http://www.secdev.org/projects/scapy/
Scapy, Python dili ile yazılmış Linux ve Windows sistemlerde komut satırından çalışan açık kaynak kodlu bir yazılımdır. Kullanım amacı TCP/IP ağlar için özelleştirilmiş paketler üretmektir. Nmap, packit, Hping, sing gibi bu işe özel araçlar varken neden özelleştirilmiş paketlere neden ihtiyaç duyarız?
Bunun cevabı yine sorusunda yatıyor.Nmap ve Hping en sık kullanılan port tarama ve paket üretme “araçlarıdır”, yani belirli amacı gerçekleştirmek için hazırlanmış yazılımlar. Fakat her iki aracın da sınırları vardır ve sadece yazılımcısının sunduğu özellikler kullanılabilir. Read more »
tcpxtract Linux/UNIX sistemlerde data carving amaclı kullanılan açık kod bir yazılımdır. Daha çok adli bilişim analiz çalışmalarında kullanılır. Bu yazılımı ağ üzerinde tüm trafiği görecek şekilde konumlandırılıp(SPAN portu, TAP cihazı kullanarak ) trafik içerisinde geçen dosyaların orjinal hallerini diske kaydedebilirsiniz. Mesela şirket ağından dışarıya gönderilen ofis dosyaları, internetten indirilen resim, muzik ve görsel medyaların bir kopyasını almak için tcpxtract kullanılabilir.
Tcpxtract kullanarak akan trafikten anlık olarak olarak verileri yedekleyebileceği gibi pcap formatında kaydedilmiş(tcpdump, Wireshark vs) paketler içerisinden de orjinal verileri ayıklamak için kullanılabilir. Read more »
Gökay BEKŞEN tarafından hazırlanan Nmap Kullanım Kitapçığı Bilgi Güvenliği AKADEMİSİ kütüphanesine eklenmiştir.
Kitapçık http://www.bga.com.tr/calismalar/nmap_guide.pdf adresinden indirilebilir.
İlk sürümünü 2006 yılında hazırladığım “Tcpdump ile Trafik Analizi” konulu belgenin yeni sürümü http://www.guvenlikegitimleri.com/calismalar/tcpdump1.pdf adresine eklenmiştir. Yeni sürümde içeriği genişleterek üç bölüm haline getirdik. Diğer bölümleri de zaman buldukca internete aktaracağım.
Bugün ilginç bir görüşme yaptım. Bir uzantısı da Türkiye’de bulunan Avrupanın en büyük networküne sahip bir firmadan firmanın tüm ağ altyapısını test edecek anlaşma teklifi geldi. Önce klasik pentest talebi olarak algılayıp çok sıcak bakmasam da işin tamamen network üzerine olduğunu anlayınca heyecanla varım dedim!.
Mülakatta gelen ilk soru klasikti hangi araçları kullanacaksınız? Burada karşı tarafı etkileme amaçlı bir dünya araç ismi sayabilirdim fakat network testlerinde Hping, Nmap ve Netcat üçlüsü(+tcpdump) işimi fazlaca gördüğü için bunları saydım.
hping sihirli sözcük olmalı ki sorular onun üzerinden gelmeye devam etti. Neden hping, hping ile neler yapabilirsiniz vs…
Ben de her zamanki klasik cevabımı paylaştım: “Hping benim için aklımdakileri gerçekleştirmeme kolaylık sağlayan bir araç, iyi bir araç. Bunun ötesinde birşey değil…” Read more »
Günümüz siber güvenlik tehditlerinin büyük bir çoğunluğu son kullanıcıları hedef almaktadır. Sunucu sistemler ve ağ sistemlerinde alınan önlemler saldırganları büyük oranda durdurabildiği için hackerlar istemcileri avlayarak onların üzerinden şirket ağlarına sızmayı denemektedirler. Read more »
Synproxy/syncookie(farklı şekilde aynı işi yaparlar), günümüz IPS ve Firewall sistemlerinin Synflood DOS saldırıları için aldığı klasik önlemlerdendir. Synproxy/syncookie ile korunan bir system DOS saldırısı altında iken gelen spoof edilmiş SYN paketlerinden etkilenmez çünki önünde synflood koruması yapan bir system vardır. Syncookie/synproxy için “SynFlood DDOS Saldırıları ve Korunma Yolları” yazısının okunması faydalı olacaktır. Read more »
Penetrasyon testleri(Sızma testleri) günümüz bilgi güvenliği dünyasının en popüler konularından biri. Bu konuda verdiğim eğitimlerde sık sık 
karşılaştığım belirli sorular oluyor, bunlara toptan cevap olması adına 10 soruda pentest konulu bir yazı hazırladım. Pentest nedir, neden yaptırmalıyım, kime nasıl yaptırmalıyım gibi sorulara cevap arıyoruz. Sizin de bu konu hakkında fikirleriniz varsa yorumlarınızla zenginleştirebilirsiniz.
Öncelikle pentest kavramından ne anladığınızı ve ne beklediğinizi bilmek size bu süreçte yardımcı olacaktır. Zira ne olduğunu bilmediğiniz bir servisi alarak sonradan bu muydu yani? Bu kadar parayı bu iş için mi verdim ya da bu sistemlere neden baktırmadım gibi sorular sormayın kendinize.
Read more »
Tags: ethical hacking, penetration test, pentest, risk assessment, vulnerability assessment
Misc, Network Security, Network Tools, PCI DSS, Penetration, Security Tools, System Security | 
Comments (2)
Paket ve protokol birbirleri yerine sık kullanılan ama gerçekte birbirinden farklı iki kavramdır. Paket kavramı protokol kavramına göre daha kuşatıcıdır(paket>protokol). Paket’den kastımız TCP/IP ağlarda tüm iletişimin temelidir. Protokol ise paketlerin detayıdır.
Gönderip aldığımız mailler, web sayfalarına girişimiz, mesaj gönderişimiz hatta 3g kullanıyorsak telefon konuşmalarımız vs arka planda hep paketler vasıtasıyla kotarılır. Bu paketleri görmek Sniffer adı verilen programlar vasıtasıyla mümkün olur.
Bir de bu paketler içerisinde gidip gelen protokoller vardır. Mesela web sayfalarına giriş için HTTP, 3G ya da GPRS bağlantıları için GTP, mail için SMTP . Bir de bunlar için güvenli ulaşım sağlayan alt seviye protokoller vardır TCP, IP, UDP gibi. Tüm bu protokoller iletişime geçmek isteyen uçlar arasında azami standartları belirlemek için düşünülmüştür.
Paket ve protokol analizi için sniffer araçları kullanılır. Bazı snifferlar kısıtlı protokol analizi yapabilirken b azı snifferlar detaylı paket ve protokol analizi yapmaya olanak sağlar. Kısıtlı paket ve protokol analizine imkan sağlayan sniffer olarak tcpdump’ı, gelişmiş paket ve protol analizine örnek olarak da Wireshark/Tshark’ı örnek verebiliriz.
Sniffer aracılığıyla paket analizi
tcpdump ile HTTP trafigi analizi
~# tcpdump -i eth0 -ttttnn tcp port 80 -vv Read more »
Zaman zaman web sunucularımıza performans testleri yaparak kapasitlerini ölçüyoruz. Performans testleri esnasında web sunucuların yük durumu, hizmet kalitesi ve dışardan bağlanan kullanıcılara yaşattığı latency değerlerini ölçmek gerekiyor. Latency harici diğer değerler sistem üzerinden snmp vs ile alinabiliyor, latency ölçümü için networkun dışından birilerinden siteye girmelerini isteyip yavaşlık var mı sorusu sayısal değerlerden uzak olduğu için pek işime yaramıyordu. Kısa bir araştırmayla bu konuda kullanılabilecek iki araç buldum ve inceledim. Araçlardan biri http_ping diğeri de daha kapsamlı testlerde kullanılabilecek bir araç olan echoping
Alternatif araç önerileriniz varsa yorumlarınızla zenginleştirebilirsiniz.
Http_ping ile latency testleri
# http_ping -count 5 -interval 5 http://www.turkcell.com.tr
219 bytes from http://www.turkcell.com.tr: 24.088 ms (11.618c/12.458r/0.012d)
219 bytes from http://www.turkcell.com.tr: 23.424 ms (10.788c/12.621r/0.015d)
219 bytes from http://www.turkcell.com.tr: 17.003 ms (8.413c/8.577r/0.013d)
219 bytes from http://www.turkcell.com.tr: 20.625 ms (9.113c/11.501r/0.011d)
219 bytes from http://www.turkcell.com.tr: 20.398 ms (8.221c/12.165r/0.012d)
— http://www.turkcell.com.tr http_ping statistics —
5 fetches started, 5 completed (100%), 0 failures (0%), 0 timeouts (0%)
total min/avg/max = 17.003/21.1076/24.088 ms
connect min/avg/max = 8.221/9.6306/11.618 ms
response min/avg/max = 8.577/11.4644/12.621 ms
data min/avg/max = 0.011/0.0126/0.015 ms
Echoping ile latency testleri
[root@mail ~]# echoping -v -n 5 -w 3 -R -D -h /anasayfa www.turkcell.com.tr
This is echoping, version 6.0.0.
Trying to connect to internet address 212.252.168.225 80 to transmit 103 bytes…
Trying to send 256 bytes to internet address 212.252.168.225…
Connected…
TCP Latency: 0.005898 seconds
Sent (103 bytes)…
Application Latency: 0.044271 seconds
12781 bytes read from server.
Elapsed time: 0.059465 seconds
Trying to connect to internet address 212.252.168.225 80 to transmit 103 bytes…
Trying to send 256 bytes to internet address 212.252.168.225…
Connected…
TCP Latency: 0.004449 seconds
Sent (103 bytes)…
Application Latency: 0.050749 seconds
12779 bytes read from server.
Elapsed time: 0.068128 seconds
Trying to connect to internet address 212.252.168.225 80 to transmit 103 bytes…
Trying to send 256 bytes to internet address 212.252.168.225…
Connected…
TCP Latency: 0.013045 seconds
Sent (103 bytes)…
Application Latency: 0.042985 seconds
12781 bytes read from server.
Elapsed time: 0.060604 seconds
Trying to connect to internet address 212.252.168.225 80 to transmit 103 bytes…
Trying to send 256 bytes to internet address 212.252.168.225…
Connected…
TCP Latency: 0.004867 seconds
Sent (103 bytes)…
Application Latency: 0.044789 seconds
12781 bytes read from server.
Elapsed time: 0.053972 seconds
Trying to connect to internet address 212.252.168.225 80 to transmit 103 bytes…
Trying to send 256 bytes to internet address 212.252.168.225…
Connected…
TCP Latency: 0.003864 seconds
Sent (103 bytes)…
Application Latency: 0.056953 seconds
12779 bytes read from server.
Elapsed time: 0.065896 seconds
—
Minimum time: 0.053972 seconds (4743 bytes per sec.)
Maximum time: 0.068128 seconds (3758 bytes per sec.)
Average time: 0.061613 seconds (4155 bytes per sec.)
Standard deviation: 0.031128
Median time: 0.044271 seconds (5783 bytes per sec.)
Read more »
