From: Serdar KOYLU (skoylu@altavista.com)
Date: Mon 05 Feb 2001 - 23:29:42 EET
On Mon, 05 February 2001, Baris Metin wrote:
>
> Selamlar;
>
> --- Serdar KOYLU <skoylu@altavista.com> wrote:
> > Bakin size basit bir saldiri yolu:
> >
> > Paket 1=
> >
> > IP Basligi
> > +-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+
> > | | ... | Fragment Offset = 0 | ... | |
> > +-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+
> >
> > TCP Basligi
> >
> +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
> > | Kaynak Portu | Hedef
> > Port |
> >
> +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
> > | Sekans numarası
> > |
> >
> +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
> >
> > Paket 2=
> > IP Başlığı
> > +-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+
> > | | ... | Fragment Offset = 1 | ... | |
> > +-+-+-+ +-+-+-+-+-+-+-+-+-+-+-+ +-+-+-+
> >
> > TCP Başlığı
> >
> +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
> > | Cevaplama Numarası
> > |
> >
> +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
> > | Veri | |U|A|P|R|S|F|
> > |
> > | Ofseti| |R|C|S|S|Y|I| Veri
> > penceresi |
> > | | |G|K|H|T|N|N|
> > |
> >
> +-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
> >
> > 8 Baytlik iki paket. Bunlar arka arkaya router'e
> > gelirse, router veya firewall bunlara karsi
> > hazirlikli degilse, yol gecen hanina doner.
> > Soylediginiz hic bir yaptirimi uygulamadan paketi
> > kabul eder. Oysa basitce TCP icin 1. Parcada 8 Bayt
> > ve kisa paketleri gecirme gibi yaptirimi varsa bu
> > paket hedefe ulasmaz, boylece guvenlik saglanir: Ya
> > paket SYN olarak isaretli ve Kaynak adresi
> > uydurmaysa.. Belki bu tur normal boyda paketler
> > firewall tarafindan durdurulabilir fakat bu kisa
> > paketler direk aliciya giderse alici saldiriya ve
> > sizma girisimlerine acik olur. Iste firewall'leri
> > bile atlatabilecek basit bir saldiri metodu..
> > Allahtan Linux firewall'i bu tur paketleri
> > durduracak sekilde duzenlenebilir. Simdi firewall'in
> > ogrenmesinden bahsediyoruz fakat bu firewall boyle
> > bir yaptirima sahip degilse bir saldiri oldugunun
> > farkina dahi varmaz. Tum mesele oncelikle neyle
> > saldirildigini bulmaktan baslar..
> >
>
> Konuyu biraz saptıracak ama bu şekilde iki paketin
> yollanması ne şekilde bir saldırı olabilir acaba? Veri
> haberlerşmesi konusunda fazla bilgim yok yanlız
> araştırmak isterim. Bunun nasıl bir saldırı
> olabildiğini (sunucuyu nasıl etkilediğini)
> anlatırsanız ya da daha iyisi konu hakkında ne şekilde
> araştırabileceğimi söylerseniz sevinirim.
>
> İyi günler.
>
> =====
> --
> Baris Metin
Selamlar..
Simdi bir alete iki turlu saldirilir. Birincisi bombalama gibi saldiri. Makinenin IP yiginini patlatirsiniz, islemciyi sonsuz donguye sokarsiniz vs. Diger bir saldiri ise kaleyi icten fethetmek icin casuslar yollarsiniz. Firewall kale duvarlarina benzer. Normalde bombalarin farkina varip engelleyebilir. Ama boyle enteresan paketlerle bombalara kale kapilarinin acilmasini saglayabilirsiniz. Burada her iki pakette de TCP code bayti yok. Bu paketlere standart yaptirimlarin uygulanmasi icin IP adresi ve Port bilgisinin bilinmesi gerekir. Ama boyle cok kucuk bir pakette bunlar olmadigindan paket dogrudan hedefe yonlendirilir. Yani aslen bu ornek bir saldiri degil, saldiri bilgisi dahi tasiyabilecek olan paketleri firewall'den saklamak icin bir yoldur. IP fragmented packet metotlari cok bilinen metotlardir, IP dokumanlari da bu paketler icin korunma yontemlerini anlatir. Yukardaki ornek Tiny fragmented packet olarak adlandirilir. Birde Overlapped paket denen turu vardir. Bunlar ve korunma metotlari RFC1858 olmasi
lazim, bir RFC'de ayrintili olarak anlatilir. Simdi iyi bilinen temel saldiri metotlarini acik acik buraya yazmak, hackerligi, site cokertmeyi marifet sayan yeniyetme hackerleri veya kotu niyetli ama yarim bilgili insanlari gaza getirmekten baska bir ise yaramaz. Caylakligimizda virus yazmayi, bombalar icat etmeyi marifet sanardik. Ama zarar vermenin hic bir ise yaramadigini bir sure sonra gorduk. Eger o donemki eforumun yarisini bir ticari programa verseydim, su an ETA veya LOGO'nun esamesi bile okunmazdi. Demekki bunlarla ugrasirken ancak kendime zarar vermisim, su an karnimizi zor doyuruyoruz..
Saygi ve sevgiler..
Find the best deals on the web at AltaVista Shopping!
http://www.shopping.altavista.com
Listeden cikmak icin:
unsub linux
mesajini listeci@bilkent.edu.tr adresine gonderiniz.
Lutfen Listeci icin MIME / HTML / Turkce Aksan kullanmayin.
Listeci arayuzu: http://listweb.bilkent.edu.tr/yardim/bilkent/linux.html
Liste arsivinin adresi: http://listweb.bilkent.edu.tr/