Sniffer nedir ve nasil çalisir?

--------------------------------------------------------------------------------

Sniffer nedir ve nasil çalisir?

Birden fazla bilgisayari,birbirine baglayarak aralarinda bir paylasim kurmak masrafli bir istir. Paylasim,bir bilgisayardaki bilgilerin,baska bir bilgisayara aktarilmasi olarak açiklanabilir. Bu iki bilgisayar arasinda yapilan bilgi alis-veris ini yakalamaya "sniffing" denilir. Bir kaç bilgisayarin,bir ag üzerinde birbirleriyle paylasima açik olarak baglanilmasinda kullanilan en popüler yol "ethernet" dir.Ethernet protokolü bir bilgi paketini ayni devreler üzerindeki tüm bilgisayarlara yollayarak çalisir.Gönderilen paketin basliginda,paketin gidecegi bilgisayarin adresi yazar.Sadece bu paketteki adres ile adresi tutan makine bu bilgileri alabilir.Her paketi kabul eden bir makine,paket basligindaki adrese aldirmayan makine,çok karisik bir hal alacaktir. Bu karisiklik sayesinde,sniffer isini görecektir.

Normal bir networkte,account ve sifreler ,ethernet üzerinde düzgün bir yaziyla(encrypt edilmemis) gidip gelirler.Bir ziyaretçi,ethernet üzerindeki herhangi bir makineden root yetkisi elde ederse, sistemi sniffleyerek ag üzerinde ki diger makinelerde de çok rahat "root" elde edebilir.

- Snifferlari nereden bulabilirim?

Sniffing,hackerlar tarafindan kullanilan en önemli hack yöntemlerinden biridir.Sniffer denilen bu programlari,netde bir çok yerden bulabilirsiniz.Fakat hepsi,gerçekten çalisirmi bilmiyorum. Onun için çalistigina sahit oldugum bir sniffer dan bahsedicegim.Esniff.c!SunOS da çalismak için dizayn edilmis,küçük boyutta ve sistemde ki tüm telnet,ftp ve rlogin sezonlarinin ilk 300 byte ini yakalayabilen bir program.Esniff.c,ilk kez *Phrack* de ünlendi.Bu programi bir çok FTP server da bulabilirsiniz.(coombs.anu.edu.au:/pub/net/log.)

Ünlenmis bir kaç tane Snifferida söylemeden geçemiyecegim,
* SunOs4.1.x için Etherfind
* Solaris 2.x ve SunOs 4.1 için Snoop!(ftp playground.sun.com)
Dos tabanli snifferlar
* Gobbler
* ethdump v1.03(ftp.germany.eu.net:/pub/networking/inet/ethe rnet/ethdp103.zip)
* ethload v1.04(ftp.germany.eu.net:/pub/networking/monitorin g/ethload/ethld104 .zip)
Ticari snifferlar
* Network General
* Microsoft’s Net Monitor

- Sistemimizde sniffer çalistigini nasil anlariz?

Bir sistemde sniffer çalistigini remote olarak anlamamiz mümkün degildir. Sniffer çalisan makina,her paketi kabul eder ve çok karmasik bir hal alir.Bir çok Unix tabanli Isletim sisteminde,sistemde sniffer olup olmadigini anlamanin yollari vardir. SunOS,BSD,Linux ve diger bir çok Unix tabanli OS larda bir komut bulunur..

"ifconfig -a"

Bu komut,tüm arayüzleri kontrol edecek ve sistem de bir abukluk varsa size bildirecektir.Ama bazi OS larda bu komutu çalistirmak için bazi device adresleri falan girmek gerekir (IRIX gibi..)Onun için baska bir komut daha söyleyeyim.(Asagidaki örnek tamamen hayalidir.)

# netstat -r
Routing tables
Internet:
Destination Gateway Flags Refs Use Interface
default infern0.com UG 1 24949 virgo
localhost localhost UH 2 83 le0

Bu komutdan sonra gördügümüz tüm arayüzleri kontrol edebiliriz.Örnek,

# ifconfig virgo
virgo: flags=8863<UP,BROADCAST,NOTRAILERS,RUNNING,PROMISC ,MULTICAST>
inet 127.0.0.1 netmask 0xffffff00 broadcast 255.0.0.1

Bu komutlarin disinda "cpm" adinda snifferlari tespit eden bir program vardir.Sadece SunOS ta çalisir ve tüm arayüzleri kontrol eder.(ftp.cert.org:/pub/tools/cpm)

Ultrixde ise,sistemde sniffer çalisip calismadigini "pfstat ve pfconfig" komutlarini kullanarak ögrenebiliriz.
pfconfig size kimlerin sniffer kullanip kullanamayacagini ayarlama olanagi verir. pfstat ise size sistem de ki abuklukluklari siralar.
Bundan baska,üzülerek söylüyorum ki Irix, Solaris ve SCO da sniffer olup olmadigini algilamak biraz zordur.Yani heran bir hacker kardes içerde snifferlari depolamis olabilir. Bir baska yol ise,snifferlarin log dosyalarinin büyümesidir.Hele hele,bazen sniffer sistemde uzun bir load zamani geçirir.Ve çogu zaman bazi alarmlar ortaya çikar.Bu sayede sistem admin’i olayin farkina varir.Ben size lsof(LiSt Open Files) u kullanmanizi öneririm.Bu program ,bazi paket devicelarina (SunOS da /dev/nit gibi..) uzanan dosyalari size gösterir. "coast.cs.purdue.edu:/pub/Purdue/lsof" dan çekebilirsiniz.

- Encryption

Eger yukaridaki yollara güvenmiyorsaniz,yapabileceginiz en güzel seylerden biride paketleri encryptlemek olabilir.Hacker dostumuz,paketleri yakalayabilir ama gördüklerinden hiç birsey anlamaz.

Bunun için 1-2 program ve adreslerini vereyim,

* deslogin coast.cs.purdue.edu:/pub/tools/unix/deslogin <http://coast.cs.purdue.edu:/pub/tools/unix/deslog in>
* swIPe ftp.csua.berkeley.edu:/pub/cypherpunks/swIPe/ <ftp://ftp.csua.berkeley.edu:/pub/cypherpunks/swIP e/>
- Kerberos Kerberos da yukaridakiler gibi paketleri encrypt eden bir programdir.Kerberos "stream-encrypting rlogind" ve "stream-encyrpting telnetd" gibi özelliklerle gelir.Bu sizin sisteme girdikten sonra ne yaptiklarinizi hackerlardan saklamaniza yarar. "tfm.mit.edu" da Kerberos için bir faq bulunuyor.Ilgilendiyseniz kaçirmayin dökümani derim. /pub/usenet/comp.protocols/kerberos/Kerberos_Users __Frequently_Ask ed_Questions_1.11


Umarım Yararlı Olur

Kaynak
Ottoman-empire.org