Switch Kullanılan Ağlarda Trafik dinleme(Sniffing)

0
anonim
anonim
1 Nisan 2005 , 1 dakika okuma süresi
HUB kullanılan ortamlarda trafik dinleme işlemi oldukça basittir. Ağa bağlı bir makineye kurulacak bir sniffer aracılığı ile ağdaki tüm trafik dinlenebilir. Bu zaafiyet HUB sistemlerin çalışma mantığından kaynaklanır, hub ile birbirine bağlı sistemlerde iki sistem birbiri arasında haberleşmek istese bile aralarındaki trafik tüm hostlara gidecektir(broadcast mantığı ile çalışır).
Not:Yazıda kaynaklar kısmındabu makale unutulmuş.
Switch yapısı ise biraz farklıdır. Trafik sadece haberleşmek isteyen iki host arasında gerçekleşir. Switch'ler bu yapıyı üzerilerinde tuttukları CAM (Content Addresable Memory )tablolaları ile kotarırlar, bu tablolar MAC adresi, switch port numarası ve VLAN bilgilerinden oluşur...

Yazının devamına burdan erişilebilir.
Güvenlik
14
Linkedin Facebook Twitter Google plus

Görüşler

cbc
0
cbc
fazlamesai.net'e yakışmayan bir haber olmuş. İnsanları yönetici olmadıkları bir ağı sniff etmeye teşvik etmemek gerekli. Yöneticiler için düzgün yöntemler mevcut. broadcast portu idi router üzerinden koklamak vs. gibi.

yakında birisi de ettercap haberi yazarsa çok eğleneceğim.
y0rk
0
y0rk
lütfen yazıyı okuyunuz.

"Switchli ağlarda başka makineye ait trafiği izlemenin çeşitli yolları vardır burada en basit ve en etkili yöntem olan arp spoofing ve korunma yolları anlatılacaktır."

İnsanların şu anda ağ yöneticisi olmamaları (ki olmadıklarıda iddaa edilemez!) gelecekte ağ yöneticisi olmayacakları anlamına gelmez. Öğrenmek , kendini geliştirmek bir ihtiyaç ve haktır. Lütfen bunu unutmayınız.
loker
0
loker
...'ın biri bir gün, netscape'in eposta yazılımına (henüz mozilla yok) From kısmına istediğini yazabiliyorsun diye karşı çıkmıştı. Outlook'da bunu yapamıyordun ve ona göre kendisiyle aynı zeka düzeyini paylaşan çoğunluğun selameti için gerekli olan herkesin o zeka düzeyine göre davranmasıydı...

Eğer o gün o amca, bu zihniyetinde yalnız kalacak denli şanslı olmasaydık, kimbilir neler olurdu...

Siz de umarım bu yaklaşımınızda hep yalnız kalırsınız... Çünkü bildiğimiz 'zırvalamışsınız'!
Ulath
0
Ulath
Herkese merhaba,

Bence çok güzel bir haber olmuş. Sadece sistem yöneticilerini zorda bırakacak diye bilginin saklanması gibi anlamsız birşey olamaz bence. Bilgi insanlığındır ve insanlığa açık olması gerekir. Özellikle açık kaynak koduna(open source found. ve free software foundation'un temel düşüncelerinden biridir) bu kadar önem veren bir sitede asla bilgi gizlenmemelidir.
sundance
0
sundance
Ben şahsen "security through obscurity" yaklaşımına karşıyım. Internette beş dakika dolaşsanız bulacağınız bir şeyin gizlenmesi mantıklı değil.

Dahası arp poisoning yaklaşık 7 senedir kullanılan bir teknik (yedi sene önce ben kullanmıştım, daha da eski olabilir) böyle bir tekniğe karşı hala bir şey yapmamış sistem yöneticileri varsa onların endişelenmesi gerekir tabi.

Tekniklerin gizlenmesi ile güvenlik sağlanamaz temelde anlamamız gereken şey bu, çünkü o güvenliği aşacak adamlar zaten bu teknikleri biliyor. Bu tür bir haberin yapılmaması sadece bu konuda bilgi sahibi olmayan adminlerin sanal güvenlik hissiyatlarını desteklemeye yarar, kesinlikle onların bulundukları ağ sistemini bu haberden beş dakka önce olduğundan daha güvensiz yapmaz.

Geçenlerde büyük bir şirketin Şifreleme Politika ve Prosedürleri dökümanını okuyordum, şöyle bir ibare vardı:
"Hiçbir şekilde, şifreleme algoritması gizli (proprietary) bir şifreleme algoritması kullanılamaz." Niye ? Çünkü uzun yıllar bize öğretti ki, güvenlik algoritmanın gizliliği ile değil, anahtarın güçlülüğü ile sağlanır. Hatta algoritma ne kadar dünyanın gözü önündeyse o kadar da incelenir, hatalarından arınır.

Bu doğrultuda lütfen "Böyle haberler yakışmıyor, bu teknikleri saklamanız lazım" gibi yorumlar yapmayın, asıl bu tür yaklaşımlar FM camiasına yakışmıyor.
cbc
0
cbc
gizlemek ile anlatmak farklı şeyler. bunları anlatan o kadar "hacker" sitesi var ki fazlamesai de de görmek gerekmiyor. "hacker" kelimesini özellikle kullanıyorum, esr'nin sözlüğündeki hackerdan bahsetmiyorum. lütfen savunma kalkanlarınızı indirip okuduklarınızı pozitif açıdan yorumlayıp yapıcı olmaya çalışın.
cbc
0
cbc
yeri gelmişken.. yazının içeriği kaliteli. içeriğe diyecek bir lafım yok :)
FZ
0
FZ
Bazı bakımlardan kaygılarını anlıyorum. Öte yandan, FM'deki her yüz habere karşılık ancak bir ya da iki doğru dürüst, belli bir uzunluğu ve detayı geçen, orjinal (ya da çeviri) teknik makale geliyor öyle değil mi? Hal bu iken bu tür şeyleri yayınlamamak yakışık almaz diye düşünüyorum. Sence böyle bir lüksümüz var mı?

Ayrıca, burada vakti zamanında az Phreak dergisi muhabbeti de yapılmadı mı? Ne bileyim sundance'in Netcat ile reverse telnet yazısı filan yayınlamadı mı? Valla ben o tür yazılardan bir sürü hacker sitesinde bir sürü kez yayınlandığını düşünmüyorum, kaldı ki yayınlanmış olsa bile, bu durum kendisi ortaya bir makale koymuş birinin makalesini geri çevirmek için bir sebep değil. Makale seçim kriterimiz ne olacak? Akademik kriterler de uygulayabiliriz mesela, bu durumda herhalde hemen hemen hiçbir şeyi yayınlamamamız gerekir.

Ayrıca, "savunma kalkanları"nı niye indirelim ki :) Karşılıklı tartışarak bir şeyler öğrenmiyor muyuz? Sen kendi argümanlarını öne sürersin, ben de benimkini öne sürerim, birbirimizi ikna etmeye çalışırız.

Not: Bu tartışma bir yana, makaleyi yazıp buraya haber yollayan, bizimle paylaşan yazara ben de teşekkür etmek istiyorum.
cbc
0
cbc
verilen her şeyi yayınlamak lazım ama verilenler az olduğu için teşvik etmek amacı ile yayınlanmalı. haklısın.

netcat ile reverse telnet daha farklı. kişilerin özel verilerine erişim sağlamıyor. sniffing söz konusu olduğunda çok daha hassas bir durum söz konusu.

Makale seçim kriterleri içindeki bilgilerin zarar vermeme hususunu kapsamalı kanımca. ben bir yazı yayınlayıp fazlamesai.net'in admin şifresini versem yayınlar mısınız mesela? çok da farklı değil bence.

"merhaba arkadaşlar, bu yazımda FZ'ye ısmarladığım öğle yemeği esnasında nasıl fazlamesai şifrelerini aldığımı, daha doğrusu sosyal mühendislik tekniklerini anlatacağım.
.....
- evet cbc hakılısın ama fazlamesai.net'eseçtiğimiz qwaszx şifresi dediğin kriterlere uymasına rağman çok güvenli
.....
neden mi söyledim şireyi. güvenlik açıkları (FZ) nı saklamamak lazım da ondan."

abartı bir örnek ama sanırım ifade edebilmeme yardımcı oldu kendimi. qwaszx de ne kadar sallama bir string gibi duruyor değil mi? :)
FZ
0
FZ
Bence örneğinde hata var.

Eğer php-nuke'ta şu tür bir açık var diye bir makale yazarsan o zaman belki yakın bir örnek olurdu.

Ya da sosyal mühendislik ile ilgili bir makale de olabilirdi. Ancak içinde doğrudan parola geçiyor olsaydı, evet o zaman kritik bir durum olurdu, o zaman yayınlamamaktan bahsedebilirdik. Söz konusu yazıda herhangi bir yerin parolası geçiyor mu? Bir evin kapısı zayıf, bir iki ittirsen açılıyor demekle, buyur filanca kapıların anahtarları bunlardır, takıp açabilirsin kilitleri hiç yorulmadan kolayca demek aynı şey midir?
nonce
0
nonce
tamamen katılıyorum asıl " bu tür yaklaşımlar FM camiasına yakışmıyor."
çok güzel ve amacı bilgi paylaşımı olan bir yazı. teşekkürler.
bm
0
bm
Madem basilan haber yakisiyor mu diye konusuluyor, ben neden rahatsiz oldum onu soyleyeyim:

- Basina telif hakki ile ilgili paragraf konan yazilarin icinin telif hakki bakimindan temiz olmasi beklenir. Ilk resim SANS'da cikan bir yazidan gelme gorebildigim kadariyla:

http://www.sans.org/resources/idfaq/switched_network.php

(Niye 'step' deniyor nerede step diye merak ederek buldum). Yazari suclamak icin soylemiyorum, hepimiz dikkatli olalim diye soyluyorum. Cok zor degil izin almak ve kaynak gostermek.

- Mikrosoft kaynakli HTML'de ISO-8859-9'da olmayan karakterler var (smart quote vs.). Bunlar temizlenmeden dokumanin basina ISO-8859-9 yazilirsa Mikrosoft olmayan platformda dokumani okumak zorlasabiliyor. Icerik yaratmak icin Windows'dan vazgecmek gerekmiyor buna engel olmak icin. En azindan 'demoronizer' var:

http://www.fourmilab.ch/webtools/demoroniser/

Kalani icin yazarin eline saglik.
sundance
0
sundance
Bence SANS'daki makaleden ikonları bile alıp aynen koymak ve hiçbir kaynak göstermemek çok ayıp olmuş.

Şahsen, Huzeyfe bey'in bundan sonraki makalelerini onaylamadan önce Google'da bir iki arama yapmak durumunda kalacağımızı düşünüyorum.

Uyarı için ayrıca teşekkürler.
honal
0
honal
Konunun kotuye yorumlanmasi garibime gitti. Acikcasi yazilirken hic de boyle kotu bir niyet dusunulmemisti. http://www.huzeyfe.net/?q=node/67 adresinde de belirttigim gibi yazi aslinda bir raporun kirpilmis hali . Dolayisi ile eksiklikler belirsiz kalan parcalar olabilir, anlasma geregi rapordaki hicbir metaryeli oldugu gibi kullanamadigim icin rapordaki bazi ogeler yerine hazira kactim(Sans'taki resim gibi). Resmi kaldirdim , yerine basit bir cizim ekledim. Uyari icin tesekkurler...

Resimleri cizmek icin Windows ortaminda Visio kullaniyorum, yaziyi en son Microsoft Word ortaminda duzenledigim icin ofis tagleri vs duruyor.

ps: Sans'taki makaleden alintilanan baska birsey gosterebilir misiniz? Dikkat ederseniz o yazi tamamen teorik ve konular farkli. Yazdiginiz cumleden sanki yaziyi tamamen kopyalamis seklinde bir anlam cikiyor.

Görüş belirtmek için giriş yapın...

İlgili Yazılar

M$ Word´deki Açık Makroları Uyarı Olmadan Çalıştırıyor
Challenger
8 Eylül 2003, 1 dakika okuma süresi

Olympos.org' da yer alan bu habere göre M$ Word' deki bir açık sayesinde, makro virüsleri, Word size bir uyarı vermeden otomatik olarak çalışabiliyor.

"Açık sayesinde bir saldırganın kötü amaçlı bir doküman hazırlayarak macro güvenlik modelini aşması mümkün oluyor. Eğer doküman açılırsa, ayarlı olan macro güvenlik ayarı ne olursa olsun ekli olan makro otomatik olarak çalışıyor. Kötü amaçlı makro dosya ekleme, değiştirme, silme, bir web sitesi ile haberleşme ve disk sürücüyü formatlama gibi kullanıcının yetkisi olduğu tüm işlemleri gerçekleştirebiliyor."

Not: Eh be Micros~1 kelime işlemciyi bile baş belası haline getirdin ya! Helal olsun!

En Son Ne Zaman Badana Yaptınız?
FZ
24 Ocak 2005, 1 dakika okuma süresi

Boya deyip geçmeyin, eğer sağda solda kablosuz ağ sistemleri çoğalmaya başladı ise, sinyallerle başa çıkmakta güçlük çekiyorsanız o zaman belki de izolasyona dair bazı şeyler yapmanın zamanı gelmiştir.

Force Field Wireless şirketi bu tür kaygıları olanlar için özel bir boya katkısı üretmiş. Duvarları, tavanı ve zemini boyamak için kullanacağınız boyaya bu katkı malzemesini eklediğinizde görüntüde herhangi bir değişiklik olmuyor ancak kablosuz iletişimde epey bir izolasyon sağlanıyor (diye iddia ediliyor).

Şirketin iddiasına göre duvara homojen olarak yayıldığında söz konusu malzeme 100 Mhz - 5 Ghz frekans aralığındaki sinyalleri yansıtarak odayı bir tür Faraday kafesine dönüştürüyor.

Kaynak: Information Week

Dünyaca Ünlü Hackerlar Türkiye'de Buluşuyor
FZ
25 Eylül 2007, 1 dakika okuma süresi

Beyond Security, Profilo ve Servus işbirliği ile 5 Ekim 2007 tarihinde "TrSEC İstanbul Security and Hacking Conference"ı düzenliyor. Konferans Mecidiyeköy’deki Profilo Alışveriş Merkezi Konferans Salonu’nda düzenlenecek.

SHA-1 kırıldı!
abakana
17 Şubat 2005, 1 dakika okuma süresi

Bruce Schneier blogunda Şandung Üniversitesinden bir grup aratırmacının SHA- 1 algoritmasını kırdığını belirtti.

SHA-0 ve SHA-1'e yönelik daha önceki kırma girişimlerinden üretilen yeni metod büyük bir kripto-analitik sonuç olarak belirtilmiş.

Trusted Computing Hakkında Bir Sunum
sundance
16 Aralık 2005, 1 dakika okuma süresi

Uzun bir süredir bahsi geçen "Bilgisayarınıza bir chip takılacak, bu sayede yazılım üreticileri ve web siteleri başta olmak üzere herkes kim olduğunuzu bilecek ve güvende olacaksınız" şeklinde lanse edilen Trusted Computing hakkında inanılmaz bir sunuma rastladım.

RMS'in "Treacherous (Hileci) computing" diye yorumladığı TC, Microsoft, Intel, IBM, HP ve AMD'nin birarada yeraldığı nadir projelerden biri. İki ayrı kalitedeki (25MB/50Mb) sunumu izleyin ne demek istediğimi daha iyi anlayacaksınız. Ben şimdiye kadar daha iyi bir sunum izlemedim.
Daha detaylı bilgi için adres AgainstTCPA