Network Sniffer (Ağ İzleme) ..

**Prof. Dr. Sinsi** · 08-11-2012

Yöntem ile internet cafelerde, ag ortaminda, switch üzerinden her halti yiyebileceksiniz özellikle agda msn sniffing ile diger pclerdeki msn loglarini direk alabilecek, MiM attack yöntemiyle de herhangi bir ag üzerinde hiçbir yetki gerekmeden ag ve neti kesebileceksiniz

Bu 2 yöntem hakkinda bilgi nette çok az derecede bulunmakta, o yüzden uzun zamandir arastirdigim bir konudur ARP ve Network olaylari

Tüm bu islemleri yapabilmeniz için herhangi ekstra bilgiye ihtiyaciniz yoktur ancak ilgilenenler, beles geçinmeyi sevmeyen arastirmaci meraklilar için bu dökümani ayrintilariyla yazmayi ve hiçbir forumda bulunamayacak türden olan bu dökümani yazmaya karar verdim

internetin msn, web hack vb

olaylariyla sinirlanmadigini az çok biliyorsunuzdur, nasil internete girdiginizi, arkaplanda hangi islemler yapildigini, internetin genellikle kullanilan protokolu TCP ile ibaret olmadigini ve bunun yaninda birçok protokolun farkli amaçlarla kullandigini anlatmaya çalisacagim sizlere

Anlatacagim bu 2 yöntem MSN Sniffing ve MiM Attack, kolaylikla bulabileceginiz türden bir döküman degildir

Bu bilgilere tamamen ARP(Address Resolution Protocol) ve IEEE 802

3 ve ileri derecede IP ve TCP bilgisi sonucu ulasilmistir

Ben derine inmeden network olaylarini kisaca anlatip bu 2 yöntemi ve ekteki

4 programi sizlerle paylasacagim

Özellikle bu yöntemler son zamanlarda çikan ARP Poison denilen ARP Spoof teknigine dayanir

Ileride olaylari anlatacagim

Gelelim ag üzerinden MSN dinlemeye

Agdan özellikle HUB üzerinden MSN sniff yapabilmek oldukça kolaydir

Çünkü HUB’a gelen packetler broadcast yöntemiyle tüm makinelere iletilir

Bunun için size tek gerekli olan basit bi tcp sniffer

Msn sniff ise bu sniff edilen tcp packetlerini ayiklar ve msn loglarina dönüstürür

Ekte verdigim msn monitor & sniffer programi bu isi rahatlikla görür eger HUB üzerinden internete giriyorsaniz

Peki switch üzerinden nete girenler için bu olayi nasil yapabiliriz?

switch, HUB’in yaptigi broadcast olayini gerçeklestirmez, gelen packetler direk switch’e gider ve bizim bu packetleri alabilmemiz için ARP Poison saldirisiyla kendimizi switch olarak agdaki diger PC’lere göstermemiz gerekir

Yani ARP Poison yöntemiyle, sizin makineniz ag üzerinde switch islevi görür

Simdi anlatacagim network olaylarini programlama bilgisi olanlar, özellikle socket programlama, daha iyi anlayacaktir

ARP nedir?

ARP(Address Resolution Protocol), 4 bytelik IP adreslerini 6 bytelik MAC(hardware) adreslerine çevirir

Peki neden gerek duyulur? Anlatayim

Ethernet ile nete giriyorsaniz, sizin switch veya HUB ile iletisim kurabilmeniz için

Ethernet kartina bazi packetler basmaniz gerekir

Örnegin: siz agdaki herhangi bir pcye baglanacaksiniz veya ip/tcp/icmp/igmp paketlerinden herangi birini göndereceksiniz yada agdaki baska bir pcye saldiracaksiniz

Ilk olarak saldiracaginiz pc’nin MAC adresini bulmaniz gerekir

MAC adresi nasil bulunur? Gerekli olan 2 pakettir

IEEE 802

3 ve ARP Header paketi

Siz bu 2 paketi buffera koyarsiniz ve IEEE headerdaki target MAC adresine FF:FF:FF:FF:FF(her pcye göndermek için genel MAC adresidir) yazarsiniz

Bu paketin sonuna bir ARP paketi hazirlanir ve gönderilir

Switch paketi alinca sizin baglanti kuracaginiz makinenin MAC adresini size iletecektir ve siz böylece o pc’ye gerekli her baglantiyi yapabileceksiniz

Ag üzerinden Net islemleri nasil gerçeklesir?

Mesela siz http://www

google

com adresine gireceksiniz

Peki siz girerken hangi islemleri yaptiginizi hiç merak ettiniz mi? Ilk önce netle ilisiginiz saglanirken su paketler hazirlanir ve switche gönderilir

IEEE 802

3 Header

IP Header

TCP Header

[Data]

Kisaca geçiyorum

802

3 paketinde switchin MAC adresi(FF:FF:FF:FF:FF) ve source mac address vardir

IP paketinde belli IP konfigurasyonlari vardir, source ip, dest ip ve port kisaca bilmeniz gerekenlerdir

TCP headerda yine dest ip ve dest port vardir ve TCP paketinin ne tip oldugu yazilidir

SYN, ACK, RST veya PSH

gibi baglanti paketleri oldugunu belirtir

Ilk basta baglanmak için SYN kullanilir ve karsidan ACK paketi gelir ve biz tekrar SYN-ACK gönderip siteye baglanmis oluruz

SYN Attack da bu mantiga dayalidir, source addressi siz random basarsiniz ve SYN flagli bir TCP paketini sürekli gönderirsiniz ve ana makine bunlara yanit veremez uzun zamandir beklediginiz bu devrim niteligindeki yöntemi sizlere anlatip ekteki programlari veriyorum

msn sniff veya mim attack yapabilmeniz için öncelikle su 2 programi indirmeniz gerekir

Windows Packet Capture Driver ve Windows ARP Spoofer

ilk önce burdan winpcap driverini indirip kuruyoruz WinPcap 3 1 aga müdahale edebilmek için ilk önce arp poison saldirisi yapmaniz gerekiyor

windows arp spoofer programini burdan indirip açiyoruz WinArpSpoof 053 programi açtigimizda sizden update etmenizi isteyebilir ama update’e gerek yok programin yeni sürümü daha gelismis bi switch snifferdir ileri tcp paketleri sniff etmek içindir

biz burdan hayir deyip geçiyoruz

karsimiza ayarlar bölümü geliyor

biz burdan eth

kartimizi seçiyoruz ve spoofing bölümüne geçiyoruz spoofing types grubundan ilk seçenegi seçiyoruz ve OK diyoruz

karsimiza programin ana yeri geliyor

SCAN tusuna basip agdaki bilgisayarlari aratiyoruz ve karsimiza liste geliyor

listeden kendi ipmizin bulundugu seçenegi kaldiriyoruz ve START tusuna basiyoruz böylelikle ARP Poison yani ARP SPoofing saldirisi basliyor

bundan sonrasi ise çok basit

ister tüm agdaki MSN konusmalari izleyin isterseniz tek bir hareketle tüm LAN’daki internet baglantisini hiçbir yetki gerekmeden kesin

efenim simdi msn sniff edecez

surdan a msn monitor adli programi indiriyoruz ve kuruyoruz A Msn Monitor ******i içinde bulunmaktadır

programi açtiginizda “Control” menüsünden Select Adapter’e tiklayin ve eth

kartinizi seçin, sonra Play resimli bi buton var bastiginizda artik msn dinleme baslamis olacaktir tabiki önceden ARP Spoof programini baslatmis ve çalistirmaniz gerekmekte

aginizda konusulan tüm loglar msn monitor programina gelecektir

bundan sonra isterseniz html dosyasi olarak tüm agdaki konusmalari programdan kaydedebilirsiniz

gelelim bu yöntemin EN BOMBA YERINE

mim(Man in the Middle) attack ile tüm agin netini kesebileceksiniz öncelikle mimsc programini burdan indirin ve açin Mimsc

yine önceden arp spoof programini açip spoof yapmaya baslayin ve programi kapatmayin

indirdigimiz mimsc programini açin ve alttan eth

kartinizi seçin daha sonra yandan open tusuna basin

yukardaki statusa paketler gelmeye baslayacaktir

ve son nokta

yandaki ACTIVATE tusuna bastiginizda tüm net göçecektir, STOP’a basinca düzelecektir

efenim ACTIVATE’e basiyoruz

ve siz STOP’a basmadiginiz sürece, LAN’daki kimse internete giremeyecektir

Wireless Ağlarını gözetlemek için Ufasoft Sniffer

08-11-2012	#1
Prof. Dr. Sinsi	Network Sniffer (Ağ İzleme) .. Yöntem ile internet cafelerde, ag ortaminda, switch üzerinden her halti yiyebileceksiniz özellikle agda msn sniffing ile diger pclerdeki msn loglarini direk alabilecek, MiM attack yöntemiyle de herhangi bir ag üzerinde hiçbir yetki gerekmeden ag ve neti kesebileceksiniz Bu 2 yöntem hakkinda bilgi nette çok az derecede bulunmakta, o yüzden uzun zamandir arastirdigim bir konudur ARP ve Network olaylari Tüm bu islemleri yapabilmeniz için herhangi ekstra bilgiye ihtiyaciniz yoktur ancak ilgilenenler, beles geçinmeyi sevmeyen arastirmaci meraklilar için bu dökümani ayrintilariyla yazmayi ve hiçbir forumda bulunamayacak türden olan bu dökümani yazmaya karar verdim internetin msn, web hack vb olaylariyla sinirlanmadigini az çok biliyorsunuzdur, nasil internete girdiginizi, arkaplanda hangi islemler yapildigini, internetin genellikle kullanilan protokolu TCP ile ibaret olmadigini ve bunun yaninda birçok protokolun farkli amaçlarla kullandigini anlatmaya çalisacagim sizlere Anlatacagim bu 2 yöntem MSN Sniffing ve MiM Attack, kolaylikla bulabileceginiz türden bir döküman degildir Bu bilgilere tamamen ARP(Address Resolution Protocol) ve IEEE 8023 ve ileri derecede IP ve TCP bilgisi sonucu ulasilmistir Ben derine inmeden network olaylarini kisaca anlatip bu 2 yöntemi ve ekteki 4 programi sizlerle paylasacagim Özellikle bu yöntemler son zamanlarda çikan ARP Poison denilen ARP Spoof teknigine dayanir Ileride olaylari anlatacagim Gelelim ag üzerinden MSN dinlemeye Agdan özellikle HUB üzerinden MSN sniff yapabilmek oldukça kolaydir Çünkü HUB’a gelen packetler broadcast yöntemiyle tüm makinelere iletilir Bunun için size tek gerekli olan basit bi tcp sniffer Msn sniff ise bu sniff edilen tcp packetlerini ayiklar ve msn loglarina dönüstürürEkte verdigim msn monitor & sniffer programi bu isi rahatlikla görür eger HUB üzerinden internete giriyorsaniz Peki switch üzerinden nete girenler için bu olayi nasil yapabiliriz? switch, HUB’in yaptigi broadcast olayini gerçeklestirmez, gelen packetler direk switch’e gider ve bizim bu packetleri alabilmemiz için ARP Poison saldirisiyla kendimizi switch olarak agdaki diger PC’lere göstermemiz gerekir Yani ARP Poison yöntemiyle, sizin makineniz ag üzerinde switch islevi görür Simdi anlatacagim network olaylarini programlama bilgisi olanlar, özellikle socket programlama, daha iyi anlayacaktir ARP nedir? ARP(Address Resolution Protocol), 4 bytelik IP adreslerini 6 bytelik MAC(hardware) adreslerine çevirir Peki neden gerek duyulur? Anlatayim Ethernet ile nete giriyorsaniz, sizin switch veya HUB ile iletisim kurabilmeniz için Ethernet kartina bazi packetler basmaniz gerekir Örnegin: siz agdaki herhangi bir pcye baglanacaksiniz veya ip/tcp/icmp/igmp paketlerinden herangi birini göndereceksiniz yada agdaki baska bir pcye saldiracaksiniz Ilk olarak saldiracaginiz pc’nin MAC adresini bulmaniz gerekir MAC adresi nasil bulunur? Gerekli olan 2 pakettir IEEE 8023 ve ARP Header paketi Siz bu 2 paketi buffera koyarsiniz ve IEEE headerdaki target MAC adresine FF:FF:FF:FF:FF(her pcye göndermek için genel MAC adresidir) yazarsiniz Bu paketin sonuna bir ARP paketi hazirlanir ve gönderilir Switch paketi alinca sizin baglanti kuracaginiz makinenin MAC adresini size iletecektir ve siz böylece o pc’ye gerekli her baglantiyi yapabileceksiniz Ag üzerinden Net islemleri nasil gerçeklesir? Mesela siz http://wwwgooglecom adresine gireceksiniz Peki siz girerken hangi islemleri yaptiginizi hiç merak ettiniz mi? Ilk önce netle ilisiginiz saglanirken su paketler hazirlanir ve switche gönderilir IEEE 8023 Header IP Header TCP Header [Data] Kisaca geçiyorum 8023 paketinde switchin MAC adresi(FF:FF:FF:FF:FF) ve source mac address vardir IP paketinde belli IP konfigurasyonlari vardir, source ip, dest ip ve port kisaca bilmeniz gerekenlerdir TCP headerda yine dest ip ve dest port vardir ve TCP paketinin ne tip oldugu yazilidir SYN, ACK, RST veya PSH gibi baglanti paketleri oldugunu belirtir Ilk basta baglanmak için SYN kullanilir ve karsidan ACK paketi gelir ve biz tekrar SYN-ACK gönderip siteye baglanmis oluruz SYN Attack da bu mantiga dayalidir, source addressi siz random basarsiniz ve SYN flagli bir TCP paketini sürekli gönderirsiniz ve ana makine bunlara yanit veremez uzun zamandir beklediginiz bu devrim niteligindeki yöntemi sizlere anlatip ekteki programlari veriyorum msn sniff veya mim attack yapabilmeniz için öncelikle su 2 programi indirmeniz gerekir Windows Packet Capture Driver ve Windows ARP Spoofer ilk önce burdan winpcap driverini indirip kuruyoruz WinPcap 3 1 aga müdahale edebilmek için ilk önce arp poison saldirisi yapmaniz gerekiyor windows arp spoofer programini burdan indirip açiyoruz WinArpSpoof 053 programi açtigimizda sizden update etmenizi isteyebilir ama update’e gerek yok programin yeni sürümü daha gelismis bi switch snifferdir ileri tcp paketleri sniff etmek içindir biz burdan hayir deyip geçiyoruz karsimiza ayarlar bölümü geliyor biz burdan eth kartimizi seçiyoruz ve spoofing bölümüne geçiyoruz spoofing types grubundan ilk seçenegi seçiyoruz ve OK diyoruz karsimiza programin ana yeri geliyor SCAN tusuna basip agdaki bilgisayarlari aratiyoruz ve karsimiza liste geliyor listeden kendi ipmizin bulundugu seçenegi kaldiriyoruz ve START tusuna basiyoruz böylelikle ARP Poison yani ARP SPoofing saldirisi basliyor bundan sonrasi ise çok basit ister tüm agdaki MSN konusmalari izleyin isterseniz tek bir hareketle tüm LAN’daki internet baglantisini hiçbir yetki gerekmeden kesin efenim simdi msn sniff edecez surdan a msn monitor adli programi indiriyoruz ve kuruyoruz A Msn Monitor ******i içinde bulunmaktadır programi açtiginizda “Control” menüsünden Select Adapter’e tiklayin ve eth kartinizi seçin, sonra Play resimli bi buton var bastiginizda artik msn dinleme baslamis olacaktir tabiki önceden ARP Spoof programini baslatmis ve çalistirmaniz gerekmekte aginizda konusulan tüm loglar msn monitor programina gelecektir bundan sonra isterseniz html dosyasi olarak tüm agdaki konusmalari programdan kaydedebilirsiniz gelelim bu yöntemin EN BOMBA YERINE mim(Man in the Middle) attack ile tüm agin netini kesebileceksiniz öncelikle mimsc programini burdan indirin ve açin Mimsc yine önceden arp spoof programini açip spoof yapmaya baslayin ve programi kapatmayin indirdigimiz mimsc programini açin ve alttan eth kartinizi seçin daha sonra yandan open tusuna basin yukardaki statusa paketler gelmeye baslayacaktir ve son nokta yandaki ACTIVATE tusuna bastiginizda tüm net göçecektir, STOP’a basinca düzelecektir efenim ACTIVATE’e basiyoruz ve siz STOP’a basmadiginiz sürece, LAN’daki kimse internete giremeyecektir Wireless Ağlarını gözetlemek için Ufasoft Sniffer