|
|
 |
| Msn Loglarını düşürmek ve LAN'ı kesmek
--------------------------------------------------------------------------------
Bölüm 1
--------------------------------------------------------------------------------------------------------
Anlatacağım bu 2 yöntem MSN Sniffing ve MiM Attack, kolaylıkla
bulabileceğiniz türden bir döküman değildir. Bu bilgilere tamamen
ARP(Address Resolution Protocol) ve IEEE 802.3 ve ileri derecede
IP ve TCP bilgisi sonucu ulaşılmıştır. Ben derine inmeden
network olaylarını kısaca anlatıp bu 2 yöntemi ve ekteki
4 programı sizlerle paylaşacağım. Özellikle bu yöntemler
son zamanlarda çıkan ARP Poison denilen ARP Spoof tekniğine dayanır.
İleride olayları anlatacağım.
Gelelim ağ üzerinden MSN dinlemeye..
Ağdan özellikle HUB üzerinden MSN sniff yapabilmek oldukça kolaydır.
Çünkü HUB'a gelen packetler broadcast yöntemiyle tüm makinelere iletilir.
Bunun için size tek gerekli olan basit bi tcp sniffer. Msn sniff ise bu
sniff edilen tcp packetlerini ayıklar ve msn loglarına dönüştürür.Ekte verdiğim
msn monitor & sniffer programı bu işi rahatlıkla görür eğer HUB üzerinden internete
giriyorsanız.
Peki switch üzerinden nete girenler için bu olayı nasıl yapabiliriz?
switch, HUB'ın yaptığı broadcast olayını gerçekleştirmez, gelen packetler
direk switch'e gider ve bizim bu packetleri alabilmemiz için ARP Poison
saldırısıyla kendimizi switch olarak ağdaki diğer PC'lere göstermemiz gerekir.
Yani ARP Poison yöntemiyle, sizin makineniz ağ üzerinde switch işlevi görür.
Şimdi anlatacağım network olaylarını programlama bilgisi olanlar,
özellikle socket programlama, daha iyi anlayacaktır.
ARP nedir?
ARP(Address Resolution Protocol), 4 bytelık IP adreslerini 6 bytelık MAC(hardware)
adreslerine çevirir. Peki neden gerek duyulur? Anlatayım. Ethernet ile
nete giriyorsanız, sizin switch veya HUB ile iletişim kurabilmeniz için
Ethernet kartına bazı packetler basmanız gerekir. Örneğin:
siz ağdaki herhangi bir pcye bağlanacaksınız veya ip/tcp/icmp/igmp paketlerinden
herangi birini göndereceksiniz yada ağdaki başka bir pcye saldıracaksınız.
İlk olarak saldıracağınız pc'nin MAC adresini bulmanız gerekir. MAC adresi nasıl
bulunur? Gerekli olan 2 pakettir.
IEEE 802.3 ve ARP Header paketi.
Siz bu 2 paketi buffera koyarsınız ve IEEE headerdaki target MAC adresine
FF:FF:FF:FF:FF(her pcye göndermek için genel MAC adresidir) yazarsınız.
Bu paketin sonuna bir ARP paketi hazırlanır ve gönderilir. Switch paketi
alınca sizin bağlantı kuracağınız makinenin MAC adresini size iletecektir
ve siz böylece o pc'ye gerekli her bağlantıyı yapabileceksiniz.
Ağ üzerinden Net işlemleri nasıl gerçekleşir?
Mesela siz http://www.google.com adresine gireceksiniz. Peki siz girerken
hangi işlemleri yaptığınızı hiç merak ettiniz mi? İlk önce netle ilişiğiniz
sağlanırken şu paketler hazırlanır ve switche gönderilir.
IEEE 802.3 Header
IP Header
TCP Header
[Data]
Kısaca geçiyorum. 802.3 paketinde switchin MAC adresi(FF:FF:FF:FF:FF) ve
source mac address vardır. IP paketinde belli IP konfigurasyonları vardır,
source ip, dest ip ve port kısaca bilmeniz gerekenlerdir.
TCP headerda yine dest ip ve dest port vardır ve TCP paketinin ne tip olduğu
yazılıdır. SYN, ACK, RST veya PSH.. gibi bağlantı paketleri olduğunu belirtir.
İlk başta bağlanmak için SYN kullanılır ve karşıdan ACK paketi gelir ve biz
tekrar SYN-ACK gönderip siteye bağlanmış oluruz.
SYN Attack da bu mantığa dayalıdır, source addressi siz random basarsınız ve
SYN flaglı bir TCP paketini sürekli gönderirsiniz ve ana makine bunlara yanıt veremez
------------------------------------------------------------------------------------------------
msn sniff veya mim attack yapabilmeniz için öncelikle şu 2 programı indirmeniz gerekir
Windows Packet Capture Driver ve Windows ARP Spoofer
windows packet capture driver
ağa müdahale edebilmek için ilk önce arp poison saldırısı yapmanız gerekiyor
windows arp spoofer
programı açtığımızda sizden update etmenizi isteyebilir ama update'e gerek yok programın yeni sürümü daha gelişmiş bi switch snifferdır ileri tcp paketleri sniff etmek içindir. biz burdan hayır deyip geçiyoruz..
karşımıza ayarlar bölümü geliyor
http://img235.imageshack.us/img235/6001/13vk0mp.jpg (http://imageshack.us)
biz burdan eth. kartımızı seçiyoruz ve spoofing bölümüne geçiyoruz
http://img235.imageshack.us/img235/3926/24jg1oh.jpg (http://imageshack.us)
spoofing types grubundan ilk seçeneği seçiyoruz ve OK diyoruz..
karşımıza programın ana yeri geliyor..
http://img235.imageshack.us/img235/8032/37rx0fq.jpg (http://imageshack.us)
SCAN tuşuna basıp ağdaki bilgisayarları aratıyoruz ve karşımıza liste geliyor. listeden kendi ipmizin bulunduğu seçeneği kaldırıyoruz ve START tuşuna basıyoruz
böylelikle ARP Poison yani ARP SPoofing saldırısı başlıyor..
bundan sonrası ise çok basit. ister tüm ağdaki MSN konuşmaları izleyin isterseniz tek bir hareketle tüm LAN'daki internet bağlantısını hiçbir yetki gerekmeden kesin..
efenim şimdi msn sniff edecez
şurdan a msn monitor adlı programı indiriyoruz ve kuruyoruz
A MSN Monitor
msn monitor programını açtığınızda serial zırvası çıkacaktır karşınıza
keygen burdan -> sniff keygen
programı açtığınızda "Control" menüsünden Select Adapter'e tıklayın ve eth. kartınızı seçin, sonra Play resimli bi buton var bastığınızda artık msn dinleme başlamış olacaktır
tabiki önceden ARP Spoof programını başlatmış ve çalıştırmanız gerekmekte. ağınızda konuşulan tüm loglar msn monitor programına gelecektir.. bundan sonra isterseniz html dosyası olarak tüm ağdaki konuşmaları programdan kaydedebilirsiniz..
gelelim bu yöntemin EN BOMBA YERİNE
mim(Man in the Middle) attack ile tüm ağın netini kesebileceksiniz
MiMSC
yine önceden arp spoof programını açıp spoof yapmaya başlayın ve programı kapatmayın
indirdiğimiz mimsc programını açın ve alttan eth. kartınızı seçin daha sonra yandan open tuşuna basın
yukardaki statusa paketler gelmeye başlayacaktır
http://img235.imageshack.us/img235/1849/mimsc4tt8yc.png (http://imageshack.us)
ve son nokta
yandaki ACTIVATE tuşuna bastığınızda tüm net göçecektir, STOP'a basınca düzelecektir..
efenim ACTIVATE'e basıyoruz..
http://img235.imageshack.us/img235/3...scex4ff1jo.png (http://imageshack.us)
ve siz STOP'a basmadığınız sürece, LAN'daki kimse internete giremeyecektir... |
|
 |
|
|
|
|
