IP Spoofing nedir diye merak edenlere ilginç gelebilecek bir o kadar da sağlam bir saldırı yöntemi olan IP Spoofing aslında genelde kötü niyetli hacklerlerin kullandığı bir kimlik gizleme yöntemidir diyebilirim. Bu gece sizlere yarı açık gözlerimle monitöre bakarken aklıma gelen IP Spoof tekniğinden bahsetmek istiyorum.
Mesela bir servere bağlanmak istiyorsunuz ve serverin sizin bağlandığını görmemesi lazım yani kimliğinizi ip adresinizi gizleyerek o sisteme bağlantı kuracaksınız. İşte bu yöntem kimliğinizi gizleyerek bir hostinge bağlanmaya IP Spoofing tekniği denir.
Bir başka manasıda internet bağlantınızı kesmeden ip adresinizi değiştirme yöntemi diyebilirim. Evet sanırım bu açıklama daha iyi oldu 🙂
Gelelim IP Spoofing Tekniklerine
IP Spoofing birkaç şekilde yapılır bunun en etkili yöntemi ise IP Paketlerini düzenleyerek yapılan yöntemdir ve bu yöntemle yapılan saldırılara internet dilinde DDOS ATTACK diyoruz. Diğer yöntem ise Proxy/Socks sunucularını kullanarak yapmaktır.
PROXY & SOCKS Kullanımı : Proxy kullanmak demek ip adresinizi gizlemektir. Neden ip adresimi gizleyeyim? Derseniz hemen konuya balıklamasına dalalım. Bir internet sayfasına girdiğiniz zaman yada bir sunucuya bağlantı yaptığınızda sistem sizin kimlik bilginizi yani IP ADRESİNİZİ kayıt eder. Eğer bağlandığınız sistemin yada girdiğiniz internet sayfasının sizin kimlik bilginizi yani ip adresini kayıt etmesini istemiyorsanız. PROXY yada SOCKS kullanmanız gerekmektedir.
Proxy & Socks Nedir? diye sorarsanız kısaca onada bahsedeyim. Proxy bağlantısı ile bir servere bağlanmak aslında kimlik gizlemenin en basit yöntemidir. İnternet aleminde birçok online server vardır. Bir bağlantı yaparken ilk önce PROXY serverine bağlanıp sonra o server üzerinde istediğiniz internet sayfasına girdiğiniz zaman o internet sayfası yada host sizi görmeyecek sadece üzerinden çıkış yaptığınız PROXY serverin bağlantı yaptığını zannedecektir. Yani bir nokta ile diğer bir nokta arasında bağlantı yaparken 3. bir nokta üzerinden geçerek bağlantı yapmış olursunuz. İşte bu yöntemle karşı server yada internet sitesi üzerinden bağlantı yaptığınız PROXY serverinin ip adresini kayıt edecek ve sizin sisteminizin ip adresini bilmeyecektir.
İnternet deryasında yüzlerce hatta binlerce hatta ve hatta yüzbinlerce PROXY sunucusu mevcuttur sürekli onlinedirler ve birçoğu da bedavadır. Bunları rahatlıkla kullanabilirsiniz. Proxy kullanmak için Kullandığınız Explorer e bir ayar yapmak zorundasınız.
EXPLORER ‘e Proxy Ayarlaması: Eğer Internet Explorer kullanıyorsanız ARAÇLAR menüsünde İNTERNET SEÇENEKLERİ sekmesine geliyorsunuz buradan BAĞLANTILAR ‘ ı tıklayıp LAN SETTINGS yani ağ ayarlarına geliyorsunuz. Burada 3 tane kutucuk karşınıza çıkacak en alttakini işaretleyin ve alt taraftaki bölmelere PROXY sunucusunu ve bağlantı PORT numarasını giriniz. Tamam diyerek ayarları kapatıyoruz. Internet Explorer imizi tekrar açıyoruz. Şimdi herhangi bir internet sayfasına girdiğiniz zaman artık sizin ip adresini bilemeyecek üzerinden çıkış yaptığınız makinanın ip adresini yani PROXY makinasını görebilecek sadece.
Mozilla Proxy Ayarlaması : ARAÇLAR menüsüne geliyoruz oradan SEÇENEKLERİ tıklıyoruz. GELİŞMİŞ e gelip AYARLAR tıklıyoruz. Bu bölümde VEKİL SUNUCU AYARLARI kutusunu işaretleyip proxy sunucumuzu ve port numarasını girmemiz yeterli. İşte mozilla ile artık proxy kullanmaya başladık bile…
PROXY SUNUCULARINI NEREDEN BULACAĞIM?
Google.Com.TR adresimizi açarız arama bölümüne PROXY yazarız entere bastığımızda PROXY dağıtan söyleyen güncelleyen bir sürü site çıkar.. Bunlar sürekli güncellenir.. Örnek birkaç proxy
192.41.135.218:3127 elite proxy Switzerland (Zürich)
192.41.135.218:3128 CoDeeN Network Switzerland (Zürich)
192.41.135.219:3124 CoDeeN Network Switzerland (Zürich)
192.41.135.219:3127 elite proxy Switzerland (Zürich)
192.41.135.219:3128 CoDeeN Network Switzerland (Zürich)
140.109.17.180:3124 elite proxy Taiwan (Taipei)
140.109.17.180:3127 elite proxy Taiwan (Taipei)
140.109.17.180:3128 CoDeeN Network Taiwan (Taipei)
140.109.17.181:3124 CoDeeN Network Taiwan (Taipei)
140.109.17.181:3127 CoDeeN Network Taiwan (Taipei)
140.109.17.181:3128 CoDeeN Network Taiwan (Taipei)
140.114.79.231:3124 CoDeeN Network Taiwan (Taipei)
140.114.79.231:3127 elite proxy Taiwan (Taipeii)
Gelelim konumuzun devamına söylemeden edemeyeceğim. PROXY serverlerin bir çoğu çok yoğun olduğu için internet bağlantınız sanki yavaş mış gibi bağlanabilirsiniz. Burada kendinize kaliteli ve BOŞ bir proxy sunucusu bulmak kalıyor. Artık deneme yanılma mı yaparsınız bir yerlerden sağlam bir proxy mi duyarsınız bilmem orası size kalmış.
Proxy sunucularında önemli olan HIZLI çalışmasıdır. Ve birde sağlam olması birçok host firması proxy sunucularını sistemlerine bağlanmasını bloke edebiliyor. Eğer illada o sisteme bağlanacaksanız bilinmeyen ortalıkta dolaşmayan bir proxy suncusu bulmanızı öneririm….
IP PAKETLERİNİ EDİTLEMEK
En etkili Ip Spoofing tekniği budur işte eğer ileri yani profesyonel derecede TCP/IP bilginiz varsa o zaman bu yöntemi biliyorsunuz demektir. IP Paketlerini editlemek uzun bir ders açıkcası buna burada değinemeyeceğim çok profesyonel bir anlatım gerekiyor malesef son kullanıcıya bunu anlatmak için bir makale daha yazmak gerek bu yüzden bu tekniği basitçe sizlere sunuyorum. UDP/TCP/ICMP/IGMP paket yapıları, 3way handshaking ve Seq# ile Ack# ile editleme yaptığınız zaman …
Ip paketlerini editlemek ne işe yarıyor ? Küçük bir örnek vererek açıklayayım. Mesela http://www.teakolik.com adresindeki sunucu yani server yönetim için bağlantı sağlandığında SERVER ŞİFRELERİNİ bilseniz dahi ip adresiniz 10.10.10.100 olmadığı sürece sizi sisteme almıyor. Bu aslında bir güvenlik yöntemidir. Mesela benim Sabit bir IP adresim var serverime bu adresi tanımlıyorum ve bu adresin dışındaki hiçbir IP den Serverimin ROOT şifrelerini yani ANA ŞİFRELERİNİ bilse dahi SERVER’ imin yönetim için bağlantıları kabul etmemesini sağlamamdır.
SALDIRGAN server şifrelerini ele geçirdi fakat sisteme koyduğum bu güvenlik önleminden dolayı bağlantı sağlayamıyor. İşte bu durumda IP PAKETLERİNİ EDITLEMEK yöntemi devreye giriyor. SALDIRGAN sisteme bağlantı sağlarken ip paketlerini editleyerek gönderiyor ve kendi ip adresini sanki benim IP adresimle bağlantı sağlıyormuş gibi TCP IP leriin Seq# Ack#lerini değiştirerek sisteme 10.10.10.100 ip sinden bağlantı gelmiş gibi gösteriyor . Tabi sadece sisteme benim IP den geliyormuş gibi Seq# Ack#lerini değiştirmek yetmiyor birde server’in verdiği yanıtları kendine yönlendirmesi gerekiyor. İŞTE BU YÖNTEM İLE servere gelen ve giden IP adreslerini sanki benim ip adresimden geliyormuş gibi değiştirme yapması yani Edit lemesi… IP SPOOFING yöntemlerinin en etkilisidir.
Çözülmesi fark edilmesi en zor olanı Microsoft, NASA gibi sistemlerin korkulu rüyası diyebilirim …
ÖRNEK :
GÜVENLİ.MAKİNA ———syn——-> SERVER.MAKINASI
SERVER.MAKINASI ———syn/ack—–> GÜVENLİ.MAKİNA
GÜVENLİ.MAKİNA ———-ack——-> SERVER.MAKİNASI
Bu yukarda gördüğünüz normal bir bağlantı şekli veri alışverisidir. Şimdi bir saldırgan bu sisteme girmek isterse yapması gereken servere saldırgan olmadığını göstermektir. Yani serverin ona güvenmesi gerekmektedir.
Bunun için kendini GÜVENLİ MAKİNA yapması yani sanki güvenli makinadan bağlantı geldiğini göstermesi lazım. SALDIRGAN IP SPOOFING in TCP/IP editleme yöntemi ile GÜVENLİ MAKİNA kılığına girmesi SERVER Makinasının durumu çakmamasıdır.
SALDIRGAN.MAKİNASI ——syn—-> GÜVENLİ.MAKİNA
Burada saldırgan güvenli makinaya sürekli FLOOD yani tekrar yapıyor. Ve ip adreslerini SPOOF ediyor.
SALDIRGAN.MAKINASI ——connect—-> GÜVENLİ.MAKİNA
Saldırgan FLOOD yaparak Güvenli Makinayı meşgul etti yani bir nevi cevap vermesini önlüyor. Sonrada ISN kayıt etmeye başlıyor. Bu sırada Saldırgan SERVER.MAKINA ya bağlantıya geçiyor.
SERVER.MAKINASI —-syn/ack —-> …………….
Güvenli Makina FLOOD saldırısına uğradığı için SERVER Makinasına Cevap veremiyor…! Server makinasının paketleri kayboluyor. İşte bu sırada Saldırgan devreye giriyor ve SERVER.MAKINA ya cevap veriyor tabiki Editlenmiş paketlerle…
SALDIRGAN.MAKINASI —–syn —> SERVER.MAKİNA
Devamında Güvenli makinanın iplerini SPOOF edilmiş ve editlenmiş paketleri SERVER makinasına gönderiyor. Server Makinası FLOOD halinde olan GÜVENLİ MAKİNADAN Hiçbir cevap alamıyor. SALDIRGAN ın makinasından gelen sahte isteklere boyun eyiyor..
GÜVENLİ.MAKİNA (SALDIRGAN) —–syn/ack——> SERVER.MAKINASI
İşte Güvenli makinanın kılığına girerek yani iplerini editleyerek server makinasına bağlantı sağlıyor.
Bu sırada GÜVENLİ.MAKİNA Flood saldırısına uğradığı için çok yoğun ve meşgul yani kendi ip sinden çıkış yapamıyor. Server Makinayla irtibayı kopuk oluyor. SALDIRGAN ise SERVER Makinasına sahte ipden yani Güvenli Makinadan SPOOF ettiği ve Edit lediği ip ile bağlantı kurdu bile….
Biz buna Blind Spoof yani HADİ GEÇİRİLMİŞ OLSUN … Tüm datalarınız gitti kopyalandı silindi belkide içlerine virüs bulaştırıldı …
Bu arada kardeş bir yerde yanılıyorsun Mac adresleri tutulur çıkış yaptığında malumatına bağlanamazsın internete :)))
Sadece bir örnek verdim 🙂 Bu arada Mac adreslerini ufak bir programcıkla değiştirebilir yada sahte bir hale getirebilirsin 🙂
Merhaba,
Benim anlamadigim birsey var. Saldirgan server’a yalanci SYN gonderdi, server guvenli makinaya syn/ack gonderdi. Haydi diyelim saldirgan zaten bunun gonderilecegini biliyordu, servera ack gonderdi. Peki ya sonra? Sonucta server’in gonderdigi paketler guvenli makinanin ip’sine gitmiyor mu? Saldirgan bu paketleri nasil okuyor? Sanirim bunun basariyla gerceklesmesi icin bu paketleri kolayca dinleyebilecegi bir yerde olmasi lazim. Mesela paketin gectigi router’lardan biri olmasi veya paketin gectigi iki router’in arasinda bir yerde olmasi. Dogru mu?
myavuzselim;
Haklısın ben bu bölümleri basitçe geçtim geniş açıklama yaparsam HACK e girer malesef. bu yüzden yüzeyden geçiş yaptım derine dalmadım ki amacımış güvenlik bilgi paylaşım olarak kalsın ilerisi HACK olacaktır. Bu yüzden bazı noktalara değinmedim.
myyavuzselim kardeş yardımcı olabilirmisin beni msn hep düşürüyorlar ben msn düşdüğümde internet cafede hat gidiyor internet cafe abibimdir onun için ne yapmam gerekiyor yardımcı olabilirmisin kendine iyi bak …
msn adresim [email protected]
:s
sock nedir demissin amma sockun s sinden bahsetmemissin.
tesekkürler.
arkadas elit proxy hakkında bilgi ve bir kaç elite proxy verdigini düşünüyon ama bunlar sesli chatte black room yedigin zaman işe yaramıyor istersen bi sesli chat sitesine girip panel adminin bulup panelden sana black room atsın sende elit proxy kunlanarak girmeye calış %100 giremezsin ve sitelerin bir cogu proxy veriyor diyiyo bunlarda yalan verdikleri proxy ler hide ip adlı proxy bulan bi programdan bulup sallıyolar ama gercekten şimdiye kadar sesli cahtte black room yedigin yere asla ve asla elitte olsa melitte olsa girmiyo sen eger ben girerim diyiyonsa hodri meydan msn adresimi verim bi sesli chatte deneyelim [email protected] ip mip degişmesi plavra :))
ben öğrenciyim çok yardımcı oldunuz gerçi hepsini anlayamadım ama bazı yerlerini anladım yararlı oldu 😀
tekrar teşekkür ederim…
(şişli teknik lisesi veri tabanı programcılığı)
ben buraya “UDP/TCP/ICMP/IGMP paket yapılarını” merak ettiğim ve öğrenmek için gelmiştim.sonra sonra bi sürü bişey çıktı benim bildiğim bu program ip editleyerek hizmete sunuyordu meğerse saldırı şekliymiş şimdi şu demek mi oluyor?: ésen bu işi internetten öğrenemessin”. bu konu hakkında zaten fazla birşey bulamadım en bilgilide şuan sizlersiniz sanırım. o halde bu işten vazgeçip kendi kabuğumuzda üretkenkinlikten tekrar sömürücülüğe geçeceğiz :S konu için tşk ederim ufkumuzu kapattın 🙂
mahkemeden bir celp geldi. birisi işyerimizin ip si iel birisinin superonline uzantılı e-mail hesabına girmiş ve başkasına bir kaç defa e-mail göndermiş. e-mail hesabına girilen kişi de superonline den ip adresi tespiti yaparak benim hakkımda suç duyurusunda bulunmuş. ben her iki kişiyi de tanımıyorum şirketten kimse tanımıyor. ayrıca girilen saatler arasında gece yarıları da var. yani şirket kapalıyken. wireless şifresini kimse bilmiyor diye biliyorum . Sahte ip ile giriş yapmış olabilirmi. bunu mahkemeye nasıl mümkün olduğunu açıklayabilirim. Teşekkürler
madur ;
http://www.teakolik.com/banka-dolandiriciligi-ve-mahkeme-karariyla-ifadeniz-alinacak/
bu yazım sizi bilgilendirecektir. Geçmiş olsun…
merhabalar,
bu konularda daha detaylı bilgi almak yani kendimi bu hususlar üzerinde gelistirmek istiyorum.. izlemem gereken yol nedir ne yapmam lazım?
ya benim bilgisayarda mesenger açılmıyo bu sorunu nasıl giderebilirim yardım edebilirmisiniz [sock ] ne yazabilirim
@emine
saat tarih ayarlarını düzelt
arkadaşlar benim bu şeylerle hiç ilgim olmadı fakat bi araştırma yaptım ve bu siteyi buldum.ve de yardıma ihtiyacım var biraz bilgi verirmisiniz
Peki İp Swoof Sadece LAN bağlantılarındamı aktif. Yani ben dış ip’den swoof yapabilirmiyim.
bilgisayarımda msn sayfamı neden acamıyorum daha once acılıyodu ama sımdı acamıyorum.hata kodunu takıp edıp denedım acmayı ama yınede acılmadı.hangı yolları denemem lazım yardımcı olurmusunuz.tesekkurler
bılgısayarda kı takvım ve saat ayrlarını ayarlıyorum ama sonra tekrar bozuluyo.nasıl ayar yapabılırım
tarih ve saat ayarların anakartın dan olduğunu düşünüyorum
hocam verdiğin bilgiler için teşekkür ederim.özellikle çok fazla bilgi kaynağı olmayan bir alanda bizlere çok faydalı oluyosun.benim bir sorum olacaktı;
gateway lerden sonraki kullanıcı olmak için ne yapmak gereklidir.bir network ağına kendini gateway göstermen için nasıl bir yol izlersin.şimdiden teşekkür ederim.
güzel bir yazı tşk ederiz
Çok sağolun öğretici ve doğrudan anlaşılır bir yazı.
Eline Sağlık
Son satırlarda “GÜVENLİ.MAKİNA (SALDIRGAN) —–syn/ack——> SERVER.MAKINASI” yerine “GÜVENLİ.MAKİNA (SALDIRGAN) —–ack——> SERVER.MAKINASI” olmalı, eğer gözden kaçırdığım bir yer yoksa.
12 sene geçti yeni makale nerede?