Scapy, Python dili ile yazılmış Linux ve Windows sistemlerde komut satırından çalışan açık kaynak kodlu bir yazılımdır. Kullanım amacı TCP/IP ağlar için özelleştirilmiş paketler üretmektir. Nmap, packit, Hping, sing gibi bu işe özel araçlar varken neden özelleştirilmiş paketlere neden ihtiyaç duyarız?

Bunun  cevabı yine  sorusunda yatıyor.Nmap ve Hping en sık kullanılan port tarama ve paket üretme “araçlarıdır”, yani belirli amacı gerçekleştirmek için hazırlanmış yazılımlar. Fakat her iki aracın da sınırları vardır ve sadece yazılımcısının sunduğu özellikler kullanılabilir.

Mesela Nmap ile istenilen türde TCP paketleri üreterek tarama yapılamaz ya da Hping kullanarak L2 seviyesinde(ARP, RARP) paketler üretilemez. Piyasada bulunan benzeri ürünlerin hepsinde buna benzer çeşitli kısıtlamalar vardır.

Scapy tüm bu araçlarda bulunan, bulunmayan özellikleri esnek bir şekilde sunar. Scapy için oyun hamuru diyebiliriz, Scapy ile TCP/IP ağlarda birşey yapmak için sadece ne istediğinizi bilmeniz ve bunu Scapy’nin anlayacağı şekilde yazmanız yeterli olacaktır.

Scapy Kullanımı:

Scapy interaktif bir kullanıma sahiptir, istenirse python scriptlerinde import edilerek de kullanılabilir.

TCP/80 portuna SYN bayraklı paket gönderimi

# scapy
Welcome to Scapy (2.0.0.10 beta)
>>> sr(IP(dst=”192.168.0.0/24″)/TCP(dport=80, flags=”S”))

XMAS Tarama için özellştirilmiş paket gönderimi

>>> ans,unans = sr(IP(dst=”192.168.1.1″)/TCP(dport=666,flags=”FPU”) )

Script içerisinde Scapy kullanımı

Basit TCP Port tarama aracı

#!/usr/bin/env python
import sys
from scapy import sr,IP,TCP,conf
conf.verb = 0
dstip = sys.argv[1]

print “\nScan started for  “+dstip
res,unans = sr(IP(dst=dstip)/TCP(dport=[(0,1024)]),timeout=1)
if res:
print “\nReceived answers from the following ports:\n”
for s,r in res:
print r.sprintf(“%TCP.sport%”)
print “\nScan Finished\n”

Scapy ile yapılabilecekleri daha detaylı görmek ve öğrenmek için http://www.secdev.org/projects/scapy/doc/ adresindeki güncel dökümantasyonu incelenebilir.

Related posts:

1. Scapy Calismalari-III [Paket Dinleyicileri Belirleme]
2. Scapy Calismalari -IV
3. Acik Kod Uygulama test araclari

Tcpxtract kullanarak akan trafikten anlık olarak olarak verileri yedekleyebileceği gibi pcap formatında kaydedilmiş(tcpdump, Wireshark vs) paketler içerisinden de orjinal verileri ayıklamak için kullanılabilir.

Tcpxtract ile akan trafikten veri ayıklama

parametre olarak trafiğin geçtiği arabirim verilirse o arabiri üzerinden geçen ve konfigurasyon dosyasında belirtilen tüm dosyalar diske kaydedilir.

# tcpxtract -d eth0
Found file of type “pdf” in session [91.93.119.80:20480 -> 10.2.1.13:7111], exporting to 00000000.pdf

Tcpdump ile kaydedilmis trafik uzerinden veri ayıklama

# tcpdump -i eth0 -s0 tcp port 80 -w file
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
^C634 packets captured
634 packets received by filter
0 packets dropped by kernel

tcpdump ile kaydedilen paketler tcpxtract’a parametre olarak verilirse içeriğinden istenen dosyalar ayıklanabilir

# tcpxtract -f file
Found file of type “pdf” in session [91.93.119.80:20480 -> 10.200.169.163:2979], exporting to 00000000.pdf

Detay bilgi almak ve bu yazılımı denemek isterseniz http://tcpxtract.sourceforge.net/ adresi işinizi görecektir.

Related posts:

1. tcpdump ile pasif isletim sistemi saptama
2. Scapy Calismalari-III [Paket Dinleyicileri Belirleme]
3. Kaydedilen trafikten veriyi olusturmak- Data Carving!

Related posts:

1. Sifreli Trafik analizi icin IDS Tasarimi
2. Kaydedilmis trafik uzerinde anonimlestirme
3. Thsark ile TCP/IP Paket Analizi

Mülakatta gelen ilk soru klasikti hangi araçları kullanacaksınız? Burada karşı tarafı etkileme amaçlı bir dünya araç ismi sayabilirdim fakat network testlerinde Hping, Nmap ve Netcat üçlüsü(+tcpdump) işimi fazlaca gördüğü için bunları saydım.

hping sihirli sözcük olmalı ki sorular onun üzerinden gelmeye devam etti. Neden hping, hping ile neler yapabilirsiniz vs…

Ben de her zamanki klasik cevabımı paylaştım: “Hping benim için aklımdakileri gerçekleştirmeme kolaylık sağlayan bir araç, iyi bir araç. Bunun ötesinde birşey değil…”

Neyse zaman geçtikce firmaya daha önce bu konuda yaptığım başarılı testleri vurucu örneklerle anlattım ve sanırım onları bu işte benimle çalışmalarına ikna ettim. Yapılacak iş aslında benim için yeni değil, üzerinde onlarca tür çeşitlilikte sistem çalışan ve tamamen TCP/IP konuşan bir networkün kapsamlı testi(klasik vulnerability testi değil). Sonuç olarak  benden beklenen altyapıda kullanılan ağ/güvenlik sistemlerinin hem işlevsellik hem de performans testlerinin yapılmasını ve test çıktılarının firmanın ağ ve güvenlik uzmanlarına detaylıca anlatılması.

Beni nerden buldunuz diye sorduğumda gelen cevaplardan anladığım Hping ile ilgili yazdıklarımın referans olmasıymış. hey gidi hping sen nelere kadirsin:). Bakalım gerekli izinleri vs halledebilirsem bir iki aylığına bu işe vereceğim kendimi. Sonrasında belki sadece bu yaptıklarımı anlatan bir eğitim bile açarız:)

Related posts:

1. Hping-III Hping ile ağ keşif çalışmaları
2. Hping yazı dizisi-1: hping kullanarak tcp paketleriyle oynama
3. Hping yazı dizisi-II: Hping ile IP, ICMP ve UDP paketleri Oluşturma

Syncookie /Synproxy’nin Synflood  DOS engelleme haricinde başka faydaları da vardır. Bunlardan biri de TCP üzerinden yapılan port taramalarını zorlaştırmaktır. Eğer saldırgan TCP port tarama yapıyorsa sürpriz bir şekilde tüm portları açık olarak görecektir.
Syncookie/Synproxy gelen her SYN pakjetine karşılık SYN+ACK cevabı döner. Taradığı sistemden SYN+ACK cevabı geldiğini gören tarama program port açık der ve tekrar paket göndermez.
Synproxy/syncookie ile korunan sistemlere karşı port tarama

root@bt:~# hping –scan 80-100 www.example.com-S -V
using eth0, addr: 192.168.1.103, MTU: 1500
Scanning www.example.com(95.0.11.13), port 80-100
21 ports to scan, use -V to see all the replies
+—-+———–+———+—+—–+—–+
|port| serv name |  flags  |ttl| id  | win |
+—-+———–+———+—+—–+—–+
   80 www        : .S..A…  55 56928     0
   81            : .S..A…  55 57184     0
   82            : .S..A…  55 57440     0
   83            : .S..A…  55 57696     0
   84            : .S..A…  56 57952     0
   85            : .S..A…  56 58208     0
   86            : .S..A…  56 58464     0
   87 link       : .S..A…  56 58720     0
   88 kerberos   : .S..A…  56 58976     0
   89            : .S..A…  56 59232     0
   90            : .S..A…  56 59488     0
   91            : .S..A…  56 59744     0
   92            : .S..A…  55 60000     0
   93            : .S..A…  55 60256     0
   94            : .S..A…  55 60512     0
   95 supdup     : .S..A…  55 60768     0
   96            : .S..A…  55 61024     0
   97            : .S..A…  55 61280     0
   98 linuxconf  : .S..A…  55 61536     0
   99            : .S..A…  55 61792     0
  100            : .S..A…  56 62048     0
All replies received. Done.
Not responding ports: 

Aynı çıktıyı nmap ile tarama yaptığımızda da alırız

root@bt:~# nmap www.example.com-p80-100 –reason

Starting Nmap 5.00 ( http://nmap.org ) at 2010-02-14 12:09 EST
Warning: Hostname www.example.comresolves to 5 IPs. Using 95.0.11.13.
PORT    STATE SERVICE      REASON
80/tcp  open  http         syn-ack
81/tcp  open  hosts2-ns    syn-ack
82/tcp  open  xfer         syn-ack
83/tcp  open  mit-ml-dev   syn-ack
84/tcp  open  ctf          syn-ack
85/tcp  open  mit-ml-dev   syn-ack
86/tcp  open  mfcobol      syn-ack
87/tcp  open  priv-term-l  syn-ack
88/tcp  open  kerberos-sec syn-ack
89/tcp  open  su-mit-tg    syn-ack
90/tcp  open  dnsix        syn-ack
91/tcp  open  mit-dov      syn-ack
92/tcp  open  npp          syn-ack
93/tcp  open  dcp          syn-ack
94/tcp  open  objcall      syn-ack
95/tcp  open  supdup       syn-ack
96/tcp  open  dixie        syn-ack
97/tcp  open  swift-rvf    syn-ack
98/tcp  open  linuxconf    syn-ack
99/tcp  open  metagram     syn-ack
100/tcp open  newacct      syn-ack

Nmap done: 1 IP address (1 host up) scanned in 0.24 seconds

Bu şekilde korunmuş sistemlere yönelik başarılı TCP taramaları gerçekleştirmek için 3’lü el sıkışmayı tamamlayan ve sonrasında ek paketler gönderen tarama tiplerini denemek gerekir.

 Mesela nmap ile birlikte gelen versiyon belirleme özelliği burada işimize yarayabilir. Zira versiyon belirleme özelliği sadece SYN paketi gönderip cevap olarak SYN+ACK gelmesiyle tarama işlemini sonuçlandırmaz, portu açık olarak belirledikten sonra(karşı taraftan gelecek SYN+ACK cevabı) o portta çalışan uygulamanın versiyonunu belirlemek için ek paketler gönderir ki bu ek paketler SYNCookie/SynProxy korumasını devre dışı bırakır(Syncookie/synproxy 3’lü el sıkışmayı tamamlayan paketler için devreden çıkar ve paketleri doğrudan koruduğu sistemlere iletir). Her ne kadar tarama süresi oldukça uzasa da açık portları sağlıklı bir şekilde keşfetmek için versiyon belirleme taraması yapmak gerekir.
root@bt:~# nmap www.example.com-PN -sV –top-ports 10

Starting Nmap 5.00 ( http://nmap.org ) at 2010-02-14 12:52 EST
Interesting ports on 11.22.33.44(11.22.33.44):
PORT     STATE    SERVICE      VERSION
21/tcp   filtered ftp
22/tcp   filtered ssh
23/tcp   filtered telnet
25/tcp   filtered smtp
80/tcp   open     http         Microsoft IIS webserver 7.0
110/tcp  filtered pop3
139/tcp  filtered netbios-ssn
443/tcp  filtered https
445/tcp  filtered microsoft-ds
3389/tcp filtered ms-term-serv
Service Info: OS: Windows

Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 10.32 seconds

Related posts:

1. TOR Networku Uzerinden Port Tarama
2. Nmap’i zayıflık tarama aracı olarak kullanma-NSE
3. FreeBSD Packet Filter SynProxy Problemi

Öncelikle pentest kavramından ne anladığınızı  ve ne beklediğinizi bilmek size bu süreçte yardımcı olacaktır. Zira ne olduğunu bilmediğiniz bir servisi alarak sonradan bu muydu yani? Bu kadar parayı bu iş için mi verdim ya da bu sistemlere neden baktırmadım  gibi sorular sormayın kendinize.

1)Pentest nedir? Vulnerability assessment ve risk asssessment kavramlarından farkı nedir?

Pentest tanımı: Belirlenen bilişim sistemlerine mümkün olabilcek her yolun denenerek sızılmasıdır. Pentest de amaç güvenlik açıklığını bulmaktan öte bulunan açıklığı değerlendirip sistemlere yetkili erişimler elde etmektir.

Pentest çeşitleri: Whitebox, blackbox, graybox olmak üzere genel kabul görmüş üç çeşidi vardır. Bunlardan blackbox bizim genelde bildiğimiz ve yaptırdığımız pentest yöntemidir. Bu yöntemde testleri gerçekleştiren firmayla herhangi bir bilgi paylaşılmaz. Firma ismi ve firmanın sahip olduğu domainler üzerinden firmaya ait sistemler belirlenerek çalışma yapılır.

Diğer yöntemlerde pentest yapacak firmayla belirli bilgiler paylaşılır.

Vulnerability Assessment(zaafiyet tarama): Belirlenen sistemlerde güvenlik zaafiyetine sebep olabilecek açıklıkların araştırılması. Bu yöntem için genellikle otomatize araçlar kullanılır(Nmap, Nessus, Qualys vs)gibi.

Risk assessment tamamen farklı bir kavram olup pentest ve vuln. assessmenti kapsar. Zzaman zaman technical risk assessment tanımı kullanılarak Vulnerability assessment kastedilir.

2)Neden Pentest yaptırmalıyım?

Sahip olduğunuz bilişim sistemlerindeki güvenlik zaafiyetlerinin üçüncü bir göz tarafından kontrol edilmesi ve raporlanması proaktif güvenliğin ilk adımlarındandır. Siz ne kadar güvenliğe dikkat ederseniz birşeylerin gözünüzden kaçma ihtimali vardır ve internette hackerlarin sayısı ve bilgi becerisi her zaman sizden iyidir. Hackerlara yem olmadan kendi güvenliğinizi Beyaz şapkalı hackerlara test ettirmeniz yararınıza olaacktır.

Ek olarak PCI, HIPAA gibi standartlar da Pentest yaptırmayı zorunlu tutmaktadır.

3)Pentest projesinin planı nasıl olmalıdır?

Yaptırılacak pentestden olabildiğince çok verim alabilmek için her işte olduğu gibi burada da plan yapmak gerekir. Pentest planınıza en azından aşağıdaki soruları cevaplayarak hazırlayın

• Pentest’in kapsamı ne olacak?
• Sadece iç ağ sistemlerimimi, uygulamalarımı mı yoksa tüm altyapıyı mı test ettirmek istiyorum
• Testleri kime yaptıracağım
• Ne kadar sıklıkla yaptırmalıyım
• Riskli sistem ve servisler kapsam dışı olmalı mı yoksa riski kabul edip sonucunu görmelimiyim.
• DDOS denemesi yapılacak mı

4)Firma secimi konusunda nelere dikkat etmeliyim?

Pentest yapacak firma ne kadar güvenili olsa da-aranizda muhakkak imzalı ve maddeleri açık bir NDA olmalı- siz yine de kendinizi sağlama alma açısından firmanın yapacağı tüm işlemleri loglamaya çalışın. Bunu nasıl yaparsınız? Firmanın pentest yapacağı ip adres bilgilerini isteyerek bu ip adreslerinden gelecek tum trafiği Snort veya benzeri bir yazılım kullanarak loglayabilirsiniz.

• Özellikle web trafiği -ki en kirik bilgiler burada çıkacaktır- Snort ile cok rahatlıkla sonradan incelendiğinde anlaşılacak şekilde kaydettirilebilir.
• Firmada test yapacak çalışanların CVlerini isteyin . Varsa testi yapacak çalışanların konu ile ilgili sertifikasyonlara sahip olmasını ercih edin.
• Testi yapacak çalışanların ilgili firmanın elemanı olmasına dikkat edin.
• Firmaya daha önceki referanslarını sorun ve bunlardan birkaçına memnuniyetlerini sorun.
• Mümkünse firma seçimi öncesinde teknik kapasiteyi belirlemek için tuzak sistemler kurarak firmaların bu sistemlere saldırması ve sizin de bildiğiniz açıklığı bulmalarını isteyin.
• Firmadan daha önce yaptığı testlerle ilgili örnek raporlar isteyin.
• Testlerin belirli ip adreslerinden yapılmasını ve bu ip adreslerinin size bildirilmesini talep edin.
• Firmaya test için kullandıkları standartları sorun.
• Firmanın test raporunda kullandığı tüm araçları da yazmasını isteyin.
• Pentest teklifinin diğerlerine göre çok düşük olmaması

Penetration test firmanın özel işi mi yoksa oylesine yaptığı bir iş mi? Bu sorgu size firmanın konu hakkında yetkinliğine dair ipuçları verecektir.

5)Pentest yapan firmadan sonuç olarak neler beklemeliyim?

• Yöneticilere ve teknik çalışanlara özel iki farklı rapor
• Raporların okunabilir ve anlaşılır olması
• Testler esnasında keşfedilen kritik seviye güvenlik açıklıklarının anında bildirilmesi
• Pentest raporunun şifreli bir şekilde iletilmesi

6)Pentest sonrası nasıl bir yol izlemeliyim?

Pentest yaptırmak ne kadar önemliyse sonuçlarını değerlendirip aksiyon almak çok daha önemlidir.Malesef ki yaygın olarak yapılan yanlış sadece pentest yapıp raporu incelemek oluyor. Pentest sonrası açıklıkların kapatılmaması ve bir sonraki pentestde aynı açıklıkların tekrar çıkması sık karşılaşılan bir durumdur.

• Pentest raporlarının üst yönetimle paylaşılıp yönetim desteğinin alınması
• Sonuçlarının basit açıklıklar olarak değil, bir risk haritası kapsamında yönetime sunulması(bu açıklık hackerlar tarafından değerlendirilirse şu kadar kaybımız olur gibisinden)
• Raporu detaylıca inceleyip her bir açıklığın kimin ilgi alanına girdiğinin belirlenmesi
• Sistem yöneticileri/yazılımcılarla toplantı yapıp sonuçların paylaşılması
• Açıklıkların kapatılmasının takibi
• Bir sonraki pentestin tarihinin belirlenmesi

7)Turkiye’de pentest yapan hangi firmalar var?

Benim 2000 yılından beri çeşitli ortamlarda çalıştığım, raporlarını incelediğim ve ortanın üzerinde kabul ettiğim Pentest firmaları :

• Pro-G http://www.pro-g.com.tr
• Nebula Bilişim Hizmetleri http://www.nebulabilisim.com.tr/tr/home.aspx
• ADEO http://www.adeo.com.tr
• BizNet http://www.biznet.com.tr
• GamaSec - http://www.gamasec.net
• Tubitak UEKAE http://www.uekae.tubitak.gov.tr/
• Lostar B.G – http://www.lostar.com.tr

Bunların haricinde bir de bireysel olarak bu işi yapanlar var. Bu konuda eğer pentest yapan kişiyi iyi tanımıyorsanız kişi yerine firmayı tercih etmeniz faydalı olacaktır.
8)Pentest konusunda kendimi geliştirmek için izleme gereken yol nedir?

Pentest konusunda kendinizi geliştirmek için öncelikle bu alana meraklı bir yapınızın olmasın gerekir. İçinizde bilişim konularına karşı ciddi merak hissi , sistemleri bozmaktan korkmadan kurcalayan bir düşünce yapınız yoksa işiniz biraz zor demektir. Zira pentester olmak demek başkalarının düşünemediğini düşünmek, yapamadığını yapmak ve farklı olmak demektir.

Bu işin en kolay öğrenimi bireysel çalışmalardır, kendi kendinize deneyerek öğrenmeye çalışmak, yanılmak sonra tekrar yanılmak ve doğrsunu öğrenmek. Eğitimler bu konuda destekci olabilir. Sizin 5-6 ayda katedeceğiniz yolu bir iki haftada size aktarabilir ama hiçbir zaman sizi tam manasıyla yetiştirmez, yol gösterici olur.

Pentest konularının konuşulduğu güvenlik listelerine üyelik de sizi hazır bilgi kaynaklarına doğrudan ulaştıracak bir yöntemdir.

Linux öğrenmek, pentest konusunda mutlaka elinizi kuvvetlendirecek, rakiplerinize fark attıracak bir bileziktir. Bu işi ciddi düşünüyorsanız mutlaka Linux bilgisine ihtiyaç duyacaksınız.
9)Pentest için hangi yazılımlar kullanılır?

Açıkkod Pentest Yazılımları: Nmap,  Nessus, Metasploit, Inguma, hping, Webscarab, jtr, W3af

Açık kodlu bilinen çoğu pentest yazılımı Backtrack güvenlik CDsi ile birlikte gelir. Bu araçları uygulamalı olarak öğrenmek isterseniz Backtrack ile Penetrasyon testleri eğitimine kayıt olabilirsiniz.

Ticari Pentest Yazılımları: Immunity Canvas, Core Impact, HP Webinspect, Saint Ssecurity Scanner

Bu araçların yanında araçlar kadar önemli olan pentest metodolojileri vardır. Bunların da araçlar kadar iyi bilinmesi ve kullanılması gerekir.

OWASP guide, NIST, ISSAF, OSTTM

10)Pentest konusunda hangi eğitimler vardır?

• SANS’ın Pentest eğitimleri
• Guvenlik egitimleri.com Pentest eğitimleri
• Ec-Council Pentest eğitimleri
• http://www.penetration-testing.com/

Related posts:

1. Backtrack ile Penetrasyon Testleri Eğitimi
2. Network Penetrasyon Testleri Eğitimi / 17-18 Nisan
3. Network Penetrasyon Testleri Egitimi – 20 Haziran

Gönderip aldığımız mailler, web sayfalarına girişimiz, mesaj gönderişimiz hatta 3g kullanıyorsak telefon konuşmalarımız vs arka planda hep paketler vasıtasıyla kotarılır. Bu paketleri görmek Sniffer adı verilen programlar vasıtasıyla mümkün olur. 

Bir de bu paketler içerisinde gidip gelen protokoller vardır. Mesela web sayfalarına giriş için HTTP, 3G ya da GPRS bağlantıları için GTP, mail için SMTP . Bir de bunlar için güvenli ulaşım sağlayan alt seviye protokoller vardır TCP, IP, UDP gibi. Tüm bu protokoller iletişime geçmek isteyen uçlar arasında azami standartları belirlemek için düşünülmüştür.

Paket ve protokol analizi için sniffer araçları kullanılır. Bazı snifferlar kısıtlı protokol analizi yapabilirken b azı snifferlar detaylı paket ve protokol analizi yapmaya olanak sağlar. Kısıtlı paket ve protokol analizine imkan sağlayan sniffer olarak tcpdump’ı, gelişmiş paket ve protol analizine örnek olarak da Wireshark/Tshark’ı örnek verebiliriz.

Sniffer aracılığıyla paket analizi

tcpdump ile HTTP trafigi analizi

~# tcpdump -i eth0 -ttttnn tcp port 80 -vv
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
2009-09-08 05:47:23.057285 IP (tos 0×0, ttl 64, id 28117, offset 0, flags [DF], proto TCP (6), length 52) 10.200.169.163.45196 > 64.233.169.147.80: S, ck                 sum 0xfdbf (correct), 906286265:906286265(0) win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 6>

2009-09-08 05:47:23.191048 IP (tos 0×0, ttl 52, id 58446, offset 0, flags [none], proto TCP (6), length 52) 64.233.169.147.80 > 10.200.169.163.45196: S,                  cksum 0x535f (correct), 2146314999:2146314999(0) ack 906286266 win 5720 <mss 1430,nop,nop,sackOK,nop,wscale 6>

2009-09-08 05:47:23.191090 IP (tos 0×0, ttl 64, id 28118, offset 0, flags [DF], proto TCP (6), length 40) 10.200.169.163.45196 > 64.233.169.147.80: ., ck                 sum 0xaa0e (correct), 1:1(0) ack 1 win 92

2009-09-08 05:47:23.191924 IP (tos 0×0, ttl 64, id 28119, offset 0, flags [DF], proto TCP (6), length 239) 10.200.169.163.45196 > 64.233.169.147.80: P 1:                 200(199) ack 1 win 92
2009-09-08 05:47:23.325691 IP (tos 0×0, ttl 52, id 58447, offset 0, flags [none], proto TCP (6), length 40) 64.233.169.147.80 > 10.200.169.163.45196: .,                  cksum 0xa938 (correct), 1:1(0) ack 200 win 107
2009-09-08 05:47:23.328801 IP (tos 0×0, ttl 52, id 58448, offset 0, flags [none], proto TCP (6), length 608) 64.233.169.147.80 > 10.200.169.163.45196: P                  1:569(568) ack 200 win 107
2009-09-08 05:47:23.328818 IP (tos 0×0, ttl 64, id 28120, offset 0, flags [DF], proto TCP (6), length 40) 10.200.169.163.45196 > 64.233.169.147.80: ., ck                 sum 0xa6fe (correct), 200:200(0) ack 569 win 109
2009-09-08 05:47:23.328826 IP (tos 0×0, ttl 52, id 58449, offset 0, flags [none], proto TCP (6), length 40) 64.233.169.147.80 > 10.200.169.163.45196: F,                  cksum 0xa6ff (correct), 569:569(0) ack 200 win 107
2009-09-08 05:47:23.368014 IP (tos 0×0, ttl 64, id 28121, offset 0, flags [DF], proto TCP (6), length 40) 10.200.169.163.45196 > 64.233.169.147.80: ., ck                 sum 0xa6fd (correct), 200:200(0) ack 570 win 109

Yukardaki çıktıya bakılacak olursa her bir satır bir paketi işsaret eder. Satırlar incelenirse HTTP protokolüne ait   bilgi edinilemez, sadece TCP protokolüne ait bazı bilgiler elde edilebilir.

Bunun sebebi analiz için kullandığımız yazılımın(tcpdump) kısıtlı protokol analizine sahip olmasıdır(tcpdump tcp, ip, udp vs gibi alt seviye protokollere ait analiz imkanı sunar). Bizim görmek istediğimiz HTTP’e ait başlık bilgileri ise tcpdump ile görüntülenemez. Bunun için Wireshark/Tshark kullanmamız gerekir.

Sniffer aracılığıyla protokol analizi

Aşağıdaki çıktılar Tshark sniffer programından alınmıştır. Görüleceği üzere bir HTTP paketine ait tüm detaylar bulunmaktadır.

Capturing on eth0

…
Transmission Control Protocol, Src Port: 56537 (56537), Dst Port: http (80), Seq: 1, Ack: 1, Len: 199
    Source port: 56537 (56537)
    Destination port: http (80)
    Sequence number: 1    (relative sequence number)
    [Next sequence number: 200    (relative sequence number)]
    Acknowledgement number: 1    (relative ack number)
    Header length: 20 bytes
    Flags: 0×18 (PSH, ACK)
        0… …. = Congestion Window Reduced (CWR): Not set
        .0.. …. = ECN-Echo: Not set
        ..0. …. = Urgent: Not set
        …1 …. = Acknowledgment: Set
        …. 1… = Push: Set
        …. .0.. = Reset: Not set
        …. ..0. = Syn: Not set
        …. …0 = Fin: Not set
    Window size: 5888 (scaled)
    Checksum: 0x9f9e [incorrect, should be 0xf736 (maybe caused by "TCP checksum offload"?)]
        [Good Checksum: False]
        [Bad Checksum: True]
Hypertext Transfer Protocol
    GET / HTTP/1.0\r\n
        Request Method: GET
        Request URI: /
        Request Version: HTTP/1.0
    Host: www.google.com\r\n
    Accept: text/html, text/plain, text/css, text/sgml, */*;q=0.01\r\n
    Accept-Encoding: gzip, bzip2\r\n
    Accept-Language: en\r\n
    User-Agent: Lynx/2.8.6rel.4 libwww-FM/2.14\r\n
    \r\n

Related posts:

1. Thsark ile TCP/IP Paket Analizi
2. Scapy Calismalari-III [Paket Dinleyicileri Belirleme]
3. Ağınızda hangi protokol ne kadar kullanılıyor?

Alternatif araç önerileriniz varsa yorumlarınızla zenginleştirebilirsiniz.

Http_ping ile latency testleri

# http_ping -count  5 -interval 5  http://www.turkcell.com.tr

219 bytes from http://www.turkcell.com.tr: 24.088 ms (11.618c/12.458r/0.012d)
219 bytes from http://www.turkcell.com.tr: 23.424 ms (10.788c/12.621r/0.015d)
219 bytes from http://www.turkcell.com.tr: 17.003 ms (8.413c/8.577r/0.013d)
219 bytes from http://www.turkcell.com.tr: 20.625 ms (9.113c/11.501r/0.011d)

219 bytes from http://www.turkcell.com.tr: 20.398 ms (8.221c/12.165r/0.012d)

— http://www.turkcell.com.tr http_ping statistics —
5 fetches started, 5 completed (100%), 0 failures (0%), 0 timeouts (0%)
total    min/avg/max = 17.003/21.1076/24.088 ms
connect  min/avg/max = 8.221/9.6306/11.618 ms
response min/avg/max = 8.577/11.4644/12.621 ms
data     min/avg/max = 0.011/0.0126/0.015 ms

Echoping ile latency testleri

[root@mail ~]# echoping -v  -n 5 -w 3 -R -D  -h /anasayfa www.turkcell.com.tr

This is echoping, version 6.0.0.

Trying to connect to internet address 212.252.168.225 80 to transmit 103 bytes…
Trying to send 256 bytes to internet address 212.252.168.225…
Connected…
TCP Latency: 0.005898 seconds
Sent (103 bytes)…
Application Latency: 0.044271 seconds
12781 bytes read from server.
Elapsed time: 0.059465 seconds
Trying to connect to internet address 212.252.168.225 80 to transmit 103 bytes…
Trying to send 256 bytes to internet address 212.252.168.225…
Connected…
TCP Latency: 0.004449 seconds
Sent (103 bytes)…
Application Latency: 0.050749 seconds
12779 bytes read from server.
Elapsed time: 0.068128 seconds
Trying to connect to internet address 212.252.168.225 80 to transmit 103 bytes…
Trying to send 256 bytes to internet address 212.252.168.225…
Connected…
TCP Latency: 0.013045 seconds
Sent (103 bytes)…
Application Latency: 0.042985 seconds
12781 bytes read from server.
Elapsed time: 0.060604 seconds
Trying to connect to internet address 212.252.168.225 80 to transmit 103 bytes…
Trying to send 256 bytes to internet address 212.252.168.225…
Connected…
TCP Latency: 0.004867 seconds
Sent (103 bytes)…
Application Latency: 0.044789 seconds
12781 bytes read from server.
Elapsed time: 0.053972 seconds
Trying to connect to internet address 212.252.168.225 80 to transmit 103 bytes…
Trying to send 256 bytes to internet address 212.252.168.225…
Connected…
TCP Latency: 0.003864 seconds
Sent (103 bytes)…
Application Latency: 0.056953 seconds
12779 bytes read from server.
Elapsed time: 0.065896 seconds
—
Minimum time: 0.053972 seconds (4743 bytes per sec.)
Maximum time: 0.068128 seconds (3758 bytes per sec.)
Average time: 0.061613 seconds (4155 bytes per sec.)
Standard deviation: 0.031128
Median time: 0.044271 seconds (5783 bytes per sec.)

http_ping’in detay kullanımı için man http_ping komutu kullanılabilir.

man http_ping

http_ping(1)                                                      http_ping(1)

NAME
http_ping – measure HTTP latency

SYNOPSIS
http_ping [-count n] [-interval n] [-quiet] [-proxy host:port] url

DESCRIPTION
http_ping  runs  an  HTTP  fetch  every few seconds, timing how long it
takes.

Sample run:
% http_ping http://www.example.com/
7816 bytes from http://www.example.com/: 246.602 ms (9.923c/23.074r/213.605d)
7816 bytes from http://www.example.com/: 189.997 ms (11.619c/22.971r/155.407d)
7816 bytes from http://www.example.com/: 190.463 ms (8.994c/25.091r/156.378d)
7816 bytes from http://www.example.com/: 190.07 ms (9.234c/23.9r/156.936d)
7816 bytes from http://www.example.com/: 190.706 ms (10.142c/46.579r/133.985d)
^C
— http://www.example.com/ http_ping statistics —
5 fetches started, 5 completed (100%), 0 failures (0%), 0 timeouts (0%)
total    min/avg/max = 189.997/201.568/246.602 ms
connect  min/avg/max = 8.994/9.9824/11.619 ms
response min/avg/max = 22.971/28.323/46.579 ms
data     min/avg/max = 133.985/163.262/213.605 ms

OPTIONS
-count Stop after  the  specified  number  of  fetches.   Without  this
option, http_ping will continue until interrupted.

-interval
Wait  the  specified  number  of  seconds  between fetches.  The
default is five seconds.

-quiet Only display the summary info at the end.

-proxy Specifies a proxy host and port to use.

SEE ALSO
http_load(1), http_get(1), ping(8)

AUTHOR
Copyright (C) 1998,1999,2001,2002 by Jef Poskanzer <jef@mail.acme.com>.
All rights reserved.

Related posts:

1. Web sunuculara yönelik performans/DoS testleri
2. tcpdump & tshark ile CDP paketleri
3. Thsark ile TCP/IP Paket Analizi

Öncelikle ağdaki ip bloğunun bulunması gerekir. Bunun için tcpdump gibi bir ağ dinleyicisi(sniffer) kullanabiliriz. Ağlardaki ARP ve bazi UDP paketleri brodcast olacaktır. Biz de L2 seviyesinde ağa dahil olduğumuzdan bu broadcast paketleri görebiliriz. Ağda görünen broadcast paketlerden de hangi ip aralıklarının kullanıldığı bilgisine ulaşabiliriz.

root@home-labs:~# tcpdump -i eth1 -tttnn udp or arp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
000000 arp who-has 192.168.2.22 tell 192.168.2.1
000133 arp reply 192.168.2.22 is-at 00:1f:d0:5a:1b:96
32. 487744 arp who-has 192.168.2.222 tell 192.168.2.23
1. 000918 arp who-has 192.168.2.222 tell 192.168.2.23
1. 000618 arp who-has 192.168.2.222 tell 192.168.2.23
3. 277225 arp who-has 192.168.162.10 tell 192.168.162.129
198024 arp who-has 192.168.162.10 tell 192.168.162.129
802725 IP 192.168.2.20.138 > 192.168.2.255.138: NBT UDP PACKET(138)
197820 arp who-has 192.168.162.10 tell 192.168.162.129
802624 IP 192.168.2.20.138 > 192.168.2.255.138: NBT UDP PACKET(138)

Yukarıdaki tcpdump çıktısı incelenecek olursa ağda kullanılan IP adres aralıkları tespit edilebilir. Örnek: 192.168.2 bloğu, 192.168.162. bloğu gibi.

Hani ip aralığının kullanıldığını bulduktan sonra sıra boş ip adreslerini bulmaya geldi.  Bunun için arping aracını kullanıyoruz.

Basitçe for a in {1..26};do arping -c1 192.168.2.$a|grep   “Unicast”;done komutu ya da http://www.digininja.org/files/find_ip_1.0.tar.bz2 adresindeki mini scripti bize ağdaki hangi ip adreslerinin kullanımda hangilerinin boşta olacağını söyleyecektir.

root@home-labs:~# for a in {1..26};do arping -c1 192.168.2.$a|grep   “Unicast”;done
Unicast reply from 192.168.2.1 [00:1A:2A:A7:22:5C]  1.168ms
Unicast reply from 192.168.2.21 [00:1D:E0:17:C2:CB]  5.776ms
Unicast reply from 192.168.2.22 [00:1F:D0:5A:1B:96]  0.792ms

Yukardaki çıktıya göre 192.168.2.1, 192.168.2.21 ve 192.168.2.22 ip adresleri bu ağda kullanımda gözüküyor.

Tek satırlık script yerine biraz daha düzenli çıktı veren find_ip scriptini kullanmak istersek aşağıdaki gibi çıktı verecektir.

Not:Scriptte ufak düzenlemeler yapilmasi gerekiyor.(arping komutunun geçtigi satirdaki -O parametresinin kaldirilmasi gibi)

find_ip scriptinin sonucu

root@guvenliyim:~/find_ip# bash find_ip.sh -c 2 -s 10.10.10
10.10.10.1 Used
10.10.10.2 Used
10.10.10.3 Used
10.10.10.4 Free
10.10.10.5 Free
10.10.10.6 Free
10.10.10.7 Free
10.10.10.8 Used
10.10.10.9 Free
10.10.10.10 Free
10.10.10.11 Free
10.10.10.12 Free
10.10.10.13 Free
10.10.10.14 Free
10.10.10.15 Used
10.10.10.16 Free
10.10.10.17 Used
10.10.10.18 Used
10.10.10.19 Used
10.10.10.20 Free
…..

Related posts:

1. L2 seviyesinde paket işlemleri(arping)
2. Qmail’de gonderilen maillerdeki yerel IP adreslerini saklamak
3. Internette kullanılmayan ip bloklarını engelleme

 Network güvenlik testlerinde bazen bulunduğunuz ağın yapısını çıkarmak için ip katmanı yeterli olmaz ya da bu katmana doğrudan ulaşımınız olmayabilir. Bu durumda L2 seviyesinde çeşitli paketler göndererek ağın yapısını çıkarabiliriz. L2 seviyesinde gönderebileceğimiz paketler ARP’a dayalıdır. L2′deki protokoller kullanılarak basitce ağdaki  ip adreslerinin hangi mac adresine sahip olduğunu, bir mac adresinin ip adresi vs gibi bilgiler edinilebilir.

Layer2′de bu tip işlemleri yapmak için sık kullandığım bir araç var: arping, kısaca bu araç kullanılarak neler yapılabilir bir bakalım.

Arping  aracı  ne işe yarar?

Arping adından da anlaşılacağı gibi Layer 2 seviyesinde ping atmaya yarayan bir araçtır. Arping kullanarak Layer 2 seviyesinde bir makinenin açık olup olmadığı, ağdaki ip çakışmaları, bir ipnin ağda kullanılıp kullanılmadığı gibi bilgiler edinilebilir. Aynı zamanda arping kullanılarak gratious arp paketleri üretilebilir. Gratious paketlerle bir ip adresine ait mac adresi tüm yerel ağdaki sistemlerde  güncellenebilir.

Arping ARP Request ve Reply paketleri kullanır.

Not: arping’i diğer l3 ping araçlarından ayıran önemli özelliği ağ arabirimi üzerinde ip adresi olmasa dahi ping işlemlerini gerçekleştirebilir(yani L2 de çalışabilir).

Basit arping kullanımı
 arping’in en basit kullanımı ağdaki bir ip adresinin L2 seviyesinde MAC adresinin alınmasıdır. Bunu aşağıdaki komutla gerçekleyebiliriz.

root@home-labs:~# arping 192.168.2.1 -c 1
ARPING 192.168.2.1 from 192.168.2.23 eth0
Unicast reply from 192.168.2.1 [00:1A:2A:A7:22:5C]  1.860ms
Sent 1 probes (1 broadcast(s))
Received 1 response(s)

Yukardaki komuta ait tcpdump çıktısı;

root@home-labs:~# tcpdump -i eth1 -tttnn   arp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
000000 arp who-has 192.168.2.1 (ff:ff:ff:ff:ff:ff) tell 192.168.2.23
000918 arp reply 192.168.2.1 is-at 00:1a:2a:a7:22:5c

 

Kısaca yukardaki arp paketi brodcast paket olarak 192.168.2.1 ip adresinin kim olduğunu sorguladı. Bu ip adresini üzerinde barındıran sistem cevap olarak MAC adresini döndü.

Ağdaki IP Çakışmalarının Bulunması

Ağınızda IP çakışmasından şüpheleniyorsanız arping kullanarak emin olabilirsiniz.

arping -D IP_Adresi

root@home-labs:~# arping  -I eth1  -D 192.168.2.20

000000 arp who-has 192.168.2.20 (ff:ff:ff:ff:ff:ff) tell 0.0.0.0
000140 arp reply 192.168.2.20 is-at 00:0c:29:06:df:e4
001738 arp reply 192.168.2.20 is-at 00:1b:77:9b:cb:e2

Yukarıdaki çıktıda 192.168.2.20 ip adresi için yapılan sorguya iki farklı mac adresi cevap veriyor. Bu da ağda IP çakışmasının olduğu manasına gelir.

Güvenlik duvarı aktif edilmiş yerel sistemlerin arping ile bulunması

Eğitimlerimde Port Tarama kısmında katılımcılara sorduğum meşhur soru şudur: Bir ağda açık olduğunu bildiğiniz fakat güvenlik duvarı ile tamamen korunmuş bir sistemin  açık olduğunu teknik olarka nasıl ispatlarsınız?

Bu sorunun cevabı genellikle  ilgili makineye ulaşmaya çalışırız(ping vs) ya da port tarama yaparız oluyor. Fakat hostun üzerinde üzerinde bulunan güvenlik duvarı herhangi bir protokole izin vermediği için bu yöntemlerle hostun açık olup olmadığını anlaşılmaz.

Bunun tek yöntemi 2. katmanda(OSI katmanları) ilgili sistemin açık olup olmadığını öğrenmektir. L2(Ikinci katman) denildiğinde ise akla ilk gelen MAC adresleri ve ARP oluyor. L2 seviyesinde bir sistemin canlı olup olmadığını anlamak için arping komutu kullanılabilir.(Normal ping ve arp komutlarıyla da aynı iş yapılabilir)

#arping 192.168.2.1

komutu eğer hedef sistem canlı ise aşağıdaki gibi çıktı verecektir.

root@home-labs:~# arping 192.168.2.1
ARPING 192.168.2.1 from 192.168.2.23 eth0
Unicast reply from 192.168.2.1 [00:1A:2A:A7:22:5C]  1.343ms
^CSent 1 probes (1 broadcast(s))
Received 1 response(s)

Eğer hedef sistem kapalı ise aşağıdaki gibi çıktı verecektir.

root@home-labs:~# arping 192.168.2.111 -c1
ARPING 192.168.2.111 from 192.168.2.23 eth0
Sent 1 probes (1 broadcast(s))
Received 0 response(s)

Related posts:

1. Agda Kullanilmayan IP Adreslerini Bulma
2. Thsark ile TCP/IP Paket Analizi
3. Scapy Calismalari-III [Paket Dinleyicileri Belirleme]