Merhaba arkadaşlar;

Birden fazla bilgisayari,birbirine baglayarak aralarinda bir paylasim kurmak masrafli bir istir. Paylasim,bir bilgisayardaki bilgilerin,baska bir bilgisayara aktarilmasi olarak açiklanabilir.
Bu iki bilgisayar arasinda yapilan bilgi alis-veris ini yakalamaya "sniffing" denilir. Bir kaç bilgisayarin,bir ag üzerinde birbirleriyle paylasima açik olarak baglanilmasinda kullanilan en popüler yol "ethernet" dir.
Ethernet protokolü bir bilgi paketini ayni devreler üzerindeki tüm bilgisayarlara yollayarak çalisir.Gönderilen paketin basliginda,paketin gidecegi bilgisayarin adresi yazar.Sadece bu paketteki adres ile adresi tutan makine bu bilgileri alabilir.
Her paketi kabul eden bir makine,paket basligindaki adrese aldirmayan makine,çok karisik bir hal alacaktir. Bu karisiklik sayesinde,sniffer isini görecektir.


Normal bir networkte,account ve sifreler ,ethernet üzerinde düzgün bir yaziyla(encrypt edilmemis) gidip gelirler.Bir ziyaretçi,ethernet üzerindeki herhangi bir makineden root yetkisi elde ederse, sistemi sniffleyerek ag üzerinde ki diger makinelerde de çok rahat "root" elde edebilir.


- Snifferlari nereden bulabilirim?


Sniffing,hackerlar tarafindan kullanilan en önemli hack yöntemlerinden biridir.Sniffer denilen bu programlari,netde bir çok yerden bulabilirsiniz.Fakat hepsi,gerçekten çalisirmi bilmiyorum. Onun için çalistigina sahit oldugum bir sniffer dan bahsedicegim.Esniff.c!SunOS da çalismak için dizayn edilmis,küçük boyutta ve sistemde ki tüm telnet,ftp ve rlogin sezonlarinin ilk 300 byte ini yakalayabilen bir program.Esniff.c,ilk kez *Phrack* de ünlendi.Bu programi bir çok FTP server da bulabilirsiniz.(coombs.anu.edu.au:/pub/net/log.)


Ünlenmis bir kaç tane Snifferida söylemeden geçemiyecegim,
* SunOs4.1.x için Etherfind
* Solaris 2.x ve SunOs 4.1 için Snoop!(ftp playground.sun.com)
Dos tabanli snifferlar
* Gobbler
* ethdump v1.03(ftp.germany.eu.net:/pub/networking/inet/ethe rnet/ethdp103.zip)
* ethload v1.04(ftp.germany.eu.net:/pub/networking/monitorin g/ethload/ethld104 .zip)
Ticari snifferlar
* Network General
* Microsoft?s Net Monitor


- Sistemimizde sniffer çalistigini nasil anlariz?


Bir sistemde sniffer çalistigini remote olarak anlamamiz mümkün degildir. Sniffer çalisan makina,her paketi kabul eder ve çok karmasik bir hal alir.Bir çok Unix tabanli Isletim sisteminde,sistemde sniffer olup olmadigini anlamanin yollari vardir. SunOS,BSD,Linux ve diger bir çok Unix tabanli OS larda bir komut bulunur..


"ifconfig -a"


Bu komut,tüm arayüzleri kontrol edecek ve sistem de bir abukluk varsa size bildirecektir.Ama bazi OS larda bu komutu çalistirmak için bazi device adresleri falan girmek gerekir (IRIX gibi..)Onun için baska bir komut daha söyleyeyim.(Asagidaki örnek tamamen hayalidir.)


# netstat -r
Routing tables
Internet:
Destination Gateway Flags Refs Use Interface
default infern0.com UG 1 24949 virgo
localhost localhost UH 2 83 le0


Bu komutdan sonra gördügümüz tüm arayüzleri kontrol edebiliriz.Örnek,


# ifconfig virgo
virgo: flags=8863
inet 127.0.0.1 netmask 0xffffff00 broadcast 255.0.0.1


Bu komutlarin disinda "cpm" adinda snifferlari tespit eden bir program vardir.Sadece SunOS ta çalisir ve tüm arayüzleri kontrol eder.(ftp.cert.org:/pub/tools/cpm)


Ultrixde ise,sistemde sniffer çalisip calismadigini "pfstat ve pfconfig" komutlarini kullanarak ögrenebiliriz.
pfconfig size kimlerin sniffer kullanip kullanamayacagini ayarlama olanagi verir. pfstat ise size sistem de ki abuklukluklari siralar.
Bundan baska,üzülerek söylüyorum ki Irix, Solaris ve SCO da sniffer olup olmadigini algilamak biraz zordur.Yani heran bir hacker kardes içerde snifferlari depolamis olabilir. Bir baska yol ise,snifferlarin log dosyalarinin büyümesidir.Hele hele,bazen sniffer sistemde uzun bir load zamani geçirir.Ve çogu zaman bazi alarmlar ortaya çikar.Bu sayede sistem admin?i olayin farkina varir.Ben size lsof(LiSt Open Files) u kullanmanizi öneririm.Bu program ,bazi paket devicelarina (SunOS da /dev/nit gibi..) uzanan dosyalari size gösterir. "coast.cs.purdue.edu:/pub/Purdue/lsof" dan çekebilirsiniz.