Switch Kullanılan Ağlarda Trafik dinleme(Sniffing)

0
anonim
anonim
1 Nisan 2005 , 1 dakika okuma süresi
HUB kullanılan ortamlarda trafik dinleme işlemi oldukça basittir. Ağa bağlı bir makineye kurulacak bir sniffer aracılığı ile ağdaki tüm trafik dinlenebilir. Bu zaafiyet HUB sistemlerin çalışma mantığından kaynaklanır, hub ile birbirine bağlı sistemlerde iki sistem birbiri arasında haberleşmek istese bile aralarındaki trafik tüm hostlara gidecektir(broadcast mantığı ile çalışır).
Not:Yazıda kaynaklar kısmındabu makale unutulmuş.
Switch yapısı ise biraz farklıdır. Trafik sadece haberleşmek isteyen iki host arasında gerçekleşir. Switch'ler bu yapıyı üzerilerinde tuttukları CAM (Content Addresable Memory )tablolaları ile kotarırlar, bu tablolar MAC adresi, switch port numarası ve VLAN bilgilerinden oluşur...

Yazının devamına burdan erişilebilir.
Güvenlik
14
Linkedin Facebook Twitter Google plus

Görüşler

cbc
0
cbc
fazlamesai.net'e yakışmayan bir haber olmuş. İnsanları yönetici olmadıkları bir ağı sniff etmeye teşvik etmemek gerekli. Yöneticiler için düzgün yöntemler mevcut. broadcast portu idi router üzerinden koklamak vs. gibi.

yakında birisi de ettercap haberi yazarsa çok eğleneceğim.
y0rk
0
y0rk
lütfen yazıyı okuyunuz.

"Switchli ağlarda başka makineye ait trafiği izlemenin çeşitli yolları vardır burada en basit ve en etkili yöntem olan arp spoofing ve korunma yolları anlatılacaktır."

İnsanların şu anda ağ yöneticisi olmamaları (ki olmadıklarıda iddaa edilemez!) gelecekte ağ yöneticisi olmayacakları anlamına gelmez. Öğrenmek , kendini geliştirmek bir ihtiyaç ve haktır. Lütfen bunu unutmayınız.
loker
0
loker
...'ın biri bir gün, netscape'in eposta yazılımına (henüz mozilla yok) From kısmına istediğini yazabiliyorsun diye karşı çıkmıştı. Outlook'da bunu yapamıyordun ve ona göre kendisiyle aynı zeka düzeyini paylaşan çoğunluğun selameti için gerekli olan herkesin o zeka düzeyine göre davranmasıydı...

Eğer o gün o amca, bu zihniyetinde yalnız kalacak denli şanslı olmasaydık, kimbilir neler olurdu...

Siz de umarım bu yaklaşımınızda hep yalnız kalırsınız... Çünkü bildiğimiz 'zırvalamışsınız'!
Ulath
0
Ulath
Herkese merhaba,

Bence çok güzel bir haber olmuş. Sadece sistem yöneticilerini zorda bırakacak diye bilginin saklanması gibi anlamsız birşey olamaz bence. Bilgi insanlığındır ve insanlığa açık olması gerekir. Özellikle açık kaynak koduna(open source found. ve free software foundation'un temel düşüncelerinden biridir) bu kadar önem veren bir sitede asla bilgi gizlenmemelidir.
sundance
0
sundance
Ben şahsen "security through obscurity" yaklaşımına karşıyım. Internette beş dakika dolaşsanız bulacağınız bir şeyin gizlenmesi mantıklı değil.

Dahası arp poisoning yaklaşık 7 senedir kullanılan bir teknik (yedi sene önce ben kullanmıştım, daha da eski olabilir) böyle bir tekniğe karşı hala bir şey yapmamış sistem yöneticileri varsa onların endişelenmesi gerekir tabi.

Tekniklerin gizlenmesi ile güvenlik sağlanamaz temelde anlamamız gereken şey bu, çünkü o güvenliği aşacak adamlar zaten bu teknikleri biliyor. Bu tür bir haberin yapılmaması sadece bu konuda bilgi sahibi olmayan adminlerin sanal güvenlik hissiyatlarını desteklemeye yarar, kesinlikle onların bulundukları ağ sistemini bu haberden beş dakka önce olduğundan daha güvensiz yapmaz.

Geçenlerde büyük bir şirketin Şifreleme Politika ve Prosedürleri dökümanını okuyordum, şöyle bir ibare vardı:
"Hiçbir şekilde, şifreleme algoritması gizli (proprietary) bir şifreleme algoritması kullanılamaz." Niye ? Çünkü uzun yıllar bize öğretti ki, güvenlik algoritmanın gizliliği ile değil, anahtarın güçlülüğü ile sağlanır. Hatta algoritma ne kadar dünyanın gözü önündeyse o kadar da incelenir, hatalarından arınır.

Bu doğrultuda lütfen "Böyle haberler yakışmıyor, bu teknikleri saklamanız lazım" gibi yorumlar yapmayın, asıl bu tür yaklaşımlar FM camiasına yakışmıyor.
cbc
0
cbc
gizlemek ile anlatmak farklı şeyler. bunları anlatan o kadar "hacker" sitesi var ki fazlamesai de de görmek gerekmiyor. "hacker" kelimesini özellikle kullanıyorum, esr'nin sözlüğündeki hackerdan bahsetmiyorum. lütfen savunma kalkanlarınızı indirip okuduklarınızı pozitif açıdan yorumlayıp yapıcı olmaya çalışın.
cbc
0
cbc
yeri gelmişken.. yazının içeriği kaliteli. içeriğe diyecek bir lafım yok :)
FZ
0
FZ
Bazı bakımlardan kaygılarını anlıyorum. Öte yandan, FM'deki her yüz habere karşılık ancak bir ya da iki doğru dürüst, belli bir uzunluğu ve detayı geçen, orjinal (ya da çeviri) teknik makale geliyor öyle değil mi? Hal bu iken bu tür şeyleri yayınlamamak yakışık almaz diye düşünüyorum. Sence böyle bir lüksümüz var mı?

Ayrıca, burada vakti zamanında az Phreak dergisi muhabbeti de yapılmadı mı? Ne bileyim sundance'in Netcat ile reverse telnet yazısı filan yayınlamadı mı? Valla ben o tür yazılardan bir sürü hacker sitesinde bir sürü kez yayınlandığını düşünmüyorum, kaldı ki yayınlanmış olsa bile, bu durum kendisi ortaya bir makale koymuş birinin makalesini geri çevirmek için bir sebep değil. Makale seçim kriterimiz ne olacak? Akademik kriterler de uygulayabiliriz mesela, bu durumda herhalde hemen hemen hiçbir şeyi yayınlamamamız gerekir.

Ayrıca, "savunma kalkanları"nı niye indirelim ki :) Karşılıklı tartışarak bir şeyler öğrenmiyor muyuz? Sen kendi argümanlarını öne sürersin, ben de benimkini öne sürerim, birbirimizi ikna etmeye çalışırız.

Not: Bu tartışma bir yana, makaleyi yazıp buraya haber yollayan, bizimle paylaşan yazara ben de teşekkür etmek istiyorum.
cbc
0
cbc
verilen her şeyi yayınlamak lazım ama verilenler az olduğu için teşvik etmek amacı ile yayınlanmalı. haklısın.

netcat ile reverse telnet daha farklı. kişilerin özel verilerine erişim sağlamıyor. sniffing söz konusu olduğunda çok daha hassas bir durum söz konusu.

Makale seçim kriterleri içindeki bilgilerin zarar vermeme hususunu kapsamalı kanımca. ben bir yazı yayınlayıp fazlamesai.net'in admin şifresini versem yayınlar mısınız mesela? çok da farklı değil bence.

"merhaba arkadaşlar, bu yazımda FZ'ye ısmarladığım öğle yemeği esnasında nasıl fazlamesai şifrelerini aldığımı, daha doğrusu sosyal mühendislik tekniklerini anlatacağım.
.....
- evet cbc hakılısın ama fazlamesai.net'eseçtiğimiz qwaszx şifresi dediğin kriterlere uymasına rağman çok güvenli
.....
neden mi söyledim şireyi. güvenlik açıkları (FZ) nı saklamamak lazım da ondan."

abartı bir örnek ama sanırım ifade edebilmeme yardımcı oldu kendimi. qwaszx de ne kadar sallama bir string gibi duruyor değil mi? :)
FZ
0
FZ
Bence örneğinde hata var.

Eğer php-nuke'ta şu tür bir açık var diye bir makale yazarsan o zaman belki yakın bir örnek olurdu.

Ya da sosyal mühendislik ile ilgili bir makale de olabilirdi. Ancak içinde doğrudan parola geçiyor olsaydı, evet o zaman kritik bir durum olurdu, o zaman yayınlamamaktan bahsedebilirdik. Söz konusu yazıda herhangi bir yerin parolası geçiyor mu? Bir evin kapısı zayıf, bir iki ittirsen açılıyor demekle, buyur filanca kapıların anahtarları bunlardır, takıp açabilirsin kilitleri hiç yorulmadan kolayca demek aynı şey midir?
nonce
0
nonce
tamamen katılıyorum asıl " bu tür yaklaşımlar FM camiasına yakışmıyor."
çok güzel ve amacı bilgi paylaşımı olan bir yazı. teşekkürler.
bm
0
bm
Madem basilan haber yakisiyor mu diye konusuluyor, ben neden rahatsiz oldum onu soyleyeyim:

- Basina telif hakki ile ilgili paragraf konan yazilarin icinin telif hakki bakimindan temiz olmasi beklenir. Ilk resim SANS'da cikan bir yazidan gelme gorebildigim kadariyla:

http://www.sans.org/resources/idfaq/switched_network.php

(Niye 'step' deniyor nerede step diye merak ederek buldum). Yazari suclamak icin soylemiyorum, hepimiz dikkatli olalim diye soyluyorum. Cok zor degil izin almak ve kaynak gostermek.

- Mikrosoft kaynakli HTML'de ISO-8859-9'da olmayan karakterler var (smart quote vs.). Bunlar temizlenmeden dokumanin basina ISO-8859-9 yazilirsa Mikrosoft olmayan platformda dokumani okumak zorlasabiliyor. Icerik yaratmak icin Windows'dan vazgecmek gerekmiyor buna engel olmak icin. En azindan 'demoronizer' var:

http://www.fourmilab.ch/webtools/demoroniser/

Kalani icin yazarin eline saglik.
sundance
0
sundance
Bence SANS'daki makaleden ikonları bile alıp aynen koymak ve hiçbir kaynak göstermemek çok ayıp olmuş.

Şahsen, Huzeyfe bey'in bundan sonraki makalelerini onaylamadan önce Google'da bir iki arama yapmak durumunda kalacağımızı düşünüyorum.

Uyarı için ayrıca teşekkürler.
honal
0
honal
Konunun kotuye yorumlanmasi garibime gitti. Acikcasi yazilirken hic de boyle kotu bir niyet dusunulmemisti. http://www.huzeyfe.net/?q=node/67 adresinde de belirttigim gibi yazi aslinda bir raporun kirpilmis hali . Dolayisi ile eksiklikler belirsiz kalan parcalar olabilir, anlasma geregi rapordaki hicbir metaryeli oldugu gibi kullanamadigim icin rapordaki bazi ogeler yerine hazira kactim(Sans'taki resim gibi). Resmi kaldirdim , yerine basit bir cizim ekledim. Uyari icin tesekkurler...

Resimleri cizmek icin Windows ortaminda Visio kullaniyorum, yaziyi en son Microsoft Word ortaminda duzenledigim icin ofis tagleri vs duruyor.

ps: Sans'taki makaleden alintilanan baska birsey gosterebilir misiniz? Dikkat ederseniz o yazi tamamen teorik ve konular farkli. Yazdiginiz cumleden sanki yaziyi tamamen kopyalamis seklinde bir anlam cikiyor.

Görüş belirtmek için giriş yapın...

İlgili Yazılar

Eşeği Kafese Sokmak
tongucyumruk
9 Ocak 2003, 6 dakika okuma süresi

Tamam kabul ediyorum biraz saçma bir başlık oldu ama Türkçe yazınca böyle bir hal aldı. Aslında konuya uygun bir başlık. Konumuz Linux altındaki en popüler P2P dosya paylaşım programı mlDonkey'i chroot ortamında çalıştırarak sistemimizi güvenceye almak...

Kontörleriniz Nereye Gitti ? (Turkcell Açığı Kabul Etti ! )
anonim
20 Mart 2003, 1 dakika okuma süresi

Geçtiğimiz günlerde Turkcell'in Mobilaktif.com adresli sitesi üzerindeki bir açıkla istenilen Turkcell abonesinden kontör silinmesine dair haberlere, siteden açığı kabul eden bir açıklama geldi: http://www.mobilaktif.com/popup.php?sp=haberler

Kernel'da yeni açık
e2e
15 Haziran 2004, 1 dakika okuma süresi

Linux kernel'ında bulunan yeni bir açıktan faydalanılarak basit bir C programıyla kernel'ın kırılabilecegi ve bu açık sayesinde tüm sistemin kilitlenebileceği belirtiliyor

Bu güvenlik açığından 2.4.2x ve 2.6.x versiyonları; x86 ile x86_86 mimarileri etkileniyor.

Symantec'den log analizi...
RoR
28 Temmuz 2005, 1 dakika okuma süresi

Symantec internet güvenlik takibini, Kişisel bilgisayarlardaki firewall loglarından faydalanarak genişletiyor.

WhatsApp, Signal, BlackBerry Messenger ve Diğerleri: Hangisini Kullanmalı? Neden? #1
Zakkum
2 Mart 2017, 17 dakika okuma süresi

İnternetin her geçen gün daha fazla hayatımızın içine girmesi güvenlik konusunu daha sık ve geniş ölçekte tartışılır hale getirdi. Özellikle son yıllarda internet üzerinden gerçekleşen ifşa hareketleri (Wikileaks, Snowden, Panama Belgeleri vs.) konuyu haliyle daha da alevlendirdi. Bugün artık herhangi bir şüpheye yer bırakmadan biliyoruz ki kullandığımız internet artık bir kitlesel gözetleme...