Sniffer Nedir Ve Nasıl Çalışır?(Sniffing)

**Prof. Dr. Sinsi** · 08-12-2012

Sniffer nedir ve nasıl çalışır?

Birden fazla bilgisayarı,birbirine bağlayarak aralarında bir paylaşım kurmak masraflı bir iştir

Paylaşım,bir bilgisayardaki bilgilerin,başka bir bilgisayara aktarılması olarak açıklanabilir

Bu iki bilgisayar arasında yapılan bilgi alış-veriş ini yakalamaya "sniffing" denilir

Bir kaç bilgisayarın,bir ağ üzerinde birbirleriyle paylaşıma açık olarak bağlanılmasında kullanılan en popüler yol "ethernet" dir

Ethernet protokolü bir bilgi paketini aynı devreler üzerindeki tüm bilgisayarlara yollayarak çalışır

Gönderilen paketin başlığında,paketin gideceği bilgisayarın adresi yazar

Sadece bu paketteki adres ile adresi tutan makine bu bilgileri alabilir

Her paketi kabul eden bir makine,paket başlığındaki adrese aldırmayan makine,çok karışık bir hal alacaktır

Bu karışıklık sayesinde,sniffer işini görecektir

Normal bir networkte,account ve şifreler ,ethernet üzerinde düzgün bir yazıyla(encrypt edilmemiş) gidip gelirler

Bir ziyaretçi,ethernet üzerindeki herhangi bir makineden root yetkisi elde ederse, sistemi sniffleyerek ağ üzerinde ki diğer makinelerde de çok rahat "root" elde edebilir

- Snifferları nereden bulabilirim?

Sniffing,hackerlar tarafından kullanılan en önemli hack yöntemlerinden biridir

Sniffer denilen bu programları,netde bir çok yerden bulabilirsiniz

Fakat hepsi,gerçekten çalışırmı bilmiyorum

Onun için çalıştığına şahit oldugum bir sniffer dan bahsedicegim

Esniff

c!SunOS da çalışmak için dizayn edilmiş,küçük boyutta ve sistemde ki tüm telnet,ftp ve rlogin sezonlarının ilk 300 byte ını yakalayabilen bir program

Esniff

c,ilk kez *Phrack* de ünlendi

Bu programı bir çok FTP server da bulabilirsiniz

(coombs

anu

edu

au:/pub/net/log

)

Ünlenmiş bir kaç tane Snifferıda söylemeden geçemiyeceğim,

* SunOs4

1

x için Etherfind

* Solaris 2

x ve SunOs 4

1 için Snoop!(ftp playground

sun

com)

Dos tabanlı snifferlar

* Gobbler

* ethdump v1

03(ftp

germany

eu

net:/pub/networking/inet/ethernet/ethdp103

zip)

* ethload v1

04(ftp

germany

eu

net:/pub/networking/monitoring/ethload/ethld104

zip)

Ticari snifferlar

* Network General

* Microsoft's Net Monitor

- Sistemimizde sniffer çalıştığını nasıl anlarız?

Bir sistemde sniffer çalıştıgını remote olarak anlamamız mümkün değildir

Sniffer çalışan makina,her paketi kabul eder ve çok karmaşık bir hal alır

Bir çok Unix tabanlı İşletim sisteminde,sistemde sniffer olup olmadığını anlamanın yolları vardır

SunOS,BSD,Linux ve diğer bir çok Unix tabanlı OS larda bir komut bulunur

"ifconfig -a"

Bu komut,tüm arayüzleri kontrol edecek ve sistem de bir abukluk varsa size bildirecektir

Ama bazı OS larda bu komutu çalıştırmak için bazı device adresleri falan girmek gerekir (IRIX gibi

)Onun için başka bir komut daha söyleyeyim

(Aşağıdaki örnek tamamen hayalidir

)

# netstat -r

Routing tables

Internet:

Destination Gateway Flags Refs Use Interface

default infern0

com UG 1 24949 virgo

localhost localhost UH 2 83 le0

Bu komutdan sonra gördüğümüz tüm arayüzleri kontrol edebiliriz

Örnek,

# ifconfig virgo

virgo: flags=8863<UP,BROADCAST,NOTRAI LERS,RUNNING,PROMISC ,MULTICAST>

inet 127

0

1 netmask 0xffffff00 broadcast 255

0

1

Bu komutların dışında "cpm" adında snifferları tespit eden bir program vardır

Sadece SunOS ta çalışır ve tüm arayüzleri kontrol eder

(ftp

cert

org:/pub/tools/cpm)

Ultrixde ise,sistemde sniffer çalışıp calışmadığını "pfstat ve pfconfig" komutlarını kullanarak öğrenebiliriz

pfconfig size kimlerin sniffer kullanıp kullanamayacağını ayarlama olanağı verir

pfstat ise size sistem de ki abukluklukları sıralar

Bundan başka,üzülerek söylüyorum ki Irix, Solaris ve SCO da sniffer olup olmadığını algılamak biraz zordur

Yani heran bir hacker kardeş içerde snifferları depolamış olabilir

Bir başka yol ise,snifferların log dosyalarının büyümesidir

Hele hele,bazen sniffer sistemde uzun bir load zamanı geçirir

Ve çoğu zaman bazı alarmlar ortaya çıkar

Bu sayede sistem admin'i olayın farkına varır

Ben size lsof(LiSt Open Files) u kullanmanızı öneririm

Bu program ,bazı paket devicelarına (SunOS da /dev/nit gibi

) uzanan dosyaları size gösterir

"coast

cs

purdue

edu:/pub/Purdue/lsof" dan çekebilirsiniz

- Encryption

Eğer yukarıdaki yollara güvenmiyorsanız,yapabileceğini z en güzel şeylerden biride paketleri encryptlemek olabilir

Hacker dostumuz,paketleri yakalayabilir ama gördüklerinden hiç birşey anlamaz

Bunun için 1-2 program ve adreslerini vereyim,

* deslogin coast

cs

purdue

edu:/pub/tools/unix/deslogin

* swIPe ftp

csua

berkeley

edu:/pub/cypherpunks/swIPe/

- Kerberos Kerberos da yukarıdakiler gibi paketleri encrypt eden bir programdır

Kerberos "stream-encrypting rlogind" ve "stream-encyrpting telnetd" gibi özelliklerle gelir

Bu sizin sisteme girdikten sonra ne yaptıklarınızı hackerlardan saklamanıza yarar

"tfm

mit

edu" da Kerberos için bir faq bulunuyor

İlgilendiyseniz kaçırmayın dökümanı derim

/pub/usenet/comp

protocols/kerberos/Kerberos_Users__Frequently_Ask ed_Questions_1

11

08-12-2012	#1
Prof. Dr. Sinsi	Sniffer Nedir Ve Nasıl Çalışır?(Sniffing) Sniffer nedir ve nasıl çalışır? Birden fazla bilgisayarı,birbirine bağlayarak aralarında bir paylaşım kurmak masraflı bir iştir Paylaşım,bir bilgisayardaki bilgilerin,başka bir bilgisayara aktarılması olarak açıklanabilir Bu iki bilgisayar arasında yapılan bilgi alış-veriş ini yakalamaya "sniffing" denilir Bir kaç bilgisayarın,bir ağ üzerinde birbirleriyle paylaşıma açık olarak bağlanılmasında kullanılan en popüler yol "ethernet" dirEthernet protokolü bir bilgi paketini aynı devreler üzerindeki tüm bilgisayarlara yollayarak çalışırGönderilen paketin başlığında,paketin gideceği bilgisayarın adresi yazarSadece bu paketteki adres ile adresi tutan makine bu bilgileri alabilirHer paketi kabul eden bir makine,paket başlığındaki adrese aldırmayan makine,çok karışık bir hal alacaktır Bu karışıklık sayesinde,sniffer işini görecektir Normal bir networkte,account ve şifreler ,ethernet üzerinde düzgün bir yazıyla(encrypt edilmemiş) gidip gelirlerBir ziyaretçi,ethernet üzerindeki herhangi bir makineden root yetkisi elde ederse, sistemi sniffleyerek ağ üzerinde ki diğer makinelerde de çok rahat "root" elde edebilir - Snifferları nereden bulabilirim? Sniffing,hackerlar tarafından kullanılan en önemli hack yöntemlerinden biridirSniffer denilen bu programları,netde bir çok yerden bulabilirsinizFakat hepsi,gerçekten çalışırmı bilmiyorum Onun için çalıştığına şahit oldugum bir sniffer dan bahsedicegimEsniffc!SunOS da çalışmak için dizayn edilmiş,küçük boyutta ve sistemde ki tüm telnet,ftp ve rlogin sezonlarının ilk 300 byte ını yakalayabilen bir programEsniffc,ilk kez Phrack de ünlendiBu programı bir çok FTP server da bulabilirsiniz(coombsanuedu au:/pub/net/log) Ünlenmiş bir kaç tane Snifferıda söylemeden geçemiyeceğim, * SunOs41x için Etherfind * Solaris 2x ve SunOs 41 için Snoop!(ftp playgroundsuncom) Dos tabanlı snifferlar * Gobbler * ethdump v103(ftpgermanyeunet:/pub/networking/inet/ethernet/ethdp103zip) * ethload v104(ftpgermanyeunet:/pub/networking/monitoring/ethload/ethld104zip) Ticari snifferlar * Network General * Microsoft's Net Monitor - Sistemimizde sniffer çalıştığını nasıl anlarız? Bir sistemde sniffer çalıştıgını remote olarak anlamamız mümkün değildir Sniffer çalışan makina,her paketi kabul eder ve çok karmaşık bir hal alırBir çok Unix tabanlı İşletim sisteminde,sistemde sniffer olup olmadığını anlamanın yolları vardır SunOS,BSD,Linux ve diğer bir çok Unix tabanlı OS larda bir komut bulunur "ifconfig -a" Bu komut,tüm arayüzleri kontrol edecek ve sistem de bir abukluk varsa size bildirecektirAma bazı OS larda bu komutu çalıştırmak için bazı device adresleri falan girmek gerekir (IRIX gibi)Onun için başka bir komut daha söyleyeyim(Aşağıdaki örnek tamamen hayalidir) # netstat -r Routing tables Internet: Destination Gateway Flags Refs Use Interface default infern0com UG 1 24949 virgo localhost localhost UH 2 83 le0 Bu komutdan sonra gördüğümüz tüm arayüzleri kontrol edebilirizÖrnek, # ifconfig virgo virgo: flags=8863<UP,BROADCAST,NOTRAI LERS,RUNNING,PROMISC ,MULTICAST> inet 127001 netmask 0xffffff00 broadcast 255001 Bu komutların dışında "cpm" adında snifferları tespit eden bir program vardırSadece SunOS ta çalışır ve tüm arayüzleri kontrol eder(ftpcertorg:/pub/tools/cpm) Ultrixde ise,sistemde sniffer çalışıp calışmadığını "pfstat ve pfconfig" komutlarını kullanarak öğrenebiliriz pfconfig size kimlerin sniffer kullanıp kullanamayacağını ayarlama olanağı verir pfstat ise size sistem de ki abukluklukları sıralar Bundan başka,üzülerek söylüyorum ki Irix, Solaris ve SCO da sniffer olup olmadığını algılamak biraz zordurYani heran bir hacker kardeş içerde snifferları depolamış olabilir Bir başka yol ise,snifferların log dosyalarının büyümesidirHele hele,bazen sniffer sistemde uzun bir load zamanı geçirirVe çoğu zaman bazı alarmlar ortaya çıkarBu sayede sistem admin'i olayın farkına varırBen size lsof(LiSt Open Files) u kullanmanızı öneririmBu program ,bazı paket devicelarına (SunOS da /dev/nit gibi) uzanan dosyaları size gösterir "coastcspurdueedu:/pub/Purdue/lsof" dan çekebilirsiniz - Encryption Eğer yukarıdaki yollara güvenmiyorsanız,yapabileceğini z en güzel şeylerden biride paketleri encryptlemek olabilirHacker dostumuz,paketleri yakalayabilir ama gördüklerinden hiç birşey anlamaz Bunun için 1-2 program ve adreslerini vereyim, * deslogin coastcspurdueedu:/pub/tools/unix/deslogin * swIPe ftpcsuaberkeleyedu:/pub/cypherpunks/swIPe/ - Kerberos Kerberos da yukarıdakiler gibi paketleri encrypt eden bir programdırKerberos "stream-encrypting rlogind" ve "stream-encyrpting telnetd" gibi özelliklerle gelirBu sizin sisteme girdikten sonra ne yaptıklarınızı hackerlardan saklamanıza yarar "tfmmitedu" da Kerberos için bir faq bulunuyorİlgilendiyseniz kaçırmayın dökümanı derim /pub/usenet/compprotocols/kerberos/Kerberos_Users__Frequently_Ask ed_Questions_111