1. SSH Brute Force Saldırıları
Ssh iki cihaz arasında güvenlik kanalıyla veri değişimine imkan sağlayan, izin veren bir network
protokolüdür. Birincil olarak linux ve unix gibi protokollerin kabuk hesaplarına ulaşabilmek için
kullanılmıştır. Telnet gibi güvensiz protokollerin yerini almak amacıyla dizayn edilmiştir.
Telnet protokolü şifresiz bir biçimde veri alışverisinde paralolarınız görülebilecek şekilde
tasarlanmıştır. Ssh protokolü ile veriler şifrelenerek gönderildiği için daha güvenli veri aktarımına
olanak tanımaktadır.
Ssh sunucusu default olarak tcp port 22 üzeriden haberleşme sağlamkatadır. Ssh client - ssh
server arasında gerçekleşen haberleşme sonucu bağlantı kurulmaktadır. Bir çok işletim sistemi
tarafından desteklenmektedir.
ssh bir çok uygulama ile beraber kullanılan bir protokoldür. Bazı uygulamalar sadece ssh serer
ve ssh client programlarına ihtiyaç duyarak çalışırlar. Bu noktada sssh bağlantılarının önemi
büyüktür.
2. ** Port yönlendirme için kullanılabilir.
** Uzak kullanıcı ile kabuğa bağlanılabilmektedir.
** Lokal bilgisayardan uzak bilgisayara dosya gönderilebilmektedir.
** Ftp ile dosya gönderimine alternatif bir güvenlik önlemi sağlanmış olur.
** Openssh ile şifrelenmiş vpn bağlantılarının oluşmasına imkan tanır.
** Uzaktan sunucu kontrolünün sağlanmasına imkan tanımaktadır.
3. ssh protokolünü linux sunucuların yönetimide kullandığımızı daha önce belirtmiştik. Hackerlar
yada sızma testi uzmanları hedef sisteme erişim sağladıklarında root kullanıcı bile olabilirler.
Eğer gerekli önlemler alınmamışsa. Hedef sistem keşif çalışmalarında ya da bilgi toplam
aşamasında ssh prtokolünün sistemede keşfedildiği sırada bu protokole yönelik ssh brute force
(kaba kuvvet) saldırıları deneyebilir. Deneme yanılma saldırıları olarakta adlandırılmaktadırlar.
Temel olarak saldırı işleyiş modeli aşağıdaki şekildeki gibidir.
4. Zayıf şifrelere sahip olduğunuzda rastgele şifreler denenerek brute force saldırıları
gerçekleştirilebilmektedir. İnternette wordlist diye adlandırılan kelime listeleri ile otomatize
araçlar ile brute force saldırıları denenebilmektedir.
Genel olarak brute force saldırıları olsun, ya da ssh brute force saldırıları olsun bu saldrı tipleri
ile ilgili bir çok araç bulunmaktadır.
Hydra, Medusa, Ncrack, Metasploit, HttpBrute gibi daha bir çok farklı saldırı yapmamıza imkan
tanıyan araç bulunmaktadır.
Şimdi örnek bir senaryo ile ssh brute force saldırısını gerçekleştirelim ve bunu tespit edelim.
Lab ortamı için üç farklı dağıtım gerekmektedir.
** Ubuntu Desktop(Saldırı yapılacak sürüm önemli değil)
** Kali linux Atak amaçlı kullanılacak
**Seurity onion saldırı tespit amaçlı
Saldırı işleyiş biçimine gelicek olursak;
Öncelikle vmware sanal makinalarda bulunan dağıtımlarımız aktif edilir. Daha sonra ubuntu
desktop makinamızın ifconfig komutu ile ip adresini öğreniriz. [ 192.168.221.133 ip adresimiz ]
5. Daha sonra kali linux üzerinde bulunan hydra aracı üzerinden şekildeki komut çalıştırılacak
şekilde verilir. Artık kelime listesinde bulunan şifreler denenmektedir.
6. Bu komutal bulamadı. Fakat common.txt dosyası diye bir wordlist olupturup içine yazdığımız
şifreler ile deniyoruz. En sonuna ise gerçek şifremiz 1 değerini yerleştiriyoruz.
Atak gerçekleştirme işlemi başladı. Biraz zaman alıcaktır. Yazdığımız kelime listesine göre ama
şekilden görebilirsiniz. İşlem başarı ile tamamlandı.
Şifrenin 1 olduğunu ve tespit edildiğini gördük. Security onionda aktif olarak çalışan snort ise bu
durumu tespit etmiştir. snorby arayüzdende yapılan bu atakla ilgili düşen logları görmek
mümkündür. Saldırının yapıldığı kaynak ve hedef ip adresi tespit edilmiştir.