From: Fatih Ozavci (fatih.ozavci@superonline.com)
Date: Thu 28 Jun 2001 - 19:39:39 EEST
> Depolanan sertifika server'in sertifikasi... Calinsa ne olur, o zaman
> herkese acik? :) Client'tan client'in private key'inin calinmasi ile
> karistirdiginizi dusunuyorum...
Eger server'in public sertifikasi, clientin public ve private sertifikasi ayni diskte ise ve ben 3 unude alabiliyorsam o zaman datanin sifrelerini clientin cozdugu kadar cozebilirim... :-) yani MITM atak yapiyorsam server bana data gonderir ben clientmis gibi acar clienta acilmamis halini clienta forward eder sonra da clientin gonderdigini servera forward ederim.. :-) yanlismi ? offline sertifika kullanmamizin amaci sertifikanin networkte gezmemesini saglamak degilmi ? clientin bilgisayarinda sabitse daha kolay olmazmi ? yada aramizda bir yanlis anlasilmami soz konusu ?... ha eger sunu diyorsaniz yani ben aradaki makine isem ve OPENSSH / OPENSSL ile sertifika gondermemi engeller o zaman elimde 4 anahtarin 3 u olduguna gore buna ne gerek var derim... biraz daha acarsaniz sevinirim...
> Burasinin da toptan yanlis oldugu fikrindeyim. ARP spoofing ile MAC
> spoofing ile anlattiginiz
> aynidir. Hadi tersini anlatin bakalim... :)
>
-------------ORNEKLER :-)-----------------------------------------------------
A client (IP 192.168.10.1/MAC 11:22:33:44:55:66) B server (IP 192.168.10.2/MAC 66:55:44:33:22:11) C saldirgan (IP 192.168.10.3/MAC 12:34:56:78:90:12)
* C, A ve B nin mac adreslerini kenara yaziyor :-))
* A baglanti icin istek gonderiyor... 192.168.10.2 kimdir ? (ARP istegi)
* C cevap veriyor benim o aradigin... MAC'im AA:BB:CC:DD:EE:FF (Yok ooole bi adres aslinda)
* A bu MAC adresini ARP tablosuna ekliyor ve paketleri gonderiyor...
* C aliyor bu paketleri MAC adresini AA:BB:CC:DD:EE:GG, IPsinide 192.168.10.1 ile degistirip B'ye yani 192.168.10.2'ye gonderiyor (cunku MAC adresini biliyor...)
* C nin paketini alan B, C'nin MAC adresini ARP tablosuna yaziyor
* B, 192.168.10.1 adresine cevap gonderiyor... ancak IP'nin karsiligi MAC adresi AA:BB:CC:DD:EE:GG oldugu icin cevap C'ye gidiyor..
* C'de aliyor bu paketi 192.168.10.1 adresine karsilik gelen MAC AA:BB:CC:DD:EE:FF sahibi A'ya gonderiyor...
sonucta trafik C uzerinden geciyor ama bunu ne A ne B biliyor... onceki ve sonra ARP tablolari da soyle..
--------------------once------------------------------------------------------
A'nin tablosu B'nin tablosu C'nin tablosu
192.168.10.2 66:55:44:33:22:11 192.168.10.1 11:22:33:44:55:66 192.168.10.2 66:55:44:33:22:11
192.168.10.1 11:22:33:44:55:66
--------------------sonra----------------------------------------------------------
A'nin tablosu B'nin tablosu C'nin tablosu
192.168.10.2 AA:BB:CC:DD:EE:FF 192.168.10.1 AA:BB:CC:DD:EE:GG 192.168.10.2 66:55:44:33:22:11
192.168.10.1 11:22:33:44:55:66
Bu ARP Spoofingdi... biraz karisik dimi ... elimden bu kadari geliyor simdilik ... neyse nasil onlenir... bi cok yolu var.. ama ornek verelim.. A da B de sabit bir ARP tablosuna sahip olsalar da ARP gondermezler boylece sahte cevap almazlardi...
Simdide MAC spoofing... ARP tablolarini sabitledik diyelim dolayisiyla ortada ARP istekleri dolasmiyor...
A'nin tablosu
192.168.10.2 66:55:44:33:22:11
ve A bu adresle trust iliskisine sahip... uzerindeki bir program araciligiyla MAC adreslerinide surekli kontrol ediyor ve dogruluyor.. bende C'yim hala... neydi MAC adresim ve IP´im (IP 192.168.10.3/MAC 12:34:56:78:90:12)... ben eger agdaki diger makinenin pasif oldugunu biliyorsam... mesela SYN flood yaparak susturduysam aleti.. :-) kendi MAC adresimi 66:55:44:33:22:11 ile , IP mi 192.168.10.2 ile spoof ederek B nin haklarina sahip olurum... ortada bir ARP istegi var mi ? yok... :-))) ha derseniz ARP spoofing MAC spoofingide kapsiyor.. dogrudur ama sadece MAC spoofing degildir... bunlarin alayini denemek icin Dsniff ve Hunt programlarini kullanabilirsiniz... Hala soru varsa yardimci olmaya calisicam...
Saygilar
Fatih Ozavci
Sekurity Spesyalist :-)
-----------------------------------------------------------------------
Liste üyeliğiniz ile ilgili her türlü işlem için
http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-request@linux.org.tr' adresine,
"Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz.
-----------------------------------------------------------------------