olduðunu tahmin edebileceðinizi sanýyorum.

MySystem
(Spoofed packet x.x.x.x:1027) -> MyTarget:80
MyTarget:1405 -> x.x.x.x:1027

Eðer bu gelen (kaybolan) paketlere doðru cevaplarý verirsek sahte bir oturum oluþtururuz. Buna da session hijacking denir. Hijacking de yapýlan spoof ikiye ayrýlýyor blind ve active spoof. Örnekte belirtilen x.x.x.x adresinin sizin local aðýnýzda bir makinaya ait olduðunu düþünelim. Böyle bir durumda x.x.x.x adresine gönderilen paketleri sniff yöntemiyle alýp, gereken seq#, ack#leri öðrendikten sonra hedef makinaya yeniden spoofed paketler yollarsanýz sahte oturumunuz hatasýz çalýþýr. Gelen paketler sniff yöntemiyle görülebildiðinden buna active spoof denir. Ama eðer x.x.x.x adresine gönderilen paketlerin sniff yöntemiyle alýnamayacaðý bir durumdaysanýz, yani bu paketler sizinle ayný local aðda deðil veya aðda hub yerine switch kullanýlýyorsa, o zaman blind spoof yapmanýz gerekir. Blind spoofde deneme yanýlma ve tahmin yoluyla sunucunun gönderdiði paketlerdeki seq# numarasýný bulmak gerekir.

Elimde Brecht Claerhout tarafýndan yazýlmýþ hijacking programýnýn Linux için kaynak kodu var. Sanýyorum ki 1.5-2 yýl önce onu neworder`dan indirmiþtim. Eðer neworder.box.sk da IP spoof kelimelerini aratýrsanýz eminim sizde bu kaynaða ulaþýrsýnýz. Bulamazsanýz benden boþuna istemeyin çünkü elimde sadece hardcopy var. :) Zamanýnda bu tip paha biçilmez kaynaklarý bulur bulmaz print out alýyordum.

Saygýlar.


-------------
WHÝTE HAT
BEYAZ ÞAPKA (BÝLGÝ NEFERÝ)



Sayfayı Yazdır | Pencereyi Kapat