SUSKUN
02-25-2006, 12:42 AM
Bir sistemde sniffer çalıştıgını remote olarak anlamamız mümkün değildir. Sniffer çalışan makina,her paketi kabul eder ve çok karmaşık bir hal alır.Bir çok Unix tabanlı İşletim sisteminde,sistemde sniffer olup olmadığını anlamanın yolları vardır. SunOS,BSD,Linux ve diğer bir çok Unix tabanlı OS larda bir komut bulunur..
"ifconfig -a"
Bu komut,tüm arayüzleri kontrol edecek ve sistem de bir abukluk varsa size bildirecektir.Ama bazı OS larda bu komutu çalıştırmak için bazı device adresleri falan girmek gerekir (IRIX gibi..)Onun için başka bir komut daha söyleyeyim.(Aşağıdaki örnek tamamen hayalidir.)
# netstat -r
Routing tables
Internet:
Destination Gateway Flags Refs Use Interface
default infern0.com UG 1 24949 virgo
localhost localhost UH 2 83 le0
Bu komutdan sonra gördüğümüz tüm arayüzleri kontrol edebiliriz.Örnek,
# ifconfig virgo
virgo: flags=8863<UP,BROADCAST,NOTRAILERS,RUNNING,PROMISC ,MULTICAST>
inet 127.0.0.1 netmask 0xffffff00 broadcast 255.0.0.1
Bu komutların dışında "cpm" adında snifferları tespit eden bir program vardır.Sadece SunOS ta çalışır ve tüm arayüzleri kontrol eder.(ftp.cert.org:/pub/tools/cpm)
Ultrixde ise,sistemde sniffer çalışıp calışmadığını "pfstat ve pfconfig" komutlarını kullanarak öğrenebiliriz.
pfconfig size kimlerin sniffer kullanıp kullanamayacağını ayarlama olanağı verir. pfstat ise size sistem de ki abukluklukları sıralar.
Bundan başka,üzülerek söylüyorum ki Irix, Solaris ve SCO da sniffer olup olmadığını algılamak biraz zordur.Yani heran bir hacker kardeş içerde snifferları depolamış olabilir. Bir başka yol ise,snifferların log dosyalarının büyümesidir.Hele hele,bazen sniffer sistemde uzun bir load zamanı geçirir.Ve çoğu zaman bazı alarmlar ortaya çıkar.Bu sayede sistem admin'i olayın farkına varır.Ben size lsof(LiSt Open Files) u kullanmanızı öneririm.Bu program ,bazı paket devicelarına (SunOS da /dev/nit gibi..) uzanan dosyaları size gösterir. "coast.cs.purdue.edu:/pub/Purdue/lsof" dan çekebilirsiniz.
- Encryption
Eğer yukarıdaki yollara güvenmiyorsanız,yapabileceğiniz en güzel şeylerden biride paketleri encryptlemek olabilir.Hacker dostumuz,paketleri yakalayabilir ama gördüklerinden hiç birşey anlamaz.
Bunun için 1-2 program ve adreslerini vereyim,
* deslogin coast.cs.purdue.edu:/pub/tools/unix/deslogin
* swIPe ftp.csua.berkeley.edu:/pub/cypherpunks/swIPe/ ([Only Registered Users Can See Links])
- Kerberos Kerberos da yukarıdakiler gibi paketleri encrypt eden bir programdır.Kerberos "stream-encrypting rlogind" ve "stream-encyrpting telnetd" gibi özelliklerle gelir.Bu sizin sisteme girdikten sonra ne yaptıklarınızı hackerlardan saklamanıza yarar. "tfm.mit.edu" da Kerberos için bir faq bulunuyor.İlgilendiyseniz kaçırmayın dökümanı derim. /pub/usenet/comp.protocols/kerberos/Kerberos_Users__Frequently_Asked_Questions_1.11
Umarım sniff denilen olayı kavramanıza yardımcı olmuşumdur.
"ifconfig -a"
Bu komut,tüm arayüzleri kontrol edecek ve sistem de bir abukluk varsa size bildirecektir.Ama bazı OS larda bu komutu çalıştırmak için bazı device adresleri falan girmek gerekir (IRIX gibi..)Onun için başka bir komut daha söyleyeyim.(Aşağıdaki örnek tamamen hayalidir.)
# netstat -r
Routing tables
Internet:
Destination Gateway Flags Refs Use Interface
default infern0.com UG 1 24949 virgo
localhost localhost UH 2 83 le0
Bu komutdan sonra gördüğümüz tüm arayüzleri kontrol edebiliriz.Örnek,
# ifconfig virgo
virgo: flags=8863<UP,BROADCAST,NOTRAILERS,RUNNING,PROMISC ,MULTICAST>
inet 127.0.0.1 netmask 0xffffff00 broadcast 255.0.0.1
Bu komutların dışında "cpm" adında snifferları tespit eden bir program vardır.Sadece SunOS ta çalışır ve tüm arayüzleri kontrol eder.(ftp.cert.org:/pub/tools/cpm)
Ultrixde ise,sistemde sniffer çalışıp calışmadığını "pfstat ve pfconfig" komutlarını kullanarak öğrenebiliriz.
pfconfig size kimlerin sniffer kullanıp kullanamayacağını ayarlama olanağı verir. pfstat ise size sistem de ki abukluklukları sıralar.
Bundan başka,üzülerek söylüyorum ki Irix, Solaris ve SCO da sniffer olup olmadığını algılamak biraz zordur.Yani heran bir hacker kardeş içerde snifferları depolamış olabilir. Bir başka yol ise,snifferların log dosyalarının büyümesidir.Hele hele,bazen sniffer sistemde uzun bir load zamanı geçirir.Ve çoğu zaman bazı alarmlar ortaya çıkar.Bu sayede sistem admin'i olayın farkına varır.Ben size lsof(LiSt Open Files) u kullanmanızı öneririm.Bu program ,bazı paket devicelarına (SunOS da /dev/nit gibi..) uzanan dosyaları size gösterir. "coast.cs.purdue.edu:/pub/Purdue/lsof" dan çekebilirsiniz.
- Encryption
Eğer yukarıdaki yollara güvenmiyorsanız,yapabileceğiniz en güzel şeylerden biride paketleri encryptlemek olabilir.Hacker dostumuz,paketleri yakalayabilir ama gördüklerinden hiç birşey anlamaz.
Bunun için 1-2 program ve adreslerini vereyim,
* deslogin coast.cs.purdue.edu:/pub/tools/unix/deslogin
* swIPe ftp.csua.berkeley.edu:/pub/cypherpunks/swIPe/ ([Only Registered Users Can See Links])
- Kerberos Kerberos da yukarıdakiler gibi paketleri encrypt eden bir programdır.Kerberos "stream-encrypting rlogind" ve "stream-encyrpting telnetd" gibi özelliklerle gelir.Bu sizin sisteme girdikten sonra ne yaptıklarınızı hackerlardan saklamanıza yarar. "tfm.mit.edu" da Kerberos için bir faq bulunuyor.İlgilendiyseniz kaçırmayın dökümanı derim. /pub/usenet/comp.protocols/kerberos/Kerberos_Users__Frequently_Asked_Questions_1.11
Umarım sniff denilen olayı kavramanıza yardımcı olmuşumdur.