Çözüm

 Saldırganların uzak sistemlerdeki güvenliği aşmasına olanak veren pek çok özel teknik vardır. Bunlar çeşitli kategorilere ayrılır.

DoS saldırıları

DoS veya Hizmet Reddi, bir bilgisayarı veya ağı kullanıcıları için kullanılamaz hale getirmeye yöneliktir. Bu durumdan etkilenen kullanıcılar arasındaki iletişim engellenir ve işlevsel bir şekilde çalışmaya devam edemez. DoS saldırılarına uğrayan bilgisayarların düzgün şekilde çalışabilmeleri için genelde yeniden başlatılması gerekir.

Çoğu durumda web sunucuları hedef alınır ve belirli bir süre için kullanıcılar tarafından kullanılamayacak hale getirilmesi amaçlanır

DNS Zehirleme

Bilgisayar korsanları, herhangi bir bilgisayarın DNS sunucusunu (Etki Alanı Adı Sunucusu) DNS zehirleme yöntemiyle kandırarak, sağladıkları sahte verilerin yasal ve gerçek olduğuna inanmasını sağlayabilir. Sahte bilgiler belirli bir süre için önbelleğe alınır ve saldırganların IP adreslerinin DNS yanıtlarını yeniden yazmalarını mümkün kılar. Bunun sonucunda, Internet web sitelerine erişmeye çalışan kullanıcılar, özgün içerik yerine bilgisayar virüsleri veya solucanlar yükler.

Bağlantı noktası tarama

Bağlantı noktası tarama, bir ağ ana bilgisayarında hangi bilgisayar bağlantı noktalarının açık olduğunu belirlemek için kullanılır. Bağlantı noktası tarayıcı bu tür bağlantı noktalarını bulmak için tasarlanmış bir yazılımdır.

Bilgisayar bağlantı noktası gelen ve giden verileri işleyen sanal bir noktadır; bu, güvenlik açısından çok önemlidir. Geniş bir ağda bağlantı noktası tarayıcıları tarafından toplanan bilgiler olası güvenlik açıklarını belirlemek açısından yararlıdır. Bu normal bir kullanımdır.

Ancak bağlantı noktası tarama, bilgisayar korsanları tarafından güvenliği aşma denemelerinde sıklıkla kullanılır. Korsanların ilk adımı her bağlantı noktasına paket göndermektir. Yanıt türüne bağlı olarak hangi bağlantı noktalarının kullanılmakta olduğunu belirlemek mümkündür. Tarama kendi başına bir zarara neden olmaz, ancak bu etkinliğin olası güvenlik açıklarını ortaya çıkarabileceğine ve korsanların uzak bilgisayarların denetimini ele geçirmesine olanak verebileceğine dikkat edin.

Ağ yöneticilerinin kullanılmayan tüm bağlantı noktalarını engellemesi ve kullanılanları da yetkisiz erişimden koruması önerilir.

TCP desynchronization

TCP zaman uyumsuzluğu(TCP desynchronization) TCP veri hırsızlığı saldırılarında kullanılan bir tekniktir. Bu tür bir saldırı gelen paketlerdeki sıra numarasının beklenen sıra numarasından farklı olduğu bir işlemle tetiklenir. Beklenmedik sıra numarasına sahip olan paketler atılır (ya da geçerli iletişim penceresinde yer alıyorlarsa arabellek depolama alanına kaydedilir).

Zaman uyumsuzluğu durumunda iki iletişim bitiş noktası da alınan paketleri atar. Bu noktada uzak saldırganlar sisteme sızabilir ve doğru sıra numarasına sahip paketler sağlayabilir. Hatta saldıranlar iletişimi yönlendirebilir veya değiştirebilir.

TCP Veri Hırsızlığı saldırıları sunucu ile istemci veya eş düzey bilgisayarlar arasındaki iletişimi kesmeyi hedefler. Her TCP kesimi için kimlik doğrulama kullanılarak pek çok saldırı engellenebilir. Ayrıca ağ aygıtlarınızda önerilen yapılandırmaları kullanmanızı da salık veririz.

SMB Relay

SMBRelay ve SMBRelay2 uzak bilgisayarlara saldırmak için kullanılabilecek özel programlardır. Bu programlar NetBIOS üzerinde katman oluşturan Sunucu İleti Bloğu dosya paylaşım protokolünü kendi amaçları için kullanır. Yerel ağ içinde herhangi bir klasörü veya dizini paylaşan bir kullanıcı, büyük olasılıkla bu paylaşım protokolünü kullanmaktadır.

Yerel ağ iletişiminde parola karmaları değiş tokuş edilir.

SMBRelay UDP bağlantı noktası 139 ve 445 üzerinde bir bağlantı alır, istemci ve sunucu arasında değiş tokuş edilen paketlerin geçişini sağlar ve bunları değiştirir. Bağlantı kurulmasının ve kimlik doğrulanmasının ardından istemcinin bağlantısı kesilir. SMBRelay yeni bir sanal IP adresi oluşturur. Yeni adrese erişmek için "net use \192.168.1.1" komutu kullanılabilir. Bu adres daha sonra Windows ağ işlevleri tarafından kullanılabilir. SMBRelay anlaşma ve kimlik doğrulama dışında SMB protokolü iletişiminin geçişini sağlar. İstemci bilgisayar bağlı kaldığı sürece uzak saldırganlar IP adresini kullanabilir.

SMBRelay2, IP adresleri yerine NetBIOS adları kullanması dışında SMBRelay ile aynı çalışma prensibini kullanır. Her ikisi de "man-in-the-middle" saldırılarına aracı olabilir. Bu saldırılar uzak saldırganların iletişimin iki bitiş noktası arasında iletilen iletileri fark edilmeden okumasına, eklemesine ve değiştirmesine olanak verir. Bu tür saldırılara maruz kalan bilgisayarlar sıklıkla yanıt vermemeye başlar veya beklenmedik şekilde yeniden başlatılır.

Saldırıları engellemek için kimlik doğrulama parolaları veya anahtarları kullanmanızı öneririz.

ICMP saldırıları

ICMP (Internet Denetim İletisi Protokolü) gözde ve yaygın olarak kullanılan bir Internet protokolüdür. Birincil olarak ağ bilgisayarları tarafından çeşitli hata iletileri göndermek için kullanılır.

Uzak saldırganlar ICMP protokolünün zayıflığından yararlanmaya çalışır. ICMP protokolü, kimlik doğrulaması gerektirmeyen tek yönlü iletişim için tasarlanmıştır. Bu durum, uzak saldırganların DoS denilen (Hizmet Reddi) saldırıları veya yetkisiz kişilere gelen ve giden paketlere erişme izni veren saldırılar yapmasına olanak tanır.

ICMP saldırısının sık rastlanan örnekleri ping seli, ICMP_ECHO seli ve ICMP paketi saldırılarıdır. ICMP saldırısına mağruz kalan bilgisayarlar son derece yavaşlar (bu Internet'i kullanan tüm uygulamalar için geçerlidir) ve Internet'e bağlanma sorunları yaşarlar.

Ek Yardım

Daha Fazla Bilgi