PAKET YAKALAMA

Paket Koklama ne demektir?
1) Ağ üzerinde iletilen verilerin çalınması işlemine paket
yakalama(koklama) denir.
2) Paket koklama sizin sisteminiz ile ağ geçidi arasındaki diyaloğu yani veri konuşmasını dinlemektedir.
3) Paket yakalaması yapmak paketlerini okuduğumuz bilgisayara zarar vermez.

Paket Koklama ne işe yarar?
1) Lokal ağ üzerinden işimize yarayabilecek bilgileri dinleyip o verilerin okuyabiliriz.
2) Sistemimize izinsiz giriş yapanları da bu şekilde tespit edebiliriz.

Peki paket koklama nasıl yapılmaktadır?
1) Bir veri önce bilgisayardan çıkar sonra ağınıza bağlı tüm diğer sistemlere ulaşmaktadır. Gelen paketlerin kendilerine ait olup olmadığına karar vererek kabul veya reddetmektedirler.
2) Ağ içinde paket koklama yapan varsa diğer bilgisayarlara gönderilen bilgilerin aynısını kendi bilgisayarınada alabilir.
3) Bazı uygulamalar ağ üzerindeki paket trafiğini izler.(Bunlardan daha sonra bahsedeceğim)

Peki ne tür veriler koklanabilmektedir?
1) Ssh paketleri şifreli bir sekilde gidip gelir. Ama normal http de post islemi yaparken yakaladigimiz paketi çok rahat okuyabiliriz.

Sniffer nedir?
1) Kelime anlamıyla dinleyici demektir.
2) Aslında Paket toplamak ve sniffer aynıdır.Benim ikisindende bahsetme nedenim terim olarak ikisininde kullanılıyor olması.
3) Sniffer 2’ye ayrılır.
              a)Pasif sniffing
              b)Aktif sniffing
    a)Pasif sniffing
        1) Hub ile yönetilen network ü dinlemek için kullanılır.
        2) Ağda bir veri bir bilgisayara gönderilecekse Hub’lar bu veriyi tüm bilgisayarlara gönderirler veriyi alacak olan bilgisayar veri kendisine gönderilip gönderilmediğini kontrol eder eğer kendisine gönderilmişse veriyi alır.
        3) Bilgisayarımız Promisc modda ise kendisine gelen her paketi kime yollandığına bakmadan kabul eder.
               NOT: Bilgisayarımızı promisc moda almak için önce terminalimizi açacagız.Sonra ise terminale “ifconfig eth0 promisc” yazarız. Ve bilgisayarımız promisc moda almış oluruz.Tekrar promisc moddan çıkmak içinse terminale “ifconfig eth0 -promisc” yazmalıyız.
    b)Aktif sniffing
        1) Switch, kimin yolladığını bilmek için dataya bakar ve paketi gönderilecek bilgisayarın MAC adresine bakarak gönderir.
        2) Switch, bünyesinde sistemin tüm MAC adreslerinin bulunduğu MAC tablosuna sahiptir. Mac adresi kontrolünü bu tablodan yapar.
        3) Bir switch, hublar ile bağlı olan networklere göre daha güvenlidir.

Switche sahip bir networku hangi yöntemlerle paketlerini yakalayabiliriz??

1) Mac Flood=> switch e binlerce mac adresi gönderir ve switchin hub gibi çalışmasını sağlar.
           hangi araçlar kullanabiliriz? => Etherflood ve Macof
2) ARP zehirleme=>
           a) ARP tablolarında tutulan IP ve MAC adresi eşleştirmelerine müdahele etmek mümkündür.
           b) Bu tablolara yapılacak müdahele ile ağ trafiği artırılarak, ağ isteklere cevap veremez hale getirilebilir.
           c) ARP zehirlenmelerinde, saldırgan ağ trafiğini değiştirebilir ya da ağ trafiğini tamamen durdurabilir.
           d) ARP tablosunu yanlış bilgilerle doldurur ve hedef bilgisayarın göndereceği paketlerin saldırganın belirttiği adreslere gitmesini sağlayabilir. Bu yöntemle gönderilmek istenilen paketin, istenilen yere ulaşması engellenebilir.

           e) MAC adres bilgisine kendi MAC adresini yazar. Pakete yapılan bu müdahele ile artık yollanan paketler saldırganın bilgisayarına gider. Saldırgan da paket üstünde istediği gibi değişiklik yapabilir. 

 İşte bu tür olaylara ARP zehirlenmesi denilmektedir.
**************************************************************************
Hangi programlarla paket yakalama yapabiliriz?
=> tcpdump
=> arpspoof
=> wireshark
=> tshark
Bu konuda şuan için başlangıçdayım. Ama zamanla bilgilerim güncellendikçe bu yazımıda güncelleyeceğim.
Ve bir dahaki yazımda bildiğim kadarıyla paket yakalamaya görsel örnekler vereceğim.

Reklamlar

2 Comments

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Çıkış  Yap /  Değiştir )

w

Connecting to %s