[FONT=arial, helvetica, sans-serif]Port Nedir? Port Scanner ve Çeşitleri[/FONT]
[FONT=arial, helvetica, sans-serif]Bir çoğumuzun kullandığı işletim sistemleri, aynı anda bir çok işlem yaparak farklı görevler üstlenen programları çalıştırmaktadır. Çalışan programlardan bazıları sistem dışından gelen istekleri[/FONT]
[FONT=arial, helvetica, sans-serif](istemci-client/request) kabul etmekte ve kendi sistemlerine uygun gördüklerine cevap (sunucuserver/[/FONT]
[FONT=arial, helvetica, sans-serif]response) vermektedir.Sunucu çalışan bilgisayarlara ulaşmak için birer adres niteliğinde sayılar verir( IP adresleri) .Bu verilen adresler yardımıyla istenilen PC’ye ulaşılır.Bağlanılan PC’de çalışan programlardan nasıl bir hizmet veya yarar sağlanacağı portlar sayesinde belirlenir.Her birine birer pozitif tam sayı verilir(port numarası).Bu sayılar nette bağlanıldığı anda aktif olan soyut bağlantı noktalarıdır.[/FONT]
[FONT=arial, helvetica, sans-serif]Önceleri belirli programlar herkes tarafından bilinen belirli portlardan (örn:telnet->23. port) çalışırken; şimdi ise kullanıcının isteği ve kişi özelliğine göre değişmektedir.Bunun sonucunda PC’ye bağlanılmak istendiğinde kullanılan port numarasını girmek yetersiz olur.Bunun yanında programın kabul ettiği portlarıda temel port ile birlikte yazılması gerekir. Port numarası genellikle 2 byte olarak tutulur.2 byte’den hesaplanırsa 6555 tane port vardır.1024’ten küçük olan portlar özel kullanıcılara aittir.Ama 1024’ten büyük olanlar kullanıma açık ve herkes tarafından kullanılabilen portlardır.[/FONT]
[FONT=arial, helvetica, sans-serif]Port Scanner’ler belirli sayılar arasındaki port numaralarını tarayan yazılımlardır.Tarama işleminin bir çok yöntemi vardır.Günümüz security şartlarının değişmesi ile bu scannerların çeşitleri artmış ve gelişmiştir.[/FONT]
[FONT=arial, helvetica, sans-serif](istemci-client/request) kabul etmekte ve kendi sistemlerine uygun gördüklerine cevap (sunucuserver/[/FONT]
[FONT=arial, helvetica, sans-serif]response) vermektedir.Sunucu çalışan bilgisayarlara ulaşmak için birer adres niteliğinde sayılar verir( IP adresleri) .Bu verilen adresler yardımıyla istenilen PC’ye ulaşılır.Bağlanılan PC’de çalışan programlardan nasıl bir hizmet veya yarar sağlanacağı portlar sayesinde belirlenir.Her birine birer pozitif tam sayı verilir(port numarası).Bu sayılar nette bağlanıldığı anda aktif olan soyut bağlantı noktalarıdır.[/FONT]
[FONT=arial, helvetica, sans-serif]Önceleri belirli programlar herkes tarafından bilinen belirli portlardan (örn:telnet->23. port) çalışırken; şimdi ise kullanıcının isteği ve kişi özelliğine göre değişmektedir.Bunun sonucunda PC’ye bağlanılmak istendiğinde kullanılan port numarasını girmek yetersiz olur.Bunun yanında programın kabul ettiği portlarıda temel port ile birlikte yazılması gerekir. Port numarası genellikle 2 byte olarak tutulur.2 byte’den hesaplanırsa 6555 tane port vardır.1024’ten küçük olan portlar özel kullanıcılara aittir.Ama 1024’ten büyük olanlar kullanıma açık ve herkes tarafından kullanılabilen portlardır.[/FONT]
[FONT=arial, helvetica, sans-serif]Port Scanner’ler belirli sayılar arasındaki port numaralarını tarayan yazılımlardır.Tarama işleminin bir çok yöntemi vardır.Günümüz security şartlarının değişmesi ile bu scannerların çeşitleri artmış ve gelişmiştir.[/FONT]
[FONT=arial, helvetica, sans-serif]Günümüzde Kullanılan Port Tarama(Port Scanner) Çeşitleri Bunlardır;[/FONT]
[FONT=arial, helvetica, sans-serif]1. TCP Connect Scan[/FONT]
[FONT=arial, helvetica, sans-serif]2. TCP SYN Scan[/FONT]
[FONT=arial, helvetica, sans-serif]3. TCP FIN Scan[/FONT]
[FONT=arial, helvetica, sans-serif]4. SYN/FIN scanning using IP fragments (bypasses packet filters)[/FONT]
[FONT=arial, helvetica, sans-serif]5. TCP Xmas Tree Scan[/FONT]
[FONT=arial, helvetica, sans-serif]6. TCP Null Scan[/FONT]
[FONT=arial, helvetica, sans-serif]7. TCP ACK Scan[/FONT]
[FONT=arial, helvetica, sans-serif]8. TCP ftp proxy (bounce attack) scanning[/FONT]
[FONT=arial, helvetica, sans-serif]9. TCP Windows Scan[/FONT]
[FONT=arial, helvetica, sans-serif]10. TCP RPC Scan[/FONT]
[FONT=arial, helvetica, sans-serif]11. UDP Scan[/FONT]
[FONT=arial, helvetica, sans-serif]12. Ident Scan[/FONT]
[FONT=arial, helvetica, sans-serif]Fakat bu Scan çeşitleri anlatılmadan önce konunun daha iyi anlaşılması için[/FONT]
[FONT=arial, helvetica, sans-serif]bilgisayarların İnternet üzerinden bir birleri ile bağlantısını sağlayan bir dizi ağ[/FONT]
[FONT=arial, helvetica, sans-serif]protokolü olan Transmission Control Protocol’nün “TCP” nin nasıl çalıştığı[/FONT]
[FONT=arial, helvetica, sans-serif]incelenmelidir. Kısa olarak TCP oturumu, ilk olarak, bir sunucu bilgisayardan servis isteyecek diğer bilgisayar (istemci), bağlantı kurmak istediğini göstermek için SYN bayrağı kalkık(set) paketini, sunucu bilgisayara gönderir. Bu paketi alan sunucu SYN paketi aldığını ve bağlantı isteğini onayladığını yine SYN bayrağı kaldırılmış(set) paketi (SYN-ACK paketi) istemci bilgisayara gönderir. Üçüncü aşamada ise sunucu bilgisayarın gönderdiği SYN-ACK paketini alan istemci bilgisayar sunucuya bu paketi aldığını bildiren bir paket gönderir(ACK)[/FONT]
[FONT=arial, helvetica, sans-serif]# TCP Connect Scan[/FONT]
[FONT=arial, helvetica, sans-serif]Bu tarama yukarıda anlatılan oturum açma işlemini eksiksiz ve tamamen yapar.İşlemi gerçekleştirip oturumu açtıktan hemen sonra oturumu kapatır ve bize portun açık olup olmadığının bilgisini verir.Bu tarama yöntemi oturumun açık olduğunu yanılgısız tespit eder.Fakat karşı tarafın bütün oturumları kaydetmesi durumunda oturumu açmak isteyen kişinin İP numarasını PC’nin veri tabanına kaydeder.Riskli bir tarama yöntemi olduğu için sadece emin olunması gereken kesin ve zorunlu durumlarda kullanılır.Riskli olmasının yanında yanılgısız portun durumunu bize doğru biçimde iletir.[/FONT]
[FONT=arial, helvetica, sans-serif]# TCP SYN Scan[/FONT]
[FONT=arial, helvetica, sans-serif]Eğer Connect Scandaki riski üzerimize almak istemiyorsak oturumu açmadan tarama yapmamız gerekir.Bu tarama türü (TCP SYN Scan) yarı-açık tarama olarakda bilinir.Bunun nedeni tarama öncesi olan ilk iki adımı SYN bayraklı paketi gönderme ve SYN/ACK bayraklı paketi alma işlemini başarıyla yapmasına rağmen sonradan RST/ACK bayraklı bir paket göndererek oturumun açılmasını reddetmesidir.Portun açık olup olmadığı SYN/ACK bayraklı paketin alınması sonucunda belli olur.Connect Scan’daki yakalanma seviyemizi en aza indirmek için RST/ACK bayraklı paket yollanır.Bu oturumun resetlenmesini sağlar.Böylelikle veri tabanına İP’mizin geçme ihtimali azalır.[/FONT]
[FONT=arial, helvetica, sans-serif]# [/FONT][FONT=arial, helvetica, sans-serif]TCP FIN Scan[/FONT]
[FONT=arial, helvetica, sans-serif]Eğerli tarama işlemini yaparken oturum açmak istemiyorsak bu tarama işlemi kullanılır.Eğer bir sistemdeki portlardan birine FIN bayraklı bir paket yollanırsa RFC793’e göre sistem[/FONT]
[FONT=arial, helvetica, sans-serif]kapalı olan portlar icin RST cevabı gonderir.Bu cevaptan sonrada portlardan hangilerinin açık veya kapalı olduğunu öğreniriz.[/FONT]
[FONT=arial, helvetica, sans-serif]# SYN/FIN Scanning Using IP Fragments[/FONT]
[FONT=arial, helvetica, sans-serif]Bu tarama yöntemi eski bir yöntemdir.SYN ve FIN yöntemlerinin geliştirilip kullanımının kolaylaştırılmış halidir.[/FONT][FONT=arial, helvetica, sans-serif] Bu yöntemde bir araştırma paketi göndermek yerine paketi daha küçük iki üç IP fragmenti olarak gönderilir. Kısaca TCP paketlerinin başlıklarını paket filtreleşicilerinin işini zorlaştırmak ve yapılan işin anlaşılmaması için çeşitli paketlere bölmektir.[/FONT]
[FONT=arial, helvetica, sans-serif]# TCP Xmas Tree Scan[/FONT]
[FONT=arial, helvetica, sans-serif]Türkçe anlamı noel ağacıdır.Bu taramada hedef olarak kabul edilen sistemin portuna [/FONT][FONT=arial, helvetica, sans-serif]FIN “No more data from sender”, URG “Urgent Pointer field significant” ve PUSH “Push[/FONT]
[FONT=arial, helvetica, sans-serif]Function” flaglı paket gönderilir ve kapalı olan port’lardan RFC 793’e göre RST[/FONT]
[FONT=arial, helvetica, sans-serif]cevabı beklenir.Kapalı olan portlar cevap veren portlardır;cevap vermeyen portlar ise açık olan portlardır.[/FONT]
[FONT=arial, helvetica, sans-serif]# [/FONT][FONT=arial, helvetica, sans-serif]TCP Null Scan[/FONT]
[FONT=arial, helvetica, sans-serif]Bu yöntemde Xmas Tree’nin tersine hiç bayrak taşımayan paket yollanır. RFC 793’e göre kapalı olan portlardan RST cevabı gelir;açık olan portlardan iste hiçbir cevap gelmez.[/FONT]
[FONT=arial, helvetica, sans-serif]# TCP ACK Scan[/FONT]
[FONT=arial, helvetica, sans-serif]Bu taramanın temel mantığı ve amacı statik yada dinamik paket filtreleme de firewallar’ın bağlantıyı ilk başlatan tarafı hatırlayamamasıdır.[/FONT][FONT=arial, helvetica, sans-serif] Bazı firewall’ların onaylanmış bağlantılara izin verdiğini de düşünürsek bu ACK “Acknowledgment field significant“ paketin firewall yada router’ların içinden engellenmeden geçmesi ve hedefe ulaşması mümkün olabilir. Bu şekilde Firewall’ları bypass ederek hedefe ulaşıp hedefin port’larını tarama şansı kazanırız.[/FONT]
[FONT=arial, helvetica, sans-serif]# [/FONT][FONT=arial, helvetica, sans-serif]TCP Ftp Proxy (Bounce Attack) Scanning[/FONT]
[FONT=arial, helvetica, sans-serif]RFC 959’nin tanımı yapılırken dikkati çeken bir özellik Proxy ftp bağlantısının yapılmasına izin vermesidir.Bu Scanner türü de bu özelliğin oluşturduğu açığı kullanır.Çünkü bu özellik portlar arası FTP server-PI (protocol interpreter) aracılığı ile kontrol haberleşme oluşturulup bağlantı kurulur. Bu bağlantı sayesinde, server-PI’e ağdaki her hangi bir yere dosya yollayabilecek server-DTP (data transfer process) isteği aktif edilebilir. Bu açık özellikle firewall arkasında bağlı bulunan bir ftp’ya bağlandığımız zaman sunucuya kendi port’larını taratması sağlandığı için çok tehlikeli bit tarama türüdür. Çünkü firewall baypas edilmiş olur.[/FONT]
[FONT=arial, helvetica, sans-serif]# [/FONT][FONT=arial, helvetica, sans-serif]TCP Windows Scan[/FONT]
[FONT=arial, helvetica, sans-serif]Bu tarama türü TCP Windows Scanın verdiği raporlardaki sonuçları kontrol ederek portlarda açık olup olmadığını yada herhangi bir filitreleme yönteminin kullanılıp kullanılmadığını kontrol eder.[/FONT]
[FONT=arial, helvetica, sans-serif]# [/FONT][FONT=arial, helvetica, sans-serif]TCP RPC Scan[/FONT]
[FONT=arial, helvetica, sans-serif]Bu tarama türündeki temel amaç RPC (Remote Procedure Call - Uzak işlem çağrıları) portlarından çalışan işlemleri ve sürümlerini almaya dayanır.Kontrol sağlandıktan sonra işlem gerçekleştirilir.[/FONT]
[FONT=arial, helvetica, sans-serif]# [/FONT][FONT=arial, helvetica, sans-serif]UDP Scan[/FONT]
[FONT=arial, helvetica, sans-serif]Bu teknik hedef kabul edilen porta UDP paketi gönderek kapalı olan porttan"ICMP port unreachable" mesajının alınması temeline dayanır. Eğer bu mesaj gelmezse port’un açık olduğu anlaşılır.Bu işlemleri gerçekleştirirken dikkat ve yavaşlık çok önemlidir.Özelliklede filitreleme cihazlarını tararken çok dikkat edilmelidir.[/FONT]
[FONT=arial, helvetica, sans-serif]# [/FONT][FONT=arial, helvetica, sans-serif]Ident Scan[/FONT]
[FONT=arial, helvetica, sans-serif]RFC 1413’te tanımlanmış bir protokoldür.Ident protokolü üzerinde geliştirilmiş bir tarama yöntemidir.Tek olarak değil diğer tarama teknikleri ile birlikte kullanılır. Hedef sistem üzerinde Identd aktif ise sistemde çalışan servislerin tam listesine ve bu servisleri çalıştıran kullanıcıların isimlerine ulaşılması için yapılır. Identd aktif durumda değil ise bu arama türü işlevsiz olmaktadır[/FONT]
[FONT=arial, helvetica, sans-serif]RFC 1413’te tanımlanmış bir protokoldür.Ident protokolü üzerinde geliştirilmiş bir tarama yöntemidir.Tek olarak değil diğer tarama teknikleri ile birlikte kullanılır. Hedef sistem üzerinde Identd aktif ise sistemde çalışan servislerin tam listesine ve bu servisleri çalıştıran kullanıcıların isimlerine ulaşılması için yapılır. Identd aktif durumda değil ise bu arama türü işlevsiz olmaktadır[/FONT]
