Menü

TCP/IP

İnternetin temel iletişim dilidir. Adından da anlaşılacağı gibi, TCP / IP iki ayrı protokolün birleşimidir: TCP (iletim kontrol protokolü) ve IP (İnternet protokolü). İnternet Protokolü standardı ağlar üzerinden gönderilen paketlerin lojistiğini belirler, paketlere nereye gidileceğini ve oraya nasıl gidileceğini söyler. IP, Internet’teki herhangi bir bilgisayarın bir paketi, paketin alıcısına bir veya daha fazla aralıklı başka bir bilgisayara iletmesine izin verir. İletim Kontrol Protokolü ise, internet bağlantılı ağlar arasında verilerin güvenilir bir şekilde iletilmesini sağlamaktan sorumludur. TCP, paketleri hatalara karşı denetler ve varsa yeniden iletim taleplerini gönderir. Yaygın olarak kullanılan 3 tane TCP/IP protokolü vardır bunlar:

  • HTTP: Güvenli olmayan veri aktarımı
  • HTTPS güvenli veri aktarımı
  • FTP: İki bilgisayar arasında gerçekleşen veri aktarımıdır.

TCP / IP modelinin her katmanındaki ağ iletişimi için güvenlik denetimleri vardır. Veriler en yüksek katmandan en düşük katmana geçirilir ve her katman daha fazla bilgi ekler. Bu nedenle, daha yüksek bir katmandaki güvenlik kontrolü alt katmanlar için koruma sağlayamaz, çünkü alt katmanlar daha yüksek katmanların farkında olmadığı işlevleri yerine getirir. Güvenlik denetimleri toplam 4 farklı protokol katmanından oluşur bunlar şu şekilde sıralanabilir:

  • Ağ erişim katmanı
  • İnternet katmanı
  • Aktarım katmanı
  • Uygulama katmanı

TCP/IP Güvenlik Açıkları

Şu an kullanılan IPv4 protokolü tasarlanırken çok eskilere dayanması ve o zamanlar güvenliğin dikkate alınmaması sonucu bazı zafiyetler ortaya çıkmıştır.

  • Hizmet Reddi Saldırıları (DDoS): DoS saldırıları genellikle birden çok IP adresini tek bir hedefin MAC adresiyle bağlamak için ARP kimlik sahtekarlığından yararlanır. Sonuç olarak, birçok farklı IP adresi için tasarlanan trafik, hedefin trafik yoğunluğuna aşırı yüklenerek hedefin MAC adresine yönlendirilir.

1.ARP Kimlik Sahtekarlığı Saldırısı: Yerel alan ağı üzerinde sahte ARP (Adres Çözümleme Protokolü) iletileri gönderdiği bir saldırı türüdür. ARP kimlik sahtekarlığı saldırılarının etkilerinin işletmeler için ciddi etkileri olabilir. En temel uygulamalardaki hassas bilgileri çalmak için bu yöntem kullanılır. Bunun ötesinde, ARP kimlik sahtekarlığı saldırıları genellikle aşağıdakiler gibi diğer saldırıları kolaylaştırmak için kullanılır:

  • Oturum çalma: Oturum ele geçirme saldırıları, oturum kimliklerini çalmak için ARP kimlik sahtekarlığını kullanarak saldırganın özel sistemlere ve verilere erişimini sağlar.

2. Port Tarama (Port scaning): Saldırganların sistemlere girmek için kullanabilecekleri hizmetleri keşfetmek için kullandıkları en popüler tekniklerden biridir.Bağlantı noktası taramasıyla, saldırgan hedeflenen sistemler hakkında aşağıdaki bilgileri bulabilir: hangi hizmetlerin çalıştığını, kullanıcıların bu hizmetlere sahip olduğu, anonim oturumların desteklenip desteklenmediğini ve belirli ağ hizmetlerinin kimlik doğrulaması gerektirip gerektirmediği. Port taraması, her porta birer birer mesaj gönderilerek gerçekleştirilir. Alınan yanıt türü, bağlantı noktasının kullanılıp kullanılmadığını ve daha fazla zayıflık için incelenip incelenemeyeceğini gösterir. Bağlantı noktası tarayıcıları, ağ güvenliği teknisyenleri için önemlidir, çünkü hedeflenen sistemdeki olası güvenlik açıklarını açığa çıkarabilirler.

Port Tarama Teknikleri

  • Adres Çözümleme Protokolü (ARP): ARP taramaları, bir dizi ARP yayını göndererek ve her yayın paketindeki hedef IP adresi alanının değerini artırarak yerel ağ segmentindeki etkin cihazları keşfeder. Bu tür tarama, ağdaki her IP aygıtının yanıt olarak kendi IP adresiyle yanıt vermesini sağlar.
  • TCP Bağlantısı: TCP bağlantı taraması en temel tarama tekniğidir. Tarama, açık olan her bağlantı noktasına bir bağlantı açmak için hedef sistemdeki bir işletim sisteminin bağlantı sistemi çağrısını kullanır, son derece gürültülüdür ve kolayca algılanabilir. Hedeflenen sistem günlükleri, bağlantıları kabul eden hizmetler için bağlantı isteklerini ve hata mesajlarını gösterir.
  • TCP SYN: Saldırı sistemi açık bağlantıları kapatmadığı için TCP SYN (Yarı Açık) taramaları yarı açık olarak adlandırılır. Saldıran tarayıcı hedefe bir SYN paketi göndererek ve bir yanıt bekler. Bağlantı noktası açıksa, hedef bir SYN | ACK gönderir. Bağlantı noktası kapalıysa, hedef bir RST gönderir. Bu tür bir taramanın algılanması zordur. 
  • TCP FIN: TCP FIN taraması, çoğu güvenlik duvarı, paket filtresi ve tarama algılama programından tespit edilmeden geçebilir. Saldıran sistem, hedeflenen sisteme FIN paketleri gönderir. Kapalı bağlantı noktaları bir RST ile yanıt verir. Saldırı sistemi, hangi bağlantı noktalarından bir RST aldığını not eder ve bir RST ile yanıt vermeyen bağlantı noktalarını rapor eder çünkü açık portlar bu tür paketleri yok sayar.

3. TCP Syn Flood Saldırısı: Hedeflenen sunucudaki kaynakları tüketmek ve yanıt vermemesini sağlamak için normal TCP üç yönlü el sıkışmasının bir bölümünü kullanan bir Dağıtılmış Hizmet Reddi (DDoS) saldırısıdır. İstemci ve sunucu normal bir TCP “üç yönlü el sıkışma” oluşturduğunda, exchange şu şekilde görünür:

  1. İstemci, sunucuya SYN (senkronize) mesajı göndererek bağlantı ister.
  2. Sunucu, istemciye SYN-ACK (eşitleme-onaylama) iletisi göndererek onaylar.
  3. İstemci bir ACK (alındı) iletisi ile yanıt verir ve bağlantı kurulur.

SYN flood saldırısında, saldırgan, genellikle sahte bir IP adresi kullanarak, hedeflenen sunucudaki her bağlantı noktasına tekrarlanan SYN paketleri gönderir. Saldırının farkında olmayan sunucu, iletişim kurmak için görünüşte meşru olan birden fazla istek alır. Her denemeye, açık bağlantı noktasından bir SYN-ACK paketi ile yanıt verir. Kötü amaçlı istemci beklenen ACK’yı göndermez veya IP adresi sahte ise ilk etapta SYN-ACK’yı almaz. Her iki durumda da, saldırı altındaki sunucu SYN-ACK paketinin bir süre onaylanmasını bekler. Bu süre zarfında, sunucu bir RST paketi göndererek bağlantıyı kapatmaz ve bağlantı açık kalır. Bağlantı zaman aşımına uğramadan önce başka bir SYN paketi gelecektir. Bu, gittikçe artan sayıda bağlantıyı yarı açık bırakır – ve aslında SYN Food saldırılarına “yarı açık” saldırılar da denir. Sonunda, sunucunun bağlantı taşma tabloları dolduruldukça, meşru istemcilere hizmet reddedilir ve sonucunda sunucu arızalanabilir veya çökebilir.

4. IP Sızdırma: IP adresi kimlik sahtekarlığı en sık kullanılan kimlik sahtekarlığı saldırı yöntemlerinden biridir. Bir IP adresi kimlik sahtekarlığı saldırısında, saldırgan kendisini gizlemek için IP paketlerini yanlış veya “sahte” bir kaynak adresinden gönderir. IP sahteciliği, bir bilgisayarın IP adresini maskeleme eylemidir, böylece orijinal gibi görünür. Bu maskeleme işlemi sırasında, sahte IP adresi, orijinal ve güvenilir gibi görünen bir IP adresiyle birleştirilmiş kötü niyetli bir mesaj gönderir. IP kimlik sahtekarlığında, IP üstbilgileri, kimlik sahtekarlarının IP üstbilgisinde bulunan IP adresi ve kaynak ve hedef bilgileri gibi hayati bilgileri bulup yönettikleri bir İletim Denetimi Protokolü (TCP) ile maskelenir.

Kimlik Sahtekarlığı Saldırı Türleri :

  • Kör Olmayan Kimlik Sahtekarlığı: Bu tür saldırılar, saldırgan kurbanla aynı alt ağda olduğunda gerçekleşir. Sıra ve onay numaraları, doğru bir şekilde hesaplanmasındaki potansiyel zorlukları ortadan kaldırabilir. Bu durumda kimlik sahtekarlığının en büyük tehdidi oturum ele geçirme olacaktır. Bu, kurulan bir bağlantının veri akışını bozarak, daha sonra saldırı makinesiyle doğru sıraya ve onay numaralarına dayanarak yeniden kurarak gerçekleştirilir. Bu tekniği kullanarak saldırgan, bağlantıyı kurmak için gerçekleştirilen kimlik doğrulama önlemlerini etkin bir şekilde atlayabilir.
  • Kör Kimlik Sahtekarlığı: Bu daha sofistike bir saldırıdır, çünkü dizi ve onay numaralarına ulaşılamaz. Bunu atlatmak için sıra numaralarını örneklemek üzere hedef makineye birkaç paket gönderilir. Günümüzde durum böyle olmasa da, geçmişte makineler sıra numaraları üretmek için temel teknikleri kullanıyordu. Paketleri ve TCP oturumlarını inceleyerek tam formülü bulmak nispeten kolaydı. Bugün, çoğu işletim sistemi rastgele sıra numarası üretmeyi uygulayarak doğru tahmin etmeyi zorlaştırmaktadır. Bununla birlikte, sıra numarası tehlikeye düşerse, veriler hedefe gönderilebilir. Birkaç yıl önce, birçok makine ana bilgisayar tabanlı kimlik doğrulama hizmetlerini (yani Rlogin) kullandı. Düzgün hazırlanmış bir saldırı, gerekli verileri bir sisteme (yani yeni bir kullanıcı hesabı) ekleyerek körü körüne güvenerek bir ana bilgisayarı taklit eden saldırgan için tam erişim sağlayabilir.
  • Orta Saldırıdaki Adam(Man In The Middle Attack): Her iki kimlik sahtekarlığı türü, orta (MITM) saldırısında bir adam olarak bilinen yaygın bir güvenlik ihlali biçimidir. Bu saldırılarda, kötü niyetli bir taraf iki dost taraf arasında meşru bir iletişimi keser. Kötü amaçlı ev sahibi daha sonra iletişim akışını kontrol eder ve orijinal gönderen veya alıcı bilgisi olmadan orijinal katılımcılardan biri tarafından gönderilen bilgileri ortadan kaldırabilir veya değiştirebilir. Bu şekilde, bir saldırgan, alıcı tarafından güvenilen orijinal gönderenin kimliğini “sahtekarlık yaparak” gizli bilgileri ifşa etmesine ikna edebilir.
  • Hizmet Engelleme Saldırısı: IP kimlik sahtekarlığı neredeyse her zaman, şu anda savunulması en zor saldırılardan biri olan hizmet reddi saldırıları veya DoS’da kullanılır.

5.DNS Kimlik Sahtekarlığı:Etki Alanı Adı Sistemi (DNS), etki alanı adlarını IP adresleriyle ilişkilendiren bir sistemdir. İnternete veya diğer özel ağlara bağlanan cihazlar, URL’leri, e-posta adreslerini ve diğer okunabilir alan adlarını ilgili IP adreslerine çözmek için DNS’ye güvenir. DNS sunucusu kimlik sahtekarlığı saldırısında, kötü niyetli bir taraf belirli bir etki alanı adını, farklı bir IP adresine yeniden yönlendirmek için DNS sunucusunu değiştirir. Çoğu durumda, yeni IP adresi aslında saldırgan tarafından kontrol edilen ve kötü amaçlı yazılım bulaşmış dosyalar içeren bir sunucu içindir. DNS sunucusu kimlik sahtekarlığı saldırıları genellikle bilgisayar solucanlarını ve virüslerini yaymak için kullanılır.

Sidebar