From: Reni Parker (reni@glowingeyes.net)
Date: Fri 03 May 2002 - 10:56:20 EEST
Selam,
Thursday, May 02, 2002, 10:40:19 AM, you wrote:
Bu arada ben birsey ogrenmek istiyorum. Lame server loglarini tutmasin
dedigimizi varsaydik. O noktada aceba olasi ataklari da gorememe
durumumuz olabilirmi? Bu noktaya suradan geldim bilmem ilgisi
varmidir.
Dikkat ettigimde bir cok server i ping e kapatiyorlar ve bircok IP bulunamiyor.
Kisaca benim networkume atak oldugunu sandigim girisimlerin loglarini
gordugumde "nedir kimdir ne yapmak istemis, kotu niyetli birimidir vs
vs" kaygilari ile traceroute ve nslookup yaptigimda o aranan IP ye
iliskin bilgi alamiyorum. Bunlar aceba eksik DNS kaydindanmidir? Yoksa
guvenlik anlaminda ping ve ICMP ye kapali olmasindanmidir. Lame
serverlarla iliskisi varmidir?
Daha onceki yasanmisliklarimdan insanlarin hack girisimleri icin genelde (nasil oldugunu hala
bilmedigim yontemlerle) IP lerini gizleme calismalarina giriyorlar ve
dahi hemen hepsinin IP leri bulunamiyor. Ha evet bu noktada bir takim
saldiri incelikleri vardir, baska parametreler vardir vs vs onlar ayri konu ancak.
Kisaca Lame serverlarla hackler arasinda bir baglanti olabilirmi?
Yani bilerek DNS ayarlarini tamamlanmamis
serverlar veya PC lerden mi saldiri olamazmi? Log tutmayarak olasi bir
saldiri denemelerinden haberdar olmayip, onlem almadan gecen surec
sonunda hackelenmemize neden olabilirmi? Yoksa lame serverlar ve
hack isleri tumu ile alaksizmidir?
Burak DAYIOGLU> Özgür ÖZASLAN wrote:
>>Merhabalar,
>>Bu lame server'ların ne olduklarıyla ilgili bir bilgisi olan var mı? Ben bir
>>yerde domaininiz hakkında bilgi almaya çalışan sunucular diye okudum ama
>>tam olarak neyin nesi bunlar... Teşekkürler...
>>
>>
Burak DAYIOGLU> Merhaba,
Burak DAYIOGLU> Soyle bir ornek ile Kerem'in anlatmaya calistigini biraz daha acmaya
Burak DAYIOGLU> calisayim. Dusunun ki ODTU'den
Burak DAYIOGLU> burak.com.tr icin 10.11.12.13 ve 10.11.12.14 IP adresleri DNS sunucu
Burak DAYIOGLU> olarak tanimlanmis olsun (Bunu
Burak DAYIOGLU> ODTU'den burak.com.tr'nin sahibi talep ediyor tabii ki.)
Burak DAYIOGLU> burak.com.tr'nin beceriksiz sistem yoneticisi bu iki IP adresine sahip
Burak DAYIOGLU> bilgisayar sisteminde burak.com.tr
Burak DAYIOGLU> icin gerekli DNS ayarlarini yapmamis olsun...
Burak DAYIOGLU> Siz, kendi ofisinizden www.burak.com.tr'ye baglanmaya calisiyor olun.
Burak DAYIOGLU> Bilgisayariniz (PC'niz) kendi
Burak DAYIOGLU> DNS sunucunuza baglaniyor ve "www.burak.com.tr hangi IP adres(ler)i ile
Burak DAYIOGLU> iliskilendirilmistir?" diye
Burak DAYIOGLU> soruyor. Sizin DNS sunucunuz once ".tr neredir?" diye soruyor ve ODTU'de
Burak DAYIOGLU> oldugunu ogreniyor.
Burak DAYIOGLU> ODTU'ye ".com.tr nerededir?" diye soruyor ve yine "bizde" yanitini
Burak DAYIOGLU> ODTU'den aliyor. Sonra sizin
Burak DAYIOGLU> DNS sunucu ODTU'ye "peki burak.com.tr nerededir?" diye soruyor ve 13 ve
Burak DAYIOGLU> 14 numarali (bastaki)
Burak DAYIOGLU> IP adreslerini aliyor.
Burak DAYIOGLU> Simdi dikkat... Sizin DNS sunucu bu bilgisayarlarin birisine baglaniyor
Burak DAYIOGLU> ve "kardes, www.burak.com.tr
Burak DAYIOGLU> neresi?" diye soruyor. 13 ya da 14 dogru ayarlanmadigi icin "ben ne
Burak DAYIOGLU> biliym kardesim, bana niye
Burak DAYIOGLU> soruyorsun?" yanitini aliyor. Bu yanittan sonra SIZIN DNS sunucusu "bu
Burak DAYIOGLU> DNS sunucu uckagitci" (lame
Burak DAYIOGLU> server) diyerek 13 ya da 14'ten hangisine sordu ise onu syslog'a kayit
Burak DAYIOGLU> ediyor.
Burak DAYIOGLU> Bu sureci gozden gecirirseniz goreceksiniz ki lame-server'lari
Burak DAYIOGLU> engellemenin bir yolu yok; tek yol tum
Burak DAYIOGLU> DNS sunucularin hatasiz ayarlanmasinin saglanmasidir. Bunu firewall vb.
Burak DAYIOGLU> ile durdurmaniz da (tabii ki)
Burak DAYIOGLU> mumkun degil. Cozum icin tek yapabileceginiz Kerem'in ilk mesajindaki
Burak DAYIOGLU> gibi "lame server'lar icin kayit
Burak DAYIOGLU> tutma sakin" ayarini DNS sunucunuza yapmanizdir.
Burak DAYIOGLU> selamlar.
-- Best regards, Reni mailto:@glowingeyes.net----------------------------------------------------------------------- Liste üyeliğiniz ile ilgili her türlü işlem için http://liste.linux.org.tr adresindeki web arayüzünü kullanabilirsiniz.
Listeden çıkmak için: 'linux-guvenlik-request@linux.org.tr' adresine, "Konu" kısmında "unsubscribe" yazan bir e-posta gönderiniz. -----------------------------------------------------------------------