Merhabalar TürkHackTeam ailesi, bugün sizlere "IDS Atlatma Teknikleri" konusunu anlatacağım. Öncelikle konu başlıklarımıza sonra da terimlere bakıp konumuza geçelim.
Konu Başlıkları
IDS Nedir?
IDS Nasıl Çalışır?
IDS Atlama Teknikleri
1. SSH Tünelleme
2. Nikto Aracı
3. IP Parçalama
4. Proxy Kullanmak
IDS Nedir?
+ IDS atlamayı anlatacağım fakat IDS'ın da ne olduğuna bir bakalım. İngilizce açılım olarak "Intrusion Detection Systems" Türkçe olarakta "Saldırı Tespit Sistemleri" demektir.
Yani sisteme gelen ve giden paketleri inceleyerek zararlı bir şey var ise tespit ederek bildirmekle görevlidir.
İmza tabanlıdır yani şu şekilde anlatayım bir saldırı oldu ve o saldırıyı IDS fark etti hemen kendi veritabanına bakarak böyle bir saldırı ben de kayıtlı mı diye kontrol eder, böyle bir saldırı veritabanın da varsa bizleri uyarır yoksa da herhangi bir şey demeden devam eder.
Görev olarak saldırı tespiti ve analizi yapmaktadır ayrıca herhangi bir reaksiyon vermez yani sadece uyarır bizleri.
IDS Nasıl Çalışır?
IDS çalıştığı ağı dinler ve zararlı bir girişim olursa bunu bizlere rapor eder.
IDS Atlama Teknikleri
SSH Tünelleme
SSH Tünelleme, şifreli olan ssh bağlantısını her iki taraftan da güvenli bir şekilde taşımak için oluşturulmuş bir tekniktir.
Hadi başlayalım,
+ Öncelikle hedefimizin IP adresini öğrenemek için (İç ağda işlem yaptığım için direk öğrenebilirim.)
Kod:
ifconfig
+ Daha sonra saldırı makinemize gelerek terminali açalım ve
Kod:
ssh -L 8080:Hedef_IP:80 kullanıcıadı@Hedef_IP
Burada 80. port üzerinden bir tünel açmış olduk. 80. Portu kendi local'imizde ki 8080 portuna yönlendirdik. Burada -L parametresini kullandık bunun da ne olduğunu yazayım.
-L : Hedefin portunu, uzakta ki hedef porta bağlamaya yarar.
Burada tarayıcımıza gelerek localhost:8080 yazarsak tüneli açtığımız hedefin 80. portuna bağlanır. Bunu yasaklı sitelerde de kullanabilirsiniz VPN görevi de görmektedir.
Nikto Aracı
Nikto aracı, web sitelerinde açık tarama ile görevlidir. Bu açık türleri sql, xss vb. açıklardır. Bu açıklarda kullanabileceğimiz exploitleri bizlere listeler.
Nikto aracı ile IDS'ye yakalanmadan hedef hakkında bilgi sahibi olabiliriz.
+ Nikto aracının normal olarak kullanıldığın da yani
Kod:
nikto -h IP_ADRESı/domain.com
Bunun önüne geçebilmek için ise terminale
Kod:
nikto -h IP_ADRESI/domain.com -ssl
TCP 443 portunda ki paketler şifrelenmiş olduğu için IDS izleme araçları bunu görememektedir.
IP Parçalama
İki ağ arasında ki alışverişte belirli bir değerin (1500 bayt) üstünde ise parçalanır. Nasıl derseniz diyelim ki 2500'lük bir paketimiz var ve hedef 1500 olarak kabul ediyor. Bunu 2 parçaya bölerek içeri alabilir.
Bunu IDS de nasıl kullanılırız derseniz paketimiz 2 parçalı olursa IDS birini tarayacak fakat diğerini taramadan içeri alacaktır.
+ Bu işlem için Fragroute aracını kullanacağız. Bunun için terminale
Kod:
apt-get install fragroute
+ Daha sonra kullanımına gelelim. Kullanım için
Kod:
fragroute -f /etc/fragroute.conf Hedef_IP
Proxy Kullanmak
Proxy, vekil sunucu görevi görmektedir ve Proxy kullanarakta IDS'yi atlatabilirsiniz. Bunun için hazır kurulu olarak gelen Proxychains uygulamasından yararlanacağız.
+ Öncelikle ayar yapmalıyız. Bunun için de terminale gelerek (Root olmanız gerekiyor sudo su )
Kod:
vim /etc/proxychair.conf
Daha sonra işaretlediğim yerler sizde 1. olanın başında # işareti var onu kaldıralım. 2. de ise başında # işareti yok # koyalım.
+ Tor browser proxy kullanıyor ve socks4 ile kullanıyor. Biz bunu istemediğimiz için socks'un başına # koyuyoruz ve alta https://free-proxy-list.net sitesinden aldığımız Proxy'yi ekliyeceğiz o da şu şekilde
Kod:
http Proxy_IP
Sonra terminale gelerek
Kod:
proxychains firefox
Konum bu kadardı arkadaşlar bilgilendiyseniz ne mutlu bana, başka bir yazımda görüşmek üzere sağlıcakla kalın...
Son düzenleme: