portlar, sistem açıkları, ve nuke!!!!

[ZaNdAR]

Portlar, Sistem Açıkları ve Nuke

Sistem açıkları lafını çok duymuşsunuzdur. Ama pek azınız bunun gerçekten ne anlama geldiğini bilir. Yeni yetme hackerlar (lamerz) kulaktan dolma bilgiler ve sınırsız hayal güçleriyle öyle şeyler söylüyorlar ki, bazen ben bile kendi kendime "Teknolojinin gerisinde mi kaldım? Bunlar ne zaman ortaya çıktı?" diyorum.... Bazıları portscanner'ı başkasının bilgisayarına girmeyi sağlayan program sanıyor... Bazısı sitesinde 20 değişik OOB nuke bulunduruyor... Sanki biri diğerinden daha farklı iş yaparmış gibi.... Geçen surf yaparken gezdiğim sitede winnuke programının eski bir nuke olarak (saygı yüzünden) siteye konulmuş olduğunu okudum. Buraya kadar bir şey yok ta, arkadaş bu yazıyı yazdığı sayfaya bir sürü OOB nuke koymuştu. Nuke nedir bilenler winnuke'un bir oob nuke olduğunu zaten biliyor... Bilmeyenler de sanırım bu süper hackerın ne kadar iyi bir nuke bilgisine sahip olduğunu anlamıştır!

Bu yüzden bu yazıyı yazmaya kara verdim.

Burda baya bir muhabbete girecem çünkü bu tip muhabbetleri severim. Sistem açıkları adı üzerinde sistemlerde bulunan açıklardır. Bu yazılım veya donanım olabilir. İlle işletim sisteminde olması gerekmez. İşletim sisteminin çalıştırdığı programlarda da olabilir. Peki bu tip açıklar nelerden olur? Bir program yazarken (ki buna microsoftun süper programcıları da dahil) veya donanım üretirken bazı kabuller yaparsınız. Bu kabullerin seviyesi sizin hata töleransınızı ve sisteminizin emniyeti belirler. Örneğin mikro yazılım evinde program üreten kişi sisteme virus girerse kayıtlara ne olacak düşünmez.... Kayıt esnasında elektiriğin kesilmesi onun için exta bir olaydır ( bu türkiye'nin bir gerçeği olsada!).Tabiki bir sistem açığının oluşması illede kabullerden olmaz. Programlama sırasında gözden kaçan hatalarda sistem açıklarına sebep olabilir. Yalnız burda durup dururken makinanızın kilitlenmesine sebep olan "bug"lardan bahsetmiyorum. Sistem açıkları, sisteme dışardan müdake edilmesine imkan veren, sistemin güvenilirliğini azaltan hatalardır. Hackerları hacker yapan bu sistem açıklarını bulmak ve bunlardan yararlanmaktır (işte bütün hackerlara benim söyliyeceğim budur!!! .

Nuke programları nedir ona gelince nuke de sistem açıklarından yararlanarak bir sisteme zarar vermek için kullanılan programlardır. Bu arada Nuke nukleer'in kısaltması oluyor bunu da bilare söyliyeyim. Şimdi nuke programlarının nasıl çalıştığına geçmeden önce port olaylarına da bir açıklık getireyim.

TCP/IP protokol ailesi, veri yolunu 0 ile 65535 (2 baytlık) kanallara bölmüştür. Bu kanallara port denir. Bir bağlantı en kısa şekilde kaynak IP:kaynak Port, hedef IP:hedef Port olarak tanımlanabilir. Her bilgisayarda her port açık değildir. Bir portun açık olması için o portu dinleyen bir programın veya sistem processinin olması gerekir. Bilgisayarınızda hangi port açık, hangi port ile nereye bağlanmışsınız görmek için, dos penceresi açıp "netstat -a" yazabilirsiniz.

Peki nuke yazanlar ne gibi sistem açıklarından yararlanıyor? Not: Burda bütün nukeleri anlatamam sadece bir kaç tanesinin nasıl çalıştığını anlatacağım.

OOB Nuke: Microsoft, bilgisayarlar arası yazıcı ve bilgi paylaşımı için 139. portu kullanır. Buna netbios portu da denir. Şimdi bu porta out-of-band verisi yollarsak winsock 1.x sürümlü windowslar mavi bir ekran vererek kilitlenir. Olay winsock 1.x in 139.porta bu tip bir bilgiyi beklememesinden kaynaklanmaktadır. İşte burda bir kabul görüyoruz. Ms Coderları buna ihtimal vermemişler. Bu sanırım piyasaya çıkan ilk nuke çeşididir. Şimdi bu out-of-band verisi ne oluyor derseniz, bir TCP/IP paketini, yani internette gidecek veri paketini iki şekilde yolluyabilirsiniz. Biri normal, diğeri hızlı! Out-of-band paketi hızlı paket demektir! Bu paket sadece 139. porta yollanırsa ve bu portu dinleyen makinada windows (95 veya NT) yüklü ise, ve makinanın winsock sürümü 1.x li ise makinayı kilitler.

Ping Bomp: Bu bazı hackerlar tarafından küçümsenen lamer işi denen bir nuke çeşididir. Kurbanın bilgisayarının 7. portuna büyük paketler halinde veri yolluyorsunuz. Kurbanda size bu verileri geri yolluyor. Şimdi niye geri yoluuyor diyorsanız, bu yaptığınız işlem 7.portu açık olan birine bağlanıp ona veri yollamak değil. Ona icmp protokolünü kullanarak veri yollamak ki buna ping çekmek denir. Eğer güçlü bir omurga üzerindeyseniz (mesela bir ISPde), birine sürekli ping çekerek onun sisteminin kilitlenmesini sağlayabilirsiniz. İşte bu da: ping bomb veya icmp flooder (veya icmp bomber !

Land Nuke: Bu da sadece winsock 1.x li ve windows yüklü makinaları etkileyen (kilitleyen) bir nukedür. Yalnız şunu belirteyim service pack sürümü eski olan NTlerde de OOB ve Land nuke programları işler! Bu nuke diğer iki nukeden farklı olarak hem winsock (windowsun internet ile ilgili kütüphanesi), hem de TCPnin açıklarından yararlanır. TCP, (muhabbet git gide uzayacak ama olsun!) bağlantı kontrollü bir protokoldür. Birde UDP var o bağlantı kontrolsüz bir protokoldür! Bu nasıl oluyor derseniz sadece size kilit noktasını söyliyeyim: bir yere bağlandığınızda ona veri yollarken, veri paketiniz bir sayı içerir, orası size cevap yollarken bu sayıyı kullanarak size veri yollar, size gelen veri bu sayede gerçekten bağlantı yaptığınız yerden mi geliyor anlaşılır. Bu yüzden hackerların (hani şu Amerika'da yaşayan, veya Rusya'da...) IP spoof dedikleri olay aslında baba bir olaydır. Wingate yada socks kullanılarak yapılan spoof hava ve civadan ibarettir. Neyse olayı dağıtmadan nasıl land nuke atılacağına geçim, Land nuke için TCP paketinin başlık dosyasını (paketin boyutunu, adresini etc belirten kısım) bozuyoruz ve kaynak adres ve portunu hedef adres ve portuyla aynı yapıyoruz. Tabiki kaynak ve hedef adresleri bizim kurbanımızın IPsi oluyor. Bu paketi bir bağlantı isteği olarak hedefe yolluyoruz. Ve hedef makina (Microsoftcular bu tip bir olayı hesaba katmadıklarından) donup kalıyor.

Suffer: Bu güzel nukede ise hedef makinanın açık olan bir portuna TCP başlığına ayrı yerlerin adresleri yazılmış 100lerce bağlantı isteği yolluyoruz. Bu bağlantı isteklerinin hiç biri aslında gerçekleşmiyor, ama makina bu isteklerin fos olduğunu anlayana kadar bütün gelen bağlantılar için hafıza ayırdığından ya kitleniyor yada inanılmaz derecede yavaşlıyor. Bu nuke genelde firewall'ları kitlemekte kullanılır. Bu nukede de land nukede olduğu üzere TCP/IP başlığını değiştirirerek yolluyoruz.

Smurf: Bu nuke'ü piyasada bulamıyorum (bende linux versiyonu var). Bence gerçekten işe yarar nukelerden biri. Çalışma prensibi olarak ping bombun aynısı. Yani kurbanımızı pinglerle boğuyoruz. Yalnız bunun şöyle bir püf noktası var: Ping bombda söylediğim gibi iyi bir omurga üzerinde olmalısınız ki büyük paketleri ardı ardına hedefe hızlıca yollayabilesiniz. Bunda ise icmp başlık dosyasını değiştirip yolladığımız ping paketinin kaynak (geri dönüş) adresini kurbanımızın IPsi yapıyoruz. Peki nereye ping atıyoruz? Büyük networklerin broadcast makinalarına!!!! Bu makinalar (ki genelde IPleri 0 veya 255 ile biter), kendilerine gelen ping isteğini ağa bağlı bütün makinala yollar. Bu da bütün makinaların hep beraber ping çekene ping atmasına sebep olur! Sonucu sanırım düşünebiliyorsunuz...

Coke: NT Server hatalara karşı çok duyarlı, işte nuke yazmaya meraklılar bunu iyi kullanıp coke nukeünü yazmışlar. NT Serverların en zayıf noktalarından biri event logları. Event Log serverda çalışan programların, servisler, loginlerin ve hataların tutulduğu yer. Yani serverda ne oluyorsa şu, şu saate oldu şeklinde kaydı tutuluyor. Bu zaten bütün servis vermesi için planlamış işletim sistemlerinde olur. Peki NT Server'in açığı nedir? NT Serverin açığı ise tekrarlanan hatalar yüzünden event logun dolabilmesi ve kayıt tutma şekli yüzünden event log dolduğu anda makinanın korkunç derecede yavaşlaması. Bu coke nuke bundan şu şekilde yaralanıyor. WINS veren NT serverlar bu servisi 42 numaralı port üzürinden veriyor. WINS veren bir NTye bu porttan bağlanıp olması gereken wins isteği dışında her hangi bir şey yollarsanız NTnin event logu dolacaktır ve bu da sistem kaynakların azalmasına, makinanın yavaşlamasına sebep olacaktır.



alıntıdır...

[mavi patikli]

detaylı bilgi için teşekkürler

[by_cesur]

saoll bu kadar bilgi yeter yani