İPUCU

Adli Bilişim Adli bilişim, veri kurtarma, forensic vb... adi bilişimin konusu olan birçok bilgiye buradan ulaşabilirsiniz.

Seçenekler

Network Forensics //"P4RS

"P4RS - ait Kullanıcı Resmi (Avatar)
Green Team (Deneyimli)
Üyelik tarihi:
01/2017
Nereden:
Balkes
Yaş:
18
Mesajlar:
3.404
Konular:
270
Teşekkür (Etti):
456
Teşekkür (Aldı):
1000
Ticaret:
(0) %
27-07-2019 17:00
#1
Network Forensics //"P4RS
Merhabalar TürkHackTeam ailesi, bugün sizlere Network Forensics konusunu detaylı olarak anlatacağım. Bu konu sayesinde Ağ Adli Tıpı hakkında temel de olsa bilgi sahibi olabileceksiniz İyi okumalar...

Konu Başlıkları
• Network Forensics Nedir ?
• Ağ Trafiği Analizinde Donanımsal Araçlar
• Protokol Analizi
• Şifreli Trafik Analizi
• Tünelleme Nedir ?
• Ağ Güvenliği
• Saldırılar Ve Önlemleri
• Örnek Dosya İncelemesi



Network Forensics Nedir ?

Network Forensics, ağ adli tıpıdır. Bir adli tıp dalıdır. Güvenlik saldırıları veyahut sorunlarla ilgili ağ verilerinin tespit edilip, kaydedilip analizi yapılmasıdır. Uzmanlar veya polis/asker vb. kurumlar, bir suç işlenirse bu tür analizlere başvurabilirler.

Mesela bir bilgisayar saldırganın bir bilgisayara girdi ve iz bırakmadan ayrıldı. İz bıraktığı alanlar RAM ve Network'tür. Ağ adli tıpı ile ilgilenen uzmanlar/kişiler bunlara bakarak saldırgan hakkında bilgi alabilirler. Peki bu işlemler hangi aşamalarda oluyor?

Genellikle sizin ağınızdan ilk önce gelen paketleri yakalıyorlar, analiz ediyorlar, delil olarak kullanılabilecek verileri mahkemeye sunuyorlar.

Ağ Adli Tıpı çok fazla yöntemlidir. Örnek yöntem olarak bütün ağ paketleri incelenebilir veya hedef paketleri inceler.

Genel olarak iki bölümden oluştuğu savunulmaktadır. Bunlar; "Catch-it-as-you-can" (Mümkün olduğu kadarını yakala), "Stop, look and listen" (Dur, bak ve dinle) bölmüleridir.


"Catch-it-as-you-can" (Mümkün olduğu kadarını yakala)

Bu bölüm de belirli bir noktadan geçen paketlerin incelenip yakalanıp, analiz edilip bir depoya depolanmasıdır. Büyük bir depolama alanına ihtiyaç duyulur.


"Stop, look and listen" (Dur, bak ve dinle)

Her paketin analiz edilip gerekli verilerin depo edilmesidir. Bu yöntem de depolama alanına çok fazla ihtiyaç duyulmamaktadır fakat her paket incelendiği için iyi bir işlemci gerekmektedir.

Tabi bu iki yönteminde kullanımını mahkeme kararı ile izlenmelidir aksi taktirde yasaktır.

Peki tanımsal olarak ne olduğunu az çok öğrendik. Peki hangi araçlarla bu ağ trafiğini inceleyebiliriz derseniz;

Bilgisayar da Kullanmak için

• Wireshark
• NetworkMiner
• Tcpdump
• Tshark
• NetWitness
• Glasswire
• Microsoft Network Monitor
• Iptraf
• Xplico




Android de Kullanmak için

• cSploit
• Zanti


Peki bunlar ne işe yarar?

Network Forensics yazılımlarının genel amacı ağ üzerinde oluşan traifğin Forensics kurallarına göre incelenerek gerekli şekilde depo edilmesidir. Bir ağ analizi yaparsak hangi sorulara cevap bulabiliriz?

• Saldırganlar hangi verileri okuyor?
• Hangi sunuculara erişim sağlayabilirler?
• Hangi web sitelerine erişim sağladılar?
• Ağımızda ne tür değişiklkler ya da veri indirmesi yapıyorlar?
• Giriş izni olduğu veya olmadığı alanlara giriş yapabiliyorlar mı?




Ağ Trafiği Analizinde Donanımsal Araçlar

HUB Nedir?

Birden fazla bilgisayarı tek bir ağa bağlamaya yarayan ağ cihazıdır. HUB, Ethernet, USB veya Firewire bağlantılarına sahip olabilir.
OSI katmanlarında 1. katman olarak sınıflandırılmaktadır. Veri iletimi olarak elektiriksel veya bit'dir. LAN bağlantısı yapmaktadır. Hız olarak 10 Mbps'dir.


Switch Nedir?

Switch, anlamsal olarak anahtar kelimesine tekabül etmektedir. Ağ olaylarında ise ağ anahtarı olarak geçmektedir. Gelen veri paketlerini alır ve onları LAN (yerel ağ bağlantısı) üzerinden bağlı olan bilgisayarlara veri gönderimini sağlayan cihazdır. Yüksek hızda veri gönderimi olmaktadır.
OSI katmanlarında 2. katman olarak sınıflandırılmaktadır.


Bridge Nedir?

Bridge, tanımsal olarak Ağ köprüsü anlamına gelmektedir. Aynı protokol de çalışmakta olan cihazları birbirine bağlamaya yaramaktadır. Diyelim ki farklı iki tane LAN bağlantılı cihazlarınız var. Bunları birbirine bağlamak için Bridge (köprü)'yi kullanmalısınız.


Router Nedir?

Router, yönlendiricidir. Birden fazla bilgisayarı ağını kablolu veyahut kablosuz bağlantı ile bir araya getiren cihazlardır. İnternet bağlantınızı cihazların kullanımı için aktarmaktadır. Klavye veya mouse gerektirmeyen özel küçük bilgisayarlardır.


TAP Sistemleri Nedir?

İki ağ üzerinden trafiği izlememize yarayan donanımsal bir araçtır. Arada ki trafiği engellemeden veya aksatmadan kullanılmak üzere tasarlanmıştır.



---------------------
SolidStar

Twitter Telegram

"Aydın beyinleri bekliyor karanlık gelecek"
Konu "P4RS tarafından (01-08-2019 18:08 Saat 18:08 ) değiştirilmiştir.
"P4RS - ait Kullanıcı Resmi (Avatar)
Green Team (Deneyimli)
Üyelik tarihi:
01/2017
Nereden:
Balkes
Yaş:
18
Mesajlar:
3.404
Konular:
270
Teşekkür (Etti):
456
Teşekkür (Aldı):
1000
Ticaret:
(0) %
29-07-2019 16:00
#2
Protokol Analizi

Paket nedir?

İnternetten aldığımız ya da gönderdiğimiz bütün veriler paket halindedir. Verileri ufak paketlere geçiren ağlara "paket anahtarlamalı ağlar" (Packet Switched Networks) denir. Biz bir web siteye girdiğimizde bizlere paket halinde veriler gelir. Pakette ki bilgiler
Kod:
Göndericinin IP'si
Alıcının IP'si 
Paket kaç bölümden oluşuyor.
İnternette ki paketler TCP/IP ile taşınır. Ortalama olarak 1.000-1.500 bayt olarak boyutlandırılır her paket. Diyelim ki paketlerden birinde sorun oluştu ve gidemedi. Diğer paketler gider ve gönderilemeyen paket tekrar gönderilir.
Paketler 3 bölümden oluşmaktadır;



Başlık(Header)

⦁ Protokol, ne tür paket taşıdığını tanımlar (Web sayfası, video, e posta)
⦁ Hedef Adres, paketin gittiği kişi/sunucu
⦁ Kaynak Adres, paketin geldiği kişi/sunucu
⦁ Paket Numarası, paket serisidir.
⦁ Paket Uzunluğu, bazı sunucularda güvenlik amacı ile durağan paket uzunluğu tercih edilir.



Yük(Payload)

Paketin gövdesi olarak geçmektedir. Paketin hedefe ulaştığı gerçek veriler buradadır.


Kuyruk(Trailer)

Alıcıya son verilerin ulaşırak son birkaç verinin karşıya ulaştığını belirten bilgidir. Hata kontrolü yapmak özelliğine sahiptir. Hata kontrollerinden en meşhuru çevrimsel fazlalık sınaması (CRC,cyclic redundancy check)'dır. İşlenen verinin yanında bir de kontrol verisi bulunur. Bu kontrol verisi bütün veriyi bir hata olup olmadığını tarar.




Protokol nedir ?

Bir network üzerinde bulunan cihazları birbirine bağlanması için iletişimi yöneten kurallar bütününe denir. Her cihaz için farklı bir kural olsaydı o zaman hiçbir cihaz birbiri ile iletişim kuramazdı. Bunun olmaması adına tek bir kural üzerinde birleştirildi.


TCP/IP Modeli

Birçoğumuz OSI modelini duymuşuzdur. Fakat TCP/IP modeli de bulunmaktadır. Bu model internetin temelini oluşturmaktadır. İnternette kablolu ve kablosuz bağlantı ile işlem yapılması adına kurulan bir modeldir.
TCP/IP Modeli 4'e ayrılır;



Uygulama Katmanı

Bu katmanda DNS, FTP, POP, IMAP, SMTP, BOOTP, FTTP, HTTP, DHCP, TFTP protokolleri bulunmaktadır. OSI Modelinin 5-7 katmanına denktir. OSI modelinde ki Uygulama, Sunum ve Oturum katmanlarıdır.


Taşıma Katmanı

Adından da anlaşılacağı gibi görevi taşımaktır. TCP ve UDP protokolleri vardır. Bunları birazdan anlatacağım.


İnternet Katmanı

Verinin karşı tarafa ulaşması için en hızlı ve güvenli yolun bulunmasında görevlidir. IP, NAT, ICMP, OSPF , EIGRP protokolleri bulunmaktadır.


Ağ Erişim Katmanı

Bu katmanda fiziksel olan cihazlar bulunmaktadır. Bağlantı düzeneği bulumaktadır. ARP, PPP, Ethernet, Interface Drivers bulunmaktadır.




OSI Modeli Nedir?

OSI Modeli, 2 bilgisayar arasında ki iletişimi belirler. OSI ile ortak bir ağ ile iletişim kurulmaya başlanmıştır.

OSI Modeli 7 katmana sahiptir.








Protokoller ve Tanımları

HTTP Protokolü

Bir web tarayıcısından sisteme (sunucuya) gönderilen istek http protokolü sayesinde gerçekleşir. Sistem gelen isteği http protokolüne göre cevap verir. Yani bizim siteye girmemizi sağlar.


SMTP Protokolü

İnternet üzerinden mektuplaşmayı sağlayan protokoldür. 25. Port üzerinden çalışmaktadır.


ARP Protokolü

ARP, yerel bir ağda ki bir cihazın ip adresini ve MAC adresini bulmaya yarayan protokoldür.


TCP Protokolü

Cihazlar arasında ki veri verme/alma görevini üstlenen, bir yerden bir yere veri akışını sağlayan pek çok veri haberleşme protokolüne verilen genel isimdir.


UDP Protokolü

IP üzerinden veri yollamaya yarayan protokoldür. Verilerin ulaşacağının garantisi yoktur.


VoIP Protokolü

İnternet aracılığıyla sesli görüşmemize yardımcı olan protokoldür.


H323 Protokolü

İnternet aracılığıyla sesli ve görüntülü iletişim kurmamıza yardımcı olan bir seri protokoldür. Eski bir protokoldür.


SIP Protokolü

SIP protokolü, konuşmayı başlatmak için gerekli olan ortamı hazırlayan protokoldür. H323'den daha güvenilir ve yaygın olarak kullanılır.


IMAP Protokolü

IMAP sayesinde eş zamanlı olarak farklı cihazlardan aynı e posta açılabilir.


POP Protokolü

POP, mail sunucularından mail almamız için kullanılan bir protokoldür.





IPv4 Nedir?



⦁ İkili sayılı sisteminden meydana gelmektedir.
⦁ 32 Bittir.
⦁ IPv4 de IP adresi 4 tane noktadan yani oktet ile ayrılır.
⦁ IPv4 de A, B, C, D, E olmak üzere 5 sınıf vardır.
⦁ Bu oktetler 0-255 değerleri arasında değerler almaktadır.
⦁ A Okteti, 0-126 arasında değer alır
⦁ B Okteti, 128-191 arasında değer almaktadır.
⦁ C Okteti, 192-223 arasında değer alır.
⦁ D Okteti, Multicast adresleme de kullanılmaktadır.


IPv4 Yayınları

Unicast: Veri iletiminin bir noktadan bir noktaya gitmesini sağlar.
Multicast: Veri iletiminin birden fazla noktaya gitmesini sağlar.
Anycast: Veri iletimini alt ağlarda ki ara birimlerin hepsine gönderir.


IPv6 Nedir?



⦁ IPv4’ün gelişmiş versiyonudur.
⦁ IPv6’ 128 bittir.
⦁ IPv6, IPv4’a göre içerisinde daha fazla IP barındırmaktadır. Bu yüzden gelişen dünya da daha fazla IP ihtiyacı olacağından IPv6’i kullanmak daha akıllıca olacaktır.
⦁ IPv6, IPv4’a göre daha hızlıdır.

IPv4 ve IPv6 olmadan internete bağlanamayız. Bu protokoller sayesinde internete bağlanacağımız zaman bizlere IP atarlar.



WireShark ile Protokol Analizi

Öncelikle Linux makineme geçtim ve WireShark'ı açtım.



Daha sonra sanal makinemde bulunan Windows XP sistemime geçtim ve sitelere girmeye başladım.



Ben sitelere girdikçe WireShark'a paketler düşmeye başladı




ARP Protokolü Analizi

Filtreleme yerine arp yazarsanız arp protokolü filtrelenecek ve onunla ilgili bilgiler elmize ulaşacaktır. Buradan da gördüğünüzü gibi altta da bilgiler yazmaktadır.




DNS ve UDP Protokolü Analizi

Resimde anlatımını yaptım. UDP protokolü DNS protokolü altında çalışmaktadır yani DNS protokolüne baktığımızda UDP protokolünü de bulabiliriz ve bilgi alabiliriz.





Bu resimde de gördüğünüz gibi bu response olarak gelende cevaptır.




HTTP Protokolü Analizi

Filtreleme yerin http yazdığımızda HTTP protokolünün verileri çıkacaktır. Mavi olarak görünen yerde HTTP protokolü ile ilgili bilgiler mevcuttur.



Daha ayrıntılı bilgi almak için sağ tıklayıp > follow > TCP Stream yapalım.



Kırmızı renkli olan bizlerin sunucuya attığı istek, mavi de ise sunucudan bizlere gelen cevaptır.




TCP Protokolü Analizi

Filtreleme alanına tcp yazarsanız TCP protkolünün verileri çıkacaktır. Bunda iki tane gidiş geliş oluyor. İlkinde giden paket ikincisinde gelen paket fotoğrafta da gösterdim.



ACK olan da gelen pakettir.




Şifreli Trafik Analizi

SSL (HTTPS) Nedir?

Açılım olarak Secure Hypertext Transfer Protocol'dür. Yani kişi ile sunucu arasında ki verilerin şifrelenip karşıya ulaşıp cevabın gelmesine yaramaktadır. SSL Sertifikasını duymuşsunuzdur. Bu sertifika olduğunda sitede ki veriler şifreli bir şekilde sunucuya ve kişiye gider.
Online alışveriş sitelerinde, e-ticaret sitelerinde bu sertifikanın olmasına özen gösteriniz aksi taktirde ağınıza sızan bir kişi sizin şifrenizi ve kullanıcı adınızı çalar. (MITM saldırısıdır.) Peki SSL Sertifikası olup olmadığını nasıl anlarız? Sitenin başında https:// var ise bu site SSL Sertifikalı bir sitedir. http:// sitelerinden daha güvenlilerdir.


HTTP Nedir?

Açılım olarak Hyper Text Transfer Protocol'dür. Yani kişi ile sunucu arasında ki verileri herhangi bir şifreleme kullanmadan direk veriyi taşımaya yarar. Sitelerin başında http:// görürseniz SSL sertifikası olmadığını yani güvenli olmadığını anlayabilirsiniz.


TLS Nedir?

Açılım olarak Transport Layer Security'dir. Bu da SSL gibi verileri şifreler ve gizler. SSL protokolünden daha gelişmiş ve daha güvenli bir protokoldür. Kimlik doğrulama özelliğine sahiptir.


SSL (şifreli trafikte) Araya Girme ve Veri Okuma

SSL protokolünün şifreli olduğunu söylemiştik. Okunması zordur ve biraz zahmetlidir fakat örnek altında inceleyeceğiz. Ben internetten bir tane ağ trafiği kaydı buldum ve bunu kullanarak yapacağım. Sizde kendi ağ trafiğinizin haritasını çıkararak yapabilirsiniz.

Öncelikle bulmuş olduğunuz paket dosyasını wireshark'da açınız.



Daha sonra Edit > Preferences > Protocols > SSL diyoruz



New diyoruz.



Sol altta bulunan " + " işaretine tıklayınız.



Benim gibi doldurunuz Password kısmına indirmiş olduğunuz paketin şifre kısmını ekleyiniz.



Sonra Okey diye diye çıkınız.



File > Export Objects > HTTP diyelim.



Dosyayı kaydedelim ve çıkalım.



Dosyayı incelediğinizde giriş yapılan yerler ve dönüt mesajları göreceksiniz.




---------------------
SolidStar

Twitter Telegram

"Aydın beyinleri bekliyor karanlık gelecek"
Konu "P4RS tarafından (31-07-2019 19:45 Saat 19:45 ) değiştirilmiştir.
"P4RS - ait Kullanıcı Resmi (Avatar)
Green Team (Deneyimli)
Üyelik tarihi:
01/2017
Nereden:
Balkes
Yaş:
18
Mesajlar:
3.404
Konular:
270
Teşekkür (Etti):
456
Teşekkür (Aldı):
1000
Ticaret:
(0) %
01-08-2019 14:45
#3
Tünelleme Nedir ?

Tünelleme network alanında bir protokolün verisini başka bir protokol üzerinden taşınmasına denir.


DNS Tünelleme

DNS paketinde tcp/udp protokolleri içerisinde shh, http gibi protokolleri taşıma işlemine denir. DNS protokollerinde bunu yaparak bilgiyi gizleyebilirsiniz. Tünelleme işlemi yapan araçlar genel itibari ile karşı sunucuda bir sanal tünel portu açarlar. İstekleri bu port üzerinden gönderirseniz istekler kodlanır ve karşıya ulaşır.


ICMP Tünelleme

Ping attığımızda ICMP protokolü devreye girer. İki taraf arasında ki isteği gizli bir şekilde ulaştırmaya yarayan bir tünellemedir. Özel verilerinizi bu tünele enjekte edebilir ve gizlice karşıya gönderebilirsiniz. Karşı taraf bizi anlayamaz mı peki? Karşı taraf gelen isteğe ve IP'ye odaklanacağı için sizin verileriniz görmez ve içeriye girmiş olursunuz.


ICMP Tünelleme ile Karşı Tarafa Bilgi Aktarma

Öncelikle bunun için hping3 aracına ihtiyacımız vardır. Bu araç ile firewall, Anti-DDOS testleri, IP Spoofing yapmaktadır. Öncelikle
Kod:
sudo hping3 -c 1 -n karşı_tarafın_ip_adresi -e "Mesaj" -1
yazıyoruz.



Gördüğünüz gibi istek attı. Şimdi gelin wireshark uygulamamızda bakalım. Wireshark'ı açtım ve ağı dinlemeye başladık. ICMP Protokolünü gördünüz ve üstüne tıkladınız. Alt tarafa bakarsanız orada "Mesaj" olarak yazdığınız yazı çıkacaktır.



Arkadaşlarınız ile böyle sohbet edebilirsini


SSH Tünelleme Nedir?

SSH Tünelleme, şifreli olan ssh bağlantısını her iki taraftan da güvenli bir şekilde taşımak için oluşturulmuş bir tekniktir. SSH Tünellemenin 3 seçeneği vardır.


Local Port Forwarding

En çok bilinen ve en çok kullanılan bir yöntemdir. Bu yöntem ile kısıtlanan ağları aşabilirsiniz. Şirket olabilir, sunucu olabilir artık gündelik hayatınızda hangisi ile muzdaripseniz.
Veya firewall'da takılı kaldıysak bunu kullanarak porttan karşı bilgisayar/sunucu ile bağlantı kurabiliriz.
Başka bir kullanım alanı olarakta bir uzak sunucunun IP adresini saklamakta kullanılır.


Remote Port Forwarding

Bunda ise Local Port Forwarding'de ki olayın tersi olmaktadır. Local Port Forwarding'de bilgisayardan sunucuya işlem yapıyorduk fakat Remote'de sunucudan bilgisayara işlem yapıyoruz.
Diyelim ki bir web uygulaması geliştirdik, Public IP'si olan bir sunucu ile bunu herkese açabiliriz.


Dynamic Port Forwarding

Dynamic Port Forwarding sayesinde SSH sunucusu ile SOCKS Proxy sunucusuna dönüştürebiliriz. Bununla beraber internette Proxy ile bağlanabiliriz.


Ağ Güvenliği


Firewall Nedir?



Bilgisayar sistemleri için üretilen bir koruma duvarıdır. Ağ üzerine ki bütün verileri analiz ederek zararlı uygulamaları durdurarak, zararsız uygulalamarın geçmesine izin veren bir, gerektiğinde log tutan, bizlere bilgi veren bir uygulamadır.
Değişik ağları kontrol etmede kullanılan Firewall'lar kendilerine ait bir donanım sayesinde çalışmaktadırlar.
Özel donanımı olupta iş yapan firewall'lar olduğu gibi Host-based firewall'lar da vardır. Bunlar bizlerin bilgisayarında dahili olarak bulunan firewall'lardır.
Firewall'lar protokollere göre de filtrelenebilir.
Paket düzeyinde analiz yapan firewall'lar olduğu gibi uygulama üzerinden analiz yapan firewall'lar da vardır ve bunlara Application Firewall denir. Bu Application Firewall sayesinde açık olan porttan sızma işlemlerine karşı önlem almaktadır.
Bir de çoğumuzun duymuş olduğu Web Application Firewall yani WAF vardır. Bunun görevi ise web uygulamaları/web sitelerinin korunması için kullanılır. Siteye gelen istekleri/cevapları inceleyerek sql vb. saldırıları engeller. WAF engelini nasıl aşarız derseniz; WAF Atlatma Teknikleri // [R4V3N-VITALLION] buraya bakabilirsiniz.


IPS Nedir?



Açılım olarak Intrusion Prevention System'dir. Ağ da zararlı olabilecek eylemleri ve uzantıları tespit edip gerekli korumayı sağlayan güvenlik sitemidir. IPS ile saldırıları öğrenip kendisi buna karşı önlemler almaya çalışmaktadır. Örnek olarak DDOS saldırılarında iş görmektedir.
Güçlü bir DDOS saldırısında Firewall hasar gördüğünde kendini tekrar açmaya programlı değildir. Bu yüzden IPS ve IDS kullanılmaktadır. (IDS'ı da aşağıda anlattım.)


IDS Nedir?



Açılım olarak Intrusion Detection System'dir. Ağ da zararlı olabilecek eylemleri ve uzantıları tespit edip buları loglama görevindedir.
Bir ağda IDS ve IPS güvenlik sistemi var diyelim ve size bir DDOS saldırısı yapıldı. Saldırı yapılmaya başlandığından itibaren IDS saldırı yaıldığını anlarsınız, IPS ile de saldırı yapan kişinin ağa tekrar saldırı yapmasını engelleyebilirsiniz.


IDS ve IPS Nasıl Çalışır?

IDS ağda olağandışı eylemleri tespit etmeye çalışır, paketleri inceler, protokollere göre sınıflandırır, trafiği devam ettirir. Kendi içinde kural listesi bulunmaktadır ve gelen paketleri de buna göre sınıflandırır fakat diyelim ki bu kural listesinin dışında bir paket geldi o zaman ne olacak? O zaman da alarma geçerek sizleri bilgilendirecektir.

IPS, web üzerinde trafiği aksatmadan gelen iletileri ve cevapları incelemeye çalışır, zararlı paket var mı yok mu diye analiz eder. Amaçları koruma olsa da sistemi yavaşlatmamakta bir diğer önemli amaçlarıdır.


Log Sistemleri

Öncelikle Log nedir bundan bahsedelim,

Log Nedir?



Türkçe olarak kayıt anlamına gelmektedir. Cihazınızda yapılan her işlemin kayıt altına alınmasıdır. Yani siz a sitesine girdiniz bunu çerezler kaydeder. Bilgisayarda Admin şifresini değiştirdiniz kayıt günlüğü bunu kaydeder. Genelde amaç olarak hata bulunması, hatanın düzeltilmesi için kullanılır.

Loglama Nedir?

Network üzerinden gittiğimiz için akla direk siber saldırılar gelmektedir. Siber saldırılarla ilgili logların tutularak siber güvenlik uzmanları tarafından bu logların incelenip saldıran kişi ve kişiler hakkında bilgi toplanması sağlanmaktadır. Sadece saldıran kişiler bulunmaz, nereden saldırmış, hangi açıktan yararlanmış gibi bilgiler de elde edilebilir.


Saldırılar Ve Önlemleri

ARP Spoofing Saldırısı Nedir ve Önlem Alma



ARP Spoofing, diğer adıyla ARP Zehirlemesi saldırısı ile saldırgan kişi IP ve MAC adreslerinin eşleşmesine karışarak sunucu ile cihaz arasına girer ve buradan cihazın gönderdiği isteğe erişir. Erişmesi sonucu da (Mesela siz SSL desteği olmayan bir sitede giriş işlemi yaparsanız saldırganın bilgisayarına bilgileriniz düşecektir.) bilgilerinize erişilebilir.


Önlemleri

• Network firmaları tarafından satılan cihazlar da ARP Security ya da Dynamic ARP Inspection özelliklerini faal hale getiriniz.
• Saldırganlar spoofing saldırısı ile paketleri inceliyorlar bu yüzden paketler şifreli bir şekilde iletilip alınmalıdır.
• IDS ve IPS araçlarını kullanabiliriz. IDS ile paketleri analiz edebiliriz.



IP Spoofing Saldırısı Nedir ve Önlem Alma



Belirlenen IP üzerinden TCP/IP paketlerini gönderilmesi ile oluşan saldırıdır. Sahte bir IP ile gönderilmektedir ve karşı taraf bunu anlayamaz. Genelde bu işlemler başkasının mailine mesaj gönderme, bir siteye mesaj yollama ile akla gelir.
IP Spoofing işlemi için en çok tercih edilen uygulama hping'dir.


Önlem Alma

• Syn Proxy gibi yöntemlerle bu işlem engellenebilir.
• uRPF ile ( IP Spoofing saldırıları için geliştirilmiştir, source IP'nin değişmesini engeller, bütün network'ü analiz eder ve spoofing saldırısı yapan kişi ile bağlantıızı keser.) Spoofing saldırıları önlenebilir.








---------------------
SolidStar

Twitter Telegram

"Aydın beyinleri bekliyor karanlık gelecek"
Konu "P4RS tarafından (01-08-2019 18:06 Saat 18:06 ) değiştirilmiştir.
"P4RS - ait Kullanıcı Resmi (Avatar)
Green Team (Deneyimli)
Üyelik tarihi:
01/2017
Nereden:
Balkes
Yaş:
18
Mesajlar:
3.404
Konular:
270
Teşekkür (Etti):
456
Teşekkür (Aldı):
1000
Ticaret:
(0) %
01-08-2019 18:49
#4
Örnek Dosya İncelemesi

Hadi hep beraber CTF çözelim Ben Hack the box sitesinden CTF çözüyorum içerisinde kolay-orta-zor CTF'ler bulunmaktadır öneririm.

Öncelikle siteye girelim ve bir tane CTF bulalım kendi dişimizin kavuğuna göre, ben bir tane buldum Burada ki dosyayı indirin ve masaüstüne atın.



Wireshark ile dosyayı açalım ( File > Open > Dosya ismi olarak açılacaktır.).



Ben biraz bakındım ve TCP akışında 1056 sızıntı olduğunu görebilirsiniz. Bunu filtrelemek için
Kod:
tcp.steam eq 1056
yazalım.



NO 2799'da bilgilerin olduğunu göreceksinizdir.



Sağ tık yapıp Follow > TCP Stream diyelim.



Gördüğünüz gibi TCP akışına bakabiliriz artık.



Şimdi biraz araştırma sonucu (aşağıya doğru inmekten bahsediyorum ) flag'i bulduk. Bulduk bulmasına ama değişik bir kod değil mi Bunu https://gchq.github.io/CyberChef/ buradan çözebilirsiniz.



Siteye gelelim ve Input alanına aldığımız kodu yazalım ve Output alanında ki çubuğa basalım.



Daha sonra sol da gösterdiğim alanda ki engel işaretine tıklayalım ve CTF'yi çözdük



Siteye gidelim ve cevabımızı yazalım.





Gördüğünüz gibi başarılı bir şekilde çözdük


Konum bu kadardı arkadaşlar başka bir makale de görüşmek üzere sağlıcakla kalın...





---------------------
SolidStar

Twitter Telegram

"Aydın beyinleri bekliyor karanlık gelecek"
Konu "P4RS tarafından (01-08-2019 18:52 Saat 18:52 ) değiştirilmiştir.
"P4RS - ait Kullanıcı Resmi (Avatar)
Green Team (Deneyimli)
Üyelik tarihi:
01/2017
Nereden:
Balkes
Yaş:
18
Mesajlar:
3.404
Konular:
270
Teşekkür (Etti):
456
Teşekkür (Aldı):
1000
Ticaret:
(0) %
02-08-2019 11:06
#5
+++++++++++++
---------------------
SolidStar

Twitter Telegram

"Aydın beyinleri bekliyor karanlık gelecek"
Hé-ll - ait Kullanıcı Resmi (Avatar)
Moderatör
Üyelik tarihi:
09/2018
Nereden:
Darkness
Mesajlar:
2.220
Konular:
333
Teşekkür (Etti):
602
Teşekkür (Aldı):
290
Ticaret:
(0) %
02-08-2019 16:34
#6
Icmp tunelleme ile mesajlasabilir miyiz?
---------------------
PALA
Liserjik
"Ben bir Türk'üm, dinim cinsim uludur!..."
Stajyer Asistan Kulübü



"P4RS - ait Kullanıcı Resmi (Avatar)
Green Team (Deneyimli)
Üyelik tarihi:
01/2017
Nereden:
Balkes
Yaş:
18
Mesajlar:
3.404
Konular:
270
Teşekkür (Etti):
456
Teşekkür (Aldı):
1000
Ticaret:
(0) %
02-08-2019 18:33
#7
Alıntı:
Hé-ll´isimli üyeden Alıntı Mesajı göster
Icmp tunelleme ile mesajlasabilir miyiz?
Maalesef yapamazsınız Denendi ve başarısız olundu geri dönüt vermiyor hedef sistem. (Sunucular veriyor)
---------------------
SolidStar

Twitter Telegram

"Aydın beyinleri bekliyor karanlık gelecek"
Konu "P4RS tarafından (05-08-2019 22:16 Saat 22:16 ) değiştirilmiştir.
CassPort - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
12/2015
Nereden:
root@cass:~#
Mesajlar:
1.592
Konular:
186
Teşekkür (Etti):
358
Teşekkür (Aldı):
483
Ticaret:
(0) %
03-08-2019 12:38
#8
Ctf için hangi siteleri önerirsiniz ?
---------------------
Instagram: @trsoftware
| Cahille girme münakaşaya. Ya sinirini zıplatır tavana, ya da yazık olur adabına. |
TuranAlemdar - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
07/2017
Yaş:
27
Mesajlar:
1.124
Konular:
186
Teşekkür (Etti):
1418
Teşekkür (Aldı):
320
Ticaret:
(0) %
03-08-2019 14:28
#9
Bu konuları ben biliyorum
Ama aklımda 5G alt yapısı nasıl kullanacağız
örneğin
127.0.0.1 bilinmeyen IP olarak biliniyor Artık biliniyor
kullanarak nasıl elde ederiz
---------------------






]Dikkatli Geçirilen Vakit Nakittir...!
Kader Zamanı Takip Eder...! Zaman İşe Kaderi
Kaderin Çizdiği Yol Başarısız Olsa Bile Başarmaktadır...!
Mimar Sınan Gibi İş Yap Kanuni Sultan Süleyman Han Gibi Büyü





Konu TuranAlemdar tarafından (03-08-2019 15:29 Saat 15:29 ) değiştirilmiştir.
"P4RS - ait Kullanıcı Resmi (Avatar)
Green Team (Deneyimli)
Üyelik tarihi:
01/2017
Nereden:
Balkes
Yaş:
18
Mesajlar:
3.404
Konular:
270
Teşekkür (Etti):
456
Teşekkür (Aldı):
1000
Ticaret:
(0) %
04-08-2019 15:46
#10
Alıntı:
CassPort´isimli üyeden Alıntı Mesajı göster
Ctf için hangi siteleri önerirsiniz ?
HackThisSite, https://ctftime.org, https://lab.pentestit.ru/ bunlara da bakabilirsiniz.
---------------------
SolidStar

Twitter Telegram

"Aydın beyinleri bekliyor karanlık gelecek"

Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı