tcpdump’i saldiri tespit sistemi olarak kullanma

idsm.jpg
Tcpdump basit bir paket yakalama aracıdır fakat TCP/IP’ye hakim bir göz tcpdump ve sağladığı gelişmiş filtreleme özelliklerini kullanararak ortamdaki anormal paketleri bir IDS gibi belirleyebilir. Mesela Nmap tarafından yapılan çoğu tarama tcpdump ile yakalanabilir, ya da işletim sistemi saptama programları, firewallking deneyimleri vs tcpdump’ın gelişmiş filtreleme özellikleri ile kolaylıkla tanımlanabilir.

Mesela LAND atagini( hedef ip ve kaynak ipsi ayni olan paketler) yakalamak icin asagidaki gibi bir filtrel ise yarayacaktir.

#tcpdump ‘ip[12:4] = ip[16:4]’

TTL Değeri 2’den az olan paketleri Yakalama(traceroute vs)

# tcpdump -i ste0 ‘ip[8] < 2’

Benzer sekilde bu tip gelismis filtrelere kullanilarak port tarama araclarinin yaptigi taramalar/tarama turleri kolaylikla belirlenebilir.

Tcpdump kullanarak Port Tarama Araçlarını Belirleme

Port tarama araçlarının kendilerine özgü imzaları vardır. NIDS gibi sistemler tarama yapan araçları bu imzalarından tanıyarak alarm üretirler. Bu imzalar neler olabilir; mesela nmap port tarama yaparken kaynak portlarını sabit tutar, hping ise birer arttırır, nmap’in gonderdigi paketlerin window size’i(-sS icin 2048 gibi) normal uretilen paketlerden farklidir.

Nmap ile port tarama:
# nmap -P0 -sS localhost -p 23-26

Starting Nmap 4.20 ( http://insecure.org ) at 2008-01-09 18:13 CST
Interesting ports on localhost (127.0.0.1):
PORT STATE SERVICE
23/tcp closed telnet
24/tcp closed priv-mail
25/tcp closed smtp

Nmap finished: 1 IP address (1 host up) scanned in 0.047 seconds

Tcpdump ciktisi:
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 96 bytes
IP 127.0.0.1.38083 > 127.0.0.1.25: S 2234071620:2234071620(0) win 2048 <mss 1460>
IP 127.0.0.1.25 > 127.0.0.1.38083: R 0:0(0) ack 2234071621 win 0
IP 127.0.0.1.38083 > 127.0.0.1.23: S 2234071620:2234071620(0) win 1024 <mss 1460>
IP 127.0.0.1.23 > 127.0.0.1.38083: R 0:0(0) ack 2234071621 win 0
IP 127.0.0.1.38083 > 127.0.0.1.26: S 2234071620:2234071620(0) win 2048 <mss 1460>
IP 127.0.0.1.26 > 127.0.0.1.38083: R 0:0(0) ack 2234071621 win 0
IP 127.0.0.1.38083 > 127.0.0.1.24: S 2234071620:2234071620(0) win 2048 <mss 1460>
IP 127.0.0.1.24 > 127.0.0.1.38083: R 0:0(0) ack 2234071621 win 0

Hping ile paket uretme
# hping -S localhost -p 23
HPING localhost (lo 127.0.0.1): S set, 40 headers + 0 data bytes

Tcpdump ciktisi:
18:17:19.060455 IP 127.0.0.1.2599 > 127.0.0.1.23: S 1381047247:1381047247(0) win 512
18:17:19.060866 IP 127.0.0.1.23 > 127.0.0.1.2599: R 0:0(0) ack 1381047248 win 0
18:17:20.063012 IP 127.0.0.1.2600 > 127.0.0.1.23: S 1620447159:1620447159(0) win 512
18:17:20.063037 IP 127.0.0.1.23 > 127.0.0.1.2600: R 0:0(0) ack 1620447160 win 0

tcpdump ciktisindaki kaynak port numaralari izlenirse birer arttigi gozlenebilir.

Hping ile port taramasi:

# hping –scan 23-25 localhost
Scanning localhost (127.0.0.1), port 23-25
3 ports to scan, use -V to see all the replies
+—-+———–+———+—+—–+—–+—–+
|port| serv name | flags |ttl| id | win | len |
+—-+———–+———+—+—–+—–+—–+
All replies received. Done.
Not responding ports:

tcpdump ciktisi:

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on lo, link-type EN10MB (Ethernet), capture size 96 bytes
18:10:30.009583 IP localhost.2072 > localhost.telnet: . win 512
18:10:30.011191 IP localhost.telnet > localhost.2072: R 0:0(0) ack 618773858 win 0
18:10:30.011803 IP localhost.2072 > localhost.24: . win 512
18:10:30.012269 IP localhost.24 > localhost.2072: R 0:0(0) ack 665490122 win 0
18:10:30.012899 IP localhost.2072 > localhost.smtp: . win 512
18:10:30.012916 IP localhost.smtp > localhost.2072: R 0:0(0) ack 1225157431 win 0

gorulecegi gibi hping de tarama modunda calisirken kaynak port numarasini sabit tutar ama taramalarda kullandigi window size’i Nmap’den farklidir.

This entry was posted in Network Security. Bookmark the permalink.

2 Responses to tcpdump’i saldiri tespit sistemi olarak kullanma

  1. Sdr129 says:

    Merhaba, NIDS türünde yazılımlar gibi anlık alarm üretmesi için ayarlanabilir mi? Yoksa tutulan loglar üzerinde bir analizden mi bahsediyoruz?

  2. meTo says:

    merhaba hüzeyfe abi
    konuyla çok ilgili gözükmese de benim size bir kaç sorum olacaktı..
    nmap olsun ethereal olsun bu tip ağ araçlarının kullanımını summarize eden bir tutorial, book tavsiye edebilirmisiniz???
    başka bir sorum daha olacaktı size.
    uhm diyelim X, Y ve C adlı 3 makina var. Y ve C aynı ağda olsunlar. Y, X’e ssh üzerinden bağlanabiliyor ama C’nin X’e erişim izni yok. C makinasındaki biri X’in Y’ye ssh üzerinden bağlanabildiğini nasıl anlayabilir? ya da şöyle diyelim. C makinasındaki biri X ağındaki firewall’un Y makinasına atadığı erişim izinlerini nasıl tespit edebilir? nemesis diye bir araç duydum ama incelemeye vaktim olmadı. TCP/IP’nin doğasında bu tip zafiyetlere yer varmıdır?
    teşekkür ederim
    iyi çalışmalar

Leave a Reply

Your email address will not be published. Required fields are marked *

20 + 13 =