From: Can Erkin Acar (can.acar@pro-g.com.tr)
Date: Mon 12 Sep 2005 - 10:28:21 EEST
Berker GÖKTÜRK wrote:
> Selamlar...
>
> Bir dokumanda IP Spoofing saldirisi yapmak isteyecek
> bir saldirganin tercih edebilecegi iki yontem
> oldugunu. Bunlardan birsinin giden paketlerin kaynak
> adresini degistirmek oldugunu, digerinin ise TCP/IP'de
> var olan kaynak yonlendirme ile pakedin gececegi
> guzergahi belirleyerek yapilabilecegini okudum.
Kaynak yonlendirme icin kullanacaginiz
Loose Source and Record Route IP secenegi,
yol uzerindeki pek cok (kendine saygisi olan)
yonlendirici tarafindan filtrelenecektir.
Giristeki guvenlik duvarinda veya yonlendiricide de
bu filtrelemenin yapildigindan emin olmak genelde
pek cok problemi basindan cozecektir.
> Bu noktada kafama takilan bir kac soru var :)
>
> Bir saldirgan hedef sisteme gonderdigi paketlerin
> kaynak adreslerini degistirerek, gerekli bayrak
> hareketlerini ve ISN tahminini basari ile tamamlayarak
> hedef sistem uzerinde bir aslinda olmayan TCP oturumu
> baslatabilir? Acak veri aktarimi yapabilir mi?
Yapabilir, kolaylikla veri 'gonderebilir', kimi
protokollerde, ozellikle sadece IP temelli kimlik
dogrulama varsa, karsidan gelen cevaplari gormeden de
yeterince eglenceli isler yapilabilir.
> Hedef sistem yanitlari saldirgana ait olmayan bir IP
> adresine gonderiyorsa, saldirgan hedef sistem ile
> kendi makinesi arasinda nasil veri aktarimi yapacak?
Gondermede sorun olmaz, ancak veri almak icin bir sekilde
(LSRR nin calismadigi durumda) paketin yolu uzerinde
olmasi gerekecektir. Bunun icin yol uzerindeki bir
yonlendiriciye erisim saglamak, yonlendirme protokolleri
ile oynamak gibi farkli secenekler olabilir.
> Ben dusundum tasindim, donup elimdeki tum dokumanlari
> tek tek inceledim ancak bu soruya "Saldigan Bu
> Yontemle Veri Akatarimi Yapamaz" yanitini verdim?
> Vardigim yargi dogru mu yoksa yaniliyor muyum?
'veri aktarimi' tarifine aradaki network cihazlarinin
konumuna, kurulumuna, ayin ve yildizlarin pozisyonuna
gore degisebilir ;)
> Kaynak yonlendirmeyi kullanip, aslinda farkli bir IP
> adresinden geliyor ve sanki kendi makinesi uzerinden
> gecip gidiyormus gibi paketler gondererek hedef sistem
> uzerinde bir TCP oturumu acip veri aktarimi yapabilir
> mi? Hedef sistem verecegi yanitlar icin saldirganin
> cizecegi guzergaha bagli kalir mi?
Kaynak yonlendirme secenegine yol uzerindeki *TUM* sistemler
izin veriyorsa (yukarida belirttigim gibi, pek cok
modern guvenlik duvari ve yonlendirici bu tip paketleri
dusurur veya secenegi paketten cikartir) Bu durumda
cevap ayni yoldan geri donecektir.
> Eger bu sorularin cevabi evet ise saldirgan bu yontem
> ile basarili bir ip spoofing yapmasi icin iptables'i
> kullanabilir mi?
muhtemelen.
> iptables ile snat yapmasi ve giden her paket uzerine
> kullanilacak routing bilgisini yazmasi bu tur bir
> saldiri yapmasina olanak saglar mi?
>
> Bana yapilmasi mumkun gibi gorunuyor ancak iptables'a
> cokda vakif olmadigimdan emin degilim... Sizce?
pakete gerekli IP secenegini ekleyecek bir yama belki ...
> Bu tarz bir saldirida saldirganin izini nasil
> surebiliriz... Sonucta sunucumuz gelen paketlerin
> routing bilgilerini tutumuyor ve gunluk dosyalarinda
> saldirganin IP adresi yenine baska bir adres yer
> aliyor olacak... Bu saldirganin izini surmek mumkun
> olabilir mi?
Oncelikle agin girisinde IP seceneklerine izin vermezseniz
bu tip saldirilara da maruz kalamazsiniz. Aksi durumda, olayi
herhangi bir IP spoofing saldirisi gibi (ornegin DoS saldirilari)
ele alip, ISP lerle temasa gecmeyi deneyebilirsiniz (iyi sanslar).
Bu tip bir saldiri, bir DoS gibi uzun sureli olmayacagi icin tespit
etmesi ve izlemesi daha zor olacaktir.
Can
-- Dr. Can E. Acar Pro-G Bilisim Guvenligi ve Arastirma Ltd. http://www.pro-g.com.tr
_______________________________________________
Linux-guvenlik mailing list
Linux-guvenlik@liste.linux.org.tr
http://liste.linux.org.tr/mailman/listinfo/linux-guvenlik