Banner Yakalama

Bu tekniğin temeli bazı sistemlerde bağlanılan portlarda giriş mesajlarıyla
karşılaşılmasına dayanmaktadır. Fakat buna ek olarak giriş yaptıktan sonra basit
yöntemlerle işletim sistemini saptamaya çalışmak gerekebilir. Aşağıdaki örnekte
Washington Üniversitesi FTP sunucusu kullanılan sunucuya bağlanarak SYST
komutunu verdi ve işletim sistemi tipi hakkında ufak bir bilgi edinildi.

Trying 127.0.0.1...
Connected to localhost. localdomain (127.0.0.1).
Escape character is '^]'.
220 localhost. localdomain FTP server (Version wu-2.6.1-16) ready.
SYST
215 UNIX Type: L8

Aktif TCP Parmak izleri Saptama

Temel fikir işletim sistemlerine bazı TCP paketleri gönderilerek verdikleri
cevapları incelemek ve bu sayede işletim sistemini saptamaktır. Gönderilecek paketler
içerisindeki çeşitli flag'larla oynanarak , parçalanma işareti ile oynayarak , ack değeri
yada servis türü gibi bilgilerle oynayarak gönderilir. Karşılığında gelen paketlerdeki
cevaplar içinde flaglara bakmak, pencere boyutuna bakmak yada gönderilen ve alınan

IP SPOOFING NEDiR?

Internet veya ağa bağlı sisteminizle başka bir sisteme bağlanacaksınız, ama bu bağlantın sizin tarafınızdan yapıldığını gizlemek istiyorsunuz. Bunun için bağlantı sırasında kimliğinizi (ki TCP/IP protokollerinde kimliğiniz IP adresinizdir), yanlış gösteriyorsunuz. işte bu yaptığını işleme IP Spoofing denir Yani yaptığınız bağlantıda IP adresinizi karşıdaki bilgisayara farklı gösterme işlemine IP Spoofing denir.

IP SPOOFING YÖNTEMLERi:

IP Spoofing iki şekilde yapılır. Proxy/Socks sunucularını kullanarak, veya IP paketlerini editleyerek. Proxy/Socks sunucusu kullanmak basit bir yöntemdir. Daha çok web/IRC bağlantılarında IPyi gizlemek için kullanılır. IP paketlerini editleyerek yapılan IP Spoofing çok etkilidir ve genel olarak D.o.S saldırılarında veya session-hijacking yönteminde kullanılır.

PROXY/SOCKS KULLANIMI:

Internetde gezdiğiniz sitelerin sizin IP adresinizi loglarında tutmaması için, kullandığınız browserın bağlantı ayarlarına girerek bir proxy sunucusu üzerinden bağlantı yapmasını sağlayabilirsiniz. Bu şekilde siz aslında proxy sunucusuna bağlanmış olurken, proxy sunucusu sizin yerinize hedef bilgisayara bağlanmış olacaktır. Örnek:

sistemim : 1059 -> benim proxy:8080
benim proxy: 1039 -> hedefim:80

Önce sistemimiz (MySystem) kullanmak istediğimiz proxyye myproxy proxynin portundan bağlanıyor proxy portları 80 3128 8080 gibi değişik portlar olabilir bu bağlantı sağlanınca sistemimiz daha üst bir protokol ile http https bağlanmak istediği hedef mytarget bilgisayarla ilgili bilgiyi proxyye yolluyor. Proxyde hedef bilgisayara bağlanıp bizim gönderdiklerimizi ona ondan gelen bilgileri bizim sistemimize aktarıyor böylece hedef bilgisayarın bağlantı loglarına bizim değil proxynin IPsi geçmiş oluyor. Yalnız bazı proxy yazılımları bu konuda tam olarak IP saklama özelliğine sahip değil. Bizim isteğimizi karşı tarafa yollarken, bizim IPmizide HTTP başlığına ekleyenler var. Logların incelenmesi durumunda bağlantının gerçekten kim adına istenmiş olduğu ortaya çıkıyor. Proxy kullanımının da IP adresinizin gizlenmesiyle ilgili bir de şu tehlike var. Sizin IP adresiniz, hedef bilgisayara iletilmese de proxy loglarında tutuluyor. Bu yüzden hedef bilgisayarın admini, proxy sunucusunun loglarına başvurup sizin IPnizi bulabilir.

Eğer IP adresimizi webde surf yaparken değil de, başka bir TCP bağlantısında spoof etmek istiyorsak socks sunucusu kullanabiliriz. Socks sunucuları genelde 1080. porttan bağlantı kabul ederler ve kullanıcıya Proxy sunucusundan çok daha fazla seçenek sunar. Socks sunucusu kullanarak telnet, ftp, IRC gibi TCP bağlantısı kabul eden her sunucuya bağlanabilirsiniz. Socks sunucusu ile sistemimiz haberleşmek için TCP bağlantısını yaptıktan sonra socks protokolünü kullanır. Örnek:

benım portum:1075 -> benim portum:1080
benim portum:1043 -> hedefim:ftp

Proxy bağlantısında olduğu gibi yine sistemimiz önce socks sunucusuna bağlanır. Sistemimiz yapmak istediği bağlantıyı socks sunucusuna socks protokolü yardımıyla bildirir. Socks sunucusu da bizim sistemimiz yerimize hedef bilgisayara bağlanır. Bu sayede yine IP adresimiz hedef bilgisayara ulaşmamış olur. IP Spoofing yöntemini durdurmak için hedef sunucuda socks sunucusu kontrolü olabilir. Yani bağlantı isteğini kabul etmeden önce bağlantının bir socks sunucusundan gelip gelmediğini kontrol eder. Eğer bağlantı bir socks sunucusundan geliyor ise bağlantıyı kabul etmez. Özellikle socks sunucusu ile IP Spoof yapılmasının önlenmesi için IRC sunucularında bu kontrolün olduğunu görebilirsiniz.

alıntıdır: kmc60@tht