Paket inceleme/olusturma araclari seruvenimize “Nemesis” ile devam ediyoruz. Kulaklarimda ” ya bu adamda oyuncak sandi TCP/IP’yi her gun oynuyor” sozlerini isitiyor gibiyim:).
Dogrudur TCP/IP ve ilgili oldugu konularda standart bilginin ustune cikmak icin devamli okumak, kurcalamak, oynamak ve bugune kadar test edilmis uygulamalari, protokolleri tekrar test etmek gerekiyor. Benim de isim bu olmasa da zevkim bu oldugu icin vakit buldukca cesitli araclarla protokoller uzerinde oynuyorum bilgimi gelistiriyorum.
Nemesis, komut satırından çalışan Linux, UNIX ve Windows türü işletim sistemlerini destekleyen TCP/IP paket oluşturma aracıdır.
İstenilen özellikte ethernet, arp, ip, icmp, igmp, tcp/udp, ospf, rip vs dns paketleri oluşturmak için kullanılabilir.
egitim ~ # nemesis
NEMESIS -=- The NEMESIS Project Version 1.4 (Build 26)
NEMESIS Usage:
nemesis [mode] [options]
NEMESIS modes:
arp
dns
ethernet
icmp
igmp
ip
ospf (currently non-functional)
rip
tcp
udp
NEMESIS options:
To display options, specify a mode with the option “help”.
Kullanımının sadece komut satırı aracılığı ile olması ilk aşamada bu aracı yeni öğrenecekler için bir dezavantaj gibi gözükse de sağladığı esnek yardım menüsü ile TCP/IP bilgisi olan herkes rahatlıkla kullanabilir. Diğer bir artısı da yazacağınız mini scriptlerle bircok ag guvenligi programinin yaptigi isleri yaptirabilirsiniz.
Nemesis Kullanarak Paket oluşturma
İlk olarak oluşturmak istediğimiz paketlerle ilgili nasıl yardım alacağımızı görelim.
Mesela X tipinde bir arp paketi oluşturmak istiyoruz fakat bunu Nemesis ile nasıl başaracağımızı ezbere bilmiyoruz.
#nemesis arp help
Komutu ile hangi tür arp paketleri oluşturulabileceği bilgisi alınır. Benzer şekilde diğer protokoller için de nemesis protokol_ismi help komutu işimize yarayacaktır.
~ # nemesis arp help,
ARP/RARP Packet Injection -=- The NEMESIS Project Version 1.4 (Build 26)
Data Link Options:
-d -H -M You must define a Source and Destination IP address.
ARP Paketleri Olusturmak
Ornek olarak sahte ARP paketleri ile ARP Poisoning saldırısı gerçekleştirelim
Ortam:
Gateway görevinde modem 192.168.1.1 00:13:64:22:39:3F
Masum Windows XP kullanıcısı 192.168.1.2 00-04-61-47-da-74
Nemesis ile ARP Spoof yapacak Linux kullanıcısı 192.168.1.4 00:0c:29:08:e2:48
Saldırı öncesi Windows sistemin arp tablosu.
C:\Console2>arp -a
Interface: 192.168.1.3 — 0x4
Internet Address Physical Address Type
192.168.1.1 00-13-64-22-39-3f dynamic
192.168.1.2 00-04-61-47-da-74 dynamic
192.168.1.4 00-0c-29-08-e2-48 dynamic
Mrb. Ben de ağdaki yada local pcemdeki TCP paketleriyle oynama yapmak istiyorum. Ancak bunu kendi yazacağım programla yapmak istiyorum. Bu konuda detaylı makaleler yok pek, eğer yardımcı olmak isterseniz mailime gönderirseniz sevinirim.
mukemmel bir bilgi. ellerinize sağlık.
sayın hocam, affınıza sığınarak çok uzun suredir merak eetiğim bir konu hakkında soru sormak istiyorum.Bilginizi paylaşırsanız sevinirim.
Hping ile ip spoof yapılabildiğini verdiğiniz örnekler ve açıklamar ile öğrenmiş oldum. Fakat şununu anlayamadım. Hping ile ip mi spoofladım, spoofladığım bu ip ile örnek irc sunucuna bağlanmak istiyorum veya bu ip ile whatismyip sitesine bağlanıp görmek istiyorum. Ne kullanmalıyım, ilk aklıma gelen netcat oldu fakat hping te uyarladığım ip mi netcate nasıl yorumlatıp bağlanmalıyım.
IP spoofingi TCP bağlantıları için ancak bağlantı başlangıcında yapabilirsiniz. Sonrası için seq. numaralarını tahmin etmeniz, spoof ettiğiniz asıl ip adresini devre dışı bırakmanız gibi günümüz internet dünyasında pratik olarak mumkun olmayacak seyler gerekiyor.
1 hafta önce mynet gibi bir alanda tartışma gurplarında sohbet ederken bir user bunu yapabildi. Whois çekerek ip sini izlememi istedi.
Gördüğüm şeye inanamadım.ondan herhangi bir dosya almadığım halde ve sisteme win live cd ile bağlandığım halde Baştan benim wan ip’im ile bana cevap yazdı.Daha sonra benim istediğim 3 farklı ipye geçti.Açıklama yapmasını istedimde bilgi vermedi.Bir haftadır bu konuyu araştırıyorum ama net bilgi bulamdım. Sanırım natcad nc_addr komutu kullanarak spoof yaptı. Hping sadece syn atack yapabiliyor, sürekli bağlantı oluşturamıyor.
zaman ayırdığınız için teşekkürler. Yazılarınızın devamını bekliyoruz.
UDP üzerinden yapabilir ama TCP üzerinden yapamaz.
Bağlantıyı farklı IP adresinden yapabilmesi için sıra numalarını tahmin etmesi lazım. Bu devirde sıra numarası tahmin edilebilir bir isletim sistemi kalmadı.
Paket inceleme/olusturma araclari seruvenimize “Nemesis” ile devam ediyoruz. Kulaklarimda ” ya bu adamda oyuncak sandi TCP/IP’yi her gun oynuyor” sozlerini isitiyor gibiyim:).
Mrb. Ben de ağdaki yada local pcemdeki TCP paketleriyle oynama yapmak istiyorum. Ancak bunu kendi yazacağım programla yapmak istiyorum. Bu konuda detaylı makaleler yok pek, eğer yardımcı olmak isterseniz mailime gönderirseniz sevinirim.
Scapy’i inceleyebilirsiniz.
mukemmel bir bilgi. ellerinize sağlık.
sayın hocam, affınıza sığınarak çok uzun suredir merak eetiğim bir konu hakkında soru sormak istiyorum.Bilginizi paylaşırsanız sevinirim.
Hping ile ip spoof yapılabildiğini verdiğiniz örnekler ve açıklamar ile öğrenmiş oldum. Fakat şununu anlayamadım. Hping ile ip mi spoofladım, spoofladığım bu ip ile örnek irc sunucuna bağlanmak istiyorum veya bu ip ile whatismyip sitesine bağlanıp görmek istiyorum. Ne kullanmalıyım, ilk aklıma gelen netcat oldu fakat hping te uyarladığım ip mi netcate nasıl yorumlatıp bağlanmalıyım.
teşekkürler.
IP spoofingi TCP bağlantıları için ancak bağlantı başlangıcında yapabilirsiniz. Sonrası için seq. numaralarını tahmin etmeniz, spoof ettiğiniz asıl ip adresini devre dışı bırakmanız gibi günümüz internet dünyasında pratik olarak mumkun olmayacak seyler gerekiyor.
1 hafta önce mynet gibi bir alanda tartışma gurplarında sohbet ederken bir user bunu yapabildi. Whois çekerek ip sini izlememi istedi.
Gördüğüm şeye inanamadım.ondan herhangi bir dosya almadığım halde ve sisteme win live cd ile bağlandığım halde Baştan benim wan ip’im ile bana cevap yazdı.Daha sonra benim istediğim 3 farklı ipye geçti.Açıklama yapmasını istedimde bilgi vermedi.Bir haftadır bu konuyu araştırıyorum ama net bilgi bulamdım. Sanırım natcad nc_addr komutu kullanarak spoof yaptı. Hping sadece syn atack yapabiliyor, sürekli bağlantı oluşturamıyor.
zaman ayırdığınız için teşekkürler. Yazılarınızın devamını bekliyoruz.
saygılar
UDP üzerinden yapabilir ama TCP üzerinden yapamaz.
Bağlantıyı farklı IP adresinden yapabilmesi için sıra numalarını tahmin etmesi lazım. Bu devirde sıra numarası tahmin edilebilir bir isletim sistemi kalmadı.
Huzeyfe ONAL
January 8th, 2011
IP spoofingi TCP bağlantıları için ancak bağlantı başlangıcında yapabilirsiniz.
Peki bunu nasıl yapabiliriz
UDP uzerinden IRC serverda oturum açabilirmi,ip spoof edip yazışabilirmi ki. Bu adam bunu nasıl yapıyor cıldırdım yaf bulamadım 😀