The AGGRESSOR
TÜRKİYE’NİN ÜRETTİĞİ DÜNYA
STANDARTLARINDA BİR YAZILIM
ÖNSÖZ
Kitlesel iletişim araçlarının önemini daha çok arttırdığı günümüz dünyasında bilgiye hızlı bir şekilde ulaşmak gelişmiş toplumların temel ihtiyaçlarından birisi olmuştur. Bu ihtiyaç sayesinde bu toplumlarda 1980' li yıllardan itibaren bilgisayar ağları konusunda önemli gelişmeler sağlanmıştır. Internet te, bu çalışmalar neticesinde ortaya çıkan ve yaygın olarak kullanılan bir bilgisayar ağıdır.
Bütün bilgileri hızlı bir şekilde elde etmek için ilk önce kuruluşlar kendi yerel ağlarını kurmuş ve daha geniş bir etkinlik alanına sahip olabilmek için yerel ağlarını dünyaya entegre etmek ihtiyacını hissetmişlerdir. NetWork teknolojisi de bununla birlikte gelişmiş ve değişik protokollerin ortaya çıkması kaçınılmaz olmuştur.
Internet sınırsız bir bilgi ortamı olmasına rağmen yasalarla tam anlamıyla denetlenememektedir. Kusursuz olmayan NetWork ağlarında güvenlik açıkları bulunmaktadır. Bazı kullanıcılar bu güvenlik açıklarından faydalanarak bazı sistemlere girip onlara zarar verebilirler. Bu da NetWork ortamında güvenliği sağlamak amacına yönelik yazılımların ve sistemlerin ortaya çıkmasına sebep olmuştur. Bu yazılımlardan birisi de The Aggressor' dır. The Aggressor Türk yazılımcılar tarafından yazılmış ve dünyanın en önde gelen NetWork Güvenlik yazılımlarından birisidir
GÜVENLİK
INTERNET PROTOKOLÜNÜN ZAYIF NOKTALARI
Internet' in Protokolünün en zayıf tarafı gelen ve giden bilginin kaynağının ve içeriğinin doğruluğunun kontrol edilmemesidir . Eğer isterseniz sanki başka bir kaynaktan geliyormuş gibi istediği her hangi bir adrese herhangi bir paket gönderebilir . Eğer yeterince teknik bilgiye sahipseniz sahte bağlantılar bile kurabilirsiniz . Ayrıca bazı "Yanlış" paketler göndererek işletim sistemlerini şaşırtabilir, hatta kilitlenmeleri sağlanabilir. (Nuke).
NETWORK TOPOLOJİSİNİN ZAYIF NOKTALARI
Eğer switch kullanılmıyorsa sizin gönderdiğiniz bir bilgi ağdaki bütün makinelere uğrar. Sniff olarak adlandırılan bir işlem sayesinde ağda oluşan yada gelen giden bütün paketlerin içeriklerini seyretmek mümkündür. Network' ünüzdeki yada ISS' lerdeki kötü niyetli kişiler şifrelenmemiş Internet işlemlerinizi izleyebilirler bunların arasında e-maillerinizi okumak, chatte konuştuklarınızı görmek, hangi sayfalara bağlandığınızı loglamak gibi istenmeyen durumlar meydana gelebilir.
Fakat bu tur işlemleri yapabilmek için çok fazla şey bilmek yada ağ yöneticisi durumunda olmak gereklidir . Ayrıca Linux kullanarak lokal ağda her hangi bir hakka sahip olmadan bu işlemleri yapmak mümkündür. Windows NT bu tur işlemleri yapabilmek için özel sürücüler yüklenmesini gerektirir bunu da sadece sistem yöneticileri (administrator) yapabilir. Fakat ne yazık ki çoğu işyerinde Administration hakki bir çok kullanıcıda bulunabilmektedir.
Hacker:Hackerlar için bir çok tanım mevcuttur. Kendilerini her türlü bilgiye ücretsiz erişmek isteyen insanlar olarak tanımlayabiliriz. Hackerlar bilgisayar hakkında çok bilgilidirler ve bu bilgiyi çoğu zaman bir şirketi zengin etmek için değil de kendileri için kullanmayı tercih ederler. Sistemlerin zayıf noktalarını bulmak ve onları açığa çıkartmak onlara büyük bir zevk verir.
Bir genelleme yapmak gerekirse 2 tip hacker vardir
Siyah Hackerlar (Malicious Hackers):Hacker olmanın en önemli kurallarından biri olan karşı sisteme zarar vermeme kuralı onlar için pek bir şey ifade etmeyebilir. Açığını buldukları herhangi bir sistemin içeriğini silebilir yada web sayfalarının içeriğini HACKED BY XXX yada OWNED türünden kelimelerle değiştirirler, belirli bir guruba üyelerdir . Çoğu zaman bu guruplar arası savaşlar yüzünden bir çok sayfa yada hükümet sistemleri zarar görür . Bu kişiler kredi kartı ile alışveriş yapılan sistemleri hack ettikten sonra oradan alış veriş yapmış olan kişilerin kart numaralarını kullanarak o kişilere büyük ölçüde zarar verebilirler .
Beyaz Hackerlar:Sistemleri sadece bilgiye (daha sonraları da rahatlıkla) erişebilmek için hack ederler. Girdikleri sisteme zarar vermez ve sistem dosyalarını modifiye etmezler (varlıklarını gizlemek için bir iki log dosyası silmek yada daha sonrada tekrar girebilmek için kendilerine account açmak haricinde). Aslında son derece tehlikeli işler yapabilecekken sadece güvenliğinin zayıflığını ispatlamak amacıyla sayfalarda yada sistemlerde ufak notlar bırakırlar. Diğer bir deyişle sistemi kuran kişilerle dalga geçerler. Genelde iş güç sahibi insanlar olan beyaz hackerlar bir anlamda bedava güvenlik hizmeti verirler .
Sisteme Nasıl Zarar Verebilirler?
Eğer bir şirket Network ile herhangi bir ağa bağlı ise kötü niyetli insanlar sisteminizdeki verilere erişebilirler, verileri değiştirebilirler ve hatta silebilirler daha da açarsak şirketinizin müşteri kayıtlarını alabilir, muhasebe kayıtlarını değiştirebilir yada bozabilir veya sisteminizde kayıtlı bulunan tekliflerinizi okuyabilirler. Sistem kalıcı olarak işlem dışı bırakılabilir. Internet bağlantısını bozabilirler, Trojanları sisteminize yerleştirerek sanki makinenin başında oturuyorlarmış gibi her ne isterlerse yapabilirler. Hatta hardware spesifik yazılımlar kullanarak makinenizdeki görüntü kartını olduğundan yüksek bir frekansta çalıştırarak monitörünüzü çalışamaz duruma getirebilirler .
Eğer ev kullanıcısı iseniz , yine yukarıda anlatıldığı gibi sisteminizdeki özel bilgilere erişilmesi silinmesi ve sisteminizin devre dişi kalması mümkündür.
Spoofing:"Spoof"un kelime anlamı oyun/parodi/kandırmaktır . Internet ortamında ise Spoofing birkaç alanda karşımıza çıkar . Spoof genel olarak IP protokolündeki değerlerin olduğundan farklı olarak gösterilmesi demektir.
DNS Spoofing: IRC kullanıcıları IP spoofing dedikleri ama aslında gerçek ismi DNS spoofing (address resolution spoofing) olan DNS Spoofing , DNS serverların fake ARP' lerle kandırılıp istenilen IP' nin olması gerektiğinden farklı bir şekilde çözülmesi (resolve) demektir. Eğer bir DNS servera bir IP adresinin resolve edilmesi için query açtıktan sonra, hemen arkasından çeşitli sahte paketlerle o IP`nin spoofing.is.fun hostuna karşılık olduğu seklinde bilgiler gönderip DNS serverı kandırıp aşağıdaki sonucu elde etmek mümkündür.
Blackwind is aggressor@spoofing.is.fun * The Myth
Blackwind on @#Aggressor
Blackwind using irc.aggressor.net
End of /WHOIS list.
Aslında yukarıdaki örnekteki gerçek host name aggressor@195.174.89.63 idi. Fakat IRC servera DNS spoofing yaparak Hostname'i olduğundan farklı bir şekilde gösterdik.
Birçok IRC server, kendi çapında, spoofing protection olarak, IP`yi HOST`a daha sonrada aynı HOST`u IP`ye çevirip bilgileri karşılaştırır. Eğer karşılaştırmada eşleşme sağlanmazsa bağlanmaya çalışan hostla bağlantıyı keser. Eğer DNS server IP>HOST>IP eşleşmesini doğruluyorsa IRC serverda bu eşleşmeyi kullanır.
IP Spoofing : IP Spoofing , IP paketlerinin source (kaynak) IP' sini değiştirmek demektir . Böylece paketi alan hostun , paketin geldiği kaynak adresi bilmesini engellemiş oluruz. Host gelen paketin sizden değilde başka bir yerden geldiğini sanır .
ICQ Spoofing : ICQ Protokolünün spooflanması demektir , baskalarının yerine baskalarına mesaj atmak için kullanılır.
SALDIRI TÜRLERİ
Birkaç tip saldırı türü vardır . Bunları Dos (nuke) , Remote Exploits ve trojanlar olarak ayırabiliriz.
1-NUKE
OOB Nuke : (Out of Band Nuke ) Sadece Windows NT ve 95 in bir bug olan OOB Nuke , işletim sistemi Windows olan bir makinenin 139' uncu portuna (Netbios Session Port) MSG_OOB tipi bir bağlantı (connection) yapılmasıyla gerçekleşir. Eğer 95 kullanıyorsanız sisteminize mavi ekran vererek Internet bağlantısının kopmasına, NT kullanıyorsanız sistemin durmasına yol açar.
Land: Bilgisayarı kendi kendine senkronize ettirerek Winsock' un sonsuz döngüye girmesini sağlar böylece mouse' un bile hareket etmemesine yol açar . Source IP , Source Port ve Destination IP , Destination Port un aynı olduğu bir IP paketi land saldırısının gerçekleşmesini sağlar.
Teardrop, Boink, Nestea :Internet üzerinde gelen giden veri parçalar halinde taşınır. Daha sonra işletim sistemi tarafından birleştirilen paket parçacıkları veriyi oluşturur (Fragmentation). Çoğu sistemin duyarlı olduğu bu saldırı tipileri, bilgisayarınızın bozuk olarak bölünmüş iki paketi birleştirmeye çalışması ile gerçekleşir .
Boink, teardrop saldırısının ters olarak çalışan halidir. Nestea. teardrop saldırısının minör değişimlere uğramış halidir ve teardrop ve boink saldırılarına karşı patch edilmiş Linux sistemlerinde etkilidir.
Brkill:Eğer Windows yüklü bir bilgisayara, bağlantının sonlanmasıyla oluşan PSH ACK tipi bir TCP paketi gönderirseniz Windows size o anki son bağlantı seri numarasını gönderir buradan yola çıkarak hedef makinedeki her hangi bir bağlantıyı zorla kesmeniz mümkün olur.
ICMP Nuke:Bilgisayarlar çoğu zaman aralarındaki bağlantının sağlamlığını birbirlerine Icmp paketleri göndererek anlarlar . Bu saldırı varolan bir bağlantının arasına sanki hata varmış gibi ICMP_UNREACH paketi göndererek oluşur.
Jolt / Ssping:Windows 95 ve NT' nin yüksek boyuttaki bölünmüş Icmp paketlerini tekrar birleştirememesinden kaynaklanan bir saldırı türüdür. 65535 + 5 bytelik bir Icmp paketi göndermek bu saldırıyı gerçekleştirir.
Smurf:Networklerde "Broadcast Address" olarak tanımlanan ve kendine gelen mesajları bütün network'e yönlendiren makineler vardır. Eğer birisi başka biri adına o makineye ping çekerse, ağ üzerindeki çalışan bütün makineler hedef olarak belirlenen makineye ping çeker. Smurf , bu işlemi yüzlerce broadcast makineye tek bir kaynak IP adresten ping çekerek saldırı haline çevirir . Bir anda bilgisayarlara onbinlerce bilgisayarın ping çektiği düşünülürse değil bir şirketin bağlantısı, maalesef TURNET (Türkiye Internet Omurgası) çıkış gücü bile buna cevap vermeye yetmez ve bağlantılarınız kopar.
Suffer3:Suffer saldırısı bilgisayarınıza sanki binlerce farklı bilgisayardan bağlantı isteği geliyormuş gibi SYN paketleri gönderir . Bu saldırının sonunda Windows yeni bağlantılar için yeterli hafıza ayıramaz ve kalan hafızayı da bitirir. Bazı firewall türleri de böyle bir durum karşısında binlerce soru kutucuğu açarak makinenin kilitlenmesine sebep olur
2-EXPLOITLER
Exploitler genelde sistem tabanlı olarak çalışırlar yani Unix' e ait bir exploit Windows için çalışmaz. Bu güne kadar bulunan yaklaşık olarak 1000 in üzerinde exploit vardır.
Windows Null Session Exploit:Windows işletim sistemi , dışarıdaki kullanıcılara network üzerinde hiç bir hakka sahip olmadan session, user ve share information' i verir. Kötü niyetli birisi bu exploiti kullanarak sistem hakkında çok kritik bilgiler sahibi olabilir.
Örnek :
Agis NT Peek utility V0.5 , (C) Copyright by Agis Corp 1998. All rights reserved.
Connecting to : 194.***.**.**
connection established
Processing..
194.***.***.***NETLOGON (disk) Logon server share
194.***.***.***i386 (disk)
194.***.***.***IE4.3000 (disk)
Getting Session information ..
Server name : TiN User name : (None)
Login Time : 154461 secs (2574 mins) IIdle Time : 559 secs (9 mins)
-----------------------
Server name : MiP Usern name : (None)
Login Time : 573 secs (9 mins) Idle Time : 573 secs (9 mins)
-----------------------
[lord*****]
Password : **********
Account : (lord*****)
Full name : (Lord zerg ******)
Comment : (Administration account)
User Comment : (Dark throne)
Password age : (0) hours
Privledge : Administrator
Home Dir : ()
Script path : ()
Spec Params : ()
Workstations : ()
Logon Hours : (1349551)
# of badpass : (0)
Logon count : (2896)
Logon Server : (*)
Country Code : (0)
Code Page : (0)
User ID : (500)
Group ID : (512)
Profile : ()
Home drive : ()
Password Exp : (0)
Auth Flags :
-No auth flags
Flags :
-The logon script executed.
-This account is normal.
-password doesnt expire
-user can change password
PHF Exploit:Bu exploit oldukça eski olmasına rağmen halen karşılaşabilecek bir güvenlik açığıdır, PHF CGI yardımı ile sistemdeki dosyalara admin olarak erişebilirsiniz.
GET /cgi-bin/phf?Qalias=x%0a/usr/bin/ypcat%20passwd
http://www.phfcalistiranserver.com/cgi-bin/phf?Qalias=x%0a/usr/bin/ypcat%20passwd
Yukarıdaki örnek Unix işletim sistemi yada türevini kullanan bir makineden user bilgilerinin ve de şifrelerinin bulunduğu password dosyasını görmenizi sağlar.
ASP Exploit :Active Server Page özelliği kullanan webserverlarda URL' nin sonuna bir nokta(.) yada ::şDATA yazarak ASP nin içeriğini (source code) görebilirsiniz . Eğer ASP' nin içerisinde her hangi bir şifre varsa bu exploit çok tehlikeli olabilir.
http://www.aspkullananserver.com/default.asp. yada
http://www.aspkullananserver.com/default.asp::$DATA
Sendmail Exploit:Eski sendmail versiyonlarında birkaç basit hile ile sistemin şifrelerinin tutulduğu dosyayı çekmeniz mümkün olabilir. Ayrıca sistem kullanıcıları hakkında bilgi almak (EXPN) yada bir username`in o serverda olup olmadığını da öğrenmek mümkündür. (VRFY)
telnet mail.server.com:25
ICQ Tabanlı Exploitler:Son derece zayıf bir mimariye sahip olan ICQ sistemi , kolayca taklit edilebilen hatta gerçek spoofing bile yapmanıza gerek kalmayan bir sistemdir. ICQ kullanıcıları kolayca mesaj bombasına tutulabilir, passwordlerini değiştirilebilir, onaya gerek kalmadan listeye alınabilir. IP 'sini kullanıcı gösterme dese bile görebilir yada ICQ chat yaparken mesaj taşması (flooding) yapılabilir.
DOSYA VE YAZICI PAYLAŞIMI
Windows95 yada NT de paylaşıma açtığınız disk yada klasörlerin okuma-yazma izinlerine çok dikkat etmelisiniz. Şifresiz (Şu birçok ISP`nin Inetpub Directory'sini tüm dünyaya yazma izni vererek paylaşıma açması gibi) yada kolay tahmin edilebilecek (username ile aynı) bir şifre ile paylaşıma açılan disk yada klasörlerin her türlü saldırıya açık olması gibi durumlar istenmeyen durumlara yol açabilir.
Windows start menüsünde "Run" tıklatıldıktan sonra IP yazıp "Enter"a basarsanız, IP' sini yazdığınız makinede paylaşıma açık olan yerleri görebilirsiniz. Windows`un içinde var olan NET komutunu kullanarak (NET VIEW IP) yine paylaşıma açık yerleri görebilir ve yine ayni komutla onlara bağlanabilirsiniz.
(NET USE J: IPpaylaşımismi) Ayrıca linux yüklü bir makineniz varsa, smbclient programı ile ayni işlemleri yapabilirsiniz.
Bu tip bir tehlikeden korunmak için paylaşımlara sağlam bir şifre (anlamsız kelime+rakamlar+hem büyük hem küçük harf) koymak kesin çözümdür.
Diğer Araçlar:Snork, cachecow, ADMmountd, mountd, faxsurvey, vintra,hotmail_exploit1-2, ioconfig lpd-rm, dilloncrond, nameserver_dead, lpd-mail, imapd4, binfo-udp, pinebug,
mailxploit, newxterm, mailex, metainfo,xterm_exploit,dip3.3.7overflow-exploit, coke ve daha bir çok exploit bulunuyor.
3-TROJANLAR
Trojan programların makinenizde etkin olarak çalışabilmesi için önceden yüklenmesi gerekir. Trojanlar pasif ftp server mantığı ile çalışan programlardır.
THE AGGRESSOR
THE AGGRESSOR NEDİR ?
The Aggressor, ileri seviye kullanıcılar, adminler ve Internete bağlı kuruluşlar için gelişmiş bir network yönetim ve korunma programıdır. Türkiye' de geliştirilen ilk firewall olma özelliğine sahip olan yazılım dünyada da benzerleri arasında oldukça iyi bir üne sahiptir. Henüz program çıkmadan programın Web Sitesine günlük ortalama 54.000’ in üzerinde ziyaret yapılmaktadır. Son derece modüler olan bu programa, Plug-in özelliği sayesinde en son yenilikleri tek bir dosya ile programa ekleyebilir, hatta SDK sı aracılığı ile kendiniz modüller yazabilirsiniz, Delphi ve Visual C için plug-in desteği mevcuttur. Thread manager ve Custom Plugin Runner gibi bir çok gelişmiş fonksiyonlar ve komut satırından hoşlananlar için, Linux benzeri bir komut arabirimine sahiptir. Bu komut arabirimi (CLI) sayesinde Aggressor' un GUI si ile yapabildiği herşeyi komut satırları ile yapmak mümkündür. Crashguard özelliği sayesinde herhangi bir koşulda oluşabilecek software hatalarını internal olarak düzeltip çalışmasını aksatmadan devam ettirebilmek özellikleri arasındadır.
Kabaca bölümlere ayırmak gerekirse Aggressor Sistem yönetim modül gurubu, Network Test modül gurubu ve internet Araçları bölümlerinden oluşur.
SİSTEMİN YÖNETİMİ VE KORUNMASI
The Aggressor, networkünüzde oluşan tüm bağlantıları ve veri transferini incelemeniz için gelişmiş bir sniffing modülüne (Beholder) sahiptir. Beholder, yerel ağ ile internet arasındaki tüm trafiği denetleyip, Networkünüzde ki herhangi bir makinaya dışarıdan gelen saldırıları bulup ve istenildiğinde saldırının kaynağını etkisiz hale getirebilir. Herhangi bir hacker sizin sisteminize açık bir nokta aramaya kalktığında yada en basitinden bir Portscan yaptığında Aggressor bunu anlar ve o kişiden koruduğu networke gelecek bundan sonraki bütün bağlanti isteklerini geri çevirir. Eğer Defense Mode aktif ise, tehlike teşkil edebilecek durumlarda The Aggressor saldıran kişiye yaptığı işlemi yansıtır.
Beholder modülü aracılığıyla aktif olan tüm bağlantıları (Connection) görebilir, içeriğini inceleyebilir hatta durdurabilirsiniz. Yani sisteminizden gönderilen mailleri okuyabilir, yapılan Chat’ leri görebilirsiniz yada kimin hangi sayfaya bağlandığını izleyebilirsiniz ve loglayabilirsiniz. Sadece belirli kelimelerin geçtiği baglantilari loglamanız mümkündür.
Aggressor aracılığı ile network bazında servis kulanımını engelleyebilirsiniz. Örnek olarak şirketinizde tanımlanan makinaların Irc ye girmesini yada Icq kullanmasını sadece Aggressor' a tek bir kural (Rule) ekleyerek yasaklayabilirsiniz. Yada sadece Local Network için bir servis açmak istediniz, dışarıdan bu servise girilmesini engelleyebilirsiniz.
The Aggressor' un Keyword Ban fonksiyonu ile kelimelere grup bazlı yasak koyabilirsiniz. Böylece Aggressor' un çalıştığı network ten tanımlanan kelimelerin geçtiği adreslere, tanımlanan makinaların erişimini engellemiş olursunuz. The Aggressor default olarak kendiniz tarafından yasaklanmış sayfalara ve korsan yazılım içeren sayfalara erişimi engeller. Ayrıca Ban Liste aracılığı ile tanımlanan makinaların koşulsuz olarak yasaklanmış adreslere erişimini engelleyebilirsiniz.
TrafficLimit özelliği ile tanımlanan makinalara internet kullanımı ile sınırlar koyabilir belirlediğiniz veri transfer sinirini geçtiğinde makinenin internet erişimini engelleyebilirsiniz.
Yukarıdaki bütün kural sistemlerini tarih ve saat bazlı çalıştırabilir ve istenildiğine sadece belli makine gruplarına uygulanmasını sağlayabilirsiniz. Aggressor' un Yukarıdaki işlemleri gerçekleştirebilmesi için Aggressor' un çalıştığı makine dışındaki hiç bir makinaya ek bir yazılım yüklemeniz yada diğer Firewallar gibi çıkış noktası (gateway) olarak tanımlamanız gerekli değildir. Network üzerindeki herhangi bir makinada çalışabilir
NETWORK TEST
Ne ile karşı karşıya olduğunuzu bilmeden korunmanız mantıken mümkün değildir, buradan yola çıkarak The Aggressor' un Network Testing kısmı aracılığı ile yeni çıkmış yada çıkabilecek saldırıların zayıflatılmış versiyonlarını size zarar vermeyecek şekilde kendi üzerinizde deneyerek bu saldırılara karşı zayıf olup olmadığınızı görebilir ve nasıl önlem almanız gerektiğini öğrenebilirsiniz. Yeni bir saldırı çıktığında size E-Mail ile bildirilir ve programı yenilemeden gereken Plug-in i çekerek programı güncellemiş olursunuz. Aggressor Unix ve benzeri sistemler altında çalışan D.O.S. (Denial of service) paketlerini ve birçok benzeri işletim sistemlerinde bulunan saldırı veya normal dışı networking fonksiyonları / açıklarını Windows altından yapabilmenizi sağlar. Aggressor Windows altında Linux platformundaki saldırıları emüle edebilen tek programdır ve bu tür standart dışı işlemleri Windows' un Winsock Library' sini kullanmadan kendine ait olan TCP Stack ile gerçekleştirir. Aggressor sadece kendi C-Class ına işlem yapabilir yani özel durumlar (1 den fazla C-Class in bulunması gibi) dışında Aggressor' u kullanarak kendi C-Class ınızın dışına işlem yapmanız yani Exploit çalıştırabilmeniz mümkün değildir.
The Aggressor dışında Network Testing programları da vardır, fakat bu tip programlar ileri seviye Hack ve D.O.S attack larını Windows' un limitlerinden dolayı tamamlayamazlar. Dolayısı ile The Aggressor Network Testing dalında dünyanın en iyilerinden biridir.
INTERNET ARAÇLARI
The Aggressor' un içerisinde bir Network Admini için gerekebilecek her türlü araç mevcuttur, Multiping aracılığı ile ayni anda birden fazla bilgisayara Ping atabilir ve atılan Ping in grafiğini toplamda yada host bazında görebilirsiniz. Eğer isterseniz tanımladığınız bilgisayarla bağlantı kopunca alarm verdirebilirsiniz. Traceroute aracı ile internet teki herhangi bir bilgisayar ile aranızdaki bilgisayarların isimlerini ve onlara olan uzaklıkları görebilirsiniz. AgPortScanner IP aracılığı yada servis listesi tanımlayabildiğiniz çok gelişmiş bir servis tarayıcısıdır Bunların dışında DNS Scanner, Wingate Scanner, Finger, Ident Daemon, Who is, Time gibi diğer gerekli fonksiyonlarda Aggressor' un içerisinde mevcuttur.
The Aggressor' un iki versiyonu bulunuyor bunlardan birincisi yukarıda anlatılan özelliklerin tamamını içeren versiyon olan Pro versiyonu diğeri ise sadece Network Testing modülünün bulunduğu NT versiyonudur.
AGGRESSOR NASIL ÇALIŞIR?
Aggressor başlangıçta şu adımları takip eder.
1- Rehberini başlatır.
2- Operasyon sistem parametrelerini ve bilgilerini kontrol eder.
3- Paket sürücülerinin yüklenip yüklenmediğini kontrol eder.
4- Harvester, Beholder ve gereken diğer modülleri başlatır.
5- Aggressor birkaç görev yürütür. Bunlar;
DNS Resolver: Agix arabirimi ile istenilen adresin IP,FQ domain, Querying özelliklerini çözer.
Harvester: Network modülünden gelen paketleri toplayan modüldür.
Rule Monitor:İhtiyaç duyulduğunda Network ağına bağlı bilgisayarlara gelen paketlerin o bilgisayarlara iletilip iletilmemesine karar veren arabirimdir.
Messenger: Messenger Modülü Rule Monitor tarfından birkaç görevin yerine getirilmesinde kullanılır.
Beholder: Dışarıdan gelen saldırıları bulur ve denetleme görevi yapar.
6-Bağlantı bilgilerini , gereken bilgi dosyalarını ve geçmişte kullanılan komut satırlarını yükler.
7-Plugin dosyalarını yükler ve başlatır. Eğer plugin dosyaları yüklenirken bir hata meydana gelirse bu hataları kaydeder .
8-yürütme dosyalarını kontrol eder. Bunlar kullanılabilirse bu dosyaların içeriğini yürütür.
FİREWALL NASIL ÇALIŞIR?
1-Network bağlantısı ve Internetten gelen paketleri alarak bir havuzda toplar. Bu havuzdaki paketler Beholder’a gönderilir(Bağlantı analizi yapan modüldür.)
2-Beholder kendisine dışardan gelen saldırılar için rutin denetim yapar. Eğer bir saldırı varsa kendi iç kurallarını yürütür. Saldırıyı bir kütüğe kaydeder.
3-Beholder oturum açmak için gelen paketlerin kendi kurallarına uyup uymadığını kontrol eder.
Şekil-11: Aggressor Blok Diyagramı
NETWORK TEST MODÜLÜ NASIL ÇALIŞIR?
1-Host’ un o anda hatta olup olmadığını anlamak için ping atılır.
2-Host’ un ismini çözer. MAC adres (MEDIA ACCESS CONTROL) bilgisini geri alır ve inceler.
3-Ping gönderilen Host’ un bulunduğu servisler taranır.
4-Hedefteki Host’ un network dayanıklılık testini yürütür.
5-Hala Host’ un yerinde hatta kalıp kalamadığını kontrol eder.
MODÜLLER
Aggressor Task Manager: Kendi bünyesindeki modüllerin çalışma hızını , statülerini, yönetimlerini ve Sistem ayarlarını özelleştirir.
Name:Modüllerin ismini gösterir.
Prioty:Modüllerin çalışma hızını gösterir.
Status:Modüllerin o andaki durumlarını gösterir.
Handle:Yönetim penceresini gösterir.
Info: Modüllerin aktif olup olmadığını gösterir.
Butonlar:
Terminate: Modüllerin o anki işlemlerini en son durumlarını koruyarak sona erdirir.
Kill: Herhangi bir veri kaydı yapmadan modülü kapatır.İstenmeyen veri kayıplarına yol açabilir.
Refresh: Son sonuçları yeniler.
İç Modüller:
DNS Resolver: Winsock eğer Ip ‘ nin bağlı olduğu DNS’ yi bulamazsa Netbios numarasını almaya çalışır. Başkasının IP numarasını öğrenmek istemiyorsak Dns Resolver kullanılmayabilinir.
Harvester: Networkten gelen paketleri toplayan modüldür. Bu modül eş zamanlı ayarda tutulması gerekir. Aksi taktirde gelen paketlerden bazıları kaçırılabilir. Bu modülün çalışması durdurulursa Aggressor koruma (Firewall) ve denetleme (monitoring) özelliklerini kullanamaz.
ADMINASTRATION CENTER WINDOW
Yönetim penceresi networkteki kontrol ve denetleme görevini tek bir pencere altında yürütmek için dizayn edilmiştir. Genel olarak aşağıdaki başlıklar altında toplanır.
Network Tab: Network penceresi kendi lokal ağındaki LAN bağlantılarını , onların bağlı oldukları bağlantıları, aldıkları ve gönderdikleri verileri , kullanıcı isimleri ile kullandıkları ara birimleri gösterir.
Vendor ve MAC adresi:Yönetim penceresi minimize edilirse ,en son yapılan bağlantılar görülmez. Çünkü yönetim penceresi Beholder Modülü ile birlikte çalışır. Beholder modülü inactive veya disabled olduğu zaman Adminastration Center Window doğru olarak çalışmaz.
Connections Tab: Bu pencere ile kendi LAN bağlantınızda bulunan makinelerin bağlı oldukları servisleri görebilir ve içeriklerini öğrenebilirsiniz. Bütün bağlantıları kontrol edebilirsiniz. MAC adreslerini ,IP Numaralarını ,hostname’ ini öğrenebilir,bağlantıları kesebilir ve yasak koyabilirsiniz.
Client : Kullanıcıları servis türüne göre bağlantıları ayırır.
Server : Server’ leri kullanıcılara göre ayırır.
Protocol : O anda Network’ teki kullanıcıları hangi protokolü kullandıklarını belirleyerek protocol farkına göre ayırır.
Active Connections: O andaki mevcut bağlantıları gösterir.
Past Connections: Geçmişte yapılmış olan bağlantıları gösterir.
View Mode: 4 Mode bulunur.(Hex,Html,Ìrc,text) Bunlardan herhangi birini seçerek kullanıcıların bağlantılarının içeriklerini (aldıkları dosyalar,download ettikleri programlar,bağlantıda oldukları web sayfaları)
İstenilen Mode ‘ da görülebilir.
Events Tab: Bu pencerede kendi network’ unuzdaki yada sisteminizdeki sıradan veya sıra dışı aktiviteleri görebilirsiniz.
Last Time Occured:Olayın olduğu tarihi ve zamanı gösterir.
Description: Olayın kısa özetini gösterir.
User: Olay meydana geldiğinde (başlatılan programın ) kullacısını gösterir.
Target: Olayın meydana geldiği makineyi gösterir.
Count: Meydana gelen olaydaki toplam protocol isteğini gösterir.
Details: Seçilen olayla ilgili detaylı bilgileri gösterir. Bunlar olayın türü, deneme sayısı, hedef IP adresi, hedef makinenin MAC adresi olayın saati, kullanıcının ismi, olayın tanımlanması.
Clear: Bütün bilgileri Aggressor’ un database’ inden siler.
Rules Tab:
Rules: Bu bölümde networkte uyulması gereken kuralların tanımı yapılır.
Description:Kural hakkında özet verir.
From: LAN içindeki kullanıcıların bu kurallar içinde olup olmadıklarını kontrol eder.
To:Hangi makinenin kural dışında olduğunu gösterir.
Triggers on:Kuralın ne olduğunu gösterir.
New Rule: Yeni kural eklenmesi için kullanılır.
Edit: Seçilen kuralda düzenin ayarlanmasında kullanılır.
Delete:Seçilen kuralın silinmesinde kullanılır.
Rule Editor:
Route:Kuralın uygulanmasında izlenecek yolu gösterir.
Include:Kuralın hangi host için geçerli olduğunu gösterir.
Exclude: Kurala dahil olmayacak host’ u gösterir.
ÖRNEK1:
From-Include-IP=195.174.89.53//To-Include-IP=194.54.48.147
Bu durumda LAN bağlantısında 195.174.89.53 IP’ li makine IP ‘ si 194.54.48.147 olan makineye bağlanmaya çalışırsa yaptığı işlem denetlenir.
ÖRNEK2:
From-Exclude-IP=195.174.89.53//To-Include-IP=194.54.48.147
Bu durumda 195.174.89.53 IP’ li bilgisayardan başka hiçbir makine IP’ si 194.54.48.147 olan bilgisayara bağlanamaz.
ÖRNEK3:
From-Include-Anyone//To-Exclude-194.54.48.147
Bu durumda bütün makineler kural dahilindedir. Bütün bağlantılar ilgili kural gereği denetlenir.
Sadece IP’ si 194.54.48.147 olan makine bağımsız çalışır. Bütün işlemleri bu makine başlatır.
Trigger:Kuralı neyin başlatacağı karar verilir.
“Hostile Action” seçilirse sadece düşmanca aktivite meydana gelirse kural işletilir.
“Any Attempt” seçilirse Bütün bağlantılarda kural yürütülür.
“Unusual Activity” seçilirse kural sadece sıra dışı bir olay olduğu zaman uygulanır.
Add:Yeni kelimeler eklemek için kullanılır.
Remove:İstenilen kelimenin kaldırılması için kullanılır.
Protocol:
Include:Bağlantıda seçilen port kullanıldığı zaman kural yürütülür.
Exclude:Bağlantıda seçilen porttan başkası kullanıldığı zaman kural yürütülür.
Block Connection:Bağlantıyı engeller.
System Alert: Alarm verir.
Send E-mail:Eğer saldırı başlatılırsa belirtilen e-mail adresine e-mail gönderilir.
Use Custom Message:Standard mesaj kullanılır.
Execute Program:Dış programlardan birini çalıştırır.
Browse:İstenilen dış program seçilir. Birkaç program aynı anda çalıştırılabilir.
Statistics:
Statistics menüsünde LAN üzerinde protokollere ayrılan paylar grafiksel olarak görülür. Gereken ayarlar istenilen seçenekler ayarlanarak yada sınıflanarak yapılır.
Information:
Windows Socket Library: Aggressor’ un kullandığı winsock kütüphanesinin yüklenme tarihini gösterir.
System Status: Sistemin çalışma durumunu gösterir.
Max Sockets: Uygun kullanılabilir socketleri gösterir.
Version: Winsock’ un versiyonunu gösterir.
Local Host: Local Host’ un IP‘sini gösterir.
Max UDP Diagrams: Kullanılabilir UDP diagramlarını gösterir.
Operation Systems:
Platform:Aggressor’ un çalıştığı işletim sistemini gösterir.
MAC Adress: Network kartının Mac adresini gösterir.
Perm MAC Adress:Network kartının sürekli olan MAC adresini gösterir.
Gateway MAC Adress:Network kartının ağ geçidi için kullandığı MAC adresini gösterir.
Active Connections: Bu mode kullanılarak LAN üzerindeki makinelerin bağlantıların içeriğini inceleyebilir, yasaklar koyabilir ve ilgili kişiye uyarı gönderebilirsiniz. Bağlantının üstüne sağ ile tıklarsak şu bilgiler karşımıza çıkar.
Information: Seçilen kullanıcı ile ilgili bilgiler verir.
Copy: Host’ un adını clipboard’ a kopyalar.
Find:Aranılan kişiyi bağlantıların olduğu listeden bulur.
Find Next: Aranılan sonraki kişiyi bulur.
Expand All: Listeyi ayrıntılarıyla gösterir.
Collapse All: Listeyi ana hatlarıyla gösterir.
Refresh: Listeyi en son hali ile gösterir.
Auto Expand:Ayrıştırılabilir hale gelen listeyi hemen açar.
Kill: Seçilen TCP bağlantısını sona erdirir.Eğer seçilen bağlantı UDP ise bu opsiyon “Kill All” ve “Ban” ile sonlandırılır.
Kill All: Her türdeki bağlantıları seçtiğimiz kişinin bağlantı türüne bakmaksızın sonlandırır. Kullanıcılar bunu hangi bağlantıyı sona erdireceklerini belirleyemedikleri zaman kullanırlar.
Ban:Seçilen Host için yasak seçenekleri çıkarır. Yasak kaldırıladan hiçbir yere bağlanmasına izin vermez.
AGIX WINDOW
Agix Nedir?
Agix Unix benzeri , bir çok komut içeren komut modülüdür .İçinde şu ana başlıklar altında toplanmış destek birimleri bulunur.
Dış Komut Desteği:
Etkilenen Modül: Thread Manager
Bu özellik kullanıcıya ping, nslookup, tracert gibi aplikasyonları kullanmasına olanak tanır.
Aynı Dosshell’ de olduğu gibi diğer uygulamalar kullanılarak geçiş yapılabilir.
ÖRNEK:
Agix>Ping –t www.yahoo.com
Agix penceresinden diğer uygulamalar ile ilgili olarak , modüllerden bilgi alınabilir.
APLİKASYONLARIN ÇALIŞMASI
Çalıştırmak istediğiniz aplikasyonlar Win32 ve Msdos.exe’ ye uyumlu olmalıdır. Böylece birçok uygulama aynı anda çalıştırılabilir. Bir çok aplikasyonun aynı anda çalışması Agix penceresine taşınır. Komutun yürütülmesinden sonra Agix , Thread bilgisini havuzdaki bilgilere aktarır.
ÖRNEK:
Agix> ping –t 195.174.89.39
Pinging 195.174.89.39 with 32 bytes of data
Reply from 195.174.89.39 bytes=32 time <10 m>TTL=64
agix > ts
Handle Up Time Status Priority Name & Status
--------------------------------------------------------------
296 0:0:1 1 Idle Pipe - [h:288] ping -t 195.174.89.39
Thread Mnager veya Agix ‘ten yürütülen threadlerin statülerini değiştirebiliriz. Eğer Windows Task Manager’ dan yürüttüğümüz işlemi durdurmayı denersek Agix son verme işlemini bulur ve thread havuzundan geri alır.
THREAD VE PROCESS MANAGEMENT FONKSİYONLARI
Unix ‘e benzeyen şu komutları içerir.
Kill: İstenilen görevi sonlandırılır.
ÖRNEK:
agix> ts
Handle Up Time Status Priority Name & Status
--------------------------------------------------------------
160 1:59:32 1 Idle DNS resolver - ok
172 1:59:32 1 Realtime Harvester - ok
60 1:59:32 1 Normal Beholder module - ok
180 1:59:32 1 Idle Rule monitor - ok
184 1:59:32 1 Idle Messenger - ok
248 1:59:30 1 Normal webserver - -dport 80
agix> kill 184
Kill : Killing thread 184 [Messenger]
Kill : done
agix> kill webserver
Kill : Killing thread 248 [webserver]
Kill : done
agix>
ls:Aggressor’ ün içindeki havuzdaki modüllerin komutlarını listeler.
ÖRNEK:
agix> ts
Handle Up Time Status Priority Name & Status
-----------------------------------------------------------------------------------------
140 0:0:24 1 Idle DNS resolver - ok
128 0:0:24 1 Realtime Harvester - ok
164 0:0:24 1 Normal Beholder module - ok
184 0:0:24 1 Idle Rule monitor - ok
188 0:0:24 1 Idle Messenger – ok
pkill: İşlemi sonlandırır. Ama işleme bağlı çalışşan DLL’ ler işlemin durduruluyor olduğunu anlamazlar.
General Commands:Agix’ in iç komutları Aggressor’ u kolaylaştırmak içindir.
Help: Komut listesini gösterir.
Explorer: Internet Explorer ‘ ı çalıştırır.
Exec: Dış programları yürütür.
Ls: Modüllerin komutlarını ve pluginleri listeler.
Set: Bir çok konsol parametresini kurar.
Quit: Aggressor’ u kapatır.
Cls: Consol’ u temizler.
Status: Durumu gösterir.
Info:Pluginlerle ilgili bilgi verir.
Dns: Dns’ leri çözer.
Hi: Host ile ilgili bilgi verir.
Ts: Saldırı olup olmadığını gösterir.
Kill:Tehdidi durdurur.
Pkill: İşlemi durdurur.
Biffit: Biffit
Countcgi: CGI uzantılı dosyaları tarar.
ÖRNEK:
Agix> explorer www.aggressor.net
ÖRNEK:
agix> dns www.aggressor.net
[DNS] Querying www.aggressor.net
[DNS] FQ Domain : www.aggressor.net
[DNS] > 195.174.89.40
agix> dns www.microsoft.com
[DNS] Querying www.microsoft.com
[DNS] FQ Domain : www.microsoft.com
[DNS] > 207.46.130.14
[DNS] > 207.46.130.149
[DNS] > 207.46.130.150
[DNS] > 207.46.131.13
[DNS] > 207.46.131.15
[DNS] > 207.46.131.137
agix> dns 195.174.89.49
[DNS] Querying 195.174.89.49
[DNS] Name : blackwind.aggressor.net
TOOLS
Multiping: Aynı anda birçok hosta ping atmamızı sağlar. Ayarlar bölümünden gönderilecek paketin büyüklüğünü görebiliriz. Host’ tan gelen cevabın ne kadar sürede değerlendirileceğinin ayarlanmasında kullanılır. “Count” bölümünden hedefe kaç tane paket gönderileceği karalaştırır. Eğer sürekli ping seçili ise biz durduruna kadar ping atmaya devam eder.”Threshold” Ping’ in ne kadar aralıklarla (ms) atılacağını belirlerPing atılan hostları “add” btonu ile ekelyebilirsiniz. “Clear” ile tüm listeyi silebiliriz.”IP” ping atılan IP’ leri gösterir.
Eğer IP ‘nin yanındaki üçgen mavi ise hedefin pinge yanıt verdiğini gösterir.Eğer üçgen siyah ise hedefin pingi yanıtsız bıraktığı anlaşılır. Kare ise IP’ nin ping grafiğinin gösterildiği anlaşılır.
Name Scanner:Hedefteki IP adreslerini hostname’ lerine çözer. Çözmek için bir IP (195.44.52.56) yada (195.44.52.*)girilebilir.”MaxT” ne kadar zaman içinde bulunacağı yazılır.
Port Scanner: Hedef bilgisayaradaki açık olan portları taramak için kullanılır. Bir kerede birçok IP’ nin port taraması yapılabilir.
Plugin Runner: Hedef IP yazılarak açık oln hedef porta paket büyüklüğü, süresi ayarlanarak paket gönderilir.
BASIC OPERATIONS
Aktif Bağlantıların Görüntülenmesi:
1-Administration Center Window tıklanır.”Connections” butonu seçilir.
2-İstenilen Host tıklanır.
3-İstenilen “Destination” seçilir.
İstenilen bağlantıları Client’ e ,Protocol’e ve Server ‘ e göre görebilirsiniz. Sadece “Show Local nodes only” işaretli ise Aggressor’un yeni oluşacak listesi yabancı hostlardan arındırılır. Eğer yerel ağınıza bağlı yabancı hostlarıda görmek istiyorsanız ”Show Local nodes only” ‘i işaretlememeniz gerekir. “Auto Refresh “ ile mouse’ unuzu sağ tıklayarak “collapse all” ve “expand all “ kullanılabilir.
Bağlantı İçeriklerinin Görüntülenmesi:
1-Administration Center Window tıklanır.”Connections” butonu seçilir.
2-İstenilen Host seçilir.
3-İstenilen “destination seçilir.
4-Uygun protokollerden biri seçilir.
Aggressor bağlantıların görüntülenmesi için bir pencere açacaktır.
Bağlantı İçeriklerinin Kaydedilmesi:
1- Bağlantı içeriği kutusunu sağ ile tıklayın.
2- “Save to file” ‘i seçin.
Bağlantı İçeriklerinin Clipboard’a Kopyalanması
1- Clipboard’a kopyalanmasını istediğiniz text işaretlenir.
2- Bağlantı içerikleri menüsü sağ ile tıklanır.
3- “Copy” seçilir.
Aggressor’dan Çıkış
Normal olarak Aggressor’dan çıkarken bilgiler kaydedilir. Eğer “save collected data” kutusunu seçmezseniz Aggressor bilgileri kaydetmez.
1-“System” menüsünden “Quit” i seçin. Aggressor size bilgileri kaydedip etmeyeceğinizi sorar.
2-Aplikasyonu bitirmek için “Yes” seçilir.
3-“Logout” tuşuna basarak o an ki bütün aplikasyonlardan çıkılarak kullanıcı penceresi kapanır. Bu durumda kaydedilmeyen bilgiler silinir.
4-Aplikasyonu devam ettirmek için “cancel seçilir.
Agix’ ten Pluginlerin Çalıştırılması
1-Agix penceresini tıklatın.
2-“Ls” yazın enter tuşuna basın.
3-Bir tane plugin adı seçerek enter tuşuna basın.
4-Plugin parametrelerini kullanın.
ÖRNEK:
agix> infoland
agix> land – dip 10.2.5.7 – dport 139
Plugin çalışmaya başladıktan sonra işlemin sonuçları Agix penceresinden veri olarak verilir.Eğer pluginin kendi penceresi varsa yanıt vermek için kendi pencersinin açılmasını bekler.Çalışan pluginleri sonlandırmak için Aggressor’ un Thread Managemet sistemini kullanabilirsiniz.
İLERİ DÜZEYDEKİ APLİKASYONLARIN YÜRÜTÜLMESİ
Plugin Runnerdan Plugin Çalıştırılması: Plugin listesinden istediğiniz plugini tıklayarak “run” butonunu tıklayınız.Bu pencereler sadece kendisine gerken bilgileri alması için ayarlanmıştır. Eğer plugin sadece IP adresi ve paket sayısı istiyorsa bunları girmeniz yeterli olacaktır.
Birden fazla plugin çalıştırmaya başladığınız zaman gereken tüm bilgiler için sadece bir pencere açar.Bu pencereden pluginler için ayarlar yapılır.
Destination Ip: Burayı genişleterek IP’ leri listeleyebilirsiniz.İstediğiniz IP’ leri “Add” ve “Remove” butonları ile kaldırabilirsiniz.
Source IP: Source IP’ de 4 değişik seçenek karşımıza çıkar. Bunlar:
1-Normal: Raw Packet Operation’ da inputline’ a yazdığınız IP’nin kullanılacağını gösterir.
2-Destination: Destination IP’ ye girilen aynı IP’ yi kullanacağını gösterir.
3-Broadcast: Destination IP’ sinin broadcast IP’ si olduğunu gösterir.
4-Random: IP’ nin gelişigüzel olacağını gösterir.
Destination Port:Destination IP paneline benzer .Pluginlerin kullandığı portu gösterir.
DDE SERVER
Agix’ e diğer uygulamalardan komut gönderilmesine olanak tanır.
Active: “Aktive” in seçili olması DDE sever’in çalıştığını gösterir.
Idle: DDE server ‘in o anki durumunu gösterir.
Receieved Command: DDE sever tarafından alınan komutları gösterir.
Site Bağlantılarına Kural Getirerek Yasak Koyulması
Sitelere yasak koymak için şu adımlar takip edilir.
1- Administration Center Window’ dan Rules tabından “New Rule” seçeneğini tıklayın.
2- Eklemek istediğiniz kuralın tanımını yapınız.
3-“To” butonunda “anyone” ı seçili halde bulunmamasını sağlayın.Böylece adres satırı açılır.
4- “Add” butonunu tıklayın.
5- Yasaklayacağınız adresi giriniz.(www.sex.com gibi)
6- “Action” tabını tıklayarak “Block Connection” seçili hale getirin. “OK” yi tıklayın.
Anahtar Kelime Kullanarak Yasaklar Koymak
Bu metodla içinde “sex” ve “warez” gibi kelimelerin bulunduğu bağlantılar kesilir ve yasaklanabilir.
1- Administration Center Window’ dan Rules tabından “New Rule” seçeneğini tıklayın.
2- Ekleyeceğiniz kural için tanım yapınız.
3- Trigger’ i tıklayınız.
4- Trigger on’ da bulunan “keyword” u tıklayın.
5- Uygun kelimeleri “Add” butonunu kullanarak ekleyin.
6- Daha sonra action’ dan “Block Connection” ı seçin. “OK” yi tıklayın.
İstenmeyen Bağlantıların Engellenmesi İçin Quıck Rule Yaratılması
Bağlantıları incelerken istemediğiniz bağlantıları görebilirsiniz. Hemen hızlı bir kural yaratarak istenmeyen bağlantıyı sonlandırarak bir daha bağlanmasını önleyebilirsiniz.
1- Mouse ile yasaklanmasını istediğiniz bağlantıyı sağ ile tıklayın.
2- “Ban” seçilir.
3- Bir doğrulayıcı diyalog belirir. Seçilen kural “Add” yapılarak kural listesine eklenir. Bu kuralı istediğiniz zaman Adminastration Center Window’ dan kaldırabilirsiniz.
İstenmeyen Servis Bağlantılarının Engellenmesi
Aggressor ile servislere yapılan bağlantıları önleyebilirsiniz.(ftp port=21 için)
1- “New Rule” tıklatılır.
2- “ftp blocker” gibi bir tanım verilir.
3- Trigger tabı tıklatılır.
4- “Any protocol” seçili durumdan çıkarılır. “Add” butonu ile istenilen yasaklar konur. Action seçilir “Block Connection” seçilir ve “OK” ile kaydedilir.
Kuralın Silinmesi
1- Rules tıklanır.
2- Silinecek kural tıklanır.
3- “Delete” seçilir.Daha sonra “yes” butonuna basarak kuralın kaldırılma işlemi tamamlanır.
Kuralların Düzenlenmesi
1- “Rules” butonuna basarak aktif kuralların listesi görülür.
2- Daha sonra düzenlenmesi istenen kural seçilir.
3- Edit tıklanır.
4- İstenilen değişiklikler yapıldıktan sonra “OK” tıklanır. “Cancel” ile değişikliklerin kaydı yapılmadan çıkış yapılır.
NETWORK TESTİ
Aggressor Network Test Engine: Aggressor Network Test Engine ile sisteminizde meydana gelmiş olan sorunları bulabilir yada başkalarının sisteminize ulaşmasını sağlayacak exploit açıklıklarını görebilirsiniz. Aggressor sadece bu sistem açıklıklarını bulmakla kalmaz aynı zaman da bu sistem açıklıkları için çözüm yolları da üretir. Hassas noktaları hassaslık derecelerine göre renklendirir ve hangi noktaya önem vermeniz gerektiğini gösterir ve onları yamamanızı sağlar. Bu yamalarla web sayfanızı onarabilirsiniz.
Yasal olmayan IP paketi yaratma , Scannig ve Reporting, URL’ lere patch,
her exploit için çözüm (pluginden uyarlanmış)
Aggressor Test Engine’ nini başlatmadan önce bir policy tanımlamanız gerekir. Sadece bir tek tıklama ile policyleri silebilirsiniz. Policy’ ler diske (encrypted formatında ) kaydedilir. Her network modülünü açışınızda Aggressor root direktöründeki *.pol uzantılı dosyaları tarar Policy’ yi seçtikten sonra “next” i tıklayın
Policy Editor: Policy editor’ a policy adını girebilir, tanımını yapabilirsiniz. Bu bilgiler “Policy Selection Window” dan görülebilir.
Forced Scannig: Cevap vermeyen hostları scan eder.
Remove Inactive Host From The List:Listeden aktif olmayan hostları siler.
Perform Reverse Responding : Hostun Dns ‘ sinin gerçek olup olmadığını anlamak görmek için kullanılır.
Scan All Port On Target: Normalde Network Test Engine sadece belirtilen portlar
