WiLdBoY
Altın Üye
yazdığım bu dökümanı 2 veya 3 bölüm halinde yayınlayacağım.
Anlatacağım yöntem ile internet cafelerde, ağ ortamında, switch üzerinden her haltı yiyebileceksiniz
özellikle ağda msn sniffing ile diğer pclerdeki msn loglarını direk alabilecek, MiM attack yöntemiyle de herhangi bir ağ üzerinde hiçbir yetki gerekmeden ağ ve neti kesebileceksiniz.
bu 2 yöntem hakkında bilgi nette çok az derecede bulunmakta, o yüzden uzun zamandır araştırdığım bir konudur ARP ve Network olayları.
tüm bu işlemleri yapabilmeniz için herhangi ekstra bilgiye ihtiyacınız yoktur ancak ilgilenenler, beleş geçinmeyi sevmeyen araştırmacı meraklılar için bu dökümanı ayrıntılarıyla yazmayı ve hiçbir forumda bulunamayacak türden olan bu dökümanı yazmaya karar verdim. internetin msn, web hack vb. olaylarıyla sınırlanmadığını az çok biliyorsunuzdur, nasıl internete girdiğinizi, arkaplanda hangi işlemler yapıldığını, internetin genellikle kullanılan protokolu TCP ile ibaret olmadığını ve bunun yanında birçok protokolun farklı amaçlarla kullandığını anlatmaya çalışacağım sizlere.
Bölüm 1
--------------------------------------------------------------------------------------------------------
Anlatacağım bu 2 yöntem MSN Sniffing ve MiM Attack, kolaylıkla
bulabileceğiniz türden bir döküman değildir. Bu bilgilere tamamen
ARP(Address Resolution Protocol) ve IEEE 802.3 ve ileri derecede
IP ve TCP bilgisi sonucu ulaşılmıştır. Ben derine inmeden
network olaylarını kısaca anlatıp bu 2 yöntemi ve ekteki
4 programı sizlerle paylaşacağım. Özellikle bu yöntemler
son zamanlarda çıkan ARP Poison denilen ARP Spoof tekniğine dayanır.
İleride olayları anlatacağım.
Gelelim ağ üzerinden MSN dinlemeye..
Ağdan özellikle HUB üzerinden MSN sniff yapabilmek oldukça kolaydır.
Çünkü HUB'a gelen packetler broadcast yöntemiyle tüm makinelere iletilir.
Bunun için size tek gerekli olan basit bi tcp sniffer. Msn sniff ise bu
sniff edilen tcp packetlerini ayıklar ve msn loglarına dönüştürür.Ekte verdiğim
msn monitor & sniffer programı bu işi rahatlıkla görür eğer HUB üzerinden internete
giriyorsanız.
Peki switch üzerinden nete girenler için bu olayı nasıl yapabiliriz?
switch, HUB'ın yaptığı broadcast olayını gerçekleştirmez, gelen packetler
direk switch'e gider ve bizim bu packetleri alabilmemiz için ARP Poison
saldırısıyla kendimizi switch olarak ağdaki diğer PC'lere göstermemiz gerekir.
Yani ARP Poison yöntemiyle, sizin makineniz ağ üzerinde switch işlevi görür.
Şimdi anlatacağım network olaylarını programlama bilgisi olanlar,
özellikle socket programlama, daha iyi anlayacaktır.
ARP nedir?
ARP(Address Resolution Protocol), 4 bytelık IP adreslerini 6 bytelık MAC(hardware)
adreslerine çevirir. Peki neden gerek duyulur? Anlatayım. Ethernet ile
nete giriyorsanız, sizin switch veya HUB ile iletişim kurabilmeniz için
Ethernet kartına bazı packetler basmanız gerekir. Örneğin:
siz ağdaki herhangi bir pcye bağlanacaksınız veya ip/tcp/icmp/igmp paketlerinden
herangi birini göndereceksiniz yada ağdaki başka bir pcye saldıracaksınız.
İlk olarak saldıracağınız pc'nin MAC adresini bulmanız gerekir. MAC adresi nasıl
bulunur? Gerekli olan 2 pakettir.
IEEE 802.3 ve ARP Header paketi.
Siz bu 2 paketi buffera koyarsınız ve IEEE headerdaki target MAC adresine
FF:FF:FF:FF:FF(her pcye göndermek için genel MAC adresidir) yazarsınız.
Bu paketin sonuna bir ARP paketi hazırlanır ve gönderilir. Switch paketi
alınca sizin bağlantı kuracağınız makinenin MAC adresini size iletecektir
ve siz böylece o pc'ye gerekli her bağlantıyı yapabileceksiniz.
Ağ üzerinden Net işlemleri nasıl gerçekleşir?
Mesela siz http://www.google.com adresine gireceksiniz. Peki siz girerken
hangi işlemleri yaptığınızı hiç merak ettiniz mi? İlk önce netle ilişiğiniz
sağlanırken şu paketler hazırlanır ve switche gönderilir.
IEEE 802.3 Header
IP Header
TCP Header
[Data]
Kısaca geçiyorum. 802.3 paketinde switchin MAC adresi(FF:FF:FF:FF:FF) ve
source mac address vardır. IP paketinde belli IP konfigurasyonları vardır,
source ip, dest ip ve port kısaca bilmeniz gerekenlerdir.
TCP headerda yine dest ip ve dest port vardır ve TCP paketinin ne tip olduğu
yazılıdır. SYN, ACK, RST veya PSH.. gibi bağlantı paketleri olduğunu belirtir.
İlk başta bağlanmak için SYN kullanılır ve karşıdan ACK paketi gelir ve biz
tekrar SYN-ACK gönderip siteye bağlanmış oluruz.
SYN Attack da bu mantığa dayalıdır, source addressi siz random basarsınız ve
SYN flaglı bir TCP paketini sürekli gönderirsiniz ve ana makine bunlara yanıt veremez
Anlatacağım yöntem ile internet cafelerde, ağ ortamında, switch üzerinden her haltı yiyebileceksiniz
özellikle ağda msn sniffing ile diğer pclerdeki msn loglarını direk alabilecek, MiM attack yöntemiyle de herhangi bir ağ üzerinde hiçbir yetki gerekmeden ağ ve neti kesebileceksiniz.
bu 2 yöntem hakkında bilgi nette çok az derecede bulunmakta, o yüzden uzun zamandır araştırdığım bir konudur ARP ve Network olayları.
tüm bu işlemleri yapabilmeniz için herhangi ekstra bilgiye ihtiyacınız yoktur ancak ilgilenenler, beleş geçinmeyi sevmeyen araştırmacı meraklılar için bu dökümanı ayrıntılarıyla yazmayı ve hiçbir forumda bulunamayacak türden olan bu dökümanı yazmaya karar verdim. internetin msn, web hack vb. olaylarıyla sınırlanmadığını az çok biliyorsunuzdur, nasıl internete girdiğinizi, arkaplanda hangi işlemler yapıldığını, internetin genellikle kullanılan protokolu TCP ile ibaret olmadığını ve bunun yanında birçok protokolun farklı amaçlarla kullandığını anlatmaya çalışacağım sizlere.
Bölüm 1
--------------------------------------------------------------------------------------------------------
Anlatacağım bu 2 yöntem MSN Sniffing ve MiM Attack, kolaylıkla
bulabileceğiniz türden bir döküman değildir. Bu bilgilere tamamen
ARP(Address Resolution Protocol) ve IEEE 802.3 ve ileri derecede
IP ve TCP bilgisi sonucu ulaşılmıştır. Ben derine inmeden
network olaylarını kısaca anlatıp bu 2 yöntemi ve ekteki
4 programı sizlerle paylaşacağım. Özellikle bu yöntemler
son zamanlarda çıkan ARP Poison denilen ARP Spoof tekniğine dayanır.
İleride olayları anlatacağım.
Gelelim ağ üzerinden MSN dinlemeye..
Ağdan özellikle HUB üzerinden MSN sniff yapabilmek oldukça kolaydır.
Çünkü HUB'a gelen packetler broadcast yöntemiyle tüm makinelere iletilir.
Bunun için size tek gerekli olan basit bi tcp sniffer. Msn sniff ise bu
sniff edilen tcp packetlerini ayıklar ve msn loglarına dönüştürür.Ekte verdiğim
msn monitor & sniffer programı bu işi rahatlıkla görür eğer HUB üzerinden internete
giriyorsanız.
Peki switch üzerinden nete girenler için bu olayı nasıl yapabiliriz?
switch, HUB'ın yaptığı broadcast olayını gerçekleştirmez, gelen packetler
direk switch'e gider ve bizim bu packetleri alabilmemiz için ARP Poison
saldırısıyla kendimizi switch olarak ağdaki diğer PC'lere göstermemiz gerekir.
Yani ARP Poison yöntemiyle, sizin makineniz ağ üzerinde switch işlevi görür.
Şimdi anlatacağım network olaylarını programlama bilgisi olanlar,
özellikle socket programlama, daha iyi anlayacaktır.
ARP nedir?
ARP(Address Resolution Protocol), 4 bytelık IP adreslerini 6 bytelık MAC(hardware)
adreslerine çevirir. Peki neden gerek duyulur? Anlatayım. Ethernet ile
nete giriyorsanız, sizin switch veya HUB ile iletişim kurabilmeniz için
Ethernet kartına bazı packetler basmanız gerekir. Örneğin:
siz ağdaki herhangi bir pcye bağlanacaksınız veya ip/tcp/icmp/igmp paketlerinden
herangi birini göndereceksiniz yada ağdaki başka bir pcye saldıracaksınız.
İlk olarak saldıracağınız pc'nin MAC adresini bulmanız gerekir. MAC adresi nasıl
bulunur? Gerekli olan 2 pakettir.
IEEE 802.3 ve ARP Header paketi.
Siz bu 2 paketi buffera koyarsınız ve IEEE headerdaki target MAC adresine
FF:FF:FF:FF:FF(her pcye göndermek için genel MAC adresidir) yazarsınız.
Bu paketin sonuna bir ARP paketi hazırlanır ve gönderilir. Switch paketi
alınca sizin bağlantı kuracağınız makinenin MAC adresini size iletecektir
ve siz böylece o pc'ye gerekli her bağlantıyı yapabileceksiniz.
Ağ üzerinden Net işlemleri nasıl gerçekleşir?
Mesela siz http://www.google.com adresine gireceksiniz. Peki siz girerken
hangi işlemleri yaptığınızı hiç merak ettiniz mi? İlk önce netle ilişiğiniz
sağlanırken şu paketler hazırlanır ve switche gönderilir.
IEEE 802.3 Header
IP Header
TCP Header
[Data]
Kısaca geçiyorum. 802.3 paketinde switchin MAC adresi(FF:FF:FF:FF:FF) ve
source mac address vardır. IP paketinde belli IP konfigurasyonları vardır,
source ip, dest ip ve port kısaca bilmeniz gerekenlerdir.
TCP headerda yine dest ip ve dest port vardır ve TCP paketinin ne tip olduğu
yazılıdır. SYN, ACK, RST veya PSH.. gibi bağlantı paketleri olduğunu belirtir.
İlk başta bağlanmak için SYN kullanılır ve karşıdan ACK paketi gelir ve biz
tekrar SYN-ACK gönderip siteye bağlanmış oluruz.
SYN Attack da bu mantığa dayalıdır, source addressi siz random basarsınız ve
SYN flaglı bir TCP paketini sürekli gönderirsiniz ve ana makine bunlara yanıt veremez
