Saldırı Çeşitleri ve Güvenlik Yöntemleri

**bedirhan05** · 06-27-2008

NUke Nedir ?

Nuke siz internete bağlıyken ISS nizce size verilen bir ip numarası yardımı ile bir başka kişinin özel programlar yardımı ile bilgisayarınıza paketler gönderilmesi ve bu paketlerin bilgisayarınıza zarar vermesidir

Çeşitleri

OOB Nuke : (Out of Band Nuke ) Sadece Windows NT ve Windows 95'in bir bug olan OOB Nuke, işletim sistemi Windows olan bir makinenin 139

portuna (Netbios Session Port) MSG_OOB tipi bir bağlantı (connection) yapılmasıyla gerçekleşir

(Service Pack ile halledildi)

Eğer Windows 95 kullanıyorsanız sisteminize mavi ekran vererek Internet bağlantısının kopmasına, Windows NT kullanıyorsanız sistemin durmasına yol açar

Land : Bilgisayarı kendi kendine senkronize ettirerek Winsock'un sonsuz döngüye girmesini sağlar böylece mouse'un bile hareket etmemesine yol açar

Source IP-Source Port ve Destination IP-Destination Port'un aynı olduğu bir IP paketi land saldırısının gerçekleşmesini sağlar

Teardrop, Boink, Nestea : Internet üzerinde gelen giden veri parçalar halinde taşınır

Daha sonra işletim sistemi tarafından birleştirilen paket parçacıkları veriyi oluşturur(Fragmentation)

Çoğu sistemin duyarlı olduğu bu saldırı tipleri, bilgisayarınızın bozuk olarak bölünmüş iki paketi birleştirmeye çalışması ile gerçekleşir

Source IP-Source Port ve Destination IP-Destination Port'un aynı olduğu bir IP paketi land saldırısının gerçekleşmesini sağlar

Teardrop, Boink, Nestea : Internet üzerinde gelen giden veri parçalar halinde taşınır

Daha sonra işletim sistemi tarafından birleştirilen paket parçacıkları veriyi oluşturur(Fragmentation)

Çoğu sistemin duyarlı olduğu bu saldırı tipleri, bilgisayarınızın bozuk olarak bölünmüş iki paketi birleştirmeye çalışması ile gerçekleşir

Boink; teardrop saldırısının ters olarak çalışan halidir

Nestea; teardrop saldırısının minör değişimlere uğramış halidir

Aynı zamanda teardrop ve boink saldırılarına karşı patch edilmiş Linux sistemlerinde etkilidir

Brkill : Eğer Windows yüklü bir bilgisayara, bağlantının sonlanmasıyla oluşan PSH ACK tipi bir TCP paket gönderilirse Windows o anki son bağlantı seri numarasını gönderir

Buradan yola çıkarak hedef makinedeki her hangi bir bağlantıyı zorla kesmek mümkün olur

ICMP Nuke : Bilgisayarlar çoğu zaman aralarındaki bağlantının sağlamlığını birbirlerine ICMP paketleri göndererek anlarlar

Bu saldırı varolan bir bağlantının arasına sanki hata varmış gibi ICMP_UNREACH paketi göndererek oluşur

Jolt / Ssping : Windows 95 ve NT'nin yüksek boyuttaki bölünmüş ICMP paketlerini tekrar birleştirememesinden kaynaklanan bir saldırı türüdür

65535 + 5 bytelık bir ICMP paketi göndermek bu saldırıyı gerçekleştirir

Smurf : Networklerde Broadcast Address olarak tanımlanan ve kendine gelen mesajları bütün network'e yönlendiren makineler vardır

Eğer birisi başka biri adına o makineye ping çekerse, ağ üzerinde çalışan bütün makineler hedef olarak belirlenen makineye ping çeker

Smurf, bu işlemi yüzlerce broadcast makineye tek bir kaynak IP adresten ping çekerek saldırı haline çevirir

Bir anda bilgisayarlara onbinlerce bilgisayarın ping çektiği düşünülürse, değil bir şirketin bağlantısı, maalesef TURNET (Türkiye Internet Omurgası) çıkış gücü bile buna cevap vermeye yetmez ve bağlantılar kesilir

Suffer3 : Suffer saldırısı karşı bilgisayara sanki binlerce farklı bilgisayardan bağlantı isteği geliyormuş gibi SYN paketleri gönderir

Bu saldırının sonunda Windows yeni bağlantılar için yeterli hafıza ayıramaz ve kalan hafızayı da bitirir

Bazı firewall türleri de böyle bir durum karşısında binlerce soru kutucuğu açarak makinenin kilitlenmesine sebep olur

Nuke Programları

İnternet üzerinden de temin edilebilen,ve sıkça karşımıza çıkabilecek belli başlı nuke programları şöyle sıralanabilir:

Winpack 1

0 , The aggressor , Nuke v3

2, Winnuke&

Nuke'tan Nasıl Korunulur?

NUKENABBER: NukeNabber kimin size Nuke veya daha farklı yollarla saldırı düzenlediğini öğrenmeniz için tasarlanmış bir güvenlik programıdır

ISP adminlerinin bu hacker'ları belirleyip etkisiz hale getirmeleri için kolaylıklar sağlar

Birden fazla port u kullanıma sokarak sizin birtek port ile tuzağa düşmemenizi sağlar

Böylece karşıdaki insan sizin hangi portu kullandığınızı kestirmesi çok güç olacağından yoluna oldukça önemli bir engel de koymuş olursunuz

TCP ve UDP kullanarak yapılan saldırıları tespit etmek için 50 ye kadar port kullanılabilir

TCP ve UDP'nin yanısıra ICMP dest_unreach portlarınıda denetleyebilir

Bir Saldırı Nasıl Rapor Edilir ?

* Saldırı amacıyla sizin portunuza bağlanan kişinin adres raporunu gözden geçirin

(Bu dosyalara view menüsünden ulaşabilirsiniz

)
* Mümkünse Admin bağlantısı için e-mailleri alın

Eğer raporlardan bir şey elde edemediyseniz, log dosyasını root@isp e gönderin
* E-mail programınızı çalıştırın

* En son yapılan logonların listesini emailinize geçirin

* Kısaca başınıza ne geldiğini mesaja ekleyin
* Mesaja gerçek isminizi ve yetkilinin sizinle irtibat kurabileceği bir adres veya telefon bırakmayı ihmal etmeyin

Trojanlar ( Truva Atı)

Trojan Nedir?

Trojan bir sisteme girmek için arka kapı açan bir programdır

Trojan Neler Yapabilir?

Trojan, internet bağlantı şifreniz dahil bilgisayarınızdaki bütün şifrelerin ele geçirilmesini sağlayabilen bir saldırı programıdır

Bilgisayarınızın sistem ayarlarıyla oynanmasını, cpu nun, monitörün ve hatta ekran kartının yakalamsını sağlayabilir

Dosyalarınız karıştırılabilir, silinebilir veya değiştirilebilir

Bilgisayarınız formatlanabilir veya restart edilebilir

Mesajlarınız okunabilir, sizin yerinize mesaj yazılabilir, aktif programların listesi çıkarılabilir&vs

Bunlar trojan programının yapabileceği şeylerin sadece birkaçı

Başlıca bilinen trojan programları Netbus ve Backorifice dir

BACKORIFICE : BackOrifice ve BackOrifice2000 adı altında 2 tane sürümü vardır

Bu Trojan programı bir Microsoft Windows üzerinde kurulduğu zaman kullanıcının sistem üzerinde tam yetkili(full access) olmasını sağlar

Bu program firawall tarafından engellenebilmektedir

Henüz firewall'I aşabildiği tespit edilmemiştir

4

3

Nasıl Korunulur?

* Güvenmediğiniz kişilerden exe veya com dosyaları almayınız

* Eğer bilgisayaranızda trojan olduğundan şüpheleniyorsanız bilgisayarınızdaki giriş ve çıkışları kontrol eden firewall* gibi bir prgram kullanın ve en kısa zamanda cleaner programını çekip bilgisayarınızdaki trojanlardan kurtulun

* Norton anti-virüs gibi, bir dosyayı çalıştırmadan kontrol eden bir anti virüs programı kullanın ki dosyalara trojan bulaşmışsa çalıştırmadan uyarı alın

* Anti-trojan programları kullanın

Anti-Trojan Programları?

NETBUSTER: Netbuster programı netbus(trojan) kullanıcılarına karşı sistemi koruma amaçlı bir programdır

Netbus ile sizin bilgisayarınıza bağlanan kullanıcıları tespit edip onlardan korunmak için geliştirilmiş bir programdır

Bu program yardımıyla o anda bilgisayarınıza bağlanmış olan hackerlara mesajlar gönderebilir ve onlarla oyun oynayabilirsiniz

Bu programın asıl amacı tam olarak bir güvenlik sağlamak değildir

Netbus kullanarak bilgisayarınızın portlarına bağlanan başka kullanıcıları o portlardan uzak tutmak amaçlıdır

Netbuster'in genel olarak iki kullanım amacı vardır

Birincisi bilgisayarınız da bulunabilecek trojanları temizleyerek bilgisayarınızı olası hackerlardan kurtarmak, ikincisi ise, bilgisayarınıza netbus kullanarak bağlanmaya çalışan kişilerin ip adreslerini tarihleri(gün--saat) ile birlikte kaydederek, karşıdakinin size ne yapmak istediğini ve onun bilgisayarı hakkındaki bilgileri öğrenebilirsiniz böylece sizde ona karşı bir oyun oynayabilirsiniz

Çoğu kullanıcı netbus SERVER ile Netbus Client arasındaki farkı bilemezler

ikisini birden çalıştırırlar ve farkında olmadan kendilerinede trojan bulaştırmış olurlar

Böylece sizde onun bilgisayarı üzerinde hüküm kurabilirsiniz

NETBUSTER NASIL ÇALIŞIR?

Net buster I çalıştırdığınızda hafızanızdaki kayıtlı Netbus SERVER lerini tarar

Bulunduğu takdirde bunlar silinecektir ve program size kendiliğinden çalışan dosyaların olup olmadığını soracaktır

Eğer yoksa muhtemelen netbus server sisteminizde kayıtlı değildir ve ya tanınmayan bir versiyonudur

Aksi takdirde portlarınız netbus server'a bağlı veya kullanılıyor demektir

Netbuster 1

31 programında VARIOUS seçeneğini kullanarak programın kullanımında değişiklik yapabilirsiniz

Mesela şekilde görüldüğü gibi, biri sizin makinanıza bağlandığında don't disconnect seçeneği var: Bu demektir ki bir kişi bilgisayarınıza bağlandığında onu disconnect etmiycektir

Seçenekleri değiştirerek 60 saniye içinde bağlantıyı kesmesini yada bir mesaj gönderip öyle disconnect olmasını da sağlayabilirsiniz

PROTECTOR PLUS: Bilgisayarınızda bulunan trojan türü programları bularak bunları etkisiz hale getirmeye yarayan bir programdır

Protector plus programını çalıştırdığınız da Sizin seçtiğiniz bir alanı tarayarak herhangi bir trojan bulduğunda bunu bilgisayarınız dan siler ve işlem bittiğinde de raporu size gösterir

Bu rapora göre bilgisayarınızda trojan bulunmuşsa bunları listeleyerek üzerinde yapılan işlemleri listeler

THE AGGRESSOR

The Aggressor, ileri seviye kullanıcılar, adminler ve Internete bağlı kuruluşlar için geliştirilmiş bir network yönetim ve korunma programıdır

Türkiye'de geliştirilen ilk firewall olma özelliğine sahip olan yazılım dünyada da benzerleri arasında oldukça iyi bir üne sahiptir

Henüz program çıkmadan bile programın Web Sitesine günlük ortalama 54

000'in üzerinde ziyaret yapılmaktaydı

Son derece modüler olan programa, Plug-in özelliği sayesinde en son yenilikleri tek bir dosya ile ekleyebilir, hatta SDK'sı aracılığı ile kendiniz modüller yazabilirsiniz, Delphi ve Visual C için plug-in desteği mevcuttur

Thread manager ve Custom Plugin Runner gibi bir çok gelişmiş fonksiyonlar ve komut satırından hoşlananlar için, Linux benzeri bir komut arabirimine sahiptir

Bu komut arabirimi (CLI) sayesinde Aggressor'ın GUI'si ile yapabildiği herşeyi komut satırları ile yapmak mümkündür

Crashguard özelliği sayesinde herhangi bir koşulda oluşabilecek software hatalarını internal olarak düzeltip çalışmasını aksatmadan devam ettirebilmek özellikleri arasındadır!

Exploit'ler Giriş ?

Exploitler genelde sistem tabanlı olarak çalışırlar yani Unix'e ait bir exploit Windows için çalışmaz

Bu güne kadar bulunan yaklaşık olarak 1000'in üzerinde exploit vardır

Windows Null Session Exploit : Windows işletim sistemi, dışarıdaki kullanıcılara network üzerinde hiç bir hakka sahip olmadan session, user ve share information2ı verir

Kötü niyetli birisi bu exploiti kullanarak sistem hakkında çok kritik bilgiler sahibi olabilir

PHF Exploit : Bu exploit oldukça eski olmasına rağmen halen karşılaşabilecek bir güvenlik açığıdır, PHF CGI yardımı ile sistemdeki dosyalara admin olarak erişilebilinir

GET /cgi-bin/phf?Qalias=x%0a/usr/bin/ypcat%20passwd
http://www.phfcalistiranserver.com/c...ypcat%20passwd

Yukarıdaki örnek Unix işletim sistemi ya da türevini kullanan bir makineden User bilgilerinin ve de şifrelerinin bulunduğu Password dosyasının görülmesini sağlar

ASP Exploit : Active Server Page özelliği kullanan WebServer'larda URL'nin sonuna bir nokta(

) yada ::şDATA yazılarak ASP'nin içeriği (source code) görülebilir

Eğer ASP'nin içerisinde her hangi bir şifre varsa bu exploit çok tehlikeli olabilir

http://www

ya da
http://www

asp::şDATA

Sendmail Exploit : Eski Sendmail versiyonlarında birkaç basit hile ile sistemin şifrelerinin tutulduğu dosyayı çekmek mümkün olabilir

Ayrıca sistem kullanıcıları hakkında bilgi almak (EXPN) yada bir Username'in o Server'da olup olmadığını öğrenmek de mümkündür

(VRFY)

telnet mail

server

com:25

ICQ Tabanlı Exploitler : Son derece zayıf bir mimariye sahip olan ICQ sistemi, kolayca taklit edilebilen, hatta gerçek spoofing bile yapılmasına gerek kalmayan bir sistemdir

ICQ kullanıcıları kolayca mesaj bombasına tutulabilir, passwordleri değiştirilebilir, onaya gerek kalmadan listeye alınabilir

IP'sini kullanıcı gösterme dese bile görülebilir yada ICQ chat yaparken mesaj taşması (flooding) yapılabilir

Dosya ve yazıcı paylaşımı : Windows 95 yada NT'de paylaşıma açılan disk ya da klasörlerin okuma-yazma izinlerine çok dikkat edilmelidir

Şifresiz (Şu birçok ISP'nin Inetpub Directory'sini tüm dünyaya yazma izni vererek paylaşıma açması gibi) ya da kolay tahmin edilebilecek (username ile aynı) bir şifre ile paylaşıma açılan disk yada klasörlerin her türlü saldırıya açık olması gibi durumlar istenmeyen durumlara yol açabilir

Windows Start menüsünde Run seçeneği tıklatıldıktan sonra \\\IP yazıp Enter tuşuna basılırsa, IP'si yazılan makinede paylaşıma açık olan yerler görülebilir

Windows'un içinde var olan NET komutunu kullanarak (NET VIEW \\\IP) yine paylaşıma açık yerleri görebilir ve yine aynı komutla onlara bağlanılabilir

(NET USE J: \\\IP\paylaşımismi) : Ayrıca linux yüklü bir makineden, smbclient programı ile aynı işlemleri yapılabilir

Bu tip tehlikelerden korunmak için paylaşımlara sağlam bir şifre zorunludur

(anlamsız kelime+ rakamlar+hem büyük hem küçük harf kullanıması vs

)

Diğer Araçlar : Snork, cachecow, ADMmountd, mountd, faxsurvey, vintra,hotmail_exploit1-2, ioconfig lpd-rm, dilloncrond, nameserver_dead, lpd-mail, imapd4, binfo-udp, pinebug, mailxploit, newxterm, mailex, metainfo, xterm_exploit, dip3

3

7overflow-exploit, coke ve daha bir çok exploit bulunuyor

06-27-2008	#1
bedirhan05	Saldırı Çeşitleri ve Güvenlik Yöntemleri NUke Nedir ? Nuke siz internete bağlıyken ISS nizce size verilen bir ip numarası yardımı ile bir başka kişinin özel programlar yardımı ile bilgisayarınıza paketler gönderilmesi ve bu paketlerin bilgisayarınıza zarar vermesidir Çeşitleri OOB Nuke : (Out of Band Nuke ) Sadece Windows NT ve Windows 95'in bir bug olan OOB Nuke, işletim sistemi Windows olan bir makinenin 139 portuna (Netbios Session Port) MSG_OOB tipi bir bağlantı (connection) yapılmasıyla gerçekleşir(Service Pack ile halledildi) Eğer Windows 95 kullanıyorsanız sisteminize mavi ekran vererek Internet bağlantısının kopmasına, Windows NT kullanıyorsanız sistemin durmasına yol açar Land : Bilgisayarı kendi kendine senkronize ettirerek Winsock'un sonsuz döngüye girmesini sağlar böylece mouse'un bile hareket etmemesine yol açar Source IP-Source Port ve Destination IP-Destination Port'un aynı olduğu bir IP paketi land saldırısının gerçekleşmesini sağlar Teardrop, Boink, Nestea : Internet üzerinde gelen giden veri parçalar halinde taşınır Daha sonra işletim sistemi tarafından birleştirilen paket parçacıkları veriyi oluşturur(Fragmentation) Çoğu sistemin duyarlı olduğu bu saldırı tipleri, bilgisayarınızın bozuk olarak bölünmüş iki paketi birleştirmeye çalışması ile gerçekleşir Source IP-Source Port ve Destination IP-Destination Port'un aynı olduğu bir IP paketi land saldırısının gerçekleşmesini sağlar Teardrop, Boink, Nestea : Internet üzerinde gelen giden veri parçalar halinde taşınır Daha sonra işletim sistemi tarafından birleştirilen paket parçacıkları veriyi oluşturur(Fragmentation) Çoğu sistemin duyarlı olduğu bu saldırı tipleri, bilgisayarınızın bozuk olarak bölünmüş iki paketi birleştirmeye çalışması ile gerçekleşir Boink; teardrop saldırısının ters olarak çalışan halidir Nestea; teardrop saldırısının minör değişimlere uğramış halidir Aynı zamanda teardrop ve boink saldırılarına karşı patch edilmiş Linux sistemlerinde etkilidir Brkill : Eğer Windows yüklü bir bilgisayara, bağlantının sonlanmasıyla oluşan PSH ACK tipi bir TCP paket gönderilirse Windows o anki son bağlantı seri numarasını gönderir Buradan yola çıkarak hedef makinedeki her hangi bir bağlantıyı zorla kesmek mümkün olur ICMP Nuke : Bilgisayarlar çoğu zaman aralarındaki bağlantının sağlamlığını birbirlerine ICMP paketleri göndererek anlarlar Bu saldırı varolan bir bağlantının arasına sanki hata varmış gibi ICMP_UNREACH paketi göndererek oluşur Jolt / Ssping : Windows 95 ve NT'nin yüksek boyuttaki bölünmüş ICMP paketlerini tekrar birleştirememesinden kaynaklanan bir saldırı türüdür 65535 + 5 bytelık bir ICMP paketi göndermek bu saldırıyı gerçekleştirir Smurf : Networklerde Broadcast Address olarak tanımlanan ve kendine gelen mesajları bütün network'e yönlendiren makineler vardır Eğer birisi başka biri adına o makineye ping çekerse, ağ üzerinde çalışan bütün makineler hedef olarak belirlenen makineye ping çeker Smurf, bu işlemi yüzlerce broadcast makineye tek bir kaynak IP adresten ping çekerek saldırı haline çevirir Bir anda bilgisayarlara onbinlerce bilgisayarın ping çektiği düşünülürse, değil bir şirketin bağlantısı, maalesef TURNET (Türkiye Internet Omurgası) çıkış gücü bile buna cevap vermeye yetmez ve bağlantılar kesilir Suffer3 : Suffer saldırısı karşı bilgisayara sanki binlerce farklı bilgisayardan bağlantı isteği geliyormuş gibi SYN paketleri gönderir Bu saldırının sonunda Windows yeni bağlantılar için yeterli hafıza ayıramaz ve kalan hafızayı da bitirir Bazı firewall türleri de böyle bir durum karşısında binlerce soru kutucuğu açarak makinenin kilitlenmesine sebep olur Nuke Programları İnternet üzerinden de temin edilebilen,ve sıkça karşımıza çıkabilecek belli başlı nuke programları şöyle sıralanabilir: Winpack 10 , The aggressor , Nuke v32, Winnuke& Nuke'tan Nasıl Korunulur? NUKENABBER: NukeNabber kimin size Nuke veya daha farklı yollarla saldırı düzenlediğini öğrenmeniz için tasarlanmış bir güvenlik programıdır ISP adminlerinin bu hacker'ları belirleyip etkisiz hale getirmeleri için kolaylıklar sağlar Birden fazla port u kullanıma sokarak sizin birtek port ile tuzağa düşmemenizi sağlar Böylece karşıdaki insan sizin hangi portu kullandığınızı kestirmesi çok güç olacağından yoluna oldukça önemli bir engel de koymuş olursunuz TCP ve UDP kullanarak yapılan saldırıları tespit etmek için 50 ye kadar port kullanılabilir TCP ve UDP'nin yanısıra ICMP dest_unreach portlarınıda denetleyebilir Bir Saldırı Nasıl Rapor Edilir ? * Saldırı amacıyla sizin portunuza bağlanan kişinin adres raporunu gözden geçirin(Bu dosyalara view menüsünden ulaşabilirsiniz) * Mümkünse Admin bağlantısı için e-mailleri alın Eğer raporlardan bir şey elde edemediyseniz, log dosyasını root@isp e gönderin * E-mail programınızı çalıştırın * En son yapılan logonların listesini emailinize geçirin * Kısaca başınıza ne geldiğini mesaja ekleyin * Mesaja gerçek isminizi ve yetkilinin sizinle irtibat kurabileceği bir adres veya telefon bırakmayı ihmal etmeyin Trojanlar ( Truva Atı) Trojan Nedir? Trojan bir sisteme girmek için arka kapı açan bir programdır Trojan Neler Yapabilir? Trojan, internet bağlantı şifreniz dahil bilgisayarınızdaki bütün şifrelerin ele geçirilmesini sağlayabilen bir saldırı programıdır Bilgisayarınızın sistem ayarlarıyla oynanmasını, cpu nun, monitörün ve hatta ekran kartının yakalamsını sağlayabilir Dosyalarınız karıştırılabilir, silinebilir veya değiştirilebilir Bilgisayarınız formatlanabilir veya restart edilebilir Mesajlarınız okunabilir, sizin yerinize mesaj yazılabilir, aktif programların listesi çıkarılabilir&vs Bunlar trojan programının yapabileceği şeylerin sadece birkaçı Başlıca bilinen trojan programları Netbus ve Backorifice dir BACKORIFICE : BackOrifice ve BackOrifice2000 adı altında 2 tane sürümü vardır Bu Trojan programı bir Microsoft Windows üzerinde kurulduğu zaman kullanıcının sistem üzerinde tam yetkili(full access) olmasını sağlar Bu program firawall tarafından engellenebilmektedir Henüz firewall'I aşabildiği tespit edilmemiştir 433 Nasıl Korunulur? * Güvenmediğiniz kişilerden exe veya com dosyaları almayınız * Eğer bilgisayaranızda trojan olduğundan şüpheleniyorsanız bilgisayarınızdaki giriş ve çıkışları kontrol eden firewall* gibi bir prgram kullanın ve en kısa zamanda cleaner programını çekip bilgisayarınızdaki trojanlardan kurtulun * Norton anti-virüs gibi, bir dosyayı çalıştırmadan kontrol eden bir anti virüs programı kullanın ki dosyalara trojan bulaşmışsa çalıştırmadan uyarı alın * Anti-trojan programları kullanın Anti-Trojan Programları? NETBUSTER: Netbuster programı netbus(trojan) kullanıcılarına karşı sistemi koruma amaçlı bir programdır Netbus ile sizin bilgisayarınıza bağlanan kullanıcıları tespit edip onlardan korunmak için geliştirilmiş bir programdır Bu program yardımıyla o anda bilgisayarınıza bağlanmış olan hackerlara mesajlar gönderebilir ve onlarla oyun oynayabilirsiniz Bu programın asıl amacı tam olarak bir güvenlik sağlamak değildir Netbus kullanarak bilgisayarınızın portlarına bağlanan başka kullanıcıları o portlardan uzak tutmak amaçlıdır Netbuster'in genel olarak iki kullanım amacı vardır Birincisi bilgisayarınız da bulunabilecek trojanları temizleyerek bilgisayarınızı olası hackerlardan kurtarmak, ikincisi ise, bilgisayarınıza netbus kullanarak bağlanmaya çalışan kişilerin ip adreslerini tarihleri(gün--saat) ile birlikte kaydederek, karşıdakinin size ne yapmak istediğini ve onun bilgisayarı hakkındaki bilgileri öğrenebilirsiniz böylece sizde ona karşı bir oyun oynayabilirsiniz Çoğu kullanıcı netbus SERVER ile Netbus Client arasındaki farkı bilemezler ikisini birden çalıştırırlar ve farkında olmadan kendilerinede trojan bulaştırmış olurlarBöylece sizde onun bilgisayarı üzerinde hüküm kurabilirsiniz NETBUSTER NASIL ÇALIŞIR? Net buster I çalıştırdığınızda hafızanızdaki kayıtlı Netbus SERVER lerini tarar Bulunduğu takdirde bunlar silinecektir ve program size kendiliğinden çalışan dosyaların olup olmadığını soracaktır Eğer yoksa muhtemelen netbus server sisteminizde kayıtlı değildir ve ya tanınmayan bir versiyonudur Aksi takdirde portlarınız netbus server'a bağlı veya kullanılıyor demektir Netbuster 131 programında VARIOUS seçeneğini kullanarak programın kullanımında değişiklik yapabilirsiniz Mesela şekilde görüldüğü gibi, biri sizin makinanıza bağlandığında don't disconnect seçeneği var: Bu demektir ki bir kişi bilgisayarınıza bağlandığında onu disconnect etmiycektir Seçenekleri değiştirerek 60 saniye içinde bağlantıyı kesmesini yada bir mesaj gönderip öyle disconnect olmasını da sağlayabilirsiniz PROTECTOR PLUS: Bilgisayarınızda bulunan trojan türü programları bularak bunları etkisiz hale getirmeye yarayan bir programdır Protector plus programını çalıştırdığınız da Sizin seçtiğiniz bir alanı tarayarak herhangi bir trojan bulduğunda bunu bilgisayarınız dan siler ve işlem bittiğinde de raporu size gösterir Bu rapora göre bilgisayarınızda trojan bulunmuşsa bunları listeleyerek üzerinde yapılan işlemleri listeler THE AGGRESSOR The Aggressor, ileri seviye kullanıcılar, adminler ve Internete bağlı kuruluşlar için geliştirilmiş bir network yönetim ve korunma programıdır Türkiye'de geliştirilen ilk firewall olma özelliğine sahip olan yazılım dünyada da benzerleri arasında oldukça iyi bir üne sahiptir Henüz program çıkmadan bile programın Web Sitesine günlük ortalama 54000'in üzerinde ziyaret yapılmaktaydı Son derece modüler olan programa, Plug-in özelliği sayesinde en son yenilikleri tek bir dosya ile ekleyebilir, hatta SDK'sı aracılığı ile kendiniz modüller yazabilirsiniz, Delphi ve Visual C için plug-in desteği mevcuttur Thread manager ve Custom Plugin Runner gibi bir çok gelişmiş fonksiyonlar ve komut satırından hoşlananlar için, Linux benzeri bir komut arabirimine sahiptir Bu komut arabirimi (CLI) sayesinde Aggressor'ın GUI'si ile yapabildiği herşeyi komut satırları ile yapmak mümkündürCrashguard özelliği sayesinde herhangi bir koşulda oluşabilecek software hatalarını internal olarak düzeltip çalışmasını aksatmadan devam ettirebilmek özellikleri arasındadır! Exploit'ler Giriş ? Exploitler genelde sistem tabanlı olarak çalışırlar yani Unix'e ait bir exploit Windows için çalışmaz Bu güne kadar bulunan yaklaşık olarak 1000'in üzerinde exploit vardır Windows Null Session Exploit : Windows işletim sistemi, dışarıdaki kullanıcılara network üzerinde hiç bir hakka sahip olmadan session, user ve share information2ı verir Kötü niyetli birisi bu exploiti kullanarak sistem hakkında çok kritik bilgiler sahibi olabilir PHF Exploit : Bu exploit oldukça eski olmasına rağmen halen karşılaşabilecek bir güvenlik açığıdır, PHF CGI yardımı ile sistemdeki dosyalara admin olarak erişilebilinir GET /cgi-bin/phf?Qalias=x%0a/usr/bin/ypcat%20passwd http://www.phfcalistiranserver.com/c...ypcat%20passwd Yukarıdaki örnek Unix işletim sistemi ya da türevini kullanan bir makineden User bilgilerinin ve de şifrelerinin bulunduğu Password dosyasının görülmesini sağlar ASP Exploit : Active Server Page özelliği kullanan WebServer'larda URL'nin sonuna bir nokta() yada ::şDATA yazılarak ASP'nin içeriği (source code) görülebilir Eğer ASP'nin içerisinde her hangi bir şifre varsa bu exploit çok tehlikeli olabilir http://wwwaspkullananservercom/defaultasp ya da http://wwwaspkullananservercom/defaultasp::şDATA Sendmail Exploit : Eski Sendmail versiyonlarında birkaç basit hile ile sistemin şifrelerinin tutulduğu dosyayı çekmek mümkün olabilir Ayrıca sistem kullanıcıları hakkında bilgi almak (EXPN) yada bir Username'in o Server'da olup olmadığını öğrenmek de mümkündür (VRFY) telnet mailservercom:25 ICQ Tabanlı Exploitler : Son derece zayıf bir mimariye sahip olan ICQ sistemi, kolayca taklit edilebilen, hatta gerçek spoofing bile yapılmasına gerek kalmayan bir sistemdir ICQ kullanıcıları kolayca mesaj bombasına tutulabilir, passwordleri değiştirilebilir, onaya gerek kalmadan listeye alınabilir IP'sini kullanıcı gösterme dese bile görülebilir yada ICQ chat yaparken mesaj taşması (flooding) yapılabilir Dosya ve yazıcı paylaşımı : Windows 95 yada NT'de paylaşıma açılan disk ya da klasörlerin okuma-yazma izinlerine çok dikkat edilmelidir Şifresiz (Şu birçok ISP'nin Inetpub Directory'sini tüm dünyaya yazma izni vererek paylaşıma açması gibi) ya da kolay tahmin edilebilecek (username ile aynı) bir şifre ile paylaşıma açılan disk yada klasörlerin her türlü saldırıya açık olması gibi durumlar istenmeyen durumlara yol açabilir Windows Start menüsünde Run seçeneği tıklatıldıktan sonra \\\IP yazıp Enter tuşuna basılırsa, IP'si yazılan makinede paylaşıma açık olan yerler görülebilir Windows'un içinde var olan NET komutunu kullanarak (NET VIEW \\\IP) yine paylaşıma açık yerleri görebilir ve yine aynı komutla onlara bağlanılabilir (NET USE J: \\\IP\paylaşımismi) : Ayrıca linux yüklü bir makineden, smbclient programı ile aynı işlemleri yapılabilir Bu tip tehlikelerden korunmak için paylaşımlara sağlam bir şifre zorunludur (anlamsız kelime+ rakamlar+hem büyük hem küçük harf kullanıması vs) Diğer Araçlar : Snork, cachecow, ADMmountd, mountd, faxsurvey, vintra,hotmail_exploit1-2, ioconfig lpd-rm, dilloncrond, nameserver_dead, lpd-mail, imapd4, binfo-udp, pinebug, mailxploit, newxterm, mailex, metainfo, xterm_exploit, dip337overflow-exploit, coke ve daha bir çok exploit bulunuyor