Switch Kullanılan Ağlarda Trafik dinleme(Sniffing)

0
anonim
HUB kullanılan ortamlarda trafik dinleme işlemi oldukça basittir. Ağa bağlı bir makineye kurulacak bir sniffer aracılığı ile ağdaki tüm trafik dinlenebilir. Bu zaafiyet HUB sistemlerin çalışma mantığından kaynaklanır, hub ile birbirine bağlı sistemlerde iki sistem birbiri arasında haberleşmek istese bile aralarındaki trafik tüm hostlara gidecektir(broadcast mantığı ile çalışır).
Not:Yazıda kaynaklar kısmındabu makale unutulmuş.
Switch yapısı ise biraz farklıdır. Trafik sadece haberleşmek isteyen iki host arasında gerçekleşir. Switch'ler bu yapıyı üzerilerinde tuttukları CAM (Content Addresable Memory )tablolaları ile kotarırlar, bu tablolar MAC adresi, switch port numarası ve VLAN bilgilerinden oluşur...

Yazının devamına burdan erişilebilir.

Görüşler

0
cbc
fazlamesai.net'e yakışmayan bir haber olmuş. İnsanları yönetici olmadıkları bir ağı sniff etmeye teşvik etmemek gerekli. Yöneticiler için düzgün yöntemler mevcut. broadcast portu idi router üzerinden koklamak vs. gibi.

yakında birisi de ettercap haberi yazarsa çok eğleneceğim.
0
y0rk
lütfen yazıyı okuyunuz.

"Switchli ağlarda başka makineye ait trafiği izlemenin çeşitli yolları vardır burada en basit ve en etkili yöntem olan arp spoofing ve korunma yolları anlatılacaktır."

İnsanların şu anda ağ yöneticisi olmamaları (ki olmadıklarıda iddaa edilemez!) gelecekte ağ yöneticisi olmayacakları anlamına gelmez. Öğrenmek , kendini geliştirmek bir ihtiyaç ve haktır. Lütfen bunu unutmayınız.
0
loker
...'ın biri bir gün, netscape'in eposta yazılımına (henüz mozilla yok) From kısmına istediğini yazabiliyorsun diye karşı çıkmıştı. Outlook'da bunu yapamıyordun ve ona göre kendisiyle aynı zeka düzeyini paylaşan çoğunluğun selameti için gerekli olan herkesin o zeka düzeyine göre davranmasıydı...

Eğer o gün o amca, bu zihniyetinde yalnız kalacak denli şanslı olmasaydık, kimbilir neler olurdu...

Siz de umarım bu yaklaşımınızda hep yalnız kalırsınız... Çünkü bildiğimiz 'zırvalamışsınız'!
0
Ulath
Herkese merhaba,

Bence çok güzel bir haber olmuş. Sadece sistem yöneticilerini zorda bırakacak diye bilginin saklanması gibi anlamsız birşey olamaz bence. Bilgi insanlığındır ve insanlığa açık olması gerekir. Özellikle açık kaynak koduna(open source found. ve free software foundation'un temel düşüncelerinden biridir) bu kadar önem veren bir sitede asla bilgi gizlenmemelidir.
0
sundance
Ben şahsen "security through obscurity" yaklaşımına karşıyım. Internette beş dakika dolaşsanız bulacağınız bir şeyin gizlenmesi mantıklı değil.

Dahası arp poisoning yaklaşık 7 senedir kullanılan bir teknik (yedi sene önce ben kullanmıştım, daha da eski olabilir) böyle bir tekniğe karşı hala bir şey yapmamış sistem yöneticileri varsa onların endişelenmesi gerekir tabi.

Tekniklerin gizlenmesi ile güvenlik sağlanamaz temelde anlamamız gereken şey bu, çünkü o güvenliği aşacak adamlar zaten bu teknikleri biliyor. Bu tür bir haberin yapılmaması sadece bu konuda bilgi sahibi olmayan adminlerin sanal güvenlik hissiyatlarını desteklemeye yarar, kesinlikle onların bulundukları ağ sistemini bu haberden beş dakka önce olduğundan daha güvensiz yapmaz.

Geçenlerde büyük bir şirketin Şifreleme Politika ve Prosedürleri dökümanını okuyordum, şöyle bir ibare vardı:
"Hiçbir şekilde, şifreleme algoritması gizli (proprietary) bir şifreleme algoritması kullanılamaz." Niye ? Çünkü uzun yıllar bize öğretti ki, güvenlik algoritmanın gizliliği ile değil, anahtarın güçlülüğü ile sağlanır. Hatta algoritma ne kadar dünyanın gözü önündeyse o kadar da incelenir, hatalarından arınır.

Bu doğrultuda lütfen "Böyle haberler yakışmıyor, bu teknikleri saklamanız lazım" gibi yorumlar yapmayın, asıl bu tür yaklaşımlar FM camiasına yakışmıyor.
0
cbc
gizlemek ile anlatmak farklı şeyler. bunları anlatan o kadar "hacker" sitesi var ki fazlamesai de de görmek gerekmiyor. "hacker" kelimesini özellikle kullanıyorum, esr'nin sözlüğündeki hackerdan bahsetmiyorum. lütfen savunma kalkanlarınızı indirip okuduklarınızı pozitif açıdan yorumlayıp yapıcı olmaya çalışın.
0
cbc
yeri gelmişken.. yazının içeriği kaliteli. içeriğe diyecek bir lafım yok :)
0
FZ
Bazı bakımlardan kaygılarını anlıyorum. Öte yandan, FM'deki her yüz habere karşılık ancak bir ya da iki doğru dürüst, belli bir uzunluğu ve detayı geçen, orjinal (ya da çeviri) teknik makale geliyor öyle değil mi? Hal bu iken bu tür şeyleri yayınlamamak yakışık almaz diye düşünüyorum. Sence böyle bir lüksümüz var mı?

Ayrıca, burada vakti zamanında az Phreak dergisi muhabbeti de yapılmadı mı? Ne bileyim sundance'in Netcat ile reverse telnet yazısı filan yayınlamadı mı? Valla ben o tür yazılardan bir sürü hacker sitesinde bir sürü kez yayınlandığını düşünmüyorum, kaldı ki yayınlanmış olsa bile, bu durum kendisi ortaya bir makale koymuş birinin makalesini geri çevirmek için bir sebep değil. Makale seçim kriterimiz ne olacak? Akademik kriterler de uygulayabiliriz mesela, bu durumda herhalde hemen hemen hiçbir şeyi yayınlamamamız gerekir.

Ayrıca, "savunma kalkanları"nı niye indirelim ki :) Karşılıklı tartışarak bir şeyler öğrenmiyor muyuz? Sen kendi argümanlarını öne sürersin, ben de benimkini öne sürerim, birbirimizi ikna etmeye çalışırız.

Not: Bu tartışma bir yana, makaleyi yazıp buraya haber yollayan, bizimle paylaşan yazara ben de teşekkür etmek istiyorum.
0
cbc
verilen her şeyi yayınlamak lazım ama verilenler az olduğu için teşvik etmek amacı ile yayınlanmalı. haklısın.

netcat ile reverse telnet daha farklı. kişilerin özel verilerine erişim sağlamıyor. sniffing söz konusu olduğunda çok daha hassas bir durum söz konusu.

Makale seçim kriterleri içindeki bilgilerin zarar vermeme hususunu kapsamalı kanımca. ben bir yazı yayınlayıp fazlamesai.net'in admin şifresini versem yayınlar mısınız mesela? çok da farklı değil bence.

"merhaba arkadaşlar, bu yazımda FZ'ye ısmarladığım öğle yemeği esnasında nasıl fazlamesai şifrelerini aldığımı, daha doğrusu sosyal mühendislik tekniklerini anlatacağım.
.....
- evet cbc hakılısın ama fazlamesai.net'eseçtiğimiz qwaszx şifresi dediğin kriterlere uymasına rağman çok güvenli
.....
neden mi söyledim şireyi. güvenlik açıkları (FZ) nı saklamamak lazım da ondan."

abartı bir örnek ama sanırım ifade edebilmeme yardımcı oldu kendimi. qwaszx de ne kadar sallama bir string gibi duruyor değil mi? :)
0
FZ
Bence örneğinde hata var.

Eğer php-nuke'ta şu tür bir açık var diye bir makale yazarsan o zaman belki yakın bir örnek olurdu.

Ya da sosyal mühendislik ile ilgili bir makale de olabilirdi. Ancak içinde doğrudan parola geçiyor olsaydı, evet o zaman kritik bir durum olurdu, o zaman yayınlamamaktan bahsedebilirdik. Söz konusu yazıda herhangi bir yerin parolası geçiyor mu? Bir evin kapısı zayıf, bir iki ittirsen açılıyor demekle, buyur filanca kapıların anahtarları bunlardır, takıp açabilirsin kilitleri hiç yorulmadan kolayca demek aynı şey midir?
0
nonce
tamamen katılıyorum asıl " bu tür yaklaşımlar FM camiasına yakışmıyor."
çok güzel ve amacı bilgi paylaşımı olan bir yazı. teşekkürler.
0
bm
Madem basilan haber yakisiyor mu diye konusuluyor, ben neden rahatsiz oldum onu soyleyeyim:

- Basina telif hakki ile ilgili paragraf konan yazilarin icinin telif hakki bakimindan temiz olmasi beklenir. Ilk resim SANS'da cikan bir yazidan gelme gorebildigim kadariyla:

http://www.sans.org/resources/idfaq/switched_network.php

(Niye 'step' deniyor nerede step diye merak ederek buldum). Yazari suclamak icin soylemiyorum, hepimiz dikkatli olalim diye soyluyorum. Cok zor degil izin almak ve kaynak gostermek.

- Mikrosoft kaynakli HTML'de ISO-8859-9'da olmayan karakterler var (smart quote vs.). Bunlar temizlenmeden dokumanin basina ISO-8859-9 yazilirsa Mikrosoft olmayan platformda dokumani okumak zorlasabiliyor. Icerik yaratmak icin Windows'dan vazgecmek gerekmiyor buna engel olmak icin. En azindan 'demoronizer' var:

http://www.fourmilab.ch/webtools/demoroniser/

Kalani icin yazarin eline saglik.
0
sundance
Bence SANS'daki makaleden ikonları bile alıp aynen koymak ve hiçbir kaynak göstermemek çok ayıp olmuş.

Şahsen, Huzeyfe bey'in bundan sonraki makalelerini onaylamadan önce Google'da bir iki arama yapmak durumunda kalacağımızı düşünüyorum.

Uyarı için ayrıca teşekkürler.
0
honal
Konunun kotuye yorumlanmasi garibime gitti. Acikcasi yazilirken hic de boyle kotu bir niyet dusunulmemisti. http://www.huzeyfe.net/?q=node/67 adresinde de belirttigim gibi yazi aslinda bir raporun kirpilmis hali . Dolayisi ile eksiklikler belirsiz kalan parcalar olabilir, anlasma geregi rapordaki hicbir metaryeli oldugu gibi kullanamadigim icin rapordaki bazi ogeler yerine hazira kactim(Sans'taki resim gibi). Resmi kaldirdim , yerine basit bir cizim ekledim. Uyari icin tesekkurler...

Resimleri cizmek icin Windows ortaminda Visio kullaniyorum, yaziyi en son Microsoft Word ortaminda duzenledigim icin ofis tagleri vs duruyor.

ps: Sans'taki makaleden alintilanan baska birsey gosterebilir misiniz? Dikkat ederseniz o yazi tamamen teorik ve konular farkli. Yazdiginiz cumleden sanki yaziyi tamamen kopyalamis seklinde bir anlam cikiyor.

Görüş belirtmek için giriş yapın...

İlgili Yazılar

NSA Bizi Yiyor Mu?

experience

NSA'yı biliyoruz, söylenene gore hepimizi, her şeyimizi dinliyor bu keratalar.

Washington Post'ta 27 Ocak'ta yayımlanmış bir haber denk geldi. Habere burdan ulaşabilirsiniz.

Haberin özeti: Bush, NSA'yı ziyaret etmiş. Buraya kadar normal ama bu haberden ben NSA'nın pek de alengirli kulengirli sistemler kullanmadığına kanaat getirdim (bizi yiyor olmasınlar sakın?)

Procmail ve MS Outlook Wormları

sundance

Procmail`ın iddia ettiğine göre (rakamları CNNfn`den almışlar) MS Outlook Wormları yüzünden 2001 yılı Ağustos ayına kadar olan tahmini zarar $8 milyar dolar kadar :)

\r \r Eğer siz de bu kaybın bir parçasını yaşamak istemiyorsanız (ve inatla MS Outlook kullanmaya devam etmek istiyorsanız; (iyi de FM okumuyorsunuz anlamına geliyor bu... neyse :p) Procmail-Sanitizer iyi bir çözüm olabilir. Tavsiye ederim.

BIND 9 Dynamic Update DoS Zaafiyeti

onal

Tüm Bind9 sürümlerini etkileyen kritik bir açıklık yayınlandı. Açıklığı değerlendiren kötü niyetli biri tek bir udp paketiyle dns sunucunuzu devre dışı bırakabiliyor.

Açıklığın detaylarını anlatan kısa bir blog girdisi hazırladım. Ilgilenenler buradan ulaşabilir

Ağ güvenliğiniz için, m0n0wall kurun

Soulblighter

m0n0wall, Manuel Kasper tarafından FreeBSD üzerinde geliştirilmiş açık kaynak bir ateşduvarı ve kablosuz yönlendirici. m0n0wall, Check Point Firewall-1 ve Cisco PIX gibi ticari ateşduvarlarının sunduğu özelliklerin bir çoğunu sunuyor.

Cehennem.Org´u Hatırlar Mısınız?

anonim

Aşağıda sadece konu başlıklarını ve ayrıntılı bilgiye ulaşabileceğiniz linkleri veriyorum, yorumsuz...

"İnternette şifre tuzağı
'www.cehennem.org', Türk internet kullanıcılarına e-posta yoluyla tuzak kurarak, şifrelerini alıyor. Kurban sayısı ve isimlerini yayınlayan sitenin, bu yolla 10 bine yakın internet kullanıcısının şifresini ele geçirdi.
"

"Cehennem.org'da terör bağlantısı
İnternet kullanıcılarına tuzak kurarak şifrelerini indiren cehennem.org'un kapatıldığı açıklandı. Bu açıklamayı, ABD'den gelen ve şifreleri ele geçirilenleri dehşete düşüren bir açıklama takip etti.
"