Ağ saldırıları, İp-Tcp-Dns-Arp Spoofing ve Ddos Atakları

[jackal]

Ağ saldırıları doğrudan protokol yada uygulamayla ilişikli zayıflıklar üzerine kuruludur. Yine de bunların çoğu en iyi bilen beşinin türevleridir.

Fragment saldırılar
Bu saldırı IP filtreleme ekipmanının ötesine geçer. Uygulama için sabotajçı iki değişik yöntem kullanır: Tiny Fragments and Fragment Overlapping. Bu saldırılar oldukça tarihsel olup günümüz güvenlik duvarlarnca uzun zamandır kontrol edebilmektedir.

Tiny Fragments
RFC (Request For Comment) 791 (IP) ile ilişkili olarak, tüm internet düğümleri (routers) 64 byte lık paketleri parçalamadan iletebilmelidir. Bir IP paketi başlığının seçenek içermediği halde minimum boyutu 20 byte tır. Seçenekler eklendiğinde boyut 60 byte tır. IHL (Internet Header Length) hanesi başlık uzunluğunu 32 bit tutar. Bu hane 4 bit kullanır, yani mümkün olan değerler 2^4 - 1 = 15 (0000 değerini alamaz). Sonuçta mümkün olan en yüksek değer gerçekten 15*4 = 60 byte tır. Son, Fragment Offset hanesi fragment'in ilk byte offset'inin tüm datagram ile ilişkili olaraktan 8 byte ile yazıldığı gösterir. Bir veri en az 8 byte ta parçalanabilir. Bu gerçekten 68 byte eder.

Saldırı, iki IP paketine parçalanmış bir TCP bağlantı isteğinden oluşur. 64 byte lık ilk IP paketi sadece ilk 8 byte lık TCP başlığını içerir (kaynak ve hedef kapıları ve sıra numarası). İkinci IP paketindeki veri TCP bağlantı isteğini içerir (SYN bayrağı 1 ve ACK bayrağı 0).



Yine de IP filtreleri bir paket içindeki parçalara aynı kuralı uygularlar. İlk parça filtresi (Fragment Offset = 0) kuralı tanımlar, bağlantılı olarak başka bir kontrol olmaksızın diğer parçalara da (Offset = 1) uygular. Sonunda hedef makinada TCP katmanında birleştirilirken bağlantı talep paketi yeniden yaratılır ve TCP katmanına iletilir. IP filtresinin engellemiş olması gerekmesine rağmen bağlantı kurulmuştur.

Şekil 1 ve 2 parçaları ve şekil 3 hedef makinadakine de birleştirilmiş paketi göstermektedir:

Pic.1: Parça 1

Pic.2: Parça 2

Pic.3: Birleştirilmiş paket


Parça Karşılaşması
Halen RFC 791 (IP) ile ilişkili olaraktan eğer 2 IP paketi karşılaşırsa, ikincisi birincinin üzerine yazar. Saldırı bir IP paketini ikiye ayırmakla başlar. IP filtresi 68 byte (Bkz. Tiny Fragments) taşıyan ilk paketi TCP bağlantısı (SYN flag = 0 and ACK flag = 0) talep edene kadar kabul eder. Bu kural paketin diğer parçalarına da uygulanır. Gerçek bağlantı verisini bekleyen ikinci paket (Fragment Offset = 1) orada açık bir bağlantı görünmediğinden IP filtresi tarafından kabul edilir. Bu sebeple, parçalanma esnasında ikinci parçadaki veri 8 inci byte'tan (the fragment offset = 1 den itibaren) sonra birincide ki verinin üzerine yazar. Böylece yeniden birleştirilen paket hedef makine için geçerli bir bağlantı talebidir. IP filtresine karşın bağlantı kurulmuştur.

Şekil 1 ve 2 parçaları ve şekil 3 hedef makinede birleştirilmiş paketi göstermektedir:

Pic.4: Parça 1

Pic.5: Parça 2

Pic.6: Birleştirilmiş paket


IP Spoofing
Bu saldırının amacı bir makinenin IP adresini ele geçirmektir. Bilgisayar sabotajçısının orijinal saldırı noktasını saklamasına (DOS'ta kullanıldığı gibi) yaramakta yada iki makine arasındaki güvenilir ilişkiden faydalanmaktır. Biz burada ikinci kullanımından bahsedeceğiz.

Sabotajçı için bu saldırının temel prensibi kendi IP paketlerinin kalpazanlığını yaparak (hping2 or nemesis gibi programlar ile) diğerlerinin arasında kendisininkinin IP kaynağını değiştirmektir. IP Spoofing sıklıkla Blind Spoofing olarak anılır. Kaynak değiştirildiğinden sahte pakete karşılık giden cevaplar sabotajçının makinesine gidemez. Yani spoof edilen makineye giderler. Yine de cevapları geri almanın iki yolu vardır:

Kaynak Yönlendirme: IP protokolünün Kaynak Yönlendirme olarak adlandırılan ve IP paketlerinin izlemesi gereken yolu tanımlayan bir seçeneği vardır.Bu yol paketlerin izlemesi gereken bir dizi yönlendirici IP adresinden meydana gelmektedir. Şimdilerde birçok TCP/IP yığın uygulaması bu seçeneği içeren paketleri reddetmektedir.;

Yeniden Yönlendirme: Yönlendirme tabloları kendilerine yeni yönlendirme bilgileri içeren RIP paketleri gönderilerek değiştirilebilirler. Bu işlem, paketlerin sabotajçının sahibi olduğu bir makineye yönlenmesine sebep olur.li>

Bu taktikler çoklukla kullanılmakta: saldırı, hedef sunucudan gelen paket bilgileri bilinmeden desteklenir.

Blind Spoofing, rlogin yada rsh gibi servislere karşı kullanılır. Onay mekanizmaları yalnızca alıcı makine IP kaynak adresine güvenir. Bu oldukça iyi bilinen yöntem (Kevin Mitnick 1994'te Tsutomu Shimomura'nın makinesine karşı kullandı) çeşitli adımlar içerir:

Örnek olarak sistem dosyalarını nereye export edildiğini gösteren showmount -e komutunu kullanarak güvenli makinenin IP adresini bulmak yada daha fazla bilgi sağlayan rpcinfo komutunu kullanmak ve ardından SYN Flooding kullanarak güvenilir makineyi hizmet dışı bırakmak. Öbür türlü TCP RST paketleri göndererek bağlantı taleplerini durdurmak isteyecektir;

TCP sequence numarasını tahmin etme: her TCP paketi bir sıra numarası ile ilişiklidir. OS TCP/IP yığını bunu düz yoldan, zamana bağlı, rastgele, pseudo-random, sistemle ilişkili olarak oluşturur. Sabotajçı yalnızca tahmin edilebilir rastgele sıra numaraları oluşturan sistemlere saldırabilir (düz yoldan oluşturma yada zamana bağlı olarak);

saldırı istenen kapıda bir TCP bağlantısı açmaya dayanır. Daha iyi anlaşılması için TCP yapısının nasıl çalıştığını sizlere hatırlatacağız. Üç aşamada gerçekleşir (TCP Three Way Handshake):

Arayıcı, TCP SYN bayrağı ve x sıra numarası içeren paketi hedef makineye gönderir;

Hedef buna içinde aktif olmuş TCP SYN bayrağı ve ACK bayrağı (x+1 anlaşma numarası ile) olan bir paketle karşılık verir. Bunun sıra numarası y' dir;

Atak sırasında sabotajcı hedeften gelen SYN-ACK 'leri almaz. Kurulacak bağlantı için doğru ACK numarası ((y+1) ile gönderebilmek için y sıra numarasını önceden belirtir. Ardından IP adres doğrulaması üzerinden bağlantı kurulur. Sabotajcı daha yüksek haklar elde etmek için artık rsh servisine komut yollayabilir (echo ++ >> /.rhosts gibi). Bunun için bir TCP paketini PSH bayrağı (Push) ile kuvvetlendirir: alınan veri hemen bir üst katmana iletilir (burada rsh servisi). Ve artık rlogin veya rsh kullanarak bir makineye IP Spoofing yapmadan bağlanabilir.

Şekil 7 IP Spoofing 'in farklı aşamalarını göstermektedir:

Pic.7: rsh servisine uygulanmış bir IP Spoofing


Güvenilir makine C ile gösterilirken sabotajcı A makinesini kullanır. A(C) gösterimi paketin A dan spoof IP olan C ile gönderildiğini anlatır. Not: Bu tür IP spoof mekanizmalarını uyarlayan mendax adında bir program vardır.

TCP Session Hijacking
TCP Session Hijacking sabotajcının TCP flow yönlendirmesi yapabilmesini sağlar. Ardından parola korumasını atlayabilir (telnet yada ftp de olduğu gibi). Dinleme ihtiyacı (sniffing) bu saldırıyı hedefin fiziksel ağında sınırlar. Bu saldırıyı detaylandırmadan önce TCP protokolünün bazı prensiplerini anlatalım;

Burada TCP protokolünün gizemini açığa çıkatmayacak fakat saldırıyı anlamak için gerekli ana noktalara odaklanacağız. TCP başlığı çeşitli alanlar içerir:

kaynak ve hedef kapısı iki makine arasındaki bağlantıyı tanımlar;

sıra numarası gönderilen her bir byte'ı tanımlar;

alınan en son byte'la ilişkili onay numarası;

ilginç bayraklar ise:

bir bağlantı kurulduğunda sıra numarasını düzenleyen SYC;

ACK, bir TCP segmentinin bayrak onayı;

PSH veriyi uygulamaya göndermesini için alıcıya söyleyendir.

Şekil 8 bir TCP bağlantısının kuruluşunu göstermektedir (Üç Yol Elsıkışma):

Pic.8: Üç Yol Elsıkışma


Burada A makinesi B makinesi üzerinde bir TCP bağlantısı başlattı.

Şekil 9 bir TCP verisinin aktarımını göstermektedir:


Sıra numaraları gönderilen veri byte sayılarına bağlı olarak değişir. Sıra numarası Seq ile temsil edilir. Anlaşma numarası PSH ve ACK bayrakları ardından bulunur ve gönderilen verinin byte bilgisi ayraçlar içerinde yer alır.

Bu saldırı TCP bağlantısının her iki tarafında oturumun ele geçirilmesine müsade eden bir uyumsuzluk oluşturur. Bağlantının uyumsuz olması A makinesi tarafından gönderilen bir sonraki sıradaki verinin sıra numarasının B makinesi tarafından beklenen verinin sıra numarasından farklı olması durumunda gerçekleşir. Aksi yönüde elbette aynıdır.

Şekil 9'daki örnekte B'nin paketlerini ilk aldığı adımın sonunda x+60 onay numarası ile A bir paket beklemektedir. Eğerki B tarafından gönderilen bir sonraki paket bu onay numarasını içermezse A ile B uyumsuz olmaktadır.

C makinesindeki bir sabotajcı A ile B makinesi arasında kurulu olan bir Telnet oturumuna sızmak istiyor. İlk olarak C makinesi, A ile B arasındaki Telnet trafiğini (TCP port 23) dinler. Sabotajcı A makinesinin B makinesinde Telnet oturumu için varlığını onaylatmak için zamanı olduğunu düşündüğünde A'yı B'ye karşı uyumsuz kılar. Bunu yapabilmek için B makinesince kabul edilen TCP onay numarasını ve A makinesinin IP numarasını içeren bir paketi taklit eder. Elbetteki B paketi kabul eder. Bunun yanında uyumsuzluk sabotajcının Telnet oturumdan komut girebilmesini de sağlar. Bu paket veri taşıyabilmektedir (PSH flag =1).

Şekil 10 saldırıyı göstermektedir:

Pic.10: TCP Session Hijacking


B makinesi C tarafından gönderilen komutu kabul eder, ACK bayrağı ile A'ya gönderilmiş gibi onaylar. Aynı zamanda eğer A'dan B'ye bir paket gönderilirse sıra numarası B tarafından beklenilmediği için reddedilecektir.

Ardından görülen bir sorun: ACK fırtınası. Çok sayıca ACK oluşturulmuştur. A, tanımsız sıra numaralı TCP paketleri (A uyumsuz olduğu andan itibaren) gönderdiği zaman meydana gelir. B bunu reddederek beklediği ACK numarasını A'ya gönderir. A bu ACK'yı alır, beklenen ile uyuşmadığından A'da B'ye ACK gönderir ve bu tekrar edip durur.

Bu ACK fırtınası sorunu eğer ki sabotajcı ARP Spoofing kullanırsa çözülür. Bu durumda B makinesinin ARP ön belleği C makinesi tarafından zehirlenecek ve A makinesinin IP adresi C makinesinin MAC adresi ile ilişkilendirilecek. Bu teknikler hunt programı tarafından uygulanmaktadır.

ARP Spoofing
Bu saldırı, ARP Redirect olarakta adlandırılır, ağ trafiğini bir yada birden fazla makineden sabotajcının makinesine yönlendirir. Kurbanların fiziksel ağlarında gerçekleşir. ARP protokolünün ne olduğunu ve nasıl çalıştığını haırlatalım.

ARP protokolü (Address Resolution Protocol)çözümleme mekanizmasını IP adresinden Ethernet MAC adresine dönüştürür. Ağ ekipmanları Ethernet bilgilerini data link katmanında değişerek anlaşırlar (özellikle Ethernet ağında). Bu bilgiyi dağıtabiliyor olmak için ağ kartlarının kendilerine özel Ethernet adresleri olması gerekir. MAC adresi budur. (MAC=Media Access Control).

Bir IP paketi gönderilirken gönderici makine alıcının MAC adresini bilmelidir. Bu bilginin elde edilmesi için ağdaki makinelere broadcast ARP isteği gönderilir. Bu istek şunu sorar: "Bu IP adresine ilişik MAC adresi nedir?" Bu IP'ye sahip makine isteği alınca MAC adres bilgisini verir. Bu noktadan sonra gönderici makine o IP adresi ile ilişikli MAC adresini bilmektedir. Bu bilgi bir süre önbellekte tutulacaktır (her defasında aynı talebi yapmamak için).

Bu saldırı hedef makinenin önbelleğini zehirler. Sabotajcı hedef makineye ARP cevapları göndererek yeni MAC adresinin bir gateway ile ilişkili (örnek olarak) IP adresi olduğunu (sabatajcının adresi) söyler. Bundan sonra sabotajcı gateway'e gönderilen tüm trafiği alacaktır. Bu da tüm trafiği dinlemesi (ve/veya değiştirmesi) için yeterli olacaktır. Bundan sonra paketleri gerçek hedefine yönlendirecek ve kimse değişiklikten haberdar olmayacaktır.

ARP Spoofing yerel ağda switch'ler kullanıldığında yararlıdır. Bunlar Ethernet bilgilerini MAC adresi ile ilgili kapılara (kablolar) yönlendirir. Böylece bir sniffer bilgileri kendi fiziksel ağının ötesinden alabilir. Sonuç olarak ARP Spoofing farklı switch kapılarında bulunan makineler arasındaki trafiği dinlemeye imkan tanır.

ARP Spoofing atağı uygulamak için ARPSpoof veya nemesis gibi ARP paket oluşturucu kullanacaktır. Örnek: kurban makine 10.0.0.171, default gateway 10.0.0.1 ve sabotajcının makinesi 10.0.0.227. Saldırıdan önce traceroute sonucu:

[root@cible -> ~]$ traceroute 10.0.0.1 traceroute to 10.0.0.1 (10.0.0.1),
30 hops max, 40 byte packets 1 10.0.0.1 (10.0.0.1) 1.218 ms 1.061 ms 0.849 ms
Ve hedef makinenin ARP önbelleği:

[root@cible -> ~]$ arp Address HWtype HWAddress Flags Mask Iface 10.0.0.1
ether 00:b0:c2:88:de:65 C eth0 10.0.0.227 ether 00:00:86:35:c9:3f C eth0
Sabotajcı ARPSpoof çalıştırır:

[root@pirate -> ~]$
arpspoof -t 10.0.0.171 10.0.0.1 0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42:
arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f 0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42:
arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f 0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42:
arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f 0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42:
arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f 0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42:
arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f 0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42:
arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f 0:0:86:35:c9:3f 0:60:8:de:64:f0 0806 42:
arp reply 10.0.0.1 is-at 0:0:86:35:c9:3f
Gönderilen paketler 10.0.0.171 makinanın ARP önbelleğini zehirleyen ARP paketleri, 10.0.0.1 'ya ilişkin MAC adresinin bundan sonra 00:00:86:35:c9:3f olduğunu söyleyen ARP cevabı ile.

10.0.0.171 makinenin ARP önbelleği şu hale gelir:

[root@cible -> ~]$
arp Address HWtype HWAddress Flags
Mask Iface 10.0.0.1 ether 00:00:86:35:c9:3f C
eth0 10.0.0.227 ether 00:00:86:35:c9:3f C eth0
Trafiğin şimdi 10.0.0.227 üzerinden gittiğini anlamak için 10.0.0.1 gateway'e doğru yeni bir traceroute çalıştırmak yeterlidir:

[root@cible -> ~]$ traceroute 10.0.0.1 traceroute to 10.0.0.1 (10.0.0.1), 30 hops max,
40 byte packets 1 10.0.0.227 (10.0.0.227) 1.712 ms 1.465
ms 1.501 ms 2 10.0.0.1 (10.0.0.1) 2.238 ms 2.121 ms 2.169 ms

Artık sabotajcı 10.0.0.171 and 10.0.0.1 makineleri arasındaki trafiği dinleyebilir. 10.0.0.227 makinesindeki IP yönlendirmesini canlandırmayı unutmamalıdır.

DNS Spoofing
DNS protokolü (Domain Name System) alan isimlerini(örneğin www.test.com) kendi IP adreslerine (örneğin 192.168.0.1) vede tersine çevirir. Bu saldırı kurbana DNS hizmeti talebi karşısında yanlış cevap kullanır. Bu saldırı iki ana yöntemle gerçekleştirilir.

DNS ID Spoofing
DNS protokolünün başlığı cevapları ve talepleri eşleştirmek için bir kimlik sahası içerir. DNS IP Spoofing'in getirisi asıl DNS sunucusundan önce DNS talebine yanlış cevap dönebilmektir. Bunu yapmak için talep ID'si önceden belirlenmelidir. Bu belirleme lokal olarak ağı sniff ederek kolayca yapılabilmekte, uzaktan erişimde biraz daha zor olabilmektedir. Bu işlem için çeşitli yöntemler vardır:

ID kısmındaki tüm olasılıkları denemek. 65535 olasılık olduğundan pek gerçekçi değil (bu kısım 16 bit);

Doğru sırada birkaç yüz DNS talebi göndermek. Açıkçası bu yöntem pekte güvenilir değil;

Tahmin edilebilir ID'ler oluşturan bir sunucu bulmak (örneğin, 1 arttırılmış ID . Bu tarz bir zayıflık bazı Bind sürümlerinde veya Windows 9x makinelerde bulunabilir.

Her durumda gerçek DNS sunucusundan önce cevaplamak gereklidir. Denial of Service Attack ile kırarak yapılabilir.

Başarılı olmak için saldırgan attaquant.com alan adında hakka sahip bir DNS sunucusunu kontrol edebilmelidir (ns.attaquant.com).Hedef DNS sunucusu (ns.cible.com) tahmin edilebilir sıra numaralarına sahip olmalı şeklinde kabul edilir (her defasında 1 arttırılmış).

Saldırı 4 aşamadan oluşur:

Saldırgan cible.com DNS sunucusuna www.attaquant.com için şekil 11'de görüldüğü gibi bir DNS talebi gönderir;


Pic.11: ns.cible.com
'a gönderilen DNS talebi





Hedef DNS sunucusu talebi attaquant.com DNS sunucusuna yayınlar;

Saldırgan kendi ID'sini ele geçirmek için talebi sniff edebilir (örneğimizde ID 100'dür);

Saldırı IP adresini ilişikli bir makine ile değiştirir; burada IP'si 192.168.0.1 olması gereken kurban makine www.spoofed.com. Sabotajcı ns.cible.com adresine www.spoofed.com ismini çözmek için DNS sorgusu gönderir. Ardından aynı spoofed.com alan adının DNS sunucusundan spoof edilmiş IP alan sorguya bir demet değiştirilmiş IP demeti gönderir (saldırganın 10.0.0.1 site IP adreslerinden birini vererek). Doğru ID numarasını bulabilme şansını arttırmak için ikinci adım olarak (ID = 100) süresince ilk elde edilenden başlayarak her cevabın ID'si 1 arttırılacaktır. Bu durumda ns.cible.com diğer sorgulara cevap vermiş olmalı ve böylece DNS ID'si artmış olur. Şekil 12 bu adımları göstermektedir.

Pic.12: DNS ID Spoofing






Böylece hedef DNS sunucusunun önbelleği zehirlenmiş olur ve www.spoofed.com isminin çözümünü isteyen sıradaki makine saldırganın makine IP'sini alacak ve saldırganın sitesine yönlenecektir. Bu gerçek sitenin bir kopyası olabilir ve internet kullanıcılarının gizli bilgilerini elde etmek için kullanılabilir.