Bu çal mada karma sistemin ç k önce Alarm Filtresi’nden (Afil) geçirilmeden sonra geçirilerek de erlendirmeye tabi tutulmu tur. Bu de erlendirmeler 2ekil 7.2 ve 2ekil 7.3’de gösterilmektedir. Afil’li de erlendirmede Afil’size nazaran fazladan sald r tespit edildi i görülmektedir. Bunun sebebi olarak Afil’in, e zamanl gelen alarmlar elemesi gösterilebilir.
SNORT'A KATKI 0 2 4 6 8 10 12 14 16 29.0 3.19 99 30.0 3.19 99 31.0 3.19 99 01.0 4.19 99 02.0 4.19 99 03.0 4.19 99 04.0 4.19 99 05.0 4.19 99 06.0 4.19 99 07.0 4.19 99 08.0 4.19 99 09.0 4.19 99 Günler T es p it E d il en S al d r A d ed i SNORT PHAD SNORT+PHAD
Eekil 7.3 : Geli tirilen Karma Sistemin Günlere Göre Tespit Etti i Sald r lar (Afil’li)
2ekil 7.2’de görüldü ü üzere Snort’un tek ba na yakalad sald r adedi 27 iken PHAD( t3n/r)’ n öni lemci olarak eklenmesinden sonra bu say 63’e ç km t r.
Bu sonuçlar Alarm Filtresi(Afil) kullan lmad durum için elde edilmi tir.
2ekil 7.3’de ise Alarm Filtresi(Afil) kullan larak tespit edilen sald r adetleri gösterilmektedir. Buna göre tek ba na Snort 27 sald r tespit ederken PHAD( t3n/r)’ n öni lemci olarak eklenmesinden sonra bu say 64’e ç km t r.
Sonuç olarak anormallik tespit sistemlerinden istatistiksel-temelli bir STS olan PHAD’ n iyile tirilerek Snort’a öni lemci olarak eklenmesiyle katk sa lad gözlenmi tir. Anormallik tespit sistemleri ile imza-temelli sistemlerin birle tirilmesiyle olu turulan karma sistemin yaln zca imza tespiti yapan sisteme göre büyük oranda ba ar l oldu u söylenebilir.
KAYNAKLAR
[1] Bace, R., 2000. Intrusion Detection, Macmillan Technical Publishing, Indianapolis USA.
[2] Anderson, J. P., 1972. Computer Security Technology Planning Study,
Technical Report, ESD-TR-73-51, Bedford, MA.
[3] Anderson, J. P., 1980. Computer Security Threat Monitoring and Surveillance, Technical Report, Fort Washington, Pennsylvania.
[4] Bace, R. and Mell, P., 2001. Intrusion Detection Systems, NIST Special Publication on Intrusion Detection Systems, SP 800-31, Gaithersburg.
[5] Bace, R., 1999. An Introduction to Intrusion Detection & Assessment, ICSA
Technical Report, Pennsylvania.
[6] Russell, R., 2003. Snort Intrusion Detection 2.0, Syngress Publishing, Inc., Rockland, MA.
[7] McHugh J., Christie A., and Allen J., 2000. Defending Yourself: The Role of Intrusion Detection Systems, IEEE Software, 17(5), 42-51.
[8] Denning, D. E., 1987. An Intrusion-Detection Model, IEEE Transactions on
Software Engineering, 13(2), 222-232.
[9] Javitz, H. S. and Valdes, A., 1991. The SRI IDES Statistical Anomaly Detector, Proceedings IEEE Symposium on Security and Privacy, Oakland, CA, May 1991, PP. 316-326
[10] Porras, P. A. and Neumann, P. G., 1997. Emerald: Event Monitoring Enabling Responses to Anomalous Live Disturbances, Proceedings of the
Twentieth National Information System Security Conference, Baltimore, MD,
22-25 October, pp. 353-365
[11] Neumann, P. G. and Porras P. A., 1999. Experience with EMERALD to Date, First USENIX Workshop on Intrusion Detection and Network
Monitoring, Santa Clara, CA, 11-12 April, pp. 73-80
[12] Noel, S., Wijesekera, D., and Youman, C., 2002. Modern Intrusion Detection, Data Mining, and Degrees of Attack Guilt, in Applications of Data
Mining in Computer Security, D. Barbarà and S. Jajodia (eds.), Kluwer
[13] Lee, W. and Stolfo, S., 1998. Data Mining Approaches for Intrusion Detection, In Proceedings of the Seventh USENIX Security Symposium
(SECURITY '98), San Antonio, TX, 26-29 January.
[14] Hochber,G., Judith, K., Jackson, C., Stallings, J.F., Mcclary, Dubois, D., and Ford, J., 1993. NADIR: An Automated Systems for Detecting Network Intrusion and Missue, Computers and Security, 12(3), pp. 235-248.
[15] Sebring, M. M., Sellhouse, E., Hanna, M. E., and Whitehurst, R. A.,1988. Expert system in intrusion detection, Proceedings of the 11th National
Computer Security Conference, Baltimore, MD, October 1988, pp.74 – 81
[16] Lankewicz, L. and Benard, M., 1991. Real Time Anomaly Detection Using a Nonparametric Pattern Recognition Approach., Proceedings of the Seventh
Annual Computer Security Applications Conference, San Antonio, TX, 2-6
December, pp. 80-89.
[17] Takc , H., 2003. Veri Madencili i ile Sald r Tespiti, www.teknoTurk.org [18] Smaha, S. E., 1988. Haystack: An Intrusion Detection Systems, Proceedings
of the Fourth IEEE Aerospace Computer Security Applications Conference,
Orlando, FL, 12-16 December, pp. 37-44.
[19] Mukherjee, B., Heberlein, L. T., and Levitt, K. N., 1994. Network Intrusion Detection, IEEE Network, 8(3), pp. 26-41.
[20] Debar, H., Becker, M., and Siboni, D., 1992. A Neural Network Component for an Intrusion Detection Systems, Proceedings of the 1992 IEEE
Symposium on Security and Privacy, Oakland, CA, 4-6 May, pp 240-250
[21] Ludovic, M., 1998. GASSATA: A Genetic Algorithm as an Alternative Tool for Security Audit Trails Analysis, First International Workshop on the Recent
Advances in Intrusion Detection, Louvain-la-Neuve, Belgium, 14-16
September
[22] Kim, J. and Bentley, P., 1999. The Artificial Immune Model for Network Intrusion Detection, 7th European Congress on Intelligent Techniques and Soft
Computing (EUFIT'99), Aachen, Germany, 13- 19 September.
[23] Warrender, C., Forrest, S., and Pearlmutter, B., 1999. Detecting Intrusions Using Systems Call: Alternative Data Models., Proceedings of the Twenty-
Fifth IEEE Symposium on Security and Privacy, Oakland, CA, 9-12 May, pp.
133-145
[24] Roesch, M., 1999. Snort – Lightweight Intrusion Detection for Networks, In
Proceedings of the 13th LISA Conference of USENIX Association, Berkeley,
CA, USA, 07 – 12 November, pp. 229-238.
[25] Jacobson,V. and Mccanne, S., Tcpdump: A Tool for Network Monitoring and
Data Acquisition, Network Research Group, Lawrence Berkeley National
[26] Sterne, D. F., Courtney, R., 1998. An Introduction to Computer Security: The
NIST Handbook, National Institute of Standards and Technology Special
Publication 800-12, Gaithersburg.
[27] Postel, J., 1982. Simple Mail Transfer Protocol, Internet Engineering Task Force Request for Comments, STD 10, RFC 821, Information Sciences Institute University of Southern California , California
[28] McCanne, S., Leres C., and Jacobson V., Packet Capturing Library, Network Research Group, Lawrence Berkeley National Laboratory, Berkeley CA. ftp://ftp.ee.lbl.gov /libpcap.tar.z
[29] Rehman, R. U., 2003. Intrusion Detection Systems with Snort, Publishing as Prentice Hall PTR, Upper Saddle River, New Jersey
[30] Day o;lu, B., 2001. Use Of Passive Network Mapping To Enhance Network Intrusion Detection, Master Thesis, The Graduate School Of Natural And Applied Sciences of The Middle East Technical University, Ankara
[31] Mahoney, M.V., Chan, P.K., 2001. PHAD: Packet Header Anomaly Detection for Identifying Hostile Network Traffic, Florida Tech. Technical
Report, CS-2001-04, Melbourne, Florida
[32] Forrest, S., Hofmeyr, S. A., Somayaji, A., and Longstaff, T. A., 1996. A Sense of Self for Unix Processes, Proceedings of 1996 IEEE Symposium on
Computer Security and Privacy, Los Alamos, CA, May 6-8, 120-128.
[33] Mahoney, M. V. and Chan, P. K., 2003. An Analysis of the 1999 DARPA/Lincoln Laboratory Evaluation Data for Network Anomaly Detection,
Recent Advances in Intrusion Detection: 6th International Symposium, Raid 2003, Pittsburgh, Pa, Usa, 8-10 September, pp. 220-239
[34] Kendall, K., 1999. A Database of Computer Attacks for the Evaluation of Intrusion Detection Systems, Master Thesis, Massachusetts Institute Of Technology, Lexington, MA.
[35] Lippman, R., Haines, J. W., Fried, D. J., Korba, J., and Das, K., 2000. The 1999 DARPA Off-Line Intrusion Detection Evaluation, Computer Networks, 34(4), 579-595.
[36] Lippman, R., Haines, J. W., Fried, D. J., Korba, J., and Das, K., 2000. Analysis and Results of the 1999 DARPA Off-Line Intrusion Detection Evaluation, in Proceedings of the Third International Workshop on Recent
Advances in Intrusion Detection, Toulouse, France, October 2-4, 162-182.
[37] Haines, J. W., Lippman, R., Fried, D. J., Zissman, M. A., Tran, E. and Boswell, S. B., 2001. 1999 DARPA Intrusion Detection Evaluation: Design and Procedures, MIT Lincoln Laboratory Technical Report, TR-1062, Massachusetts, USA.
[38] Mahoney, M.V., 2003. A Machine Learning Approach to Detecting Attacks by Identifying Anomalies in Network Traffic, PhD Thesis, Florida Institute of Technology, Melbourne, Florida.
[39] Data Set, 1999 DARPA Intrusion Detection Evaluation Data Set, http://www.ll.mit.edu/IST/ideval/data/1999/1999_data_index.html
EKLER
EK A. SALDIRILARIN SINIFLANDIRILMASI
Hizmet Engelleme Sald r lar (Denial of Service Attacks – DoS)
• Apache2
• arppoison (1999 Testinde yeni)
• Back
• Crashiis
• dosnuke (1999 Testinde yeni)
• Land
• Mailbomb
• SYN Flood (Neptune)
• Ping of Death (POD)
• Process Table
• selfping (1999 Testinde yeni)
• Smurf
• sshprocesstable (1999 Testinde yeni)
• Syslogd
• tcpreset (1999 Testinde yeni)
• Teardrop • Udpstorm Probe • Portsweep • Ntinfoscan • Ipsweep • Queso
Kullan c -> Süper Kullan c Sald r lar (User to Root Attacks – U2R)
• anypw (1999 Testinde yeni)
• casesen (1999 Testinde yeni)
• Eject
• Ffbconfig
• Fdformat
• Loadmodule
• ntfsdos (1999 Testinde yeni)
• Perl
• Ps
• sechole (1999 Testinde yeni)
• Xterm
Uzaktan -> Yerele Sald r lar (Remote to Local Attacks – R2L) • Dictionary • Ftpwrite • Guest • Httptunnel • Imap • Named • ncftp (1999 Testinde yeni)
• netbus (1999 Testinde yeni)
• netcat (1999 Testinde yeni)
• Phf
• ppmacro (1999 Testinde yeni)
• Sendmail
• sshtrojan (1999 Testinde yeni)
• Xlock
• Xsnoop
• A Yoklama Sald r lar (Probes)
• insidesniffer (1999 Testinde yeni)
• Ipsweep
• ls_domain (1999 Testinde yeni)
• Mscan
• NTinfoscan
• Nmap
• queso (1999 Testinde yeni)
• resetscan (1999 Testinde yeni)
• Saint
• Satan
Veri Sald r lar (Data)
EK B. SALDIRILARIN AÇIKLAMASI
Anypw
Sald rgan n sistemde ifre vermeden oturum açmas ile gerçekle tirilir. NT kimlik denetimi paketini de i tirmek üzere sistem bir aç l disketi ile ba lat l r ve bu sayede geçerli bir kullan c ad veren herkes istedi i bir ifre ile oturum açma hakk kazan r. Telnet ile aç lan oturumlarda da istenen ifreler verilebilmektedir.
arppoision
Arp-seviyesinde bir hizmet engelleme(DoS) sald r s d r. Sald rgan, kurban n mac adresi için gelen sorgulara sahte yan tlar gönderir. Bu sald r n n gerçekle tirilebilmesi için sald rgan n, kurban n bulundu u alt a içindeki bir makinenin kontrolünü ele geçirmesi gerekir. Genellikle uzaktan eri imle yerel bir makinede oturum açan sald rgan n bu makine üzerinden kurbana sald rmas eklinde gerçekle ir.
Back 'çerisinde çok say da ters bölü bulunan URL iste i gönderilir ve apache web sunucular nda hizmet engelleme(DoS) sald r s d r.
Cassen
S radan kullan c n n yönetici haklar na eri ebilmesi için NT nesne dizininin küçük-büyük harf duyarl l n kötüye kullanmas yla gerçekle ir. Sald rgan ftp kullanarak kurbana zararl üç dosya gönderir: soundedt.exe, editwavs.exe, psxss.exe (dosya isimleri sald r y gizleyecek ekilde seçilmi tir). Sonra telnet ile kurbana ba lanarak soundedt.exe dosyas n çal t r r. NT nesne dizininde \??\c: isminde yeni bir dizin olu turur ve bununla sald r dosyalar n n bulundu u dizin gösterilir. Trojan sald r dosyas olan psxss.exe’yi çal t rmak üzere bir posix uygulamas ba lat l r ve bu sayede oturum açm olan kullan c Yöneticiler grubuna dahil edilir.
crashiis Bozuk bir http iste i ile web sunucusu çökertilir.
Dict Telnet ba lant s üzerinden bilinen kullan c hesaplar için ifre denemesidir.
dosnuke
139 numaral porta(NetBIOS) Bant aral n n haricinde veri (MSG_OOB) gönderilmesiyle gerçekle tirilen bir hizmet engelleme(DoS) sald r s d r. Sald r sonucunda kurban n NT makinesi çöker(mavi ekran ç kar).
Eject Solaris üzerinde eject program n kullanarak tampon ta mas gerçekle tirilmesidir. Ba ar l oldu u taktirde s radan kullan c , yönetici haklar na sahip olur.
framespoofer
Sald rgan n, kurbana yalanc bir e-posta göndererek güvenilir bir Websitesine yönlendirmesiyle veri ele geçirmesi sald r s d r. Kurban, e-posta iletisinde bulunan ba lant ya t klad nda çerçeve(frame) içerisinde kötü niyetli kod bar nd ran, bunun yan nda güvenilir bir Web sayfas görünümünde olan bir JavaScript sayfas na yönlendirilir. Kurban n, adres çubu unda görünen adres gerçekten güvenilir olan siteye ait oldu undan hiçbir üphe duymadan i lemlerini bu sayfadan yapar ve bilgilerini verir.
Ffb ffbconfig UNIX sistem komutunu kullanarak tampon ta mas yapt r l r ve yönetici hesab yla aç lm bir terminal penceresi elde edilir.
Format fdformat UNIX sistem komutunu kullanarak tampon ta mas yapt r l r ve yönetici hesab yla aç lm bir terminal penceresi elde edilir.
ftp-write Genel ftp konfigürasyonunda yap lan eksik veya yanl yap land rmadan yararlanan bir Uzaktan Normal Kullan c sald r s d r. Ftp root dizini ve altdizinleri bir ftp hesab na ait olamaz ve ftp hesab n n bulundu u grupta olamaz. E er yanl l kla bu
ekilde yap land r ld ysa ve yama korumas yoksa(write protected) herhangi bir sald rgan sisteme dosya ekleyebilir ve yönetici yetkisine eri ebilir.
Guest Bu sald r biraz önce anlat lan Dictionary sald r s n n bir de i ik türüdür. Eksik ve kötü yap land r lm sistemlerde kullan c ifreleri genelde unutulmu tur veya tahmini kolay ifreler verilmi tir. Ço u i letim sisteminde guest hesaplar varsay lan ekilde yap land r ld ndan bu tür aç klar bir hayli fazlad r.
httptunnel Bu sald r iki a amada gerçekle tirilir:
Kurulum : Sald r lan makineye bir web “istemcisi” kurulur. Bu istemci, belirli aral klarla sald r y düzenleyen makinenin önceli i- dü ük bir portundan “sunucu” için sürekli istekte bulunmak üzere yap land r lm t r.
Sald r : Belirli aral klar istekler ula t kça sunucu, komutlar kapsülleyerek “istemci” taraf ndan bir ‘cookie’ içerisinde çal t r r. 'map Redhat Linux 4.2 ile gelen Imap sunucusunda olu an tampon bellek
a m ndan faydalanarak uzaktan eri imli bir sald rgan n keyfi komutlar icra edebilece i bir sald r türüdür.Imap sunucu yönetici yetkisiyle çal mal d r. Böylece mail klasörlerine eri ebilmektedir ve kullan c giri i s ras nda baz dosya i lemlerini gerçekle tirebilmektedir.Giri i lemi bitti inde bu yönetici yetkileri sona ermektedir.giri i lemi geçi ini sa layan do rulama kodundaki bir aç ktan dolay herhangi bir sald rgan yönetici yetkisine sahip olabilmektedir. Uzaktan eri im yetkisinde bir sald rgan n korunmas z bir Imap versiyonuna yollad iyi haz rlanm bir metin tampon bellek a m na yol açabilir ve sald rgan n yönetici yetkisiyle keyfi kodlar icra etmesine imkan tan r.
insidesniffer
Bir a yoklama sald r s d r. Sald rgan fiziksel olarak a a eri erek daha sonradan a dinlemek için kullanaca bir sunucuyu a a dahil eder. Bu sayede parolalar toplar veya o a bölgesinde akan trafikte yer alan di er bilgileri elde edebilir. Bu sald r gizli olarak gerçekle tirilebilir. Bunun DNS sorgular engellenmelidir. Tersi durum olan aç k sald r halinde ise a dinleyen sunucu DNS’i kullanarak IP adreslerine kar l k gelen isimleri çözer.
ipsweep Belirli bir portu sürekli tarar veya çok say da sunucu adresine ping atarak tarama yapar.
Land Bu sald r yaln zca eski TCP/IP uygulamalar na kar etkindir. Simüle edilen yap daki sadece SunOS 4.1 platformunda etkili olmu tur. Bu sald r sald rgan n hedef ve kaynak adresi ayn olan bir dizi SYN paketi göndermesiyle meydana gelir.
ls_domain
“nslookup” hizmetinin sald rgan taraf ndan kullan ld bir a yoklama sald r s d r. Sunucu, kurban n DNS sunucusuna o domain ad alt nda yer alan tüm sunucu/IP adreslerini listeleyecek biçimde ayarlan r. Son olarak sald r n n gerçekle mesinin ard ndan tüm bu IP adresleri/sunucular n yoklanmas ile sald r sürdürülür.
loadmodule LoadModule Sald r s xnews window system’ini kullanan SunOS 4.1 sistemlere kar yap lan bir Kullan c Süper Kullan c sald r s d r. SunOS 4.1.x deki LoadModule program , xnews Window System Server’ n kullanarak, çal an sisteme iki dinamik yüklenebilir çekirdek sürücüsü yüklemek ve /d dizini içinde özel ayg tlar yaratmak için kullan l r. LoadModule program ndaki aç ktan faydalanarak sald rgan yerel makinede yönetici yetkisi kazanabilir. mailbomb Bir Mailbomb sald r s sald rgan n sunucuya birçok mesaj(mail)
göndermesi ve sunucunun posta kuyru unun(mail queue) ta mas nedeniyle sistemin yetersiz kalmas durumudur.
Ncftp
Ncftp(çok bilinen bir ftp istemci) program n n belirli bir sürümünde bulunan bir yaz l m hatas n kullanan bir uzaktan yerele eri im sald r s d r. Kurban sunucuda oturum açm olan kullan c , sald rgan n makinesine FTP ile ba lan r ve bu ba lant yla özyineli olarak bir dizini kar dan yüklemeye çal r. Bu dizinin içinde daha sonra çal t r lmak üzere gizlenmi bir ya da birçok komut bar nd ran uzun isme sahip bir dizin bulunmaktad r.
neptune Her yar aç k TCP ba lant s nda “tcpd” sunucu ba lant lar n tan m yla ilgili bilgiler içeren veri yap s na bir kay t ekler. Zamanla bu veri yap s dolar ve veri yap s bo alt lana kadar yeni ba lant isteklerine cevap veremez. SYN Flood sald r s hedef sistem ba lant lar sonland rmadan yeni ba lant istekleri göndererek hizmeti kullan m d b rak r.
netbus
Uzaktan yerele eri im (NT) sald r olmakla birlikte süper kullan c haklar elde edilebilmesi de olanakl d r. Sald rgan bir truva at , e- posta veya kurban n makinesinin ba na oturmak suretiyle NetBus sunucusunu kurar. Bu kurulum gerçekle tikten sonra sald rgan, NetBus istemcisini kullanarak istedi i her eyi gerçekle tirebilir: kar dan dosya yüklemek/göndermek, program çal t rmak gibi. Sald rgan n eri im haklar o anda kurban sunucuda oturum açm olan ki inin haklar ile ayn d r. O halde e er oturum açm olan bir yönetici ise sald rgan kullan c ekleme komutunu kullanarak kendisi için yeni bir yönetici hesab açabilir. Bu sayede uzaktan eri erek yönetici haklar yla istedi i i lemi gerçekle tirebilir. Ayr ca NetBus sunucular için IP adreslerinin taranmas nda a yoklama sald r s için de kullan labilir.
netcat
NetCat uzaktan yerele eri im sa layan NT sunuculara yönelmi bir sald r d r. Sald rgan kurban makineye netcat program n kurmak için bir truva at kullan r ve bu program 53 numaral port üzerinde
çal t r r. Netcat çal maya ba lad nda bir arka kap aç biçiminde davran r. Sald rgan herhangi bir kullan c ad veya parola vermeden netcat portu üzerinden makineye uzaktan eri im hakk elde etmi olur.
Nmap Nmap arac n kullanan a izleme i lemidir. A de i ik yollarla ke fedilebilmektedir. Bunun için seçenekler sunulmaktad r.
ntfsdos
WinNT sunucular nda makinenin ba na geçen sald rgan makineyi içinde NT’nin eri im korumas n kald ran(ntfsdos) bir disketten ba lat r. Sonra istedi i dosyalar kendi disketine kopyalayarak makineyi yeniden ba latt nda geride sald r ya ait bir iz b rakmaz. ntinfoscan Sald rgan bir NT makineyi, konfigürasyonunu bulmak üzere tarar.
FTP, Telnet, Web hizmetleri ve sistem hesap bilgisi, dosya sistemleri ve izinleri gibi bilgileri bulmaya çal r.
perlmagic Bu sald r Perl uygulamalar ndaki aç klardan faydalanan bir Kullan c Süper Kullan c sald r s d r. SuidPerl kaydedilmi set- user-ID ve set-group-ID scriptlerini destekleyen bir perl versiyonudur. Suidperl in eski versiyonlar nda yorumlay c (interpreter) etkin user ve group ID’lerini de i tirirken yönetici yetkilerini düzgün bir biçimde de i tirmiyordu. Bu sebeple Sperl yüklü bir sistemde normal kullan c yetkisi olan bir kimse Yönetici yetkisine sahip olabilmektedir.
Phf Bu sald r yönetici seviyesinde http sunucuda komutlar icra etmek için kötü yap land r lm CGI scriptinin kötüye kullan lmas yla olu maktad r. Kabuk-tabanl library ça r lar n korumak üzere kullan lan CGI fonksiyonu escape_shell_cmd()’yi kullanan her CGI program bu sald r ya u rayabilir. Apache Sunucusundaki “phf” program nda bu aç k görülmü tür.
Pod ping of death. Eski versiyon i letim sistemlerinde etkili bir sald r türüdür.DARPA simülasyonunda kullan lan hiçbir sistemde etkili olmam t r.Sistemlerin bu sald r ya kar tahmin edilen tepkileri çökme,donma ve yeniden ba lamad r.(reboot)
portsweep Bir sunucu üstünde yer alan tüm hizmetleri bulmak üzere bir çok port üzerinde yap lan taramad r.
ppmacro
Bu uzaktan yerele eri im sald r s gizli dosyalar okuyabilen bir PowerPoint makro truva at n kullan r. Bu sald r n n temel ald senaryo u ekildedir: Kurban muhtemelen bir e-posta iletisinin eki olarak PowerPoint ablonlar n al r. Web istatistiklerini grafikle gösteren bir makro çal t r r. Bu sunumu bir ppt dosyas olarak kaydeder ve Web’e gönderir.
Ps Ps komutunda bulunan olaylar n olu zamanlar n n çak mas ile ilgili durumu kötüye kullanarak yönetici haklar kazan lmas d r. Solaris 2.5 i letim sisteminde gerçekle ir.
Queso Bir sunucunun i letim sistemini ve sürümünü belirlemeyi hedefleyen 7 paketten olu mu bir a yoklama sald r s d r. De i ik sunucu türleri üzerinde ba ar yla çal abilir.
resetscan
Bir alt a bölümünde aktif olan makineleri tespit etmek için bir listedeki IP adreslerine “reset” paketleri gönderilir. E er “reset” paketine cevap al nmazsa makine aktif demektir. E er bir yönlendirici veya a geçidi “sunucu eri ilemez” mesaj döndürürse makine kapanm demektir.
rootkit Günlere yay lan bir senaryo dahilinde bir kullan c n n rootkit bile enlerinden bir ya da birkaç n kurmas ile gerçekle tirilir.
Satan Network probing tool which looks for well-known weaknesses. Operates at three different levels. Level 0 is light
'yi bilinen zay fl klar aramak üzere tasarlanm a yoklama arac d r. Üç farkl çal ma seviyesine sahiptir. S f r seviyesi en hafifidir.
sechole
Sald rgan, NT makineye normal bir kullan c olarak oturum açar. Sonra secHole program n çal t rarak bir API fonksiyonunu de i tirerek bu kullan c y yöneticiler grubuna ekleyen bir DLL çal t r r. Sald rgan n makineyi yeniden ba latmas gerekebilir.
Secret Verileri ele geçirmek için yap lan bir sald r d r. Geçerli bir kullan c n n “secret” " (/home/secret/*) verisine güvenlik ilkesi dahilinde eri mesi veya bir sald rgan n veya geçerli olmayan bir kullan c n n tüm veriye ula mas ile olu ur. 1999 Çevrimd De erlendirmesindeki güvenlik ilkesi için daha detayl olarak ele al nmaktad r.
selfping Solaris 2.5.1 üzerindeki yerel bir kullan c n n, yerel makineyi ping’leyerek çökmesine ve ard ndan yeniden ba latmas na sebep vermesidir.
sendmail
Bu sald r , sendmail versiyon 8.8.3’deki bellek a m ndan faydalanarak yönetici yetkisi kazanmaya yönelik bir sald r d r. Dikkatli düzenlenmi ve zarar vermek amaçl bir e-posta mesaj korunmas z böyle bir sisteme yollan rsa, sald rgan yönetici seviyesinde keyfi komutlar icra edebilmektedir.
Smurf Bu sald r da sald rgan kaynak adresi hedef servis ve hedef adresi broadcast olan (xxx.xxx.xxx.255) ICMP(Echo/Reply) paketleri göndererek hizmetin geçici olarak engellenmesine neden olmaktad r.
sqlattack
Kullan c n n yönetici haklar n elde etmesi ile sonuçlanan bir sald r d r. Üzerinde sql veritaban kurulu bir Linux makineye bir kullan c n n TCP ba lant s kurarak veritaban komut penceresinden ç kmak üzere özel bir escape s ras kullanmas ve perlmagic scriptini çal t rarak yönetici haklar ile bir komut sat r elde etmesi ile gerçekle ir.
sshprocesstable
Standart "processtable" sald r s na çok benzeyen bir hizmet engelleme(DoS) sald r s d r. Fark sshd sunucu hizmetine yönlendirilmi olmas d r. Gelen ssh isteklerini cevaplayan çocuk prosesler ürettirmek üzere ssh hizmetini ele geçirmekle yap l r.
Sshtrojan
Bir uzaktan yerele eri im sald r s d r. 'çerisinde truva at bar nd ran bir sshd sunucusunu sistem yöneticisine kurdurmak suretiyle gerçekle tirilir. Bu sunucu ile aç lan arka kap dan sonra gelen ssh