İPUCU

Donanım Bilgisayar Donanımı İle İlgili Yardımlaşma Bölümümüz ...

Seçenekler

guvenlik hakkinda tum bilgiler ve yontemler

karo1971 - ait Kullanıcı Resmi (Avatar)
Üye
Üyelik tarihi:
02/2010
Mesajlar:
229
Konular:
187
Teşekkür (Etti):
7
Teşekkür (Aldı):
167
Ticaret:
(0) %
25-02-2010 12:04
#1
Thumbs down
guvenlik hakkinda tum bilgiler ve yontemler
INTERNET PROTOKOLÜNÜN ZAYIF NOKTALARI

Internet' in Protokolünün en zayýf tarafý gelen ve giden bilginin kaynaðýnýn ve içeriðinin doðruluðunun kontrol edilmemesidir . Eðer isterseniz sanki baþka bir kaynaktan geliyormuþ gibi istediði her hangi bir adrese herhangi bir paket gönderebilir . Eðer yeterince teknik bilgiye sahipseniz sahte baðlantýlar bile kurabilirsiniz . Ayrýca bazý "Yanlýþ" paketler göndererek iþletim sistemlerini þaþýrtabilir, hatta kilitlenmeleri saðlanabilir. (Nuke).

NETWORK TOPOLOJÝSÝNÝN ZAYIF NOKTALARI

Eðer switch kullanýlmýyorsa sizin gönderdiðiniz bir bilgi aðdaki bütün makinelere uðrar. Sniff olarak adlandýrýlan bir iþlem sayesinde aðda oluþan yada gelen giden bütün paketlerin içeriklerini seyretmek mümkündür. Network' ünüzdeki yada ISS' lerdeki kötü niyetli kiþiler þifrelenmemiþ Internet iþlemlerinizi izleyebilirler bunlarýn arasýnda e-maillerinizi okumak, chatte konuþtuklarýnýzý görmek, hangi sayfalara baðlandýðýnýzý loglamak gibi istenmeyen durumlar meydana gelebilir.

Fakat bu tur iþlemleri yapabilmek için çok fazla þey bilmek yada að yöneticisi durumunda olmak gereklidir . Ayrýca Linux kullanarak lokal aðda her hangi bir hakka sahip olmadan bu iþlemleri yapmak mümkündür. Windows NT bu tur iþlemleri yapabilmek için özel sürücüler yüklenmesini gerektirir bunu da sadece sistem yöneticileri (administrator) yapabilir. Fakat ne yazýk ki çoðu iþyerinde Administration hakki bir çok kullanýcýda bulunabilmektedir.


Hacker:Hackerlar için bir çok taným mevcuttur. Kendilerini her türlü bilgiye ücretsiz eriþmek isteyen insanlar olarak tanýmlayabiliriz. Hackerlar bilgisayar hakkýnda çok bilgilidirler ve bu bilgiyi çoðu zaman bir þirketi zengin etmek için deðil de kendileri için kullanmayý tercih ederler. Sistemlerin zayýf noktalarýný bulmak ve onlarý açýða çýkartmak onlara büyük bir zevk verir.

Bir genelleme yapmak gerekirse 2 tip hacker vardir


Siyah Hackerlar (Malicious Hackers):Hacker olmanýn en önemli kurallarýndan biri olan karþý sisteme zarar vermeme kuralý onlar için pek bir þey ifade etmeyebilir. Açýðýný bulduklarý herhangi bir sistemin içeriðini silebilir yada web sayfalarýnýn içeriðini HACKED BY XXX yada OWNED türünden kelimelerle deðiþtirirler, belirli bir guruba üyelerdir . Çoðu zaman bu guruplar arasý savaþlar yüzünden bir çok sayfa yada hükümet sistemleri zarar görür . Bu kiþiler kredi kartý ile alýþveriþ yapýlan sistemleri hack ettikten sonra oradan alýþ veriþ yapmýþ olan kiþilerin kart numaralarýný kullanarak o kiþilere büyük ölçüde zarar verebilirler .


Beyaz Hackerlar:Sistemleri sadece bilgiye (daha sonralarý da rahatlýkla) eriþebilmek için hack ederler. Girdikleri sisteme zarar vermez ve sistem dosyalarýný modifiye etmezler (varlýklarýný gizlemek için bir iki log dosyasý silmek yada daha sonrada tekrar girebilmek için kendilerine account açmak haricinde). Aslýnda son derece tehlikeli iþler yapabilecekken sadece güvenliðinin zayýflýðýný ispatlamak amacýyla sayfalarda yada sistemlerde ufak notlar býrakýrlar. Diðer bir deyiþle sistemi kuran kiþilerle dalga geçerler. Genelde iþ güç sahibi insanlar olan beyaz hackerlar bir anlamda bedava güvenlik hizmeti verirler .


Sisteme Nasýl Zarar Verebilirler?

Eðer bir þirket Network ile herhangi bir aða baðlý ise kötü niyetli insanlar sisteminizdeki verilere eriþebilirler, verileri deðiþtirebilirler ve hatta silebilirler daha da açarsak þirketinizin müþteri kayýtlarýný alabilir, muhasebe kayýtlarýný deðiþtirebilir yada bozabilir veya sisteminizde kayýtlý bulunan tekliflerinizi okuyabilirler. Sistem kalýcý olarak iþlem dýþý býrakýlabilir. Internet baðlantýsýný bozabilirler, Trojanlarý sisteminize yerleþtirerek sanki makinenin baþýnda oturuyorlarmýþ gibi her ne isterlerse yapabilirler. Hatta hardware spesifik yazýlýmlar kullanarak makinenizdeki görüntü kartýný olduðundan yüksek bir frekansta çalýþtýrarak monitörünüzü çalýþamaz duruma getirebilirler .

Eðer ev kullanýcýsý iseniz , yine yukarýda anlatýldýðý gibi sisteminizdeki özel bilgilere eriþilmesi silinmesi ve sisteminizin devre diþi kalmasý mümkündür.


Spoofing:"Spoof"un kelime anlamý oyun/parodi/kandýrmaktýr . Internet ortamýnda ise Spoofing birkaç alanda karþýmýza çýkar . Spoof genel olarak IP protokolündeki deðerlerin olduðundan farklý olarak gösterilmesi demektir.


DNS Spoofing: IRC kullanýcýlarý IP spoofing dedikleri ama aslýnda gerçek ismi DNS spoofing (address resolution spoofing) olan DNS Spoofing , DNS serverlarýn fake ARP' lerle kandýrýlýp istenilen IP' nin olmasý gerektiðinden farklý bir þekilde çözülmesi (resolve) demektir. Eðer bir DNS servera bir IP adresinin resolve edilmesi için query açtýktan sonra, hemen arkasýndan çeþitli sahte paketlerle o IP`nin spoofing.is.fun hostuna karþýlýk olduðu seklinde bilgiler gönderip DNS serverý kandýrýp aþaðýdaki sonucu elde etmek mümkündür.

Blackwind is aggressor@spoofing.is.fun * The Myth

Blackwind on @#Aggressor

Blackwind using irc.aggressor.net

End of /WHOIS list.

Aslýnda yukarýdaki örnekteki gerçek host name aggressor@195.174.89.63 idi. Fakat IRC servera DNS spoofing yaparak Hostname'i olduðundan farklý bir þekilde gösterdik.

Birçok IRC server, kendi çapýnda, spoofing protection olarak, IP`yi HOST`a daha sonrada ayný HOST`u IP`ye çevirip bilgileri karþýlaþtýrýr. Eðer karþýlaþtýrmada eþleþme saðlanmazsa baðlanmaya çalýþan hostla baðlantýyý keser. Eðer DNS server IP>HOST>IP eþleþmesini doðruluyorsa IRC serverda bu eþleþmeyi kullanýr.


IP Spoofing : IP Spoofing , IP paketlerinin source (kaynak) IP' sini deðiþtirmek demektir . Böylece paketi alan hostun , paketin geldiði kaynak adresi bilmesini engellemiþ oluruz. Host gelen paketin sizden deðilde baþka bir yerden geldiðini sanýr .


ICQ Spoofing : ICQ Protokolünün spooflanmasý demektir , baskalarýnýn yerine baskalarýna mesaj atmak için kullanýlýr.

SALDIRI TÜRLERÝ

Birkaç tip saldýrý türü vardýr . Bunlarý Dos (nuke) , Remote Exploits ve trojanlar olarak ayýrabiliriz.

1-NUKE


OOB Nuke : (Out of Band Nuke ) Sadece Windows NT ve 95 in bir bug olan OOB Nuke , iþletim sistemi Windows olan bir makinenin 139' uncu portuna (Netbios Session Port) MSG_OOB tipi bir baðlantý (connection) yapýlmasýyla gerçekleþir. Eðer 95 kullanýyorsanýz sisteminize mavi ekran vererek Internet baðlantýsýnýn kopmasýna, NT kullanýyorsanýz sistemin durmasýna yol açar.


Land: Bilgisayarý kendi kendine senkronize ettirerek Winsock' un sonsuz döngüye girmesini saðlar böylece mouse' un bile hareket etmemesine yol açar . Source IP , Source Port ve Destination IP , Destination Port un ayný olduðu bir IP paketi land saldýrýsýnýn gerçekleþmesini saðlar.


Teardrop, Boink, Nestea :Internet üzerinde gelen giden veri parçalar halinde taþýnýr. Daha sonra iþletim sistemi tarafýndan birleþtirilen paket parçacýklarý veriyi oluþturur (Fragmentation). Çoðu sistemin duyarlý olduðu bu saldýrý tipileri, bilgisayarýnýzýn bozuk olarak bölünmüþ iki paketi birleþtirmeye çalýþmasý ile gerçekleþir .

Boink, teardrop saldýrýsýnýn ters olarak çalýþan halidir. Nestea. teardrop saldýrýsýnýn minör deðiþimlere uðramýþ halidir ve teardrop ve boink saldýrýlarýna karþý patch edilmiþ Linux sistemlerinde etkilidir.


Brkill:Eðer Windows yüklü bir bilgisayara, baðlantýnýn sonlanmasýyla oluþan PSH ACK tipi bir TCP paketi gönderirseniz Windows size o anki son baðlantý seri numarasýný gönderir buradan yola çýkarak hedef makinedeki her hangi bir baðlantýyý zorla kesmeniz mümkün olur.


ICMP Nuke:Bilgisayarlar çoðu zaman aralarýndaki baðlantýnýn saðlamlýðýný birbirlerine Icmp paketleri göndererek anlarlar . Bu saldýrý varolan bir baðlantýnýn arasýna sanki hata varmýþ gibi ICMP_UNREACH paketi göndererek oluþur.


Jolt / Ssping:Windows 95 ve NT' nin yüksek boyuttaki bölünmüþ Icmp paketlerini tekrar birleþtirememesinden kaynaklanan bir saldýrý türüdür. 65535 + 5 bytelik bir Icmp paketi göndermek bu saldýrýyý gerçekleþtirir.


Smurf:Networklerde "Broadcast Address" olarak tanýmlanan ve kendine gelen mesajlarý bütün network'e yönlendiren makineler vardýr. Eðer birisi baþka biri adýna o makineye ping çekerse, að üzerindeki çalýþan bütün makineler hedef olarak belirlenen makineye ping çeker. Smurf , bu iþlemi yüzlerce broadcast makineye tek bir kaynak IP adresten ping çekerek saldýrý haline çevirir . Bir anda bilgisayarlara onbinlerce bilgisayarýn ping çektiði düþünülürse deðil bir þirketin baðlantýsý, maalesef TURNET (Türkiye Internet Omurgasý) çýkýþ gücü bile buna cevap vermeye yetmez ve baðlantýlarýnýz kopar.


Suffer3:Suffer saldýrýsý bilgisayarýnýza sanki binlerce farklý bilgisayardan baðlantý isteði geliyormuþ gibi SYN paketleri gönderir . Bu saldýrýnýn sonunda Windows yeni baðlantýlar için yeterli hafýza ayýramaz ve kalan hafýzayý da bitirir. Bazý firewall türleri de böyle bir durum karþýsýnda binlerce soru kutucuðu açarak makinenin kilitlenmesine sebep olur

2-EXPLOITLER

Exploitler genelde sistem tabanlý olarak çalýþýrlar yani Unix' e ait bir exploit Windows için çalýþmaz. Bu güne kadar bulunan yaklaþýk olarak 1000 in üzerinde exploit vardýr.


Windows Null Session Exploit:Windows iþletim sistemi , dýþarýdaki kullanýcýlara network üzerinde hiç bir hakka sahip olmadan session, user ve share information' i verir. Kötü niyetli birisi bu exploiti kullanarak sistem hakkýnda çok kritik bilgiler sahibi olabilir.

Örnek :

Agis NT Peek utility V0.5 , (C) Copyright by Agis Corp 1998. All rights reserved.

Connecting to : \\194.***.**.**

connection established

Processing..

\\194.***.***.***\NETLOGON (disk) Logon server share

\\194.***.***.***\i386 (disk)

\\194.***.***.***\IE4.3000 (disk)

Getting Session information ..

Server name : TiN User name : (None)

Login Time : 154461 secs (2574 mins) IIdle Time : 559 secs (9 mins)

-----------------------

Server name : MiP Usern name : (None)

Login Time : 573 secs (9 mins) Idle Time : 573 secs (9 mins)

-----------------------

[lord*****]

Password : **********

Account : (lord*****)

Full name : (Lord zerg ******)

Comment : (Administration account)

User Comment : (Dark throne)

Password age : (0) hours

Privledge : Administrator

Home Dir : ()

Script path : ()

Spec Params : ()

Workstations : ()

Logon Hours : (1349551)

# of badpass : (0)

Logon count : (2896)

Logon Server : (\\*)

Country Code : (0)

Code Page : (0)

User ID : (500)

Group ID : (512)

Profile : ()

Home drive : ()

Password Exp : (0)

Auth Flags :

-No auth flags

Flags :

-The logon script executed.

-This account is normal.

-password doesnt expire

-user can change password


PHF Exploit:Bu exploit oldukça eski olmasýna raðmen halen karþýlaþabilecek bir güvenlik açýðýdýr, PHF CGI yardýmý ile sistemdeki dosyalara admin olarak eriþebilirsiniz.

GET /cgi-bin/phf?Qalias=x%0a/usr/bin/ypcat%20passwd

https://tik.lat/6w3xc

Yukarýdaki örnek Unix iþletim sistemi yada türevini kullanan bir makineden user bilgilerinin ve de þifrelerinin bulunduðu password dosyasýný görmenizi saðlar.




ASP Exploit :Active Server Page özelliði kullanan webserverlarda URL' nin sonuna bir nokta(.) yada ::þDATA yazarak ASP nin içeriðini (source code) görebilirsiniz . Eðer ASP' nin içerisinde her hangi bir þifre varsa bu exploit çok tehlikeli olabilir.

https://tik.lat/M70ww yada

https://tik.lat/ZmJRs


Sendmail Exploit:Eski sendmail versiyonlarýnda birkaç basit hile ile sistemin þifrelerinin tutulduðu dosyayý çekmeniz mümkün olabilir. Ayrýca sistem kullanýcýlarý hakkýnda bilgi almak (EXPN) yada bir username`in o serverda olup olmadýðýný da öðrenmek mümkündür. (VRFY)

telnet mail.server.com:25


ICQ Tabanlý Exploitler:Son derece zayýf bir mimariye sahip olan ICQ sistemi , kolayca taklit edilebilen hatta gerçek spoofing bile yapmanýza gerek kalmayan bir sistemdir. ICQ kullanýcýlarý kolayca mesaj bombasýna tutulabilir, passwordlerini deðiþtirilebilir, onaya gerek kalmadan listeye alýnabilir. IP 'sini kullanýcý gösterme dese bile görebilir yada ICQ chat yaparken mesaj taþmasý (flooding) yapýlabilir.

DOSYA VE YAZICI PAYLAÞIMI

Windows95 yada NT de paylaþýma açtýðýnýz disk yada klasörlerin okuma-yazma izinlerine çok dikkat etmelisiniz. Þifresiz (Þu birçok ISP`nin Inetpub Directory'sini tüm dünyaya yazma izni vererek paylaþýma açmasý gibi) yada kolay tahmin edilebilecek (username ile ayný) bir þifre ile paylaþýma açýlan disk yada klasörlerin her türlü saldýrýya açýk olmasý gibi durumlar istenmeyen durumlara yol açabilir.

Windows start menüsünde "Run" týklatýldýktan sonra \\IP yazýp "Enter"a basarsanýz, IP' sini yazdýðýnýz makinede paylaþýma açýk olan yerleri görebilirsiniz. Windows`un içinde var olan NET komutunu kullanarak (NET VIEW \\IP) yine paylaþýma açýk yerleri görebilir ve yine ayni komutla onlara baðlanabilirsiniz.

(NET USE J: \\IP\paylaþýmismi) Ayrýca linux yüklü bir makineniz varsa, smbclient programý ile ayni iþlemleri yapabilirsiniz.

Bu tip bir tehlikeden korunmak için paylaþýmlara saðlam bir þifre (anlamsýz kelime+rakamlar+hem büyük hem küçük harf) koymak kesin çözümdür.


Diðer Araçlar:Snork, cachecow, ADMmountd, mountd, faxsurvey, vintra,hotmail_exploit1-2, ioconfig lpd-rm, dilloncrond, nameserver_dead, lpd-mail, imapd4, binfo-udp, pinebug,

mailxploit, newxterm, mailex, ****info,xterm_exploit,dip3.3.7overflow-exploit, coke ve daha bir çok exploit bulunuyor.

3-TROJANLAR

Trojan programlarýn makinenizde etkin olarak çalýþabilmesi için önceden yüklenmesi gerekir. Trojanlar pasif ftp server mantýðý ile çalýþan programlardýr.



THE AGGRESSOR

THE AGGRESSOR NEDÝR ?

The Aggressor, ileri seviye kullanýcýlar, adminler ve Internete baðlý kuruluþlar için geliþmiþ bir network yönetim ve korunma programýdýr. Türkiye' de geliþtirilen ilk firewall olma özelliðine sahip olan yazýlým dünyada da benzerleri arasýnda oldukça iyi bir üne sahiptir. Henüz program çýkmadan programýn Web Sitesine günlük ortalama 54.000’ in üzerinde ziyaret yapýlmaktadýr. Son derece modüler olan bu programa, Plug-in özelliði sayesinde en son yenilikleri tek bir dosya ile programa ekleyebilir, hatta SDK sý aracýlýðý ile kendiniz modüller yazabilirsiniz, Delphi ve Visual C için plug-in desteði mevcuttur. Thread manager ve Custom Plugin Runner gibi bir çok geliþmiþ fonksiyonlar ve komut satýrýndan hoþlananlar için, Linux benzeri bir komut arabirimine sahiptir. Bu komut arabirimi (CLI) sayesinde Aggressor' un GUI si ile yapabildiði herþeyi komut satýrlarý ile yapmak mümkündür. Crashguard özelliði sayesinde herhangi bir koþulda oluþabilecek software hatalarýný internal olarak düzeltip çalýþmasýný aksatmadan devam ettirebilmek özellikleri arasýndadýr.

Kabaca bölümlere ayýrmak gerekirse Aggressor Sistem yönetim modül gurubu, Network Test modül gurubu ve internet Araçlarý bölümlerinden oluþur.

SÝSTEMÝN YÖNETÝMÝ VE KORUNMASI

The Aggressor, networkünüzde oluþan tüm baðlantýlarý ve veri transferini incelemeniz için geliþmiþ bir sniffing modülüne (Beholder) sahiptir. Beholder, yerel að ile internet arasýndaki tüm trafiði denetleyip, Networkünüzde ki herhangi bir makinaya dýþarýdan gelen saldýrýlarý bulup ve istenildiðinde saldýrýnýn kaynaðýný etkisiz hale getirebilir. Herhangi bir hacker sizin sisteminize açýk bir nokta aramaya kalktýðýnda yada en basitinden bir Portscan yaptýðýnda Aggressor bunu anlar ve o kiþiden koruduðu networke gelecek bundan sonraki bütün baðlanti isteklerini geri çevirir. Eðer Defense Mode aktif ise, tehlike teþkil edebilecek durumlarda The Aggressor saldýran kiþiye yaptýðý iþlemi yansýtýr.

Beholder modülü aracýlýðýyla aktif olan tüm baðlantýlarý (Connection) görebilir, içeriðini inceleyebilir hatta durdurabilirsiniz. Yani sisteminizden gönderilen mailleri okuyabilir, yapýlan Chat’ leri görebilirsiniz yada kimin hangi sayfaya baðlandýðýný izleyebilirsiniz ve loglayabilirsiniz. Sadece belirli kelimelerin geçtiði baglantilari loglamanýz mümkündür.

Aggressor aracýlýðý ile network bazýnda servis kulanýmýný engelleyebilirsiniz. Örnek olarak þirketinizde tanýmlanan makinalarýn Irc ye girmesini yada Icq kullanmasýný sadece Aggressor' a tek bir kural (Rule) ekleyerek yasaklayabilirsiniz. Yada sadece Local Network için bir servis açmak istediniz, dýþarýdan bu servise girilmesini engelleyebilirsiniz.

The Aggressor' un Keyword Ban fonksiyonu ile kelimelere grup bazlý yasak koyabilirsiniz. Böylece Aggressor' un çalýþtýðý network ten tanýmlanan kelimelerin geçtiði adreslere, tanýmlanan makinalarýn eriþimini engellemiþ olursunuz. The Aggressor default olarak kendiniz tarafýndan yasaklanmýþ sayfalara ve korsan yazýlým içeren sayfalara eriþimi engeller. Ayrýca Ban Liste aracýlýðý ile tanýmlanan makinalarýn koþulsuz olarak yasaklanmýþ adreslere eriþimini engelleyebilirsiniz.

TrafficLimit özelliði ile tanýmlanan makinalara internet kullanýmý ile sýnýrlar koyabilir belirlediðiniz veri transfer sinirini geçtiðinde makinenin internet eriþimini engelleyebilirsiniz.

Yukarýdaki bütün kural sistemlerini tarih ve saat bazlý çalýþtýrabilir ve istenildiðine sadece belli makine gruplarýna uygulanmasýný saðlayabilirsiniz. Aggressor' un Yukarýdaki iþlemleri gerçekleþtirebilmesi için Aggressor' un çalýþtýðý makine dýþýndaki hiç bir makinaya ek bir yazýlým yüklemeniz yada diðer Firewallar gibi çýkýþ noktasý (gateway) olarak tanýmlamanýz gerekli deðildir. Network üzerindeki herhangi bir makinada çalýþabilir

NETWORK TEST

Ne ile karþý karþýya olduðunuzu bilmeden korunmanýz mantýken mümkün deðildir, buradan yola çýkarak The Aggressor' un Network Testing kýsmý aracýlýðý ile yeni çýkmýþ yada çýkabilecek saldýrýlarýn zayýflatýlmýþ versiyonlarýný size zarar vermeyecek þekilde kendi üzerinizde deneyerek bu saldýrýlara karþý zayýf olup olmadýðýnýzý görebilir ve nasýl önlem almanýz gerektiðini öðrenebilirsiniz. Yeni bir saldýrý çýktýðýnda size E-Mail ile bildirilir ve programý yenilemeden gereken Plug-in i çekerek programý güncellemiþ olursunuz. Aggressor Unix ve benzeri sistemler altýnda çalýþan D.O.S. (Denial of service) paketlerini ve birçok benzeri iþletim sistemlerinde bulunan saldýrý veya normal dýþý networking fonksiyonlarý / açýklarýný Windows altýndan yapabilmenizi saðlar. Aggressor Windows altýnda Linux platformundaki saldýrýlarý emüle edebilen tek programdýr ve bu tür standart dýþý iþlemleri Windows' un Winsock Library' sini kullanmadan kendine ait olan TCP Stack ile gerçekleþtirir. Aggressor sadece kendi C-Class ýna iþlem yapabilir yani özel durumlar (1 den fazla C-Class in bulunmasý gibi) dýþýnda Aggressor' u kullanarak kendi C-Class ýnýzýn dýþýna iþlem yapmanýz yani Exploit çalýþtýrabilmeniz mümkün deðildir.

The Aggressor dýþýnda Network Testing programlarý da vardýr, fakat bu tip programlar ileri seviye Hack ve D.O.S attack larýný Windows' un limitlerinden dolayý tamamlayamazlar. Dolayýsý ile The Aggressor Network Testing dalýnda dünyanýn en iyilerinden biridir.

INTERNET ARAÇLARI

The Aggressor' un içerisinde bir Network Admini için gerekebilecek her türlü araç mevcuttur, Multiping aracýlýðý ile ayni anda birden fazla bilgisayara Ping atabilir ve atýlan Ping in grafiðini toplamda yada host bazýnda görebilirsiniz. Eðer isterseniz tanýmladýðýnýz bilgisayarla baðlantý kopunca alarm verdirebilirsiniz. Traceroute aracý ile internet teki herhangi bir bilgisayar ile aranýzdaki bilgisayarlarýn isimlerini ve onlara olan uzaklýklarý görebilirsiniz. AgPortScanner IP aracýlýðý yada servis listesi tanýmlayabildiðiniz çok geliþmiþ bir servis tarayýcýsýdýr Bunlarýn dýþýnda DNS Scanner, Wingate Scanner, Finger, Ident Daemon, Who is, Time gibi diðer gerekli fonksiyonlarda Aggressor' un içerisinde mevcuttur.

The Aggressor' un iki versiyonu bulunuyor bunlardan birincisi yukarýda anlatýlan özelliklerin tamamýný içeren versiyon olan Pro versiyonu diðeri ise sadece Network Testing modülünün bulunduðu NT versiyonudur.

AGGRESSOR NASIL ÇALIÞIR?



Aggressor baþlangýçta þu adýmlarý takip eder.


1- Rehberini baþlatýr.


2- Operasyon sistem parametrelerini ve bilgilerini kontrol eder.


3- Paket sürücülerinin yüklenip yüklenmediðini kontrol eder.


4- Harvester, Beholder ve gereken diðer modülleri baþlatýr.


5- Aggressor birkaç görev yürütür. Bunlar;


DNS Resolver: Agix arabirimi ile istenilen adresin IP,FQ domain, Querying özelliklerini çözer.


Harvester: Network modülünden gelen paketleri toplayan modüldür.


Rule Monitor:Ýhtiyaç duyulduðunda Network aðýna baðlý bilgisayarlara gelen paketlerin o bilgisayarlara iletilip iletilmemesine karar veren arabirimdir.


Messenger: Messenger Modülü Rule Monitor tarfýndan birkaç görevin yerine getirilmesinde kullanýlýr.


Beholder: Dýþarýdan gelen saldýrýlarý bulur ve denetleme görevi yapar.


6-Baðlantý bilgilerini , gereken bilgi dosyalarýný ve geçmiþte kullanýlan komut satýrlarýný yükler.


7-Plugin dosyalarýný yükler ve baþlatýr. Eðer plugin dosyalarý yüklenirken bir hata meydana gelirse bu hatalarý kaydeder .


8-yürütme dosyalarýný kontrol eder. Bunlar kullanýlabilirse bu dosyalarýn içeriðini yürütür.



FÝREWALL NASIL ÇALIÞIR?


1-Network baðlantýsý ve Internetten gelen paketleri alarak bir havuzda toplar. Bu havuzdaki paketler Beholder’a gönderilir(Baðlantý analizi yapan modüldür.)


2-Beholder kendisine dýþardan gelen saldýrýlar için rutin denetim yapar. Eðer bir saldýrý varsa kendi iç kurallarýný yürütür. Saldýrýyý bir kütüðe kaydeder.


3-Beholder oturum açmak için gelen paketlerin kendi kurallarýna uyup uymadýðýný kontrol eder.


Þekil-11: Aggressor Blok Diyagramý

NETWORK TEST MODÜLÜ NASIL ÇALIÞIR?


1-Host’ un o anda hatta olup olmadýðýný anlamak için ping atýlýr.


2-Host’ un ismini çözer. MAC adres (MEDIA ACCESS CONTROL) bilgisini geri alýr ve inceler.


3-Ping gönderilen Host’ un bulunduðu servisler taranýr.


4-Hedefteki Host’ un network dayanýklýlýk testini yürütür.


5-Hala Host’ un yerinde hatta kalýp kalamadýðýný kontrol eder.



MODÜLLER




Aggressor Task Manager: Kendi bünyesindeki modüllerin çalýþma hýzýný , statülerini, yönetimlerini ve Sistem ayarlarýný özelleþtirir.







Name:Modüllerin ismini gösterir.


Prioty:Modüllerin çalýþma hýzýný gösterir.


Status:Modüllerin o andaki durumlarýný gösterir.


Handle:Yönetim penceresini gösterir.


Info: Modüllerin aktif olup olmadýðýný gösterir.


Butonlar:

Terminate: Modüllerin o anki iþlemlerini en son durumlarýný koruyarak sona erdirir.


Kill: Herhangi bir veri kaydý yapmadan modülü kapatýr.Ýstenmeyen veri kayýplarýna yol açabilir.


*******: Son sonuçlarý yeniler.




Ýç Modüller:




DNS Resolver: Winsock eðer Ip ‘ nin baðlý olduðu DNS’ yi bulamazsa Netbios numarasýný almaya çalýþýr. Baþkasýnýn IP numarasýný öðrenmek istemiyorsak Dns Resolver kullanýlmayabilinir.




Harvester: Networkten gelen paketleri toplayan modüldür. Bu modül eþ zamanlý ayarda tutulmasý gerekir. Aksi taktirde gelen paketlerden bazýlarý kaçýrýlabilir. Bu modülün çalýþmasý durdurulursa Aggressor koruma (Firewall) ve denetleme (monitoring) özelliklerini kullanamaz.

ADMINASTRATION CENTER WINDOW



Yönetim penceresi networkteki kontrol ve denetleme görevini tek bir pencere altýnda yürütmek için dizayn edilmiþtir. Genel olarak aþaðýdaki baþlýklar altýnda toplanýr.







Network Tab: Network penceresi kendi lokal aðýndaki LAN baðlantýlarýný , onlarýn baðlý olduklarý baðlantýlarý, aldýklarý ve gönderdikleri verileri , kullanýcý isimleri ile kullandýklarý ara birimleri gösterir.


Vendor ve MAC adresi:Yönetim penceresi minimize edilirse ,en son yapýlan baðlantýlar görülmez. Çünkü yönetim penceresi Beholder Modülü ile birlikte çalýþýr. Beholder modülü inactive veya disabled olduðu zaman Adminastration Center Window doðru olarak çalýþmaz.


Connections Tab: Bu pencere ile kendi LAN baðlantýnýzda bulunan makinelerin baðlý olduklarý servisleri görebilir ve içeriklerini öðrenebilirsiniz. Bütün baðlantýlarý kontrol edebilirsiniz. MAC adreslerini ,IP Numaralarýný ,hostname’ ini öðrenebilir,baðlantýlarý kesebilir ve yasak koyabilirsiniz.




Client : Kullanýcýlarý servis türüne göre baðlantýlarý ayýrýr.


Server : Server’ leri kullanýcýlara göre ayýrýr.


Protocol : O anda Network’ teki kullanýcýlarý hangi protokolü kullandýklarýný belirleyerek protocol farkýna göre ayýrýr.


Active Connections: O andaki mevcut baðlantýlarý gösterir.


Past Connections: Geçmiþte yapýlmýþ olan baðlantýlarý gösterir.


View Mode: 4 Mode bulunur.(Hex,Html,Ìrc,text) Bunlardan herhangi birini seçerek kullanýcýlarýn baðlantýlarýnýn içeriklerini (aldýklarý dosyalar,download ettikleri programlar,baðlantýda olduklarý web sayfalarý)

Ýstenilen Mode ‘ da görülebilir.


Events Tab: Bu pencerede kendi network’ unuzdaki yada sisteminizdeki sýradan veya sýra dýþý aktiviteleri görebilirsiniz.


Last Time Occured:Olayýn olduðu tarihi ve zamaný gösterir.


Description: Olayýn kýsa özetini gösterir.


User: Olay meydana geldiðinde (baþlatýlan programýn ) kullacýsýný gösterir.
Target: Olayýn meydana geldiði makineyi gösterir.


Count: Meydana gelen olaydaki toplam protocol isteðini gösterir.


Details: Seçilen olayla ilgili detaylý bilgileri gösterir. Bunlar olayýn türü, deneme sayýsý, hedef IP adresi, hedef makinenin MAC adresi olayýn saati, kullanýcýnýn ismi, olayýn tanýmlanmasý.


Clear: Bütün bilgileri Aggressor’ un database’ inden siler.




Rules Tab:

Rules: Bu bölümde networkte uyulmasý gereken kurallarýn tanýmý yapýlýr.


Description:Kural hakkýnda özet verir.


From: LAN içindeki kullanýcýlarýn bu kurallar içinde olup olmadýklarýný kontrol eder.


To:Hangi makinenin kural dýþýnda olduðunu gösterir.


Triggers on:Kuralýn ne olduðunu gösterir.


New Rule: Yeni kural eklenmesi için kullanýlýr.


Edit: Seçilen kuralda düzenin ayarlanmasýnda kullanýlýr.


Delete:Seçilen kuralýn silinmesinde kullanýlýr.


Rule Editor:

Route:Kuralýn uygulanmasýnda izlenecek yolu gösterir.


Include:Kuralýn hangi host için geçerli olduðunu gösterir.


Exclude: Kurala dahil olmayacak host’ u gösterir.




ÖRNEK1:

From-Include-IP=195.174.89.53//To-Include-IP=194.54.48.147

Bu durumda LAN baðlantýsýnda 195.174.89.53 IP’ li makine IP ‘ si 194.54.48.147 olan makineye baðlanmaya çalýþýrsa yaptýðý iþlem denetlenir.




ÖRNEK2:

From-Exclude-IP=195.174.89.53//To-Include-IP=194.54.48.147



Bu durumda 195.174.89.53 IP’ li bilgisayardan baþka hiçbir makine IP’ si 194.54.48.147 olan bilgisayara baðlanamaz.




ÖRNEK3:

From-Include-Anyone//To-Exclude-194.54.48.147



Bu durumda bütün makineler kural dahilindedir. Bütün baðlantýlar ilgili kural gereði denetlenir.

Sadece IP’ si 194.54.48.147 olan makine baðýmsýz çalýþýr. Bütün iþlemleri bu makine baþlatýr.




Trigger:Kuralý neyin baþlatacaðý karar verilir.

“Hostile Action” seçilirse sadece düþmanca aktivite meydana gelirse kural iþletilir.

“Any Attempt” seçilirse Bütün baðlantýlarda kural yürütülür.

“Unusual Activity” seçilirse kural sadece sýra dýþý bir olay olduðu zaman uygulanýr.


Add:Yeni kelimeler eklemek için kullanýlýr.


Remove:Ýstenilen kelimenin kaldýrýlmasý için kullanýlýr.


Protocol:

Include:Baðlantýda seçilen port kullanýldýðý zaman kural yürütülür.


Exclude:Baðlantýda seçilen porttan baþkasý kullanýldýðý zaman kural yürütülür.


Block Connection:Baðlantýyý engeller.


System Alert: Alarm verir.


Send E-mail:Eðer saldýrý baþlatýlýrsa belirtilen e-mail adresine e-mail gönderilir.


Use Custom Message:Standard mesaj kullanýlýr.


Execute Programýþ programlardan birini çalýþtýrýr.


Browse:Ýstenilen dýþ program seçilir. Birkaç program ayný anda çalýþtýrýlabilir.


Statistics:



Statistics menüsünde LAN üzerinde protokollere ayrýlan paylar grafiksel olarak görülür. Gereken ayarlar istenilen seçenekler ayarlanarak yada sýnýflanarak yapýlýr.


Information:

Windows Socket Library: Aggressor’ un kullandýðý winsock kütüphanesinin yüklenme tarihini gösterir.


System Status: Sistemin çalýþma durumunu gösterir.


Max Sockets: Uygun kullanýlabilir socketleri gösterir.


Version: Winsock’ un versiyonunu gösterir.


Local Host: Local Host’ un IP‘sini gösterir.


Max UDP Diagrams: Kullanýlabilir UDP diagramlarýný gösterir.


Operation Systems:

Platform:Aggressor’ un çalýþtýðý iþletim sistemini gösterir.


MAC Adress: Network kartýnýn Mac adresini gösterir.


Perm MAC Adress:Network kartýnýn sürekli olan MAC adresini gösterir.


Gateway MAC Adress:Network kartýnýn að geçidi için kullandýðý MAC adresini gösterir.

Active Connections: Bu mode kullanýlarak LAN üzerindeki makinelerin baðlantýlarýn içeriðini inceleyebilir, yasaklar koyabilir ve ilgili kiþiye uyarý gönderebilirsiniz. Baðlantýnýn üstüne sað ile týklarsak þu bilgiler karþýmýza çýkar.


Information: Seçilen kullanýcý ile ilgili bilgiler verir.


Copy: Host’ un adýný clipboard’ a kopyalar.


Find:Aranýlan kiþiyi baðlantýlarýn olduðu listeden bulur.


Find Next: Aranýlan sonraki kiþiyi bulur.


Expand All: Listeyi ayrýntýlarýyla gösterir.


Collapse All: Listeyi ana hatlarýyla gösterir.


*******: Listeyi en son hali ile gösterir.


Auto Expand:Ayrýþtýrýlabilir hale gelen listeyi hemen açar.


Kill: Seçilen TCP baðlantýsýný sona erdirir.Eðer seçilen baðlantý UDP ise bu opsiyon “Kill All” ve “Ban” ile sonlandýrýlýr.


Kill All: Her türdeki baðlantýlarý seçtiðimiz kiþinin baðlantý türüne bakmaksýzýn sonlandýrýr. Kullanýcýlar bunu hangi baðlantýyý sona erdireceklerini belirleyemedikleri zaman kullanýrlar.
Ban:Seçilen Host için yasak seçenekleri çýkarýr. Yasak kaldýrýladan hiçbir yere baðlanmasýna izin vermez.

AGIX WINDOW


Agix Nedir?



Agix Unix benzeri , bir çok komut içeren komut modülüdür .Ýçinde þu ana baþlýklar altýnda toplanmýþ destek birimleri bulunur.





Dýþ Komut Desteði:

Etkilenen Modül: Thread Manager

Bu özellik kullanýcýya ping, nslookup, tracert gibi aplikasyonlarý kullanmasýna olanak tanýr.

Ayný Dosshell’ de olduðu gibi diðer uygulamalar kullanýlarak geçiþ yapýlabilir.




ÖRNEK:



Agix>Ping –t www.yahoo.com



Agix penceresinden diðer uygulamalar ile ilgili olarak , modüllerden bilgi alýnabilir.







APLÝKASYONLARIN ÇALIÞMASI



Çalýþtýrmak istediðiniz aplikasyonlar Win32 ve Msdos.exe’ ye uyumlu olmalýdýr. Böylece birçok uygulama ayný anda çalýþtýrýlabilir. Bir çok aplikasyonun ayný anda çalýþmasý Agix penceresine taþýnýr. Komutun yürütülmesinden sonra Agix , Thread bilgisini havuzdaki bilgilere aktarýr.




ÖRNEK:



Agix> ping –t 195.174.89.39

Pinging 195.174.89.39 with 32 bytes of data

Reply from 195.174.89.39 bytes=32 time <10 m>TTL=64

agix > ts
Handle Up Time Status Priority Name & Status
--------------------------------------------------------------
296 0:0:1 1 Idle Pipe - [h:288] ping -t 195.174.89.39

Thread Mnager veya Agix ‘ten yürütülen threadlerin statülerini deðiþtirebiliriz. Eðer Windows Task Manager’ dan yürüttüðümüz iþlemi durdurmayý denersek Agix son verme iþlemini bulur ve thread havuzundan geri alýr.

THREAD VE PROCESS MANAGEMENT FONKSÝYONLARI

Unix ‘e benzeyen þu komutlarý içerir.


Kill: Ýstenilen görevi sonlandýrýlýr.


ÖRNEK:



agix> ts
Handle Up Time Status Priority Name & Status
--------------------------------------------------------------
160 1:59:32 1 Idle DNS resolver - ok
172 1:59:32 1 Realtime Harvester - ok
60 1:59:32 1 Normal Beholder module - ok
180 1:59:32 1 Idle Rule monitor - ok
184 1:59:32 1 Idle Messenger - ok
248 1:59:30 1 Normal webserver - -dport 80
agix> kill 184
Kill : Killing thread 184 [Messenger]
Kill : done
agix> kill webserver
Kill : Killing thread 248 [webserver]
Kill : done
agix>


ls:Aggressor’ ün içindeki havuzdaki modüllerin komutlarýný listeler.




ÖRNEK:

agix> ts
Handle Up Time Status Priority Name & Status
-----------------------------------------------------------------------------------------
140 0:0:24 1 Idle DNS resolver - ok
128 0:0:24 1 Realtime Harvester - ok
164 0:0:24 1 Normal Beholder module - ok
184 0:0:24 1 Idle Rule monitor - ok
188 0:0:24 1 Idle Messenger – ok


pkill: Ýþlemi sonlandýrýr. Ama iþleme baðlý çalýþþan DLL’ ler iþlemin durduruluyor olduðunu anlamazlar.


General Commands:Agix’ in iç komutlarý Aggressor’ u kolaylaþtýrmak içindir.


Help: Komut listesini gösterir.


Explorer: Internet Explorer ‘ ý çalýþtýrýr.


Exec: Dýþ programlarý yürütür.


Ls: Modüllerin komutlarýný ve pluginleri listeler.


Set: Bir çok konsol parametresini kurar.


Quit: Aggressor’ u kapatýr.


Cls: Consol’ u temizler.


Status: Durumu gösterir.


Info:Pluginlerle ilgili bilgi verir.


Dns: Dns’ leri çözer.


Hi: Host ile ilgili bilgi verir.


Ts: Saldýrý olup olmadýðýný gösterir.


Kill:Tehdidi durdurur.


Pkill: Ýþlemi durdurur.


Biffit: Biffit


Countcgi: CGI uzantýlý dosyalarý tarar.


ÖRNEK:



Agix> explorer www.aggressor.net


ÖRNEK:



agix> dns www.aggressor.net
[DNS] Querying www.aggressor.net
[DNS] FQ Domain : www.aggressor.net

[DNS] > 195.174.89.40
agix> dns www.microsoft.com
[DNS] Querying www.microsoft.com
[DNS] FQ Domain : www.microsoft.com
[DNS] > 207.46.130.14
[DNS] > 207.46.130.149
[DNS] > 207.46.130.150
[DNS] > 207.46.131.13
[DNS] > 207.46.131.15
[DNS] > 207.46.131.137
agix> dns 195.174.89.49
[DNS] Querying 195.174.89.49
[DNS] Name : blackwind.aggressor.net



TOOLS


Multiping: Ayný anda birçok hosta ping atmamýzý saðlar. Ayarlar bölümünden gönderilecek paketin büyüklüðünü görebiliriz. Host’ tan gelen cevabýn ne kadar sürede deðerlendirileceðinin ayarlanmasýnda kullanýlýr. “Count” bölümünden hedefe kaç tane paket gönderileceði karalaþtýrýr. Eðer sürekli ping seçili ise biz durduruna kadar ping atmaya devam eder.”Threshold” Ping’ in ne kadar aralýklarla (ms) atýlacaðýný belirlerPing atýlan hostlarý “add” btonu ile ekelyebilirsiniz. “Clear” ile tüm listeyi silebiliriz.”IP” ping atýlan IP’ leri gösterir.




Eðer IP ‘nin yanýndaki üçgen mavi ise hedefin pinge yanýt verdiðini gösterir.Eðer üçgen siyah ise hedefin pingi yanýtsýz býraktýðý anlaþýlýr. Kare ise IP’ nin ping grafiðinin gösterildiði anlaþýlýr.


Name Scanner:Hedefteki IP adreslerini hostname’ lerine çözer. Çözmek için bir IP (195.44.52.56) yada (195.44.52.*)girilebilir.”MaxT” ne kadar zaman içinde bulunacaðý yazýlýr.


Port Scanner: Hedef bilgisayaradaki açýk olan portlarý taramak için kullanýlýr. Bir kerede birçok IP’ nin port taramasý yapýlabilir.


Plugin Runner: Hedef IP yazýlarak açýk oln hedef porta paket büyüklüðü, süresi ayarlanarak paket gönderilir.

BASIC OPERATIONS



Aktif Baðlantýlarýn Görüntülenmesi:

1-Administration Center Window týklanýr.”Connections” butonu seçilir.


2-Ýstenilen Host týklanýr.


3-Ýstenilen “Destination” seçilir.

Ýstenilen baðlantýlarý Client’ e ,Protocol’e ve Server ‘ e göre görebilirsiniz. Sadece “Show Local nodes only” iþaretli ise Aggressor’un yeni oluþacak listesi yabancý hostlardan arýndýrýlýr. Eðer yerel aðýnýza baðlý yabancý hostlarýda görmek istiyorsanýz ”Show Local nodes only” ‘i iþaretlememeniz gerekir. “Auto ******* “ ile mouse’ unuzu sað týklayarak “collapse all” ve “expand all “ kullanýlabilir.




Baðlantý Ýçeriklerinin Görüntülenmesi:

1-Administration Center Window týklanýr.”Connections” butonu seçilir.


2-Ýstenilen Host seçilir.


3-Ýstenilen “destination seçilir.


4-Uygun protokollerden biri seçilir.

Aggressor baðlantýlarýn görüntülenmesi için bir pencere açacaktýr.


Baðlantý Ýçeriklerinin Kaydedilmesi:

1- Baðlantý içeriði kutusunu sað ile týklayýn.


2- “Save to file” ‘i seçin.




Baðlantý Ýçeriklerinin Clipboard’a Kopyalanmasý

1- Clipboard’a kopyalanmasýný istediðiniz text iþaretlenir.


2- Baðlantý içerikleri menüsü sað ile týklanýr.


3- “Copy” seçilir.






Aggressor’dan Çýkýþ

Normal olarak Aggressor’dan çýkarken bilgiler kaydedilir. Eðer “save collected data” kutusunu seçmezseniz Aggressor bilgileri kaydetmez.


1-“System” menüsünden “Quit” i seçin. Aggressor size bilgileri kaydedip etmeyeceðinizi sorar.


2-Aplikasyonu bitirmek için “Yes” seçilir.


3-“Logout” tuþuna basarak o an ki bütün aplikasyonlardan çýkýlarak kullanýcý penceresi kapanýr. Bu durumda kaydedilmeyen bilgiler silinir.


4-Aplikasyonu devam ettirmek için “cancel seçilir.


Agix’ ten Pluginlerin Çalýþtýrýlmasý

1-Agix penceresini týklatýn.


2-“Ls” yazýn enter tuþuna basýn.


3-Bir tane plugin adý seçerek enter tuþuna basýn.


4-Plugin parametrelerini kullanýn.


ÖRNEK:



agix> infoland

agix> land – dip 10.2.5.7 – dport 139

Plugin çalýþmaya baþladýktan sonra iþlemin sonuçlarý Agix penceresinden veri olarak verilir.Eðer pluginin kendi penceresi varsa yanýt vermek için kendi pencersinin açýlmasýný bekler.Çalýþan pluginleri sonlandýrmak için Aggressor’ un Thread Managemet sistemini kullanabilirsiniz.

ÝLERÝ DÜZEYDEKÝ APLÝKASYONLARIN YÜRÜTÜLMESÝ


Plugin Runnerdan Plugin Çalýþtýrýlmasý: Plugin listesinden istediðiniz plugini týklayarak “run” butonunu týklayýnýz.Bu pencereler sadece kendisine gerken bilgileri almasý için ayarlanmýþtýr. Eðer plugin sadece IP adresi ve paket sayýsý istiyorsa bunlarý girmeniz yeterli olacaktýr.

Birden fazla plugin çalýþtýrmaya baþladýðýnýz zaman gereken tüm bilgiler için sadece bir pencere açar.Bu pencereden pluginler için ayarlar yapýlýr.




Destination Ip: Burayý geniþleterek IP’ leri listeleyebilirsiniz.Ýstediðiniz IP’ leri “Add” ve “Remove” butonlarý ile kaldýrabilirsiniz.


Source IP: Source IP’ de 4 deðiþik seçenek karþýmýza çýkar. Bunlar:


1-Normal: Raw Packet Operation’ da inputline’ a yazdýðýnýz IP’nin kullanýlacaðýný gösterir.


2-Destination: Destination IP’ ye girilen ayný IP’ yi kullanacaðýný gösterir.


3-Broadcast: Destination IP’ sinin broadcast IP’ si olduðunu gösterir.


4-Random: IP’ nin geliþigüzel olacaðýný gösterir.




Destination Portestination IP paneline benzer .Pluginlerin kullandýðý portu gösterir.



DDE SERVER






Agix’ e diðer uygulamalardan komut gönderilmesine olanak tanýr.


Active: “Aktive” in seçili olmasý DDE sever’in çalýþtýðýný gösterir.


Idle: DDE server ‘in o anki durumunu gösterir.


Receieved Command: DDE sever tarafýndan alýnan komutlarý gösterir.


Site Baðlantýlarýna Kural Getirerek Yasak Koyulmasý

Sitelere yasak koymak için þu adýmlar takip edilir.


1- Administration Center Window’ dan Rules tabýndan “New Rule” seçeneðini týklayýn.


2- Eklemek istediðiniz kuralýn tanýmýný yapýnýz.


3-“To” butonunda “anyone” ý seçili halde bulunmamasýný saðlayýn.Böylece adres satýrý açýlýr.


4- “Add” butonunu týklayýn.


5- Yasaklayacaðýnýz adresi giriniz.(www.sex.com gibi)


6- “Action” tabýný týklayarak “Block Connection” seçili hale getirin. “OK” yi týklayýn.




Anahtar Kelime Kullanarak Yasaklar Koymak

Bu metodla içinde “sex” ve “warez” gibi kelimelerin bulunduðu baðlantýlar kesilir ve yasaklanabilir.


1- Administration Center Window’ dan Rules tabýndan “New Rule” seçeneðini týklayýn.


2- Ekleyeceðiniz kural için taným yapýnýz.


3- Trigger’ i týklayýnýz.


4- Trigger on’ da bulunan “keyword” u týklayýn.


5- Uygun kelimeleri “Add” butonunu kullanarak ekleyin.


6- Daha sonra action’ dan “Block Connection” ý seçin. “OK” yi týklayýn.


Ýstenmeyen Baðlantýlarýn Engellenmesi Ýçin Quýck Rule Yaratýlmasý

Baðlantýlarý incelerken istemediðiniz baðlantýlarý görebilirsiniz. Hemen hýzlý bir kural yaratarak istenmeyen baðlantýyý sonlandýrarak bir daha baðlanmasýný önleyebilirsiniz.


1- Mouse ile yasaklanmasýný istediðiniz baðlantýyý sað ile týklayýn.


2- “Ban” seçilir.


3- Bir doðrulayýcý diyalog belirir. Seçilen kural “Add” yapýlarak kural listesine eklenir. Bu kuralý istediðiniz zaman Adminastration Center Window’ dan kaldýrabilirsiniz.


Ýstenmeyen Servis Baðlantýlarýnýn Engellenmesi

Aggressor ile servislere yapýlan baðlantýlarý önleyebilirsiniz.(ftp port=21 için)


1- “New Rule” týklatýlýr.


2- “ftp blocker” gibi bir taným verilir.


3- Trigger tabý týklatýlýr.


4- “Any protocol” seçili durumdan çýkarýlýr. “Add” butonu ile istenilen yasaklar konur. Action seçilir “Block Connection” seçilir ve “OK” ile kaydedilir.


Kuralýn Silinmesi

1- Rules týklanýr.


2- Silinecek kural týklanýr.


3- “Delete” seçilir.Daha sonra “yes” butonuna basarak kuralýn kaldýrýlma iþlemi tamamlanýr.


Kurallarýn Düzenlenmesi

1- “Rules” butonuna basarak aktif kurallarýn listesi görülür.


2- Daha sonra düzenlenmesi istenen kural seçilir.


3- Edit týklanýr.


4- Ýstenilen deðiþiklikler yapýldýktan sonra “OK” týklanýr. “Cancel” ile deðiþikliklerin kaydý yapýlmadan çýkýþ yapýlýr.

NETWORK TESTÝ



Aggressor Network Test Engine: Aggressor Network Test Engine ile sisteminizde meydana gelmiþ olan sorunlarý bulabilir yada baþkalarýnýn sisteminize ulaþmasýný saðlayacak exploit açýklýklarýný görebilirsiniz. Aggressor sadece bu sistem açýklýklarýný bulmakla kalmaz ayný zaman da bu sistem açýklýklarý için çözüm yollarý da üretir. Hassas noktalarý hassaslýk derecelerine göre renklendirir ve hangi noktaya önem vermeniz gerektiðini gösterir ve onlarý yamamanýzý saðlar. Bu yamalarla web sayfanýzý onarabilirsiniz.

Yasal olmayan IP paketi yaratma , Scannig ve Reporting, URL’ lere patch,

her exploit için çözüm (pluginden uyarlanmýþ)

Aggressor Test Engine’ nini baþlatmadan önce bir policy tanýmlamanýz gerekir. Sadece bir tek týklama ile policyleri silebilirsiniz. Policy’ ler diske (encrypted formatýnda ) kaydedilir. Her network modülünü açýþýnýzda Aggressor root direktöründeki *.pol uzantýlý dosyalarý tarar Policy’ yi seçtikten sonra “next” i týklayýn




Policy Editor: Policy editor’ a policy adýný girebilir, tanýmýný yapabilirsiniz. Bu bilgiler “Policy Selection Window” dan görülebilir.


Forced Scannig: Cevap vermeyen hostlarý scan eder.


Remove Inactive Host From The List:Listeden aktif olmayan hostlarý siler.


Perform Reverse Responding : Hostun Dns ‘ sinin gerçek olup olmadýðýný anlamak görmek için kullanýlýr.


Scan All Port On Target: Normalde Network Test Engine sadece belirtilen portlarý tarar. Bu komut Engine’ i tüm portlarý taramaya zorlar .(1’ den 65535’e kadar)


Warn Target Host By Sending Message Before Starting Test: Network testi baþlamadan önce mesaj göndererek (Windows Messaging System) uyarýr.Ýþlem sona erdikten sonra hedef hosta yeniden mesaj yollayarak testin bittiðini haber verir. Network Test Motoru istenilirse (Delay before starting test [xxx] secs )




Test Gruplarý



Bu bölüm hangi policy’ nin hangi test gruplarýný içerdiðini gösterir. “select all” ile bütün hepsini “select none” ile hiçbirini seçmeyerek seçimi kolaylaþtýrabilirsiniz.

Bu bölümde portlarý diðer adlarýyla tanýmlayabilirsiniz.Bu ,Network Test Engine tanýmlanmýþ hangi portun hangi servis için kullanýldýðýný anlamaya yarar. Mesela 666. portu ftp portu olarak tanýmlarsanýz

Aggressor Network Test Engine 666. Portu ftp portu olarak varsayar ve ve ftp testlerini bu porttan yürütür.








NETWORK SCANNER WINDOW

Bu pencerede , scan edilecek hostlar belirtilir. Combobox’a basarak yeni hostlar ekleyebilirsiniz. (Yerel hostlar gibi) Host eklendikten sonra “start” a basýlarak network scanning baþlatýlýr.




ÖRNEK:

==== Starting test [Session 1] [ Date 2/23/99] ====
Ignored host [195.174.89.38] R: Host is inactive (Ping timeout) [2/23/99] [3:50:05 PM]
---- Test Host [195.174.89.39] [2/23/99] [3:50:05 PM] ----------------------------------------
- Host is active ( respond <10 msec. )
- Host Name : ZEUS
- Name mismatch : 195.174.89.39 / ZEUS is not 232.46.25.0
- Host NIC vendor is Intel (PRO100B cards) [00:A0:C9B:E1:2A]
- Scanning services on host
Open Service [21 - ftp] [File Transfer [Control]]
Open Service [23 - telnet] [Telnet]
Open Service [25 - smtp] [Simple Mail Transfer Protocol]
Open Service [37 - time] [Time]
Open Service [53 - domain] [Domain Name Server]
Open Service [70 - gopher] [Gopher]
Open Service [79 - finger] [Finger]
Open Service [80 - http] [World Wide Web HTTP]
Open Service [98 - tacnews] [TAC News]
Open Service [109 - pop2] [Post Office Protocol - Version 2]
Open Service [110 - pop3] [Post Office Protocol - Version 3]
Open Service [111 - sunrpc] [SUN Remote Procedure Call]
Open Service [113 - auth] [Authentication Service (identd)]
Open Service [119 - nntp] [Network News Transfer Protocol]
Open Service [139 - netbios-ssn] [NetBIOS Session]
Open Service [143 - imap2] [Interim Mail Access Protocol v2]
Open Service [513 - login] [remote login a la telnet]
Open Service [514 - cmd] [remote process execution (No auth)]
- Scanning Complete
- Vulnerability Test
- Count.CGI Scanner
- Result : Host is not vulnerable (0)
- FaxSurvey CGI Scanner
- Result : Host is not vulnerable (0)
- Handler CGI Vulnerability Scanner
- Result : Host is not vulnerable (0)
- Htmlscript CGI Vulnerability Scanner
- Result : Host is not vulnerable (0)
- PerlIIS Vulnerability Scanner
- Result : Host is not vulnerable (0)
- PHP CGI Vulnerability Scanner
- Result : Host is not vulnerable (0)
- Test CGI Vulnerability Scanner
- Result : Host is not vulnerable (0)
- Wwwboard PL Vulnerability Scanner
- Result : Host is not vulnerable (0)
- FTP Anoymous Login Vulnerability
FTP Anonymous: Connecting 195.174.89.39 on port 21
FTP Anonymous: Connected checking for user 'anonymous'.
FTP Anonymous: Destination machine is VULNERABLE
- Result : Host is not vulnerable (0)
- FTP CMD Buffer Overrun Exploit
FTP Buffer Overrun: Connecting 195.174.89.39 on port 21
FTP Buffer Overrun: Sending crash
FTP Buffer Overrun: Checking host
- Result : Host is VULNERABLE (1)
- FTP Warez
FTP Warez: host IS NOT 195.174.89.39 vulnerable
- Result : Host is VULNERABLE (1)
- GFDetect
[GF Detect] - looking for Girl Friend Trojan running on : [195.174.89.39]
[GF Detect] - Cannot connect - This machine is probably not infected.
- Result : Unknown (2)
- Hanson mIRC D.O.S
Hanson mIRC D.O.S: attacking to host 195.174.89.39
Hanson mIRC D.O.S: Connected to [195.174.89.39:113].
Hanson mIRC D.O.S: Connected to [195.174.89.39:113].
Hanson mIRC D.O.S: Connected to [195.174.89.39:113].
Hanson mIRC D.O.S: Connected to [195.174.89.39:113].
Hanson mIRC D.O.S: Connected to [195.174.89.39:113].
Hanson mIRC D.O.S: 5000 packets sent to host 195.174.89.39
- Result : Unknown (2)
- Imap scan
* OK zeus.olympos.org IMAP4rev1 v11.241 server ready
Imap scan: host 195.174.89.39 IS NOT vulnerable
- Result : Host is VULNERABLE (1)
- Inetinfo
[Inetinfo] - first looking for Inetinfo.exe running on : [195.174.89.39]
[Inetinfo] - Cannot connect - This machine is probably not running Inetinfo.exe
- Result : Unknown (2)
- Land
Land: 195.174.89.39 port:25
Land : Done . [100 Packets Send ]
- Result : Unknown (2)
- OShare 2 (Improved by Aggressor Team)
OShare: 195.174.89.39 port:25
Oshare : [195.174.89.39] [ packet # 11 ] [ hlen 11 ]
Oshare : [195.174.89.39] [ packet # 22 ] [ hlen 8 ]
Oshare : [195.174.89.39] [ packet # 33 ] [ hlen 8 ]
Oshare : [195.174.89.39] [ packet # 44 ] [ hlen 3 ]
Oshare : [195.174.89.39] [ packet # 55 ] [ hlen 10 ]
Oshare : [195.174.89.39] [ packet # 66 ] [ hlen 14 ]
Oshare : [195.174.89.39] [ packet # 77 ] [ hlen 13 ]
Oshare : [195.174.89.39] [ packet # 88 ] [ hlen 1 ]
Oshare : [195.174.89.39] [ packet # 99 ] [ hlen 2 ]
OShare : Done . [100 Packets Send ]
- Result : Unknown (2)
- Phf scan
Phf scan: host 195.174.89.39 IS NOT vulnerable
- Result : Host is not vulnerable (0)
- SSPing
- Result : Unknown (2)
- Suffer aka synflood2
Suffer: 195.174.89.39 port:25
Suffer: 10 238.130.146.243
Suffer: 20 164.195.189.141
Suffer: 30 150.176.253.160
Suffer: 40 127.39.181.80
Suffer: 50 136.200.67.218
Suffer: 60 236.25.152.204
Suffer: 70 185.37.84.169
Suffer: 80 155.6.249.126
Suffer: 90 164.214.148.72
Suffer: 100 226.120.129.188
Suffer : Done . [100 Packets Send ]
- Result : Unknown (-2)
- WinGate Kill
WinGate Kill: host 195.174.89.39 is not VULNERABLE
- Result : Host is not vulnerable (0)
- Winnuke
Winnuke : IP [195.174.89.39] Port [139]
Winnuke : Done . [100 Packets Send ]
- Result : Unknown (2) End of vulnerability testing.
*** End of Test [195.174.89.39] [2/23/99] [3:50:50 PM]
---- Test Host [195.174.89.40] [2/23/99] [3:50:51 PM] ----------------------------------------
- Host is active ( respond <10 msec. )
- Host Name : crysania.coresoft.net
- Host NIC vendor is Intel (PRO100B cards) [00:A0:C9B:F5:87]
- Scanning services on host
Open Service [25 - smtp] [Simple Mail Transfer Protocol]
Open Service [80 - http] [World Wide Web HTTP]
Open Service [135 - loc-srv] [********]
Open Service [139 - netbios-ssn] [NetBIOS Session]
Open Service [1029 - icq?] [Possible ICQ]
- Scanning Complete
- Vulnerability Test
- Count.CGI Scanner
- Result : Host is VULNERABLE (1)
- FaxSurvey CGI Scanner
- Result : Host is VULNERABLE (1)
- Handler CGI Vulnerability Scanner
- Result : Host is VULNERABLE (1)
- Htmlscript CGI Vulnerability Scanner
- Result : Host is VULNERABLE (1)
- PerlIIS Vulnerability Scanner
- Result : Host is VULNERABLE (1)
- PHP CGI Vulnerability Scanner
- Result : Host is VULNERABLE (1)
- Test CGI Vulnerability Scanner
- Result : Host is VULNERABLE (1)
- Wwwboard PL Vulnerability Scanner
- Result : Host is VULNERABLE (1)
- GFDetect
[GF Detect] - looking for Girl Friend Trojan running on : [195.174.89.40]
[GF Detect] - Cannot connect - This machine is probably not infected.
- Result : Unknown (2)
- Imap scan
Imap scan: unable to connect host 195.174.89.40
- Result : Unknown (2)
- Inetinfo
[Inetinfo] - first looking for Inetinfo.exe running on : [195.174.89.40]
[Inetinfo] - Exploit sent to Server... Exiting
- Result : Unknown (2)
- Land
Land: 195.174.89.40 port:0
Land : Done . [100 Packets Send ]
- Result : Unknown (2)
- OShare 2 (Improved by Aggressor Team)
OShare: 195.174.89.40 port:0
Oshare : [195.174.89.40] [ packet # 11 ] [ hlen 1 ]
Oshare : [195.174.89.40] [ packet # 22 ] [ hlen 10 ]
Oshare : [195.174.89.40] [ packet # 33 ] [ hlen 15 ]
Oshare : [195.174.89.40] [ packet # 44 ] [ hlen 10 ]
Oshare : [195.174.89.40] [ packet # 55 ] [ hlen 6 ]
Oshare : [195.174.89.40] [ packet # 66 ] [ hlen 14 ]
Oshare : [195.174.89.40] [ packet # 77 ] [ hlen 11 ]
Oshare : [195.174.89.40] [ packet # 88 ] [ hlen 4 ]
Oshare : [195.174.89.40] [ packet # 99 ] [ hlen 14 ]
OShare : Done . [100 Packets Send ]
- Result : Unknown (2)
- Phf scan
Phf scan: host 195.174.89.40 IS NOT vulnerable
- Result : Host is not vulnerable (0)
- SSPing
- Result : Unknown (2)
- Suffer aka synflood2
Suffer: 195.174.89.40 port:0
Suffer: 10 175.44.227.121
Suffer: 20 147.91.75.235
Suffer: 30 159.51.251.244
Suffer: 40 181.164.70.146
Suffer: 50 218.224.137.216
Suffer: 60 140.7.182.86
Suffer: 70 137.127.237.49
Suffer: 80 141.141.106.31
Suffer: 90 157.112.179.9
Suffer: 100 195.81.47.244
Suffer : Done . [100 Packets Send ]
- Result : Unknown (-2)
- Winnuke
Winnuke : IP [195.174.89.40] Port [139]
Winnuke : Done . [100 Packets Send ]
- Result : Unknown (2)
- End of vulnerability testing.
*** End of Test [195.174.89.40] [2/23/99] [3:51:21 PM]
*** Ignored host [195.174.89.41] R: Host is inactive (Ping timeout) [2/23/99] [3:51:24 PM]
*** Ignored host [195.174.89.42] R: Host is inactive (Ping timeout) [2/23/99] [3:51:27 PM]
---- Test Host [195.174.89.43] [2/23/99] [3:51:27 PM] ---------------------------------------
- Host is active ( respond <10 msec. )
- Host Name : DARKPORTAL.coresoft.net
- Host NIC vendor is Intel (PRO100B cards) [00:A0:C95:71:E8]
- Scanning services on host
Open Service [25 - smtp] [Simple Mail Transfer Protocol]
Open Service [53 - domain] [Domain Name Server]
Open Service [106 - 3com-tsmux] [3COM-TSMUX]
Open Service [110 - pop3] [Post Office Protocol - Version 3]
Open Service [135 - loc-srv] [********]
Open Service [139 - netbios-ssn] [NetBIOS Session]
Open Service [1028 - icq?] [Possible ICQ]
- Scanning Complete
- Vulnerability Test
- GFDetect
[GF Detect] - looking for Girl Friend Trojan running on : [195.174.89.43]
[GF Detect] - Cannot connect - This machine is probably not infected.
- Result : Unknown (2)
- Imap scan
Imap scan: unable to connect host 195.174.89.43
- Result : Unknown (2)
- Inetinfo
[Inetinfo] - first looking for Inetinfo.exe running on : [195.174.89.43]
[Inetinfo] - Cannot connect - This machine is probably not running Inetinfo.exe
- Result : Unknown (2)
- Land
Land: 195.174.89.43 port:25
Land : Done . [100 Packets Send ]
- Result : Unknown (2)
- OShare 2 (Improved by Aggressor Team)
OShare: 195.174.89.43 port:25
Oshare : [195.174.89.43] [ packet # 11 ] [ hlen 8 ]
Oshare : [195.174.89.43] [ packet # 22 ] [ hlen 1 ]
Oshare : [195.174.89.43] [ packet # 33 ] [ hlen 15 ]
Oshare : [195.174.89.43] [ packet # 44 ] [ hlen 10 ]
Oshare : [195.174.89.43] [ packet # 55 ] [ hlen 8 ]
Oshare : [195.174.89.43] [ packet # 66 ] [ hlen 7 ]
Oshare : [195.174.89.43] [ packet # 77 ] [ hlen 14 ]
Oshare : [195.174.89.43] [ packet # 88 ] [ hlen 7 ]
Oshare : [195.174.89.43] [ packet # 99 ] [ hlen 7 ]
OShare : Done . [100 Packets Send ]
- Result : Unknown (2)
- SSPing
- Result : Unknown (2)
- Suffer aka synflood2
Suffer: 195.174.89.43 port:25
Suffer: 10 140.145.11.174
Suffer: 20 169.154.166.71
Suffer: 30 132.192.218.243
Suffer: 40 147.36.142.167
Suffer: 50 160.62.86.175
Suffer: 60 139.79.247.80
Suffer: 70 186.248.251.197
Suffer: 80 247.138.49.214
Suffer: 90 130.10.134.119
Suffer: 100 163.46.59.242
Suffer : Done . [100 Packets Send ]
- Result : Unknown (-2)
- Winnuke
Winnuke : IP [195.174.89.43] Port [139]
Winnuke : Done . [100 Packets Send ]
- Result : Unknown (2)
- End of vulnerability testing.
*** End of Test [195.174.89.43] [2/23/99] [3:51:53 PM]
---- Test Host [195.174.89.44] [2/23/99] [3:51:54 PM] ---------------------------------------
- Host is active ( respond <10 msec. )
- Host Name : SSG
- Host NIC vendor is Intel (PRO100B cards) [00:A0:C95:51:35]
- Scanning services on host
Open Service [80 - http] [World Wide Web HTTP]
Open Service [135 - loc-srv] [********]
Open Service [139 - netbios-ssn] [NetBIOS Session]
- Scanning Complete
- Vulnerability Test
- GFDetect
[GF Detect] - looking for Girl Friend Trojan running on : [195.174.89.44]
[GF Detect] - Cannot connect - This machine is probably not infected.
- Result : Unknown (2)
- Imap scan
Imap scan: unable to connect host 195.174.89.44
- Result : Unknown (2)
- Inetinfo
[Inetinfo] - first looking for Inetinfo.exe running on : [195.174.89.44]
[Inetinfo] - Cannot connect - This machine is probably not running Inetinfo.exe
- Result : Unknown (2)
- Land
Land: 195.174.89.44 port:80
Land : Done . [100 Packets Send ]
- Result : Unknown (2)
- OShare 2 (Improved by Aggressor Team)
OShare: 195.174.89.44 port:80
Oshare : [195.174.89.44] [ pac
---------------------
тşк єтмєηιz уєтєя...кαя∂єşℓєяιм
вιя тєвєѕüм уєяιηє вι тşк уєтєя..χ∂
...ultraslan...
(K)ALINTIDIR...





Bookmarks


« Önceki Konu | Sonraki Konu »
Seçenekler

Yetkileriniz
Sizin Yeni Konu Acma Yetkiniz var yok
You may not post replies
Sizin eklenti yükleme yetkiniz yok
You may not edit your posts

BB code is Açık
Smileler Açık
[IMG] Kodları Açık
HTML-Kodları Kapalı
Trackbacks are Kapalı
Pingbacks are Kapalı
Refbacks are Kapalı