Tem.20

Hacker ve Toplum Mühendislerinin Uyguladıkları Popüler Saldırı Metotları ve Alınabilecek Önlemler – Ağdaki Bilgileri Koklamak ve Analiz Etmek

Koklamak kavramı, iz süren avcı köpeği ile eşleşebilir. Nasıl ki bir av köpeği araziyi koklayarak avının izlerini arıyor ise hackerlar’da yerel ağımızda koklama yaparak sızıntı bilgileri arar.

Hatları koklamak teriminin hack dilindeki karşılığı sniffing’tir. Bu işi yapanlara da sniffer (koklayıcı) denir. Koklayıcılar da hacker’ların bir değişik varyasyonudur.

Koklama tekniği ile saldırı metodunu incelemeden önce ilk olarak yerel ağ sisteminin nasıl işlediğine kısaca bir değinelim.

Yerel ağ (LAN) üzerinde ki bilgisayarları birbirine bağlamak için çeşitli donanımlar ve yazılımlar gerekir. Bir yerel ağ üzerinde en az iki bilgisayar bulunmak zorundadır. Bu bilgisayarlardan bir tanesi yönetici bilgisayar ve diğer kalanlar ise istemci bilgisayarlardır. Yönetici ve istemci bilgisayarları birbirine bağlamak için ethernet kartları kullanılır. Günümüzde üretilen bilgisayarlarda ethernet kartları ana kart ile bütünleşik olarak üretilmektedir.

Yerel ağ üzerinden veri akışı sağlanabilmesi için TCP/IP protokolü kullanılır.

İstemciye ait Ethernet kabloları bir HUB’a veya direkt olarak modeme bağlanır. Modem ise ağ üzerinde yer alan her bir bilgisayara otomatik olarak birer IP atar. Atanan IP aralığı 10.0.0.2 – 10.0.0.255 aralığında olur. IP numarası tanımlanan ağ üzerinde yer alan bilgisayarların arasında veri alışverişi sağlanabilir.

Yerel ağ trafiği şöyle işlemektedir.

Yerel ağa bağlı herhangi bir bilgisayardan bir veri gönderildiğinde direkt olarak modeme gönderilir. Modemde ise gönderilen veriler incelenir. Modeme gelen veri paketleri Hedef IP+Veri Paketi şeklinde olmaktadır. Modem bu veri paketinde yer alan IP numarasına bakar ve ilgili bilgisayara veri paketini gönderir.

Şimdi gelelim sniffing olayına.

Sniffing saldırısı için özel olarak üretilmiş yazılımlar bulunmaktadır. Bu yazılımlar ağ üzerindeki modeme veya hub’a yerleşir. Herhangi bir bilgisayara yerleşmediği için bu tür yazılımların kontrolü ve takibi de zor olmaktadır. Ağa yerleşen sniffer yazılımları modeme gelen her bir veri paketini ayırt etmeksizin ana bilgisayar üzerinden sahibine çevrimiçi hizmetler ile iletir. Veri paketlerini ele geçiren koklayıcı ise bu veri paketlerini okur, aradığı bilgiye ulaşır.

Günümüzde birçok sniffer programı mevcuttur. Örnek olarak sadece ağ üzerindeki konuşma programlarını okuyanlar, e-posta hesaplarını okuyanlar, ağ üzerinde paylaşılan dosyaları okuyanlar gibi ayrılmaktadır.

Peki, bir sniffing atağına maruz kaldığınızı nasıl anlayabilirsiniz?

Öncelikle ağ hızınız yavaşlamış ise bu en büyük belirtidir. Sonraki belirti ise ağ üzerinden aldığınız (indirdiğiniz) dosyalar bozuk geliyor ise bu da bir belirti olabilir.

Eğer ağınızda bir sniffer yazılımı olduğunu düşünüyorsanız ilk yapacağınız iş TCP/IP protokolünü takip altına almaktır. İkinci önlem ise bir anti-sniffer programı ile ağ kontrolü yapmak, veri paketlerini şifrelemek olacaktır. Şifrelenen veriler koklayıcının eline geçse bile veriler anlaşılmaz halde olacaktır.

Donanımsal olarak alınabilecek önlem ise bir anti-sniffer switch’leri kullanmaktır. Bu swich’ler ağ veri trafiğini kontrol altına alır. Switch’ler bilgisayarların IP adreslerine değil MAC adreslerine bakar. Her bilgisayar için kendine özgü MAC adresleri bulunmaktadır. HUB veya Router’dan gelen IP+Veri bloğunu MAC+Veri bloğuna çevirir ve sadece hedef bilgisayara veri yolu çizer.

(Senaryo) Örnek: Çalışan Kontrolü

IT departmanında yer aldığım bir yazılım-tasarım şirketinde patronumdan şöyle bir istek geldi. Çalışanların internette çok fazla vakit harcadığını, bu durumdan şikayetçi olduğunu söyledi. Benden internette en çok vakit harcayan, mesai saatlerinde sohbet eden kişilerin delilleri ile birlikte bir listesini tutup tutamayacağımı sordu. Ben de o dönemlerde ağ yönetiminden pek fazla anlamıyordum. Aslında bir ağ yönetim yetkisi alarak birtakım Microsoft Windows Server yönetim programları ile bu işi bir şekilde çözebilirdim. Fakat biraz üşengeçliğime gelmiş olmalı ki işin karanlık tarafına doğru yöneldim. İlk aklıma gelen yöntem, her bir kullanıcının bilgisayarına keylogger yüklemek ve tek tek her kullanıcıya ait klavye girdilerini kayıt altına almaktı. Ancak bu riskli bir durumdu. Şirket dışından bir başkası da o sırada saldırı yaparsa içinden çıkılmaz bir duruma zemin hazırlamış olurdum. İkinci aklıma gelen ise bir sniffer programı kullanmak oldu. Hemen internette kısa bir araştırma yaptım ve yönetebileceğim türden bir sniffer yazılımı aldım ve yönetici bilgisayardan yükledim. Elimde de sniffer’ın yönetim programı vardı. Bütün gün boyunca sniffer’ı aktif bir şekilde bıraktım. Akşam mesai sonunda ise sniffer’ın oluşturduğu günlük raporu kullanıcıların bilgisayarlarının IP’lerine göre sıraladım. Elde ettiğim verileri yazıcıdan çıkarıp ertesi gün patronumun masasına bıraktım. Ay sonunda ise üç kişi işten çıkarılmıştı.

İçeriği paylaş:
  • facebook
  • twitter