CEH Sertifikasyon Sınavı Notları – 7: Sniffing

Bilgi güvenliği konusunda en çok tercih edilen sertifikalardan birisi de Certified Ethical Hacker (CEH) sertifikasıdır. Bu yazıda CEH sınavının konularından birisi olan “Sniffing” başlığı incelenecektir.

 

Ağ Üzerindeki Trafiğin Elde Edilmesi

Ağ üzerindeki trafik 2 yolla elde edilebilir:

  • Port SPAN (Switched Port Analyzer) – Port Mirroring: Switch üzerinden geçen her paketin bir kopyası bu port üzerinden başka bir porta kopyalanır ve böylece trafiğin bir kopyası elde edilebilir. Ancak her Switch bu yönlendirmeyi destekleyemeyebilir. Yönlendirmede hata olması durumunda paketler alınamayabildiğinden tüm paketlerin analizi gerçekleşmeyebilir.
  • Network Tap: Akan trafiği çoklayan donanımsal cihazlardır. Tüm trafik %100 olarak elde edilir. Ayrıntılı bilgi için bakınız: http://www.fonitec.com.tr/index.php/network-taps-nedir

 

Ağ Koklama (Sniffing) Saldırıları

  • Ağ koklama işlemi OSI katmanına göre Veri Bağlantısı Katmanı’nda (2. Katmanda) çalışır. Ağ dinlendiği durumda üst katmanlar bu durumdan haberdar olmadan işleyişlerine devam edecektir.
  • Normalde ağ kartları sadece kendisine gelen paketleri işleme alırken; promiscuous moda alıan ağ kartı, kendi ağındaki (broadcast domain) kendisi ile iligli olmayan paketleri de okuyarak, sniffer araçlarına gönderir. Bu sebeple, ağı dinleyebilmek için ağ kartının Promiscuous modunda olması gerekir.
  • Ağı dinleme işlemi için yönetici rolüne (root yetkisi, Administrators grup üyeliği gibi) sahip olunmalıdır.

Ağ koklama saldırıları 2 şekilde gerçekleştirilebilir:

  • Pasif: Hub olan ağlarda gerçekleştirilebilir. Ağ üzerindeki tüm trafik ağa bağlı her sisteme iletildiği için, herhangi bir işlem yapılmasına gerek kalmadan ağ dinlenmiş sayılır. Ancak günümüzde Hub gibi cihazlar, ağlarda (özellikle istemci ağlarında) pek kullanılmadığı için pasif dinleme gerçekleştirilememektedir.
  • Aktif: Switch olan ağlarda gerçekleştirilebilir. Ağ üzerindeki trafik sadece ilgii sisteme iletildiğiiçin araya girmek gereklidir. Aktif dinleme zor gerçekleştirilir bunun yanında kolay tespit edilir/yakalanır. Ağ dinleme saldırılarının 6’ya ayrılabilir:
    • MAC Seli / Taşması (Flooding)
    • Spoofing (Sahtecilik) saldırıları
    • ARP zehirleme
    • DNS zehirleme
    • DHCP saldırıları
    • Parola dinleme: HTTP, Telnet , Rlogin, POP, FTP, IMAP, SMTP, NNTP, VOIP (Cain & Abel kullanılabilir), SNMP, … gibi zayıf (zafiyetli) protokollerden kimlik bilgileri elde edilebilir.

Ağ saldırılar hakkında ayrıntılı bilgi için bakınız (6 bölüm): https://www.bilgiguvenligi.gov.tr/aktif-cihaz-guvenligi/ikinci-katman-saldirilari-1-3.html

 

Temel Korunma Yöntemleri

Bu başlık altında incelenecek temel korunma yöntemleri aşağıdaki gibidir:

  • IP Source Guard: Switch üzerinde hangi portta hangi IP değeri olduğunun kaydı tutulur.
  • Şifreleme: Switch ve bilgisayar arasındaki iletişim şifrelenir. Bu amaçla güvenilir ve şifreli protokoller (HTTPS, SFTP, VPN, IPSec, SSL, SSH, WPA2…) tercih edilmelidir.
  • Retrieval of MAC Address: MAC adresi işletim sisteminden değil, NIC üzerinden direk olarak alınır.
  • MAC Kilitleme: MAC taşma saldırılarına karşı kullanılır. Örnek komut: <switchport port-security mac-address sticky>.
  • Dinamik ARP Inspection (DAI): IP ile MAC eşleşmesi yapar ve ağdaki uygunsuz ARP paketleri düşürülür. Cisco Switch’lerde 20 VLAN’da DAI etkinleştirilmesi için kullanılabilecek komut: <ip arp inspection vlan 10>
  • Port Security: Bir porttan belli bir zaman aralığı için tek bir (sınırlı sayıda) MAC’e izin verilir.
  • DHCP Snooping: DHCP starvation saldırısına karşı tek bir porttan DHCP yayınına izin verilir. Etkinleştirdikten sonraki veritabanı durumunu görmek için “show ip dhcp snooping binding” Cisco komutu kullanılabilir. DHCP Snooping ile ilgili ayrıntılı bilgi için bakınız: https://eminarslantay.wordpress.com/2013/07/03/cisco-switchlerde-dhcp-snooping-i-etkinlestirme/ veya http://www.cozumpark.com/blogs/gvenlik/archive/2015/10/11/dhcp-snooping-ve-yapilandirma-adimlari.aspx

 

MAC Seli

  • Amaç: Switch üzerindeki CAM (Content Addressable Memory) tablosunu doldurmak Switch’i Hub gibi çalıştırmaktır. Böylece tüm trafik o Switch’e bağlı herkese gider.
  • CAM tablosu içeriği: Vlan ID, MAC adresi, Tip (Dinamik, Statik), Öğrenme durumu (Evet/Hayır), Süresi, Fiziksel Portu.
  • Yersinia veya Macof kullanılabilir.

 

Spoofing Saldırıları

Ağ üzerinde başka bir sistemi taklit yöntemi izlenir. Temel olarak 2 çeşidi vardır:

  • MAC Spoofing / MAC Duplicating: MAC adresine göre bir kısıtlama yapıldığı durumları atlatmak için kullanılır. Bu saldırıda bir ağa geçiş izni olan bilgisayarın MAC adresi saldırgan tarafından kendisine alınır. Windows işletim sisteminde MAC adresini değiştirmek için SMAC aracı kullanılabileceği gibi Registry kayıdı değiştirilerek veya ağ kaydının sürücüsüne ait gelişmiş özellikleri değiştirilerek MAC adresi yenilenebilir.
  • IRDP (ICMP Router Discovery Protocol): Ağdaki router yayınlarını dinleyip router tespit edilir. Sonrasında kurban bilgisayara spoof yöntemiyle sahte bilgiler gönderilerek, route tablosu değiştirilir ve saldırgana ait router üzerinden geçilmesi sağlanır.

 

Spoofing Saldırılarından Korunma Yöntemleri

Spoofing saldırılarından korunmak için yöntemler RFC 2827 (Network Ingress Filtering: Defeating Denial of Service Attacks which employ IP Source Address Spoofing) içerisinde anlatılmıştır. MAC Spoofing saldırılarından korunmak için temel yöntemler aşağıdaki gibidir:

  • DHCP snooping
  • Dinamik ARP Inspection (DAI)
  • IP Source Guard
  • Şifreleme
  • Retrieval of MAC Address

Ayrıntılı bilgi için bakınız: https://tools.ietf.org/html/rfc2827

 

ARP Protokolü

  • ARP, IP-MAC eşleşmesini gerçekleştirir. MITM saldırılarına açıktır. Stateless bir protokoldür.
  • MAC (Media Access Control), 48 bittir. İlk yarısı üretici kodu, kalanı rastgeledir. Broadcast MAC FF:FF:FF:FF:FF:FF şeklindedir.

ARP protokolü ile ilgili ayrıntılı bilgi için bakınız: http://www.siberportal.org/blue-team/securing-network-environment/address-resolution-protocol-arp-on-computer-networks

 

ARP Zehirleme Saldırıları

  • Arp zehirleme (Poisoning) saldırıları ikinci katmanda gerçekleştirilir.
  • ARP Aldatmacası veya MAC Sahtekarlığı olarak da adlandırılabilir.
  • Bu saldırıda sahte ARP paketleri gönderilerek ağdaki cihazların Route tablolarındaki MAC adresleri değiştirilebilir . Sonrasında da araya girilerek (MITM) ağ geçidi gibi davranılabilir (gateway spoof edilerek) veya trafik başka bir yere yönlendirilebilir.
  • Cain &Abel, Hunt, WinArpAttacker, Linux arpspoof gibi araçlar kullanılabilir.

ARP zehirlenmesi ile ilgili ayrıntılı bilgi için bakınız: http://blog.btrisk.com/2016/01/arp-poisoning-nedir-nasil-yapilir.html veya http://www.slideshare.net/AhmetGrel1/man-in-the-middle-atack-ortadaki-adam-saldrs

 

ARP Zehirleme Saldırılarından Korunma Yöntemleri

ARP zehirleme saldırılarından korunma (ve tespit) yöntemleri aşağıdaki gibidir:

  • DHCP snooping
  • Dinamik ARP Inspection (DAI): Bu önlem ile Switch portlarına gelen hiçbir pakete güvenilmez. Bu sebeple, öncelikle DHCP Snooping etkinleştirilmelidir ve DHCP sunucudan gelen bilgilere güvenilir. Aksi halde hizmet verilemez ve kendi kendisine DOS yapılmış gibi olur.
  • Şifreleme
  • Ağ izleme: ArpWall veya ArpWatch kullanılabilir.
  • Port Security
  • MAC Kilitleme
  • Statik ARP kayıtları
  • VLAN ve ayrılmış ağ kullanımı

 

DNS Zehirleme

DNS, IP-alan adı kaydı eşleşmesini sağlar. DNS sorgularına hatalı cevaplar dönülerek, DNS sorguları yanlış IP adreslerine yönlendirilir.

DNS zehirleme saldırıları 4’e ayrılabilir:

  • İç ağda DNS sahteciliği gerçekleştirilebilir. Böylece iç ağdaki istemcilerin DNS sorguları yanlış IP adreslerine yönlendirilir. MITM yapıldığı durumda kurbanın DNS sorgusuna farklı bir cevap dönülür.
  • Dış ağda DNS sahteciliği gerçekleştirilebilir. Böylece bir şekilde (zararlı yazılım olabilir) dış ağdaki istemcilerin DNS sorgularını yanlış IP adreslerine yönlendirilir.
  • Proxy ayarları değiştirilerek DNS sahteciliği gerçekleştirilebilir. Böylece bir şekilde (zararlı yazılım olabilir) dış ağdaki istemcilerin Proxy sunucu ayarları değiştirilebilir ve DNS sorguları yanlış IP adreslerine yönlendirilir.
  • DNS sunucunun önbelleği zehirlenebilir. DNS sunucunun dışarıya yaptığı DNS sorgularına hatalı cevaplar dönülerek, DNS sunucunun bu cevapları önbelleğine alması sağlanır. Böylece bu DNS sunucuya istemcilerin yaptığı DNS sorguları yanlış IP adreslerine yönlendirilir. Ayrıntılı bilgi için bakınız: https://www.bilgiguvenligi.gov.tr/kritik-acikliklar/dns-onbellek-zehirlenmesi-aciklik-ve-kapanmasi.html

 

DNS Zehirlenmesi Saldırılarından Korunma Yöntemleri

  • Kurum istemcilerinin dış DNS sunucularına sorgu yapması engellenerek, DNS sorguları iç DNS sunucularına yönlendirilir.
  • DNSSec kullanılır.
  • DNS sorgularının kontrolü için IPS/IDS imzaları kullanılır.

 

DHCP Servisine Yönelik Saldırılar

DHCP servisi yerel ağda IP dağıtmaya yarar. DHCP iletişimi / IP alınması 4 adımda gerçekleşir: Discover, Offer, Request, ACK.

DHCP protokolü ile ilgili ayrıntılı bilgi için bakınız: http://www.siberportal.org/blue-team/securing-network-environment/dynamic-host-configuration-protocol-dhcp-on-computer-networks

DHCP saldırı yöntemleri temel olarak aşağıdaki gibidir:

  • DHCP Starvation: DHCP istekleri (Discover) ile havuzu tüketilir. Bu amaçla Yersinia, DhcpStarv gibi araçlar kullanılabilir. Ayrıntılı bilgi için bakınız: http://blog.fbh.com.tr/dhcp-starvation-yersinia/
  • Rogue DHCP Sunucusu: Ağdaki cihazlara sahte DHCP hizmeti verilir. Böylece yanlış IP, DNS, GW,… bilgileri dağıtılabilir.

 

DHCP Servisine Yönelik Saldırılardan Korunma Yöntemleri

DHCP saldırılarından korunma yöntemleri aşağıdaki gibidir:

  • Port Security
  • DHCP Snooping

Ayrıntılı bilgi için bakınız: https://www.bilgiguvenligi.gov.tr/aktif-cihaz-guvenligi/ikinci-katman-saldirilari-6.html

 

VLAN Atlama (Hopping)

Normalde farklı VLAN’lardaki sistemler birbirine erişemez. Bunun için VLAN Atlama saldırısı gerçekleştirilebilir. VLAN atlama saldırı yöntemleri aşağıdaki gibidir:

  • Anahtar Sahtekarlığı (Switch Spoofing)
  • Çift Etiketleme (Double Tagging)

Ayrıntılı bilgi için bakınız: https://www.bilgiguvenligi.gov.tr/aktif-cihaz-guvenligi/ikinci-katman-saldirilari-3-3.html

 

Ağ Koklama Saldırılarından Korunma Yöntemleri

  • Şifreleme
  • Ağ üzerindeki Promiscous modda bulunan cihazlar tespit edilebilmelidir.
  • Aktif ağ koklama saldırılarından korunma yöntemleri hayata geçirilmelidir.

 

Ağ Koklama Araçları

  • Wireshark: Windows, Linux ve MacOS’ta çalışabilen ağı dinleyen, paket filtreleyebilen, analiz edebilen ücretsiz bir araçtır. Ayrıntılı bilgi için bakınız: https://www.exploit-db.com/docs/40448.pdf
  • TCPdump: Komut satırı aracıdır. Aracın kullanımı ile ilgili ayrıntılı bilgi için bakınız: http://www.teknikblog.org/tcpdump-kullanimi/
    • Filtreleme ve pakete yazdırma: tcpdump src host www.websitesi.com and not (port 53 or port 443) -w LogDosyasi
    • Paketi okuma: tcpdump -nX -r paket.pcap
  • Ettercap: “ettercap –NCLzs –quiet” komutu ile Non-interaktif olarak (N) arka planda (quite) ARP parketleri yollamayarak – sessiz bir şekilde (z) kullanıcı adı ve parolaları topla (C) ve logla (L).
  • Dsniff
  • Cain&Abel
  • Filesnarf: NFS trafiğinden dosyaları okur
  • TCPflow: 7. katmandaki trafiği dinler ve sonuçlarını analiz ve debug işlemleri amacı ile ayrı ayrı dosyalara kaydeder.

 

Genel Notlar

  • Wiretapping: Telefonların ve internetin dinlenmesidir.
  • WinPcap: Windows’taki WinDump aracının kütüphesidir. Linux’ta ise LibPcap kullanılır.
  • Router, broadcast’i geçirmez, MAC’i çöpe atar. Bu sebeple farklı ağa ARP zehirlemesi yapılmaz.
  • Paket Yakalama Araçları: Ethereal/Wireshark, TCPDump, Snort

 

CEH v9 Eğitimi Konu Başlıkları

  • Sniffing Concepts
    • Network Sniffing and Threats
    • How a Sniffer Works
    • Types of Sniffing
      • Passive Sniffing
      • Active Sniffing
    • How an Attacker Hacks the Network Using Sniffers
    • Protocols Vulnerable to Sniffing
    • Sniffing in the Data Link Layer of the OSI Model
    • Hardware Protocol Analyzer
    • Hardware Protocol Analyzers
    • SPAN Port
    • Wiretapping
    • Lawful Interception
    • Wiretapping Case Study: PRISM
  • MAC Attacks
    • MAC Address/CAM Table
    • How CAM Works
    • What Happens When CAM Table Is Full?
    • MAC Flooding
    • Mac Flooding Switches with macof
    • Switch Port Stealing
    • How to Defend against MAC Attacks
  • DHCP Attacks
    • How DHCP Works
    • DHCP Request/Reply Messages
    • IPv4 DHCP Packet Format
    • DHCP Starvation Attack
    • DHCP Starvation Attack Tools
    • Rogue DHCP Server Attack
    • How to Defend Against DHCP Starvation and Rogue Server Attack
  • ARP Poisoning
    • What Is Address Resolution Protocol (ARP)?
    • ARP Spoofing Attack
    • How Does ARP Spoofing Work
    • Threats of ARP Poisoning
    • ARP Poisoning Tool
      • Cain & Abel and WinArpAttacker
      • Ufasoft Snif
    • How to Defend Against ARP Poisoning
    • Configuring DHCP Snooping and Dynamic ARP Inspection on Cisco Switches
    • ARP Spoofing Detection: XArp
  • Spoofing Attack
    • MAC Spoofing/Duplicating
    • MAC Spoofing Technique: Windows
    • MAC Spoofing Tool: SMAC
    • IRDP Spoofing
    • How to Defend Against MAC Spoofing
  • DNS Poisoning
    • DNS Poisoning Techniques
    • Intranet DNS Spoofing
    • Internet DNS Spoofing
    • Proxy Server DNS Poisoning
    • DNS Cache Poisoning
    • How to Defend Against DNS Spoofing
  • Sniffing Tools
  • Sniffing Tool: Wireshark
  • Follow TCP Stream in Wireshark
  • Display Filters in Wireshark
  • Additional Wireshark Filters
  • Sniffing Tool
    • SteelCentral Packet Analyzer
    • Tcpdump/Windump
  • Packet Sniffing Tool: Capsa Network Analyzer
  • Network Packet Analyzer
    • OmniPeek Network Analyzer
    • Observer
    • Sniff-O-Matic
    • TCP/IP Packet Crafter: Colasoft Packet Builder
    • Network Packet Analyzer: RSA NetWitness Investigator
    • Additional Sniffing Tools
    • Packet Sniffing Tools for Mobile: Wi.cap. Network Sniffer Pro and FaceNiff
  • Counter measures
    • How to Defend Against Sniffing
  • Sniffing Detection Techniques
    • How to Detect Sniffing
    • Sniffer Detection Technique
      • Ping Method
      • ARP Method
      • DNS Method
    • Promiscuous Detection Tool
      • PromqryUI
      • Nmap
  • Sniffing Pen Testing

 

 

Yazarın Bilgileri

Ertuğrul BAŞARANOĞLU
Ertuğrul BAŞARANOĞLU

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Kullanabileceğiniz HTLM etiketleri ve özellikleri: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code class="" title="" data-url=""> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> <pre class="" title="" data-url=""> <span class="" title="" data-url="">

Bu sayfada incelenen konulardan doğacak sorunlar kişinin kendi sorumluluğundadır.