saldırı tesbiti

[B][COLOR=blue]Ağa Düzenlenen Saldırıların Tesbitinde Izlenecek Yöntemler[/COLOR][/B]

[B][COLOR=red]Intrusion Detection Nedir?[/COLOR][/B]

[B][COLOR=violet]? [/COLOR][/B]Ağ ortamına bağlı bilgisayarlarda saldırganı tesbit etme.

[B][COLOR=violet]? [/COLOR][/B]Protokoller ve portlar yardımı ile kurulan bağlantılardan yararlanılır.



[B][COLOR=blue]Kimler ağınıza saldırı düzenler?[/COLOR][/B]



[COLOR=orange][B]Saldırgan çeşitleri:[/B][/COLOR]

[B]1. Dışardan Saldırı Yapan Saldırgan:[/B] Ağa direk bağlı olmadığı halde sistem üzerinde bulunan açıkları arar. Ağa internet, dial-up gibi hatlar üzerinden bağlanır.

[B]2. İçeriden Saldırı Yapan Saldırgan:[/B] Ağa direk olarak bağlıdır. Tüm "hack" ad ı verilen olaylar ın %80 'i bu şekilde gerçekleşmektedir.



[B][COLOR=blue]Saldırganlar ağınıza nasıl saldırı düzenlerler?[/COLOR][/B]

[COLOR=orange][B]Fiziksel Saldırı: [/B][/COLOR]
[B][COLOR=violet]? [/COLOR][/B]Bilgisayardaki BIOS parolasını kaldırma
[B][COLOR=violet]? [/COLOR][/B] Sabit diski alıp başka bir bilgisayara takmak suretiyle verileri ele geçirme.


[COLOR=orange][B]Sistem Saldırıları: [/B][/COLOR]
[B][COLOR=violet]? [/COLOR][/B] Sistemin eksik ayarlanması
[B][COLOR=violet]? [/COLOR][/B] Son çıkan güvenlik yamalarının yüklenmemiş olması
[B][COLOR=violet]? [/COLOR][/B] Eksik şifreler gibi açıkları kullanarak sistemin en yetkili kişisi olmaya yönelik düzenlenen saldırılardır.



[COLOR=orange][B]Uzak Saldırı: [/B][/COLOR]
[B][COLOR=violet]? [/COLOR][/B] Sistemde hiçbir hakkı olmadığı halde (nobody, guest) ağa uzaktan herhangi bir yöntemle ulaşıp ağın en yetkili kişisi olmaya yönelik olarak yapılan saldırıdır.
[B][COLOR=violet]? [/COLOR][/B] http, e-mail vs. vs. açıklardan yararlanırlar.



[B][COLOR=darkblue]Saldırgan Sisteme Nasıl Girmeye Çalışır?[/COLOR]

[COLOR=blue]1- Yazılım Problemleri
2- Sistem Konfigürasyonu
3- Parola Kırma
4- Ağı Gözetleme[/COLOR][/B]



[B][COLOR=orange]1- Yazılım Problemleri:[/COLOR][/B]
[B]a- Buffer Overflow:[/B] Yazılımlar programlanırken bazı problemleride beraberlerinde getirirler. Örneğin bir sistemle login olmak için programcı 255 karakter yerayırmış olabilir. Saldırgan bunun gibi problemleri genellikle "kodu açık" programları inceleyerek bulur ve login satırına 256 karakterlik giriş yapar, yazılım bu durumda olması grekenden daha farklı davranacak ve saldırgana bazı özel haklar verecektir.



[B]b- Yazılımlar Arasında İrtibat kurmak:[/B] Yazılımlar genellikle geçişik programlar topluluğudur, gerektiğinde farklı bir rutini çağırabilirler, işte bundan yararlanmak isteyen bir saldırgan örneğin [COLOR=orange][B]|mail > /etc/passwd [/B][/COLOR]gibi bir satırı kullanarak sistem şifreleri alabilecektir. (Windows ta DLL ler)


[B]c- Düşünülmemiş Veri Girişleri:[/B] Bir yazılımda veri girişi farklı tipte yapılırsa problemler çıkabilir. Örneğin sayı girilmesi gereken bir yere saldırgan harf girerek programın çeşitli tepkiler vermesini sağlayabilir.

[B]d- Ana Bellekte Aynı Anda Birden Çok Program Çalışması:[/B] Özellikle çok kullanıcılı işletim sistemlerinde hafızada aynı anda birden fazla işlem tutulmak zorundadır. Örneğin hem web server hem de ftp server aynı anda çalıştırılabilir.

[COLOR=orange][B]2- Sistem Konfigürasyonu:[/B][/COLOR]
[B]a- Ön Tanımlı Konfigürasyon:[/B] Pekçok yazılımın üzerinde paketlendiği şekliyle bir konfügurasyon gelmektedir. İşte bu konfigürasyonlar genel için tanımlandığından dolayı problemler çıkartabilirler.


[B]b- Sistem Yöneticisi Dikkatsizlikleri: [/B]Bazı sistem yöneticileri yeni kurulan bir sisteme boş şifre vermek gibi hatalar yapabilmektedirler.


[COLOR=orange][B]3- Parola Kırma:[/B][/COLOR]
[B]a- Zayıf Parolalar:[/B] Bazı sistem yöneticileri ya da kullanıcılar şifre olarak boşluk, isimleri, soyadları gibi kelimeler kullanmaktadırlar, bir saldırgan bunlardan çok kolay yararlanabilir.

[B]b- Sözlük Atakları:[/B] Çeşitli programlar yardımıyla mevcut bir sözlükten parola denemesine yönelik saldırılardır. Saldırganın gücü sözlüğün gücü kadardır.

[B]c- Brute Force (Kaba Kuvvet) Atakları:[/B] Çeşitli programlar yardımıyla harf kombinasyonları ile parola denemesidir. Sözlük ataklarından farkı kelimeler karakter setinden türetilmektedir.


[COLOR=orange][B]4- Ağ trafiğini gözetleme: (Sniffing)[/B][/COLOR]
[B]a- Paylaşılmış Ortam:[/B] Aynı ağ ortamında bulunan bilgisayarların ağ trafikleri özel çaba sarfetmeksizin gözetlenebilir. bunu önlemenin yolu [COLOR=violet][B]"switch"[/B][/COLOR] kullanmaktır.
Yada [B][COLOR=violet]L0pht Antisniff [/COLOR][/B]programını kullanmaktır.( http://www.l0pht.com/antisniff)
[B]b- Sunucu Gözetleme:[/B] Bir sunucu ya da yönlendirici üzerine yerleştirilecek "sniffer programı" ile tüm ağ üzerindeki veriler kolayca görüntülenebilir.


[B][COLOR=blue]Saldırgan Ağa Girmek İçin Hangi Yöntemleri Kullanır?[/COLOR][/B]

[B][COLOR=violet]? [/COLOR][/B] [COLOR=orange][B]Ping Sweep[/B][/COLOR]
[B][COLOR=violet]? [/COLOR][/B] [COLOR=orange][B]PortScan[/B][/COLOR]
[B][COLOR=violet]? [/COLOR][/B] [COLOR=orange][B]DIG[/B][/COLOR]
[B][COLOR=violet]? [/COLOR][/B] [B][COLOR=orange]D.O.S Attack[/COLOR][/B]
[B][COLOR=violet]? [/COLOR][/B] [COLOR=orange][B]Exploit Saldırıları[/B][/COLOR]



[B]1- Ping Sweep:[/B] Ağ üzerindeki tüm bilgisayarlara ICMP veri paketi gönderilir ve bilgisayarların o an için ağa bağlı olup olmadıklarını belirlenir. Saldırgan Ağa Girmek
İçin Hangi Yöntemleri Kullanır?

[B]2- Port Scan:[/B] Saldırgan hayatta olduğunu bildiği bir bilgisayarda hangi portların açık olduğunu anlamak için PortScan yöntemini kullanır. Bu atak tüm portlara TCP/UDP ile bağlantı kurmaya çalışır, atak yapılacak bilgisayar üzerinde hangi portların açık olduğu ve hangi daemon ların çalıştığı belirlenmiş olur. (Porter)

[B]3- DIG:[/B] Saldırganın herhangi bir DNS (Domain Name System) sunucusuna bağlanıp o sunucudaki DNS kayıtlarının lokal kopyasını almasını sağlar. Bu atak, yapan kişiye içsel ağdaki DNS tanımlamalarını ve bilgisayarlar üzerindeki işletim sisteminin tipinin belirlenmesini sağlar.


[B]4- D.O.S Attack:[/B] Halihazırda çalışan bir sistemi çalışmaz hale getirmeye çabalayan bir saldırganın en yoğun kullanacağı ataktır. İşletim sistemlerinin ve TCP/IP nin zayıf yönlerinden yararlanılarak geliştirilmişlerdir.



[COLOR=red][B](D.O.S Çeşitleri)[/B][/COLOR]


[B]
[B][COLOR=violet]? [/COLOR][/B] [COLOR=orange]SYN FLOOD[/COLOR]
[B][COLOR=violet]? [/COLOR][/B] [COLOR=orange]ICMP Flood[/COLOR]
[B][COLOR=violet]? [/COLOR][/B] [COLOR=orange]UDP Flood[/COLOR]
[B][COLOR=violet]? [/COLOR][/B] [COLOR=orange]Ping Of Death[/COLOR]
[B][COLOR=violet]? [/COLOR][/B] [COLOR=orange]Smurf[/COLOR][/B]

[B]a- SYN FLOOD:[/B] Saldırgan, hedef bilgisayara senkron olmamış TCP paketleri gönderir.

Sonuç olarak hedef bilgisayarda tamamlanmamış yüzlerce TCP bağlantısı kalacak ve soket çökecektir.

[B]b- ICMP Flood:[/B] Bu da bir D.O.S atak çeşidi. Internet Control Messaging Protocol alt protokolünü kullanarak hedef bilgisayarda başka soket açılmasına izin vermeyecek şekilde atak yapma prensibine dayanır.


[B]c- UDP Flood:[/B] UDP bağlantıdan bağımsız bir protokoldür. Saldırgan arka arkaya bombardıman şeklinde göndereceği veri paketlerine karşılık kontrol onayı beklemeyecek ve saldırı çok daha hızlı olacaktır. Bir süre sonra hedef bilgisayar kilitlenecek ve saldırı başarılı olacaktır.


[B]d- Ping Of Death:[/B] Hedef bilgisayara ping gönderilirken paketin daha büyütülmesi ve sıklığının artırılması mantığına dayanır. Geçtiğimiz yıllarda tüm işletim sistemlerinin ?buffer overflow? hatasına sebep olan bu atak yamalarla giderilmeye çalışılmıştır.


[B]e- Smurf:[/B] Bir paket verinin broadcast IP'sine gönderilip verinin yükseltilerek daha sonra hedef bilgisayara gönderilmesi prensibine dayanır.


[B]5-Exploit Saldırıları[/B]

[COLOR=orange][B][B][COLOR=violet]? [/COLOR][/B] CGI Script Saldırıları

[B][COLOR=violet]? [/COLOR][/B] WEB Server Saldırıları

[B][COLOR=violet]? [/COLOR][/B] WEB Browser Saldırıları

[B][COLOR=violet]? [/COLOR][/B] SMTP Saldırıları[/B][/COLOR]



[B]a.CGI Script Saldırıları:[/B] Kullanımı kolay ve etkilidir. En çok bilinen CGI program problemleri, phf, info2www, php.cgi, count.cgi vs. dir.(Son zamanlarda showcode.asp gibi asp saldırıları.cgi scanner download bölümünden bulabilirsiniz.)


[B]b. Web Server Saldırıları:[/B] Çeşitli işletim sistemleri üzerinde çalışan web server lerin çeşitli problemleri vardır. Örneğin "../" tekniği ile sistem kök dizinine kadar ulaşabilme, işletim sistemini öğrenme, web sunucusuna buffer overflow yaptırma gibi saldırganın deneyeceği saldırılar bu tekniğe bir örnektir.


[B]c. Web Browser Saldırıları:[/B] Web browserlardan yararlanarak internet kullanıcılarının cookie lerini çalma, içiçe frame ya da pencereler açarak browser i çökertme gibi ataklardır. Activex, Java, Jscript saldırıları da bu saldırı çeşidine örnektir.


[B]d. SMTP Saldırıları:[/B] Saldırgan Simple Mail Transfer protocol zaaflarından yararlanarak sistemin en yetkili kişisi olabileceği gibi anonymous mail adı verilen nereden geldiği belli olmayan mailler de atabilmektedir.



[SIZE=4][COLOR=violet][B]Bu Saldırılar Nasıl Tespit Edilir?[/B][/COLOR][/FONT]

Ağa bu kadar çeşitli saldırı teknikleri varken sistem yöneticisi temelde iki tekniği kullanır, bunlar:

[COLOR=orange][B]1- İmzayı Tanıma:[/B][/COLOR] Sık kullanılan yöntemdir, içeriye giren ve dışarıya çıkan veri trafiği daha önceden belirlenen ?imza? larla karşılaştırılır. Eğer trafik bir atak imzası taşıyorsa trafiğe belirlenen şekilde müdahale edilir.


[COLOR=orange][B]2- Anormalliği Tanıma: [/B][/COLOR]
[B][B][COLOR=violet]? [/COLOR][/B] Ağ trafiği çok arttığında
[B][COLOR=violet]? [/COLOR][/B] CPU yükü arttığında
[B][COLOR=violet]? [/COLOR][/B] Sabit diskten çok fazla ses çıktığında [/B]

problemi anlamaya yönelik saldırıyı tesbit etmeye yardımcı yöntemlerdir. İmzayı tanımaya göre daha hantal bir yöntem olmasına karşılık sık kullanılmayan yada bilinmeyen saldırıların tanınmasında daha etkili bir yöntemdir.


[COLOR=blue][B]Çalışan bir Intrusion Detection Sistemi Nasıl Kurulur?[/B][/COLOR]
[COLOR=orange][B]Unix Altında Intrusion Detection Sistemi Kurulumu[/B][/COLOR]


Amerikan Hava Kuvvetleri tarafından geliştirilmiş, ücretsiz olarak dağıtılan, Linux ya da FreeBSD üzerinde de çalışabilen Step isimli program güvenli ve etkili bir saldırıyı tesbit etme yöntemidir. Step imza tanıma yöntemine göre çalışır. Verilerin toplandığı sensör bilgisayar firewall dışında olmalıdır.Üzerinde libpcap ve tcpdump yüklü olmalıdır.Libpcap ile veri paketleri toplanacak ve analiz edilmek üzere analiz bilgisayarına gönderilecektir.


[COLOR=blue][B]Sistem Gereksinimleri[/B][/COLOR]
[B][COLOR=orange][B][COLOR=violet]? [/COLOR][/B] 2 adet Pentium tabanlı bilgisayar
[B][COLOR=violet]? [/COLOR][/B] Unix ya da klonlarından biri kurulu olmalı
[B][COLOR=violet]? [/COLOR][/B] Her bilgisayarda ortalama 9 GB. Harddisk
[B][COLOR=violet]? [/COLOR][/B]Minimum 32 MB Ram bulunmalıdır. [/COLOR][/B]


[COLOR=blue][B]Yazılım Gereksinimleri:[/B][/COLOR]


[B]a-Tcpdump ve libpcap[/B] :ftp://ftp.ee.lbl.gov/ adresinden temin edilebilir. Bu programa hem

sensor hem de analiz bilgisayarının ihtiyacı olacaktır.

[B]b- Secure Shell [/B] : http://ns.uoregon.edu/pgpssh/sshstart.html adresinden

temin edilebilir.

[B]c- Step Programı [/B] : http://www.nswc.navy.mil/ISSEC/CID/step.tar.gz

adresinden temin edilebilir.

[B]d- Apache Web Server :[/B] http://www.apache.org/ adresinden temin edilebilir.

[COLOR=blue][B]Sensor Bilgisayar Kurulumu:[/B][/COLOR]

[B][COLOR=violet]? [/COLOR][/B] Sensor bilgisayarın güvenliği sağlanmış olmalıdır.
[B][COLOR=violet]? [/COLOR][/B] Sensor bilgisayar üzerinde çalışan daemon varsa kapatılmalıdır.
[B][COLOR=violet]? [/COLOR][/B] Step programı derlenmeli ve binary dosyaları /usr/local/bin dizini altına kopyalanmalıdır.
[B][COLOR=violet]? [/COLOR][/B] Cron konfigüre edilmelidir. Cron çeşitli işlemlerin belirtilen sürelerde yapılmasını sağlayan unix programıdır.




[B]Örnek:[/B]

[B]0 * * * * /usr/local/bin/tcpdump.driver.sh > /dev/null 2>&1 [/B]
Bu satır tcpdump.driver isimli shell scriptinin, her saatin 0. dakikasında, yani her saat başında çalıştırılmasını sağlayacaktır.



[B][COLOR=violet]? [/COLOR][/B] Tcpdump.driver.sh scripti tcpdump üzerinde bazı değişkenleri ayarlar, çalışmakta olan tcpdump ı durdurur ve çağırdığı diğer bir scriptle tcpdump ı yeniden başlatır.



[B][COLOR=violet]? [/COLOR][/B] Diğer bir script cleanup.pl eski tcpdump loglarının silinmesini sağlar, öntanımlı olarak eski loglar her üç günde bir temizlenirler ancak bu konfigüre edilebilir.


[B][COLOR=violet]? [/COLOR][/B] tcpdump.driver.sh test edilmelidir. Script komut satırından çalıştırılmalı, kendini process olarak atıp atmadığı kontrol edilmeli, log dizinine logların düzenli atılıp atılmadığı kontrol edilmelidir.


[B][COLOR=violet]? [/COLOR][/B] İşlemler tamamlanmışsa sensor bilgisayarı kullanıma hazırdır.





[COLOR=blue][B]Analiz Bilgisayarının Kurulumu[/B][/COLOR]
Analiz bilgisayarının amacı sensor bilgisayarının topladığı verileri bünyesine alarak bu verileri analiz etmektir.

[B][COLOR=violet]? [/COLOR][/B] fetchem.pl dosyası cron programıyla birlikte çalıştırılmalıdır.


[B]Örnek:
7 * * * * /usr/local/bin/fetchem.pl > /dev/null 2>&1[/B]

[B][COLOR=violet]? [/COLOR][/B] fetchem.pl dosyasının yaptığı iş sensor bilgisayarının topladığı tcpdump tarafından oluşturulmuş dosyaları transfer edip açıklayıcı bir dizinin altına kopyalamak

[B][COLOR=violet]? [/COLOR][/B] bad_events filtresiyle tcpdump programını yeniden çalıştırarak olası saldırıları tesbit etmektir.

[B][COLOR=violet]? [/COLOR][/B] Oluşturulan sonuçlar http yüzünde tutulabileceği gibi text dosyası olarak da tutulabilir.

[B][COLOR=violet]? [/COLOR][/B] bad_events filtresi oluşturulmalıdır. Toplanan veriler bad_events fitresiyle karşılaştırılacak ve saldırı ihtimali olduğu gözlenen veriler log lanacaktır.

[B]Örnek : tcp and (tcp[13] & 2!= 0)[/B]

[B][COLOR=violet]? [/COLOR][/B] Birinci TCP, karşılaştırılacak veri paketinin TCP olacağını gösterir

[B][COLOR=violet]? [/COLOR][/B] tcp[13] Tcpheader ının 13.byte ındaki veri üzerinde bir karşılaştırma yapılacağını gösterir bu aynı zamanda TCP stop bitlerini de ifade eder.

[B][COLOR=violet]? [/COLOR][/B] (RST, SYN, FIN) "& 2 != 0" alanı ise SYN bitinin maskeleneceğini gösterir.

[B][COLOR=violet]? [/COLOR][/B] fetchem.pl dosyası çalıştırılır ve sensor bilgisayarının log dosyası analiz bilgisayarına kaydedilmesi sağlanır.

[B][COLOR=violet]? [/COLOR][/B] TCPdump ve filtreleri: Sensor bilgisayarı veri paketlerini okur, toplar ve diske kaydeder

[B][COLOR=violet]? [/COLOR][/B] Analiz bilgisayarı toplanan veri paketlerini alır, mevcut filtreleri yardımıyla spesifik veri paketleri arar.

[B][COLOR=violet]? [/COLOR][/B] TCPdump ile ?and? ve ?or? filtrelerinden yararlanarak daha özel filtreler geliştirilebilir.

[B][COLOR=violet]? [/COLOR][/B] TCPdump ile ilgili yardım almak için manual dosyalarından yararlanılabilir.

[COLOR=blue][B]Örnekler:[/B][/COLOR]
[COLOR=orange][B]1- Sisteme telnet atılıp atılmadığını kontrol eden filtre:[/B][/COLOR]
[B]$ gunzip -c logfile.gz | tcpdump -r - "tcp and dst port 23"[/B]
[B][COLOR=violet]? [/COLOR][/B] Örnekte daha önceden toplanm ış veri paketleri Gnu unzip ile açılmakta,
[B][COLOR=violet]? [/COLOR][/B] ?tcpdump ?r?ile bu dosyadan okunmakta,
[B][COLOR=violet]? [/COLOR][/B] ?tcp and dst port 23? ile protokol olarak TCP, hedef port olarak 23 kullanan tüm veri paketleri loglanmaktadır.
[B][COLOR=violet]? [/COLOR][/B] IMAP Filtresi: Saldırgan IMAP servisine yoğun olarak saldırmayı denemektir. Oluşturacağımız filtre tcp SYN ve FIN paketlerini 143. porta gönderen veri paketlerini bulma üzerine olacaktır.

[B]Örnek : tcp and (tcp[13] & 3 != 0) and (dst port 143)[/B]

[B][COLOR=violet]? [/COLOR][/B] IMAP exploit scanner scripti TCP 143. porttan SYN ve FIN paketi göndererek problem olup olmadığını anlayacaktır.
[B][COLOR=violet]? [/COLOR][/B] filtre ?tcp[13] & 3!= 0? ile veri paketinin 13. byte ında bulunan ve SYN ve FIN içeren paketleri filtreleyecektir.
[B][COLOR=violet]? [/COLOR][/B] Eğer tcp[13] & 2!= 0 olsaydı sadece SYN içeren paket kontrol edilecekti.
[B][COLOR=violet]? [/COLOR][/B] Step programının tcpdump ile oluşturduğu log dosya formatına bakacak olursak:

98012116.txt dosyasında, 98 yılı (tarihe dayalı matematiksel işlem yapılmadığı için 2000 yılı önemsiz), 01 ayı (Ocak), 21 günü, 16 ise saati göstermektedir.


[B]Log dosyası içerisindeki satırlara baktığımızda:[/B]

Time Sourcehost.sourceport > Desthost.destport formatını görürüz.

05:17:50.562188 j.K.EDU.885 > dorad.nnnn.navy.mil.nfs: 40 null

örnek bir satırdır.



[B][COLOR=violet]? [/COLOR][/B] [B][COLOR=orange]ICMP Filtresi:[/COLOR][/B]
[I]icmp[0] != 8 and icmp[0] != 0[/I]

Örnekte sisteme gelen echo request ve reply haricindeki tüm ICMP paketleri filtrelenmektedir.


[B]Daha kompleks bir bad_events filtresi:[/B]
[I](tcp and (tcp[13] & 3 != 0) and
((dst port 143) or
(dst port 111) or
(tcp[13] & 3 != 0 and tcp[13] & 0x10 = 0 and dst net 172.16 and dst port 1080) or
(dst port 512 or dst port 513 or dst port 514) or
((ip[19] = 0xff) and not (net 172.16/16 or net 192.168/16)) or
(ip[12:4] = ip[16:4]))) or
(not tcp and not igrp and not dst port 520 and
((dst port 111) or
(udp port 2049) or
((ip[19] = 0xff) and not (net 172.16/16 or net 192.168/16)) or
(ip[12:4] = ip[16:4])))[/I]

[B][COLOR=violet]? [/COLOR][/B] Istenilen şartlarda bad_events filtresi oluşturulduktan sonra intrusion detection a başlanabilir.

[B][COLOR=violet]? [/COLOR][/B] Program her saat başında dosyaları oluşturarak klasor altına kopyalayacaktır.

[B][COLOR=violet]? [/COLOR][/B] Böylece her saate ait saldırılar görülebilir

[B][COLOR=violet]? [/COLOR][/B] Eğer çeşitli şartlarda log dosyaları üzerinde arama yapılmak isteniyorsa pratik yöntem olarak yazılım paketi içerisinde gelen ?one_day_pat.pl? scripti kullanılabilir. Bu script belirtilen gün ve şartlara göre daha derli toplu bilgiler verecektir.

[B][COLOR=violet]? [/COLOR][/B] Bu scriptin kullanımına bir örnek verecek olursak:

[I]$ one_day_pat.pl -d 980520 -l NNNN -p 'host srn.badguy.org'[/I]

[B][COLOR=violet]? [/COLOR][/B] örnekte 980520 tarihindeki tüm loglar içerisinde srn.badguy.org sunucu adı geçen tüm satırlar toplanacaktır.



[COLOR=blue][B]Not:[/B][/COLOR] Tıpkı bad_events gibi bad_hosts dosyası oluşturularak sisteme daha önce atak yapmış kişilerin de loglanması mümkündür.



01:53:43.647688 ATHM-209-218-xxx-2.Home > 147.168.255.255: icmp: echo request

01:53:44.049125 ATHM-209-218-xxx-2.Home > 147.168.0.0: icmp: echo request

01:53:44.649461 ATHM-209-218-xxx-2.Home > 147.168.255.255: icmp: echo request

01:53:45.079945 ATHM-209-218-xxx-2.Home > 147.168.0.0: icmp: echo request

[COLOR=blue][B]num dests source ip source name [/B][/COLOR]

9 256. 172.1.43 venus.srn.edu

5 256. 0.14.129 k.root-servers.net

5 256. 41.0.21 srrn-servers.net

46 256. 93.1.190 we.were.bombed.at.empact.or.jp

[COLOR=blue][B]Log dosyası üzerinde analiz yapma:[/B][/COLOR]

[I]$ one_day_pat.pl -d 980520 -l NNNN -p 'host [/I]srn.badguy.org' > host.time &
gibi bir satır ile srn.badguy.org sunucusuna ait bağlantılar bulunduktan sonra
[I]$ tail -f host.time[/I]
satırı ile host.time dosyası görüntülenebilir.


Son olarak,
[B][COLOR=violet]? [/COLOR][/B] translate.pl dosyası ile belirtilen loglar düzenli forma aktarılacak ve çok da anlaşılır olmayan satırlar anlamlı hale getirilerek ne tür bir saldırı yapıldığı daha kolay anlaşılabilecektir.

16:33:14.296403 linux.zsagvari.c3.hu.35486 > 204.34.256.1.imap: S 0:0(0) win 512

Saat 16:33:14
Kaynak: linux.zsagvari.c3.hu k.port: 35486
Hedef: 204.34.256.1 h.port: imap



[COLOR=orange][B]Windows NT Platformu için IDS Sistemleri[/B][/COLOR]
[B][COLOR=violet]? [/COLOR][/B]Check Point Firewall (Ticari)
[B][COLOR=violet]? [/COLOR][/B]Black Ice (Ticari)
[B][COLOR=violet]? [/COLOR][/B]Abrnet Sessionwall (Ticari)

[B][COLOR=orange]Kaynaklar[/COLOR][/B]

[B][COLOR=violet]? [/COLOR][/B]Common Intrusion Detection

http://www.nswc.navy.mil/ISSEC/CID/

[B][COLOR=violet]? [/COLOR][/B]Sans Institute 8 step to a running IDS

http://www.sans.org/

[B][COLOR=violet]? [/COLOR][/B]FAQ: Network Intrusion Detection Systems

http://www.robertgraham.com/pubs/network-intrusion-detection.html

Bakınız: (din, aşk, nil, rüya, yol, hedef, dil, özel, kelime, harf, inci, isim, nebî, acı, cookie, bilgisayar, network, firewall, exploit, asp)