Kesif ve Zafiyet Tarama

Kesif ve Zafiyet TaramaBGM 553 - Sızma Testleri ve Guvenlik Denetlemeleri-I

Bilgi Guvenligi MuhendisligiYuksek Lisans Programı

Dr. Ferhat Ozgur [email protected]

Istanbul Sehir Universitesi2016 - Guz

Dr. Ferhat Ozgur Catak [email protected] Kesif ve Zafiyet Tarama Istanbul Sehir Universitesi 2016 - Guz 1 / 52

Icindekiler

1 TaramaGirisKesif TurleriPasif KesifWireSharkARP Tablosu

Aktif KesifGirisPing Sweep

NmapTCP Flag Tipleri

2 Nmap TaramasıNmap Ping Taraması

Nmap Port Taraması3 Servis, Versiyon ve IsletimSistemi TespitiServis ve Versiyon TespitiGirdi - Cıktı Yonetimi

4 NMAP Betik TaramasıBetik Taraması

5 Zamanlama, IPS/IDS AtlatmaZamanlamaIPS/IDS Atlatma

6 Buyuk Agların TaranmasıBuyuk Aglarda Tarama


Icindekiler










Tarama I

I Tarama: Ag uzerinde bulunan calısır halde ve yanıt veren sistemlerinbulunması islemi.

I Tarama aracları kullanılarak hedef bilgisayarın IP bilgisi, isletim sistemive uzerinde calısan servisler gibi bilgilere ulasabiliriz.

Tablo: Tarama turleri.

Tarama Tipi AmacPort Tarama Acık port ve servislerin bulunmasıAg Tarama Ag veya subnet uzerinde IP adreslerinin bulunması

Zafiyet Taraması Hedef sistem uzerinde bilinen zayıflıkların bulunması


Tarama III Port Tarama (Port Scanning): Bir sistemde yer alan acık TCP/IPportlarının bulunması islemidir.

I Well-Known Ports: 0-1023 (Orn: 80. port web sunucu)I Registered Ports: 1024-49151 (vendors use for applications)I Dynamic Ports: 49152-65535 (dynamic / private ports)

FTP, 21Telnet, 23HTTP, 80SMTP, 25POP3, 110HTTPS, 443Global Catalog Server (TCP), 3269 ve 3268LDAP Server (TCP/UDP), 389LDAP SSL (TCP/UDP), 636IPsec ISAKMP (UDP), 500NAT-T (UDP), 4500RPC (TCP), 135ASP.NET Session State (TCP), 42424NetBIOS Datagram Service (UDP), 137 ve 138

NetBIOS Session Service (TCP), 139DHCP Server (UDP), 67LDAP Server (TCP/UDP), 389SMB (TCP), 445RPC (TCP), 135DNS (TCP/UDP), 53IMAP (TCP), 143IMAP over SSL (TCP), 993POP3 (TCP), 110POP3 over SSL (TCP), 995RPC (TCP), 135RPC over HTTPS (TCP), 443 veya 80SMTP (TCP/UDP), 25


Tarama III

I Ag Tarama (Network Scanning) :Ag icerisinde yer alan aktif olarakcalısan sunucuların tespit edilmesi.

I Zafiyet Taraması (Vulnerability Scanning): Ag uzerinde yer alanbilgisayarlarda bilinen zafiyetlerin tespit edilmesi islemi.


Kesif Turleri

I Pasif Kesif: Ag altyapısına ve sunuculara bir paket gonderimi yoktur.Ag trafigi dinlenerek yapılır.

I Agın dinlenmesiI TcpdumpI Wireshark

I ARP tablosuI Aktif Kesif: Hedef sunucuların tespiti icin paket gonderilir.

I NmapI HpingI ScapyI Ping, tracert


WireSharkI Ag trafigini dinlemek icin kullanılan arac.I Trafigi dinleme ve kaydetme ozelliklerine sahip.I Filtreleme ve inceleme

Sekil: Pasif kesif aracı: Wireshark


ARP TablosuI Aynı ag icinde bulunan diger bilgisayarlara ait IP, mac adresi bilgileribulunmaktadır.

Sekil: Pasif kesif aracı: ARP


Aktif Kesif

I Saldırgan aktif olarak aga paketler gonderir.I nmapI hpingI ScapyI nessus

I Bu egitim kapsamında kullanılacak olan arac: nmap


Ping Sweep I

I IP adres blogu uzerinde ping sweep islemi ile canlı sistemlerinbulunması.

I Ag uzerinde yer alan bilgisayarlardan ping cevabı alınmasıdurumunda calısır oldugu kabul edilir.

I Internet Control Message Protocol (ICMP) taramasıda denilmektedir.I ping komutu ICMP protokolu kullanır.I Internet Control Message Protocol: Hataları raporlamak icinkullanılan,kontrol amaclı bir protokoldur. Bu sekilde normalkullanımının yanında, uzak sistem hakkında bilgi toplamak icin sıkcakullanıldıgından cok onemlidir.


Ping Sweep II

Sekil: Windows ping komutu

I ping’e karsılık uzak sistem kapalı, cevap vermiyor veya ping bloklandı.


Nmap INmap, acık kaynak kodlu ag kesif ve tarama aracıdır.http://www.nmap.org

I Ping sweepsI port scanningI service identification

I IP address detectionI operating system detectionI Unix, Linux, Windows

Nmap uygulamalarıI Zenmap: Nmap kullanıcı arayuzuI Ndiff: Tarama sonuclarını kıyaslama aracı. 2 Farklı nmap XML cıktısıarasıda bulunan farklar

I Nping: Paket ureticisi ve gelen cevabın analizi aracıI Ncrack: Kaba kuvvet saldırısı aracı


Nmap IITablo: NMap tarama turleri

NMap Tarama AcıklamaTCP connect Hedef sistemle TCP baglantısı. Dogrulugu yuksek

fakat en farkedilir tarama. Acık portlar SYN/ACK,kapalı portlar RST/ACK

XMAS tree scan XMAS-tree paketleri ile TCP servislerin kontroledilmesidir.

SYN stealth scan half-open tarama. SYN paketi gonderilir, SYN-ACKbilgisi sunucudan alınır.

Null scan Firewall tarafından algılanmama ihtimali olan,butun flag’lerin kapalım oldugu tarama. SadeceUnix sistemlerde calısır.

ACK scan Sadece Unix’de calısır. Port’a gelen cevapunreachable olması durumunda filtered olarakkabul edilir.


Nmap III

Nmap ParametreleriI -sT TCP connect scanI -sS SYN scanI -sF FIN scanI -sX XMAS tree scanI -sN Null scanI -sP Ping scanI -sU UDP scanI -sO Protocol scanI -sA ACK scanI -sW Windows scanI -sR RPC scanI -sL List/DNS scan

I -sI Idle scanI -Po Don’t pingI -PT TCP pingI -PS SYN pingI -PI ICMP pingI -PB TCP and ICMP pingI -PB ICMP timestampI -PM ICMP netmaskI -oN Normal outputI -oX XML outputI -oG Greppable outputI -oA All output

I -T Paranoid Serial scan;300 sec between scans

I -T Sneaky Serial scan; 15sec between scans

I -T Polite Serial scan; .4 secbetween scans

I -T Normal Parallel scanI -T Aggressive Parallel scan,300 sec timeout, and 1.25sec/probe

I -T Insane Parallel scan, 75sec timeout, and .3sec/probe


TCP Flag Tipleri II TCP three-way handshake kullanılarak TCP taramaları yapılır. Ikibilgisayar arasında basarılı baglantı icin three-way handshake yapılır.

I Gonderici (Sender), SYN bit’i set edilmis bir TCP paketi gonderir.I Alıcı (Receiver), SYN ve ACK bitleri set edilmis TCP paketi gonderir.I Gonderici, ACK bit’i set edilmis son bir TCP paketi gonderir.

Sekil: TCP three-way handshake


TCP Flag Tipleri II

TCP FlagsI SYN Synchronize. Initiates a connection between hosts.I ACK Acknowledge. Established connection between hosts.I PSH Push. System is forwarding buffered data.I URG Urgent. Data in packets must be processed quickly.I FIN Finish. No more transmissions.I RST Reset. Resets the connection.


Icindekiler










Nmap Ping TaramasıAcık sunucuların tespit edilmesi icin yapılmaktadır.

I nmap -sP 192.168.4.0/24 (ping scan)I ICMP echo requestI TCP 443 portuna SYNI TCP 80 portuna ACKI ICMP timestamp request

I ”-PN” parametresi kullanılırsa sunucu kesfi gerceklesmez.

Sekil: Nmap ping taramasıDr. Ferhat Ozgur Catak [email protected] Kesif ve Zafiyet Tarama Istanbul Sehir Universitesi 2016 - Guz 19 / 52

Nmap SYN Taraması

Sekil: Nmap port taraması

Sekil: wireshark paket filtrelemeDr. Ferhat Ozgur Catak [email protected] Kesif ve Zafiyet Tarama Istanbul Sehir Universitesi 2016 - Guz 20 / 52

SYN Taraması

Sekil: OPEN

Sekil: CLOSED

Sekil: FILTERED

Sekil: FILTERED


Port Durumları

I openI Porta erisim var.I Bir servis dinliyor.

I closedI Porta erisim var.I Guvenlik duvarı trafigifiltrelemiyor

I Port uzerinde dinleyen birservis yok

I Ornek: Sunucu RST icerenpaket donmus

I filteredI Cevap alınamamısI Guvenlik duvarı trafigifiltrelemis

I Port acık veya kapalı olabilir


Port TaramasıI En sık kullanılan 1000 portI -p80,443,445-447I -sU -sT -p U:53,T:21-25,80

I --top-ports 10I -F (fast)I Tum portlar: -p1-65535


TCP Taraması I

I nmap -sT 192.168.4.35 -n -p80


TCP Taraması II

Sekil: SYN taraması

Sekil: TCP taraması


TCP Taraması III

SYN TaramasıI 3’lu el sıkısma tamamlanmazI SYN+ACK gelirse RST ilebaglantı kapatılır

I Sunucuda kayıt tutulmazI Root hakkı gerektirir

I Paketlere mudahale gerekli

TCP TaramasıI 3’lu el sıkısma tamamlanırI SYN+ACK gelirse ACK ilebaglantı tamamlanır

I Sunucuda baglantıya iliskinkayıt tutulur

I Isletim sistemi TCP connect()metodu kullanır, root hakkıgerektirmez


UDP Taraması I

I nmap -sU 192.168.4.35I Uzun zaman alır: UDP taramasında hedef sistemden geriye bir cevapgelmesi garantisi bulunmadıgından zaman asımları (timeouts)beklenir.

I Bos UDP paketi gonderir: Bos pakete UDP protokolu ile calısan birservisin herhangi bir cevap donmeme ihtimali yuksektir.

I UDP protokolu ile calısan en sık rastlanan uygulamalar ve portnumaraları su sekildedir: DNS (53), TFTP (69), DHCP (67-68), NTP (123),SNMP (161-162)


UDP Taraması II


UDP Taraması I

Sekil: OPEN

Sekil: CLOSED

Sekil: FILTERED

Sekil: OPEN—FILTERED


UDP Taraması II

UDP taraması port durumları:I open: UDP servisi herhangi bir cevap doner. Bu durumda dinleyen birservis oldugu anlasılır.

I closed: UDP servisi “ICMP port unreachable” cevabı doner. Budurumda porta erisimde bir guvenlik duvarının engellemesi olmadıgıancak dinleyen bir UDP servisi olmadıgı anlasılır.

I filtered: UDP servisi “ICMP port unreachable” haricinde “ICMPunreachable”mesajlarından birini doner. Bu durumda porta erisimdebir guvenlik duvarının engellemesi oldugu anlasılır.

I open—filtered: UDP servisinden bir cevap gelmez. Bu durumdaorada dinleyen bir servis olup olmadıgı veya porta erisimde birguvenlik duvarının engellemesi olup olmadıgı hakkında bilgi sahibiolamayız.


Icindekiler










Servis ve Versiyon Tespiti IPort uzerinde calısan servisin tespiti

I Uygulama belirli port uzerinde calısmak zorunda degil.I Ornek TCP/443 portunda SSH calısabilir.

nmap-service-probes veritabanıI Dinleyen servise cesitli paketler gondererek davranısına goreuygulamanın versiyonunu tespit etmeye calısır.

I Uygulama protokolu (Ornek: FTP, SSH, Telnet, ...)I Uygulama adı (Ornek: ISC BIND, Apache httpd, ...)I Versiyon numarasıI Sunucu adıI Cihaz turu (yazıcı, yonlendirici, ...)I Isletim sistemi ailesi (Windows, Linux, ...)


Servis ve Versiyon Tespiti IInmap -sS 192.168.4.54 --top-ports 10 -sV


Servis ve Versiyon Tespiti IIInmap -sU 192.168.4.54 --top-ports 10 -sV


Girdi - Cıktı Yonetimi

Girdi YonetimiI -iL ip listesi.txtI 192.168.1-255.0-255: 192.168.1.0 adresinden 192.168.255.255 IPadresine kadar olan tum IP adreslerini kapsar

I 192.168.1.0/24 10.0.0.0/16I 192.168.1-255.1-10,254

Cıktı YonetimiI -oN: Normal (Okunabilir)I -oG: Grepable (Parsing)I -oX: XML (Veritabanına atmak icin)I -oA: Tum formatlarda


Icindekiler










Betik Taraması I

Nmap Scripting EngineI Lua programlama diliI Ag kesfiI Gelismis servis tespitiI Zafiyet tespitiI Arka kapı tespitiI Zafiyet somurme


Betik Taraması IIBetik Taraması

I Aktif hale getirmek icin -sC veya --script kullanılır.

KategorilerI auth: Yetkilendirme atlatma betikleriI brute: Kaba kuvvet ile yetkilendirme atlatma betikleriI default: Betik taraması aktif edildiginde varsayılan betiklerI dos: Servis dısı bırakabilecek acıklıkları test eden betikler, genellikle servis dısı bırakma ile sonlanırI exploit: Bazı zafiyetleri somurmek icin gelistirilmis betiklerI intrusive: Guvenli kategorisine girmeyen, servis dısı bırakma ile sonuclanabilen, sistem kaynaklarınıfazla kullanan veya hedef sistem tarafından saldırgan olarak tanımlanacak aktiviteler gerceklestirenbetikler (ornegin kaba kuvvet betikleri)

I malware: Hedef sistemde belirli bir kotucul yazılımın veya arka kapının olup olmadıgını test edenbetikler

I safe: intrusive kategorisine girmeyen, servis dısı bırakma ile sonuclanmayacak, sistem kaynaklarınıasırı tuketmeyecek veya hedef sistem tarafından saldırgan olarak tanımlanmayacak aktivitelergerceklestiren betikler

I version: Gelismis versiyon tespiti gerceklestiren betiklerI vuln: Hedef sistemde belirli bir zafiyetin olup olmadıgını test eden betikler


Betik Taraması III

Betik veritabanının guncellenmesiI nmap --script-updatedb

Betik aramakI locate *.nse— grep telnetI find / -name ”*.nse” — grep telnet

Betik calıstırmakI nmap -sS -p23 10.0.0.1 --script telnet-bruteI nmap -sU -p53 10.0.0.1 --script “dns-*”


Betik Taraması IV

--script-help


Betik Taraması VBetik Taraması - Versiyon Tespiti Iliskisi

I Betik Taraması versiyon tespiti yapılmazsa sadece varsayılan portlarauygulanır


Betik Taraması VISık kullanılan betikler

I *-brute.nseI *-info.nseI dns-recursionI dns-zone-transferI http-slowloris-checkI ms-sql-infoI ms-sql-dump-hashesI nbstatI smb-check-vulnsI smb-enum-usersI smb-enum-shares


Betik Taraması VII

Sık kullanılan betikler - *.brute.nseI ftp-bruteI ftp-anonI ms-sql-bruteI mysql-bruteI oracle-sid-bruteI snmp-bruteI telnet-bruteI vmauthd-bruteI vnc-brute


Betik Taraması VIIInbstat


Betik Taraması IX

nbstat


Icindekiler










Zamanlama IZamanlama

I Tarama dogrulugu ve etkinligi acısından onemlidir.I Dısardan yapılan taramalarda IPS/IDS’den kacmak icin yavastaramalar.

I Iceriden yapılan taramalarda hızlı tarama tercih edilir.

ParametrelerI -T0 (paranoid): En yavas tarama turudur. Paralel tarama kapalıdır ve gonderilen her bir paketarasında 5 dk sure gecer.

I -T1 (sneaky): Paralel tarama kapalıdır ve gonderilen her bir paket arasında 15 sn sure gecer.I -T2 (polite): Paralel tarama kapalıdır ve gonderilen her bir paket arasında 0.4 sn sure gecer.I -T3 (normal): Nmap varsayılan tarama hızıdır. Belirli bir hız secenegi sunulmadıgında kullanılır.Paralel tarama ilk kez bu parametre ile baslar. Nmap hızını taramanın durumuna gore ayarlar.

I -T4 (aggressive): Varsayılan taramaya gore daha hızlıdır.I -T5 (insane): En hızlı tarama secenegidir. Ag trafiginin dolmasına ve hizmet kesintilerine nedenolabilir. Ayrıca zaman asımları beklenmeyeceginden bazı servisler icin yanlıs sonuclar da donmeihtimali vardır.


Zamanlama II--max-retries 2

I Nmap cevap alamadıgı portlar icin tekrardan istekte gonderir.I Bu parametre ile kac kez tekrar paket gonderilecegi belirtilebilir

--host-timeout 30I Bir sunucuda taramanın en cok surecegi sure belirtilebilmektedir.

Paralel Taramanın KapatılmasıI -T0, -T1, -T2: Paralel tarama bu parametreler kullanıldıgında kapalıdır.I --scan-delay 1: Gonderilen her bir paket arasına 1 sn sure koyar.I --max-parallelism 1: Aynı anda bir sunucuya tek bir paketgonderilmesini saglar.

I --max-hostgroup 1: Paralel taramayı tamamen kapatmaz, tek biranda tek bir sunucuya tarama gerceklestirilmesini saglar.


IPS/IDS AtlatmaI Zamanlama

I Paketler arası sureyi uzatI Paralel taramayı kapat

I FragmentationI -f

I Kaynak PortuI --source-portI Kaynak portu 80 olan bir baglantı daha guvenilir olabilir

I Tarama sırasını karıstırmaI --randomize-hostsI Sıra ile taramayı engeller

I IP SahteciligiI Gonderilen paket geri donmezI UDP trafigi icin mantıklı

I Guvenlik duvarı ve IPS/IDS tespitiI TTLI --badsum


Icindekiler










Buyuk Aglarda Tarama IBuyuk agların kucuk aglara bolunmesi

I Taramaların belirli bir duzen icerisinde gerceklesmesi acısındantaramaların daha kucuk alt aglara gerceklestirilmesi onerilir.

I Ornekleme kumesi alınabilir.

IP kesfi icin ping taraması kullanımıI Taramalardan once ping taraması gerceklestirilerek IP adresleri tespitedilebilir.

I Tespit edilen bu IP adresleri diger sızma testi tekniklerindekullanılmak adına hazır olmus olur.

Isim Cozumleme yapılmamasıI Nmap taradıgı IP adreslerinin sunucu isimlerini tespit etmek icin DNSsunucuya reverse kayıtları sorgulayabilir.

I Bu islem yavas olmaktadır. –n parametresi ile isim cozme kapatılabilir.Dr. Ferhat Ozgur Catak [email protected] Kesif ve Zafiyet Tarama Istanbul Sehir Universitesi 2016 - Guz 51 / 52

Buyuk Aglarda Tarama II

Hızlı tarama seceneklerinin kullanılmasıI -T4—5I --max-retriesI --host-timeoutI Paket kaybı yasanabilir (timeouts)I Servis dısı kalma


Software

Kesif ve Zafiyet Tarama