Projeler

ARI ( Automated Record Identifier )

e-Posta Yazdır PDF

Çok Kanallı DNS istemcisi ARI*, bir alan adı altında tanımlanan alt alan adlarını bulmakta kullanılabilen bir araçtır. ARI, kabakuvvet çalışma modunda, istenilen alfabeden üretilebilen belirli boyut aralığındaki bütün kelimeleri alan adı sunucusuna sorarak bütün kayıtları listeler. ARI çok kanallı(multi-threaded) bir yapıya sahiptir, çalışacak kanal sayısı argüman olarak belirtilir.

Örneğin, "orneksite.com" alan adı altındaki isimlere ulaşabilmek ARI, aşağıdaki şekilde çalıştırılır.

./ari -d orneksite.com.tr -s ns2.nic.tr -l1 -m5 -ucn

Bu değerlerle çalışan ARI, orneksite.com.tr alan adı altında yer alan, uzunluğu en az 1 en fazla 5 olan, alfabe karakterleri ve sayılardan oluşturulmuş alan adlarını ns2.nic.tr adresinden sorgular.

ARI kullanımının ve argümanlarının ayrıntılı açıklaması aşağıdaki tabloda verilmiştir.


[kabuk]# ari -d ön_ek [-s hedef_dns] [-l kelime_boyutu_min] [-m kelime_boyutu_maks]

[-u alfabe] [ -n işçi_sayısı] [-v]

 

 

-d ön_ek Kabakuvvetle üretilen kelimelerin sonlarına eklenen harf dizisidir. "com.tr", "ulakbim.gov.tr", "sirket.com.tr" gibi değerler verilebilir.
-s hedef_dns Alan adı sorgulamalarının yöneltileceği alan adı sunucusudur. Bu parametre verilmediği takdirde, istenilen ön_ek'e hizmet veren alan adı sunucusuna sorgular yöneltilmektedir.
-l kelime_boyutu_min Üretilen kelimelerin boyutlarının alt sınırıdır.
-m kelime_boyutu_maks Üretilen kelimelerin boyutlarının üst sınırıdır.
-u alfabe Kelime üretiminde kullanılan alfabeyi belirler. "-u c" sadece karakterleri kullanma, "-u n" ise sadece numaraları kullanama anlamına gelmektedir.
-n işçi_sayısı İşleri paylaşacak kanalların(thread) sayısıdır.
-v Bu parametre verildiği takdirde program daha bilgilendirici şekilde çalışarak kullanıcıya bazı uyarı ve bilgi mesajlarını da göstermektedir. Örneğin, -v parametresiyle sorgulanan bütün alan adları gözlemlenebilir.

 

Aşağıdaki ekran görüntüsünde google.com alan adı altındaki alan adlarının bulunması için çalıştırlan ARI komutu görülebilmektedir.



* ARI ( Automated Record Identifier ): Çok kanallı bir yapıya sahip olan uygulamamız, kanallar arası iş bölümü yaparak dns sorguları yaptığı için, arı kolonilerini çağrıştırmaktadır. Açık isimde yer alan record kelimesi, DNS kaydı anlamına gelmektedir. ARI, DNS kayıtlarını belirlemekte kullanılmaktadır.

 

Yalancı Servis

e-Posta Yazdır PDF

Servis imzası çıkartmak için kullanılan araçlar, bir servisin hangi yazılımı ve sürümü kullandığı bilgisini elde etmek için kullanılırlar. Henüz geliştirme aşamasında olan uygulama sayesinde, imza çıkartma uygulamalarının şaşırtılarak farklı bir servis kullanılıyormuş gibi görünülmesi sağlanmaktadır.

Uygulamanın bir prototipi, alan adı sunucularının imzasını çıkaran bir uygulamayı şaşırtmak için kullanılmaktadır.

 

Kovan

e-Posta Yazdır PDF

Kovan, IPv6 ağlarında çalışabilecek orta etkileşimli bir balküpü yazılımıdır. Kovan'ın üç bileşeni bulunmaktadır, Saldırı Çekme, Veri toplama ve Veri analizi.

  • Saldırı Çekme

Balküpünü saldırganlar için çekici hale getirecek bu bileşen, IPv6'da kullanılması öngürülen saldırı yöntemlerini balküpüne çekecek mekanizmaları içermektedir.

Saldırganlar, saldıracakları bilgisayarları belirlemek için saldırı öncesi keşif yapmaktadırlar Keşif sonucu saldırılabilecek potansiyel bilgisayalar, bunların kullandıkları işletim sistemler, portlarında çalışan servisler ve sürümleri gibi birçok bilgi elde edilebilmektedir. IPv4 ağlarında bu bilgileri elde edebilmek nmap gibi tarama araçları kullanılmaktadır. IPv4'te bir adres aralığını sıralı olarak tarama mantığı üzerine inşa edilen tarama araçları IPv6 ağlarının geniş adres aralığından dolayı kullanışlı olmayacaktır. Saldırı çekme bileşeni, IPv6 ağlarının bu özelliğini göz önüne alarak, kullanılacak yeni tarama yöntemlerinin balküpünü kolaylıkla bulabileceği mekanizmaları içermektedir.

  • Veri Toplama

Saldırgan balküpüne çekildikten sonra saldırı ve saldırganla ilgili farklı kanallardan veri toplamayı sağlayacak olan bileşendir. Bu bileşende taklit edilen servisler, sistem günlükleri, ateş duvarı günlükleri, STS (Saldırı tespit sistemi) uyarıları ve izleme araçlarıyla bilgi toplanacaktır. Balküpü yazılımı SMTP, HTTP, DNS ve FTP servislerini taklit ederek saldırganın gerçek bir sisteme saldırdığını düşünmesini sağlayacaktır. Bu servislerin taklit edilmesiyle, saldırı yakalama olanağı arttırılmaktadır. Bu servislerin gerçekten çalıştırılması yerine taklitlerinin kullanılması sayesinde gerçek servis için geliştirilen saldırıların taklitte başarılı olmaması sağlanabilmektedir. Ayrıca, taklit servisler sayesinde, saldırı sırasında istenen seviyeden bilgi alınarak imza üretilmesi ya da uyarı sistemlerinin çalıştırılması sağlanabilmektedir.

  • Veri analizi

Toplanan verinin verimli bir şekilde analizini gerçekleştirecek olan bileşendir. Büyük veriler üzerinden analiz yapacak olan bileşenin sistem kaynaklarını tüketmeden ve yapılacak analizinin değerinin kaybolmayacağı bir sürede çıktılar üretmesi gerekmektedir.

Veri analizi iki başlık altında toplanılabilir: trafik akışı analizi ve paket yapısı analizi. Trafik akışı analizi, trafikteki paketlerin içeriğiyle ilgilenmeden sadece paket başlıklarından çekilen veri üzerinden yapılır. Trafik akışı analizi sayesinde elde edilebilen, en çok saldırı yapan/yapılan adresler/portlar gibi bilgiler bize saldırgan davranışları hakkında bilgi verebilir. Trafik analizi, servis engelleme saldırılarının saptanması aşamasında da kullanılmaktadırlar. IPv6 balküpünün servis engelleme saldırısına maruz kalmaması için, trafikte bir anormallik saptandığında ateş duvarına gereken kurallar eklenerek savunma yapılacaktır. Paket yapısından hareketle yapılan analizde ise balküpüne giren/çıkan trafik yapısal olarak incelenecektir ve saldırı imzaları çıkartılacaktır. Üretilen imzalar STS'ye gönderilerek ilk-gün saldırılarına önlem alınması hedeflenmektedir.

 

Kovanla ilgili daha fazla bilgi için http://www.ipv6.net.tr/kovan adresini ziyaret edebilirsiniz.

 



IPv6 Forum Türkiye

IPv6 Forum Türkiye

IPv6 Forum

European IPv6 Task Force