Cain & Abel [ for hacking...]

Cain & Abel ne yapar? “Man in the Middle” olarak adlandırılan “ortadaki adam” saldırısını, ARP zehirlemesi kullanarak gerçekleştirir böylece ağ’daki kullanıcıların özel bilgilerini görmektedir. Bunu yaparken desteklediği protokoller oldukça fazladır Konu Joker tarafından açılmış, 22830 kişi tarafından görüntülenip, 29 yanıt almış.

Özel Yazılım Trojan+, güncellemeli ve garantili. Sadece 690TL! Kredi kartınıza 12 taksit kolaylığı!

Karşı sistemi kendi makineniniz gibi kullandıran uzaktan yönetim programı.
  • Canlı ekran izleme,vnc ve mouse kontrolü
  • Antiviruslerce %100 tanınmaz, güncelleme garantili
  • Ortam sesi dinleme
  • Webcam izleme
  • Online/offline keylogger
  • Kopyala/Yapıştır, Clipboard Yöneticisi (Canlı)
  • Warlogger desteği
  • Çalıştırma,upload,download,yeniden adlandırma,silme,gizli çalıştırma,thumbnail görüntüleme(indirmeden dosya görme)
  • Registry yöneticisi (tam özellikli)
  • Msn şifrelerini ve geçmişteki tüm adresleri çıkartma
  • Firefox şifrelerini çözme
  • Görev yöneticisi, görev sonlandırma
  • Çalışan programları listeleme
  • Bağlı sistemlerin yaptığı işlemleri tek listede görme!
  • Binder / dosya birleştirici
  • Virus tipinde resource kullanmadan bindleme özelliği
  • Mp3,resim,jpeg,vs her türlü dosya ile birleşip,exploitler ile link üzerinden,htmlden yayılır
  • Keyloggerda dll kullanmadan system hooklarıyla loglama ve tabii dll kullanmadan kimse yapamıyorken %100 sisteme zarar vermeden stabil bütün dünya dillerinde loglama.
  • Internet Explorer 9 şifre çözme
  • Chrome Şifreleri (bütün sürümler)
  • Firefox Şifreleri (bütün sürümler)
  • Internet Exporer Şifreleri (bütün sürümler)
  • Safari Şifreleri (bütün sürümler)
  • Reklam Bot ile site reklamı, dosya yükletme, bulaştırma,vs. MSN,Yahoo Messenger,ICQ ve AIM sistemlerinin hepsini tanır. Reklam bot aynı anda birden fazla sisteme komut verebilir.
  • Browserda geçmiş verileri, form girdilerini kayıt edip trojandan erişme
  • Klavye Kilitleme
  • Mouse Kilitleme
  • Masaüstü Gizleme
  • Sistemlere takılı flash/usb disk varsa bulaştırma Birden fazla sisteme aynı anda autorun oluşturabilir.
  • Uzaktan exe yükletme Aynı anda birden fazla sisteme exeleri tek komutla yükletebilir.
  • Fake sistem kilitleme. Tek tıklama ile karşı sistemi restart/yeniden başlat moduna geçmiş gösterip kilitleme. Kullanıcı fişten çekmediği sürece siz istemedikçe bilgisayarı kapatamaz, yeniden başlatamaz.
  • Karşı sistemin yeniden başlatılma talebinde masaustu ve bütün ekranı kapanıyor gibi gösterip kapanış sesini çalara kullanıcıyı bekletme. Kullanıcı sistemi kapatmak istediğinde siz izin vermezseniz windows kapanmaya çalışıyor gibi görünür ancak yonetim panelinden her türlü işlem yapılır.
  • Sistem servislerini yönetme
  • Outlook şifreleri çözme. (bütün outlook versiyonları outlook expressler dahil)
  • Otomatik güncelleme özelliği ile yakalanma durumunda kısa sürede otomatik güncelleme alma
Sadece 690 TL! Satın almak için iletişim formunu kullanabilirsiniz.


Ayrıca, iki farklı üst sürümü var:
Özel Trojan 990 TL: İstediğiniz isimle çalışıp, istediğiniz yere kopyalanır ve başlangıçta, msconfig'de, registry'de görünmez.
ÖZEL TROJAN 1490 TL: Görev yöneticisinde ve sistemin hiç bir yerinde görünmez.


Sürümler: 1200 TL: - Kimsenin bulamayacağı şekilde çalışır!> m3hm3t. 1750 TL: %100 gizlidir, RAM'de çalışır ve bentrojanim.exe olarak çalışsa dahi hiç bir yerde görünmez.

Wardom.Com.TR bir bilgisayar güvenliği sitesidir; hack konuları bilgisayar güvenliğinin ve bilgisinin uç noktaları olduğundan dolayı, kullanıcıları bu konularda bilgilendirmek ve güvenliklerini arttırmak için yazılmaktadır.

Geri Dön   Wardom.Com.TR > Dökümanlar > Kategoriler > Hacking
Sayfayı Yenile Cain & Abel [ for hacking...]
Üye Ol Sözlük Üye Listesi Arama Yeni Mesajlar Forumları Okundu İşaretle

Konu Başlıkları: abel cain hacking
Üye Olmadan Yorum Yazmak İçin Tıklayın!
Cain & Abel [ for hacking...] konusundaki toplam yorum: 29, okunma sayısı: 22830.
2 sayfadan, 1.sayfa 1 2 >
 
Cain & Abel [ for hacking...]
Cain & Abel [ for hacking...]
Dökümanı yazan Joker
17-02-2007
Cain & Abel [ for hacking...]
Cain & Abel ne yapar? “Man in the Middle” olarak adlandırılan “ortadaki adam” saldırısını, ARP zehirlemesi kullanarak gerçekleştirir böylece ağ’daki kullanıcıların özel bilgilerini görmektedir. Bunu yaparken desteklediği protokoller oldukça fazladır böylelikle örneğin bir banka/alışveriş sitesinde kredi kartını kullanan bir kullanıcının site/sayfa SSL’li dahi olsa bilgilerini görmek mümkündür. Program kablosuz ağ’lara bağlanarak gene bu tip işlemlerin yapılmasını desteklemektedir.
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=121202

Yazının anlaşılabilmesi için belki bildiğiniz belkide bilmediğiniz bazı protokolleri ve terimleri açıklamak gerekli. Lütfen ne kadar “biliyorumda” desenizde “SÖZLÜK” bölümünü gözden geçirmeyi ihmal etmeyin.


Sözlük:
ARP (http://tr.wikipedia.org/wiki/ARP); Address Request Protocol, lokal ağ’larda paketlerin gönderilmesini/alınmasını sağlayan ikinci katmanda (L2) çalışan protokol. OSI (http://tr.wikipedia.org/wiki/OSI_Modeli) katmanlama modeline göre temel amacı, L3’den gelen adresleme paketlerine L2 adresleme paketlerini eklemektir. DOD (http://en.wikipedia.org/wiki/DoD_model) katmanlama modeline göre temel amacı, L2’den gelen adresleme paketlerine L1 adresleme paketlerini eklemektir.

IP (http://tr.wikipedia.org/wiki/IP); Internet Protocol, internet ağ’ına bağlı her cihazın kendine ait en az bir adet IP adresi vardır bu adres başka hiçbir cihazda yoktur. Böylelikle “adresleme” sağlanmaktadır. IP protokol’ünü geliştiren ekip DOD modelini geliştirmiştir ve daha sonra geliştirilen OSI modelini “benimsememiştir”. Bu bakımdan bilişime yeni başlayan birinin L2’si eskilerin L1’ine denk gelmektedir, bu da bazen karışıklıklara sebep olmaktadır.

IPv4 (http://tr.wikipedia.org/wiki/IP_adresi); 32bit uzunluğuna sahiptir, güvenlik özelliği yoktur. Bu bakımdan güvenli haberleşmeyle ilgili protokoller daha üst katmanlarda çalışır.

IPv6 (http://tr.wikipedia.org/wiki/IPv6); 128bit uzunluğundadır, güvenlik özelliği vardır. Yaklaşık 10 yıldır geliştirilmektedir ve yaygınlaşması için belirlenen plana göre 2007 yılında tüm dünyanın geçmesi beklenmektedir.

Ethernet; Dünyada en yayğın olarak kullanılan arabirimin adıdır. 1973 yılında Xerox firması tarafından geliştirilmiş ve standartları DEC, Intel ve Xerox tarafından belirlenmiştir. Yaygın kullanıma 3Com firması sunmuştur.

Wirespeed (http://en.wikipedia.org/wiki/Wirespeed); Switch’e gelen paketin işlenmesi gecikmelere sebep olur (switch marka modeline göre; 10Mbit 40-70ms, 100Mbit 11-30ms, 1Gbit 4-8ms). Wirespeed özelliğine sahip switch’te böyle bir gecikme yaşanmaz. Böylece örneğin 1Gbit hızındaki porttan saniyede enaz 84byte’lık 1.448.000 adet, 1500byte’lık 83.333 paket (10Mbit’te 84byte’lık 14.880 adet, 100Mbit’te 84byte’lık 148.800 adet” veya “10Mbit’te 1500byte’lık 833 paket, 100Mbit’te 1500byte’lık 8.333 paket) gecikmeksizin işlenerek geçer.

Switch (http://tr.wikipedia.org/wiki/Switch); Anahtarlayıcı, portlarına takılı cihazların, host’ların, sunucuların ve istemcilerin macid’lerini ve hangi port’larda olduklarını kendi üstündeki bir tabloda tutarak ve sürekli güncelleyerek, “a” port’undan gelen paketin hedef macid’sini tablodan bulup, uyan port “b”ye gönderir.

PoE (http://en.wikipedia.org/wiki/Power_over_Ethernet); Power over Ethernet, ethernet portuna bağlanan PoE desteği bulunan cihaza (örneğin ip kamera) elektrik (1.8-60 volt) verilmesini sağlar. Böylece cihazın ayrıca bir elektrik kablosu kullanması gerekmez. Kullanılan CATx kablonun kaliteli olmasına özellikle dikkat edilmelidir.

L1 (http://tr.wikipedia.org/wiki/Physical) OSI; Birinci katman fiziksel katman, paketin hangi tür arabirim ile aktarılacağını ve iletimini sağlar. Üst katmanlardan gelen paketler binary olarak kodlanmışken bu katmanda, arabirimin tipine göre elektrik veya ışık sinyallerine çevirilir.
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=121202

L2 (http://tr.wikipedia.org/wiki/Data_Link) OSI; İkinci katman veri bağlantısı katmanı, genellikle arabirimin içindedir bazı durumlarda işletim sistemi sürücüsü olarakta adlandırılır. Diğer cihazları/sunucu/istemcileri bulma, verinin gönderilme zamanının denetimi, iletimi ve hata kontrolümü yapar.

L3 (http://tr.wikipedia.org/wiki/Network) OSI; Üçüncü katman ağ katmanı, örneğin IP ve icmp bu katmanda çalışır, paketin ağ dışında bir başka ağ’a gönderilip gönderilmeyeceğine ve gönderilmesi durumunda paketteki adres değişimlerinden sorumludur.

L4 (http://tr.wikipedia.org/wiki/Transport) OSI; Dördüncü katman taşıma katmanı, veri paketlerinin arabirimin tipine göre ne kadarlık olacağına karar verip ayrımlarda bulunur. Port işlemleri bu katmanda yer alır, TCP ve UDP gibi protokollerin çalıştığı katmandır.

N-B (http://en.wikipedia.org/wiki/Non-blocking_I/O); Non-Blocking, switch’in, tüm portlarının hızlarının toplamından daha yüksek kapasiteli işleme gücü varsa, paket kaybı olmaksızın tüm portları tam kapasite çalıştırabileceğiniz anlamına gelir.

Gbit (http://en.wikipedia.org/wiki/Gbit); 1000Mbit’lik hız değerini temsil eder. Bu tür bir ortamda kaliteli switch, kablo ve kablolama kalitesi iyi durumdaysa saniyede enaz “84byte’lık 1.488.000 adet veya 1500byte’lık 83.333 adet paket geçebilir.

UpLink; Switch ortamlarda istemci ve sunucu hariç diğer bağlantıların yapıldığı port’lara verilen isimlendirmedir.

DHCP (http://tr.wikipedia.org/wiki/DHCP); Dynamic Host Configuration Protocol, ağ’daki host’lara istemci’lere otomatik olarak IP ve diğer servislerle ilgili IP adreslerini veren servistir.

MacID (http://tr.wikipedia.org/wiki/MAC_adresi); Media Access Control, 48bit uzunluğunda dır ve ilk 24bit üretici numaralarına ayrılmıştır, kanal 24bit her üreticinin kendi vereceği sıra numaraları gibi düşünülebilir. Dünyada üretilen arabirimlerin (örneğin ethernet kartınız) hiçbirinin macid’si diğeri ile aynı değildir, böylece ARP adreslemesi sorunsuz olarak çalışır.



Peki yönetici ile Cain&Abel kullanan arasında ne fark vardır? Temeldeki teknik fark şudur, birinci yöntemde ağda fazladan paket oluşumunu engelleyip yükü switch üstünde tutarak dinleme yapılmaktadır ve sorunu çözmeye yönelik kullanılır. ARP zehirleme saldırısında ise art niyetli kişi söz konusudur ve ağda fazladan paket oluşmasına sebep olarak ağdaki tüm switch’lere yük bindirir.

Dummy kullanıcı nedir? Böyle birşeyin varlığından haberi bile yokken “hacker (lamer)” arkadaşı veya bir “hacker (lamer)”la yaptığı konuşmada ARP Poisoning lafını merak eder, google açıp “arp poison” yazar ikinci linke (http://www.oxid.it/cain.html) tıklar...


Sonrasında;





Resim 01; Programı kurduktan sonra resimdeki adımları takip ederek hangi arabirimden paketleri göndereceğini/alacağını seçiyoruz. Örnekte 192.168.1.1 ip adresine sahip olan arabirim seçilmiştir. WinPcap yazılı olmadan program arabirimlerle haberleşemeceğinden çalışmaz. WinPcap programın içinden çıkmaktadır ve programın yüklenmesi esnasında kuruplup/kurulmayacağı kullanıcıya sorulmaktadır. Resimde “start” seçenekleri kapatılmıştır böylece ayarları yapana kadar program boş yere bilgisayarı meşgul etmeyecektir.





Resim 02; Kullanıcı ağ’daki diğer cihazları/istemcileri/sunucuları aramak için bu pencereyi kullanmaktadır.





Resim 03; Ağ’daki tarama sonucunda dinlenecek (zehirlenecek) istemci/sunucu seçiminin yapılacağı bölüm. Burda dikkat edilmesi gereken nokta “3” nolu işarettir. “3” nolu bölüme “tıklamadığı” sürece “4” nolu seçenek aktif olmayacaktır. Cain & Abel v2.9




Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=121202

Resim 04; Zehirleme bağlatılıp “1” gelen/giden paketlerin görüldüğü ekrandır. Eğer gelen/giden paketler 0’dan (sıfır) büyükse zehirleme başarılı olmuş demektir.





Resim 05; Örnek ağ’da kullanıcının email (pop3) şifresinin zehirleme sayesinde görüntülendiğini görmektesiniz. “username ve password” sütunlarına dikkat.



Resim 06; Örnek ağ’da kullanıcının bir başka bilgisayarın paylaşımına bağlanmak için kullandığı “kullanıcı adı ve şifre” ve bunlara ait hash’lenmiş bilginin içeriği görülmektedir. “6” nolu işaretteki seçenek ile bu hash’lenmiş bilginin içindeki şifrenin bulunması için, programın ilgili bölümüne hash’lenmiş bilginin aktarımı görülmektedir.





Resim 07; Şifre kırma ekranında çeşitli metodlar kullanılarak şifrenin bulunması (kırılması) gerçekleştirilir. Şifrenin uzunluğuna, kullanılan metoda, şifrenin karmaşıklığına ve şansınıza göre bu işlemler 1-2 saniye ile binlerce yıl arasında sürebilir.


"Dummy" kullanıcıyı yakalama; Kullanıcı heyecanla ağdaki herşeyi dinlemeye kalkacağından ağdaki trafik artacak ve switchler üzerindeki yük belirgin olarak artacaktır, bunu en basit “ışıklardan” veya switchler’i monitör ediyorsanız cpu’ların kullanım yüzdeleri artacaktır.

Basitçe yakalama, en yoğun cpu yüzdesi veya ışıkların sürekli yandığı switch’e bağlı kullanıcıları gözlemlemektir. İleri düzey yakalama, xarp yazılımı “http://www.chrismc.de/developing/xarp/index.htm” windows tabanlı sunucu/istemci’lere veya arpwatch yazılımı “http://ee.lbl.gov/” linux, bsd, unix tabanlı sunucu/istemci’lere yüklenerek arp cache’lerde ki değişiklikler görülebilir.
Döküman Araçları
Printer Çıktısını Göster Printer Çıktısını Göster
Sayfayı Emaille Yolla Sayfayı Emaille Yolla

  #1  
Joker on 17-02-2007, 15:51
"Lamer"ı yakalama; Yakalayamadığınız için veya farkında bile olmadığınızdan ve “dummy” artık heyecanlanmadığından lamer’lığa terfi etmiştir. ARP zehirlemeye başlamadan önce makinesinin adını ve ip adresini değiştirmiş, antivirüs’ünü kapatmış ve macid’sini (linux, http://cse.msstate.edu/~rwm8/travesty/ - windows, http://www.klcconsulting.net/smac/) değiştirmiştir ve zamanlanmış görevleri (cron, at, windows task schedule) kullanmaktadır. Böylece Xarp veya Arpwatch gibi yazılımlarla “ip” ve “host”u tespit etmiş olsanızda kişiyi bulmak mümkün olmayacaktır. Bu noktada switch’e takılı kablolarıda tek tek çıkarıp takmakta bir çözüm olabilir.

Artık bundan bıktınız ve böyle birşeyin ağınızda olmasını istememektesiniz. Olursada kişiyi hemen bulmak ve gerekli yaptırımları/ceza’ları vermek istemektesiniz.

Bu durumda iki seçeneğiniz var, iki seçeneğin birbirine göre avantajları/dezavantajları bulunmaktadır.

A-) Dinamik arp yerine ağınızı statik arp çalışacak şekilde düzenlemek

B-) Switch’lerinizi ARP poisoning’e karşı korumalı seçmeniz



A-) Dinamik ARP yerine Stasik ARP kullanmaktaki temel amaç “arp broadcasting”i kapatmaktır.

Dezavantaj 1: “arp -s ” şeklinde tüm sunucu/istemci’lere, tüm sunucu/istemci’lerin ip ve macid’leri girilmelidir. Bu yöntem ufak ağ’lar için uygundur, ağa dahil olacak her yeni makinenin macid ve ip adresini, yeni makineye ve çalışan diğer makinelere girmek gereklidir.

Avantaj 1: Böylece “arp broadcast” kullanılmayacak, arp tabloları sabit olduğundan ve ağ’dan gelen arp değiştirme istekleri kabul edilmediğinden arp zehirlemesi yapan kullanıcı hiçbirşey göremeyecektir.

Dezavantaj 2: Xarp ve Arpwatch gibi programlarla böyle bir atağın olup/olmadığını, kimin yaptığını göremeyeceksiniz.
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=121202


B-) Switch konusu derin olduğundan bundan sonraki bölümlere geçmeden önce test ortamı hakkında biraz bilgi vermek yerinde olacaktır.

Yazılım:

Windows XP (http://www.microsoft.com) (win)
Windows 2003 (http://www.microsoft.com) (win)
Gentoo (http://www.gentoo.org) (lix)
VmWare (http://www.vmware.com) (lix)
Xarp (http://www.chrismc.de) (win)
DSniff (http://www.monkey.org/~dugsong/dsniff) (lix)
ArpWatch (http://ee.lbl.gov) (lix)
Yersinia (http://www.yersinia.net) (lix)
Cain (http://www.oxid.it) (win)
Liar (1998, özel yazılım, coder soulfly) (win)
Ettercap (http://ettercap.sourceforge.net) (lix)
QMail MailServer (http://www.qmail.org) (lix)
Ethereal (http://www.ethereal.com) (win) (lix)
Kerio MailServer (http://www.kerio.com) (win)
Travesty (http://www.cse.msstate.edu/~rwm8) (lix)
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=121202
Smac (http://www.klcconsulting.net) (win)
Angst (http://angst.sourceforge.net) (lix)


Donanım:



Resim 08; Örnek ağ’ı oluşturan dizüstü bilgisayarlar. 2 adet Compaq, 1 adet Sony, 1 adet HP




Resim 09; Testleri gerçekleştirdiğim iki switch ve bağlantıları.





Resim 10; Switch'lerin modelleri.


4 adet Laptop
1 adet PC
2 adet Switch; Allied Telesyn, AT-8824 / Cisco Catalyst 3750
Güç, utp, ve konsol kabloları

Allied Telesyn (http://www.alliedtelesyn.com), "Arp Poisoning" engelleme özelliğindeki switchleri;
AT-8600 10/100, L3+ L4, WireSpeed L3 L4, 24-48 Port, 2x1Gbit UpLink, PoE
AT-8800 (bu seri artık üretilmemektedir)
AT-8900 10/100, L3, WireSpeed L3, 48 Port, IPv6, 4x1Gbit UpLink
AT-9900 10/100/1000, L3, N-B L3 L4, WireSpeed L3, 24 Port, Ipv6, 4x1Gbit UpLink


Cisco (http://www.cisco.com), "Arp Poisoning" engelleme özelliğindeki swichleri;
Catalyst 3550
Catalyst 3560
Catalyst 3750
Catalyst 4006
Catalyst 4503
Catalyst 4506
Catalyst 4507R
Catalyst 6500


Switch’ler üzerinde "arp poisoning" engelleme işlemi üreticiye göre farklı isimlendirilmektedir. ARP zehirlemesini engellemek için öncelikle üreticiler farklı dahi olsa aynı olan isimlendirme ile anılmaktadır "dhcp snooping". Sonrasında üreticiye göre farklı olarak isimlendirilen “arp inspection, arp poisoning, arp security ...” gereklidir.

Bunun yapılabilmesi için 2 seçenek bulunmaktadır.

B1-) DHCP kullanmak

B2-) Sabit ARP tablosu oluşturmak


Avantaj 1: Ürüne göre, “dummy/lamer”ı bulmak çok kolaydır.

Dezavantaj 1: Bu tip switch’ler layer 2-3 özelliğinde olduğundan nispeten fiyatları diğer switch’lere göre biraz daha yüksektir fakat bu üreticiye göre değişmektedir, kimi üreticiler bu tip bir özelliği default olarak sunduğundan böyle bir switch aldığınızda fiyata dahildir. Kimi üreticiler de ise belli bir modelin üstünde olan ürünlerinde bu özellik bulunmaktadır.

B1-) Bu yöntemde DHCP kullanmak zorunludur. Zaten bir DHCP sunucusu kullanıyorsanız problem yoktur, kullanmıyorsanız ağınızı DHCP kullanır hale getirmeniz ve DHCP öğrenmeniz (10-15 dakika) gerekecektir.

Farklı üreticilerde bu komutlar birbirine yakındır. “dhcp snooping enable” veya “ip dhcp snooping”.

Bu komutun amacı; DHCP isteğinde bulunan istemci’lere, DHCP sunucusunun verdiği cevapları switch’in kendi üstünde ki bir tabloda (switch’e göre bu özellik tftp, ftp, http sunucuda da tutulabilmektedir) tutmasını sağlamaktır. Bu tabloda istemciye verilen ip adresi ve istemcinin macid’si yer alır. Bu tablo dışında bir ip/macid’si ile ağa girilmeye çalışıldığında “ip=macid” karşılaştırılması yapılır ve eşleşmeyen paketler otomatik olarak “drop” edilir.
Alıntı Yaparak Cevapla
  #2  
Joker on 17-02-2007, 15:52
Allied Telesyn;

[img]http://img157.imageshack.us/img157/8527/r11eu4.jpg[/img


Resim 11; “set dhcpsnooping port=ALL” komutu ile öncelikle dhcpsnooping özelliğinin hangi port’lara uygulanacağını seçiyoruz.






Resim 12; “enable dhcpsnooping” komutu ile dhcpsnooping özelliğini aktif hale getiriyoruz. Öncesinde tüm portlara dhcpsnooping özelliğini uyguladığımızdan artık dhcp’den ip almamış hiçbir cihaz ağ’da aktif olamayacaktır.

[img]http://img157.imageshack.us/img157/205/r13re8.jpg[/img


Resim 13; “sh dhcpsnooping” komutu ile dhcpsnooping durumunu görmekteyiz.





Resim 14; “set dhcpsnooping port=1 trusted=on” komutu ile dhcp sunucunun bulunduğu port’u belirlemekteyiz. Trused parametresi o porta güvenileceği ve bu porttan gelen paketler ne olursa olsun kabul edileceğini belirtir. Port numarası değiştirerek “uplink” port’larıda bu şekilde ayarlamalıyız.




Resim 15; “sh dhcpsnooping port” komutu ile port’ların durumlarını ve “trusted” bilgilerini görebiliyoruz.





Resim 16; “enable dhcpsnooping arpsecurity” komutu ile “arpsecurity” (arp zehirlemesini asıl engelleyen) özelliğini aktif hale getiriyoruz.




Resim 17; “sh dhcpsnooping” komutu ile dhcpsnooping ve arpsecurity durumlarını görmekteyiz.


Cisco;




Resim 18; “ip arp inspection vlan x” komutu ile switch’in özelliğini aktif hale getirip istediğimiz vlan’a atıyoruz.



Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=121202

Resim 19; “interface gigabitethernet 1/0/x ve ip arp inspection trust” komutlarını kullanarak hangi port’a DHCP sunucunu bağladığımızı ve uplink’port’larının hangileri olduğunu belirtiyoruz.




Resim 20; “sh ip arp inspection interfaces” komutu ile port’ların durumlarını görebiliriz.




Resim 21; Consol’a dhcpsnooping sebebiyle gelen bloklama mesajları.


B2-) İstemci’lerde yapılan “arp -s” komutunun benzeri olarak bunu switch’ler üzerinde yapabilirsiniz. Bu istemcilerle tek tek uğraşmanızı gerektirmeyecektir.

Bu işlemi istemciler üzerinde yapmak yerine switch’ler üzerinde yapmakta mümkün;


Allied Telesyn;




Resim 22; “add dhcpsnooping binding=00-11-11-00-00-99 int=vlan1 ip=192.168.1.100 port=2” komutu ile dhcp kullanmadığımız ortamda istemci/sunucu/host/cihazların macid, ip adreslerini ve port bilgilerini girerek sabit arp tablosu yaratmaktayız.


Cisco;





Resim 23; “arp access-list xxxxxxx” komutu ile statik arp tablosu ismi veriyoruz “permit ip host x.x.x.x mac host xx-xx-xx-xx-xx-xx” komutu ile cihazları/sunucuları/istemci’lerin macid ve ip adreslerini tablomuza ekliyoruz daha sonra “ip arp inspection filter xxxxx vlan x static” komutu ile hazırladığımız tabloyu istediğimiz vlan’a statik olarak atıyoruz.
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=121202





Resim 24; “sh arp access-list” komutu ile hazırladığımız statik tabloların adlarını ve içeriğini görebilimekteyiz.



Allied Telesyn;
1- Açılışında çıkan yoğun fan sesi birkaç dakika sonra azalsada, “oda” ortamında kullanımı bir süre sonra sinir bozulmasına yol açmakta. Allied Telesyn hemen hemen tüm modelleri maalesef bu şekilde çalışmaktadır.

2- Dhcpsnooping ve arp security işlemlerini başarıyla ve “performansından ödün vermeden” (şirket (Türk) yetkililerinin buna verdikleri cevap; “Bu bloklama işlemi switch’in cpu’suna gitmeden yapılmakta” oldu) yapabilmesine rağmen bu işlemlere ilişkin snmp veya syslog bilgisi üretmemektedir. Debug modu açıldığında bloklamalara ilişkin bilgiler görüldüğü halde, bunların “geri bildirimini” yapmaması büyük eksiklik. Şirket (Türk) yetkilileri ile yapılan görüşmelerde bu kadar basit ve “zaten olması” gereken bir özellik için, “kaç tane alacaksınız?” sorusu ile karşılaştım bu da bende şirketin güvenirliğinin tekrar gözden geçirilmesine yol açtı.
Kaynak: Wardom http://www.wardom.com.tr/showthread.php?t=121202

3- Port’tan geçecek (bu yazıda anlatılmamıştır) arp paketi sayı (rate) limitlerini düzgün olarak çalıştıramadım. Rate limiti nasıl ayarlarsam ayarlayayım her seferinde atak olduğunu sandı ve ilgili port’u kapattı.

4- Port’ların atak gelmesi durumunda “kapatılması” işlemi başarıyla çalışmakta.

5- Cihaz TFTP’den statik arp ve dhcpsnooping tablolarını güncelleyebilmek gibi güzel bir özelliğe sahip ayrıca cihazın üstünde script yazılabilmekte.


Cisco;
1- Sessiz. Cihazın çalışması esnasında içindeki fanlar döndüğü halde çalışıp/çalışmadığını anlamak için ışıklarına bakmak gerekiyor.

2- Dhcpsnooping ve arp security işlemlerini başarıyla fakat performansından ödün vererek (cihazın üstünde rule, accesslist, routing vs.. özellikleri açıldığında) çalışmakta. Geri bildirimler doğru ve detaylı. Bu detaylar özellikle syslog kullanan yöneticilerin çok hoşuna gidecektir.

3- Port’tan geçecek (bu yazıda anlatılmamıştır) arp paketi sayı (rate) limitleri düzgün olarak çalışmakta. Bu özelliğin “her port” için tek tek ve test edilerek ayarlanması gerekli.

4- Port’ların atak gelmesi durumunda “kapatılması” işlemine sahip değil. Şirket (Türk) yetkilileri ile yapılan görüşmede böyle bir özelliğin yazılıma eklenmesinin pek kolay olmadığı (“sizin için kasamayız biz Türk’üz ezik milletiz” zihniyetine sahip olduklarını anladım) anlatıldı.

Düşüncem, firmanın Türkiye’den yapılacak böyle bir talep için ekstra zaman harcayıp yazılımı geliştirmeyeceği yönündedir.

5- Statik arp ve dhcpsnooping tablolarını güncellenmesi ancak cihaza bağlanılarak yapılabilmekte bu da port sayısı fazla olan ağ’larda uzuunnn iş yükü demek.

ARP Poisoning – ARP Zehirlemesi v0.9 by cng of AGG
11 Eylül 2006
http://cnguru.com/blog/ARP+Poisoning...hirlemesi.aspx



yukarida yayinlanan dokuman tamamen ALINTIDIR¬¬
kaynak : olympos.org
Alıntı Yaparak Cevapla
  #3  
Kontrol on 21-02-2007, 07:12
TeşekkürLer JokeR Kardeşim...
Alıntı Yaparak Cevapla
  #4  
Elnstein on 21-03-2007, 01:11
saol joker ellerine sağlık
Alıntı Yaparak Cevapla
  #5  
winxpeker on 21-03-2007, 01:20
Cain & Abel kaliteli kullandığım bi program ağ üzerinde
çalışmıyor felan demeyin çok detaylı açıklamış saolsun Joker...
Alıntı Yaparak Cevapla
  #6  
ESTERGON on 21-03-2007, 02:02
Ellerine sağlık dostum , harika bir döküman oluşmuş.
Kolay gelsin.
Alıntı Yaparak Cevapla
  #7  
guvez on 25-04-2007, 04:55
Ellere Kollara Sağlik
Alıntı Yaparak Cevapla
  #8  
onrt48 on 25-04-2007, 08:40
ağı zehirlemekten bi' hal oldum.görmediğim duymadığım şey kalmadı.
Alıntı Yaparak Cevapla
  #9  
Joker on 25-04-2007, 10:06
anlamadim onrt48 ?
Alıntı Yaparak Cevapla
  #10  
onrt48 on 25-04-2007, 10:57
Alıntı:
Orjinal Mesaj Sahibi Joker Mesajı Göster
anlamadim onrt48 ?
yok program zaten ağı zehirleme değil mi bende ondan bahsettim
Alıntı Yaparak Cevapla
  #11  
Joker on 25-04-2007, 11:06
simdi anladim bazen programa bile ihtiyaci olmuyor insanin
Alıntı Yaparak Cevapla
  #12  
go2hell on 28-04-2007, 01:05
eline sağlık harika bir çalışma olmuş.
Alıntı Yaparak Cevapla
  #13  
sait_tek on 07-06-2007, 14:50
kardesım ıyı bır ıs cıkatmıssın cok ıyı ama ben bılgısayar terımlerını tam bılemıyorum o yuzden nasıl kullanabılırım bunun hakkında bana yardımcı oursan sevınırım bır de benım asıl amacım bukarsı tarafa resımlı vırus yolluyorsun karsıdakının btun chat yzısmalarını sonra bılgısayarda hangı tuslara basıyor ne yapıyor hepsını gmale yolluyor o program lazım bananasıl yaparız var mı sende
Alıntı Yaparak Cevapla
  #14  
xyxy on 30-06-2007, 05:38
cain en basit bir sinifferdir. Tamamen ücretsizdir. Tıpkı com view in ücretsiz yazılı gibi. com view in 25 networklük paketini görseniz dekekki kafayı çizeceksiniz
)
Alıntı Yaparak Cevapla
Üye Olmadan Yorum Yazmak İçin Tıklayın!
Konudaki toplam yorum: 29, okunma sayısı: 22830.
Mesaj
2 sayfadan, 1.sayfa 1 2 >

« Önceki Döküman | Sonraki Döküman »




Dökümanı görüntüleyen kullanıcılar: 2 (1 üye and 1 misafir)
tanrıoldedioldum
Döküman Araçları Bu Dökümanda Arama Yap
Bu Dökümanda Arama Yap:

Gelişmiş Arama

Gönderme Kuralları
You may not post new threads
You may post replies
You may not post attachments
You may not edit your posts
BB code is Açık
Smilies Açık
[IMG] Kodu Açık
HTML Kodu Kapalı
Forum Seç


Hacking ve Bilgisayar Güvenliği Öğrenmek İçin!

Forum saati Türkiye saatine göredir. GMT +3. Şuan saat: 12:33.
(Türkiye için GMT +2 seçilmelidir.)

Bize Yazın - Wardom.Com.TR - Arşiv - Başa Dön - Kullanım Sözleşmesi - Gizlilik Bildirimi

Wardom.org


İçerik sağlayıcı paylaşım sitelerinden biri olan Wardom Internet Adresimizde 5651 Sayılı Kanun’un 8. Maddesine ve T.C.K’nın 125. Maddesine göre TÜM ÜYELERİMİZ yaptıkları paylaşımlardan sorumludur. Wardom hakkında yapılacak tüm hukuksal şikayetler için webmaster \@wardom.org adresi ile iletişime geçilmesi halinde ilgili kanunlar ve yönetmelikler çerçevesinde en geç 3 (üç) gün içerisinde Wardom yönetimi olarak tarafımızca gereken işlemler yapılacak ve avukatlarımız size dönüş yapacaktır.