07 31 Ocak - 2 Şubat 2007 Kütahya - Akademik Bilişim Konferansları

Bilgisayar Ağ Sistemleri GüvenliğiErhan KahyaLand: Bilgisayarı kendi kendine senkronizeettirerek, arka planda Internet meselelerini yürütenWinsock adlı programın sonsuz döngüyegirmesini sağlar. Böylece farenizi bile hareketettiremezsiniz. Kaynak IP (Source), KaynakPort ve Hedef IP (Destination IP) IP, HedefPort’un aynı olduğu bir IP paketi, Land saldırısınıngerçekleşmesini sağlar. (7)Teardrop, Boink, Nestea: Internet üzerindegelen giden veri, parçalar halinde taşınır, dahasonra işletim sistemi tarafından birleştirilenpaket parçacıkları veriyi oluşturur (fragmentation).Çoğu sistemin duyarlı olduğu bu saldırıtipleri, bilgisayarınızın bozuk olarak bölünmüş2 paketi birleştirmeye çalışması ile gerçekleşir.Boink, teardrop saldırısının ters olarak çalışanhalidir. Nestea, teardrop saldırısının küçük değişimlereuğramış halidir ve teardrop ve boinksaldırılarına karşı patch edilmiş Linux sistemlerindeetkilidir. (7)Brkill: Eğer Windows yüklü bir bilgisayara,bağlantının sonlanması ile oluşan PSH ACK tipibir TCP paketi gönderirseniz Windows size oanki son bağlantı seri numarasını gönderir. Buradanyola çıkarak hedef makinedeki herhangibir bağlantıyı zorla kesmeniz mümkün olur.ICMP Nuke: Bilgisayarlar çoğu zaman aralarındakibağlantının sağlamlığını birbirlerineICMP paketleri göndererek anlarlar. Bu saldırıvarolan bir bağlantının arasına sanki hata varmışgibi ICMP_UNREACH paketi göndererekoluşur. (7)Jolt/SSPing: Windows 95 ve NT’nin yüksekboyuttaki bölünmüş ICMP paketlerini tekrarbirleştirememesinden kaynaklanan bir saldırıtipidir. 65535+5 byte’lık bir ICMP paketi göndermekbu saldırıyı gerçekleştirir. (7)hedef olarak belirlenen makineye ping çeker.Smurf, bu işlemi yüzlerce broadcast makineyetek bir kaynak IP adresinden ping çekereksaldırı haline çevirir. Bir anda bilgisayarlarınızaon binlerce bilgisayarın ping çektiğinidüşünürsek değil sizin şirketinizin bağlantısı,maalesef Turnet (Türkiye Internet omurgası)çıkış gücü bile buna cevap vermeye yetmez vebağlantılarınız kopar. (7)Suffer: Suffer saldırısı bilgisayarınıza sankibinlerce farklı bilgisayardan bağlantı isteğigeliyormuş gibi SYN paketleri gönderir. Busaldırının sonunda Windows yeni bağlantılariçin yeterli hafıza ayıramaz ve kalan hafızayıda bitirir. Bazı firewall türleri de böyle bir durumkarşısında binlerce soru kutucuğu açarakmakinenin kilitlenmesine sebep olur. (7)Exploit’ler: Exploit’in kelime anlamı “kötüyekullanma, sömürme” demek. Yani sisteminizinnormal bir özelliğinin bir açığını yakalayarak,bunu kötüye kullanabilir, sisteminizdeki, bilgilereulaşabilirler. Exploitler genelde sistemtabanlı olarak çalışırlar yani Unix’e ait bir exploitWindows için çalışmaz. Bu güne kadar bulunanyaklaşık olarak 1000’in üzerinde exploitvar. Ve bunların hepsinin nasıl çalıştığını anlatmamızgüvenlik sebeplerinden dolayı mümkündeğil. Aşağıda çok popüler olan bir kaç tanesindenbahsedilecektir. (7)Windows Null Session Exploit: Windows işletimsistemi, dışarıdaki kullanıcılara networküzerinde hiç bir hakka sahip olmadan oturum,kullanıcı ve paylaşım bilgilerini (session, userve share) verir. Ve ne kadar ilginçtir ki, bu exploit,Windows Network API’sinde belgelenmişve feature (özellik) olarak gösterilmiştir. Kötüniyetli birisi bu exploit’i kullanarak sistemhakkında çok kritik bilgiler sahibi olabilir. (7)SMURF: Networkler’de “broadcast address”olarak tanımlanan ve kendine gelen mesajlarıbütün network’e yönlendiren makineler vardır.Eğer birisi başka biri adına o makineye pingçekerse, ağ üzerindeki bütün çalışan makineler354PHF Exploit: Bu exploit oldukça eski olmasınarağmen halen karşılaşabileceğiniz bir güvenlikaçığıdır. Phf cgi yardımı ile sistemdekidosyalara admin olarak erişebilirsiniz.