- 4 Ağu 2008
- 124
- 4
Arkadaşlar bildiğiniz gibi ister web hackte olsun ister msn veya pc hackte olsun hedef olan aslında daima bir pc dir..Bunun için hedef pc nin çalışma mantığını dolayısıyla işletim istemini bilmek,bizi hedefimize bir adım daha yaklaştırıcaktır ve işimizi kolaylaştırıcaktır..Şimdi size hedef pc nin işletim sistemini öğrenmek hakkında bir makale yayınlıyorum..Umarım işinize yarar
zamanında bizim çok işimize yaradı..
Bu yazı TCP/IP katmanları sorgulaması ile bilgisayardan nasıl bilgi toplanabileceğini anlatmaktadır;
Giriş
Önce TCP/IP katmanları sorgulaması kullanılmadan bilgisayarın
Kolay Gelsin ...
işletim sistemini tespit etmeye yarayan klasik metodları anlatmaya çalıştım, daha sonra katman sorgulaması ile işletim sistemi tesbit eden uygulamaların kullandıkları metodları açıkladım.Bundan sonra uzaktaki bir bilgisayarın kendisi hakkında bilgi verilmesine yol açacak tekniklere yer verdim.En son olarakta NMAP ın bu teknikleri nasıl kullandığını ve Nmap ile tespit edilen popüler internet sitelerinin kullandığı işletim sistemlerini ekledim. Biraz uzun olmasına rağmen anlaşılır olmasına çabaladım.
Nedenler
Bence bir bilgisayarın işletim sistemini tesbit etmenin faydası çok açık bu sebeple bu bölümü kısa tutuyorum. Bu faydalardan bir tanesi güvenlik açıklarının işletim sistemlerine özgü olması. Farzedelim ki! Bir bilgisayara girilebilirlik testi yapmayı düşünüyorsunuz, ve 53 nolu portun açık olduğunu gördünüz. Eğer Bind ın kırılabilir versiyonunu kullanabiliyor ise bu açığı kullanabilmeniz için tek bir şansınız var çünkü yanlış bir hareketiniz Bind sunucusunun çökmesine neden olabilir. İyi bir
TCP/IP sorgulaması ile hedef sistemin Solaris ya da Linux kullandığı tespit edebilir ve kullandığınız shellcode(kabuk kodu)nu buna göre düzenleyebilirsiniz. Veya birisi 500 adet bilgisayarı her birinin kullandığı işletim sistemini ve açık bıraktığı portları
tespit etmek için tarıyor. Daha sonra başka birisi Sun comsat deamonunda root erişim sağlanabilecek br delik olduğunu söylüyor ve bizim küçük cracker taradığı sistemlerde “UDP/512” ve “Solaris 2.6”kelimelerini bulup çıkartıyor.Ve root düzeyi
erişim ekranı ile karşılaşıyor Bu arada bu hareket “script kiddie” hareketidir.Bu metod kabiliyetinizle bu işi başardığınızı göstermez. Bir diğer kullanım alanı ise sosyal mühendislik motodlarıdır. Farzedelim ki! Hedef aldığını şirketi taradınız ve
NMAP size datavoice (Txport Prism 3000 T1 CSU/DSU 6.22/2.06) gibi acayip bir rapor verdi. Bundan sonra Hacker “Datavoice Txport desteği istermiş gibi firmayı arıyor ve PRISM 3000 ile ilgili güvenlik özelliklerini sormaya başlıyoruz.
Aldığımız cevap “Yakın zamanda bir güvenlik açığı bir güvenlik açığı açıklamayı düşünüyoruz açıklamadan önce müşterilerimizin ilgili yamayı yüklemesini bekliyoruz”Benden iyi olmasın bazı saf adminler sadece yetkili mühendislerin Datavoice CSU/DSU bilgisinin olabileceğini sanarlar. Bunun içinde her zaman iş
yapacağımız ISP yi seçmeden önce tarama yapıp neler kullandığını etmektir. Fiyatları makul olanlar genellikle döküntü router kullanırlar ve PPP servisleri yeterli düzeyde değildir.
Klasik Teknikler
Katman sorgulaması işletim sistemi tesbitinin belirlenmesi problemini tek bir yolla çözer. Bana göre bu teknik verdiği sözlerin çoğunu tutuyor ama Şu an birçok farklı teknik kullanılıyor. Maalesef bu halen en etkili tekniktir.
Sadece örnektir :
playground~> telnet hpux.u-aizu.ac.jp
Trying 163.143.103.12 ...
Connected to hpux.u-aizu.ac.jp.
Escape character is `^]`.
HP-UX hpux B.10.01 A 9000/715 (ttyp2)
login:
Eğer sistem yukarıda örneklendiği gibi herkeze ne olduğunu söylüyorsa işletim sistemi belirleme çilelerine gerek kalmıyor. Sadece işletim sistemini belirleyebilmenin başka yolları başka yolları var diye her bağlanmak isteyene bu mesajların verilmeside tabiki doğru değil.
Buna rağmen, bu teknik işletim sistemi ve versiyonun tesbitinde istediğiniz her şeyi verir.Eğer ISS Scanner a para döken varsa Nmap ya da Queso yu indirin paranız cebinizde kalsın. Karşı taraf ilanları (sorgulama cevaplarını) kapasa bile birçok
yüklü uygulama sorulduğu zaman bu tür bilgileri mutlaka verir.
Örneğin Ftp sunucusuna bağlanalım
)
payfonez> telnet ftp.netscape.com 21
Trying 207.200.74.26 ...
Connected to ftp.netscape.com.
Escape character is `^]`.
220 ftp29 FTP server (UNIX(r) System V Release 4.0) ready.
SYST
215 UNIX Type: L8 Version: SUNOS
Her şeyden önce bu uygulama varsayılan ilanında sistem ile ilgili detayları verir.”SYST” komutunu verdikten sonra ise bize daha fazla bilgi verir. Eğer anon FTP destekleniyor ise bize daha fazla bilgi verir. Eğer anon FTP destekleniyor ise /bin/ls yada başka bir uygulamayı indirebilir ve hangi mimari için yazıldıklarını
anlayabiliriz. Pek çok uygulama bu tür bilgileri verebilir. Web sunucularını ele alalım
playground> echo `GET / HTTP/1.0n` | nc hotbot.com 80 | egrep `^Server:`
Server: Microsoft-IIS/4.0
playground>
Diğer klasik teknikler DNS host info kayıtları (aslında çok nadiren etkili) sosyal mühendisliğe girer. Eğer makine 161/UDP portunu dinliyor ise CMU SNMP uygulamaları dağıtımının bir parçası olan “snmpwalk”ve”public”ortak adını kullanarak hemen hemen garanti bir şekilde detaylı bilgiler alabilirsiniz. Şu anki
tespit programları Nmap TCP/IP sorgulaması kullanarak işletim sistemi tesbiti yapan ilk program değildir. Genel bir irc spoofer olan sirc (Johan tarafından yazılmıştır.) çok temel teknikleri kullanmıştır. Birkaç basit TCP flag ları kullanarak bilgisayarları “BSD”,”Win98”yada “Unknown” gibi 3.sınıfa ayırır. Bu tür programa diğer bir örnek ise “checkos”dur.Kullandığı teknikler tamamen aynıdır. Hatta kullandığı kodlar bile bazı yerlerde aynıdır diye biliyorum. Checkos un ek bir özelliği
ise Telnet ilan kontrolünü kullanmasıdır.Yukarıda açıklandığı gibi yararlı olabilir.
Ancak aldatıcı da olabilir SU1 de bu tür bir program yazmıştı SS adını verdiği program versiyon 3.11 den sonra 12 ayrı işletim sistemini tespit edebilmektedir.
Bunun üzerinde çok fazla duruyorum çünkü Nmap kodunda onun kullandığı ağ kodları bulunmaktadır. Ve birde queso var bu program en iyisi ve diğerlerinden önde bir program, sadece yeni testleri tanımasının yanında işletim sistemi testlerini kodun dışında taşıyan ilk (bildiğim kadarıyla) program queso Savage tarafından yazılmıştır. Yukarıdaki programların hepsinde yaralan bir problem,bunların bilgi verirken cevaplarının ayrıntıdan yoksun olması ayrıca bu sistem bir “OpenBSD”,”FreeBSD” açıklamasından daha fazlasını bilmek isterdim. Yani tam
olarak bunlardan hangisi ve versiyonu ile ilgili bilgiler gibi...
Bir sonraki bölümde anlatacağım gibi,birçok teknik ile bunu başarmaya çalıştım TESBİT METODOLOJİSİ (Yöntembilim)Ağ katmanları sorgulaması ile tesbit yapmak için kullanılan çok fazla metod var.Temel olarak işletim sistemlerine özgü bazı
kavramları arayacaksınız ve bunları araştırmak kod yazmak gerekir tabikii burda coderlik devreye girer hepimizin becereceği iş değil.Eğer bu tür farkları yeteri kadar birleştirebilirseniz tesbit aralığını daraltabilirsiniz.Örneğin NMAP Solaris 2.4 ,Solaris 2.25,2.51 ve Solaris 2.6 birbirinden ayırabilir.İşte bazı teknikler.
FIN Testi
Bu teknikte açık olan porta FIN paketi yada ACK veya SYN işareti taşımayan herhangi bir paket yolluyoruz ve cevap için bekliyoruz.RPC 793”te açıklanan standartlara göre doğru cevap vermemektedir.Ancak pek çok uygulama (Windows, BSD, CISCO ve IRIX gibi) reset ile cevap verirler.Şu an kullanılan pek çok uygulama bu tekniği kullanır.Sahte flag testi queso bu zekice testi kullanan gördüğüm ilk tarayıcıdır.Düşüncenin temeli SYN paketinin TCP başlığına tanımlanmamış (64 yada 128)TCP paketi koymaktır.2.0.35 öncesi Linux versiyonları yollanan flag setini geri yollamaktadır.Bu eksiğe sahip başka bir işletim sistemi bulamadım.Ama bazı işletim sistemleri SYN+Sahte paketini aldıklarında bağlantıyı sıfırlamaktadırlar. Buda onları tesbit etmede kullanılabilir.
TCP ISN Modellemesi
Buradaki düşünce TCP uygulamaları tarafından bağlantı isteklerine cevap verirken seçilen ISN (Initial Sequence Number)paternlerini bulmaktır.Bunlar birçok gruba ayrılabilir.Geleneksel 64k (Birçok geleneksel Unix uygulamaları rastgele arttırmalar
Solarisin IRIX,FreeBSD,UNIX ve diğeleri Linux 2.0 ,Open VMS yeni AIX vs...)
Windows tabanlı sistemler “zamana bağlı”model kullanırlar.Bu model ISN küçük ve sabır zaman aralığına göre sürekli arttırılır.Tartışmasız bu metod eski 64k modellerindeki kadar kolaylıkla kırılabilir.Benim favori tekniğim ise “sabit”yani her
zaman aynı ISN yi veren sistemler.Bunun bazı 3com hublarda (0x803kullanırlar) Bu gruplar ayrıca alt gruplara ayrılabilirler. Sistem değişkenlerine göre ISN yi rastgele arttıranlar en büyük ortak bölene göre arttıranlar.ISN ile ilgili özellikle üzerinde
durulması gereken bir nokta vardır.ISN önemli güvenlik deliklerine sahip olabilir.Bu konu ile ilgili daha fazla bilgi istiyorsanız araştırıp nasıl hacklendiğini açıklarım.Nmap bu tekniği kullanarak işletim sistemi tesbiti yapan ilk program (bildiğim kadarıyla) Don” Fragment bit pek çok işletim sistemi yolladıkları bazı paketlere IP “Don”t Fragment”biti yerleştirmeye başladılar.
Bu performans açısından birçok artıyı beraberinde getirir.(Rahatsız edici olabilmesine rağmen.)bu yüzden Nmap ın bu seçeneği Solariste çalışmaz.Her ne kadar olsun bütün işletim sistemleri bunu yapmaz bazılarıda bunu başka şekillerde
yapar.Bu yüzden bilgi edinmek için kullanılabilir.Bunuda kulanan başka bir program görmedim.Daha TCP ilk pencerede bu teknik basitçe dönen paketlerin pencere büyüklüğünü kontrol etmeyi gerektirir.Eski tarayıcılar hep bir RESET paketindeki sıfır olmayan bir pencereyi “BSD”türü anlamında kullandılar.Queso yada Nmap gibi tarayıcılar ise pencere boyutları işletim sistemlerine özgü olduğu için bunların gerçek kayıtlarını tutarlar.İşletim sistemleri sadece pencere ile tesbit edilebileceği
için bu testler sistem birçok bilgi verir. (Örneğin AIX tarafından kullanılır.) NT için tamamen yeniden yazılmış TCP/IP yığınında Microsoft ie ile kullanır.Aslında ilginç taraf OpenBSD ve FreeBSD de bunu kullanır.ACK değeri bunun tamamen standart
olduğunu düşünseniz bile uygulamalar bazen kullanılar ACK değerine göre değişebilir.Örneğin kapalı bir TCP portuna bir |FIN|PSH|URG|paketi gönderdiğini düşünelim.Çoğu uygulama ACK değerini ISN nız ile aynı değere eşleyecektir.Eğer
açık bir TCP portun |SYN|FIN|URG|PSH| yollarsanız windows nedense tutarsız davranır.Bazen ISN nizi aynen yollar bazen bir fazlasını bazende rastgele bir değer gönderir.Microsoft un böyle bir yanlışlığı nasıl yaptığını merak ediyorum.ICMP hata
mesajı dindirmesi bazı akıllı işletim sistemleri RFC 1812 tavsiyelerine uyarak hata mesajı yollanma oranına limit koyar.
Örneğin Linux (net/ipv4/icmp.dosyasında) karşı terminalin “unreachable”mesaj jenerasyonunu 4 saniyede 80ile sınırlar.(Eğer asma varsa ¼ ceza ile)Bunu test etmenin bir yolu yüksek UDP portlarına paket kümesi gönderip “unreachable” mesajlarını saymaktır.Bunu kullanan uygulama hiç görmedim ve
aslında DUP taraması dışında bunu bende Nmap ta kullanmadım.Bu test işletim sistemi tesbitini biraz uzatabilir çünkü paket kümesi yollanır ve paketlere cevap beklenir.Ayrıca paketlerin ağı etkilemesi baş ağrısına neden olabilir.ICMP mesaj
alıntısı RFC lere göre ICMP hata mesajları hataya neden olan ICMP paketlerinden küçük miktarda veri başlığı +8 bayt yollar anca Solaris biraz daha fazla Linux ise bundanda fazla yollar.Bu güzellik Nmap ın açık bir port olmasa bile Linux ve Solaris`i tanımasını sağlar.ICMP hata mesajının yankısının güvenilirliği ...
Bu fikri Theo De Raadt (OpenBSD developer)ın comp.security.unix deki mailinden aldım.Daha öncede bahsedildiği gibi bilgisayarlar orijinal mesajı “port
unreachable”hatası ile birlikte geri yollamak zorundadırlar Bazı makineler yolladığınız başlıkları ilk değerlendirmede algılarlar ve bu yüzden geri aldığınızda biraz çarpık görürsünüz.Örneğin AIX ve BSDI 20 baytlık IP “total lengh” alanını çok yüksek gönderirler.Bazı BSDI,FreeBSD,OpenBSD,ULTRIX,ve VAX en yolladığınız ip ID sini değiştirirler değişmiş TTL sebebiyle checksum değişken bazı makineleri (AIX,FreeBSD gibi.)tutarsız yada 0 checksum gönderirler.Aynı şey UDP checksum
içinde geçerlidir.Nmap 9 ayrı test yaparak bu tür farkları ayırır.Servis türü (Type of Service)ICMP port ucreachable mesajları için geriye gönderilen paketlerdeki TOS değerlerine baktım.Hemen hemen bütün bu uygulamalar bu hata için 0 değerini kullandı.Linux un 0xc0 kullanmasına rağmen bu standart TOS değerlerinden birisini göstermiyor.Bunun yerine kullanılmayan predence alanını gösteriyor.Neden bu
değeri verdiğini bilmiyorum ama eğer 0 a değiştirirlerse eski versiyonlar ile yeni versiyonları ayırabileceğiz ve eski versiyonları tespit edebileceğiz.
Tanecik Algılaması (Fragmentation Handling)
Bu Thomas H. Ptacek (Secure Networks)ün favori yöntemidir.Şu an NAI deki Windows kullanıcıları tarafından kullanılıyor.Bu farklı uygulamaların üst üste gelen farklı IP parçacıklarını farklı algılayışlarını kullanan bir tekniktir.Bazıları eski kısımların üzerine yenilerini yazarken bazılarında eski kısımlar önceliğe sahiptir.Paketlerin birleştirme metodlarını test etmek için birçok seçeneğimiz var.Parçacıklarını yollamada kullanılmak üzere portatif bir yol bilmediğim için bu özelliği eklemedim.Daha fazla bilgi için (SecurNET - Providing Internet Threat Assessment and Internet Security Audits) adresinden ulaşabilirsiniz.
TCP Seçenekleri
Bunlar bilgi toplama açısından gerçekten altın madeni gibidir.
1-Genellikle isteğe bağlıdırlar bu yüzden bütün uygulamalar desteklemez
2-Bir seçenek kümesi gönderip bilgisayarın bunları kullanıp kullanmadığını test edebilirsiniz.Hedef genellikle cevabında seçenek desteğini içerir.
3-Her şeyi bir kerede test etmek için bütün seçenekleri tek bir pakette kullanabilirsiniz. Nmap bu seçenekleri hemen hemen her testinde gönderir; Windows Scale=10; NOP; Max Segment size 265;Timestamp;End of Ops; Cevap aldığınızda hangi seçeneklerin döndüğüne dolayısıyla desteklendiğine bakabilirsiniz.Bazı işletim sistemleri (son FeeBSD gibi) yukarıdakilerin tamamını destekler.Linux gibi bazıları ise birkaçını destekler.Diğer taraftan TCP/IP ISN tahmini saldırılarından da daha kolay etkilenir.Bazı işletim sistemleri aynı seçenek
kümesini destekliyor olsa bile seçeneklerin değerlerine bazen bunları ayırabilirsiniz.Örneğin Linux a küçük MSS değeri yollarsanız genelde size aynen geri yollar.Diğerleri farklı değerler yollar Ve hatta aynı değerler ve aynı seçenekler yollanıyor olsa bile seçeneklerin sırasına göre(eğer padding aktif ise)tesbit
yapabilirsiniz.Örneğin Solaris “NNTNWME” yollarken Linux “MENTNW” yollar.Ani seçenekler,aynı değerler farklı sıralar...Bunların dışında birkaç tane daha test seçenekleri bulunmaktadır.
Exploit Kronolojisi
Bütün yukarıdaki testlere rağmen Nmap Win98,WinNT arasındaki ayrımı yapamamaktadır.Çünkü TCP/IP implementasyonları arasında farklar bulunmaktadır.Windows 98 4 sene sonra çıktığı için yeni TCP/IP seçenekleri eklenmiştir ve bu sebeple aralarında ayırım yapılabilir diye düşünebilirsiniz ama
hepsi aynı yapıyı kullanmaktadırlar.Ancak ümidinizi yitirmeyin ,eski Windows DOS saldırılarıyla (Ping Of Death,winnuke vs.) işe başlayıp daha ileri saldırılara
(Teardrop ,Land) geçebilirsiniz.Her saldırıdan sonra ping edip sistemlerin çöküp çökmediğine bakabilirsiniz
))
SYN Flood Direnişi
Bazı işletim sistemleri çok fazla taklit edilmiş SYN paketi gönderildiğinde yeni bağlantı kabul etmeyi durdururlar.(Paket taklidi kernelinizin bağlantıyı sıfırlamasını engeller)Çoğu işletim sistemi sadece 8 paket tutabilirler.Son Linux kernelleri SYN
cookieleri gibi bazı metodları ile bunun bir problem olmasını engeller.Bu nedenle taklit edilmiş bir kaynaktan açık bir porta8 paket göndererek ve bağlantı kurup kuramadığını test ederek hedef hakkında bir şeyler öğrenebilirsiniz.Bu teknik Nmap
ta yok çünkü bazıları SYN yapmanız halinde telaşlanabilir.İşletim sistemini öğrenmeye çalıştığınızı söylemek onları tatmin etmeyebilir.Nmap uygulamaları ve sonuçları yukarıda bahsettiğim teknikler için bir referans oluşturdum.Bunu Nmap ın
hangi portların tespite açık olduğunu bilmesini sağlamaktadır.Bu ayrıca Solaris Linux BSD ve diğer işletim sistemleri ile uyumludur.Nmap ın yeni versiyonları tesbit şablonları ile doldurulmuş dosyaları okur.Bu dosyalar basit bir grammer ile
oluşturulabilir. Aşağıda örnekler verilmiştir
)))
FingerPrint IRIX 6.2 - 6.4 # Thanks to Lamont Granquist
TSeq(Class=i800)
T1(DF=N%W=C000|EF2A%ACK=S++%Flags=AS%Ops=MNWNNT)
T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=)
T3(Resp=Y%DF=N%W=C000|EF2A%ACK=O%Flags=A%Ops=NNT)
T4(DF=N%W=0%ACK=O%Flags=R%Ops=)
T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T6(DF=N%W=0%ACK=O%Flags=R%Ops=)
T7(DF=N%W=0%ACK=S%Flags=AR%Ops=)
PU(DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E K =E%ULEN=134%DAT=E)
İlk satıra bakalım(‘>’ işaretini satırlar için kullanıyorum) FingerPrint IRIX 6.2 - 6.3 # Thanks to Lamont Granquist Bu satır basitçe tesbit IRIX 6.2 den 6.3 e kadar olan versiyonları içerir.# yorum satırıdır.İstenilen her şey yazılabilir.Lamont Granquist in ip adreslerini yada test ettiği IRIX bilgisayarları bana gönderdiğini gösteriyor.TSeq(Class=i800) Bu ISN modellemesi 'i800 sınıfına' aittir.Yani her yeni sequence
number bir öncekinden 800 ün katları halinde büyük.
T1(DF=N%W=C000|EF2A%ACK=S++%Flags=AS%Ops=MNWNNT) Test T1 olarak adlandırılmış.Bu teste TCP seçenekleri kümesi SYN paketi ile gönderiliyor.DF=N cevabın 'Don`t Fragment' biti içerilmemeli demek.
W=C000|EF2A aldığımız pencere reklamı 0xC000 yada EF2A
olmalı demek. ACK=S++ alacağımız onay bizim ISN miz + 1 olmalı demek. Flags = AS ACK ve SYN flagları cevapta gönderildi demek. Ops = MNWNNT cevap şu sırada
olmalı demek : > T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=) Test 2 açık bir porta aynı seçenekler ile bir NULL gerektirir.Resp=Y cevap almalıyız demek.Ops= means Cevap paketinde hiçbir seçenek olmamalı demek.Eğer `%Ops=` olarak alırsak yollanan herhangi bir seçenek uymalı demek > T3(Resp=Y%DF=N%W=400%ACK=S++%Flags=AS%Ops=M) Test 3 açık porta yollanan bir SYN|FIN|URG|PSH w/options.> T4(DF=N%W=0%ACK=O%Flags=R%Ops=) Bu açik bir porta yollanan bir ACK paketi.Resp= olmadığına dikkat edin.Bu , cevap eksikliği (Ag üzerine düsen paketler yada firewall gibi)karşılaştırmayı diger testler eslestikçe diskalifiye etmeyecek demek.Burada bunu kullandık çünkü cevap eksikligi genellikle ağın özelliklerinden dolayi olabilecek bir durum , işletim sistemine özgü değil.Test 2 ve 3 e Resp tagi koyduk çünkü işletim sistemleri bunları gerçekten cevapsız bırakabiliyor. > T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=) > T6(DF=N%W=0%ACK=O%Flags=R%Ops=) > T7(DF=N%W=0%ACK=S%Flags=AR%Ops=) Bu testler kapalı portlara sırasıyla SYN, ACK, ve FIN|PSH|URG göndermek demek.Her zamanki gibi aynı seçenekler belirlenmiş. > PU(DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E K =E%ULEN=134%DAT=E) Bu satır bir `port unreachable` mesaji testidir. DF=N tagını artık biliyor olmalısınız.TOS=0 IP type of service alanı 0 demek.Diğer iki alan IP başlığı mesajının IP total length alanı değerinin Hex biçimini ve bize geri dönen Ip baslığında verilen toplam uzunlugu göstermektedir. RID=E geri aldığımız UDP paketinin orijinal kopyasında RID değeri bekleniyor demek(Gönderdiğimizin aynısı gibi) RIPCK=E hedef checksum u değiştirmiyor demek.(RIPCK=F olsaydı değiştiriyor demek olurdu) UCK=E UDP
checksum da doğru demek.Daha sonra 0x134 uzunlugunda UDP paketi ve DAT=E UDP verileri doğru gönderiliyor demek.Birçok uygulama(Bu da dahil) UDP verisini geri yollamaz.Bu yüzden DAT=E varsayılan değerdir. Nmap in betası ve sonrası bu özellikleri içermektedir. Nmap - Free Security Scanner For Network Exploration & Security Audits. adresinden en son
versiyonları alabilirsiniz.POPÜLER SİTELERDEN ÖRNEKLER Bütün çabalarımızın örneği iste burada.Bunların çoğu özel bilgilerini gizlemek için bir sürü çaba sarf ediyorlar.Ayrıca Yanlış işletim sistemi oyunları da işlemiyor.Örneklerde kullanılan komut :nmap -sS -p 80 -O -v işte bazı Hacker' siteleri yada (bir çoğu) kendini öyle sananlar...
http://www.l0pht.com/ => OpenBSD
Insecure.Org - Nmap Free Security Scanner, Tools & Hacking resources => Linux
http://www.rhino9.ml.org/ => Windows NT # No comment
technotronic.com: The Best Search Links on the Net => Linux
Nomad Mobile Research Centre (NMRC) => FreeBSD
cDc communications => OpenBSD
Mitnick Security Consulting, LLC => Linux # Free Kevin!
2600: The Hacker Quarterly => FreeBSD Beta
AntiOnline.com => FreeBSD Beta
http://www.rootshell.com/ => Linux # Changed to OpenBSD after they got
owned.# Security vendors, consultants, etc.
http://www.repsec.com/ => Linux
Internet Security Systems | Leading Intrusion Prevention IPS Solutions => Linux
Check Point Software - Firewall, VPN, Network Security, Pointsec Disk Encryption and Data Security and Security Management => Solaris
Infowar & InfowarCon Forums (Powered by Invision Power Board) => Windows NT # Vendor loyalty to their OS
Linux® International | Linux International is an End-User Organization => Linux # Linux International
redhat.com | Home =>Linux
Debian -- The Universal Operating System => Linux
The Linux Home Page at Linux Online => Linux
SGI - Innovation for Results => IRIX
The NetBSD Project => NetBSD
OpenBSD => Solaris # ehem
The FreeBSD Project => FreeBSD # Ivy league
Welcome to Harvard University => Solaris
Yale University => Solaris
California Institute of Technology => SunOS # Hello! This is the 90`s
Stanford University => Solaris
MIT => Solaris # Coincidence that so many good schools seem to
like Sun? # Perhaps it is the 40% # .edu discount
UC Berkeley Home Page => UNIX
Homepage - University of Oxford => Linux # Rock on! # ***** sites
AOL.com - Welcome to AOL => IRIX No wonder they are so insecure
The Happy Hacker -- the web site computer criminals don't want you to read! => OpenBSD
Welcome to LWN.net [LWN.net] => Linux#This Linux news site rocks!
Slashdot: News for nerds, stuff that matters => Linux
Welcome to the White House => IRIX sunsite.unc.edu => Solaris
Bu yazı TCP/IP katmanları sorgulaması ile bilgisayardan nasıl bilgi toplanabileceğini anlatmaktadır;
Giriş
Önce TCP/IP katmanları sorgulaması kullanılmadan bilgisayarın
Kolay Gelsin ...
işletim sistemini tespit etmeye yarayan klasik metodları anlatmaya çalıştım, daha sonra katman sorgulaması ile işletim sistemi tesbit eden uygulamaların kullandıkları metodları açıkladım.Bundan sonra uzaktaki bir bilgisayarın kendisi hakkında bilgi verilmesine yol açacak tekniklere yer verdim.En son olarakta NMAP ın bu teknikleri nasıl kullandığını ve Nmap ile tespit edilen popüler internet sitelerinin kullandığı işletim sistemlerini ekledim. Biraz uzun olmasına rağmen anlaşılır olmasına çabaladım.
Nedenler
Bence bir bilgisayarın işletim sistemini tesbit etmenin faydası çok açık bu sebeple bu bölümü kısa tutuyorum. Bu faydalardan bir tanesi güvenlik açıklarının işletim sistemlerine özgü olması. Farzedelim ki! Bir bilgisayara girilebilirlik testi yapmayı düşünüyorsunuz, ve 53 nolu portun açık olduğunu gördünüz. Eğer Bind ın kırılabilir versiyonunu kullanabiliyor ise bu açığı kullanabilmeniz için tek bir şansınız var çünkü yanlış bir hareketiniz Bind sunucusunun çökmesine neden olabilir. İyi bir
TCP/IP sorgulaması ile hedef sistemin Solaris ya da Linux kullandığı tespit edebilir ve kullandığınız shellcode(kabuk kodu)nu buna göre düzenleyebilirsiniz. Veya birisi 500 adet bilgisayarı her birinin kullandığı işletim sistemini ve açık bıraktığı portları
tespit etmek için tarıyor. Daha sonra başka birisi Sun comsat deamonunda root erişim sağlanabilecek br delik olduğunu söylüyor ve bizim küçük cracker taradığı sistemlerde “UDP/512” ve “Solaris 2.6”kelimelerini bulup çıkartıyor.Ve root düzeyi
erişim ekranı ile karşılaşıyor Bu arada bu hareket “script kiddie” hareketidir.Bu metod kabiliyetinizle bu işi başardığınızı göstermez. Bir diğer kullanım alanı ise sosyal mühendislik motodlarıdır. Farzedelim ki! Hedef aldığını şirketi taradınız ve
NMAP size datavoice (Txport Prism 3000 T1 CSU/DSU 6.22/2.06) gibi acayip bir rapor verdi. Bundan sonra Hacker “Datavoice Txport desteği istermiş gibi firmayı arıyor ve PRISM 3000 ile ilgili güvenlik özelliklerini sormaya başlıyoruz.
Aldığımız cevap “Yakın zamanda bir güvenlik açığı bir güvenlik açığı açıklamayı düşünüyoruz açıklamadan önce müşterilerimizin ilgili yamayı yüklemesini bekliyoruz”Benden iyi olmasın bazı saf adminler sadece yetkili mühendislerin Datavoice CSU/DSU bilgisinin olabileceğini sanarlar. Bunun içinde her zaman iş
yapacağımız ISP yi seçmeden önce tarama yapıp neler kullandığını etmektir. Fiyatları makul olanlar genellikle döküntü router kullanırlar ve PPP servisleri yeterli düzeyde değildir.
Klasik Teknikler
Katman sorgulaması işletim sistemi tesbitinin belirlenmesi problemini tek bir yolla çözer. Bana göre bu teknik verdiği sözlerin çoğunu tutuyor ama Şu an birçok farklı teknik kullanılıyor. Maalesef bu halen en etkili tekniktir.
Sadece örnektir :
playground~> telnet hpux.u-aizu.ac.jp
Trying 163.143.103.12 ...
Connected to hpux.u-aizu.ac.jp.
Escape character is `^]`.
HP-UX hpux B.10.01 A 9000/715 (ttyp2)
login:
Eğer sistem yukarıda örneklendiği gibi herkeze ne olduğunu söylüyorsa işletim sistemi belirleme çilelerine gerek kalmıyor. Sadece işletim sistemini belirleyebilmenin başka yolları başka yolları var diye her bağlanmak isteyene bu mesajların verilmeside tabiki doğru değil.
Buna rağmen, bu teknik işletim sistemi ve versiyonun tesbitinde istediğiniz her şeyi verir.Eğer ISS Scanner a para döken varsa Nmap ya da Queso yu indirin paranız cebinizde kalsın. Karşı taraf ilanları (sorgulama cevaplarını) kapasa bile birçok
yüklü uygulama sorulduğu zaman bu tür bilgileri mutlaka verir.
Örneğin Ftp sunucusuna bağlanalım
payfonez> telnet ftp.netscape.com 21
Trying 207.200.74.26 ...
Connected to ftp.netscape.com.
Escape character is `^]`.
220 ftp29 FTP server (UNIX(r) System V Release 4.0) ready.
SYST
215 UNIX Type: L8 Version: SUNOS
Her şeyden önce bu uygulama varsayılan ilanında sistem ile ilgili detayları verir.”SYST” komutunu verdikten sonra ise bize daha fazla bilgi verir. Eğer anon FTP destekleniyor ise bize daha fazla bilgi verir. Eğer anon FTP destekleniyor ise /bin/ls yada başka bir uygulamayı indirebilir ve hangi mimari için yazıldıklarını
anlayabiliriz. Pek çok uygulama bu tür bilgileri verebilir. Web sunucularını ele alalım
playground> echo `GET / HTTP/1.0n` | nc hotbot.com 80 | egrep `^Server:`
Server: Microsoft-IIS/4.0
playground>
Diğer klasik teknikler DNS host info kayıtları (aslında çok nadiren etkili) sosyal mühendisliğe girer. Eğer makine 161/UDP portunu dinliyor ise CMU SNMP uygulamaları dağıtımının bir parçası olan “snmpwalk”ve”public”ortak adını kullanarak hemen hemen garanti bir şekilde detaylı bilgiler alabilirsiniz. Şu anki
tespit programları Nmap TCP/IP sorgulaması kullanarak işletim sistemi tesbiti yapan ilk program değildir. Genel bir irc spoofer olan sirc (Johan tarafından yazılmıştır.) çok temel teknikleri kullanmıştır. Birkaç basit TCP flag ları kullanarak bilgisayarları “BSD”,”Win98”yada “Unknown” gibi 3.sınıfa ayırır. Bu tür programa diğer bir örnek ise “checkos”dur.Kullandığı teknikler tamamen aynıdır. Hatta kullandığı kodlar bile bazı yerlerde aynıdır diye biliyorum. Checkos un ek bir özelliği
ise Telnet ilan kontrolünü kullanmasıdır.Yukarıda açıklandığı gibi yararlı olabilir.
Ancak aldatıcı da olabilir SU1 de bu tür bir program yazmıştı SS adını verdiği program versiyon 3.11 den sonra 12 ayrı işletim sistemini tespit edebilmektedir.
Bunun üzerinde çok fazla duruyorum çünkü Nmap kodunda onun kullandığı ağ kodları bulunmaktadır. Ve birde queso var bu program en iyisi ve diğerlerinden önde bir program, sadece yeni testleri tanımasının yanında işletim sistemi testlerini kodun dışında taşıyan ilk (bildiğim kadarıyla) program queso Savage tarafından yazılmıştır. Yukarıdaki programların hepsinde yaralan bir problem,bunların bilgi verirken cevaplarının ayrıntıdan yoksun olması ayrıca bu sistem bir “OpenBSD”,”FreeBSD” açıklamasından daha fazlasını bilmek isterdim. Yani tam
olarak bunlardan hangisi ve versiyonu ile ilgili bilgiler gibi...
Bir sonraki bölümde anlatacağım gibi,birçok teknik ile bunu başarmaya çalıştım TESBİT METODOLOJİSİ (Yöntembilim)Ağ katmanları sorgulaması ile tesbit yapmak için kullanılan çok fazla metod var.Temel olarak işletim sistemlerine özgü bazı
kavramları arayacaksınız ve bunları araştırmak kod yazmak gerekir tabikii burda coderlik devreye girer hepimizin becereceği iş değil.Eğer bu tür farkları yeteri kadar birleştirebilirseniz tesbit aralığını daraltabilirsiniz.Örneğin NMAP Solaris 2.4 ,Solaris 2.25,2.51 ve Solaris 2.6 birbirinden ayırabilir.İşte bazı teknikler.
FIN Testi
Bu teknikte açık olan porta FIN paketi yada ACK veya SYN işareti taşımayan herhangi bir paket yolluyoruz ve cevap için bekliyoruz.RPC 793”te açıklanan standartlara göre doğru cevap vermemektedir.Ancak pek çok uygulama (Windows, BSD, CISCO ve IRIX gibi) reset ile cevap verirler.Şu an kullanılan pek çok uygulama bu tekniği kullanır.Sahte flag testi queso bu zekice testi kullanan gördüğüm ilk tarayıcıdır.Düşüncenin temeli SYN paketinin TCP başlığına tanımlanmamış (64 yada 128)TCP paketi koymaktır.2.0.35 öncesi Linux versiyonları yollanan flag setini geri yollamaktadır.Bu eksiğe sahip başka bir işletim sistemi bulamadım.Ama bazı işletim sistemleri SYN+Sahte paketini aldıklarında bağlantıyı sıfırlamaktadırlar. Buda onları tesbit etmede kullanılabilir.
TCP ISN Modellemesi
Buradaki düşünce TCP uygulamaları tarafından bağlantı isteklerine cevap verirken seçilen ISN (Initial Sequence Number)paternlerini bulmaktır.Bunlar birçok gruba ayrılabilir.Geleneksel 64k (Birçok geleneksel Unix uygulamaları rastgele arttırmalar
Solarisin IRIX,FreeBSD,UNIX ve diğeleri Linux 2.0 ,Open VMS yeni AIX vs...)
Windows tabanlı sistemler “zamana bağlı”model kullanırlar.Bu model ISN küçük ve sabır zaman aralığına göre sürekli arttırılır.Tartışmasız bu metod eski 64k modellerindeki kadar kolaylıkla kırılabilir.Benim favori tekniğim ise “sabit”yani her
zaman aynı ISN yi veren sistemler.Bunun bazı 3com hublarda (0x803kullanırlar) Bu gruplar ayrıca alt gruplara ayrılabilirler. Sistem değişkenlerine göre ISN yi rastgele arttıranlar en büyük ortak bölene göre arttıranlar.ISN ile ilgili özellikle üzerinde
durulması gereken bir nokta vardır.ISN önemli güvenlik deliklerine sahip olabilir.Bu konu ile ilgili daha fazla bilgi istiyorsanız araştırıp nasıl hacklendiğini açıklarım.Nmap bu tekniği kullanarak işletim sistemi tesbiti yapan ilk program (bildiğim kadarıyla) Don” Fragment bit pek çok işletim sistemi yolladıkları bazı paketlere IP “Don”t Fragment”biti yerleştirmeye başladılar.
Bu performans açısından birçok artıyı beraberinde getirir.(Rahatsız edici olabilmesine rağmen.)bu yüzden Nmap ın bu seçeneği Solariste çalışmaz.Her ne kadar olsun bütün işletim sistemleri bunu yapmaz bazılarıda bunu başka şekillerde
yapar.Bu yüzden bilgi edinmek için kullanılabilir.Bunuda kulanan başka bir program görmedim.Daha TCP ilk pencerede bu teknik basitçe dönen paketlerin pencere büyüklüğünü kontrol etmeyi gerektirir.Eski tarayıcılar hep bir RESET paketindeki sıfır olmayan bir pencereyi “BSD”türü anlamında kullandılar.Queso yada Nmap gibi tarayıcılar ise pencere boyutları işletim sistemlerine özgü olduğu için bunların gerçek kayıtlarını tutarlar.İşletim sistemleri sadece pencere ile tesbit edilebileceği
için bu testler sistem birçok bilgi verir. (Örneğin AIX tarafından kullanılır.) NT için tamamen yeniden yazılmış TCP/IP yığınında Microsoft ie ile kullanır.Aslında ilginç taraf OpenBSD ve FreeBSD de bunu kullanır.ACK değeri bunun tamamen standart
olduğunu düşünseniz bile uygulamalar bazen kullanılar ACK değerine göre değişebilir.Örneğin kapalı bir TCP portuna bir |FIN|PSH|URG|paketi gönderdiğini düşünelim.Çoğu uygulama ACK değerini ISN nız ile aynı değere eşleyecektir.Eğer
açık bir TCP portun |SYN|FIN|URG|PSH| yollarsanız windows nedense tutarsız davranır.Bazen ISN nizi aynen yollar bazen bir fazlasını bazende rastgele bir değer gönderir.Microsoft un böyle bir yanlışlığı nasıl yaptığını merak ediyorum.ICMP hata
mesajı dindirmesi bazı akıllı işletim sistemleri RFC 1812 tavsiyelerine uyarak hata mesajı yollanma oranına limit koyar.
Örneğin Linux (net/ipv4/icmp.dosyasında) karşı terminalin “unreachable”mesaj jenerasyonunu 4 saniyede 80ile sınırlar.(Eğer asma varsa ¼ ceza ile)Bunu test etmenin bir yolu yüksek UDP portlarına paket kümesi gönderip “unreachable” mesajlarını saymaktır.Bunu kullanan uygulama hiç görmedim ve
aslında DUP taraması dışında bunu bende Nmap ta kullanmadım.Bu test işletim sistemi tesbitini biraz uzatabilir çünkü paket kümesi yollanır ve paketlere cevap beklenir.Ayrıca paketlerin ağı etkilemesi baş ağrısına neden olabilir.ICMP mesaj
alıntısı RFC lere göre ICMP hata mesajları hataya neden olan ICMP paketlerinden küçük miktarda veri başlığı +8 bayt yollar anca Solaris biraz daha fazla Linux ise bundanda fazla yollar.Bu güzellik Nmap ın açık bir port olmasa bile Linux ve Solaris`i tanımasını sağlar.ICMP hata mesajının yankısının güvenilirliği ...
Bu fikri Theo De Raadt (OpenBSD developer)ın comp.security.unix deki mailinden aldım.Daha öncede bahsedildiği gibi bilgisayarlar orijinal mesajı “port
unreachable”hatası ile birlikte geri yollamak zorundadırlar Bazı makineler yolladığınız başlıkları ilk değerlendirmede algılarlar ve bu yüzden geri aldığınızda biraz çarpık görürsünüz.Örneğin AIX ve BSDI 20 baytlık IP “total lengh” alanını çok yüksek gönderirler.Bazı BSDI,FreeBSD,OpenBSD,ULTRIX,ve VAX en yolladığınız ip ID sini değiştirirler değişmiş TTL sebebiyle checksum değişken bazı makineleri (AIX,FreeBSD gibi.)tutarsız yada 0 checksum gönderirler.Aynı şey UDP checksum
içinde geçerlidir.Nmap 9 ayrı test yaparak bu tür farkları ayırır.Servis türü (Type of Service)ICMP port ucreachable mesajları için geriye gönderilen paketlerdeki TOS değerlerine baktım.Hemen hemen bütün bu uygulamalar bu hata için 0 değerini kullandı.Linux un 0xc0 kullanmasına rağmen bu standart TOS değerlerinden birisini göstermiyor.Bunun yerine kullanılmayan predence alanını gösteriyor.Neden bu
değeri verdiğini bilmiyorum ama eğer 0 a değiştirirlerse eski versiyonlar ile yeni versiyonları ayırabileceğiz ve eski versiyonları tespit edebileceğiz.
Tanecik Algılaması (Fragmentation Handling)
Bu Thomas H. Ptacek (Secure Networks)ün favori yöntemidir.Şu an NAI deki Windows kullanıcıları tarafından kullanılıyor.Bu farklı uygulamaların üst üste gelen farklı IP parçacıklarını farklı algılayışlarını kullanan bir tekniktir.Bazıları eski kısımların üzerine yenilerini yazarken bazılarında eski kısımlar önceliğe sahiptir.Paketlerin birleştirme metodlarını test etmek için birçok seçeneğimiz var.Parçacıklarını yollamada kullanılmak üzere portatif bir yol bilmediğim için bu özelliği eklemedim.Daha fazla bilgi için (SecurNET - Providing Internet Threat Assessment and Internet Security Audits) adresinden ulaşabilirsiniz.
TCP Seçenekleri
Bunlar bilgi toplama açısından gerçekten altın madeni gibidir.
1-Genellikle isteğe bağlıdırlar bu yüzden bütün uygulamalar desteklemez
2-Bir seçenek kümesi gönderip bilgisayarın bunları kullanıp kullanmadığını test edebilirsiniz.Hedef genellikle cevabında seçenek desteğini içerir.
3-Her şeyi bir kerede test etmek için bütün seçenekleri tek bir pakette kullanabilirsiniz. Nmap bu seçenekleri hemen hemen her testinde gönderir; Windows Scale=10; NOP; Max Segment size 265;Timestamp;End of Ops; Cevap aldığınızda hangi seçeneklerin döndüğüne dolayısıyla desteklendiğine bakabilirsiniz.Bazı işletim sistemleri (son FeeBSD gibi) yukarıdakilerin tamamını destekler.Linux gibi bazıları ise birkaçını destekler.Diğer taraftan TCP/IP ISN tahmini saldırılarından da daha kolay etkilenir.Bazı işletim sistemleri aynı seçenek
kümesini destekliyor olsa bile seçeneklerin değerlerine bazen bunları ayırabilirsiniz.Örneğin Linux a küçük MSS değeri yollarsanız genelde size aynen geri yollar.Diğerleri farklı değerler yollar Ve hatta aynı değerler ve aynı seçenekler yollanıyor olsa bile seçeneklerin sırasına göre(eğer padding aktif ise)tesbit
yapabilirsiniz.Örneğin Solaris “NNTNWME” yollarken Linux “MENTNW” yollar.Ani seçenekler,aynı değerler farklı sıralar...Bunların dışında birkaç tane daha test seçenekleri bulunmaktadır.
Exploit Kronolojisi
Bütün yukarıdaki testlere rağmen Nmap Win98,WinNT arasındaki ayrımı yapamamaktadır.Çünkü TCP/IP implementasyonları arasında farklar bulunmaktadır.Windows 98 4 sene sonra çıktığı için yeni TCP/IP seçenekleri eklenmiştir ve bu sebeple aralarında ayırım yapılabilir diye düşünebilirsiniz ama
hepsi aynı yapıyı kullanmaktadırlar.Ancak ümidinizi yitirmeyin ,eski Windows DOS saldırılarıyla (Ping Of Death,winnuke vs.) işe başlayıp daha ileri saldırılara
(Teardrop ,Land) geçebilirsiniz.Her saldırıdan sonra ping edip sistemlerin çöküp çökmediğine bakabilirsiniz
SYN Flood Direnişi
Bazı işletim sistemleri çok fazla taklit edilmiş SYN paketi gönderildiğinde yeni bağlantı kabul etmeyi durdururlar.(Paket taklidi kernelinizin bağlantıyı sıfırlamasını engeller)Çoğu işletim sistemi sadece 8 paket tutabilirler.Son Linux kernelleri SYN
cookieleri gibi bazı metodları ile bunun bir problem olmasını engeller.Bu nedenle taklit edilmiş bir kaynaktan açık bir porta8 paket göndererek ve bağlantı kurup kuramadığını test ederek hedef hakkında bir şeyler öğrenebilirsiniz.Bu teknik Nmap
ta yok çünkü bazıları SYN yapmanız halinde telaşlanabilir.İşletim sistemini öğrenmeye çalıştığınızı söylemek onları tatmin etmeyebilir.Nmap uygulamaları ve sonuçları yukarıda bahsettiğim teknikler için bir referans oluşturdum.Bunu Nmap ın
hangi portların tespite açık olduğunu bilmesini sağlamaktadır.Bu ayrıca Solaris Linux BSD ve diğer işletim sistemleri ile uyumludur.Nmap ın yeni versiyonları tesbit şablonları ile doldurulmuş dosyaları okur.Bu dosyalar basit bir grammer ile
oluşturulabilir. Aşağıda örnekler verilmiştir
FingerPrint IRIX 6.2 - 6.4 # Thanks to Lamont Granquist
TSeq(Class=i800)
T1(DF=N%W=C000|EF2A%ACK=S++%Flags=AS%Ops=MNWNNT)
T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=)
T3(Resp=Y%DF=N%W=C000|EF2A%ACK=O%Flags=A%Ops=NNT)
T4(DF=N%W=0%ACK=O%Flags=R%Ops=)
T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T6(DF=N%W=0%ACK=O%Flags=R%Ops=)
T7(DF=N%W=0%ACK=S%Flags=AR%Ops=)
PU(DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E K =E%ULEN=134%DAT=E)
İlk satıra bakalım(‘>’ işaretini satırlar için kullanıyorum) FingerPrint IRIX 6.2 - 6.3 # Thanks to Lamont Granquist Bu satır basitçe tesbit IRIX 6.2 den 6.3 e kadar olan versiyonları içerir.# yorum satırıdır.İstenilen her şey yazılabilir.Lamont Granquist in ip adreslerini yada test ettiği IRIX bilgisayarları bana gönderdiğini gösteriyor.TSeq(Class=i800) Bu ISN modellemesi 'i800 sınıfına' aittir.Yani her yeni sequence
number bir öncekinden 800 ün katları halinde büyük.
T1(DF=N%W=C000|EF2A%ACK=S++%Flags=AS%Ops=MNWNNT) Test T1 olarak adlandırılmış.Bu teste TCP seçenekleri kümesi SYN paketi ile gönderiliyor.DF=N cevabın 'Don`t Fragment' biti içerilmemeli demek.
W=C000|EF2A aldığımız pencere reklamı 0xC000 yada EF2A
olmalı demek. ACK=S++ alacağımız onay bizim ISN miz + 1 olmalı demek. Flags = AS ACK ve SYN flagları cevapta gönderildi demek. Ops = MNWNNT cevap şu sırada
olmalı demek : > T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=) Test 2 açık bir porta aynı seçenekler ile bir NULL gerektirir.Resp=Y cevap almalıyız demek.Ops= means Cevap paketinde hiçbir seçenek olmamalı demek.Eğer `%Ops=` olarak alırsak yollanan herhangi bir seçenek uymalı demek > T3(Resp=Y%DF=N%W=400%ACK=S++%Flags=AS%Ops=M) Test 3 açık porta yollanan bir SYN|FIN|URG|PSH w/options.> T4(DF=N%W=0%ACK=O%Flags=R%Ops=) Bu açik bir porta yollanan bir ACK paketi.Resp= olmadığına dikkat edin.Bu , cevap eksikliği (Ag üzerine düsen paketler yada firewall gibi)karşılaştırmayı diger testler eslestikçe diskalifiye etmeyecek demek.Burada bunu kullandık çünkü cevap eksikligi genellikle ağın özelliklerinden dolayi olabilecek bir durum , işletim sistemine özgü değil.Test 2 ve 3 e Resp tagi koyduk çünkü işletim sistemleri bunları gerçekten cevapsız bırakabiliyor. > T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=) > T6(DF=N%W=0%ACK=O%Flags=R%Ops=) > T7(DF=N%W=0%ACK=S%Flags=AR%Ops=) Bu testler kapalı portlara sırasıyla SYN, ACK, ve FIN|PSH|URG göndermek demek.Her zamanki gibi aynı seçenekler belirlenmiş. > PU(DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E K =E%ULEN=134%DAT=E) Bu satır bir `port unreachable` mesaji testidir. DF=N tagını artık biliyor olmalısınız.TOS=0 IP type of service alanı 0 demek.Diğer iki alan IP başlığı mesajının IP total length alanı değerinin Hex biçimini ve bize geri dönen Ip baslığında verilen toplam uzunlugu göstermektedir. RID=E geri aldığımız UDP paketinin orijinal kopyasında RID değeri bekleniyor demek(Gönderdiğimizin aynısı gibi) RIPCK=E hedef checksum u değiştirmiyor demek.(RIPCK=F olsaydı değiştiriyor demek olurdu) UCK=E UDP
checksum da doğru demek.Daha sonra 0x134 uzunlugunda UDP paketi ve DAT=E UDP verileri doğru gönderiliyor demek.Birçok uygulama(Bu da dahil) UDP verisini geri yollamaz.Bu yüzden DAT=E varsayılan değerdir. Nmap in betası ve sonrası bu özellikleri içermektedir. Nmap - Free Security Scanner For Network Exploration & Security Audits. adresinden en son
versiyonları alabilirsiniz.POPÜLER SİTELERDEN ÖRNEKLER Bütün çabalarımızın örneği iste burada.Bunların çoğu özel bilgilerini gizlemek için bir sürü çaba sarf ediyorlar.Ayrıca Yanlış işletim sistemi oyunları da işlemiyor.Örneklerde kullanılan komut :nmap -sS -p 80 -O -v işte bazı Hacker' siteleri yada (bir çoğu) kendini öyle sananlar...
http://www.l0pht.com/ => OpenBSD
Insecure.Org - Nmap Free Security Scanner, Tools & Hacking resources => Linux
http://www.rhino9.ml.org/ => Windows NT # No comment
technotronic.com: The Best Search Links on the Net => Linux
Nomad Mobile Research Centre (NMRC) => FreeBSD
cDc communications => OpenBSD
Mitnick Security Consulting, LLC => Linux # Free Kevin!
2600: The Hacker Quarterly => FreeBSD Beta
AntiOnline.com => FreeBSD Beta
http://www.rootshell.com/ => Linux # Changed to OpenBSD after they got
owned.# Security vendors, consultants, etc.
http://www.repsec.com/ => Linux
Internet Security Systems | Leading Intrusion Prevention IPS Solutions => Linux
Check Point Software - Firewall, VPN, Network Security, Pointsec Disk Encryption and Data Security and Security Management => Solaris
Infowar & InfowarCon Forums (Powered by Invision Power Board) => Windows NT # Vendor loyalty to their OS
Linux® International | Linux International is an End-User Organization => Linux # Linux International
redhat.com | Home =>Linux
Debian -- The Universal Operating System => Linux
The Linux Home Page at Linux Online => Linux
SGI - Innovation for Results => IRIX
The NetBSD Project => NetBSD
OpenBSD => Solaris # ehem
The FreeBSD Project => FreeBSD # Ivy league
Welcome to Harvard University => Solaris
Yale University => Solaris
California Institute of Technology => SunOS # Hello! This is the 90`s
Stanford University => Solaris
MIT => Solaris # Coincidence that so many good schools seem to
like Sun? # Perhaps it is the 40% # .edu discount
UC Berkeley Home Page => UNIX
Homepage - University of Oxford => Linux # Rock on! # ***** sites
AOL.com - Welcome to AOL => IRIX No wonder they are so insecure
The Happy Hacker -- the web site computer criminals don't want you to read! => OpenBSD
Welcome to LWN.net [LWN.net] => Linux#This Linux news site rocks!
Slashdot: News for nerds, stuff that matters => Linux
Welcome to the White House => IRIX sunsite.unc.edu => Solaris
Son düzenleme:
