Comments on: SynCookie/SynProxy ile korunan sistemlere yönelik port tarama

By: Can

Can — Wed, 01 Dec 2010 13:08:29 +0000

Bende reklam olmasın diye http://www.lifeoverip.net koydum 🙂 Yoksa bir deneme felan yok.Belki ileride 😀 sağolun hocam.

By: Huzeyfe ONAL

Huzeyfe ONAL — Sun, 28 Nov 2010 12:28:06 +0000

In reply to Can.

kodun içerisinde lifeoverip.net’e yapılacak denemeleri engellemek için if satırı koymuştuk ondandır:).

Şaka bir yana rand-souce parametresinin önünde iki adet – olmalı.

By: Can

Can — Sun, 28 Nov 2010 12:16:58 +0000

hping –rand-source -S -p 80 http://www.lifeoverip.net

hping: you must specify only one target host at a time

böle hata almamın sebebi nedir?

By: Huzeyfe

Huzeyfe — Fri, 26 Feb 2010 10:00:08 +0000

Sanırım sen default’da açık olmayan ve belirli threshold’u aştıktan sonra devreye giren SYN Proxy/cookie özelliğini kastediyorsun. Ok bu durumda aslında pps değerlerini küçük tutmak da bazı sistemlerde işe yarıyor(anlık syn bağlantıs sayısı 5000 ‘i aşarsa syncookie devreye girsin diye)

By: deniz

deniz — Fri, 26 Feb 2010 09:56:47 +0000

hping ile taramada timeout kullanman gerekiyor ve syncookie devreye girmesine neden olacak treshold değerinden kaçmaya çalışıyorsun. -i parametresi ile, girerse ayırt edemezsin.

Syncookie devreye girdikten sonraki SA bilgilerinin farklı olduğu durumlar ile karşılatım, ttl değerini firewall da sonlanacak şekilde ayarladığın zaman farklı değerler çıkıyordu. Yeni sürümlerinde bu işe yaramıyor artık. Ben daha çok timeout ile syncookie’yi tetiklemeyerek işin içinden çıkmaya çalışıyorum. NS bulursan bir ara deneriz detaylı.

By: Huzeyfe

Huzeyfe — Fri, 26 Feb 2010 09:29:38 +0000

Deniz,

hping ile Syncookie korumalı bir hosta gonderecen her SYN paketine SYN-ACK geliyor(ve hping tekrar ACK vs gondermiyor). bu durumda kapalı portla açık portu nasıl ayırt ediyorsun?

Dönen SA paketlerinde görebileceğin değerlerle syncookie tarafindan korunuyor mu bilgisini ogrenmeye calisiyoruz?Diger turlu tum SA paketleri syncookie korumasindan gelecegi icin ayirt etme secenegi kalmiyor gibi?
Yazdiklarini tamamen yanlis anlamis olabilirim:)

By: deniz

deniz — Fri, 26 Feb 2010 08:57:32 +0000

syn cookie devreye girdiği zaman 3-way hand shake yapılması gereken paketler içinde drop veya reject gelmeye başlayacak, dolayısı ile high portlarda açık olan bir servisi atlama ihtimali olabilir. Bu sebeple ben genellikle portlar arası rastgele timeout’lar kullanıyorum. Netsecreen default ayarlarını genellik 1650usec bekleterek aşabiliyorum.

hping –scan 1-100 ip -S -V -i u1655 gibi genelde syn-cookie den kaçmaya yardımcı oluyor.

Bir başka yöntem ise gelen SA paketlerindeki window ve TTL değerlerine bakmak oluyor. Korunan sunucu tarafından yollanan paket ile koruyan sistem tarafından yollanan paketlerdeki farklılıklar işe yarıyor.