Cisco_Hacking
  • 🖥️Giriş
  • 🖥️1-CAM Table Overflow
  • 🖥️2-CDP Attack
  • 🖥️3-DHCP Attack
  • 🖥️4-ARP SPOOFİNG
  • 🖥️5-SWİTCH SPOOFİNG ATTACK(DTP Attack)
  • 🖥️6-VTP ATTACK
  • 🖥️7-STP ATTACK
  • 🖥️8-VLAN ATTACK
  • 🖥️9-HSRP ATTACK
  • 🖥️10-IP SPOOFING
  • 🖥️11-TELNET ATTACK
  • 🖥️12-SNMP ATTACK
  • 🖥️13-SSH ATTACK
  • 🖥️14- ROUTING ATTACK
  • 🖥️15- RİP ATTACK
  • 🖥️16-EIGRP ATTACK
  • 🖥️17-OSPF ATTACK
  • 🖥️18-BGP ATTACK
  • 🖥️19- IS-IS ATTACK
  • 🖥️20-FHRP ATTACK
  • 🖥️21-MPLS ATTACK
  • 🖥️22-ISL ATTACK
  • 🖥️23-802.1Q ATTACK
  • 🖥️24-802.1X ATTACK
  • 🖥️25-DNS ATTACK
  • 🖥️26- Manuel Cihaz Güvenliği Ve Kontrolu
  • 🖥️27- Otomatik Cihaz Güvenliği Ve Kontrolü
  • 🖥️28- NTP ATTACK
  • 🖥️29- FTPS/TFTP/SCP ATTACK
  • 🖥️30-VRRP ATTACK
  • 🖥️31-GLBP ATTACK
  • 🖥️32- TACACS+ Sniffing
  • 🖥️33-RADIUS ATTACK
  • 🖥️34-Physical ATTACK
  • 🖥️35-VPN ATTACK
  • 🖥️38-Network Pentest Topolojisi Hazırlama
  • 🖥️39-SOC Analizi
  • 🖥️40-Pentest Raporu
Powered by GitBook
On this page

10-IP SPOOFING

Previous9-HSRP ATTACKNext11-TELNET ATTACK

Last updated 10 months ago

IP Nedir ?

IP adresleri, İnterneti veya TCP/IP protokolünü kullanan diğer paket anahtarlamalı ağlara bağlı cihazların, birbirleriyle veri alışverişi yapmak için kullandıkları adres.

IP Spoofing Saldırısı

Bilgisayar ağları, iletişim için birden fazla başlık içeren ağ veri paketlerinin değişimi yoluyla iletişim kurar ve yönlendirme sağlar. Bu başlıklardan biri, paketi gönderenin IP adresini belirten "Kaynak IP Adresi"dir.

IP adresi sahtekarlığı, gönderenin kimliğini gizlemek veya yansıtılmış bir DDoS saldırısı başlatmak için Kaynak IP başlığındaki içeriği genellikle rastgele sayılarla değiştirme işlemidir. Bu eylem, çoğu DDoS kötü amaçlı yazılım kitinde ve saldırı komut dosyalarında varsayılan bir özelliktir. IP sahtekarlığı, çoğu ağ katmanı dağıtılmış hizmet reddi (DDoS) saldırılarının bir parçası haline gelmiştir.

DDoS saldırılarında IP Adresi sahtekarlığı

IP adresi sahteciliği, DDoS saldırılarında iki ana amaçla kullanılır: Botnet cihazlarının konumlarını gizlemek ve yansıtılmış bir saldırı düzenlemektir.

Botnet cihazlarını maskeleme

Botnet, sahiplerinin bilgisi olmadan failler tarafından uzaktan kontrol edilen, kötü amaçlı yazılım ile enfekte olmuş cihazlardan oluşan bir ağdır. Bu botnet cihazları, belirli bir etki alanına veya sunucuya toplu olarak erişmek için talimat alabilir, böylece failler büyük trafik akınları oluşturarak bilgi işlem ve ağ kaynaklarını kullanabilirler. Bu tür saldırılar, botnet operatörlerinin (veya "çobanların") hedeflerinin kaynak kapasitesini maksimize etmelerine olanak tanır, bu da sunucunun çökmesine ve ağın doygunluğuna neden olabilir.

Bot ağları genellikle rastgele ve coğrafi olarak dağılmış cihazlardan veya güvenlik ihlal edilmiş aynı ağa (örneğin, saldırıya uğramış barındırma platformuna) ait bilgisayarlardan oluşur.

Failler, botnet cihazlarının gerçek kimliklerini gizlemek için sahte IP adresleri kullanarak şunları amaçlamaktadır:

  1. Kolluk kuvvetleri ve adli siber soruşturmacılar tarafından keşfedilmekten ve ima edilmekten kaçının.

  2. Hedeflerin farkında olmadan katıldıkları bir saldırıyı cihaz sahiplerine bildirmelerini önleyin.

  3. Saldıran IP adreslerini kara listeye alarak DDoS saldırılarını azaltmaya çalışan güvenlik komut dosyalarını, cihazları ve hizmetleri atlayın.

Reflected DDoS

Yansıtılan bir DDoS saldırısı, koruma altındaki sunuculardan yanıtlar almak amacıyla, görünüşte bir hedef adına sahte istekler oluşturmak için IP sahtekarlığını kullanır. Failin amacı, çok daha küçük isteklerden büyük yanıtlar tetikleyerek trafik çıktısını artırmaktır.

Yaygın olarak yansıtılan DDoS saldırı yöntemleri şunları içerir:

DNS amplification - Bir hedefin sahte adresinden kaynaklanan HERHANGİ bir sorgu, çok sayıda güvenli olmayan DNS çözümleyicisine gönderilir. Her 60 baytlık istek, 4000 baytlık bir yanıtı tetikleyebilir ve saldırganların trafik çıktısını 1:70'e kadar büyütmesine olanak tanır.

Smurf attack - Bir hedefin sahte adresinden bir ara yayın ağına bir ICMP Yankı isteği gönderilir ve bu ağdaki her cihazdan yanıtlar tetiklenir. Yükseltme derecesi, isteğin yayınlandığı cihazların sayısına bağlıdır. Örneğin, 50 bağlı ana bilgisayarın bulunduğu bir ağ, 1:50 amplifikasyonla sonuçlanır.

NTP amplification - Bir hedefin sahte IP adresini içeren bir monlist alma isteği, güvenli olmayan bir NTP sunucusuna gönderilir. DNS yükseltmesinde olduğu gibi, küçük bir istek çok daha büyük bir yanıtı tetikleyerek maksimum 1:200 yükseltme oranına izin verir.

Uygulama katmanı saldırılarında IP adresi sahtekarlığı

Uygulama katmanı bağlantılarının kurulabilmesi için, ana bilgisayar ve ziyaretçinin TCP üç yönlü el sıkışma olarak bilinen bir karşılıklı doğrulama sürecine katılmaları gerekir.

  1. Ziyaretçi, ana bilgisayara bir SYN paketi gönderir.

  2. Ana bilgisayar, bir SYN-ACK ile yanıt verir.

  3. Ziyaretçi, ACK paketiyle yanıt vererek SYN-ACK'nin alındığını onaylar.

İşlem aşağıdaki senkronizasyon (SYN) ve onay (ACK) paketlerinin değişiminden oluşur:

Kaynak IP sahtekarlığı, ziyaretçinin sahte bir IP adresine gönderilen SYN-ACK yanıtını almasını engelleyeceği için bu sürecin üçüncü adımını imkansız hale getirir.

Tüm uygulama katmanı saldırıları TCP bağlantılarına ve 3 yollu el sıkışma döngüsünün kapatılmasına dayandığından, yalnızca ağ katmanı DDoS saldırıları sahte adresleri kullanabilir.

Güvenlik araştırmalarında IP adresi sahtekarlığı

Güvenlik araştırmalarında, ağ katmanı saldırılarından elde edilen IP verileri genellikle saldırgan kaynaklarının menşe ülkesini belirlemek için kullanılır. Ancak IP adresi sahtekarlığı, kötü amaçlı trafiğin hem IP adresi hem de coğrafi konumu maskelendiğinden, bu verileri güvenilmez hale getirir.

Yalnızca ağ IP verilerine dayanan raporları okurken bu sınırlamaların farkında olmak gerekir. Örneğin, uygulama katmanı saldırılarına karşı koruma sağlamayan bir risk azaltma sağlayıcısının raporuna güvenilmez, çünkü botnet cihazlarının doğru konumları hakkında bilgi sağlamaz.

Sonuç olarak, botnet'in menşe ülkelerine yönelik herhangi bir önemli araştırma yalnızca uygulama katmanı saldırı verilerine dayanabilir.

Ayrıca ACL bulunan yapılarda IP Spoofing ile IP adresi tabanlı kimlik doğrulamasını atlamak için de kullanılabilir.

İP SPOOFİNG LAB

Lab ortamında bunları kullanacağımızı ve kaynak IP adresini ve tüm gereklilikleri belirttiğimizi söyledik. Hadi başlayalım!

Kali Linux'tan iki paket attım ve bunlar başarılı bir şekilde hedefe gitti.

Wireshark çıktısında kaynak ve hedef IP adresleri belirtilmiş. Şimdi bu ayarlarla oynayalım.

İlk başta gerçek bir IP adresinden paket gönderdim ve bu paket yapısı, belirtildiği gibi görünüyor.

Görüldüğü gibi, sistemden çıkan ve kaynak IP adresine dikkat edersek, görebiliriz.

Bu şekilde, DDoS, botnet ve benzeri saldırılarla web, hizmet vb. sistemleri devre dışı bırakabiliriz.

─# hping3 -c 4 --spoof 2.2.2.2  --interface eth0 --icmp 1.1.1.1
─# hping3 -c 4 --rand-source  --interface eth0 --icmp 1.1.1.1

Çeşitli araçlarlada yapılabilir veya Python bilgisine görede yapılabilir.

>>> packet = IP(src="2.2.2.2", dst="1.1.1.1")/ICMP()
>>> send(packet)
.
Sent 1 packets.

Görüldüğü gibi, Python ile de yapılabiliyor. Burada kişinin bilgisi ve bilgi birikimine göre değişebilir.

IP sahteciliğine karşı nasıl korunursunuz?

IP sahtekarlığı yapılan paketler ortadan kaldırılamaz. Ancak, kuruluşlar ağlarını ve verilerini korumak için önlemler alabilirler.

İşte şirketlerin atabileceği bazı adımlar:

  • Tüm uzaktan erişimler için güçlü doğrulama ve kimlik doğrulama yöntemleri kullanın. Cihazların ve kullanıcıların kimliğini yalnızca IP adresine göre doğrulamayın.

  • IP adreslerinden oluşan bir ACL yapın.

  • Hem giriş hem de çıkış paket filtrelemesini kullanın.

  • Şüpheli ağ etkinliğini izleyen antivirüs ve diğer güvenlik yazılımlarını kullanın.

  • Kurumsal sunucuya giden ve kurumsal sunucudan gelen trafiği korumak için IP düzeyinde şifreleme protokollerini kullanın. Bu yaklaşım, saldırganların kimliğe bürünmek için potansiyel IP adreslerini okumasını engeller.

  • Ağ yazılımını güncel tutun ve iyi yama yönetimi uygulayın .

  • Sürekli ağ izlemenin gerçekleştirilmesi.

Güvenlik duvarları ve kurumsal yönlendirici filtreleme kuralları, sahte olabilecek paketleri reddedecek şekilde yapılandırılmalıdır. Buna, kurumsal çevre dışından gelen özel IP adreslerine sahip paketler de dahildir. Ayrıca, kuruluş içinden kaynaklanan ancak harici bir adresi kaynak IP adresi olarak taklit eden trafiği de kapsar. Bu, sahtecilik saldırılarının iç ağdan dış ağlara başlatılmasını önler.

LAB Çeşitleri

hping3 Kullanımı

Hping3, bir ağ güvenliği testi ve öğrenme araçlarıdır. Sektörel olarak, hping3, ağ güvenliği ve siber güvenlik alanında kullanılan bir araçtır. Hping3, ağ trafiğini analiz etmek, yönlendirme ve güvenlik testleri gerçekleştirmek için kullanılır.

Hping3, aşağıdaki görevleri gerçekleştirir:

  1. Ağ trafiğini oluşturma ve analiz etme

  2. Paket yapısını ve içeriğini değiştirme

  3. Trafik yönlendirme ve ağlar arasında yönlendirme

  4. Ağ güvenliği testleri gerçekleştirme

  5. Siber güvenlik araçlarının etkilerini test etme

Hping3, siber güvenlikte aşağıdaki alanlarda kullanılır:

  1. Ağ güvenliği testleri

  2. DoS ve DDoS saldırılarından koruma

  3. Açık portların taraması ve saldırıların tespiti

  4. Ağ trafiğinin analizi ve izlenmesi

  5. Siper güvenlik araçlarının etkilerini test etme

Hping3, ağ güvenliği ve siber güvenlik alanında çeşitli amaçlı kullanılabilir. Ancak, bu araçların kullanılmasının gerektiği ve ne zaman kullanılması gerektiği, her zaman bir uzman tarafından yapılmalıdır. Bu, araçların doğru ve güvenli bir şekilde kullanılmasını sağlamak için önemlidir.

İsteyenler üst tarafta hile yapma sayfasını bulabilir ve bir saldırı örnek senaryosuyla canlandırabiliriz.

Local ağda çalışan bir web servisini etkinleştirdim ve bunun üzerine DDoS saldırısı yapacağım.

Localhost'ta 80 numaralı port üzerinde bir hizmet çalışıyor, yani hedef port 80'e yönelik bir DDoS saldırısı yapalım.

sudo hping3  -q -n -d 120 -S -p 80 --flood --rand-source 1.1.1.2 
// Bu saldırıyı gerçekleştirdiğinizde, web sitesinde biraz duraksama olması gerektiğini göreceksiniz.

Sonuç

IP sahtekarlığı, internet trafiğindeki IP adreslerinin manipüle edilmesi veya taklit edilmesi işlemidir. Bu, saldırganların kimliklerini gizlemelerine veya başka bir kişi veya kuruluş olarak görünmelerine olanak tanır. IP sahtekarlığı, ağ güvenliği için ciddi bir tehdit oluşturur ve çeşitli saldırılar için bir yol sağlar.

Bir saldırgan, sahte bir IP adresi kullanarak, gerçek kimliğini gizleyebilir ve izini kaybettirebilir. Ayrıca, bu tür saldırılar, veri paketlerinin yanıltıcı yönlendirilmesine veya aldatılmasına neden olabilir, bu da gizlilik ihlallerine ve veri sızıntılarına yol açabilir.

IP sahtekarlığına karşı koymak için birkaç önlem alınabilir. Güvenlik duvarları ve ağ cihazları, sahte IP adreslerini tespit etmek ve engellemek için filtreleme ve doğrulama yöntemlerini kullanabilirler. Ayrıca, ağ trafiğini izlemek ve anormal aktiviteleri tespit etmek için izleme ve günlük tutma önlemleri almak da önemlidir.

Sonuç olarak, IP sahtekarlığı ağ güvenliği için ciddi bir tehdit oluşturur ve dikkatle ele alınması gerekir. Kuruluşlar, bu tür saldırılara karşı korunmak için etkili güvenlik önlemleri uygulamalı ve personellerini bu konuda eğitmeye devam etmelidirler.

🖥️
  • IP Nedir ?
  • IP Spoofing Saldırısı
  • DDoS saldırılarında IP Adresi sahtekarlığı
  • Uygulama katmanı saldırılarında IP adresi sahtekarlığı
  • Güvenlik araştırmalarında IP adresi sahtekarlığı
  • İP SPOOFİNG LAB
  • IP sahteciliğine karşı nasıl korunursunuz?
  • LAB Çeşitleri
  • hping3 Kullanımı
  • Sonuç