Network Forensics //"P4RS

P4RS · 27 Tem 2019

Merhabalar TürkHackTeam ailesi, bugün sizlere Network Forensics konusunu detaylı olarak anlatacağım. Bu konu sayesinde Ağ Adli Tıpı hakkında temel de olsa bilgi sahibi olabileceksiniz

) İyi okumalar...

Konu Başlıkları
Network Forensics Nedir ?
Ağ Trafiği Analizinde Donanımsal Araçlar
Protokol Analizi
Şifreli Trafik Analizi
Tünelleme Nedir ?
Ağ Güvenliği
Saldırılar Ve Önlemleri
Örnek Dosya İncelemesi

Network Forensics Nedir ?

Network Forensics, ağ adli tıpıdır. Bir adli tıp dalıdır. Güvenlik saldırıları veyahut sorunlarla ilgili ağ verilerinin tespit edilip, kaydedilip analizi yapılmasıdır. Uzmanlar veya polis/asker vb. kurumlar, bir suç işlenirse bu tür analizlere başvurabilirler.

Mesela bir bilgisayar saldırganın bir bilgisayara girdi ve iz bırakmadan ayrıldı. İz bıraktığı alanlar RAM ve Network'tür. Ağ adli tıpı ile ilgilenen uzmanlar/kişiler bunlara bakarak saldırgan hakkında bilgi alabilirler. Peki bu işlemler hangi aşamalarda oluyor?

Genellikle sizin ağınızdan ilk önce gelen paketleri yakalıyorlar, analiz ediyorlar, delil olarak kullanılabilecek verileri mahkemeye sunuyorlar.

Ağ Adli Tıpı çok fazla yöntemlidir. Örnek yöntem olarak bütün ağ paketleri incelenebilir veya hedef paketleri inceler.

Genel olarak iki bölümden oluştuğu savunulmaktadır. Bunlar; "Catch-it-as-you-can" (Mümkün olduğu kadarını yakala), "Stop, look and listen" (Dur, bak ve dinle) bölmüleridir.

"Catch-it-as-you-can" (Mümkün olduğu kadarını yakala)

Bu bölüm de belirli bir noktadan geçen paketlerin incelenip yakalanıp, analiz edilip bir depoya depolanmasıdır. Büyük bir depolama alanına ihtiyaç duyulur.

"Stop, look and listen" (Dur, bak ve dinle)

Her paketin analiz edilip gerekli verilerin depo edilmesidir. Bu yöntem de depolama alanına çok fazla ihtiyaç duyulmamaktadır fakat her paket incelendiği için iyi bir işlemci gerekmektedir.

Tabi bu iki yönteminde kullanımını mahkeme kararı ile izlenmelidir aksi taktirde yasaktır.

Peki tanımsal olarak ne olduğunu az çok öğrendik. Peki hangi araçlarla bu ağ trafiğini inceleyebiliriz derseniz;

Bilgisayar da Kullanmak için

Wireshark
NetworkMiner
Tcpdump
Tshark
NetWitness
Glasswire
Microsoft Network Monitor
Iptraf
Xplico

tatli-isimleri-son-buldu-google-yeni-android-surumunun-adini-acikladi-1566483661.jpg

Android de Kullanmak için

cSploit
Zanti

Peki bunlar ne işe yarar?

Network Forensics yazılımlarının genel amacı ağ üzerinde oluşan traifğin Forensics kurallarına göre incelenerek gerekli şekilde depo edilmesidir. Bir ağ analizi yaparsak hangi sorulara cevap bulabiliriz?

Saldırganlar hangi verileri okuyor?
Hangi sunuculara erişim sağlayabilirler?
Hangi web sitelerine erişim sağladılar?
Ağımızda ne tür değişiklkler ya da veri indirmesi yapıyorlar?
Giriş izni olduğu veya olmadığı alanlara giriş yapabiliyorlar mı?

Ağ Trafiği Analizinde Donanımsal Araçlar

HUB Nedir?

Birden fazla bilgisayarı tek bir ağa bağlamaya yarayan ağ cihazıdır. HUB, Ethernet, USB veya Firewire bağlantılarına sahip olabilir.
OSI katmanlarında 1. katman olarak sınıflandırılmaktadır. Veri iletimi olarak elektiriksel veya bit'dir. LAN bağlantısı yapmaktadır. Hız olarak 10 Mbps'dir.

Switch Nedir?

Switch, anlamsal olarak anahtar kelimesine tekabül etmektedir. Ağ olaylarında ise ağ anahtarı olarak geçmektedir. Gelen veri paketlerini alır ve onları LAN (yerel ağ bağlantısı) üzerinden bağlı olan bilgisayarlara veri gönderimini sağlayan cihazdır. Yüksek hızda veri gönderimi olmaktadır.
OSI katmanlarında 2. katman olarak sınıflandırılmaktadır.

Bridge Nedir?

Bridge, tanımsal olarak Ağ köprüsü anlamına gelmektedir. Aynı protokol de çalışmakta olan cihazları birbirine bağlamaya yaramaktadır. Diyelim ki farklı iki tane LAN bağlantılı cihazlarınız var. Bunları birbirine bağlamak için Bridge (köprü)'yi kullanmalısınız.

Router Nedir?

Router, yönlendiricidir. Birden fazla bilgisayarı ağını kablolu veyahut kablosuz bağlantı ile bir araya getiren cihazlardır. İnternet bağlantınızı cihazların kullanımı için aktarmaktadır. Klavye veya mouse gerektirmeyen özel küçük bilgisayarlardır.

TAP Sistemleri Nedir?

İki ağ üzerinden trafiği izlememize yarayan donanımsal bir araçtır. Arada ki trafiği engellemeden veya aksatmadan kullanılmak üzere tasarlanmıştır.

P4RS · 29 Tem 2019

Protokol Analizi

Paket nedir?

İnternetten aldığımız ya da gönderdiğimiz bütün veriler paket halindedir. Verileri ufak paketlere geçiren ağlara "paket anahtarlamalı ağlar" (Packet Switched Networks) denir. Biz bir web siteye girdiğimizde bizlere paket halinde veriler gelir. Pakette ki bilgiler

Kod:

Göndericinin IP'si[/COLOR][/CENTER]
[COLOR=MediumTurquoise][CENTER]Alıcının IP'si 
Paket kaç bölümden oluşuyor.

İnternette ki paketler TCP/IP ile taşınır. Ortalama olarak 1.000-1.500 bayt olarak boyutlandırılır her paket. Diyelim ki paketlerden birinde sorun oluştu ve gidemedi. Diğer paketler gider ve gönderilemeyen paket tekrar gönderilir.

Paketler 3 bölümden oluşmaktadır;

Başlık(Header)

⦁ Protokol, ne tür paket taşıdığını tanımlar (Web sayfası, video, e posta)
⦁ Hedef Adres, paketin gittiği kişi/sunucu
⦁ Kaynak Adres, paketin geldiği kişi/sunucu
⦁ Paket Numarası, paket serisidir.
⦁ Paket Uzunluğu, bazı sunucularda güvenlik amacı ile durağan paket uzunluğu tercih edilir.

Yük(Payload)

Paketin gövdesi olarak geçmektedir. Paketin hedefe ulaştığı gerçek veriler buradadır.

Kuyruk(Trailer)

Alıcıya son verilerin ulaşırak son birkaç verinin karşıya ulaştığını belirten bilgidir. Hata kontrolü yapmak özelliğine sahiptir. Hata kontrollerinden en meşhuru çevrimsel fazlalık sınaması (CRC,cyclic redundancy check)'dır. İşlenen verinin yanında bir de kontrol verisi bulunur. Bu kontrol verisi bütün veriyi bir hata olup olmadığını tarar.

Protokol nedir ?

Bir network üzerinde bulunan cihazları birbirine bağlanması için iletişimi yöneten kurallar bütününe denir. Her cihaz için farklı bir kural olsaydı o zaman hiçbir cihaz birbiri ile iletişim kuramazdı. Bunun olmaması adına tek bir kural üzerinde birleştirildi.

TCP/IP Modeli

Birçoğumuz OSI modelini duymuşuzdur. Fakat TCP/IP modeli de bulunmaktadır. Bu model internetin temelini oluşturmaktadır. İnternette kablolu ve kablosuz bağlantı ile işlem yapılması adına kurulan bir modeldir.
TCP/IP Modeli 4'e ayrılır;

Uygulama Katmanı

Bu katmanda DNS, FTP, POP, IMAP, SMTP, BOOTP, FTTP, HTTP, DHCP, TFTP protokolleri bulunmaktadır. OSI Modelinin 5-7 katmanına denktir. OSI modelinde ki Uygulama, Sunum ve Oturum katmanlarıdır.

Taşıma Katmanı

Adından da anlaşılacağı gibi görevi taşımaktır. TCP ve UDP protokolleri vardır. Bunları birazdan anlatacağım.

İnternet Katmanı

Verinin karşı tarafa ulaşması için en hızlı ve güvenli yolun bulunmasında görevlidir. IP, NAT, ICMP, OSPF , EIGRP protokolleri bulunmaktadır.

Ağ Erişim Katmanı

Bu katmanda fiziksel olan cihazlar bulunmaktadır. Bağlantı düzeneği bulumaktadır. ARP, PPP, Ethernet, Interface Drivers bulunmaktadır.

Eri%C5%9Fim+ve+Da%C4%9F%C4%B1t%C4%B1m+Katman%C4%B1+Cihazlar%C4%B1.jpg

OSI Modeli Nedir?

OSI Modeli, 2 bilgisayar arasında ki iletişimi belirler. OSI ile ortak bir ağ ile iletişim kurulmaya başlanmıştır.

OSI Modeli 7 katmana sahiptir.

Protokoller ve Tanımları

HTTP Protokolü

Bir web tarayıcısından sisteme (sunucuya) gönderilen istek http protokolü sayesinde gerçekleşir. Sistem gelen isteği http protokolüne göre cevap verir. Yani bizim siteye girmemizi sağlar.

SMTP Protokolü

İnternet üzerinden mektuplaşmayı sağlayan protokoldür. 25. Port üzerinden çalışmaktadır.

ARP Protokolü

ARP, yerel bir ağda ki bir cihazın ip adresini ve MAC adresini bulmaya yarayan protokoldür.

TCP Protokolü

Cihazlar arasında ki veri verme/alma görevini üstlenen, bir yerden bir yere veri akışını sağlayan pek çok veri haberleşme protokolüne verilen genel isimdir.

UDP Protokolü

IP üzerinden veri yollamaya yarayan protokoldür. Verilerin ulaşacağının garantisi yoktur.

VoIP Protokolü

İnternet aracılığıyla sesli görüşmemize yardımcı olan protokoldür.

H323 Protokolü

İnternet aracılığıyla sesli ve görüntülü iletişim kurmamıza yardımcı olan bir seri protokoldür. Eski bir protokoldür.

SIP Protokolü

SIP protokolü, konuşmayı başlatmak için gerekli olan ortamı hazırlayan protokoldür. H323'den daha güvenilir ve yaygın olarak kullanılır.

IMAP Protokolü

IMAP sayesinde eş zamanlı olarak farklı cihazlardan aynı e posta açılabilir.

POP Protokolü

POP, mail sunucularından mail almamız için kullanılan bir protokoldür.

IPv4 Nedir?

⦁ İkili sayılı sisteminden meydana gelmektedir.
⦁ 32 Bittir.
⦁ IPv4 de IP adresi 4 tane noktadan yani oktet ile ayrılır.
⦁ IPv4 de A, B, C, D, E olmak üzere 5 sınıf vardır.
⦁ Bu oktetler 0-255 değerleri arasında değerler almaktadır.
⦁ A Okteti, 0-126 arasında değer alır
⦁ B Okteti, 128-191 arasında değer almaktadır.
⦁ C Okteti, 192-223 arasında değer alır.
⦁ D Okteti, Multicast adresleme de kullanılmaktadır.

IPv4 Yayınları

Unicast: Veri iletiminin bir noktadan bir noktaya gitmesini sağlar.
Multicast: Veri iletiminin birden fazla noktaya gitmesini sağlar.
Anycast: Veri iletimini alt ağlarda ki ara birimlerin hepsine gönderir.

IPv6 Nedir?

⦁ IPv4ün gelişmiş versiyonudur.
⦁ IPv6 128 bittir.
⦁ IPv6, IPv4a göre içerisinde daha fazla IP barındırmaktadır. Bu yüzden gelişen dünya da daha fazla IP ihtiyacı olacağından IPv6i kullanmak daha akıllıca olacaktır.
⦁ IPv6, IPv4a göre daha hızlıdır.
IPv4 ve IPv6 olmadan internete bağlanamayız. Bu protokoller sayesinde internete bağlanacağımız zaman bizlere IP atarlar.

WireShark ile Protokol Analizi

Öncelikle Linux makineme geçtim ve WireShark'ı açtım.

Daha sonra sanal makinemde bulunan Windows XP sistemime geçtim ve sitelere girmeye başladım.

Ben sitelere girdikçe WireShark'a paketler düşmeye başladı

ARP Protokolü Analizi

Filtreleme yerine arp yazarsanız arp protokolü filtrelenecek ve onunla ilgili bilgiler elmize ulaşacaktır. Buradan da gördüğünüzü gibi altta da bilgiler yazmaktadır.

DNS ve UDP Protokolü Analizi

Resimde anlatımını yaptım. UDP protokolü DNS protokolü altında çalışmaktadır yani DNS protokolüne baktığımızda UDP protokolünü de bulabiliriz ve bilgi alabiliriz.

response olarak gelende cevaptır.

HTTP Protokolü Analizi

Filtreleme yerin http yazdığımızda HTTP protokolünün verileri çıkacaktır. Mavi olarak görünen yerde HTTP protokolü ile ilgili bilgiler mevcuttur.
Daha ayrıntılı bilgi almak için sağ tıklayıp> follow > TCP Stream yapalım.
Kırmızı renkli olan bizlerin sunucuya attığı istek, mavi de ise sunucudan bizlere gelen cevaptır.

TCP Protokolü Analizi

Filtreleme alanına tcp yazarsanız TCP protkolünün verileri çıkacaktır. Bunda iki tane gidiş geliş oluyor. İlkinde giden paket ikincisinde gelen paket fotoğrafta da gösterdim.
ACK olan da gelen pakettir.

Şifreli Trafik Analizi

SSL (HTTPS) Nedir?

Açılım olarak Secure Hypertext Transfer Protocol'dür. Yani kişi ile sunucu arasında ki verilerin şifrelenip karşıya ulaşıp cevabın gelmesine yaramaktadır. SSL Sertifikasını duymuşsunuzdur. Bu sertifika olduğunda sitede ki veriler şifreli bir şekilde sunucuya ve kişiye gider.
Online alışveriş sitelerinde, e-ticaret sitelerinde bu sertifikanın olmasına özen gösteriniz aksi taktirde ağınıza sızan bir kişi sizin şifrenizi ve kullanıcı adınızı çalar. (MITM saldırısıdır.) Peki SSL Sertifikası olup olmadığını nasıl anlarız? Sitenin başında https:// var ise bu site SSL Sertifikalı bir sitedir. http:// sitelerinden daha güvenlilerdir.

HTTP Nedir?

Açılım olarak Hyper Text Transfer Protocol'dür. Yani kişi ile sunucu arasında ki verileri herhangi bir şifreleme kullanmadan direk veriyi taşımaya yarar. Sitelerin başında http:// görürseniz SSL sertifikası olmadığını yani güvenli olmadığını anlayabilirsiniz.

TLS Nedir?

Açılım olarak Transport Layer Security'dir. Bu da SSL gibi verileri şifreler ve gizler. SSL protokolünden daha gelişmiş ve daha güvenli bir protokoldür. Kimlik doğrulama özelliğine sahiptir.

SSL (şifreli trafikte) Araya Girme ve Veri Okuma

SSL protokolünün şifreli olduğunu söylemiştik. Okunması zordur ve biraz zahmetlidir fakat örnek altında inceleyeceğiz. Ben internetten bir tane ağ trafiği kaydı buldum ve bunu kullanarak yapacağım. Sizde kendi ağ trafiğinizin haritasını çıkararak yapabilirsiniz.

Öncelikle bulmuş olduğunuz paket dosyasını wireshark'da açınız.
Daha sonra Edit > Preferences > Protocols > SSL diyoruz
New diyoruz.
Sol altta bulunan " + " işaretine tıklayınız.
Benim gibi doldurunuz Password kısmına indirmiş olduğunuz paketin şifre kısmını ekleyiniz.
Sonra Okey diye diye çıkınız.
File > Export Objects > HTTP diyelim.
Dosyayı kaydedelim ve çıkalım.
Dosyayı incelediğinizde giriş yapılan yerler ve dönüt mesajları göreceksiniz.

P4RS · 1 Ağu 2019

Tünelleme Nedir ?

Tünelleme network alanında bir protokolün verisini başka bir protokol üzerinden taşınmasına denir.

DNS Tünelleme

DNS paketinde tcp/udp protokolleri içerisinde shh, http gibi protokolleri taşıma işlemine denir. DNS protokollerinde bunu yaparak bilgiyi gizleyebilirsiniz. Tünelleme işlemi yapan araçlar genel itibari ile karşı sunucuda bir sanal tünel portu açarlar. İstekleri bu port üzerinden gönderirseniz istekler kodlanır ve karşıya ulaşır.

ICMP Tünelleme

Ping attığımızda ICMP protokolü devreye girer. İki taraf arasında ki isteği gizli bir şekilde ulaştırmaya yarayan bir tünellemedir. Özel verilerinizi bu tünele enjekte edebilir ve gizlice karşıya gönderebilirsiniz. Karşı taraf bizi anlayamaz mı peki? Karşı taraf gelen isteğe ve IP'ye odaklanacağı için sizin verileriniz görmez ve içeriye girmiş olursunuz.

ICMP Tünelleme ile Karşı Tarafa Bilgi Aktarma

Öncelikle bunun için hping3 aracına ihtiyacımız vardır. Bu araç ile firewall, Anti-DDOS testleri, IP Spoofing yapmaktadır. Öncelikle

Kod:

sudo hping3 -c 1 -n karşı_tarafın_ip_adresi -e "Mesaj" -1

yazıyoruz.

Gördüğünüz gibi istek attı. Şimdi gelin wireshark uygulamamızda bakalım. Wireshark'ı açtım ve ağı dinlemeye başladık. ICMP Protokolünü gördünüz ve üstüne tıkladınız. Alt tarafa bakarsanız orada "Mesaj" olarak yazdığınız yazı çıkacaktır.

Arkadaşlarınız ile böyle sohbet edebilirsini :trl

SSH Tünelleme Nedir?

SSH Tünelleme, şifreli olan ssh bağlantısını her iki taraftan da güvenli bir şekilde taşımak için oluşturulmuş bir tekniktir. SSH Tünellemenin 3 seçeneği vardır.

Local Port Forwarding

En çok bilinen ve en çok kullanılan bir yöntemdir. Bu yöntem ile kısıtlanan ağları aşabilirsiniz. Şirket olabilir, sunucu olabilir artık gündelik hayatınızda hangisi ile muzdaripseniz.
Veya firewall'da takılı kaldıysak bunu kullanarak porttan karşı bilgisayar/sunucu ile bağlantı kurabiliriz.
Başka bir kullanım alanı olarakta bir uzak sunucunun IP adresini saklamakta kullanılır.

Remote Port Forwarding

Bunda ise Local Port Forwarding'de ki olayın tersi olmaktadır. Local Port Forwarding'de bilgisayardan sunucuya işlem yapıyorduk fakat Remote'de sunucudan bilgisayara işlem yapıyoruz.
Diyelim ki bir web uygulaması geliştirdik, Public IP'si olan bir sunucu ile bunu herkese açabiliriz.

Dynamic Port Forwarding

Dynamic Port Forwarding sayesinde SSH sunucusu ile SOCKS Proxy sunucusuna dönüştürebiliriz. Bununla beraber internette Proxy ile bağlanabiliriz.

Ağ Güvenliği

Firewall Nedir?

Bilgisayar sistemleri için üretilen bir koruma duvarıdır. Ağ üzerine ki bütün verileri analiz ederek zararlı uygulamaları durdurarak, zararsız uygulalamarın geçmesine izin veren bir, gerektiğinde log tutan, bizlere bilgi veren bir uygulamadır.
Değişik ağları kontrol etmede kullanılan Firewall'lar kendilerine ait bir donanım sayesinde çalışmaktadırlar.
Özel donanımı olupta iş yapan firewall'lar olduğu gibi Host-based firewall'lar da vardır. Bunlar bizlerin bilgisayarında dahili olarak bulunan firewall'lardır.
Firewall'lar protokollere göre de filtrelenebilir.
Paket düzeyinde analiz yapan firewall'lar olduğu gibi uygulama üzerinden analiz yapan firewall'lar da vardır ve bunlara Application Firewall denir. Bu Application Firewall sayesinde açık olan porttan sızma işlemlerine karşı önlem almaktadır.
Bir de çoğumuzun duymuş olduğu Web Application Firewall yani WAF vardır. Bunun görevi ise web uygulamaları/web sitelerinin korunması için kullanılır. Siteye gelen istekleri/cevapları inceleyerek sql vb. saldırıları engeller. WAF engelini nasıl aşarız derseniz; WAF Atlatma Teknikleri // [R4V3N-VITALLION] buraya bakabilirsiniz.

IPS Nedir?

Açılım olarak Intrusion Prevention System'dir. Ağ da zararlı olabilecek eylemleri ve uzantıları tespit edip gerekli korumayı sağlayan güvenlik sitemidir. IPS ile saldırıları öğrenip kendisi buna karşı önlemler almaya çalışmaktadır. Örnek olarak DDOS saldırılarında iş görmektedir.
Güçlü bir DDOS saldırısında Firewall hasar gördüğünde kendini tekrar açmaya programlı değildir. Bu yüzden IPS ve IDS kullanılmaktadır. (IDS'ı da aşağıda anlattım.)

IDS Nedir?

Açılım olarak Intrusion Detection System'dir. Ağ da zararlı olabilecek eylemleri ve uzantıları tespit edip buları loglama görevindedir.
Bir ağda IDS ve IPS güvenlik sistemi var diyelim ve size bir DDOS saldırısı yapıldı. Saldırı yapılmaya başlandığından itibaren IDS saldırı yaıldığını anlarsınız, IPS ile de saldırı yapan kişinin ağa tekrar saldırı yapmasını engelleyebilirsiniz.

IDS ve IPS Nasıl Çalışır?

IDS ağda olağandışı eylemleri tespit etmeye çalışır, paketleri inceler, protokollere göre sınıflandırır, trafiği devam ettirir. Kendi içinde kural listesi bulunmaktadır ve gelen paketleri de buna göre sınıflandırır fakat diyelim ki bu kural listesinin dışında bir paket geldi o zaman ne olacak? O zaman da alarma geçerek sizleri bilgilendirecektir.

IPS, web üzerinde trafiği aksatmadan gelen iletileri ve cevapları incelemeye çalışır, zararlı paket var mı yok mu diye analiz eder. Amaçları koruma olsa da sistemi yavaşlatmamakta bir diğer önemli amaçlarıdır.

Log Sistemleri

Öncelikle Log nedir bundan bahsedelim,

Log Nedir?

Türkçe olarak kayıt anlamına gelmektedir. Cihazınızda yapılan her işlemin kayıt altına alınmasıdır. Yani siz a sitesine girdiniz bunu çerezler kaydeder. Bilgisayarda Admin şifresini değiştirdiniz kayıt günlüğü bunu kaydeder. Genelde amaç olarak hata bulunması, hatanın düzeltilmesi için kullanılır.

Loglama Nedir?

Network üzerinden gittiğimiz için akla direk siber saldırılar gelmektedir. Siber saldırılarla ilgili logların tutularak siber güvenlik uzmanları tarafından bu logların incelenip saldıran kişi ve kişiler hakkında bilgi toplanması sağlanmaktadır. Sadece saldıran kişiler bulunmaz, nereden saldırmış, hangi açıktan yararlanmış gibi bilgiler de elde edilebilir.

Saldırılar Ve Önlemleri

ARP Spoofing Saldırısı Nedir ve Önlem Alma

ARP Spoofing, diğer adıyla ARP Zehirlemesi saldırısı ile saldırgan kişi IP ve MAC adreslerinin eşleşmesine karışarak sunucu ile cihaz arasına girer ve buradan cihazın gönderdiği isteğe erişir. Erişmesi sonucu da (Mesela siz SSL desteği olmayan bir sitede giriş işlemi yaparsanız saldırganın bilgisayarına bilgileriniz düşecektir.) bilgilerinize erişilebilir.

Önlemleri

Network firmaları tarafından satılan cihazlar da ARP Security ya da Dynamic ARP Inspection özelliklerini faal hale getiriniz.
Saldırganlar spoofing saldırısı ile paketleri inceliyorlar bu yüzden paketler şifreli bir şekilde iletilip alınmalıdır.
IDS ve IPS araçlarını kullanabiliriz. IDS ile paketleri analiz edebiliriz.

IP Spoofing Saldırısı Nedir ve Önlem Alma

Belirlenen IP üzerinden TCP/IP paketlerini gönderilmesi ile oluşan saldırıdır. Sahte bir IP ile gönderilmektedir ve karşı taraf bunu anlayamaz. Genelde bu işlemler başkasının mailine mesaj gönderme, bir siteye mesaj yollama ile akla gelir.
IP Spoofing işlemi için en çok tercih edilen uygulama hping'dir.

Önlem Alma

Syn Proxy gibi yöntemlerle bu işlem engellenebilir.
uRPF ile ( IP Spoofing saldırıları için geliştirilmiştir, source IP'nin değişmesini engeller, bütün network'ü analiz eder ve spoofing saldırısı yapan kişi ile bağlantıızı keser.) Spoofing saldırıları önlenebilir.

P4RS · 1 Ağu 2019

Örnek Dosya İncelemesi

Hadi hep beraber CTF çözelim

) Ben Hack the box sitesinden CTF çözüyorum içerisinde kolay-orta-zor CTF'ler bulunmaktadır öneririm.

Öncelikle siteye girelim ve bir tane CTF bulalım kendi dişimizin kavuğuna göre, ben bir tane buldum

) Burada ki dosyayı indirin ve masaüstüne atın.

Wireshark ile dosyayı açalım ( File > Open > Dosya ismi olarak açılacaktır.).

Ben biraz bakındım ve TCP akışında 1056 sızıntı olduğunu görebilirsiniz. Bunu filtrelemek için

Kod:

tcp.steam eq 1056

yazalım.

NO 2799'da bilgilerin olduğunu göreceksinizdir.

Sağ tık yapıp Follow > TCP Stream diyelim.

Gördüğünüz gibi TCP akışına bakabiliriz artık.

Şimdi biraz araştırma sonucu (aşağıya doğru inmekten bahsediyorum :trl ) flag'i bulduk. Bulduk bulmasına ama değişik bir kod değil mi

Bunu CyberChef buradan çözebilirsiniz.

Siteye gelelim ve Input alanına aldığımız kodu yazalım ve Output alanında ki çubuğa basalım.

Daha sonra sol da gösterdiğim alanda ki engel işaretine tıklayalım ve CTF'yi çözdük

Siteye gidelim ve cevabımızı yazalım.

Gördüğünüz gibi başarılı bir şekilde çözdük

Konum bu kadardı arkadaşlar başka bir makale de görüşmek üzere sağlıcakla kalın...

P4RS · 2 Ağu 2019

+++++++++++++

Rapture · 2 Ağu 2019

Icmp tunelleme ile mesajlasabilir miyiz?

P4RS · 2 Ağu 2019

Hé-ll' Alıntı:
Icmp tunelleme ile mesajlasabilir miyiz?

Maalesef yapamazsınız

Denendi ve başarısız olundu geri dönüt vermiyor hedef sistem. (Sunucular veriyor)

CassPort · 3 Ağu 2019

Ctf için hangi siteleri önerirsiniz ?

CiHaN-i TuRaN · 3 Ağu 2019

Bu konuları ben biliyorum
Ama aklımda 5G alt yapısı nasıl kullanacağız
örneğin
127.0.0.1 bilinmeyen IP olarak biliniyor Artık biliniyor
kullanarak nasıl elde ederiz

P4RS · 4 Ağu 2019

CassPort' Alıntı:
Ctf için hangi siteleri önerirsiniz ?

HackThisSite, https://ctftime.org, https://lab.pentestit.ru/ bunlara da bakabilirsiniz.

'Börteçine · 13 Şub 2022

Güncel..

DeathViper · 13 Şub 2022

Elinize sağlık hocam

Network Forensics //"P4RS

P4RS

Özel Üye

P4RS

Özel Üye

P4RS

Özel Üye

P4RS

Özel Üye

P4RS

Özel Üye

Rapture

Kıdemli Üye

P4RS

Özel Üye

CassPort

Uzman üye

CiHaN-i TuRaN

Kıdemli Üye

P4RS

Özel Üye

'Börteçine

Yaşayan Forum Efsanesi

DeathViper

Katılımcı Üye

Sosyal medya sayfalarımız