Tarama Network Tracing Nmap Taraması Servis, Versiyon ve OS Tespiti NMAP Betik Taraması Zamanlama, IPS/IDS 03 - Tarama BGM 531 - Sızma Testleri ve G¨ uvenlik Denetlemeleri Bilgi G ¨ uvenli ˘ gi M ¨ uhendisli ˘ gi Y¨ uksek Lisans Programı Dr. Ferhat ¨ Ozg ¨ ur C ¸ atak [email protected]˙ Istanbul S ¸ ehir ¨ Universitesi 2018 - G ¨ uz Dr. Ferhat ¨ Ozg ¨ ur C ¸ atak [email protected]03 - Tarama
74
Embed
Dr. Ferhat Ozgur¨ C¸atak¨ [email protected] 2018 - Guz¨ · 2020-07-09 · Tarama Network Tracing Nmap Taraması Servis, Versiyon ve OS Tespiti NMAP Betik Taraması Zamanlama,
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Tarama Network Tracing Nmap Taraması Servis, Versiyon ve OS Tespiti NMAP Betik Taraması Zamanlama, IPS/IDS Atlatma Tarama Ipucları
03 - TaramaBGM 531 - Sızma Testleri ve Guvenlik Denetlemeleri
Bilgi Guvenligi MuhendisligiYuksek Lisans Programı
Tarama Network Tracing Nmap Taraması Servis, Versiyon ve OS Tespiti NMAP Betik Taraması Zamanlama, IPS/IDS Atlatma Tarama Ipucları
Tarama I
Taramanın amaclarıI Genel hedef: Hedef ortam hakkında daha fazla bilgi edinme ve hedef
ortamla etkilesime girerek acıklıklar bulunması.I Ag icinde yer alan hosts, firewalls, routers gibi bilesenlerin ag adreslerinin
belirlenmesiI Hedef ortamın ag topolojisinin elde edilmesiI Kesfedilen bilgisayarların isletim sistemi turlerini belirlemeI Hedef ortamda bulunan acık portların ve ag hizmetlerinin belirlenmesiI Potansiyel zafiyet listesinin belirlenmesiI Bunları, ana makine veya hizmete zarar verme riskini en aza indirecek
Tarama Network Tracing Nmap Taraması Servis, Versiyon ve OS Tespiti NMAP Betik Taraması Zamanlama, IPS/IDS Atlatma Tarama Ipucları
Tarama II
Tarama TipleriI Network sweeping: Hedef agdaki IP adreslerindeki canlı sistemleri
tanımlamak icin bir dizi paketin gonderimiI Network tracing: Ag topolojisinin belirlenmesi ve bir harita cizimiI Port scanning: Hedef sistemde yer alan acık TCP ve UDP portlarının
belirlenmesiI OS fingerprinting: Ag davranısına gore hedef isletim sistemi turunu
belirlemeI Version scanning: Acık TCP ve UDP baglantı noktalarının calıstırdıgı
hizmetlerin ve protokollerin surumunu belirlemeI Vulnerability scanning: Hedef ortamdaki olası guvenlik acıklarının
(yanlıs yapılandırmalar, unpatched services vb.) Bir listesini belirleme
Tarama Network Tracing Nmap Taraması Servis, Versiyon ve OS Tespiti NMAP Betik Taraması Zamanlama, IPS/IDS Atlatma Tarama Ipucları
Tarama IV
Port Tarama (Port Scanning)I Port Tarama (Port Scanning): Bir sistemde yer alan acık TCP/IP
portlarının bulunması islemidir.I Well-Known Ports: 0-1023 (Orn: 80. port web sunucu)I Registered Ports: 1024-49151 (vendors use for applications)I Dynamic Ports: 49152-65535 (dynamic / private ports)
FTP, 21Telnet, 23HTTP, 80SMTP, 25POP3, 110HTTPS, 443Global Catalog Server (TCP), 3269 ve 3268LDAP Server (TCP/UDP), 389LDAP SSL (TCP/UDP), 636IPsec ISAKMP (UDP), 500NAT-T (UDP), 4500RPC (TCP), 135ASP.NET Session State (TCP), 42424NetBIOS Datagram Service (UDP), 137 ve 138
NetBIOS Session Service (TCP), 139DHCP Server (UDP), 67LDAP Server (TCP/UDP), 389SMB (TCP), 445RPC (TCP), 135DNS (TCP/UDP), 53IMAP (TCP), 143IMAP over SSL (TCP), 993POP3 (TCP), 110POP3 over SSL (TCP), 995RPC (TCP), 135RPC over HTTPS (TCP), 443 veya 80SMTP (TCP/UDP), 25
Tarama Network Tracing Nmap Taraması Servis, Versiyon ve OS Tespiti NMAP Betik Taraması Zamanlama, IPS/IDS Atlatma Tarama Ipucları
Tarama V
Ag Tarama (Network Scanning)I Ag icerisinde yer alan aktif olarak calısan sunucuların tespit edilmesi.I Zafiyet Taraması (Vulnerability Scanning): Ag uzerinde yer alan
bilgisayarlarda bilinen zafiyetlerin tespit edilmesi islemi.
Tarama Network Tracing Nmap Taraması Servis, Versiyon ve OS Tespiti NMAP Betik Taraması Zamanlama, IPS/IDS Atlatma Tarama Ipucları
Ping Sweep I
Ping SweepI IP adres blogu uzerinde ping sweep islemi ile canlı sistemlerin
bulunması.I Ag uzerinde yer alan bilgisayarlardan ping cevabı alınması durumunda
calısır oldugu kabul edilir.I Internet Control Message Protocol (ICMP) taramasıda denilmektedir.I ping komutu ICMP protokolu kullanır.I Internet Control Message Protocol: Hataları raporlamak icin
kullanılan,kontrol amaclı bir protokoldur. Bu sekilde normal kullanımınınyanında, uzak sistem hakkında bilgi toplamak icin sıkca kullanıldıgındancok onemlidir.
Tarama Network Tracing Nmap Taraması Servis, Versiyon ve OS Tespiti NMAP Betik Taraması Zamanlama, IPS/IDS Atlatma Tarama Ipucları
Angry IP Scanner I
Angry IP ScannerI Angry IP Scanner, verilen bir aralıkta yer alan IP adreslerini taramaktadır.I ICMP kullanmaktadır. Her bir adrese ping islemi gerceklestirmektedir.I NetBIOS bilgisini elde edebilir (computer name, workgroup name, and
currently logged in Windows user)I Tarama sonucları CSV, TXT, XML gibi formatlarda kayıt altına
alınabilmektedir.I Temel ag arama aracıdır.I Plugin gelistirilebilir. Java dili ile uygulama yazılabilir.I Multi-thread. Her bir IP adresi icin ayrı thread olustuurlarak hızlı bir
Tarama Network Tracing Nmap Taraması Servis, Versiyon ve OS Tespiti NMAP Betik Taraması Zamanlama, IPS/IDS Atlatma Tarama Ipucları
TCP Flag Tipleri I
TCP FlagsI SYN Synchronize. Initiates a connection between hosts.I ACK Acknowledge. Established connection between hosts.I PSH Push. System is forwarding buffered data.I URG Urgent. Data in packets must be processed quickly.I FIN Finish. No more transmissions.I RST Reset. Resets the connection.
Tarama Network Tracing Nmap Taraması Servis, Versiyon ve OS Tespiti NMAP Betik Taraması Zamanlama, IPS/IDS Atlatma Tarama Ipucları
TCP Flag Tipleri II
I TCP three-way handshake kullanılarak TCP taramaları yapılır. Ikibilgisayar arasında basarılı baglantı icin three-way handshake yapılır.I Gonderici (Sender), SYN bit’i set edilmis bir TCP paketi gonderir.I Alıcı (Receiver), SYN ve ACK bitleri set edilmis TCP paketi gonderir.I Gonderici, ACK bit’i set edilmis son bir TCP paketi gonderir.
Tarama Network Tracing Nmap Taraması Servis, Versiyon ve OS Tespiti NMAP Betik Taraması Zamanlama, IPS/IDS Atlatma Tarama Ipucları
Nmap II
Table: NMap tarama turleri
NMap Tarama AcıklamaTCP connect Hedef sistemle TCP baglantısı. Dogrulugu yuksek fakat en farkedilir
tarama. Acık portlar SYN/ACK, kapalı portlar RST/ACKXMAS tree scan XMAS-tree paketleri ile TCP servislerin kontrol edilmesidir. PSH, URG
ve FIN. RFC793’e gore kapalı bir porta standart dısı paket gonderimindecevap olarak RST gelir. Saldırgan kapalı portları bulmaya calısmaktadır.
SYN stealth scan half-open tarama. SYN paketi gonderilir, SYN-ACK bilgisi sunucudanalınır.
Null scan Firewall tarafından algılanmama ihtimali olan, butun flag’lerin kapalı oldugutarama. Sadece Unix sistemlerde calısır. Firewall uzerinde sadece belirliflaglere gore kural olması durumunda buradan gecme ihtimali vardır. Ka-palı portlar icin RST gelir.
ACK scan Port’a gelen cevap unreachable olması durumunda filtered olarak kabuledilir. Amac portların acık kapalı olması degil, firewall kuralları veya ACL(Access Control List) hakkında bilgi edinmektir. Filtre olmayan sistemdeopen ve closed portlar icin RST gelecektir. Bu durumda sisteme erisimvardır (Engel yok).
Tarama Network Tracing Nmap Taraması Servis, Versiyon ve OS Tespiti NMAP Betik Taraması Zamanlama, IPS/IDS Atlatma Tarama Ipucları
UDP Taraması II
The port is inaccessibleI Port is closedI Firewall is blocking inbound UDP probe packetI Firewall is blocking outbound responseI Port is open, but it was looking for specific data in UDP payload. Without
Tarama Network Tracing Nmap Taraması Servis, Versiyon ve OS Tespiti NMAP Betik Taraması Zamanlama, IPS/IDS Atlatma Tarama Ipucları
UDP Taraması III
UDP taraması port durumları:I open: UDP servisi herhangi bir cevap doner. Bu durumda dinleyen bir
servis oldugu anlasılır.I closed: UDP servisi “ICMP port unreachable” cevabı doner. Bu
durumda porta erisimde bir guvenlik duvarının engellemesi olmadıgıancak dinleyen bir UDP servisi olmadıgı anlasılır.
I filtered: UDP servisi “ICMP port unreachable” haricinde “ICMPunreachable” mesajlarından birini doner. Bu durumda porta erisimde birguvenlik duvarının engellemesi oldugu anlasılır.
I open—filtered: UDP servisinden bir cevap gelmez. Bu durumda oradadinleyen bir servis olup olmadıgı veya porta erisimde bir guvenlikduvarının engellemesi olup olmadıgı hakkında bilgi sahibi olamayız.
Tarama Network Tracing Nmap Taraması Servis, Versiyon ve OS Tespiti NMAP Betik Taraması Zamanlama, IPS/IDS Atlatma Tarama Ipucları
Nmap Kullanılabilirlik Ozellikleri I
--packet-trace
I Her bir paket icin detaylı bilgiler sunmaktadır.I Nmap calls to the OSI SENT/ RCVDI Protocol (TCP/UDP)I Source IP:Port and Dest IP:PortI Control Bits
I -Pn: Indicates that we don’ t want to ping the target system; we just want to scan it.I -sS: Indicates that we want a SYN scan (also known as a Stealth Scan or a Half-Open Scan).I -p1-1024: Tells Nmap to scan ports 1 through 1024 onlyI –packet-trace: Makes Nmap display the status and packet summary information.
Tarama Network Tracing Nmap Taraması Servis, Versiyon ve OS Tespiti NMAP Betik Taraması Zamanlama, IPS/IDS Atlatma Tarama Ipucları
Nmap Kullanılabilirlik Ozellikleri II
Custom Control Bits in Scans
I Istenilen Control Bits ile bayrak olusturmak icin kullanılmaktadır--scanflags [URG|ACK|PSH|RST|SYN|FIN|ECE|CWR|ALL|NONE]I Kontrol Bitlerine iliskin uc harfli referansı herhangi bir sırada (veya ALL veya
NONE) ekleyin.I Ornek: 10.10.10.10’da TCP portuna bir SYN, bir PSH, bir ACK paketi
gondermek icin asagıdakileri calıstırabilirsiniz:nmap --scanflags SYNPSHACK -p 445 10.10.10.10
Tarama Network Tracing Nmap Taraması Servis, Versiyon ve OS Tespiti NMAP Betik Taraması Zamanlama, IPS/IDS Atlatma Tarama Ipucları
Servis ve Versiyon Tespiti II
nmap-service-probes veritabanıI Dinleyen servise cesitli paketler gondererek davranısına gore
uygulamanın versiyonunu tespit etmeye calısır.I Uygulama protokolu (Ornek: FTP, SSH, Telnet, ...)I Uygulama adı (Ornek: ISC BIND, Apache httpd, ...)I Versiyon numarasıI Sunucu adıI Cihaz turu (yazıcı, yonlendirici, ...)I Isletim sistemi ailesi (Windows, Linux, ...)I Version scan invoked with -sV
I Or use -A for OS fingerprinting, version scan, script scan with default scripts,and traceroute (-A = -0 + -sV + -sC + --traceroute)
I For each listening port discovered during the port scan, Nmap
Tarama Network Tracing Nmap Taraması Servis, Versiyon ve OS Tespiti NMAP Betik Taraması Zamanlama, IPS/IDS Atlatma Tarama Ipucları
Uygulama
UygulamaI run tcpdump so that it sniffs all packets going between your machine and
the target network of 10.10.10tcpdump -nn host [YourLinuxIPaddr] and net 10.0.2I Use OS fingerprinting.I Perform a TCP connect scan (the three-way handshake for each open port).I Scan target ports l through l024.I Scan the target network 10.0.2.1-255.I -A: all
Tarama Network Tracing Nmap Taraması Servis, Versiyon ve OS Tespiti NMAP Betik Taraması Zamanlama, IPS/IDS Atlatma Tarama Ipucları
Betik Taraması II
Betik TaramasıI Aktif hale getirmek icin -sC veya --script kullanılır.
KategorilerI auth: Yetkilendirme atlatma betikleriI brute: Kaba kuvvet ile yetkilendirme atlatma betikleriI default: Betik taraması aktif edildiginde varsayılan betiklerI dos: Servis dısı bırakabilecek acıklıkları test eden betikler, genellikle servis dısı bırakma ile sonlanırI exploit: Bazı zafiyetleri somurmek icin gelistirilmis betiklerI intrusive: Guvenli kategorisine girmeyen, servis dısı bırakma ile sonuclanabilen, sistem kaynaklarını fazla
kullanan veya hedef sistem tarafından saldırgan olarak tanımlanacak aktiviteler gerceklestiren betikler(ornegin kaba kuvvet betikleri)
I malware: Hedef sistemde belirli bir kotucul yazılımın veya arka kapının olup olmadıgını test eden betiklerI safe: intrusive kategorisine girmeyen, servis dısı bırakma ile sonuclanmayacak, sistem kaynaklarını asırı
tuketmeyecek veya hedef sistem tarafından saldırgan olarak tanımlanmayacak aktiviteler gerceklestirenbetikler
I version: Gelismis versiyon tespiti gerceklestiren betiklerI vuln: Hedef sistemde belirli bir zafiyetin olup olmadıgını test eden betikler
Tarama Network Tracing Nmap Taraması Servis, Versiyon ve OS Tespiti NMAP Betik Taraması Zamanlama, IPS/IDS Atlatma Tarama Ipucları
Zamanlama I
ZamanlamaI Tarama dogrulugu ve etkinligi acısından onemlidir.I Dısardan yapılan taramalarda IPS/IDS’den kacmak icin yavas taramalar.I Iceriden yapılan taramalarda hızlı tarama tercih edilir.
Parametreler
I -T0 (paranoid): En yavas tarama turudur. Paralel tarama kapalıdır ve gonderilen her bir paket arasında 5 dksure gecer.
I -T1 (sneaky): Paralel tarama kapalıdır ve gonderilen her bir paket arasında 15 sn sure gecer.I -T2 (polite): Paralel tarama kapalıdır ve gonderilen her bir paket arasında 0.4 sn sure gecer.I -T3 (normal): Nmap varsayılan tarama hızıdır. Belirli bir hız secenegi sunulmadıgında kullanılır. Paralel
tarama ilk kez bu parametre ile baslar. Nmap hızını taramanın durumuna gore ayarlar.I -T4 (aggressive): Varsayılan taramaya gore daha hızlıdır.I -T5 (insane): En hızlı tarama secenegidir. Ag trafiginin dolmasına ve hizmet kesintilerine neden olabilir.
Ayrıca zaman asımları beklenmeyeceginden bazı servisler icin yanlıs sonuclar da donme ihtimali vardır.
Tarama Network Tracing Nmap Taraması Servis, Versiyon ve OS Tespiti NMAP Betik Taraması Zamanlama, IPS/IDS Atlatma Tarama Ipucları
Zamanlama II
--max-retries 2I Nmap cevap alamadıgı portlar icin tekrardan istekte gonderir.I Bu parametre ile kac kez tekrar paket gonderilecegi belirtilebilir
--host-timeout 30I Bir sunucuda taramanın en cok surecegi sure belirtilebilmektedir.
Paralel Taramanın KapatılmasıI -T0, -T1, -T2: Paralel tarama bu parametreler kullanıldıgında kapalıdır.I --scan-delay 1: Gonderilen her bir paket arasına 1 sn sure koyar.I --max-parallelism 1: Aynı anda bir sunucuya tek bir paket
gonderilmesini saglar.I --max-hostgroup 1: Paralel taramayı tamamen kapatmaz, tek bir anda
tek bir sunucuya tarama gerceklestirilmesini saglar.
Tarama Network Tracing Nmap Taraması Servis, Versiyon ve OS Tespiti NMAP Betik Taraması Zamanlama, IPS/IDS Atlatma Tarama Ipucları
IP Adresi Kullanarak Tarama
IP Adresi Kullanarak TaramaI Sistemleri tararken (ve istismar ederken), genellikle sistem adlarını degil,
hedef IP adreslerini veya adres aralıklarını kullanmak icin taramaaraclarını yapılandırırız.I Ornegin, www.target.tgt yerine 10.10.10.10I Isme dayalı olarak saldırırsanız, test gerceklesirken, round robin DNS, hedef
sistemi degistirebilirI Hatalı sonuclara neden olabilir
I Iki farklı adrese yapılan port taramasında sonuclar hatalara neden olacaktırI Hizmetin somurulmesi sırasında farklı bir makineye baglanılabilir
I Tek bir IP adresinin bile birden cok fiziksel (veya sanal) hedefte dengeliolarak yuklendigini kabul edilmelidir.