Macof, Mac Flood Saldırısı ve Saldırı Analizi

-

 Macof saldırısı da switch ve hub'ın çalışma mantığı üzerine çalışır. Macof saldırısı ile Switch e MAC tablosunu dolduracak ve gelen paketleri yönlendiremeyecek kadar sahte MAC  adres yollanır. Belli bir zamandan sonra switch gelen paketleri tüm makinalara yollayarak HUB yapısına geçer. Ancak saldırı devam ederse trafik çok yavaşlar ve ağa bağlı makinalar sistemden düşer.

Switch (Anahtarlayıcı) :  Ağ içerisindeki cihazların ve diğer ağ öğelerinin birbirlerine bağlanmasını sağlayan donanımdır. OSI yedi katman modelinin 2. katmanında ve yeni dağıtıcılar IP routing yapabildiği için 3. katmanda da çalışır. Switch kendisine gelen paketleri sadece ilgili makinaya ulaştırmaktan sorumludur. Bu ağ içinde gereksiz paket trafiğini engeller. Her makine switch in bir portuna bağlıdır ve bu port switch tarafından ilgili makinanın MAC adreslerini MAC tablosuna kayıt edilmesi ile eşleştirilir. Dolayısıyla switch e gelen paketin önce hangi MAC adresine gideceği MAC tablosundan bakılarak tespit edilir ve MAC-PORT eşleştirmesi yapılarak paketler ilgili porta yollanır.





Hub : Kendisine gelen paketleri kendisine bağlı tüm ağ elemanlarına gönderen donanımdır. Her gelen paketi tüm makinalara göndermesi trafiği çok yavaşlatır ve paket çarpışmaları gerçekleşir.

Default olarak Macof yazarak bulunduğunuz ağa flood saldırısı gerçekleştirebilirsiniz.


Macof özellikleri aşağıdaki gibidir.

  • -s  : Kaynak IP adresi
  • -d : Hedef IP adresi
  • -e : Aranan MAC adresi
  • -x : Kaynak TCP portu
  • y : Hedef TCP portu
  • -i : Ethernet arayüzü
  • -n : Yollanacak paket sayısı

Macof -i eth0 -d 192.168.1.1 -n 1000  şeklinde kullanabiliriz. Default olarak da macof yazarak flood atağı başlatabilirsiniz.



Macof Saldırı Analiz Adımları

Adım-1: Macof trafiğine göz attığımızda kaynak ve Hedef IP adresleri bunların MAC adreslerinin sahte bir yapıda olduğunu görebiliriz. Çünkü yerel ağ içerisinde bulunan IP adresleri ile bir etkileşim yok. Ayrıca Macof saldırı trafiğinde gönderilen paketler bozuk paket olarak algılanıyor. Zira wireshark normal olmayan paketlere karşı renk durumuyla tepki veriyor.



Expert Info özelliği ile yakalanan paketlerin normal veya bozuk-hatalı paket olduğunu teşhis eder. Bu konuda bize bilgi verir.


Conversation özelliğinde birbirleri ile bağlantıya geçen makinalar arasındaki paket alışverişine bakalım. Ethernet sekmesinde MAC adreslerin bağlantılarını görüyoruz. Ancak aradaki paket alışverişine baktığımızda boyutu 54 byte olan birer adet paket yollanmış. Paketler arasındaki zaman farkına baktığımızda 0,0004 ms cinsinden bir fark gözümüze çarpıyor. Buda ancak bir flood işleminde gerçekleşir çünkü normal paket alışverişlerinde bu kadar sürede paket alışverişi olmaz.

Ayrıca bu paketler TCP protokol yapısını kullanmışlar. TCP oturum tabanlı bir protokol olduğundan 3lü el sıkışma olmadan veri alışverişi gerçekleşemez. Zaten ortada bayrak paketleri de gözükmüyor.

Aynı şekilde IP adreslerinde de durum aynı gözüküyor.




Wireshark yakalanan paketlerin %97,52 nin bozuk paket olduğunu gösteriyor

MACOF saldırısında ortaya çıkan paket yapısından bir parça


bu paylaşımımda mac flood saldırısı ve macof nedir uygulamalı gösterdim.

Sadece eğitim amaçlıdır.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Yerel Ağ Sızma Testi - Siber Saldırı Analizi

-
Resim
şimdi bir sistem üzerinde gerçekleşen siber saldırının ağ tarafındaki aktivitelerini analiz ederek saldırganın yaptığı işlemleri ve elde ettiklerini göreceğiz. Ağ trafiğine ait kaydedilmiş pcap kaydını açarak analizimize başlayalım. Pcap dosyasını açtığım an karşıma birçok arp isteği geldi. Burada tüm ağa broadcast bir yayın yapıldığını görebiliriz. “192.168.127.130” numaralı ip adresi 192.168.127.0 subnetinde tarama işlemi gerçekleştirmiş. Burada gördüğünüz gibi saldırgan şahıs aktif olan sistemleri tespit etmeye çalışıyor. Peki neler tespit etmiş? Bunun için arp paketleri arasında reply dönenleri filtreleyelim. Burada opcode 2 filtresini uygulayarak tüm reply dönen paketleri filtreledik. Opcode==1 uygulamış olsak yapılan tüm arp isteklerini bize verirdi. Bizim için reply önemli ki bu ayakta olan cihazlar anlamına gelecek. Burada ip adreslerinin MAC adresleri arp tablosuna eklenmiş oluyor. Yani burada kısaca saldırgan kişi yerel ağ üzerinde haberleşebileceği bilgisayarları tespit etmi...
Devamı

CCNA Yönlendirme ve Anahtarlama : Ağlara Giriş ÖZET

-
Resim
  AĞI KEŞFETME (1.0) İnternet'in globalleşmesi kimsenin hayal edemeyeceği kadar hızlı gerçekleşti. Sosyal, ticari, siyasi ve kişisel etkileşimlerin gerçekleşme şekli, bu global ağın evrimine yetişebilmek için hızla değişiyor. Gelişmemizin sonraki seviyesinde yenilikçiler İnternet'i ağ yeteneklerinin avantajını kullanmak için özel olarak tasarlanmış yeni ürün ve hizmetleri oluşturma çabaları için başlangıç noktası olarak kullanacak. Geliştiriciler mümkün olanın sınırlarını zorladıkça, İnternet'i oluşturan birbirine bağlı ağların yetenekleri bu projelerin başarıya ulaşmasında artan bir rol oynayacak. GLOBAL OLARAK  Bilgisayarların birbirleriyle haberleşmeleri, birbirlerine veri aktarmaları için genellikle bir kablo kullanılarak aralarında kurulan bağlantıyla oluşturulan bütün, ağ olarak isimlendirilir. Bir ağdaki veri iletim kapasitesini genellikle bilgisayarları bağlamak için kullanılan araç belirler. Bu araçlardan günümüzde en çok kullanılanlarına koaksiyel kablo, telefon t...
Devamı

KALİ LİNUX'UN TARİHİ

-
Resim
Kali; Linux tabanlı, CD'den başlatma seçenekli BackTrack yapımcıları tarafından 2013 yılında oluşturulmuş olan bir güvenlik kontrol işletim sistemi.   Offensive Security Ltd.   aracılığıyla   Mati Aharoni ,   Devon Kearns  ve   Raphaël Hertzog   tarafından geliştirilmekte ve finanse edilmektedir. İçerisindeki araçlar sayesinde birçok alanda ( ağ, Windows, Arduino ) güvenlik testi yapmak ve yazılım geliştirmek mümkün. Kali Linux,  Armitage (grafiksel bir siber saldırı yönetim aracı) ,  nmap (bir port tarayıcı) ,  Wireshark (paket analizörü) ,  John the Ripper (şifre kırıcı) ,  Aircrack-ng  gibi (dahil olmak üzere 300'ün üzerinde nüfuz testi programı ile önceden kurulmuştur) çeşitli araçlardan ve kablosuz LAN'lar için bir nüfuz testi yazılım paketi, Burp suite ve OWASP ZAP gibi (her ikisi de web uygulama güvenlik tarayıcılarıdır) programlardan oluşur. NASIL ÇALIŞIR; Kali Linux bir bilgisayarın sabit diskine yüklenerek çalışa...
Devamı