İçeriğe geç

Önay Metin Kıvılcım Yazılar

DDOS neden hack değil?

Bu sene oldukça popüler olan bir konu olarak DDOS(Distrubuted Denial Of Service) saldırısını eminim hepiniz duymuşsunuzdur. Genellikle teknik bilgisi olmayan kişilerin (Script kiddie) yapmış olduğu ve genelde toplum tarafından tam olarak bilinmediği için bir hack olayıymış gibi görünmesine yol açan saldırı türüdür. En basit şekilde anlatmak gerekirse server a istek yollamaktır. Peki sizin yolladığınız istek ile saldıran kişinin yolladığı istek arasındaki fark nedir? Çok daha fazla olması ve paket büyüklüklerinin büyük olmasıdır. Olayı şöyle anlatabiliriz. Bir vagon düşünün normalde 30 kişi binebiliyor ve siz bu vagona 400 kişi bindirmeye çalışıyorsunuz. Haliyle vagon gitmeye çalıştığında çok fazla yük olduğundan dolayı hareket edemiyor ve olduğu yerde kalıyor. Sorunu çözmek için yapmanız gereken şey vagon daki kişi sayısı 30 olana kadar azaltmak ya da bir kaç vagon daha eklemektir.

Nasıl yapıyorlarda o kadar bilgisayardan paket yolluyorlar?

Aslında bu sorunun cevabı başkalarının kendi bilgisayarında halay çekmesine izin veren kişiler daha iyi cevap vereceklerdir. Hiç bir bilgisayar durdur yere bir server a istek yollamaz. Bu olayı tetikleyen bir şeylerin olması gereklidir. İşte bu olayı tetikleyen şeyde virüslerin ta kendileridir. Hackerler virüsler yazar bilgisayarları ele geçirir ve amacı doğrultusunda o bilgisayarı kontrol eder. Genelde yayılma eğiliminde olan virüsler yayıldıkları bilgisayarları zombiye bilgisayar a çevirirler. Zombiyi bilmeyen zaten yoktur. Zombi ağının teknik ismi ise Botnet ağıdır. Yani başka bir bilgisayar tarafından kontrol edilen sayısızca bilgisayarın oluşturduğu koloniye botnet ya da zombi ağı denir. Ve bu koca ordu ya saldır emirini verdiğinizde…

İyide bu kadar bilgisayarı ele geçirmek hackerlık değil mi?

Evet bu kadar bilgisayar bulaşmak ve onları kontrol altına almak bir hackerlık sanatıdır. Fakat hackerler daha çok bu sistemi hazır hale getirip para karşılığında insanlara kiralayan kişilerdir. Kendileri bu yöntemi çok fazla kullanmazlar çünkü web sunucusunun belli bir süre çalışamamasından başka bir işe yaramayacağını bilirler.

Peki siz bir yere saldıracak olsanız?

Evinizde bir bilgisayarınız var. Ve bildiğiniz gibi serverlar çok güçlü bilgisayarlar. Tek bir bilgisayardan yollayacağınız büyük veri paketleri işe yarayacak mıdır? Cevap yaramayacaktır. Peki ya bir elin nesi var 2 elin sesi var dersem? İşte o zaman işler değişiyor. Çok fazla sayıdan aynı anda, sürekli ve büyük veri paketleri yollandığı zaman sunucu bu kadar isteğe cevap veremez hale geliyor ve erişime kendini kapatıyor. Bir nevi çocukluğumuzu çürüten o mavi ekran hatası gibi.

Yok mu bunun çözümü doktor bey?

Malesef yok. Fakat önlemler var! Nedir bu önlemler derseniz öncelikle serverınıza çok fazla istek geldiğinde genişleyebilecek yani iş yükünü bir kaç server a paylaştırabilecek bir ağ tabanı kurabilirsiniz. Böylelikle yoğun zamanlarda işi paylaşıp yükünüzü azaltabilirsiniz. Yani bir kaç vagon ekleyebilirsiniz.

Bir diğer yöntem olarak az önce büyük veri paketleri demiştim. Güvenlik duvarınız ile makul bir paket boyutu belirleyip bu boyutun üstünde gelen paketleri engelleyebilirsiniz. Yani vagonunuza 60 kg dan ağır insanları almazsınız.

Vagona binen insan ırklarınıda belirleyebilirsiniz. Örneğin bu vagona asyalılar binemesin diyebilirsiniz. TCP paketlerine izin verip UDP paketlerini engelleyebilirsiniz. Hatta daha detaylıda yapabilirsiniz.

Belli IP adresinden o an çok fazla geliyorsa(ki bu zaten DOS saldırısı oluyor) o IP adresini engelleyip isteklerden kurtulabilirsiniz.

Sonuç olarak DDOSdan tamamen kurtulmanın bir yolu yok. Ama önlemler alınabilir. Bu önlemlerle büyük ölçüde önüne geçmiş olursunuz. Bu sene oldukça popüler olan bir konu olarak DDOS(Distrubuted Denial Of Service) saldırısını eminim hepiniz duymuşsunuzdur. Genellikle teknik bilgisi olmayan kişilerin (Script kiddie) yapmış olduğu ve genelde toplum tarafından tam olarak bilinmediği için bir hack olayıymış gibi görünmesine yol açan saldırı türüdür. En basit şekilde anlatmak gerekirse server a istek yollamaktır. Peki sizin yolladığınız istek ile saldıran kişinin yolladığı istek arasındaki fark nedir? Çok daha fazla olması ve paket büyüklüklerinin büyük olmasıdır. Olayı şöyle anlatabiliriz. Bir vagon düşünün normalde 30 kişi binebiliyor ve siz bu vagona 400 kişi bindirmeye çalışıyorsunuz. Haliyle vagon gitmeye çalıştığında çok fazla yük olduğundan dolayı hareket edemiyor ve olduğu yerde kalıyor. Sorunu çözmek için yapmanız gereken şey vagon daki kişi sayısı 30 olana kadar azaltmak ya da bir kaç vagon daha eklemektir.

Nasıl yapıyorlarda o kadar bilgisayardan paket yolluyorlar?

Aslında bu sorunun cevabı başkalarının kendi bilgisayarında halay çekmesine izin veren kişiler daha iyi cevap vereceklerdir. Hiç bir bilgisayar durdur yere bir server a istek yollamaz. Bu olayı tetikleyen bir şeylerin olması gereklidir. İşte bu olayı tetikleyen şeyde virüslerin ta kendileridir. Hackerler virüsler yazar bilgisayarları ele geçirir ve amacı doğrultusunda o bilgisayarı kontrol eder. Genelde yayılma eğiliminde olan virüsler yayıldıkları bilgisayarları zombiye bilgisayar a çevirirler. Zombiyi bilmeyen zaten yoktur. Zombi ağının teknik ismi ise Botnet ağıdır. Yani başka bir bilgisayar tarafından kontrol edilen sayısızca bilgisayarın oluşturduğu koloniye botnet ya da zombi ağı denir. Ve bu koca ordu ya saldır emirini verdiğinizde…

İyide bu kadar bilgisayarı ele geçirmek hackerlık değil mi?

Evet bu kadar bilgisayar bulaşmak ve onları kontrol altına almak bir hackerlık sanatıdır. Fakat hackerler daha çok bu sistemi hazır hale getirip para karşılığında insanlara kiralayan kişilerdir. Kendileri bu yöntemi çok fazla kullanmazlar çünkü web sunucusunun belli bir süre çalışamamasından başka bir işe yaramayacağını bilirler.

Peki siz bir yere saldıracak olsanız?

Evinizde bir bilgisayarınız var. Ve bildiğiniz gibi serverlar çok güçlü bilgisayarlar. Tek bir bilgisayardan yollayacağınız büyük veri paketleri işe yarayacak mıdır? Cevap yaramayacaktır. Peki ya bir elin nesi var 2 elin sesi var dersem? İşte o zaman işler değişiyor. Çok fazla sayıdan aynı anda, sürekli ve büyük veri paketleri yollandığı zaman sunucu bu kadar isteğe cevap veremez hale geliyor ve erişime kendini kapatıyor. Bir nevi çocukluğumuzu çürüten o mavi ekran hatası gibi.

Yok mu bunun çözümü doktor bey?

Malesef yok. Fakat önlemler var! Nedir bu önlemler derseniz öncelikle serverınıza çok fazla istek geldiğinde genişleyebilecek yani iş yükünü bir kaç server a paylaştırabilecek bir ağ tabanı kurabilirsiniz. Böylelikle yoğun zamanlarda işi paylaşıp yükünüzü azaltabilirsiniz. Yani bir kaç vagon ekleyebilirsiniz.

Bir diğer yöntem olarak az önce büyük veri paketleri demiştim. Güvenlik duvarınız ile makul bir paket boyutu belirleyip bu boyutun üstünde gelen paketleri engelleyebilirsiniz. Yani vagonunuza 60 kg dan ağır insanları almazsınız.

Vagona binen insan ırklarınıda belirleyebilirsiniz. Örneğin bu vagona asyalılar binemesin diyebilirsiniz. TCP paketlerine izin verip UDP paketlerini engelleyebilirsiniz. Hatta daha detaylıda yapabilirsiniz.

Belli IP adresinden o an çok fazla geliyorsa(ki bu zaten DOS saldırısı oluyor) o IP adresini engelleyip isteklerden kurtulabilirsiniz.

Sonuç olarak DDOSdan tamamen kurtulmanın bir yolu yok. Ama önlemler alınabilir. Bu önlemlerle büyük ölçüde önüne geçmiş olursunuz.

Kablosuz Ağlarda Güvenlik

Malum artık hepimizin evinde bir internet bağlantısı var. Telefonumuzu, tabletimizi, laptop, masaüstü ve hatta televizyonlarımızı bile bu ağa bağlıyoruz. MITM saldırısına maruz kalmak istemiyor ya da yan komşumuzun internetimizi kullanmasını istemiyorsak bir takım ayarlar yapmamız gerek. Bu yazıdada geçen hafta başlamış olduğum yazı dizisine kablosuz ağlar ile devam etmek istiyorum.

Yazının adı kablosuz ağda güvenlik fakat sadece kablosuz ağ olarak değil evinizdeki intraneti nasıl koruyabileceğinizi anlattığım ufak öneriler bulunacak. Lafı daha fazla uzatmadan yapılacak ayarlara geçelim.

1-WPA-2: Kablosuz ağınızı kesinlikle şifreleme teknolojisi olmadan kullanmayın. Çağımızda WEP ve WPA güvensiz. O yüzden WPA-2 kullanın. Ağınızda WPA-2 yi desteklemeyen cihazlar bulunuyorsada atın gitsin.

2-WPS: Kablosuz iletişimi destekleyen cihazları birbirine bağlamak için WPS adında bir teknoloji bulunuyor. Bu teknolojide 8 karakterlik bir PIN kullanılıyor. 2 cihazdada aynı anda WPS tuşlarına bastığınızda 2 cihaz birbirine bağlanmış oluyor. Fakat bu yeterince güvenli bir yöntem değil. O yüzden WPS özelliğini modeminizden kapatın.

3-Firewall: Modeminizi aldığınızda genelde varsayılan olarak Firewall aktif gelir. Bu Firewall ü kapatmayın. Ayrıca modeminizde anti-DDOS özelliğide bulunuyorsa açmakta fayda var. Bu 2 özelliğin tam olarak işe yaradığını söyleyemesekde açmakta fayda var.(Tıpkı antivirüs programları gibi)

4-SSID: SSID (Ağınızın görünün ismi)inizi gizleyin. Etrafınızdaki insanların ağınızın olduğunu bilmeye ihtiyacı yok. Ağınızın adını alakasız bir şey yapın ve gizleyin. Böylelikle etrafınızdaki kişiler kablosuz ağları tarattığında ağınızı göremeyecektir.(Tabiki gören yazılımlar mevcut)

5-Modem Arayüz Parolası: Modeminizi aldığınızda varsayılan olarak gelen parolayı ve kullanıcı adını değiştirin. Böylelikle davetsiz misafirlerin ağınızını yönetmesini engellemiş olursunuz.

6-Uzaktan Yönetim: Bazı modem cihazları son kullanıcıların teknik bilgiye sahip olmamasından dolayı uzaktan yönetimi varsayılan olarak açık bir şekilde satarlar. Böylelikle servis sağlayıcınız kolaylıkla modeminize bağlanarak sorunu giderebilir. Fakat bu beraberinde güvenlik zafiyetide oluşturuyor. Bu yüzden uzaktan yönetim özelliğini devre dışı bırakın.

7-MAC Filtrelemesi: Modeminizin arayüzünden ağınıza bağlanabilecek cihazların MAC adreslerini girin. Bu MAC adreslerden birine sahip olmayan cihazlar ağınıza bağlanamayacaktır. Tabiki MAC adresini değiştirme araçları ile çok kolay bir şekilde o cihaz taklit edilebilir. Fakat bunun için o cihazların MAC adreslerini bilmesi gerekir. Çok güvenli olmasada ekstra bir güvenlik katmanı olduğundan bunuda kullanmanızı öneriyorum. Ayrıca unutmadan belirteyim hiçbir zaman ağınıza bağlanamayacak MAC adreslerini(blackbox) yazmayın. Sadece bağlanabilecek cihazların MAC adresini(whitebox) yazın.

8-Log Kayıtları:Ağınızda olup bitenleri incelemek için log kayıtlarını monitör etmekte fayda var. Bazı modemlerde log kayıtlarını bilgilendirme, saldırı, hata vb. şeklinde ayırabiliyorsunuz. Şuan kullandığım modemde bu şekilde. En azından modeminizde saldırı ve ya kritik durumları loglar ve incelerseniz sizin açınızdan faydalı olur.

9-Boya: “Yok abi ben piskopatım benim ağıma kimse bağlanmasın.” diyorsanız bunun içinde evinizi kablosuz ağ sinyallerinizi geçirmeyen özel bir boya ile boyatabilirsiniz. Tabi bu biraz piskopatça bir yöntem. Bknz: http://arsiv.ntvmsnbc.com/news/474116.asp

Aradaki Adam Saldırısı (M.I.T.M.)

Man on the middle saldırısı yapmadan önce ufak bir ağın nasıl çalıştığı bilinmelidir.

Evinizde 2 bilgisayar ve 1 modem olduğunu düşünelim. Öncelikle sizin ağınızı dünyadaki diğer bütün ağlardan,istemcilerden,serverlardan vb. cihazlardan ayırmak için servis sağlayıcınız ( Yani internet erişimini aldığınız kurum:TTNET,SuperOnline,D-Smart vb.) size bir IP adresi verir.

Dinamik ve statik olmak üzere 2 çeşidi vardır. Dinamik IP adresi modeminizi her kapatıp açtığınızda değişen IP adresi demektir. Statik IP adresi ise tam tersi yani değişmeyen bir IP adresi demektir. Bu IP çeşiti genelde serverlar için kullanılır. Ekstra ücreti vardır.

Özel bir durum olmadığı sürece bütün istemciler dinamik IP adresi kullanır. Hemen burada çok bilinen bir yanlışı düzeltmek istiyorum. Bu IP adresi sanıldığı gibi sizin bilgisayarınıza değil modeminize verilir. Siz internete çıkacağınız zaman modeminiz aracılığı ile çıkarsınız. Bir kapıcınız olduğunu düşünün ve market alışverişlerinizi o kişiye yaptırıyorsunuz. Siz ona istediğiniz malzemelerin listesini verirsiniz, o gider alır ve size teslim eder. Haliyle alışveriş yaptığınız dükkan sizi değil kapıcınızı yani modeminizi bilir.(Süpermarket sahibi kapıcının olduğu yere geldiğinde haliyle sizide görecektir.)

Peki apartmanda başka bir komşunuz ve tek bir kapıcınız var ise ne olacak?

O zaman kapıcınız elindeki deftere Ali beyin istedikleri ve Murat beyin istedikleri şeklinde bir liste yapmak zorundadır. Böylelikle alışverişiniz Murat beyinkiyle karışmaz.

Modeminiz bu işlemi LAN IP adresi ile yapıyor. Apartmanda oturan kişileri karıştırmamak için onlara kendi içinde bir IP adresi veriyor. Bu IP adresleri

10.0.0.0 ile 10.255.255.254
172.16.0.0. ile 172.31.255.254
192.168.0.0 ile 192.168.255.254 arasındadır.

Bu IP aralığındaki bir IP adresi internet ortamında kullanılamaz. Çünkü bu IP aralıkları dünya standartlarında iç network için tanımlanmıştır. Yani başka ağa bağlandığınızda bu IP adresleri başka bir kullanıcıyı tanımlayacaktır. Yani siz bir bilgisayara bağlanmak istediğinizde onun öncelikle public IP adresini daha sonra iç networkünde bulunan IP adresini (Üstte aralığı belirtilen IP adresleri) bilmelisiniz.

Gelelim ortadaki adam saldırısına.

Bu ağı dinleme saldırısı için haliyle o ağın içinde olmalısınız. Yani o apartmanda oturmalısınız. Oturmadığınız bir apartmandaki alışveriş listesini göremezsiniz. Çünkü o apartmanın kapıcısı size bu listeyi vermeyecektir. Eğer zaten ağın içindeyseniz ve Kali/Backtrack iniz var ise o zaman gelelim işin eğlenceli kısmına.

Öncelikle terminali açıyoruz.Ardından root olup gateway IP(Modemin Ipsi) adresini öğrenmek için route komutunu veriyoruz.Karşımıza bu ekran görüntü çıkmalı.

 

Gateway IP adresimizi bir kenara yazıyoruz. Çünkü biz yerimizi bu IP adresimiz ile değiştireceğiz. Kendimizi ağa modem gibi gösterip trafiğin üzerimizden geçmesini sağlayacağız.

Şimdi sıra kullandığımız ethernet kartının adını öğrenmeye geldi. Bu komut içinde root olmamız gerek aksi takdirde böyle bir komut yoktur hatası verecektir. Terminal ekranına ifconfig yazıyoruz.

 

Terminal ekranına şu kodu yazıyoruz. Varsayılan olarak 0 değerinde olan değerimizi aktif yani 1 olarak değiştirmemiz gerek.

echo 1 >/proc/sys/net/ipv4/ip_forward Bu kodumuz 0 olan değeri 1 yapıyor.
Eğer kontrol etmek isterseniz ardından şu koduda yazabilirsiniz.
cat /proc/sys/net/ipv4/ip_forward dönen değer 1 ise başarılı bir şekilde işlemi yapmışsınızdır. .

İpv4 ü yönlendirmesini yaptıktan sonra sıra geldi ağda gateway olmaya. Yani modemin yerine geçmeye. Ağda gateway olmak için şu kodu yazıyoruz.

arpspoof –i eth0 10.0.2.2

Buradaki eth0 ethernet kartımızın tipi sizde ne yazıyorsa eth0 alanına onu yazmalısınız.10.0.2.2 ip adresi benim modemimin ip adresi. Sizde buraya gateway yani modeminizin IP adresini yazmalısınız ki ağdaki bütün paketler sizin üzerinizden geçsin.

Ee modem olduk da ne oldu?

Evet artık ağdaki bütün trafik sizin bilgisayarınız üzerinden geçiyor. Peki bu paketleri nasıl göreceksiniz? Bunun için bir kaç gelişmiş program var fakat ben Wireshark programını öneriyorum.

Wireshark programını çalıştırmak için yeni bir terminal ekranı açıp wireshark yazmanız yeterli.

Ardından görsel olarak wireshark programı açılacaktır. Wireshark sol tarafta size hangi ethernet kartından geçen trafiği kaydetmek istediğinizi soruyor. Orada az önce arpspoof komutu verirken kullandığımız eth0 ı seçeceğiz. Tabiki siz oraya hangi kart adını yazdıysanız onu seçeceksiniz.

Artık gözünüzlede görebildiğiniz Wireshark sizin için bütün veri paketlerini kaydetmekte. Ama bu veri paketleri hatrı sayılır derecede fazla. Bu yüzden filtreleme özelliğini kullanıyoruz. Hangi veri paketleri size lazımsa üstteki filter bölümünden bunu belirleyebilirsiniz.

Paketlerle uğraştırma beni hangi fotoğraflar?

Eğer ağ paketleri ile uğraşmak istemiyor, sadece diğer kullanıcıların girdikleri sitelerdeki fotoğrafları görmek istiyorsanız bunun içinde bir araç var!

Driftnet!

Bu araç sayesinde ağınızdaki istemcilerin girdikleri sitelerdeki fotoğrafları görebiliyorsunuz. Bir tür networkden fotoğraf ayıklayıcı diyebiliriz. Kullanımı nasıl derseniz.

driftnet -i eth0 -v
Tabi buradaki eth0 siz hangi türü kullanıyorsanız onu yazacaksınız. Ardından ufak bir pencere açılır ve fotoğraflar o pencerede gözükmeye başlar.

HTTPS leri ne yapacağız uğurcuğum?

Onunda çözümü var. Sslstrip ile HTTPS bağlantılarınıda manipule edebiliyoruz. SSlstrip kullanırsak şöyle bir şey gerçekleşir. Biz hacker olarak bağlanılmak istenen site ile sitenin sertifikası ile konuşurken kurban bizimle aslında bizim yolladığımız sertifika ile konuşacaktır. Örneğin kurbanımız facebook.com sitesine bağlanmak istediğinde bu isteği ilk bize geleceğinden biz kurbana sahte bir sertifika yollar, kurbanın siteye bağlanırken göndereceklerini bu sertifikaya göre şifreleyip göndermesini isteyebiliriz. Kurbanımız bizim yolladığımız sertifika ile şifreleyip bize yollar biz decrypt edip facebook.com un gerçek sertifikası ile şifreleyip yollarız. Kısaca kurbanımız facebook.com un sertifikasını bizim gönderdiğimiz sertifika zanneder.