Bu tool, diğer DoS saldırılarında da olduğu gibi sunucunun kaynaklarının tükenmesine ve bir müddet sonra  hizmet veremez duruma gelmesine sebep oluyor fakat bu işi, tamamlanmamış http istek paketleri göndererek yapıyor. Yani, hedef sunucu gelen http isteklerinin tamamlanmasını bekliyor ancak istekler sürekli geliyor olmasına rağmen tamamlanmadığından ve tamamlanması için kurulu olan bağlantı sonlandırılmadığından dolayı çok kısa bir süre sonra sunucu yeni ve legal isteklere yanıt veremez duruma geliyor.

Bu tool ile yapılacak  bir saldırıdan korunnmak için  bir iki yöntem mevcut, bu yazıda bu konuya değinmek istiyorum.

Yazinin devami icin tiklayin.

Daha önce, DNS Cache Poisoning Attack ile ilgili bir yazı yazmıştım, bugün, Check Point tarafından saldırı yöntemini anlatan bir video’ya rastladım ve paylaşmak izledim.

Güzel hazırlanmış bu video’ya aşağıdaki linkten erişebilirsiniz.

http://www.youtube.com/v/1d1tUefYn4U

Geçenlerde, Huzeyfe Önal’ın bloğunda yeni yayınlanan bir güvenlik açığının haberini okudum ve ilgimi çektiğinden dolayı teknik detayları öğrenmek için biraz araştırdım. Hazır okumuş ve teknik detaylar konusunda fikir edinmişken paylaşmak istedim. DNS cache poisoning olarak geçen bu zafiyet önlem alınmamış DNS serverları kolayca etkileyebilecek türden bir açık. Bu nedenle önemsenmesi ve gerekli güvenlik önlemlerinin alınması gerekiyor. Ne gibi önlemler alınabileceğinden önce, bu zafiyetin tam olarak ne olduğu ve nasıl yapıldığına değinmek istiyorum. Zira, bir dns serverınız varsa ve gerekli önlemleri almamışsanız bu zafiyetten etkilenebilir ve dns serverınızı kullanan kişilere yanlış sorgu sonuçları dönmesine neden olabilirsiniz. İşte konunun teknik detayları:

DNS Cache Poisoning olarak adlandırılan bu zafiyet aslında ilk olarak 1993 yılında keşfedilmiş bir açık; geçenlerde yayınlanmış olanı ise yeni bir versiyonu. Geçenlerde yayınlanan veryion ile ilgili US-CERT sayfasına aşağıda belirtilen kaynakça bölümünden erişebilirsiniz.

Yazinin devami icin tiklayin.

IPFW ve Snort_Inline ile IPS uygulaması ile ilgili olarak http://www.syslogs.org/2008/07/ipfirewall-kurulumu/ linkinden ulaşabileceğiniz bir önceki yazımda IPFIREWALL kurulumuna ait notları paylaşmıştım. IPS uygulaması için ikinci bölüm olan bu yazıda ise Snort ve doğal olarak snort_inline’la ilgili kurulum notlarını bulabilirsiniz.

Snort, açık kaynak kodlu olarak geliştirilen, network tabanlı bir saldırı tespit ve önleme (network intrusion prevention and detection system) yazılımıdır. Adından da anlaşılacağı üzere kullanım amacı, herhangi bir networke dışarıdan yapılan sızma girişimlerini testip etmek ve önlemektir. Offical dökümanlarında yaptığı temel işleri şu şekilde sıralamışlar:

Yazinin devami icin tiklayin.

Bir kaç gündür IPFW ve Snort_Inline ile oluşan open source bir IPS sistemini devreye almak için uğraşıyordum. Bu iki bölümlük yazıda kurulumun nasıl yapıldığı ve konfigurasyonlarla ilgili notları paylaşacağım. Siz de networkünüzde IPS olarak IPFW/Snort_Inline ikilisinden yararlanmak isterseniz belki bu döküman işinize yarayabilir. Zira binlerce dolar ödeyip karşılığında alacağınız bir hardware IPS yerine hiç bir ücret ödemeden bir IPS sistemine sahip olmak cazip bir seçenek olabilir. Kaldıki Snort’un sektörde artık bir standart haline gelmiş olması kafanızdaki şüpheleri ortadan kaldırabilir Önce IPFIREWALL.

Namı diğer IPFW, FreeBSD tarafından geliştirilen hem Stateless hem de Statefull firewall mimarisini üzerinde barındıran güzel bir ip tabanlı firewall yazılımıdır. Ayrıca, traffic shaping, transparent forwarding ile NAT ve PATgibi özellikler sağlar. Bu özellikler ile ilgili detayli bilgiyi, dökümanın “ipfw komutları” bölümünde bulabilirsiniz. Öncelikle nasıl kurulduğuna değineceğim.

Aslında IPFW, FreeBSD ile birlikte loadable module olarak geldiği için NAT uygulaması kullanmak istemeniz haricinde ekstradan herhangi bir kuruluma ihtiyaç duymazsınız. Açılışta firewall’un devreye girmesi için rc.conf dosyasına aşağıdaki satırı girmeniz yeterlidir.

firewall_enable="YES"

Ancak NAT kullanmak istemeniz durumunda (ki snort_inline için gerekmektedir.) kernelinize options IPDIVERT satırını eklemeniz ve yeniden derlemeniz gerekmektedir. Kernelinizi yeniden nasıl derleyebileceğiniz ile ilgili bilgiye, daha önce yazmış olduğum Custom Kernel dökümanından ulaşabilirsiniz.

NAT dışında gerekli olmasa da bilgi olması açısından IPFW’nin kernel opsiyonları şu şekilde.

Yazinin devami icin tiklayin.