saldırı yöntemleri

SALDIRI YÖNTEMLERİ
ASES
ASES Bilgi
Bilgi Güvenlik
Güvenlik Teknolojileri
Teknolojileri
Osman
OsmanVeysel
VeyselERDAĞ
ERDAĞ
CCIE-Security
CCIE-Security (#11211)
(#11211)
[email protected]
[email protected]
FBI/CSI 2002 Yılı Araştırması
• Araştırmaya katılan 503 firmanın %90’ı
son 12 ay içinde saldırıya uğramıştı..
– Atakların %70’i dışardan
– %30’u içerden
– Bu şirketlerin %80’i finansal kayba
uğrarken kaybını hesaplayabilen 223
şirketin toplam zararı: $456 Milyon.
• SaldırıTipleri:
– Şirketlerin %40’ında Sisteme Yetkisiz
Erişim.
– Şirketlerin %40’sında Servis Engelleme
– Şirketlerin %34’sında Bilgi Hırsızlığı
– Şirketlerin %78’inde Internetin Kötüye
Kullanımı.
Atak Yöntemleri ve
Gelişme Süreçleri
Paket Değiştirme-Kandırma
Yüksek
Kalkanlanmış Tarama
Sniffer’lar
Tarayıcılar
Arka Kapılar
Bilinen Zafiyetlerin
Kullanımı
Saldırı
Araçlarının
Karmaşıklık
Düzeyi
Session
Hijack
Denetimin Engellenmesi
Şifre Kırma
Kendini Çoğaltabilen Kodlar
Virüsler
Şifre Tahmini
Düşük
1980
1990
Teknik Bilgi
Gereksinimi
2000
2005
Saldırıların Nedenleri
• Üç ana neden:
– Güvenlik Politikası Zafiyetleri
– Konfigürayon Zafiyetleri
– Teknoloji Zafiyetleri
...Ve bu zafiyetleri kullanmaya çok
istekli olan insanlar
Güvenlik Politikası Açıkları
•
•
•
•
•
Yazılı bir güvenlik politikasının bulunmaması
Şirket içi politik çekişmeler
Hızlı personel sirkülasyonu
Donanım erişim kontrollerinin zayıflığı
Güvenlik yönetiminin ve politikaların takibinde
aksaklıklar yaşanması
• Saldırıya uğranıldığının anlaşılamaması
• Belirlenen politikaya uygun olmayan şekilde
yazılım ve donanım kurulması
Konfigürasyon Açıkları
• Ürünler üzerinde “default” ayarların bırakılması
• Network donanımlarının konfigürasyonlarının
yanlış yapılması
• Kullanıcı hesaplarının güvenlik düzeylerinin
düşük tutulması
• Kırılmaları kolay şifrelerin kullanılması
• Internet servislerinin yanlış konfigürasyonları
Teknoloji Zafiyetleri
• TCP/IP zafiyetleri
• İşletim sistemi zafiyetleri
• Network donanımı zafiyetleri
TCP Paket Formatı
0
15 16
Kaynak Port Numarası
31
Hedef Port Numarası
Sıra Numarası
Onaylama Numarası
Uzunluk
Pencere
Bayraklar
Hata Kontrol Kodu (Checksum)
Urgent Pointer
Padding
Seçenekler
DATA
..............................
URG
ACK
PSH
RST
SYN
FIN
TCP Paketi İletimi
SYN
SYN/ACK
ACK
İşletim Sistemi Zafiyetleri
Source: WWW.SecurityFocus.Com
Saldırıların Amaçları
100101
Sniffer ile Bilginin Gözlenmesi
(Mahremiyetin Kaybı)
Bilginin Çalınması
Ben Ahmet: Bankayla yapılan
anlaşmanın metnini gönderin.
100 Milyon TL
100 Milyar TL
Ahmet
Kimlik Aldatmacası
(Bilginin Yönlendirilmesi)
Veri Bütünlüğünün Kaybedilmesi
(Veri Değiştirme)
Saldırı Aşamaları
• İz Sürme (Footprinting)
– Saldırı noktası ile ilgili bilgi toplama
• Adres, telefon, ilgili kişiler, DNS kayıtları, vb.
• Network’e erişim yollarının belirlenmesi
• Tarama(Scanning)
– Çalışan servislerin belirlenmesi.
– Açık portların belirlenmesi.
– İşletim sisteminin belirlenmesi.
• Erişim
– Sisteme giriş, sistem kaynaklarının kullanımı.
• Saldırı
– Sisteme doğrudan saldırılar.
– Üçüncü sistemlere saldırı.
İz Sürme
• Web sayfaları ve kurumla yapılan telefon
görüşmeleri ile adres, telefon bilgilerinin
alınması, e-mail adresleri ve ilgili kişilerin
belirlenmesi.
• DNS kayıtlarının incelenmesi (nslookup), web
ve mail sunucuları ile varsa diğer sunucuların
IP adreslerinin öğrenilmesi.
• Hedefteki ağa erişilecek yol üzerindeki
bağlantıların belirlenmesi (traceroute).
• Ağ girişindeki firewall’un belirlenmesi ve
kontrol edilmesi (traceroute).
Tarama
[whitehat]$ fping –f in.txt
•Ağ’da
bulunan ve çalışan sistemlerin belirlenmesi:
192.168.1.254 is alive
–Ping
taraması:isfping,
nmap.
192.168.1.227
alive
[whitehat]$ strobe
192.168.1.10
–ICMP
taraması:
icmpquery.
[whitehat]$
nmap
–sP 192.168.1.0/24
192.168.1.10
echo
7/tcp Echo
Starting
nmap
v.2.53
192.168.1.10
sunrpc
111/tcp rpcbind
•Çalışan
servislerin
belirlenmesi:
Host
(192.168.1.0)
seems
to be a subnet broadcast
[whitehat]$
nmap
–sS 192.168.1.1
–Port
taraması:
strobe,
udp_scan, netcat, nmap,
Host
(192.168.1.1)
appers to
Starting
nmap v.2.53
netscan,
superscan,ipEye,
vb.be up
Host
appers to be up)
Port (192.168.1.10)
State Protocol
Service
[whitehat]$ nmap –p80 –O 192.168.1.1
•İşletim
belirlenmesi ftp
21 sisteminin
open
tcp
Starting nmap v.2.53
80
open
tcp
httpyanıtların
taramalaraService
verdiği
Port–İşletim
Statesisteminin
Protocol
139
open
tcp
netbios-ssn
değerlendirilmesi
21
open
tcp
ftp
•Aktif değerlendirme: TCP window size, TCP options,
80
open yöntemi.
tcp
http
Fragmantasyon
TCP Sequence
Prediction: Class=random
•Pasif değerlendirme:
TTL, windows positive
size, DF increments
seçeneği.
Difficulty=26590 (Worthy challenge)
Remote operating system guess: Solaris 2.5, 2.51
Tarama Biçimleri
SYN(port:53)
SYN/ACK
SYN(port:53)
SYN/ACK
SYN Taraması
FIN(port:53)
RST
FIN(port:25)
RST
FIN Taraması
FIN/URG/PUSH
RST
FIN/URG/PUSH
RST
XMAS (Noel)
Taraması
UDP
ICMP
UDP
ICMP
UDP Taraması
Erişim
• Basit ve masum araçlar:
– Null sessions:
• c:\>net use \\192.168.1.1\IPC$ “” /u:””
– NetBIOS komutları: nbstat, net view, vb.
– SNMP kullanımı.
• c:>snmputil walk 192.168.1.1 public
.1.3.6.1.4.1.77.1.2.25
Saldırı Tipleri (Örnekler)
Başlık
İçerik
Ping of Death
Land
MS IE
DNS Atak
Atomik
(Tek paket)
Port Tarama
SYN Atak
TCP Kesme
Telnet
Karakter Mod
Atak
Kompozit
Sistem Saldırıları
• Şifre atakları
• Sistem yöneticisi düzeyinde erişim.
• İkincil erişim.
• Uzaktan erişim
Back Orifice (Arka Kapı)
• İstemci-server mimarisi
• DOS komutları kullanımı
–dir, cd, copy, del ve benzeri
• Sistem gezintisi için HTTP server
• Dosya yükleme, indirme ve
görüntüleyebilme
• Yazıcı paylaşımı, ses donanımı
kullanımı
• Bellekte tutulan (cached)
password’lerin görüntülenmesi
• Portların yeniden yönlendirimi
• Ve benzeri...
Ağ Erişim Atakları
• Tampon taşması (buffer overflow)
• Unicode: Her bir karakter, kullanılan dil, platform
ve programdan bağımsız olarak unicode olarak
adlandırılan numaralarla gösterilebilir.
• CmdASP: Microsoft tarafından geliştirilen ve
HTML dosyaları ile script kodların birarada
kullanılmasını sağlayan Aktive Server Pages’in
kulanımıdır.
UNICODE ile HTTP Üzerinden
Komut Çalıştırılması
http:hedef.com.tr/scripts..%c1%1c..winnt/system32/cmd.exe?/c+dir+c:\
•
SONUÇ:
Directory of c:\ 2000-08-08 18:28
Inetpub
2000-08-09
09:58
Install
2000-08-09
11:17
MDaemon
2000-09-01
09:01
MSSQL7
2000-08-29
13:03
news
2000-10-18
02:53
ooo
2000-10-18
01:37
Program Files 2000-08-09
17:54
sttco
2000-10-17
11:48
WINNT
2000-10-18
02:02
wwww
2000-09-26
12:03
1 File(s) 28,160 bytes 14 Dir(s) 6,377,992,192 bytes free
•
NOT:%c0%af ve %c1%9c, ve \ karakterlerinin UNICODE gösterimleridir.
Servis Engelleme
• Kaynakları aşırı yükleme
– Ping flood
– Yarı açık SYN atakları
– Paket fırtınası
• Band dışı servis engelleme atakları
–
–
–
–
–
Standart dışı paketler (Büyük paketler).
Üstüste bindirilmiş paketler.
Parçalanmış paketler.
UDP bombardımanı
Diğer ataklar.
Servis Engelleme Atakları
• Parçalanmış Paket Atakları:
– Ping O’Death
– Teardrop
– Unnamed
• ICMP Atakları
–
–
–
–
Smurf
WinFreeze
TFN
Loki
Ölümcül Ping
(Ping O‘Death)
Frag 1
Frag 2
Frag n
Fragmanların toplam uzunluğu > 65535
65.535
• 65.535: Maksimum IP datagram büyüklüğü.
• Birleştirilen fragmanların uzunluğu 65.535’i
aştığında sistemler çakılabilir, donabilir.
Teardrop
Byte 0
Byte 35
1.Fragman: 36 bytes
0-35 bytes. Ofset 0
Byte 24
Byte 27
Byte 24
Byte 27
2.Fragman: 4 bytes
24-27 bytes. Ofset 24
Byte 0
Byte 35
Birleştirilmiş
fragmanlar
• Birinci parça 0 ve 35. byte’ları içeren 36 byte’tan
oluşurken ofseti 0’dir.
• İkinci parça sadece 4 byte’tan oluşur ve ofseti 24’tür.
• İki parça birleştirildiğinde, iki parçanın üstüste binmesi
sonucu oluşan paket sistemin kilitlenmesine yada
donmasına neden olur.
İsimsiz (Unnamed) Atak
Byte 0
Byte 24
1.Fragman: 25 bytes
0-24 bytes. Ofset 0
2.Fragman: 9 bytes
27-35 bytes. Ofset 27
Byte 0
Byte 27
Byte 24
Byte 27
Byte 35
Byte 35
Birleştirilmiş
fragmanlar
Eksik Data
• Birinci parça 0 ve 24. Byte’ları içeren 25 byte’tan
oluşurken ofseti 0’dir.
• İkinci parça sadece 9 byte’tan oluşur ve ofseti 27’dir.
• İki parça birleştirildiğinde oluşan paketin ortasında eksik
data bulunduğundan sistemin kilitlenebilir.
SMURF Atağı
ICMP REQ. D=172.16.2.2 S=192.168.5.1
ICMP REQ. D=172.16.2.2 S=192.168.5.2
ICMP REQ. D=172.16.2.2 S=192.168.5.3
ICMP REQ. D=172.16.2.2 S=192.168.5.4
ICMP REQ. D=172.16.2.2 S=192.168.5.5
ICMP REQ. D=192.168.5.255 S=172.16.2.2
Tribe Flood Network (TFN)
Atağı
ICMP, TCP, UDP Atağı
ICMP, TCP, UDP Atağı
ICMP, TCP, UDP Atağı
ICMP, TCP, UDP Atağı
ICMP, TCP, UDP Atağı
ICMP, TCP, UDP Atağı
TFN Komut Paketleri
TFN Master
Ateş Üstünde Yürüme
FireWalking
internet
Saldırı
bilgisayarı
Port:53’e (DNS)
gönderilen “traceroute”
(ICMP-UDP) paketleri
Firewall tarafından
Firewall’dan
geçen
düşürülen
ICMP-UDP
ICMP-UDP paketleri
paketleri
Ağ Anahtarlarına Yapılan Saldırılar:
DSNIFF
•
•
•
•
ARP kandırmacası
MAC taşması
Seçilebilir izleme
SSH / SSL gözlemekesme
Dug Song, DSNIFF’in yaratıcısı
www.monkey.org/~dugsong/dsniff
ARP Kandırmacası
[root@sconvery-lnx dsniff-2.3]# ./arpspoof 15.1.1.1
0:4:43:f2:d8:1 ff:ff:ff:ff:ff:ff 0806 42: arp reply
C:\>test
15.1.1.1 is-at 0:4:4e:f2:d8:1
0:4:43:f2:d8:1 ff:ff:ff:ff:ff:ff 0806 42: arp reply
C:\>arp -d 15.1.1.1
15.1.1.1 is-at 0:4:4e:f2:d8:1
0:4:43:f2:d8:1 ff:ff:ff:ff:ff:ff 0806 42: arp reply
C:\>ping -n 1 15.1.1.1
15.1.1.1 is-at 0:4:4e:f2:d8:1
0:4:43:f2:d8:1 ff:ff:ff:ff:ff:ff 0806 42: arp reply
Pinging 15.1.1.1 with 32 bytes
of data:
15.1.1.1
is-at 0:4:4e:f2:d8:1
Reply from 15.1.1.1: bytes=32 time<10ms TTL=255
C:\>arp -a
Interface: 15.1.1.26 on Interface 2
Internet Address
Physical Address
15.1.1.1
00-04-4e-f2-d8-01
15.1.1.25
00-10-83-34-29-72
C:\>arp -a
Interface: 15.1.1.26 on Interface 2
Internet Address
Physical Address
15.1.1.1
00-10-83-34-29-72
15.1.1.25
00-10-83-34-29-72
Type
dynamic
dynamic
Type
dynamic
dynamic
Ağ Anahtarlarında DSNIFF ile
MAC Tablosu Taşması
[root@sconvery-lnx dsniff-2.3]# ./macof
101.59.29.36 -> 60.171.137.91 TCP D=55934 S=322 Syn Seq=1210303300 Len=0 Win=512
145.123.46.9 -> 57.11.96.103 TCP D=44686 S=42409 Syn Seq=1106243396 Len=0 Win=52
109.40.136.24 -> 51.158.227.98 TCP D=59038 S=21289 Syn Seq=2039821840 Len=0 Win2
126.121.183.80 -> 151.241.231.59 TCP D=7519 S=34044 Syn Seq=310542747 Len=0 Win2
211.28.168.72 -> 91.247.223.23 TCP D=62807 S=53618 Syn Seq=2084851907 Len=0 Win2
183.159.196.56 -> 133.10.138.87 TCP D=23929 S=51034 Syn Seq=1263121444 Len=0 Wi2
19.113.88.77 -> 16.189.146.61 TCP D=1478 S=56820 Syn Seq=609596358 Len=0 Win=512
237.162.172.114 -> 51.32.8.36
TCP D=38433 S=31784 Syn Seq=410116516 Len=0 Win2
118.34.90.6 -> 61.169.58.50 TCP D=42232 S=31424 Syn Seq=1070019027 Len=0 Win=52
46.205.246.13 -> 72.165.185.7 TCP D=56224 S=34492 Syn Seq=937536798 Len=0 Win=52
105.109.246.116 -> 252.233.209.72 TCP D=23840 S=45783 Syn Seq=1072699351 Len=0 2
60.244.56.84 -> 142.93.179.59 TCP D=3453 S=4112 Syn Seq=1964543236 Len=0 Win=512
151.126.212.86 -> 106.205.161.66 TCP D=12959 S=42911 Syn Seq=1028677526 Len=0 W2
9.121.248.84 -> 199.35.30.115 TCP D=33377 S=31735 Syn Seq=1395858847 Len=0 Win=2
226.216.132.20 -> 189.89.89.110 TCP D=26975 S=57485 Syn Seq=1783586857 Len=0 Wi2
124.54.134.104 -> 235.83.143.109 TCP D=23135 S=55908 Syn Seq=852982595 Len=0 Wi2
27.54.72.62 -> 207.73.65.108 TCP D=54512 S=25534 Syn Seq=1571701185 Len=0 Win=2
246.109.199.72 -> 1.131.122.89 TCP D=61311 S=43891 Syn Seq=1443011876 Len=0 Win2
251.49.6.89 -> 18.168.34.97 TCP D=25959 S=956 Syn Seq=6153014 Len=0 Win=512
51.105.154.55 -> 225.89.20.119 TCP D=33931 S=1893 Syn Seq=116924142 Len=0 Win=52
82.2.236.125 -> 210.40.246.122 TCP D=43954 S=49355 Syn Seq=1263650806 Len=0 Win2
21.221.14.15 -> 9.240.58.59 TCP D=61408 S=26921 Syn Seq=464123137 Len=0 Win=512
70.63.102.43 -> 69.88.108.26 TCP D=61968 S=53055 Syn Seq=682544782 Len=0 Win=512
CAM Tablosu Dolduğunda!
• DSNIFF “macof” komutu ile her bir anahtar için
dakikada 155.000 MAC adres girişi üretebilir.
• CAM tablosu dolduğunda, tabloda yeralmayan
bir adres anahtara gelirse bu trafik bütün VLAN
içinde görülebilir duruma gelir.
10.1.1.22
10.1.1.22
15.1.1.26
15.1.1.25
->
->
->
->
(broadcast)
(broadcast)
15.1.1.25
15.1.1.26
ARP C Who
ARP C Who
ICMP Echo
ICMP Echo
is 10.1.1.1, 10.1.1.1 ?
is 10.1.1.19, 10.1.1.19 ?
request (ID: 256 Sequence number: 7424) Å OOPS
reply (ID: 256 Sequence number: 7424) Å OOPS
Internet Üzerinde Yüzlerce
Araç Bulunabilir
www.test.com
Connected to www.test.com
En Çok Görülen Güvenlik
Açıkları
•Açıklardan yararlanarak bilgi
•Konfigürasyonu yanlış yapılmış
sızdırılması
DMZ
Zayıf, kolayca tahmin
Gereksiz
servisleri
internet
servisleri:
–Çalışan servisler (DNS,
edilebilen
ve tekrar tekrar
çalıştıran sunucular kolay
–Anonymous FTP kullanılan şifreler sunucuları
FTP, SMTP, vb)
hedefleri oluştururlar.
bağlantılara yazma kolay
hakkı.hedeflere
LAN
dönüştürürler.
Güncellemesi
yapılmamış,
–Kullanıcılar
–Web sunucular üzerinde
eskimiş, açıkları bulunan,
–Kullanıcı grupları
•Router üzerinde Erişim
CGI ve ASP script’ler.
default konfigürasyonda
–Uygulamalar
Denetim Listelerinin
bırakılmış yazılımlar.
gerektiği
gibi
–İşletim
sistemleri,
İç
Sınır
İletişim
ağı aktivitelerinin uygun Gözden geçirilmiş, kabul edilmiş
uygulanmaması.
versiyonlar.
Yönlendirici
Yönlendiricisi
bir şekilde
gözlenmemeleri.
•Sonuç:
ve yazılı bir güvenlik politikasının
Konfigürasyonu
–ICMP
yanlış yapılmış
İnternet
bulunmaması!
–IP
Firewall ile erişimin
Gereğinden fazla paylaşım
–NetBIOS üzerinden
sağlanması.
hakkı
verilmiş olan dosya
bilgi sızdırılması
ve dizinler( NT paylaşımları,
–DMZ’de bulunan Firewall
UNIX NFS).
sunuculara yetkisiz
•Gereğinden çok
erişim.
haklara sahip kullanıcı
Yüksek düzeyde “trust”
LAN
ve test hesapları
•Mobil kullanıcılara erişim
ilişkileri (NT Domain trust,
sağlayan,uzaktan erişim
UNIX .rhosts ve hosts.equiv hedefleri saldırı
noktalarını arttırır.
noktalarının güvenliğinin
dosyaları).
Mobil
sağlanmaması, trafiğin
Kullanıcılar
kontrol edilmemesi
•Sonuç: İletişim güvenlik
Bölge Ofisi
ağınızda, içeriye doğru
açılmış büyük delikler
TEŞEKKÜRLER
TEŞEKKÜRLER