Merhaba değerli Türk Hack Team üyeleri! Bu konumuzda İP Spoofing nedir? ne işe yaramaktadır? nasıl yapılır? vb. gibi soruları pek çok başlıktan ele alacağız. İyi okumalar.
IP Spoofing Nedir?
İstenilen IP adresinden TCP/IP paketleri (tcp, udp, ip, icmp, http, smtp, dns vb.) gönderebilme işlemine IP spoofing , ip sahteciliği denir. Sahte ip paketini alan taraf paketin gerçekten gönderilen ip adresinden gelip gelmediğini bilemez. Bunu bir örnek ile anlatacak olursak eğer mesela bir servere bağlanmak istiyorsunuz ve serverin sizin bağlandığını görmemesi lazım yani kimliğinizi ip adresinizi gizleyerek o sisteme bağlantı kuracaksınız. İşte bu yöntem kimliğinizi gizleyerek bir hostinge bağlanmaya IP Spoofing tekniği denir. Kısaca aldatma sanatıdır, bu işlemde karşı tarafa gerçek İP adresiniz gitmez, sunucu bunu anlamayaz ve siz de bağlanabilirsiniz.
İP Spoofing Örnek Uygulaması
IP spoofing yapabilmek için çeşitli ücretsiz/açık kaynak kod/ticari yazılımlar bulunmaktadır. Bunlar arasında en sık tercih edilenlerden birisi hping?dir. hping kullanarak istenilen özelliklerde ip paketi üretilebilir.
Kod:
hping -a sahte_ip_adresi -p 80 -S www.turkhackteam.org
komutuyla turkhackteam.org makinesinin 80. portuna TCP SYN paketi gönderilmektedir.
Popüler ağ keşif yazılımı Nmap?in Decoy Scan(-D) özelliği kullanılarak sahte ip adreslerinden port tarama gerçekleştirilebilir. Bu tarama tipinde aynı tarama 5, 10 (isteğe bağlı) farklı ip adresinden geliyormuş gibi gözükecektir. Tarama yapıyor gözüken ip adreslerinden bir tanesi de gerçek ip adresidir fakat hangisinin gerçek hangisinin sahte olduğu anlaşılamaz.
İP Spoofing Nerelerde Kullanılmaktadır?
IP spoofing günümüz siber dünyasında yoğunlukla DDoS saldırılarında kullanılmaktadır. DDoS saldırılarının da statefull olmayan protokollerle gerçekleştirilen bölümünde geçerlidir. Yani HTTP GET flood sahte ip adreslerinden gerçekleştirilemez. Ama SYN flood, ACK flood, UDP Flood, DNS flood gibi saldırılar sahte ip adreslerinde gerçekleştirilebilir. Bunun haricinde ip spoofing saldırıları UDP tabanlı protokollerdeki ip adresi sınırlamasını aşmak için de kullanılmaktadır.
HTTP saldırılarında gerçek İP adresinden yapıldığından dolayı çoğu saldırı tespit edilebilir. Ancak saldırganlar buna karşı sunucu üzerinden yaptıkları için yine de orijinal adres gitmemiş oluyor ve saldırı anonim bir şekilde gerçekleşiyor. Bu nedenle web siteleri kendilerini korumak için ek koruma hizmetine ihtiyaç duyuyor.
IP Spoofing Nasıl Engellenebilir?
URPF kullanılarak ISP seviyesinde sistemlerin kendilerine atanan IP adresinden farklı bir IP adresini kullanarak paket göndermeleri engellenebilir. Sahte IP adresi ile gelen paketleri paketlerin ulaştığı noktada engellenemez. Ancak Syn Proxy, Syn cookie gibi yöntemler kullanılarak TCP için üçlü el sıkışmayı tamamlamayı başaramayan paketlerin uç noktalardan iç noktalara(sunuculara, sistemlere) geçmesi engellenebilir. Bu sayede saldırı başarısızlıkla sonuçlanır.
Sitelere konulan arka plan korumaları ve log/ip kaydediciler güvenlik amacıyla gelen İP adresini direkt olarak kabul etmez bir süre dışarda bekletir, eğer ki sahte İP adresi olduğu düşünülürse engellenir. Örneğin VPN yada proxy kullanımda bu durum oluşur. Ancak gerçek bir İP adresi ise beklenen süre sonrası paket siteye kabul edilir ve kullanıcı siteye girebilir. Bu yöntem ciddi DDoS saldırılarında kullanılır ve genellikle başarılı olur.
Konumuzun Sonuna Geldik Başka Konularda Görüşmek Üzere! :))
IP Spoofing Nedir?
İstenilen IP adresinden TCP/IP paketleri (tcp, udp, ip, icmp, http, smtp, dns vb.) gönderebilme işlemine IP spoofing , ip sahteciliği denir. Sahte ip paketini alan taraf paketin gerçekten gönderilen ip adresinden gelip gelmediğini bilemez. Bunu bir örnek ile anlatacak olursak eğer mesela bir servere bağlanmak istiyorsunuz ve serverin sizin bağlandığını görmemesi lazım yani kimliğinizi ip adresinizi gizleyerek o sisteme bağlantı kuracaksınız. İşte bu yöntem kimliğinizi gizleyerek bir hostinge bağlanmaya IP Spoofing tekniği denir. Kısaca aldatma sanatıdır, bu işlemde karşı tarafa gerçek İP adresiniz gitmez, sunucu bunu anlamayaz ve siz de bağlanabilirsiniz.
İP Spoofing Örnek Uygulaması
IP spoofing yapabilmek için çeşitli ücretsiz/açık kaynak kod/ticari yazılımlar bulunmaktadır. Bunlar arasında en sık tercih edilenlerden birisi hping?dir. hping kullanarak istenilen özelliklerde ip paketi üretilebilir.
Kod:
hping -a sahte_ip_adresi -p 80 -S www.turkhackteam.org
komutuyla turkhackteam.org makinesinin 80. portuna TCP SYN paketi gönderilmektedir.
Popüler ağ keşif yazılımı Nmap?in Decoy Scan(-D) özelliği kullanılarak sahte ip adreslerinden port tarama gerçekleştirilebilir. Bu tarama tipinde aynı tarama 5, 10 (isteğe bağlı) farklı ip adresinden geliyormuş gibi gözükecektir. Tarama yapıyor gözüken ip adreslerinden bir tanesi de gerçek ip adresidir fakat hangisinin gerçek hangisinin sahte olduğu anlaşılamaz.
İP Spoofing Nerelerde Kullanılmaktadır?
IP spoofing günümüz siber dünyasında yoğunlukla DDoS saldırılarında kullanılmaktadır. DDoS saldırılarının da statefull olmayan protokollerle gerçekleştirilen bölümünde geçerlidir. Yani HTTP GET flood sahte ip adreslerinden gerçekleştirilemez. Ama SYN flood, ACK flood, UDP Flood, DNS flood gibi saldırılar sahte ip adreslerinde gerçekleştirilebilir. Bunun haricinde ip spoofing saldırıları UDP tabanlı protokollerdeki ip adresi sınırlamasını aşmak için de kullanılmaktadır.
HTTP saldırılarında gerçek İP adresinden yapıldığından dolayı çoğu saldırı tespit edilebilir. Ancak saldırganlar buna karşı sunucu üzerinden yaptıkları için yine de orijinal adres gitmemiş oluyor ve saldırı anonim bir şekilde gerçekleşiyor. Bu nedenle web siteleri kendilerini korumak için ek koruma hizmetine ihtiyaç duyuyor.
IP Spoofing Nasıl Engellenebilir?
URPF kullanılarak ISP seviyesinde sistemlerin kendilerine atanan IP adresinden farklı bir IP adresini kullanarak paket göndermeleri engellenebilir. Sahte IP adresi ile gelen paketleri paketlerin ulaştığı noktada engellenemez. Ancak Syn Proxy, Syn cookie gibi yöntemler kullanılarak TCP için üçlü el sıkışmayı tamamlamayı başaramayan paketlerin uç noktalardan iç noktalara(sunuculara, sistemlere) geçmesi engellenebilir. Bu sayede saldırı başarısızlıkla sonuçlanır.
Sitelere konulan arka plan korumaları ve log/ip kaydediciler güvenlik amacıyla gelen İP adresini direkt olarak kabul etmez bir süre dışarda bekletir, eğer ki sahte İP adresi olduğu düşünülürse engellenir. Örneğin VPN yada proxy kullanımda bu durum oluşur. Ancak gerçek bir İP adresi ise beklenen süre sonrası paket siteye kabul edilir ve kullanıcı siteye girebilir. Bu yöntem ciddi DDoS saldırılarında kullanılır ve genellikle başarılı olur.
Konumuzun Sonuna Geldik Başka Konularda Görüşmek Üzere! :))