Uygulamalı Ağ Güvenliği Eğitim Notları - 2014

1. @BGASecurity
BGA | TCP IP
@BGASecurity
Uygulamalı Ağ Güvenliği Eğitimi
-2014-

2. @BGASecurity
BGA | TCP IP
@BGASecurity
BGA Bilgi Güvenliği A.Ş
BGA Security Hakkında
BGA | Hakkında
Siber güvenlik dünyasına yönelik, yenilikçi
profesyonel çözümleri ile katkıda bulunmak
amacı ile 2008 yılında kurulan BGA Bilgi
Güvenliği A.Ş. stratejik siber güvenlik
danışmanlığı ve güvenlik eğitimleri konularında
büyük ölçekli çok sayıda kuruma hizmet
vermektedir.
Gerçekleştirdiği vizyoner danışmanlık projeleri
ve nitelikli eğitimleri ile sektörde saygın bir yer
kazanan BGA Bilgi Güvenliği, kurulduğu günden
bugüne kadar alanında lider finans, enerji,
telekom ve kamu kuruluşları ile 1.000'den fazla
eğitim ve danışmanlık projelerine imza atmıştır.
ARGE
EĞİTİM
MSSP
PENTEST
SOME / SOC
SECOPS

3. @BGASecurity
BGA | TCP IPEğitim Hakkında
• Ağ=TCP/IP = İletişimin Temeli
• Güvenlikle ilgili her konu temelinde TCP/IP’ye dayanır
• Nasıl?
• Networking & Security sertifikasyonları TCP/IP öğretmez
• Uygulamalı Ağ Güvenliği Eğitimi: Ağ kavramının temelini oluşturan TCP/IP’nin güvenlik açısından incelenmesi
ve güvenlik zaafiyetlerinin uygulamalı olarak gösterildiği eğitimdir.

4. @BGASecurity
BGA | TCP IPBilgi Güvenliği AKADEMİSİ

5. @BGASecurity
BGA | TCP IPParola:Ezber Değil Mantık

6. @BGASecurity
BGA | TCP IPDers Program
Gün/DERS
• 09:30-11:15 I.ders
• 11:15-11:30 Ara
• 11:30-12:45 II.ders
• 12:45-13:15 Yemek arasI
• 13:15-15:00 III.ders
• 15:00-15:15 Ara
• 15:15-17:00 IV. ders

7. @BGASecurity
BGA | TCP IPEğitim İçeriği
• Temel Ağ Bilgisi
• Temel TCP/IP ve Protokol Bilgisi
• Sniffer Kavramı ve Sniffer Araçları
• L2, L3, L4, L7 Protokolleri ve Güvenlik Zaafiyetleri
• ARP
• IP/ICMP
• UDP/TCP
• DNS/HTTP/HTTPS
• DoS/DDoS Saldırıları
• TCP/IP’ye Aykırı Durumlar

8. @BGASecurity
BGA | TCP IP
@BGASecurity
Bölüm-I
Ağ Temelleri

9. @BGASecurity
BGA | TCP IPOSI KATMANI ve İŞLEVLERİ
• Networking’e giriş derslerinin vazgeçilmez klasiği :OSI Katmanı
• Network ürünlerinin birbirleri ile sağlıklı haberleşmesini isteyen üreticilerin International Standards Organization (ISO)
aracılığı ile çıkardığı ve uyduğu bir yapıdır.

10. @BGASecurity
BGA | TCP IPTCP/IP Protokol Ailesi
• 1982 yılında Department of Defense (DoD) tarafından askeri iletişim amaçlı kullanılmaya başlanmıştır.
• Internetin ortaya
• çıkmasına vesile olan
• protokol ailesi
• 4 Katmandan oluşur

11. @BGASecurity
BGA | TCP IPTCP/IP Protokol Ailesi-II
Application
Transport
Network
Link
Application protocol
TCP protocol
IP protocol
Data
Link
IP
Network
Access
IP protocol
Data
Link
Application
Transport
Network
Link

12. @BGASecurity
BGA | TCP IPVeri Formatları
TCP/IP’de her katmandaki veriler farklı isimlendirilir.
Application
Transport (TCP, UDP)
Network (IP)
Link Layer
Application message - veri
TCP veri TCP veri TCP veri
TCP Başlığı
veriTCPIP
IP Başlığı
veriTCPIPETH ETF
Link (Ethernet)
Başlığı
segment
packet
frame
message

13. @BGASecurity
BGA | TCP IPTemel Ağ Cihazları
HUB
SWITCH
ROUTER
BRIDGE
TAP

14. @BGASecurity
BGA | TCP IPHUB
• En temel Ağ bileşeni
• Herhangi bir portuna gelen veriyi diğer tüm portlara aktarır.(Repeater)
• Tek başına bir collision domaindir.
• Günümüzde tercih edilmemektedir.
• Performans açısından HUBlar
• Güvenlik açısından HUB’larin incelenmesi

15. @BGASecurity
BGA | TCP IPSwitch
• HUB+Bridge+cesitli yenilikler...
• L2, MAC adres tabanlı çalışma yapısına sahiptir.
• Her porta ait MAC adresi kayıtları tutulur.
• Herhangi iki porttaki iletişim anahtarlama yöntemi ile konuşturulur.
• Her port bir collision domaindir.
• Temel iletim yöntemleri:
• Cut-through: Gelen frameden sadece dest mac bilgisi alinarak hedefe iletilir. Hizli
• Store-and-forward: Tüm frame beklenir ve sonra gönderilir.(Integrity verification)
• Güvenilir.
• Performans ve güvenlik açısından switch

16. @BGASecurity
BGA | TCP IPBridge
• Köprü Vazifesi
• Bir ağa ait segmentleri birleştirmek amaçlı kullanılır.(Çıkış amacı)
• Her ayak kendi baktığı segmenti tanır.
• Bir ayaktaki bilgi diğer ayakla paylaşılır.
• Günümüzdeki kullanım alanları
• Görünmez Güvenlik duvarları
• Trafik izleme
• Linux/BSD sistemlerin bridge özelliği

17. @BGASecurity
BGA | TCP IPRouter(Yönlendirici)
• Switch fiziksel agları birbirine bağlar, router logic agları.
• Layer 3 , ip paketleri ile çalışır.
• Paketlerin nerelere gönderileceğini belirler.
• Sınır Güvenliğinde
• önemli yere sahiptir.
Ø DoS saldırıları
• MAC seviyesi broadcast
• paketleri geçirmez.

18. @BGASecurity
BGA | TCP IPTAP
• TAP = Traffic Access Point
• Paket çoğullayıcı
• Donanımsal
• Sniffer/IDS Kullanımında yaygın

19. @BGASecurity
BGA | TCP IPTAP Kullanımı
• En sık sniffer yerleşiminde tercih edilir
• IDS(Saldırı Tespit Sistemi) için zorunluluk
• Trafik analizi, izleme amaçlı
• Compliance, DLD(Data Leakage Detection)
• SPAN işleminin sınırlı sayıda olması
Ø Network yöneticileri SPAN alır, güvenlikciler analiz yapacak yer bulamaz.
Ø Inline ya da pasif olabilir.

20. @BGASecurity
BGA | TCP IPTemel Güvenlik Sistemleri
• Router(Yönlendirici)
• Firewall(Güvenlik Duvarı)
• IPS(Saldırı Engelleme Sistemi)
• Anti-Spam/Virus Gateway
• Web Uygulama Güvenlik Duvarı
• “İnsan faktörü”

21. @BGASecurity
BGA | TCP IPIP Adresleri
• Formatı "A.B.C.D" her harf bir BYTE olacak şekilde=32 Bit
• IP Adres Sınıfları
Ø A sınıfı Network : A.0.0.0
Ø B Sınıfı Network : A.B.0.0
Ø C Sınıfı Network : A.B.C.0
• Broadcast adresler:
Ø 255.255.255.255
Ø A.B.C.255
• Özel Durum
Ø 0.0.0.0 ve A.B.C.0 broadcast olarak değerlendirilir ya da işleme tabi tutulmaz

22. @BGASecurity
BGA | TCP IPDiğer IP Adres Sınıfları
• Multicast (D Sınıfı)
Ø 224.0.0.0 to 239.255.255.255
• E sınıfı (Deneysel amaçla ayrılmış)
Ø 240.0.0.0 to 254.255.255.255

23. @BGASecurity
BGA | TCP IPCIDR Adresleri
• Classless Inter-Domain Routing
Ø Eski tip sınıflandırma (A, B, C ) esnek değil
Ø X.y.z.t/25 gibi bir networke sahip olamazsınız.
Ø CIDR bu esnekliği sağlar
• W.X.Y.Z/B
Ø B network adresini belirleyen değer
Ø /8 is class A
Ø /16 is class B
Ø /24 is class C

24. @BGASecurity
BGA | TCP IPÖzel Networkler(FRC 1918)
• Yönlendirme Yapılmayan Özel networkler
Ø 192.168.0.0
Ø 172.16.0.0
Ø 10.0.0.0
• Loopback network
Ø 127.0.0.0

25. @BGASecurity
BGA | TCP IPSubnet Calculator
• İpcalc
• Online “subnet calculator” hizmeti

26. @BGASecurity
BGA | TCP IPipcalc:Komut satırı subnet hesaplayıcı

27. @BGASecurity
BGA | TCP IPİkili ve Onluk Sistemde IP Adresleri
• 2’lik sayı sistemi
• Binary digits (bits): 0 ve1
• Byte
ØByte=8 bit
Ø28 = 256 farklı değer
ØIP adresi hex değeri decimal değeri binary değerini çevrim için çeşitli
programlar kullanılabilir(Google search’den)

28. @BGASecurity
BGA | TCP IPÖrnek
• Her basamak 2‘’nin katları şeklinde hesaplanır
ØEn sağdaki bit genelde en değersiz bit’dir.
• 1011’in 10’luk sayı sistemine çevrimi
Ø1 x 20 = 1
Ø1 x 21 = 2
Ø0 x 22 = 0
Ø1 x 23 = 8
v1 + 2 + 8 = 11 (decimal değeri)

29. @BGASecurity
BGA | TCP IPNibble Kavramı
• Nibble = 4 bit =1/2 Byte
• Ne işe yarar?
Øİkili düzende yazılı byte değerlerini okumayı kolaylaştırma amaçlı
Ø1111 1010
• Bileşenleri
ØHigh-order nibble (sol taraftaki dörtlü)
ØLow-order nibble (sağ taraftaki dörtlü)

30. @BGASecurity
BGA | TCP IPNibble Örnek
• 1010 1010 Nibble değerlerini onluk sayı sistemine çevirme
• Low-order nibble
Ø1010 = 10 (10 tabanında)
• high-order nibble 16 ile çarp
Ø1010 = 10 x 16 = 160 (10 tabanında)
• 160 + 10 = 170 (10 tabanında)
• 0x2^0=0 0x2^4=0
• 1x2^1=2 1x2^5=32
• 0x2^2=0 0x2^6=0
• 1x2^3=8 1x2^7=128

31. @BGASecurity
BGA | TCP IPHexadecimal
• 16 sayı tabanı kullanılır
• 0-15 arası sayılar kullanılır
• Hex sayılar iki karekterden oluşur
• Her karekter bir Nibble olarak değerlendirilir
• A-F arası alfabetik değerler kullanılır
ØA =10 ve F =15
• Genellikle “0x” önekiyle kullanılır

32. @BGASecurity
BGA | TCP IPA-F Arası HEX Değerleri
• A=10
• B=11
• C=12
• D=13
• E=14
• F=15

33. @BGASecurity
BGA | TCP IP
@BGASecurity
Bölüm-IITCP/IP Giriş

34. @BGASecurity
BGA | TCP IPTCP/IP Giriş
• TCP/IP, iletişim dünyasının alfabesi
• Router, Firewal, Intrusion Detection System vs gibi kavramların temeli

35. @BGASecurity
BGA | TCP IPInternet
Backbone
ISP
ISP
• Temel Internet Protokolleri
– TCP/IP -> Yönlendirme ve bağlantı
– BGP -> yönlendirme anonsları
• Domain Name System
– Alan adlarından(www.bga.com.tr) IP bulma

36. @BGASecurity
BGA | TCP IPMac Adresi
• Layer 2 için iletişim adresleri
• Yerel ağlarda iletişim MAC adresleri üzerinden gerçekleşir
• 48 bitlik adreslerdir
• 1 byte=8bit
• İlk üç byte üretilen firmayı gösterir
• Kolaylıkla değiştirilebilir
Firma Bilgisi
Sizin mac
adresiniz hangi
firmaya ait?

37. @BGASecurity
BGA | TCP IPMac Adresi Ne işe Yarar?
• Mac adresleri yerel ağlarda iletişim amaçlı kullanılan en temel bileşendir.
• Mac adres spoofing yapılmamış bir saldırıda gerekli loglar tutulmuşsa;
ØMac adresinden marka belirlenir
ØMarka ile iletişime geçilip nerede satıldığı belirlenir
ØEn ücra köşede de olsanız suçlu bulunabilir
• Mac adresleri basittir ama Network Forensics çalışmalarında çok işe yarar.
• Mac adresleri spoof edilebilir

38. @BGASecurity
BGA | TCP IPMAC Adresinden Üretici Bulma
Sizin mac
adresiniz hangi
firmaya ait?

39. @BGASecurity
BGA | TCP IPMAC Adresi Değiştirme
• MAC Spoofing olarak da adlandırılır
• Linux/UNIX/windows sistemlerde MAC adresleri basit yazılımlar aracılığıyla değiştirilebilir.
• Sistem yeniden başladığında MAC adresi eski haline dönecektir.
ØEk yazılımlarla sistem yeniden açıldığında sahte MAC adresleri otomatik olarak aldırılabilir.

40. @BGASecurity
BGA | TCP IPWindows MAC Adresi Değiştirme
• Windows sistemlerdeki ağ cihazlarının MAC adresleri
ØAğ arabirimi özelliklerinden
ØRegistry ayarlarından
ØÖzel programlar aracılığıyla değiştirilebilir

41. @BGASecurity
BGA | TCP IPLinux MAC Adresi Değiştirme
• İki farklı şekilde yapılabilir
Ø İfconfig
Ø Yardımcı program(macchanger) aracılığıyla
ifconfig eth0 down
ifconfig eth0 hw ether 00:10:10:10:10:01
ifconfig eth0 up

42. @BGASecurity
BGA | TCP IPMAC Adres Çakışması
• Bir ağda aynı mac adresine sahip iki sistem olursa
Ø Normal bir durum değil, mac spoofing yapılıyor olabilir.
Ø Trafiğin belirli bir oranı bir sisteme , belirli bir oranı diğer sisteme gider

43. @BGASecurity
BGA | TCP IPIP Adresi
• Layer 3 için adres bilgisi
• Routing kavramının temeli
• 32 bit
ØUnicast IP adresleri
ØMulticast IP adresleri
ØBroadcast IP adresleri

44. @BGASecurity
BGA | TCP IPIP Adresi-II
• Internet servis sağlayıcılar tarafından atanır
ØKendi isteğinize göre bir IP adresi belirleyip internete çıkamazsınız!
• Internette IP adresleri tektir(uniq)
• NAT arkasındaki sistemler aynı ip adresine sahip olabilirler ama internete çıkarken tek bir ip adresine sahip olmak
gerekir.

45. @BGASecurity
BGA | TCP IPPort Kavramı
• Bilgisayar dünyasında farklı amaçla kullanılan iki port tanımı vardır:
• Seri/Paralel Portlar:Bilgisayarlar ya da elektronik cihazlar arasındaki veri haberleşmesini sağlayan fiziksel portlar
• TCP/IP Portları: Bilgisayarlar arası sanal iletişim için kullanılan kapılar

46. @BGASecurity
BGA | TCP IPSık Kullanılan Portlar
TCP Port
Sayısı:65535
UDP Port
Sayısı:65535

47. @BGASecurity
BGA | TCP IPPort Sınıflandırmaları
• ICANN trafından Belirlenmiş standarta göre:
• Well known ports ( 0-1023)
• Registered Ports (1024-49152)
• Dynamic Ports (49152-65535)

48. @BGASecurity
BGA | TCP IPSık Kullanılan Protokoller
ARP
RARP
IP
ICMP
TCP
UDP
HTTP
DNS
SMTP
DHCP
HTTPS
Layer 3Layer 2 Layer 4 Layer 7

49. @BGASecurity
BGA | TCP IPBir Paketin Yaşam Döngüsü
GET www.lifeoverip.net

50. @BGASecurity
BGA | TCP IPI.Adım-ARP İstek

51. @BGASecurity
BGA | TCP IPII.Adım-ARP Cevap

52. @BGASecurity
BGA | TCP IPIII.Adım-DNS Sorgusu

53. @BGASecurity
BGA | TCP IPIV.Adım-DNS Cevabı

54. @BGASecurity
BGA | TCP IPV.Adım-TCP(SYN)

55. @BGASecurity
BGA | TCP IPVI.Adım-TCP(SYN+ACK)

56. @BGASecurity
BGA | TCP IPVII.Adım-TCP(ACK)

57. @BGASecurity
BGA | TCP IPVIII.Adım-HTTP(GET /)

58. @BGASecurity
BGA | TCP IPIX.Adım-Bağlantı Sonlanması

59. @BGASecurity
BGA | TCP IP
@BGASecurity
Bölüm-IIITrafik Analizi, Sniffing

60. @BGASecurity
BGA | TCP IPTrafik Analizi, Sniffing
• Temel Kavramlar
• Paket, Protokol Kavramları
• Sniffing
• Sniffing'e Açık Protokoller?
• Sniffing Çeşitleri
• Aktif Sniff / Pasif Sniff
• Ortama Göre Sniffer Yerleşimi
• Sniffing Amaçlı Kullanılan Araçlar
• Network Data Carving

61. @BGASecurity
BGA | TCP IPTemel Kavramlar
• Inline/Pasif Yerleşim
• Ethernet Çalışma modları
Ø Unicast paketler
Ø Multicast paketler
Ø Broadcast paketler
Ø Promiscious mode
• Snifferlar genelde promiscious modda çalışır.
• # ifconfig eth0 –promisc
• Komutu arabirimi Linux ağ arabirimini promisc modda çıkarır

62. @BGASecurity
BGA | TCP IPInline/Pasif Yerleşim
• Inline:Trafiği üzerinden geçiren sistem
• Pasif: Trafiğin bir kopyasını alan sistem
Inline Yerleşim
Pasif Yerleşim

63. @BGASecurity
BGA | TCP IPPaket Kavramı
• İletişim == paket
• Ne işe yarar?
ØBilinmeyen Protokol Analizi
ØAg trafiği başarım ölçümü
ØAnormal trafik gözleme
ØFirewall/IDS/IPS altyapısı anlama, yönetme
• TCP, UDP Paketleri
• Protokoller
ØSMTP, FTP, P2P trafiği nasıl ayırt edilir
Øhttp://l7-filter.sourceforge.net/protocols
imap ^(* ok|a[0-9]+ noop)

64. @BGASecurity
BGA | TCP IPEthernet Kartlarında Filtreleme
• Gelen donanım adresine göre ethernet kartları çeşitli filtreler uygular
• Paket
ØMakinenin kendi donanım adresine(MAC) geliyor olabilir
ØBroadcast’e gönderiliş olabilir
ØMulticast bir adrese gönderilmiş olabilir

65. @BGASecurity
BGA | TCP IPUNICAST
• Unicast- > Kendi adresine gelen paketler
To 00:11:22:33:44:55
Pass
NIC 00:11:22:33:44:55
To 00:11:22:33:44:01
Reject

66. @BGASecurity
BGA | TCP IPBROADCAST
• Broadcast -> Broadcast adresine gelen paketler
To FF:FF:FF:FF:FF:FF
Pass
NIC 00:11:22:33:44:55

67. @BGASecurity
BGA | TCP IPMULTICAST
• Multicast-> üye olunan multicast gruba ait paketler.
To 01:00:5e:00:00:01
Pass
NIC 00:11:22:33:44:55
To 01:00:5e:00:00:02
Reject
Üye Olunmuş
Multicast Listesi
01:00:5e:00:00:01
01:00:5e:00:00:03

68. @BGASecurity
BGA | TCP IPMULTICAST (TÜM)
• 01 ile başlıyorsa tüm multicast gruplara demektir.
To 01:00:00:00:00:01
Pass
NIC 00:11:22:33:44:55
To 02:00:00:00:00:01
Reject

69. @BGASecurity
BGA | TCP IPPROMISCIOUS
• Promiscious -> Gelen paketin ne olduğuna bakmadan kabul edildiği durum.
To xx:xx:xx:xx:xx:xx
Pass
NIC 00:11:22:33:44:55

70. @BGASecurity
BGA | TCP IPLayer 2 İletişim Ortamları
• HUB
• Switch
• Bridge

71. @BGASecurity
BGA | TCP IPSniffing
• Ağ trafiği dinleme/izleme/takip
• Şifreli/şifresiz protokoller
• Sniffingde Amaç?
ØGood/Admins = “Protocol Analysis”
ØBad/Hackers = “Sniffing The Wire”
ØDevelopers = “Is My Application Working
Google’dan

72. @BGASecurity
BGA | TCP IPSniffing’e Açık Protokoller
• Sniffing’e açık:İçerisinde taşıdığı veri okunabilir, şifrelenmemiş trafik
• Hemen hemen tüm protokoller
ØTelnet, Rlogin
ØHTTP/FTP
ØSMTP/POP/IMAP
• Güvensiz Protokollerin güvenli kullanımı
ØSSL Wrapper
• SSH v1, v2 özel durum
• RDP’ye özel durum
Internette en sık kullanılan 10 port

73. @BGASecurity
BGA | TCP IPSMTP Bağlantısı
Sniffer
SMTP
Bağlantısı

74. @BGASecurity
BGA | TCP IPSMTP Bağlantısı Detaylar
#mailsnarf –i rl0

75. @BGASecurity
BGA | TCP IPTelnet Bağlantısı

76. @BGASecurity
BGA | TCP IPFTP Bağlantısı

77. @BGASecurity
BGA | TCP IPSQL Bağlantısı

78. @BGASecurity
BGA | TCP IPDsniff
• UNIX tabanlı hassas bilgi toplayıcısı(sniffer)
• Desteklediği protokoller
Ø FTP, Telnet, SMTP, HTTP, POP, poppass, NNTP, IMAP, SNMP, LDAP,Rlogin, RIP, OSPF, PPTP MS-CHAP, NFS, VRRP, YP/NIS, SOCKS,
X11, CVS, IRC, AIM, ICQ, Napster, PostgreSQL, Meet-ing Maker, Citrix ICA, Symantec pcAnywhere, NAI Sniffer, Microsoft SMB,
Oracle SQL*Net, Sybase and Microsoft,SQL protocols.

79. @BGASecurity
BGA | TCP IPKaydedilmiş Trafik Üzerinde Dsniff
• Dsniff hem akan trafik üzerinden hassas bilgileri çıkarabilir
• Hem de kaydedilmiş trafiği okuyarak hassas bilgileri ayıklayabilir
• #dsniff –n –r kayit_trafik.pcap

80. @BGASecurity
BGA | TCP IPUrlsnarf
• Dinlemede olan ağ arabirimi üzerinden geçen HTTP trafiğindeki URL’leri ekrana basar.
• Pasif URL loglama amaçlı kullanılabilir.

81. @BGASecurity
BGA | TCP IPMailsnarf
Dinlemede olan ağ arabirimi üzerinden geçen SMTP
bağlantılarını çözümleyerek anlaşılır formatta
ekrana basar

82. @BGASecurity
BGA | TCP IPTrafik Analizi
• Snifferların bir amacı da trafik analizi gerçekleştirmektir.
• Ağda hangi port, protokol daha fazla kullanılıyor bilgisi
özelleştirilmiş bir sniffer yazılımıyla alınabilir
• Tcpdstat UNIX/Linux sistemler için port/protokol kullanım
oranlarını bulmak için kullanılabilecek bir araçtır.

83. @BGASecurity
BGA | TCP IPAğ Trafiğinde Şifreleme
• Amaç: Ortamda trafiği izleyen meraklı gözlerden korunmak.
• Çoğu protokol şifreleme özelliği içermez
• Internetin %90 trafiği şifresiz protokollerden oluşmaktadır.
• SSL Sarmal yazılılımları kullanarak doğasında şifresiz olan protokollere şifreleme özelliği eklenebilir
• Ağ trafiğinde şifreleme günümüz güvenlik önlem ve engellemelerinin çoğunu atlatabilir
• Güvenlikciler için olduğu kadar hackerlar için de sık tercih edilen yöntemlerden birisidir.

84. @BGASecurity
BGA | TCP IPSSL Sarmalayıcı ile Şifreli Trafik
Stunnel
İstemci Sunucu
SSL Sarmalayıcı Şifreli Trafik
SSL Sarmalayıcı
Açık Trafik Açık Trafik

85. @BGASecurity
BGA | TCP IPStunnel Yapılandırması
995. Porta gelen şifreli istekleri al, şifrelemeyi
çöz ve 110. portta çalışan uygulamaya teslim
et.

86. @BGASecurity
BGA | TCP IPŞifrelemenin Avantajları
• Veriyi sadece şifreleme anahtarını bilen taraflar okuyabilir
• Transfer edilen verinin bütünlüğü sağlanabilir(ek mekanizmalarla)
• Hedef sistemin gerçekten iletişime geçilmek istenen taraf olduğu kontrol edilebilir

87. @BGASecurity
BGA | TCP IPŞifrelemenin Dezavantajları

88. @BGASecurity
BGA | TCP IPSniffing Çeşitleri
• Pasif Sniffing
• Hedef sistemle iletişime geçilmez!
• Sniffing’e dair iz bulunamaz
• HUB kullanılan ortamlarda
• Aktif Sniffing
• Hedef sistemle iletişime geçilir
• Arkasında iz bırakır
• Switch kullanılan Ağlarda yaygındır

89. @BGASecurity
BGA | TCP IPPasif Sniffing
• HUB/TAP kullanılan ortamlarda işe yarar
• Ortama dahil olan her sistem dolaşan tüm paketleri alır
• Promiscious modda olanlar paketleri kabul eder/kaydeder.
• Sık Kullanılan Araçlar:
• Tcpdump, Wireshark, Snort, Dsniff, Tshark

90. @BGASecurity
BGA | TCP IPAktif Sniffing
• Amaç: trafiği dinlenecek sistemin paketlerini üzerinden geçirme ya da kopyasını almak.
• Switch / HUB Farkını hatırlayalım
• Yöntemleri
ØMAC Flooding
ØARP Spoofing/Poisoning
ØIcmp redirect
• Aktif Sniffing Araçları
ØArpspoof(Dsniff)
ØEttercap
ØCain&Abel
ØMacof
• Kolay Yakalanabilir(?)

91. @BGASecurity
BGA | TCP IPSniffer Yerleşimi
• Ağ ortamının özelliğine göre Snifferların yerleşimi değişmektedir.
• TAP kullanılan ortamlarda
• HUB’lı ortamlarda
• Switch kullanılan ağlarda(Port mirroring)

92. @BGASecurity
BGA | TCP IPSniffing İçin HUB Kullanımı

93. @BGASecurity
BGA | TCP IPSniffing İçin TAP Kullanımı
Inline TAP Sistemi
Pasif TAP Sistemi

94. @BGASecurity
BGA | TCP IPSniffing İçin SPAN Port Kullanımı
• Switched Port Analyzer (SPAN)
• Port mirroring(aynalama), port monitoring olarak da adlandırılır
• Switch yapısının hubdan farklı olmasından dolayı düşünülmüş bir teknoloji
http://www.cisco.com/en/US/products/hw/swit
ches/ps708/products_tech_note09186a008015
c612.shtml

95. @BGASecurity
BGA | TCP IPSniffing Amaçlı Araçlar
• Tcpdump
• Snoop
• Tshark
• Wireshark
• Eeye IRIS
• Dsniff
• Snort

96. @BGASecurity
BGA | TCP IPSniffer Olarak Snort

97. @BGASecurity
BGA | TCP IPSniffer Olarak Snoop
• Solaris sistemler için sniffer programı
• Tcpdump benzeri kullanıma sahiptir.

98. @BGASecurity
BGA | TCP IPSniffer Olarak Eeye Iris

99. @BGASecurity
BGA | TCP IPEtherape

100. @BGASecurity
BGA | TCP IPAğda Sniffer Yakalama
• Tamamen pasifse yakalanamaz!
• Ağa çeşitli türde paketler göndererek sadece promiscious moddaki makinelerin
cevap vermesi sağlanabilir
• Promiscious mode= Sniffer çalıştıran makine denilebilir
• Nmap Scripting Engine kullanılarak bulunabilir
• Aynı broadcast domainde olma zorunluluğu vardır
• Ağ yapısına göre sağlıklı sonuç vermeyebilir!

101. @BGASecurity
BGA | TCP IPSniffer Yakalama
Amaç ağda sniffer çalıştıran sistemleri yakalama
Scapy
Kullanarak
http://www.bga.com.tr/araclar/detect_sniffer.py

102. @BGASecurity
BGA | TCP IPSniffer olarak Tcpdump
• UNIX Tabanlı popüler sniffer yazılımı
• Windows icin windump
• Libpcap tarafından alınan ham veriler tcpdump tarafından işlenerek okunabilir hale gelir.
• Tamamen ücretsiz bir yazılım.
• Sorun giderme , trafik analizi, hacking amaçlı kullanılabilir.

103. @BGASecurity
BGA | TCP IPTcpdump Kurulumu
• Linux dağıtımları ile birlikte gelir.
• Windows için Winpcap kurulu olmalıdır.
• Konsoldan
• Tcpdump komutunu calistirdiginizda hata vermiyorsa sistemede kurulu demektir.

104. @BGASecurity
BGA | TCP IPÖn Bilgiler
• Linux/UNIX altında tcpdump programını kullanabilmek için ya root haklarına sahip olmak lazım ya da tcpdump
programının suid olarak çalışması lazım.
• Tcpdump, paketleri kernel'a giriş-çıkış yapmadan yakalar bu sebeple iptables(Linux için) ile yazdığınız kurallar
tcpdump'ı etkilemez.

105. @BGASecurity
BGA | TCP IPTemel Kullanımı
• Tcpdump komut satırından çalışan bir araç olduğu için parametreler oldukça önemlidir.
• Uygun parametreler ve filtreler kullanılırsa yoğun trafikte bile istenilen amaca kolaylıkla ulaşılabilir.

106. @BGASecurity
BGA | TCP IPParametresiz Kullanım Örneği

107. @BGASecurity
BGA | TCP IPTcpdump Çıktı Analizi

108. @BGASecurity
BGA | TCP IPArabirim Seçimi

109. @BGASecurity
BGA | TCP IPİsim Çözümleme

110. @BGASecurity
BGA | TCP IPYakalanan Paketleri Kaydetme
• Tcpdump'ın yakaladığı paketleri sonradan incelemek üzere dosyaya yazılabilir.
• Dosya formatı libpcap uyumludur.
• -w parametresi kullanılır.
• -c ile kaç adet paket yakalanacağı
• -C ile kaydedilen dosyaların ne büyüklükte olacağı belirlenebilir.

111. @BGASecurity
BGA | TCP IPKaydedilmiş Paketleri Okuma
-w ile kaydettğimiz paketleri okumak içinde -r parametresini kullanılır.

112. @BGASecurity
BGA | TCP IPPaket Detaylarını Loglama
-v parametresi ile tcpump'dan biraz daha detaylı loglama yapmasını isteyebiliriz. Mesela bu parametre ile
tcpdump çıktılarını TTL ve ID değerleri ile birlikte edinebiliriz.

113. @BGASecurity
BGA | TCP IPFiltrelerle Çalışmak
• host Parametresi
ØSadece belli bir host a ait paketlerin izlenmesini istiyorsak host parametresi ile belirtim yapabiliriz.
Ødst host (Hedef Host Belirtimi)
Øsrc host (Kaynak Host Belirtimi)
Ø# tcpdump src host 10.1.0.59 and dst host 10.1.0.1

114. @BGASecurity
BGA | TCP IPFiltrelerle Çalışmak
• Port parametresi
Øbelirli bir portu dinlemek istediğimizde kullanacağımız parametredir. Host gibi src ve dst oneklerini
alabilir.
Øsrc ile kaynak portu dst ile hedef portu belirtebiliriz . dst ya da src önekini kullanmazsak hem kaynak
hemde hedef portu alır.
Ø# tcpdump src port 23 and dst port 9876

115. @BGASecurity
BGA | TCP IPFiltrelerle Çalışmak
• Şartlı ifadeler
• And
• Or
• Not
• # tcpdump -i eth0 -n not tcp port 22 or host 192.168.1.1

116. @BGASecurity
BGA | TCP IPLayer 2 Başlıklarını Görüntüleme

117. @BGASecurity
BGA | TCP IPPaket İçeriği(payload) Görüntüleme

118. @BGASecurity
BGA | TCP IPİleri Seviye Tcpdump Kullanımı
• DDoS saldırı analizinde tcpdump kullanımı
• ISP’lerde spam gönderim istatistikleri çıkarma amaçlı tcpdump kullanımı
• Tcpdump’ı IDS olarak kullanma

119. @BGASecurity
BGA | TCP IPSYN Bayraklı TCP Paketlerini Yakalama
#tcpdump -n –i eth0 'tcp[13] == 2'

120. @BGASecurity
BGA | TCP IPNmap ve Tcpdump

121. @BGASecurity
BGA | TCP IPHping ve Tcpdump

122. @BGASecurity
BGA | TCP IPTraceroute Paketlerini Yakalama

123. @BGASecurity
BGA | TCP IPTcpdump Çalışmaları
• Sadece ICMP paketlerini yakalama
• UDP ve ICMP paketlerini yakalama
• Sadece 192.168.1.2 IP Adresinden gelen TCP paketlerini yakalama
• Hedef portu 80 olan ve hedef IP adresi 10.10.10.1 olan TCP paketlerini yakalama
• Hedef portu TCP/80 olmayan paketleri yakalama
• Sadece TCP Syn paketlerini yakalama

124. @BGASecurity
BGA | TCP IPTrafik Çıktılarını Anonimleştirme
• Trafik dosyaları hangi özel bilgileri içerebilir?
Ø-IP adresleri
Ø-MAC adresleri ve buradan da kullanılan donanımların türleri(Intel, Vmware, Cisco, Juniper vs)
Ø-Paketin veri kısmında kaydedilmiş diğer veriler
• Özel bilgi içerek tüm bileşenler rastgele verilerle değiştirilerek trafik kayıtlarının
anonimleştirilmesi sağlanabilir
• Trafik anonimleştirme için çeşitli araçlar vardır
ØBunlardan en esnek ve kolay kullanıma sahip olanı tcprewrite

125. @BGASecurity
BGA | TCP IPTcprewrite ile Trafik Anonimleştirme
root@seclabs:~# tcpdump -n -r kayit1.pcap
02:45:05.597166 IP 192.168.56.101.22 > 192.168.56.1.3199: P 368772774:368772906(132) ack 2254292994 win 8576
02:45:05.597704 IP 192.168.56.1.3199 > 192.168.56.101.22: . ack 132 win 64675
02:45:07.204945 IP 192.168.56.1.137 > 192.168.56.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
02:45:07.807829 IP 192.168.56.1.3199 > 192.168.56.101.22: P 1:53(52) ack 132 win 64675
02:45:07.814418 IP 192.168.56.101.22 > 192.168.56.1.3199: P 132:184(52) ack 53 win 8576
02:45:07.954580 IP 192.168.56.1.137 > 192.168.56.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
02:45:08.058572 IP 192.168.56.1.3199 > 192.168.56.101.22: . ack 184 win 64623
02:45:08.704682 IP 192.168.56.1.137 > 192.168.56.255.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
Tcprewrite kullanarak hedef ve kaynak IP adreslerinin rastgele değişmesini sağlayalım.
root@seclabs:~# tcpdump -n -r kayit_random.pcap
02:45:05.597166 IP 214.92.41.183.22 > 214.92.41.191.3199: P 368772774:368772906(132) ack 2254292994 win 8576
02:45:05.597704 IP 214.92.41.191.3199 > 214.92.41.183.22: . ack 132 win 64675
02:45:07.204945 IP 214.92.41.191.137 > 214.92.41.131.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
02:45:07.807829 IP 214.92.41.191.3199 > 214.92.41.183.22: P 1:53(52) ack 132 win 64675
02:45:07.814418 IP 214.92.41.183.22 > 214.92.41.191.3199: P 132:184(52) ack 53 win 8576
02:45:07.954580 IP 214.92.41.191.137 > 214.92.41.131.137: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
02:45:08.058572 IP 214.92.41.191.3199 > 214.92.41.183.22: . ack 184 win 64623

126. @BGASecurity
BGA | TCP IPSniffer Olarak Wireshark
• Eski adı Ethereal
• Açık kaynak kodlu Sniffer aracı
• Grafik arabirimli/ komut satırı
• Bilinen çoğu işletim sistemlerinde çalışır
• Bilinen tüm protokolleri destekler
• Yakalanan paketleri kaydedebilme
• Kaydedilmiş paketleri diskten okuma
• Protokol renklendirme
• Gelişmiş ağ istatistik bilgisi

127. @BGASecurity
BGA | TCP IPWireshark Ekranı

128. @BGASecurity
BGA | TCP IPPaket Yakalama Seçenekleri

129. @BGASecurity
BGA | TCP IPYakalanan Paketler İçin İsim Çözme

130. @BGASecurity
BGA | TCP IPWireshark’da Filtresiz Yaşam

131. @BGASecurity
BGA | TCP IPPaket Yakalama Filtreleri
Capture Filter
• Yakalanacak paketlere uygulanır.
• Tcpdump formatı ile aynıdır.
• Tcp port 22 and host vpn.lifeoverip.net or icmp gibi
Display Filter
• Yakalanan paketler üzerinde analiz yapılırken kullanılır.
• Farklı bir formata sahiptir.
• (Tcp.port eq 22) and (ip.addr eq blabla...)
• Arabirimden filtre yazılabilir

132. @BGASecurity
BGA | TCP IPCapture Filter
• Tcp port 21
• Tcp port 21 and tcp port 1982
• Tcp port 22 and host vpn.lifeoverip.net or icmp

133. @BGASecurity
BGA | TCP IPPratik Filtreleme

134. @BGASecurity
BGA | TCP IPDisplay Filter

135. @BGASecurity
BGA | TCP IPTrafik Özeti

136. @BGASecurity
BGA | TCP IPÖzet Bilgi Alma
• Trafiğe ait özet bilgiler yer alır
• Kaç adet paket yakalanmış
• İlk ve son yakalanan paketler arasındaki süre
• Trafiğin kaç byte tuttuğu
• Ortalama bandwidth(Mbit/s)

137. @BGASecurity
BGA | TCP IPProtokol Kullanım Oranları
• Detaylı bir şekilde hangi protokolün ne kadar kullanıldığını raporlar
• Özellikle DDoS saldırılarında saldırı tipini belirlemek için kullanılabilir.

138. @BGASecurity
BGA | TCP IPTCP Oturumlarında Paket Birleştirme

139. @BGASecurity
BGA | TCP IPHTTP Bağlantılarında Veri Ayıklama

140. @BGASecurity
BGA | TCP IPEn Fazla İstek Yapılan HTTP URL
DDoS saldırı(HTTP Get Flood) analizinde oldukca yararlı bir özellik

141. @BGASecurity
BGA | TCP IPFirewall Kuralı Oluşturma

142. @BGASecurity
BGA | TCP IPHTTPS Trafiğini Çözümleme
• Amaç:Kaydedilmiş SSL trafiğindeki verileri ayıklama
• Hedef sisteme ait gizli anahtar gerektirir
• Wireshark “Follow SSL Stream” Özelliği kullanılarak SSL bağlantısı içerisindeki
verileri okunabilir

143. @BGASecurity
BGA | TCP IPWireshark SSL Çözümleme

144. @BGASecurity
BGA | TCP IPWireshark SSL Çözümleme-II

145. @BGASecurity
BGA | TCP IPWireshark SSL Çözümleme-III

146. @BGASecurity
BGA | TCP IPWireshark SSL Çözümleme-IV

147. @BGASecurity
BGA | TCP IPTshark
• Wireshark komut satırı aracı
• Tcpdump benzeri parametrelerle çalışır
• Tcpdump’dan en önemli farkı protokol detaylarını gösterebilmesi ve protokol detaylarına göre filtreleme
yapılabilmesidir.

148. @BGASecurity
BGA | TCP IPTcpdump & Tshark Farkı
148
Protokol Detayı

149. @BGASecurity
BGA | TCP IPTshark Filter Kullanımı(-R)
• Display filter özelliği ile Tshark çözümleyebildiği protokollere ait tüm detayları gösterebilir ve sadece bu detaylara ait
paketleri yakalamaya yardımcı olur.
• Amacımız dns trafiği içerisinde sadece www.lifeoverip.net domainine ait sorgulamaları yakalamak istersek aşağıdaki
gibi bir filtreleme kullanılabilir.

150. @BGASecurity
BGA | TCP IPTshark Filter Kullanımı-II
HTTP trafiği içerisinde GET, PUT ve OPTIONS kullanılan istekleri yakalama
Bir TCP Bağlantısına ait başlangıç ve bitiş paketlerini yakalama

151. @BGASecurity
BGA | TCP IPÖrnek Paket Kayıtları
• Wireshark Wiki
• Pcapr

152. @BGASecurity
BGA | TCP IPPcapr|Packet Analizi 2.0

153. @BGASecurity
BGA | TCP IPCloudShark
• Wireshark kurulumu gerektirmeksizin web üzerinden paket analizi
• Disk veya internet üzerinden pcap dosyası upload imkanı.

154. @BGASecurity
BGA | TCP IPAmaç
• Sniffer kullanarak kaydedilmiş binary dosyalardan(.pcap formatında veya farklı formatlarda) orjinal veri elde etmek
• Akan ağ trafiği üzerinde belirli şartlara göre izleme yapma
ØEchelon mantığı
ØGünümüzdeki DLP sistemlerinin atası sayılabilir
• Iki uç haberleşirken aradaki dinleme sistemleri iki uç ne görüyorsa aynısını görebilir, dinleyebilir, kaydedebilir.
• Network forensic çalışmalarının temelini oluşturur

155. @BGASecurity
BGA | TCP IPData Carving…
Ham veriden orijinal veri elde etme yöntemi
1010101
10101010
10101010
10101010
1010101
Sniffer
Data Carving

156. @BGASecurity
BGA | TCP IPChaosReader
Örnek

157. @BGASecurity
BGA | TCP IPChaosreader:telnet-replay

158. @BGASecurity
BGA | TCP IPTelnet Replay-II

159. @BGASecurity
BGA | TCP IPDriftnet

160. @BGASecurity
BGA | TCP IPNetworkMiner
• Windows sistemler için geliştirilmiş ağ adli bilişim aracı
• Temel amacı ağ trafiğini yakalayarak (veya daha once kadedilmiş pcap dosyalarını kullanarak)trafik içerisinde geçen işe
yarar bilgilerin ayıklanmasıdır.
• NetworkMiner kullanılarak HTTP, FTP ve SMB protokolleri üzerinden yapılan tüm dosya transferlerindeki objeler(resim,
muzik, pdf vs) orjinalleri gibi ayıklanabilir
• NetworkMiner uygulama seviyesi protokollerini ayıklayabilmek için port numaralarına bakarak işlem yapmaz(Port no
80 o zaman HTTP’dir gibi) aksine SPID (Statistical Protocol Identification) yöntemi kullanarak uygulama seviyesi
protokollerini port bağımsız olarak tanımlayabilir.

161. @BGASecurity
BGA | TCP IPNetworkMiner-I

162. @BGASecurity
BGA | TCP IPNetworkMiner-II

163. @BGASecurity
BGA | TCP IPNetworkMiner-III

164. @BGASecurity
BGA | TCP IPDataEcho Yazılımı

165. @BGASecurity
BGA | TCP IPTcpxtract
• Tüm dosya uzantıları için data carving uygulaması
• tcpxtract -f tcpdump-site.pcap -o pdf-dump

166. @BGASecurity
BGA | TCP IPWireshark

167. @BGASecurity
BGA | TCP IPXplico
• Network Forensic Analysis Tool (NFAT)
• Network forensic analiz aracı
• Port Independent Protocol Identification (PIPI)
• Açık kaynak kodlu, ücretsiz kullanım hakkı
• Veri ayıklama özelliği
• Webmail
• IM
• Facebook chat mesajları

168. @BGASecurity
BGA | TCP IPXplico Kullanımı
#apache2ctl start
#service xplico start

169. @BGASecurity
BGA | TCP IPWeb Gezinti Kaydı

170. @BGASecurity
BGA | TCP IPMail Arşiv Kaydı

171. @BGASecurity
BGA | TCP IPNetwitness
• Ağ analiz ve network forensics çalışmalarının vazgeçilmez aracı
• Ağ trafiği için “Google” işlevi görür
• 2 GB kotaya kadar (pcap dosyası) ücretsiz kullanılabilir.

172. @BGASecurity
BGA | TCP IPNetwitness

173. @BGASecurity
BGA | TCP IPGrep
• Grep: UNIX/Linux sistemlerde dosya içerisinde belirli düzene uyan stringlerin/satırların bulunmasını sağlar
Ø UNIX/Linux sistemlerin Google’u
Ø Google’dan önce grep vardı J
• #grep huzeyfe /etc/passwd
• #grep –R huzeyfe *.php
• #grep –v huzeyfe /etc/passwd
• #grep ^GET /etc/TEST
• #grep –i http /etc/passwd

174. @BGASecurity
BGA | TCP IPNetwork Grep:Ngrep
• Ngrep(Network Grep): grep benzeri bir yazılım fakat klasik dosyalarda değil de ağ trafiğinde arama/bulma işlemi yapar.
• Network DLP ve IDS(Intrusion Detection System) yazılımlarının atası sayılabilir.
• Ascii ve hex türünde arama yapabilir.
• Canlı ağ trafiğinde veya kaydedilmiş ağ trafiği içerisinde arama işlemi gerçekleştirebilir
• Örnek: Tüm ağ trafiği içerisinde huzeyfe geçen paketleri ekrana bas
Ø #ngrep –q huzeyfe –d eth0

175. @BGASecurity
BGA | TCP IPNgrep ile Ne Yapılabilir?
• Ağ içerisinde geçen özel bir kelime arattırılabilir
• IDS’lere imza yazmak için kullanılabilir
• Protokol anormallikleri yakalanabilir
Ø Http portu üzerinden kullanılan SSH bağlantılarını ngrep ile keşfedebilirsiniz
Ø Port/protokol tünelleme programlarını ortamda hiçbir IPS, Firewall vs ye ihtiyaç duymadan Ngrep ile yakalanabilir.
• Ağda şifresiz protokolleri kullananların gizli biglileri yakalanabilir.

176. @BGASecurity
BGA | TCP IPNgrep ile SMTP Analizi

177. @BGASecurity
BGA | TCP IPHttp portundan yapılan ssh
• HTTP portundan neden SSH yapılır?
• Bu komutu biraz daha geliştirip SSH portu harici herhangi bir porttan SSH kullanmaya
çalışanları izleyebilirsiniz.
• Ngrep –q –i ‘^SSH’ not tcp port 22

178. @BGASecurity
BGA | TCP IPNgrep’i IDS Olarak Kullanma
Amaç: HTTP portu üzerinden yapılan fakat http olmayan bağlantıları izleme

179. @BGASecurity
BGA | TCP IPNgrep Kısıtlamaları
• Ngrep ve şifreli protokoller
Ø Ngrep normalde şifreli protokolleri inceleyemez.
Ø Inceleyebilmesi için şifreli protokollerin bir şekilde deşifre edilmesi gerekir
• Parçalanmış Paketler ve Ngrep
Ø Doğası gereği Ngrep her gelen paketi ayrı değerlendirir ve parçalanmış paketleri anlamaz ve yazacağınız
düzenli ifadeler fragmented paketlerde işe yaramaz.
• Yüksek trafik
Ø Ngrep yüksek bantgenişliğne sahip ağlarda paket kaybına sebep olabilir ve yakalama işlemlerini sağlıklı
gerçekleştiremez.

180. @BGASecurity
BGA | TCP IPÖdev:DNS Tünelleme Paketlerini Yakalama
• UDP53 DNS portudur
• Aynı zamanda OpenVPN gibi UDP kullanan VPN sistemleri tarafından da kullanılabilir
• UDP 53’de DNS harici bir protokol kullanıldığı nasıl belirlenir?

181. @BGASecurity
BGA | TCP IPÖdev:ICMP Tünelleme Yakalama
• ICMP üzerinden başka protokollere ait veri taşınabilir
• Mesela ICMP üzerinden HTTP , SSH tünellenebilir
• Ağda birilerinin ICMP üzerinden SSH tünellediğini Ngrep kullanarak nasıl bulabilirsiniz?

182. @BGASecurity
BGA | TCP IP
@BGASecurity
Bölüm-IVARP ve Zayıflıkları

183. @BGASecurity
BGA | TCP IPAddress Resolution Protocol(ARP)
• Yerel ağlarda iki hostun birbiri ile anlaşabilmesi için kullanılan protokoldür.(RFC 826)
• İki host birbiri ile iletişime geçmeden önce birbirlerinin IP adreslerini bilmek zorundadır.
ØIP adresini bilenlerin iletişime geçebilmesi için MAC adreslerini edinme zorunluluğu vardır.
• TCP/IP İletişiminde en önemli(?) protokoldür
• Ipv6 ‘da ARP yerine benzeri işlevi yerine getiren Neighbor Discovery Protocol (NDP) geliyor.
• ARP iki işlemli bir süreçtir.
ØARP Request
ØARP Reply
• Gratious ARP Paketleri

184. @BGASecurity
BGA | TCP IPARP Başlık Bilgisi

185. @BGASecurity
BGA | TCP IPARP Çalışma Mantığı

186. @BGASecurity
BGA | TCP IPARP Paket Çeşitleri
• 4 cesit ARP mesajı vardır
• ARP request : IP Adresine ait donanım adresi(MAC adresi) sorgulamak için kullanılır
10:09:20.356809 arp who-has 12.16.6.17 tell 12.16.6.185
ARP reply : Belirtilen Ip adresine uyan donanım adresini döndürür
10:09:20.356809 arp reply 12.16.6.17 is-at 0:80:c8:f8:5c:73
RARP request: Belirli bir MAC adresi için IP adresi sorgulaması için kullanılır
RARP reply : Belirli MAC adresi için IP adresi cevabı döndürür.

187. @BGASecurity
BGA | TCP IPArp Request
ARP REQUEST(Broadcast)

188. @BGASecurity
BGA | TCP IPArp Request( Detay )
ARP REQUEST(Broadcast)

189. @BGASecurity
BGA | TCP IPArp Reply
ARP REPLY(Unicast)

190. @BGASecurity
BGA | TCP IPArp Request-Arp Reply ( Detay )
ARP REPLY(Unicast)

191. @BGASecurity
BGA | TCP IPGratious ARP Paketleri
Tüm Ağa kendini Anons etmek için kullanılır.
#ifconfig rl0 inet 192.168.15.1
17:25:40.216489 00:50:ba:15:19:0d > ethertype ARP (0x0806),
length 60: arp who-has 192.168.15.1 tell 192.168.15.1

192. @BGASecurity
BGA | TCP IPGratious ARP Paketi Oluşturma

193. @BGASecurity
BGA | TCP IPBir Paketin Yaşam Döngüsü-I
Hedef Sistem Yerel Ağdaysa

194. @BGASecurity
BGA | TCP IPBir Paketin Yaşam Döngüsü-II
Hedef Sistem Yerel Ağda Değilse

195. @BGASecurity
BGA | TCP IP9 Puanlık Altın Soru!
Aynı Fiziksel ortamda(Switch) farklı iki subnetteki makine arada bir gateway olmadan haberleşebilir mi?
5.5.5.5.1/24 6.6.6.1/24
Who has 6.6.6.1 tell
5.5.5.1??

196. @BGASecurity
BGA | TCP IPProxy ARP
Request
Proxyarp ile router arkasındaki
İp adreslerine gelen isteklere cevap
verilir.

197. @BGASecurity
BGA | TCP IPARP’ın Güvenlik Açısından Önemi
• ARP, yerel ağlarda iletişimin başladığı ilk noktadır.
• Protokol doğası herhangi bir koruma/korunma mekanizması yoktur.
• Sunucu sistemlerin bulunduğu ortamlar da birer yerel ağlardır.
ØDMZ, eğer yeteri kadar önlem alınmamışsa kendi içinde LAN’dır.
• Yeni wormların sık kullandığı protokollerden(MITM)

198. @BGASecurity
BGA | TCP IPMetasploit.com Arp Poisoning
"Another customer on the same ISP was compromised and used to ARP poison all servers in that subnet. I corrected the
problem by setting a static ARP entry and notifying the ISP. To make it very clear - the metasploit.com servers were not
compromised, nor have been to this date," he said

199. @BGASecurity
BGA | TCP IPPost Exploitation|ARP Cache Poisoning
• ARP cahce poisoning yerel ağ saldırısı olarak gözükse de genellikle birçok saldırıda ara bileşen olarak kullanılır
• Saldırgan web zaafiyetini kullanarak DMZ’de bir makineyi ele geçirir
• Diğer makinelere atlamak için kullanacağı en kolay yol ARP spoofing, cache poisoning yöntemini kullanmaktır
ØArp spoofing yaparak: ftp, telnet, http, RDP parolalarını ele geçirebilir.
Øİstediği DMZ makinesini internet üzerinden hacklenmiş gösterebilir(Metasploit.com örneği)

200. @BGASecurity
BGA | TCP IPTürkiye’den Örnek
ARP spoofing ile DMZ’deki diğer makineler de hacklenebilir

201. @BGASecurity
BGA | TCP IPL2 Saldırı Tipleri ve Yöntemleri
• ARP Spoofing & ARP Poisoning
• Yerel Ağlarda DOS
• Mac Flooding
• Kablosuz Ağlarda L2 saldırıları
• MAC Onaylamalı Ağlara izinsiz girme
• DOS
• ARP cache Poisoning
• ARP Spoof sonrası gerçekleştirilebilecek muhtemel saldırılar
• SSH & SSL bağlantılarda araya girme
• HTTP bağlantılarında araya girme
• DNS isteklerini yönlendirme
• ....

202. @BGASecurity
BGA | TCP IPKablosuz Ağlarda ARP
• Kablosuz Ağlarda istemcinin durumu
ØManaged Mod:Ağa bağlıdır, klasik L2 ortamı
ØMonitor mode: Ağa bağlı değildir, ilgili kanalı izler ve şifrelenmemiş verileri görür
• MAC Adresi Filtrelemesini Aşma
ØMonitor modda trafik dinlenir
ØYetkili bir mac adresi öğrenilir ve o MAC adresi üzerine alınır.
ØAynı MAC adresine sahip diğer istemcinin durumu???
• Bağlı Kullanıcılara yanlış ARP kayıtları göndererek DOS’a maruz bırakma

203. @BGASecurity
BGA | TCP IPARP Cache Poisoning
• Amac: Hedef sisteme sahte arp paketleri göndererek kendisini farklı bilgisayar gibi (Gateway?) göstermek
ve kurbanın göndereceği trafiği üzerinden geçirmektir.
• Poisoning ?
Ø Hedef sistemin arp belleğinin zehirlenmesi.
• ARP Spoofing yerel aglarda gerceklestirilebilir.
Ø Bunun sebebi de ARP protokolunun L2’de calismasidir.

204. @BGASecurity
BGA | TCP IPARP Cache Poisoning-II

205. @BGASecurity
BGA | TCP IPArpspoof Yazılımı

206. @BGASecurity
BGA | TCP IPNemesis ile Arp Spoof Uygulaması

207. @BGASecurity
BGA | TCP IPNemesis Arp Spoofing-II
• Saldırı öncesi Windows sistemin arp tablosu.
• C:Console2>arp -a
• Interface: 192.168.1.3 --- 0x4
• Internet Address Physical Address Type
• 192.168.1.1 00-13-64-22-39-3f dynamic
• 192.168.1.2 00-04-61-47-da-74 dynamic
• 192.168.1.4 00-0c-29-08-e2-48 dynamic
• Nemesis ile ARP Spoof
• bt ~ # nemesis arp -d eth0 -r -v -S 192.168.1.1 -D 192.168.1.2 -h 00:0C:29:08:E2:48 -m 00:04:61:47:DA:74 -H
00:13:64:22:39:3f -M 00:04:61:47:DA:74
• Windows makinenin ARP tablosuna tekrar bakılırsa 192.168.1.1 için ARP kaydının 00:13:64:22:39:3F’dan
00:0c:29:08:e2:48’a değiştiği görülecektir.

208. @BGASecurity
BGA | TCP IPCain&Abel ile ARP Poisoning
• Cain & Abel çok amaçlı bir Güvenlik aracıdır
• Cain ve Abel olarak iki parçadan oluşur.
ØBir parçası daha çok sistem ve parola işlemleri,
Ødiğeri parçası ağ güvenliği ile alakalı programlar içerir.
ARP spoof işlemi hangi
arabirim üzerinden
yapılacak?

209. @BGASecurity
BGA | TCP IPCain&Abel ile Hedef Host Keşfi

210. @BGASecurity
BGA | TCP IPHedef Seçimi

211. @BGASecurity
BGA | TCP IPKurbana Ait Parola Bilgilerini Görme

212. @BGASecurity
BGA | TCP IPEttercap : Gelişmiş Hijacking Aracı
• Ettercap, Linux ve Windows sistemlerde çalışan çok yönlü trafik dinleme, araya girme ve veri değiştirme aracıdır.
• TCP/IP’deki zayıflıklardan yararlanır.
• Komut satırı ve grafik arabirim seçenekleri mevcuttur.
ettercap –C ile Curses modda çalıştırır
Ettercap –I interaktif modda çalıştırır.

213. @BGASecurity
BGA | TCP IPEttercap Kullanımı
İlk işlem hangi tür sniffing
yapılacağının seçilmesi
Kurban sistem bulmak için yerel
ağ taraması yapılır.

214. @BGASecurity
BGA | TCP IPKurban Seçimi
1
2
4
3

215. @BGASecurity
BGA | TCP IPBağlantıları Yönetme

216. @BGASecurity
BGA | TCP IPEttercap Filtreleri
Ettercap’in en güçlü olduğu yanlardan biri de akan trafikte filtreleme yapabilmesi ve bu filtrelemeye gore trafiği kaydedip
değiştirebilmesidir.

217. @BGASecurity
BGA | TCP IPARP Kullanarak DoS
• Yerel ağlarda kullanılen en temel protokol ARP’dır
• ARP çalışma yapısı itibariyle korunmasız bir protokoldür
• Alınan ARP-Reply paketlerinin doğruluğunu sorgulama mekanizması yoktur
• Bir saldırgan sahte ARP cevap paketleri göndererek gatewayin MAC adresini istediği gibi gösterebilir ve
yerel ağdaki iletişimi durdurabilir.

218. @BGASecurity
BGA | TCP IPARP DOS-II
• Kurban Olarak bir Host/Network Seçilir
• Gateway IP Adresi Öğrenilir.
• Host’a/Network’e bozuk ARP-REPLY paketleri gönderilir.
Ø Gateway 00:00:00:00:02:01 adresinde
• Host/Network ile Gateway arasında tüm iletişim durur!
• Uygulama

219. @BGASecurity
BGA | TCP IPNemesis ile ARP Dos Denemesi
#nemesis arp -d eth1 -r -v -S 10.2.0.1 -D 10.2.0.6 -H 00:01:02:03:04:05 -M 00:1B:38:C3:D3:A0
ARP/RARP Packet Injection -=- The NEMESIS Project Version 1.4beta3 (Build 22)
[MAC] 00:01:02:03:04:05 > 00:1B:38:C3:D3:A0
[Ethernet type] ARP (0x0806)
[Protocol addr:IP] 10.2.0.1 > 10.2.0.6
[Hardware addr:MAC] 00:01:02:03:04:05 > 00:1B:38:C3:D3:A0
[ARP opcode] Reply
[ARP hardware fmt] Ethernet (1)
[ARP proto format] IP (0x0800)
[ARP protocol len] 6
[ARP hardware len] 4
Wrote 42 byte unicast ARP request packet through linktype DLT_EN10MB.

220. @BGASecurity
BGA | TCP IPMAC Flooding
• Amac switch mantığını bozup sistemin bir hub gibi çalışmaya zorlamak.
• Switch Cam Table(Port-Mac Bilgilerini Tutar)
• Etherflood ve Macoff yazılımları kullanılabilir

221. @BGASecurity
BGA | TCP IPCam Tablosu-1
B bilinmediği için tüm
portlara gönderilir

222. @BGASecurity
BGA | TCP IPCam Tablosu-2
A 1. Portta
B 2.Portta

223. @BGASecurity
BGA | TCP IPCam Tablosu-3
B Port2 üzerinde, 1 ve 2.
portu anahtarla
A-B Arasındaki Trafiği
Göremez

224. @BGASecurity
BGA | TCP IPMac Flood >Cam Overflow
CAM TABLE Dolarsa
-
>
-
>
A-B arasındaki trafği
görebilir

225. @BGASecurity
BGA | TCP IPMacoff ile mac flooding

226. @BGASecurity
BGA | TCP IPARP Saldırılarından Korunma
• Arpwatch
• Arpalert yazılımları
• “Ip-Mac ikililerini bir dosyaya yaz, herhangi bir değişiklik olursa uyarı ver” mantığıyla çalışır
• Statik ARP kaydı girilmesi

227. @BGASecurity
BGA | TCP IPARP Saldırılarına Karşı Korunma
• Statik ARP kayıtları
Øİşletim sistemine erişmek istediği kaynaklar için(genellikle gateway) sabit MAC adresi tanımı yapılması
ØSabit MAC adresi tanımı sonrası sisteme gelecek arp-reply paketleri sistemdeki ARP cache’I ile oynama
yapamaz.
ØTek yönlü olduğu için gerçek bir koruma sağlamaz
• Kullanılan Switch üzerinde koruma yöntemlerinin aktif edilmesi
ØPort security ?

228. @BGASecurity
BGA | TCP IPStatik ARP Kaydı Girme
Arp –s ip_adresi mac_adresi

229. @BGASecurity
BGA | TCP IPOSI II. Katman Saldırı Tipleri
• CDP Atakları
• Spanning Tree Atakları
• VLAN Trunking Protocol Saldırıları
• VLAN Hopping

230. @BGASecurity
BGA | TCP IP
@BGASecurity
Bölüm-VIP Zayıflıkları

231. @BGASecurity
BGA | TCP IPInternet Protocol
• Internetin temel yapıtaşı
• Güncel IP sürümü:v4
• Yakın gelecekteki IP sürümü:v6
Ø V5 Lab ortamında denendi.
• Ağlar arası yönlendirme işlemini yapar
• Hata kontrol mekanizması yoktur
• Gönderici ve alıcı arasında bir kimlik doğrulama işlemi yoktur.
• IP parçalama en büyük sıkıntıdır.

232. @BGASecurity
BGA | TCP IPTCP/IP Protokol Ailesi ve IP

233. @BGASecurity
BGA | TCP IPIP Başlık Bilgisi
• Başlık+veri=Datagram
• Min. Başlık bilgisi 20Byte

234. @BGASecurity
BGA | TCP IPBaşlık Bilgisi Hatalı IP Paketi
• İlk 8 biti yandaki gibi olan IP paketini alan sistem paketi kabul etmemektedir
• Sebebi:
• Başlık bilgisine tekrar bakılacak olursa
Ø En sol 4 bit versiyonu gösterir (0100)=ipV4
Ø Sonraki 4 bit header boyut bilgisini gösterir(en az 20 Byte olmalı
Ø Oysa 0010<20.
Ø Bu sebeple paketin bozuk olduğuna karar verilir ve kabul edilmez.

235. @BGASecurity
BGA | TCP IPInternette Yol Bulma
• Internette yönlendirme/yol gösterme router(L3) sistemler tarafından halledilmektedir
• Routerlar iki çeşit yönlendirme yapar
Ø Statik yönlendirme
Ø Dinamik yönlendirme
• Statik yönlendirmeler
Ø Router’lara elle girilir
Ø #route add 10.0.0.0/24 gw 192.168.200.22
• Dinamik yönlendirme protokolleri
Ø RIP
Ø IGRP
Ø OSPF

236. @BGASecurity
BGA | TCP IPTraceroute
• Kaynak ile hedef arasındaki Layer 3 cihazları bulmak amacıyla kullanılır
• Günümüzde çoğu sistem güvenlik gerekçesiyle bu tip paketlere izin vermemektedir.

237. @BGASecurity
BGA | TCP IPIP Spoofing
• Ne anlama gelir?
ØHedef sisteme olduğundan farklı bir IP adresini kullanarak paket/veri gönderme.
ØGenellikle saldırganların kimliğini gizleme amaçlı kullandıkları yöntemlerdendir.
ØGünümüzde TCP üzerinde koşan uygulamalar için teorik olarak çalışsa da pratik olarak çalışması imkansızdır.
• Proxy üzerinden ip değiştirme ip spoofing değildir
ØÜcretsiz proxy hizmetleri üzerinden paket gönderimi

238. @BGASecurity
BGA | TCP IPHping IP Spoof Örneği
• Hping:TCP/IP paket üreteci
Øİstenilen türde paket üretmeye yarar.
ØStateless paketler üretebilir(SMTP bağlantısı kuramaz, sadece SYN paketi vs gönderebilir)
• Hping –a parametresi kullanılarak gönderilecek paketlerin istenilen bir IP adresinden çıkması sağlanabilir.
# hping -S -p 80 -a www.microsoft.com www.linux.com
HPING www.linux.com (bge0 140.211.167.55): S set, 40 headers + 0 data bytes
^C
--- www.linux.com hping statistic ---
3 packets tramitted, 0 packets received, 100% packet loss
round-trip min/avg/max = 0.0/0.0/0.0 ms

239. @BGASecurity
BGA | TCP IPIP Spoofing Örneği-I
Shimomura (S) Trusted (T)
Mitnick
Finger
• Finger @S(Kimler bağlı)
• showmount –e
• S makinesinde SYN paketleri
gönderilir...
•Hangi sistemler güvenilir listesinde?
• ISN değerinin tahmin edilmesi
Showmount -e
SYN

240. @BGASecurity
BGA | TCP IPIP Spoofing Örneği-II
Shimomura (S) Trusted(T)
Mitnick
• Finger @S
• showmount –e
•S makinesinde SYN paketleri
gönderilir...
• SYN flood T
•Ortalık sessizken gerçekleştirildi
•Güvenilir IP listesi öğrenildi
• ISN değerleri tahmin edildi
• T Flood saldırısıyla oyalanmaya
başlandı
Syn flood
X

241. @BGASecurity
BGA | TCP IPIP Spoofing Örneği-III
Shimomura (S) trusted (T)
Mitnick (M)
• Finger @S
• showmount –e
•S makinesinde SYN paketleri
gönderilir...
• SYN flood T
•S’e T’den geliyormuş gibi SYN
paketleri gönder
•S’e ISN tahmininden sonra ACK
paketleri gönderilir
• Ortalık sessizken gerçekleştirildi
•Güvenilir IP listesi öğrenildi
• ISN değerleri tahmin edildi
• T Flood saldırısıyla oyalanmaya
başlandı
• S T ile iletişime geçtiğini düşünecektir
X
SYN
SYN|ACK
ACK

242. @BGASecurity
BGA | TCP IPIP Spoofing Örneği-IV
Shimomura (S) Trusted (T)
Mitnick
•Finger @S
• showmount –e
•S makinesinde SYN paketleri
gönderilir...
• SYN flood T
•S’e T’den geliyormuş gibi SYN
paketleri gönder
•S’e ISN tahmininden sonra ACK
paketleri gönderilir
• “echo + + > ~/.rhosts” komutu
gönder
•Ortalık sessizken gerçekleştirildi
•Güvenilir IP listesi öğrenildi
• ISN değerleri tahmin edildi
• T Flood saldırısıyla oyalanmaya
başlandı
• S T ile iletişime geçtiğini düşünecektir
•Herkese her yerden Rlogin erişimi ver
X
++ > rhosts

243. @BGASecurity
BGA | TCP IPISN Tahmini
• ISN=Initial Sequence Number
• TCP için geçerli bir değerdir
• TCP iletişiminde IP spoofing yapılıp yapılamayacağını belirler
• SYN paketlerinde görülür
• SYN paketi gönderen sistem dönecek ACK paketinde ISN+1 değerini bekler
• Günümüz sistemlerinde tahmin edilemez şekilde random üretilir

244. @BGASecurity
BGA | TCP IPISN Tahmini-II
• Hping –seqnum kullanılarak gerçekleştirilebilir
• ISN tahmin edilebilir bir değerse +işaretiyle başlayan sütün sabitlenecektir.

245. @BGASecurity
BGA | TCP IPUDP Tabanlı Servislerde IP Spoofing
• Mümkündür, kolaydır!
• Ek kontroller alınmalıdır
ØDNS servisindeki TXID, SRC port gibi
• Hping ile spoof edilmiş UDP istekleri gönderilebilir

246. @BGASecurity
BGA | TCP IPIP Saklama Amaçlı Proxy Kullanımı
• IP saklamanın iki yolundan biri proxy kullanımıdır
ØDiğeri IP spoofing
• Proxy sistemler aldıkları paketlerin ip adresleri ne olursa olsun gizleyerek hedefe kendi ip adreslerinden
geliyormuş gibi gösterirler
• Zaman zaman medyada çeşitli ülkeler üzerinden işlenmiş gibi gösterilen suçların temelinde proxy kavramı
yatmaktadır
ØX videoları Kanada’dan yüklenmiş! Gibi.

247. @BGASecurity
BGA | TCP IPÜcretsiz Anonim Proxy Hizmetleri
• Internet üzerinde hizmet veren binlerce ücretsiz anonim proxy hizmeti bulunmaktadır
• Bu hizmetlerden bazıları ülke bazında özelleştirilmiş hizmet sunmaktadır.
ØProxy servisini kulanırken hangi ülkeden çıkış yapılacağı belirtilerek tüm trafiğin ilgili ülkeden çıkması ve sunucularda
o ülkeden geliyormuş gibi gösterilmesi sağlanabilir

248. @BGASecurity
BGA | TCP IPIp Fragmentation
• MTU (Maximum Transfer Unit): Bir ağa girişteki maksimum kapasiteyi belirtir. Mesela Ethernet ağları için MTU değeri
1500 Byte'dır.
• Ethernet ağına giren bir paketin boyutu maksimum 1500 byte olabilir .
• Fragmentation (parçalama) bir IP datagramının ağlar arasında dolaşırken kendi boyutundan daha düşük kapasitede bir
ağa/ağ geçidine geldiğinde yaşadığı durumdur, yani parçalanma, bölünmedir.
• IP parçalamada sadece veri kısmı parçalanır, protokol kısmı değil

249. @BGASecurity
BGA | TCP IPOffset Değeri
0000 1399
Offset = 0000/8 = 0
1400 2799
Offset = 1400/8 = 175
2800 3999
Offset = 2800/8 = 350

250. @BGASecurity
BGA | TCP IPParçalanmış Paketler
offsetX8=byte
000
4020
14,567
Bytes 0000–3999
Original datagram
0
175
1420
14,567
Bytes 1400–2799
Fragment 2
1
350
1220
14,567
Bytes 2800–3999
Fragment 3
0
175
820
14,567
Bytes 1400–2199
Fragment 2.1
1
Fragment 1
000
1420
14,567
Bytes 0000–1399
1

251. @BGASecurity
BGA | TCP IPIp Fragmentation Örnek

252. @BGASecurity
BGA | TCP IPIp Parçalama Örneği

253. @BGASecurity
BGA | TCP IPParçalanmış IP Paketi Analizi
Wireshark çıktısı

254. @BGASecurity
BGA | TCP IPPort Taramalarında Paket Parçalama

255. @BGASecurity
BGA | TCP IPIp Fragmentasyon Atakları
• TearDrop
• PingOfDeath
• Güncel fragmentasyon atakları

256. @BGASecurity
BGA | TCP IPPing of Death
• Parçalanmış(fragmented)ICMP echo paketi
Ø Maximum ICMP echo paket boyutu: 65535 - 20 - 8 = 65507
Ø Fragmentation max boyutu aşmaya işe yarar (offset + size) > 65535
• Bütünleştirilmiş paket 65535 byte’dan büyük olabilir
Ø İşletim sistemi bu paketi alınca çakılır
• Problem paket birleştirmedeki koddan kaynaklanır
• ICMP yerine başka protokoller de kullanılabilir

257. @BGASecurity
BGA | TCP IPFragmentation Zaafiyetleri
• Crash BeOS. Randomly fragmented IP packets lock up the system. CVE-2000-0463
• Crash OpenBSD, CVE-1999-0052
• DoS in OpenBSD 2.4, CVE-2000-0310
• DoS in Windows “Bonk, Boink, newtear” CERT CS-98.02, CAN-1999-0258
• DoS in Windows 98 & 2000, CVE-1999-0918
• DoS in FPF linux kernel module, CVE-2001-0822

258. @BGASecurity
BGA | TCP IPCisco PIX/ASA Frag.Paket Zaafiyeti

259. @BGASecurity
BGA | TCP IPIP Fragmentation Çalışması
• Fragroute ve Fragrouter araçları
• Fragroute halihazırda oluşturulmuş bir trafiği(bir web isteği) istenen özelliklere göre parçalamaya yarar.
• Fragroute Linux altında çalışması için;
Øecho "0" > /proc/sys/net/ipv4/conf/all/rp_filter
Økomutu çalıştırılmalı

260. @BGASecurity
BGA | TCP IPNgrep & Fragroute Çalışması

261. @BGASecurity
BGA | TCP IPNgrep & Fragroute Çalışması-II

262. @BGASecurity
BGA | TCP IPIP Protokol Tarama
• Nmap –sO
• Hedef sistem üzerinde hangi IP üst protokollerinin çalıştığını belirler
ØUdp, tcp, sctp, icmp...

263. @BGASecurity
BGA | TCP IP
@BGASecurity
Bölüm-VI
ICMP ve Zayıflıkları

264. @BGASecurity
BGA | TCP IPICMP
• İletimden sorumlu protokol olan IP’nin hata bildirme yeteneği yoktur.
• IP Katmanında temel görevi hata bildirmek olan bağımsız bir protokol.
• UDP/TCP gibi port numaraları yoktur.
• Port numaralarına benzeyen protokolün kendine özgü Code, Type alanları vardır.
• ICMP Paketinin amacını bu alanlar belirler.
Ø Ping, traceroute vs.

265. @BGASecurity
BGA | TCP IPICMP Başlığı
Icmp paketi
ICMP Başlığı

266. @BGASecurity
BGA | TCP IPICMP Neden ihtiyaç duyuldu
• IP iletimden sorumlu ana protokol fakat hata kontrolü özelliği yok.
Øİcmp ttl expired mesajları
• TCP’de yeterli seviyede hata kontrolü vardır.
• UDP’de hata kontrolü yok
ØPort açıksa cevap dönmez
ØKapalıysa icmp port unreachable mesajı döner
ØTCP’de RST cevabı döner(RFC’ye göre)

267. @BGASecurity
BGA | TCP IPICMP-TCP/UDP Karşılaştırması
• Port numarası yok
• Code/Type var
• İstemci-sunucu mantığı yok
• Broadcast olabilir
• Port numarası var.
• Code/Type yok
• İstemci-sunucu mantığı var
• Sadece UDP

268. @BGASecurity
BGA | TCP IPICMP Mesajları
• ICMP Mesajları iki tiptir:
• Hata bildirimi
• Hedef ağ ulaşılamaz!
• Sorgulama
• ICMP Subnet mask sorgulama

269. @BGASecurity
BGA | TCP IPICMP Mesaj Tipleri

270. @BGASecurity
BGA | TCP IPICMP Kullanım Alanları
• Ping
• Traceroute
• Dynamic route table update
• Path MTU Discovery
• Servis Reddi(UDP için)
• Çeşitli flood saldırıları
• Açık/Kapali UDP Portları Belirleme
• İşletim sistemi belirleme
• Routing tablosu değiştirerek MITM saldırısı
İyi Niyetli Kullanım Kötü Niyetli Kullanım

271. @BGASecurity
BGA | TCP IPPing: Hedef sistem ayakta mı?
ICMP Echo Request
ICMP Echo Reply

272. @BGASecurity
BGA | TCP IPPing Sniffer Çıktısı

273. @BGASecurity
BGA | TCP IPUDP Protokolü için Ulak
www.lifeoverip.net IP Adresi Nedir?
ICMP Port Unreachables
DNS
ICMP

274. @BGASecurity
BGA | TCP IPKapalı UDP Portu İstek ve Dönen Cevap

275. @BGASecurity
BGA | TCP IPTraceroute

276. @BGASecurity
BGA | TCP IPTraceroute
• Gönderilen ICMP/UDP paketlerine dönecek ICMP paketleri incelenerek paketin h edef noktasına ulaşırken uğradığı
yollar(router, firewall vs) belirlenebilir.
• Traceroute ağ keşif çalışmalarında kullanılan en eski uygulamalardan biridir.
• Linux ve Windows versiyonları gönderilen paketler için farklı protokoller kullanır
• Günümüzde çoğu ağ/güvenlik yöneticisi traceroute paketlerine karşı sistemini kapamıştır.

277. @BGASecurity
BGA | TCP IPTraceroute |Örnek: Windows

278. @BGASecurity
BGA | TCP IPTraceroute |Örnek: Linux

279. @BGASecurity
BGA | TCP IPPATH MTU Discovery

280. @BGASecurity
BGA | TCP IPTracepath | Örnek

281. @BGASecurity
BGA | TCP IPHping ile ICMP Paketleri Oluşturma
• Çeşitli araçlarla istenilen türde ICMP paketi oluşturulabilir.
• Hping: TCP/IP Paket Oluşturma Aracı
• Hping ICMP seçenekleri
ØHping –icmp ile başlar.

282. @BGASecurity
BGA | TCP IPNemesis ile ICMP Paketleri Oluşturma

283. @BGASecurity
BGA | TCP IPICMP’nin Kötüye Kullanımı
• PingOfDeath saldırısı
• ICMP flood saldırıları(Smurf Atağı)
• ICMP taramaları
• Icmp redirect mesajları ile MITM
• ICMP tünelleme

284. @BGASecurity
BGA | TCP IPPing of Death
• Parçalanmış ICMP paketi gönderilerek yapılır
Øİzin verilen ICMP paket boyutu: 65535 - 20 - 8 = 65507
ØFragmentation bu boyutu aşmaya izin verir: (offset + size) > 65535
• Birleştirilen paketin boyutu 65535’den büyük olabilir.
• Bu durumda İşletim Sistemi crash olur(du)

285. @BGASecurity
BGA | TCP IPIcmp Smurf DDoS Saldırısı

286. @BGASecurity
BGA | TCP IPÖrnek| Icmp Smurf Saldırısı
• Linux sistemler(diğer işletim sistemleri de) broadcaste gelen ICMP isteklerine cevap vermezler.
• Icmp smurf saldırısının gerçekleşmesi için broadcaste gelen icmp paketlerine cevap verilmesi gerekir
• Linux için icmp broadcaste cevap verme
Ø # sysctl net.ipv4.icmp_echo_ignore_broadcasts=0
Ø net.ipv4.icmp_echo_ignore_broadcasts = 0
• Hping kullanarak smurf saldırısı oluşturma
• hping3 --icmp -C 8 -K 0 -a 172.26.27.22 172.26.27.255 -d 1000
Ø 172.26.27.0 ağındaki tüm makineler 1000 bytelık icmp replay paketlerini kurban makineye(172.26.27.22) göndereceklerdir.

287. @BGASecurity
BGA | TCP IPGerçek ICMP Flood
Hping flood ...

288. @BGASecurity
BGA | TCP IPICMP Host Tarama
• Nmap
• -PE/PP/PM: ICMP echo, timestamp, and netmask request discovery probes
• Çıktı ve sonuç, engellemeler nasıl oluyor

289. @BGASecurity
BGA | TCP IPICMP Redirect

290. @BGASecurity
BGA | TCP IPSahte Icmp Redirect Paketi Gönderimi

291. @BGASecurity
BGA | TCP IPIcmp Redirect Sonrası Routing Tablosu

292. @BGASecurity
BGA | TCP IPICMP Source Quench
• sing -sq 10.10.10.10 -S 10.10.10.1 -orig 10.10.10.20 -psrc 2020 -pdst 1010
• From source 10.10.10.1
• Destination 10.10.10.10
• Source port 2020
• Dest port 1010

293. @BGASecurity
BGA | TCP IPICMP Tünelleme
• Herhangi bir ICMP Code/Type izin verilmişse
• Tüm protokoller ICMP üzerinden tünellenebilir
Ø IcmpShell
Ø Loki
Ø Ptunnel

294. @BGASecurity
BGA | TCP IPICMP Tünelleme Başlık Bilgileri

295. @BGASecurity
BGA | TCP IPPtunnel ICMP Tünelleme

296. @BGASecurity
BGA | TCP IPICMPShell

297. @BGASecurity
BGA | TCP IPICMP ile Dosya Transferi

298. @BGASecurity
BGA | TCP IP
@BGASecurity
Bölüm-VIIUDP ve Zayıflıkları

299. @BGASecurity
BGA | TCP IPUDP
• User Datagram Protocol
• TCP/IP protokol ailesinde IP ile Uygulama katmanı arasında yer alır
• Güvenilir olmayan fakat oldukça hızlı bir protokoldür

300. @BGASecurity
BGA | TCP IPTCP/IP Protokol Ailesinde UDP

301. @BGASecurity
BGA | TCP IPUDP’ye Genel Bakış
• Gönder ve UNUT!
• Connectionless
ØSıra numarası kavramı yok
ØHandshake yok
ØOnay mekanizması yok
ØAkış kontrolü yok.
ØHata kurtarma mekanizması yok!
• Zaman aşımı ve gelen cevaplara göre çalışır.

302. @BGASecurity
BGA | TCP IPNeden UDP?
• Bu kadar işlevsiz ise neden kullanılır?
• Hızlıdır
Øİletişimin başlaması için handshake gerekmez
ØOnay paketleri yoktur.
• Kaynak tüketimi daha azdır
ØSıra numarası/Onay takibi yok
• Gerekli tüm mekanizmalar protokolü kullanan uygulama tarafından kontrol edilmeli.

303. @BGASecurity
BGA | TCP IPUDP Kullanan Uygulamalar
• DHCP
• DNS sorguları/cevapları (+512 byte sınırlaması)
• SNMP
• HSRP
• SQL
• TFTP
• NTP
• RPC

304. @BGASecurity
BGA | TCP IPUDP Başlığı
• Basit bir protokoldür.
• 8 Byte başlık bilgisine sahiptir
• Kaynak Port: (CB84)16 or 52100
• Hedef Port: (000D)16 or 13.
• UDP Paket boyutu: 28 byte(001C)16
ØPayload=28-8(başlık kısmı=20 Byte
Hexedecimal UDP Başlığı

305. @BGASecurity
BGA | TCP IPUDP Başlığı-II
• Source Port:
• Destination Port
• Checksum: Hedefe ulaşan UDP paketinin sağlıklı ulaşıp ulaşmadığının kontrolü
ØBasit hash mantığı
• UDP paket boyutu: Tüm baket boyut bilgisi(başlık+payload)

306. @BGASecurity
BGA | TCP IPUDP İşleyişi

307. @BGASecurity
BGA | TCP IPNetcat UDP Örnek
Sunucu Taraf
• Nc –l 999
İstemci Taraf
• Nc IP_Adresi 999
• mesaj

308. @BGASecurity
BGA | TCP IPRFC’ye Göre UDP Port durumları
• RFC nedir? Neden Önemlidir?
• Port tarama programları ve RFC ilişkisi
• Port açık ise
Ø Porta gönderilen boş UDP paketlerine cevap dönülmez
Ø Porta gönderilen dolu paketlere(dolu=ilgili portta çalışan uygulamaya özgün veri)
• Port Kapalı ise
Ø ICMP Dest. Port unreac. Mesajı paketi dönülür
• Paket gönderilen sistem önünde firewall vs olma durumuna göre cevapler değişebilir.
Ø Port kapalıdır fakat Firewall’dan icmp paketleri engellenmiştir. Bu durumda kapalı udp portuna gönderilen isteklere herhangi bir
cevap dönülmez.

309. @BGASecurity
BGA | TCP IPUDP Oturumu
• UDP stateless olduğuna göre Firewall, IPS nasıl state(oturum) tutar?
ØZamana bağlı , ve port numaralarına bağlı
• TCP’de sıra numarası-onay numarası vardır UDP’de bu tip özellikler yoktur. Bu sebeple UDP oturumu tam
bir oturum olarak görülmez.

310. @BGASecurity
BGA | TCP IPUDP Paketi Oluşturma
#hping –udp
#nemesis udp help

311. @BGASecurity
BGA | TCP IPUDP Kötüye Kullanım
• UDP kullanan her uygulama güvenlik kontrollerini yazılım içerisinde yapmalıdır
• UDP Stateless bir protokol
• UDP Kullanan uygulamalarda IP Spoofing kolaylığı
• UDP flood saldırıları
• UDP Kullanan servislerde güvenlik zaafiyetleri
ØDNS Cache poisoning
ØDHCP Spoofing

312. @BGASecurity
BGA | TCP IPUDP Traceroute
• Traceroute
• UDP portlarını kullanarak Traceroute
İstemci Sunucu
Kapalı Porta UDP İsteği
ICMP Dest. Port Unreac.

313. @BGASecurity
BGA | TCP IPHping ile UDP Traceroute
Hping3 –udp –n –p 53 195.175.39.39 -T

314. @BGASecurity
BGA | TCP IPUDP Port Tarama
• Bir sistem üzerindeki açık/kapalı UDP Portlarının belirlenmesi
• RFC’e göre;
ØKapalı udp portuna istek gelirse:Icmp dest. Unreac.
ØAçık udp portuna istek gelirse: Cevap yok
• Bilinen udp port tarama araçları: Nmap, Nessus, Unicornscan
• UDP Port taramalarında sağlıklı sonuç için ilgili portta çalışan uygulamaya özel paketler gönderilmeli

315. @BGASecurity
BGA | TCP IPNmap ile UDP Port Tarama
• Nmap –sU
• Nmap –sU -sV

316. @BGASecurity
BGA | TCP IPUDP flood Saldırısı
• Kaynak IP:Random Spoof edilmiş
• Kaynak Port: Random
• Hedef IP: DNS Sunucusu
• Hedef Port:53
• 50.ooo pps
• Hping –rand_source –p 53 –udp 192.168.2.1 - -flood

317. @BGASecurity
BGA | TCP IP
@BGASecurity
Bölüm-VIIITCP ve Zayıflıkları

318. @BGASecurity
BGA | TCP IPTCP’ye Genel Bakış
• Transport katmanı, taşıyıcısı IP
• “Güvenilir” bir protokol.
• Arkadaşı UDP’ye göre oldukça yavaş.
• Çoğunluk protokol TCP kullanır.
ØSmtp, ftp, ssh, telnet, http, pop
• TCP paketleri segment olarak adlandırılır

319. @BGASecurity
BGA | TCP IPTCP/IP’de TCP’nin Konumu

320. @BGASecurity
BGA | TCP IPTCP Kullanan Uygulamalar
• HTTP
• SMTP
• SSH
• POP3
• IMAP

321. @BGASecurity
BGA | TCP IPTCP Başlığı
TCP Paketi(segment)
TCP Başlığı
TCP Başlık bilgisi en az 20
en fazla 60 byte olabilir.

322. @BGASecurity
BGA | TCP IPTCP-UDP Farkını Görme
• Netcat ile TCP kullanarak Veri Transferi
• Netcat ile UDP kullanarak veri transferi
• Sonuçlar
ØTCP kullanarak aktarımda kaç paket ?
ØUDP kullanarak aktarımda kaç paket?

323. @BGASecurity
BGA | TCP IPInitial Sequence Number (ISN)
• 32-bitdir
• 3’lü el sıkışmada ilk SYN paketinde ve ikinci SYN paketinde kullanılır
ØBu değerin tahmin edilebilir olması TCP hijacking saldırılarına yol açabilir
• Günümüz işletim sistemlerinde bu değer tahmin edilemeyecek* şekilde üretilir
• Tahmin edilmesi güçleştirilmiş random değerler.

324. @BGASecurity
BGA | TCP IPISN Tahmini
• Hping –seqnum kullanılarak gerçekleştirilebilir
• ISN tahmin edilebilir bir değerse +işaretiyle başlayan sütün sabitlenecektir.
Tahmin
edilebilir ISN

325. @BGASecurity
BGA | TCP IPPort Numarası
• Bağlantı noktalarıdır
• 16 bit = 65536 (0-65535)
• Her TCP paketi bir adet Kaynak port bir adet hedef porta sahiptir
• Kaynak portlar bağlantı esnasında rastgele seçilirler

326. @BGASecurity
BGA | TCP IPTCP’de Bayrak Mekanizması
• TCP oturumunun kaderini bayraklar belirler.
• Oturumun başlaması
ØOturumun kabul isteği
ØOnaylanma
• Veri aktarımı
• Oturumun kapatılması
• Oturumun reddedilmesi

327. @BGASecurity
BGA | TCP IPTCP’de Bayraklar
• 6 çeşittir.
• 6 bit
SYN ACK PUSH RST FIN URG

328. @BGASecurity
BGA | TCP IPİletişim Başlangıcı
• Tüm iletişim Bayraklar aracılığı ile kontrol edilir.
• Bağlantı Bağlatma=3 lü el sıkışma(3 way handshaking)
SYN
SYN+ACK
ACK

329. @BGASecurity
BGA | TCP IPData Aktarımı-Kontrol
• Aktarılan her veri parçası için onay gerekir.
• Onay ACK bayrakları ile gerçekleşir.
• Data aktarımı PUSH bayrakları ile.
TCP paket no 100 ve içerisinde 20 byte var
Tamamdır 120’yi aldım, 121’den başla
Bu TCP paketi 121 ve içerisinde 50 byte var

330. @BGASecurity
BGA | TCP IPPaket Kaybı Kontrolü
• Onay paketi dönmediğinde belirli bir süre aynı paket tekrar tekrar gönderilir.
• Amaç gönderilen paketin hedef sisteme ulaşım durumunun kesinleştirilmesi.
Sıra numarası=5000
Sıra numarası=5000
Sıra numarası=5000
Sıra numarası=5000
ACK=5001

331. @BGASecurity
BGA | TCP IPBağlantı Sonlandırma-Normal
• Bağlantı sonlandırma için her iki taraf da FIN ve ACK paketleri göndermelidir.
• Bir taraf bu paketlerden birini eksik gönderirse bağlantı askıda kalabilir
ØClose_wait, fin_wait durumları
FIN
ACK
ACK
FIN

332. @BGASecurity
BGA | TCP IPBağlantı sonlandırma- Ani
RST bayraklı paket gönderilerek bağlantı aniden kapatılabilir.
RST

333. @BGASecurity
BGA | TCP IPRFC’ye göre TCP Port durumları
• Port açık ise
ØSYN gönderilen pakete SYN/ACK cevabı döner
• Port Kapalı ise
ØSYN paketin karşılık RST bayraklı paket döner
• Açık porta FIN/RST gönderilebilir?
• Firewall vs olma durumuna göre değişebilir.

334. @BGASecurity
BGA | TCP IPTCP State Diyagramı

335. @BGASecurity
BGA | TCP IPTCP Oturum Durumları

336. @BGASecurity
BGA | TCP IPÖrnek:Netstat ile Bağlantı Durumları

337. @BGASecurity
BGA | TCP IPTCP Üzerinden Port Tarama
• Port Tarama: Saldırganların ilk yaptığı işlemlerden
• Hedef sistem üzerinde açık olan TCP Portlarının bulunması
• Açık port = Açık servis= Güvenlik Açıklığı(?)
• Nmap, unicornscan, scanrand kullanılabilir
• TCP Port Tarama Türleri
ØSynScan, ConnectScan, XMAs Scan, FIN Scan, ACK Scan

338. @BGASecurity
BGA | TCP IPFull Connect Scan

339. @BGASecurity
BGA | TCP IPHalfOpen Scan

340. @BGASecurity
BGA | TCP IPNmap ile TCP Port Tarama

341. @BGASecurity
BGA | TCP IPIDS/IPS ve Port Tarama Yakalama

342. @BGASecurity
BGA | TCP IPNmap Full Connect Scan

343. @BGASecurity
BGA | TCP IPNmap HalfOpen Scan

344. @BGASecurity
BGA | TCP IPİşletim Sistemi Belirleme

345. @BGASecurity
BGA | TCP IPTCP Traceroute
• Klasik traceroute programları Icmp ve UDP kullanır
• İcmp ve udp paketlerinin izin verilmediği ortamlarda TCP paketleri kullanılabilir.
• Aradaki NAT / Firewall işlevinde cihazlar ortaya çıkar

346. @BGASecurity
BGA | TCP IPTraceroute/Tcptraceroute Farkı
• #traceroute www.banka.com
• #tcptraceroute www.banka.com.com 80

347. @BGASecurity
BGA | TCP IPSynFlood Saldırıları
SYN Flood saldırıları

348. @BGASecurity
BGA | TCP IPSyn Flood Saldırıları-II
• Syn flood saldırılarında temel problem gelen her SYN paketi için belleke yer ayrılması
• Bellek alanı kısıtlıdır
• Gelen paketleri için ayrılan bellek alanı taşınca işletim sistemi cevap veremez hale gelecektir(network
işlemlerine cevap veremez)
• Bir SYN paketi boyutu?
• 2Mb hatta sahip olan birinin yapacağı SYN flood etkisi?
• SYN paketleri kaç saniye bekletilir bellekte(Aradaki firewall cihazlarda)

349. @BGASecurity
BGA | TCP IPSynFlood Denemesi
• #hping –flood –p 80 –S www.microsoft.com
• #hping –p 25 –S mx1.google.com –flood
• #hping –flood –p 80 –rand-source –S www.google.com

350. @BGASecurity
BGA | TCP IPSynflood Araçları
• Hping
• Komut satırı örneği
• Juno
• Komut satırı örneği
• Klasik bir laptop üzerinden saniyede 1 million pps

351. @BGASecurity
BGA | TCP IPSynflood Önlemi:Syncookie
• Her gelen SYN paketi için bellekte yer ayırmaz
• Gelen pakete ait bazı özellikler ve zamanı kullanarak bir cookie oluşturulur(ISQ)
• Syncookie belli bir eşik değerinden sonra devreye girer
ØSaniyede gelen SYN sayısı 10000 aşınca ...
• Syncookie dezavantajları
ØBazı tcp seçenekleri tutulamaz

352. @BGASecurity
BGA | TCP IPLinux Syn Cookie Algoritması

353. @BGASecurity
BGA | TCP IP
@BGASecurity
ARA BAŞLIKDHCP ve Zayıflıkları

354. @BGASecurity
BGA | TCP IPDHCP Nedir?
• Dynamic Host Configuration Protocol(RFC 2131)
• DHCP ağdaki istemcilerin ağ ayarlarını otomatik almalarını sağlayan protokoldür.
• Otomatik Ağ Ayarları;
ØIP Adresi
ØAlt Ağ maskesi
ØDNS sunucu
ØVarsayılan Ağ geçidi
ØProxy adresi...
• UDP Tabanlı “broadcast” çalışan Protokol
• Hangi Portları kullanır

355. @BGASecurity
BGA | TCP IPDHCP Başlık Bilgisi

356. @BGASecurity
BGA | TCP IPDHCP Nasıl Çalışır?

357. @BGASecurity
BGA | TCP IPDHCP Portları

358. @BGASecurity
BGA | TCP IPDHCP Discover

359. @BGASecurity
BGA | TCP IPSniffer Çıktısı|DHCP Discover

360. @BGASecurity
BGA | TCP IPDHCP Offer

361. @BGASecurity
BGA | TCP IPSniffer Çıktısı|DHCP Offer

362. @BGASecurity
BGA | TCP IPDHCP Request

363. @BGASecurity
BGA | TCP IPSniffer Çıktısı|DHCP Request

364. @BGASecurity
BGA | TCP IPDHCP ACK

365. @BGASecurity
BGA | TCP IPSniffer Çıktısı|DHCP ACK

366. @BGASecurity
BGA | TCP IPDHCP Sniffer|Dhcpdump

367. @BGASecurity
BGA | TCP IPDHCP Relay Agent
• Amaç farklı ağlardaki sistemlere terk bir merkezden ağ ayarlarını dağıtma
• Router sistemler normalde broadcast paketleri geçirmez
• DHCP relay agent için özel broadcast paketleri router tarafından izin verilir
1
2
3

368. @BGASecurity
BGA | TCP IPDHCP Yoluyla Gerçekleştirilen Ataklar
• DHCP Resource Starvation
• Amaç:DHCP sunucuyu devre dığı bırakma(DOS)
• Rogue DHCP Server Deployment(Sahte DHCP Sunucu)
ØAmaç: Ağdaki diğer sistemlere MITM yapma
• Korunma:DHCP snooping ve RFC 3118 de belirtilen Authentication for DHCP messages ozelligi olan
switchler kullanilabilir.

369. @BGASecurity
BGA | TCP IPDHCP Starvation(D.O.S)
• Amaç DHCP sunucuyu devre dışı bırakarak IP(ağ ayarları) verememesini sağlamak
• DHCP broadcast ve UDP üzerinden çalışan bir protokol olduğu için IP dağıtma işleminde sahte mac
adresleri kullanılarak eş zamanlı binlerce ip talebinde bulununabilir.
• DHCP sunucu gelen her talebe karşılık vererek IP havuzunu tüketir.
• Ağa yeni bağlanan sistemler DHCP sunucudan IP istediğinde alamaz.
• Daha önce IP adresi almış sistemler etkilenmez.

370. @BGASecurity
BGA | TCP IPDHCP Starvation-II

371. @BGASecurity
BGA | TCP IPDHCP DoS Esnasında Kayıtlar
DHCP Starvation saldırısı sonrası DHCP
tablosu örneği

372. @BGASecurity
BGA | TCP IPYersinia ile DHCP Starvation Saldırısı
Yersinia, çeşitli L2 saldırılar gerçekleştirmek üzere tasarlanmış bir uygulamadır.

373. @BGASecurity
BGA | TCP IPSahte DHCP Sunucular
• DHCP, UDP ve broadcast çalışan bir protokoldür
ØDHCP istekleri ortamdaki tüm sistemlere ulaşır
• Genel kaide olarak:
ØAynı ortamda birden fazla DHCP sunucu varsa ilk cevap dönen IP ayarlarını istemciye gönderir.
• Korunmasız bir ortamda sahte DHCP sunucu kullanımı anlaşılmaz
• Sate DHCP olarak konumlandırılmış sistem istemcilere
ØIP, DNS sunucu, ağ geçidi
Øayarlarını atayabilir.
• DHCP spoofing olarak da adlandırılır

374. @BGASecurity
BGA | TCP IPDHCP Spoofing
• Yerel ağda sanki ikinci bir DHCP sunucusu varmış gibi DHCP broadcast paketlerini dinleyerek gerçek DHCP sunucudan
önce cevap vermeye çalışmak
• Gerçek DHCP sunucudan önce cevap vererek ağ ayarları talebinde bulunan makineye istenilen ağ ayarları verilebilir
ØIP adresi
ØNetmask
ØDNS adresi
ØDefault gateway adresi
ØProxy adresi...

375. @BGASecurity
BGA | TCP IPSahte DHCP Sunucu Cevabı

376. @BGASecurity
BGA | TCP IPEttercap ile DHCP Spoofing

377. @BGASecurity
BGA | TCP IPEttercap ile DHCP Spoofing

378. @BGASecurity
BGA | TCP IPBölüm-X:DNS Ve Zayıflıkları

379. @BGASecurity
BGA | TCP IP
@BGASecurity
Bölüm-XDNS ve Zayıflıkları

380. @BGASecurity
BGA | TCP IPDNS Nedir?
• Internet dünyasında isim-ip çözümlemesi için kullanılır (A ve PTR Kayıtları)
• Dağıtık yapıdadır
• E-postaların ulaşım adreslerini belirler (MX kayıtları)
• Internet’de en çok ihtiyaç duyulan protokol
• Ipv6 ile vazgeçilmez olacak

381. @BGASecurity
BGA | TCP IPDNS Tarihçesi
• 1970 Arpanet
• SRI-NIC tarafından merkezi bir makinede Host.txt dosyası tutulurdu
• Bu dosyanın yönetimi ve talep eden sistemlerin yoğunluğu artmaya başladıkca problemler çıktı
• 1983 yılında Paul Mockapetris tarafından tasarlandı
• İlk RFC numaraları1034, 1035

382. @BGASecurity
BGA | TCP IPDNS Başlık Bilgisi

383. @BGASecurity
BGA | TCP IPDNS Hiyerarşisi
Root(.)
edunetorg ukcom tr
mardin istanbul kocaeli itu metu
cs cis
huzeyfe

384. @BGASecurity
BGA | TCP IPTLD
• Top Level Domains.
• com, tr, net vs
• 20 “generic top-level domains” (gTLDs)
• 248 “country code top-level domains “

385. @BGASecurity
BGA | TCP IPDNS:İsim->IP Çözümleme
www.lifeoverip.net IP Adresi Nedir?
www.lifeoverip.net IP 91.93.119.80
DNS Sunucu
DNS Sunucu
UDP Port 53

386. @BGASecurity
BGA | TCP IPDNS:IP->İsim Çözümleme
91.93.119.87 IP Adresine ait host adı nedir?
91.93.119.87 IP adresine ait host adı
DNS Sunucu
DNS Sunucu
UDP Port 53

387. @BGASecurity
BGA | TCP IPDNS Ne Zaman TCP Kullanır?
DNS UDP tabanlı bir protokoldür.

388. @BGASecurity
BGA | TCP IPDNS ve TCP|Örnek

389. @BGASecurity
BGA | TCP IPİsim Çözme Sıralaması
• Linux sistemler için
Ø /etc/hosts
Ø Dns sunucu /etc/resolv.conf
• Windows Sistemler için
Ø C:windowssystem32driversetchosts
Ø DNS sunucusu

390. @BGASecurity
BGA | TCP IPDNS Nasıl Çalışır? - Detay

391. @BGASecurity
BGA | TCP IPRoot DNS Sunucular

392. @BGASecurity
BGA | TCP IPDNS Sorgu Çeşitleri
Sorgu
Çeşitleri
IterativeRecursive

393. @BGASecurity
BGA | TCP IPRecursive Query
• İstemcinin DNS sunucuya gönderdiği sorgu tipidir
• İstemci DNS sunucuya erişmek istediği sisteme ait sorguyu gönderir ve net bir cevap bekler(olumlu ya da olumsuz)
• DNS sunucu istemcinin sorgusunu alarak internette farklı DNS sunuculara sorabilir veya doğrudan kendi üzerindeki
bilgilerden cevap verebilir

394. @BGASecurity
BGA | TCP IPIterative Query
• DNS sunucuların kendi aralarında gerçekleştirdiği sorgu tipi
• İstemcinin istediği alan adının cevabını bulana kadar DNS sunucu uğraşır
Ø Cevabı bulduktan sonra istemciye cevap döner
Ø Bulduğu cevabı sonraki sorgular için ön belleğinde saklar

395. @BGASecurity
BGA | TCP IPDNS Kayıt Tipleri
Kayıt Tipi DNS sorgusunun amacını belirler
Ø A
Ø MX
Ø NS
Ø TXT

396. @BGASecurity
BGA | TCP IPDNS Cache
• DNS cevapları sorgulayan taraflar tarafından belirli süreliğine hatırlanmak üzer ekaydedilir
• TTL( değeri alan adının sahibi tarafından belirlenir
• TTL değerinin düşük o lması
• Daha sık DNS sorgusu gerektirir
• DNS sunucuyu yorar
• TTL değerinin yüksek olması
• Daha az DNS sorgusu gerektirir, dns sunucuyu fazla yormaz
• IP adresine ulaşılamayan durumlarda veya ip değişikliği durumlarında sisteme erişim sağlanmaz
• Olumsuz cevaplar da kaydedilir
• Olmayan domainlere yapılacak sorgulamalarda zaman kaybı olmasın diye
• DDoS saldırılarında oldukça faydalı olabilir
• Nasıl?

397. @BGASecurity
BGA | TCP IPDNS TTL Süresi Örnek
Genellikle bu değer 3 gün civarı olarak belirlenir.

398. @BGASecurity
BGA | TCP IPDNS Traceroute

399. @BGASecurity
BGA | TCP IPDNS’in Kötüye Kullanımı
• DNS internetin en önemli protokollerinden biridir.
• DNS’e yönelik çeşitli ciddi tehditler bulunmaktadır
• DNS’e yönelik sık gerçekleştirilen atak tipleri
Ø DNS sunucu versiyon belirleme
Ø DNS zone transfer
Ø Dns spoofing
Ø Dns cache snooping
Ø DNS cache poisoning
Ø DNS rebinding
Ø DNS tünelleme

400. @BGASecurity
BGA | TCP IPDNS Sunucu Versiyon Belirleme
• Amaç hedef sistemde çalışan DNS sunucu yazılımını belirlemektir.
• Neden önemlidir?
• Kesin yöntemi yoktur
• Belirleme araçları
• ...

401. @BGASecurity
BGA | TCP IPDNS Sunucu Yazılımı Belirleme-I
Nmap –p 53 –sU –sV dns_sunucu_ip_adresi

402. @BGASecurity
BGA | TCP IPDNS Sunucu Yazılımı Belirleme-II
dig @dns_sunucu version.bind chaos txt
options {
directory "/var/named";
version "[Secured]";
};
DNS sunucu versiyonu
gizleme(Bind için)

403. @BGASecurity
BGA | TCP IPDNS Sunucu Yazılımı Belirleme-III
Nslookup kullanarak sürüm belirleme
nslookup -q=txt -class=CHAOS version.bind. 0

404. @BGASecurity
BGA | TCP IPZone Transfer
• DNS sunuculardan zone transferi
Ø İlgili domaine ait kayıtların topluca alınması
• TCP Port 53’ün açık olması gerekir.
• Nslookup
Øset type=any
Øserver ns1.lifeoverip.net
Øls –d lifeoverip.net
• Dig
Ø$dig @1.2.3.4 axfr huzeyfe.net

405. @BGASecurity
BGA | TCP IPZonte Transfer Neden Tehlikelidir?
Şirkete ait özel domain/ip adreslerine ulaşım
• Test amaçlı kurulmuş sistemler
• Yönetim amaçlı kurulmuş sistemler
ØSsh.banka.com.tr

406. @BGASecurity
BGA | TCP IPZone Transferi Kontrolü

407. @BGASecurity
BGA | TCP IPZone Transferi Engelleme
• Alan adlarının sadece belirli makineler tarafından yedeklenebilmesi için ayar
• Bind ayarları.
zone "example.com" in{
allow-transfer (192.168.0.3;);
};

408. @BGASecurity
BGA | TCP IPDnsspoof Çalışması
• Amaç kurban olarak seçilen sistemin yapacağı dns sorgulamalarına müdahele etmektir.
• Dnsspoof öncesi durum:
Arpspoof ile hedef
sistemin trafigi
üzerimizden gecirilir.

409. @BGASecurity
BGA | TCP IPDnsspoof Çalışması-II
• ip_forward aktif duruma getirilerek trafigin hedefine yönlendirilmesi saglanir.
• Değiştirilmek istenen domainlere ait kayitlar /tmp/domains dosyasina asagidaki formatta girilir
• 127.0.0.1 *.google.com
• 192.168.1.5 www.linux.com
• dnsspoof araci calistirilir.

410. @BGASecurity
BGA | TCP IPDnsspoof Saldırısını İzleme
DNS Cache cevap verebilir.
Dns cache temizlenip tekrar
sorgulanır...

411. @BGASecurity
BGA | TCP IPDNS Spoof
• Sadece yerel ağlarda aktif olarak gerçekleştirilebilir.!
• ARP spoofing ya da benzeri bir yöntemle trafiği üzerimizden geçiremezsek bu saldırı tipi bir işe yaramaz
• Alt katmanlarda güvenlik sağlanmazsa, üst katmanlarda ne tip sıkıntılara sebep olduğunun en iyi göstergelerinden

412. @BGASecurity
BGA | TCP IPYerel DNS:Hosts Dosyası
C:WindowsSystem32Driversetchosts
Desktop Phishing : http://www.milw0rm.com/video/watch.php?id=101

413. @BGASecurity
BGA | TCP IPDNS Cache Snooping
• Bid DNS sunucunun önceden bir alan adını sorgulayıp önbelleiğine kaydedip kaydetmediğini öğrenmek amaçlı
kullanılan yönteme verilir
• DNS önbelleğine sorgu gönderirken rekusrisf olmayan sorgu gönderip dönen cevaba göre ilgili dns sunucunun daha
önce gönderdiğimiz alan adını belleğine kaydedip kaydetmediği belirlenebilir.
• dig komutu kullanılarak bir sunucuda dns cache snooping zaafiyet olup olmadığı anlaşılabilir.
• Nessus zayıflık tarama aracı dns cache snooping için kontrol barındırmaktadır.

414. @BGASecurity
BGA | TCP IPDNS Cache Snooping Nasıl Belirlenir?
dig @192.168.1.1 www.siberguvenlik.org +norecurse
; <<>> DiG 9.5.0-P2.1 <<>> @192.168.1.1 www.siberguvenlik.org +norecurse
; (1 server found)
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 30647
;; flags: qr ra; QUERY: 1, ANSWER: 0, AUTHORITY: 6, ADDITIONAL: 7
;; QUESTION SECTION:
;www.siberguvenlik.org. IN A
;; AUTHORITY SECTION:
org. 27464 IN NS b0.org.afilias-nst.org.
org. 27464 IN NS d0.org.afilias-nst.org.
org. 27464 IN NS a2.org.afilias-nst.info.
org. 27464 IN NS c0.org.afilias-nst.info.
org. 27464 IN NS a0.org.afilias-nst.info.
org. 27464 IN NS b2.org.afilias-nst.org.
;; ADDITIONAL SECTION:
a0.org.afilias-nst.info. 28391 IN A 199.19.56.1
a2.org.afilias-nst.info. 36755 IN A 199.249.112.1
a2.org.afilias-nst.info. 37833 IN AAAA 2001:500:40::1
b0.org.afilias-nst.org. 36755 IN A 199.19.54.1
b2.org.afilias-nst.org. 36755 IN A 199.249.120.1
c0.org.afilias-nst.info. 36755 IN A 199.19.53.1
d0.org.afilias-nst.org. 27972 IN A 199.19.57.1

415. @BGASecurity
BGA | TCP IPCache Poisoning
• Ara DNS sunucuları sorguladıkları alan adlarına ait bilgileri bir müddet saklarlar
• Saldırgan DNS sunucunun ön belleğine istediği bir kaydı eklettirebilirse o DNS sunucuyu kullanan tüm istemciler
otomatik olarak saldırganın yönlendirmesine açık demektir

416. @BGASecurity
BGA | TCP IPCache Poisoning İle Neler Yapabilir?
• Kullanıcıların ulaşmak istedikleri site yerine saldırganın istediği bir sayfaya yönlendirilebilir
• Mail sayfalarının, facebook gibi sayfaların br kopyası yapılarak kullanıcı adı, parola bilgileri çalınabilir
• DDoS saldırısı gerçekleştirilebilir
• Google.com için IP adresi 11.22.33.44 olarak gören tüm kullanıcılar bu ip adresine istek yapacaktır

417. @BGASecurity
BGA | TCP IPDNS Cache Poisoning|Örnek

418. @BGASecurity
BGA | TCP IPDNS Cache Poisoning-II
DNS Sorgularının Güvenliği;
Kaynak Porta ve Transaction ID değerine bağlıdır

419. @BGASecurity
BGA | TCP IPDns Cache Poisoning-III

420. @BGASecurity
BGA | TCP IPCache Poisoning’den Korunma
• Kaynak Port random
• TXID random
• DNS isteklerini rastgele büyük, küçük harfe çevirme

421. @BGASecurity
BGA | TCP IPOnline Cache Poisoning Sorgulama

422. @BGASecurity
BGA | TCP IPKaynak Port Randomluğu sorgulama

423. @BGASecurity
BGA | TCP IPBüyük/Küçük Harf Çevirme
İstek hangi formatta gittiyse cevap da aynı dönmelidir!

424. @BGASecurity
BGA | TCP IPDNS Tünelleme
• Amaç: DNS Portu ya da DNS Paketleri içerisinden HTTP/SMTP/RDP/POP, kısaca tüm protokolleri tünelleme
• İki tür tünelleme vardır:
Ø Güvenlik duvarından UDP Port 53 açıksa(TTNet)
Ø Güvenlik duvarından UDP Port 53 kapalıysa
• UDP port 53 üzerinden yapılan tünelleme dns tünelleme olarak değil, dha çok UDP tünelleme olarak kabul edilir.
• DNS Tünelleme anormallik tespit sistemleri tarafından keşfedilebilir
Ø Bir istemcinin saat/gün hesabında gönderdiği dns sorgu sayısı

425. @BGASecurity
BGA | TCP IPProtokol Tabanlı Dns Tünelleme

426. @BGASecurity
BGA | TCP IPDNS Tünelleme Wireshark Çıktısı
• Base32 ile encode edilmiş sorgular
• Base32 kullanarak 5 biti tek karekterde saklayabiliriz
• DNS sorgularında alan adı uzunluğu 253 karektere kadar çıkabilir
• Ortalama tek pakette 150 byte taşıyabilir

427. @BGASecurity
BGA | TCP IPDNS Tünelleme Yazılımları
• OpenVPN
• IODN
• NSTX
• Ozzyman

428. @BGASecurity
BGA | TCP IPDNS’e Yönelik DoS/DDoS Saldırıları
• Amaç DNS sunucuya yönelik kapasitesinden fazla paket gönderip servis verememesini sağlama
• Veya DNS sunucuları DDoS saldırılarında araç olarak kullanarak trafik üretme

429. @BGASecurity
BGA | TCP IPDNS Amplification Saldırısı
• UDP üzerinden taşınan dns paketleri 512 byten büyük olamaz
• EDNS(RFC 2671) dns sorgularının cevapları 512 bytedan daha büyük olabilir
• 60 byte(dns isteği) gönderip cevap olarak 4000 byte alınabilir(cevap=56X istek)
• 10Mb bağlantıdan 10X65=650 Mbit trafik üretilebilir.
• Koruma: recursive dns sorguları ve edns desteği iyi ayarlanmalı

430. @BGASecurity
BGA | TCP IPAmplified DNS DDOS Saldırıları

431. @BGASecurity
BGA | TCP IPAmplified DNS Örneği