The post Scapy – Özelleştirilebilen TCP/IP Test Aracı first appeared on Complexity is the enemy of Security.
]]>Scapy, Python dili ile yazılmış Linux ve Windows sistemlerde komut satırından çalışan açık kaynak kodlu bir yazılımdır. Kullanım amacı TCP/IP ağlar için özelleştirilmiş paketler üretmektir. Nmap, packit, Hping, sing gibi bu işe özel araçlar varken neden özelleştirilmiş paketlere neden ihtiyaç duyarız?
Bunun cevabı yine sorusunda yatıyor.Nmap ve Hping en sık kullanılan port tarama ve paket üretme “araçlarıdır”, yani belirli amacı gerçekleştirmek için hazırlanmış yazılımlar. Fakat her iki aracın da sınırları vardır ve sadece yazılımcısının sunduğu özellikler kullanılabilir.
Mesela Nmap ile istenilen türde TCP paketleri üreterek tarama yapılamaz ya da Hping kullanarak L2 seviyesinde(ARP, RARP) paketler üretilemez. Piyasada bulunan benzeri ürünlerin hepsinde buna benzer çeşitli kısıtlamalar vardır.
Scapy tüm bu araçlarda bulunan, bulunmayan özellikleri esnek bir şekilde sunar. Scapy için oyun hamuru diyebiliriz, Scapy ile TCP/IP ağlarda birşey yapmak için sadece ne istediğinizi bilmeniz ve bunu Scapy’nin anlayacağı şekilde yazmanız yeterli olacaktır.
Scapy Kullanımı:
Scapy interaktif bir kullanıma sahiptir, istenirse python scriptlerinde import edilerek de kullanılabilir.
TCP/80 portuna SYN bayraklı paket gönderimi
# scapy
Welcome to Scapy (2.0.0.10 beta)
>>> sr(IP(dst=”192.168.0.0/24″)/TCP(dport=80, flags=”S”))
XMAS Tarama için özellştirilmiş paket gönderimi
>>> ans,unans = sr(IP(dst=”192.168.1.1″)/TCP(dport=666,flags=”FPU”) )
Script içerisinde Scapy kullanımı
Basit TCP Port tarama aracı
#!/usr/bin/env python
import sys
from scapy import sr,IP,TCP,conf
conf.verb = 0
dstip = sys.argv[1]
print “\nScan started for “+dstip
res,unans = sr(IP(dst=dstip)/TCP(dport=[(0,1024)]),timeout=1)
if res:
print “\nReceived answers from the following ports:\n”
for s,r in res:
print r.sprintf(“%TCP.sport%”)
print “\nScan Finished\n”
Scapy ile yapılabilecekleri daha detaylı görmek ve öğrenmek için http://www.secdev.org/projects/scapy/doc/ adresindeki güncel dökümantasyonu incelenebilir.
The post Scapy – Özelleştirilebilen TCP/IP Test Aracı first appeared on Complexity is the enemy of Security.
]]>The post Ağ Üzerinden Pasif Veri Yedekleme Aracı:tcpxtract first appeared on Complexity is the enemy of Security.
]]>Tcpxtract kullanarak akan trafikten anlık olarak olarak verileri yedekleyebileceği gibi pcap formatında kaydedilmiş(tcpdump, Wireshark vs) paketler içerisinden de orjinal verileri ayıklamak için kullanılabilir.
Tcpxtract ile akan trafikten veri ayıklama
parametre olarak trafiğin geçtiği arabirim verilirse o arabiri üzerinden geçen ve konfigurasyon dosyasında belirtilen tüm dosyalar diske kaydedilir.
# tcpxtract -d eth0
Found file of type “pdf” in session [91.93.119.80:20480 -> 10.2.1.13:7111], exporting to 00000000.pdf
Tcpdump ile kaydedilmis trafik uzerinden veri ayıklama
# tcpdump -i eth0 -s0 tcp port 80 -w file
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
^C634 packets captured
634 packets received by filter
0 packets dropped by kernel
tcpdump ile kaydedilen paketler tcpxtract’a parametre olarak verilirse içeriğinden istenen dosyalar ayıklanabilir
# tcpxtract -f file
Found file of type “pdf” in session [91.93.119.80:20480 -> 10.200.169.163:2979], exporting to 00000000.pdf
Detay bilgi almak ve bu yazılımı denemek isterseniz http://tcpxtract.sourceforge.net/ adresi işinizi görecektir.
The post Ağ Üzerinden Pasif Veri Yedekleme Aracı:tcpxtract first appeared on Complexity is the enemy of Security.
]]>The post Nmap Kullanım Kitapçığı(Türkçe) first appeared on Complexity is the enemy of Security.
]]>Kitapçık http://www.bga.com.tr/calismalar/nmap_guide.pdf adresinden indirilebilir.
The post Nmap Kullanım Kitapçığı(Türkçe) first appeared on Complexity is the enemy of Security.
]]>The post Tcpdump ile Trafik Analizi first appeared on Complexity is the enemy of Security.
]]>The post Tcpdump ile Trafik Analizi first appeared on Complexity is the enemy of Security.
]]>The post Hping ile 50k$ kazanmak… first appeared on Complexity is the enemy of Security.
]]>Mülakatta gelen ilk soru klasikti hangi araçları kullanacaksınız? Burada karşı tarafı etkileme amaçlı bir dünya araç ismi sayabilirdim fakat network testlerinde Hping, Nmap ve Netcat üçlüsü(+tcpdump) işimi fazlaca gördüğü için bunları saydım.
hping sihirli sözcük olmalı ki sorular onun üzerinden gelmeye devam etti. Neden hping, hping ile neler yapabilirsiniz vs…
Ben de her zamanki klasik cevabımı paylaştım: “Hping benim için aklımdakileri gerçekleştirmeme kolaylık sağlayan bir araç, iyi bir araç. Bunun ötesinde birşey değil…”
Neyse zaman geçtikce firmaya daha önce bu konuda yaptığım başarılı testleri vurucu örneklerle anlattım ve sanırım onları bu işte benimle çalışmalarına ikna ettim. Yapılacak iş aslında benim için yeni değil, üzerinde onlarca tür çeşitlilikte sistem çalışan ve tamamen TCP/IP konuşan bir networkün kapsamlı testi(klasik vulnerability testi değil). Sonuç olarak benden beklenen altyapıda kullanılan ağ/güvenlik sistemlerinin hem işlevsellik hem de performans testlerinin yapılmasını ve test çıktılarının firmanın ağ ve güvenlik uzmanlarına detaylıca anlatılması.
Beni nerden buldunuz diye sorduğumda gelen cevaplardan anladığım Hping ile ilgili yazdıklarımın referans olmasıymış. hey gidi hping sen nelere kadirsin:). Bakalım gerekli izinleri vs halledebilirsem bir iki aylığına bu işe vereceğim kendimi. Sonrasında belki sadece bu yaptıklarımı anlatan bir eğitim bile açarız:)
The post Hping ile 50k$ kazanmak… first appeared on Complexity is the enemy of Security.
]]>The post Bir domaine ait e-postaları bulma first appeared on Complexity is the enemy of Security.
]]>Kullanıcıları avlamanın en kolay yolu da onların e-postalarına çeşitli yem mailler göndererek belirli linklere tıklamalarını sağlamak ya da gönderilen dosyaları açmalarını sağlamak(PDF, Ppt, doc vs)tır. Bundan sonrası hackerin becerilerine ve kullandığı yazılımlara bağlı olarak değişecektir.
Sadece şunu söylemekle yetinelim, tıkladığınız bir link ya da müdürünüzden geliyormuş gibi gözüken bir pdf, ofis dosyasını açmaya çalışmanız bilgisayarınızı bir zombi haline getirebilir, iç ağınıza sızılmasına sebep olabilir. Kullanıcı bilgisayarlarında yüklü olan antivirüs programları bu tip zararlı kodları engellemekte malesef yetersiz kalmaktadır.
Risk bu kadar büyük olunca güvenlik testlerinde(penetrasyon testleri) artık istemci testleri önemli yer tutmaya başladı. İstemci testleri yapmanın en temel adımı onlar hakkında bilgi toplamak olacaktır ve bunun ilk adımı da e-posta adreslerinin bulunmasıdır. Bu haftaki yazılımımız olan theharvester tam bu iş için biçilmiş kaftan diyebiliriz. bizim adımıza bir domaine ait e-postaları arama motorları vasıtasıyla bularak raporlar.
Theharvester Kurulumu
# wget http://www.edge-security.com/soft/theHarvesterv1.4b.tar
# tar xvf theHarvesterv1.4b.tar
# cd theHarvesterv1.4
Kullanım
theharvester scriptini kullanmadan önce çalıştırma izni verilmesi gerekmektedir. chmod +x komutuyla çalışma izni verildikten sonra
# chmod +x theHarvester.py
aşağıdaki komutla script çalıştırılabilir.
# ./theHarvester.py
*************************************
*TheHarvester Ver. 1.4b *
*Coded by Christian Martorella *
*Edge-Security Research *
*[email protected] *
*************************************
Usage: theharvester options
-d: domain to search or company name
-l: limit the number of results to work with(msn goes from 50 to 50 resul ts,
google 100 to 100, and pgp does’nt use this option)
-b: data source (google,msn,pgp,linkedin)
Examples:./theharvester.py -d microsoft.com -l 500 -b google
./theharvester.py -d microsoft.com -b pgp
./theharvester.py -d microsoft -l 200 -b linkedin
Çıktıdan da görüleceği gibi theharvester’in kullanımı oldukça basittir. Hangi arama motorunda hangi domaine ait e-postaları bulmak istediğimizi
söylememiz yeterli olacaktır. Burada dikkat edilmesi gereken husus -l parametresi ile belirtilecek limit değeridir. Bu değer arama motorlarından
dönen cevaplardan kaç tanesinde e-posta arama yapılacağını belirler. Bu değeri yüksek tutmak her zaman daha geniş sonuçlar almamız yol açar, aynı
zamanda sonuç alma süresini uzatır.
# ./theHarvester.py -d linux.org.tr -l 1000 -b google
*************************************
*TheHarvester Ver. 1.4b *
*Coded by Christian Martorella *
*Edge-Security Research *
*[email protected] *
*************************************
Searching for linux.org.tr in google :
======================================
Total results: 743000
Limit: 1000
Searching results: 0
Searching results: 100
Searching results: 200
Searching results: 300
Searching results: 400
Searching results: 500
Searching results: 600
Searching results: 700
Searching results: 800
Searching results: 900
Accounts found:
====================
[email protected]
[email protected]
[email protected]
[email protected]
…
…
…
[email protected]
[email protected]
[email protected]
@linux.org.tr
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
====================
Total results: 35
The post Bir domaine ait e-postaları bulma first appeared on Complexity is the enemy of Security.
]]>The post SynCookie/SynProxy ile korunan sistemlere yönelik port tarama first appeared on Complexity is the enemy of Security.
]]>Syncookie /Synproxy’nin Synflood DOS engelleme haricinde başka faydaları da vardır. Bunlardan biri de TCP üzerinden yapılan port taramalarını zorlaştırmaktır. Eğer saldırgan TCP port tarama yapıyorsa sürpriz bir şekilde tüm portları açık olarak görecektir.
Syncookie/Synproxy gelen her SYN pakjetine karşılık SYN+ACK cevabı döner. Taradığı sistemden SYN+ACK cevabı geldiğini gören tarama program port açık der ve tekrar paket göndermez.
Synproxy/syncookie ile korunan sistemlere karşı port tarama
root@bt:~# hping –scan 80-100 www.example.com-S -V
using eth0, addr: 192.168.1.103, MTU: 1500
Scanning www.example.com(95.0.11.13), port 80-100
21 ports to scan, use -V to see all the replies
+—-+———–+———+—+—–+—–+
|port| serv name | flags |ttl| id | win |
+—-+———–+———+—+—–+—–+
80 www : .S..A… 55 56928 0
81 : .S..A… 55 57184 0
82 : .S..A… 55 57440 0
83 : .S..A… 55 57696 0
84 : .S..A… 56 57952 0
85 : .S..A… 56 58208 0
86 : .S..A… 56 58464 0
87 link : .S..A… 56 58720 0
88 kerberos : .S..A… 56 58976 0
89 : .S..A… 56 59232 0
90 : .S..A… 56 59488 0
91 : .S..A… 56 59744 0
92 : .S..A… 55 60000 0
93 : .S..A… 55 60256 0
94 : .S..A… 55 60512 0
95 supdup : .S..A… 55 60768 0
96 : .S..A… 55 61024 0
97 : .S..A… 55 61280 0
98 linuxconf : .S..A… 55 61536 0
99 : .S..A… 55 61792 0
100 : .S..A… 56 62048 0
All replies received. Done.
Not responding ports:
Aynı çıktıyı nmap ile tarama yaptığımızda da alırız
root@bt:~# nmap www.example.com-p80-100 –reason
Starting Nmap 5.00 ( http://nmap.org ) at 2010-02-14 12:09 EST
Warning: Hostname www.example.comresolves to 5 IPs. Using 95.0.11.13.
PORT STATE SERVICE REASON
80/tcp open http syn-ack
81/tcp open hosts2-ns syn-ack
82/tcp open xfer syn-ack
83/tcp open mit-ml-dev syn-ack
84/tcp open ctf syn-ack
85/tcp open mit-ml-dev syn-ack
86/tcp open mfcobol syn-ack
87/tcp open priv-term-l syn-ack
88/tcp open kerberos-sec syn-ack
89/tcp open su-mit-tg syn-ack
90/tcp open dnsix syn-ack
91/tcp open mit-dov syn-ack
92/tcp open npp syn-ack
93/tcp open dcp syn-ack
94/tcp open objcall syn-ack
95/tcp open supdup syn-ack
96/tcp open dixie syn-ack
97/tcp open swift-rvf syn-ack
98/tcp open linuxconf syn-ack
99/tcp open metagram syn-ack
100/tcp open newacct syn-ack
Nmap done: 1 IP address (1 host up) scanned in 0.24 seconds
Bu şekilde korunmuş sistemlere yönelik başarılı TCP taramaları gerçekleştirmek için 3’lü el sıkışmayı tamamlayan ve sonrasında ek paketler gönderen tarama tiplerini denemek gerekir.
Mesela nmap ile birlikte gelen versiyon belirleme özelliği burada işimize yarayabilir. Zira versiyon belirleme özelliği sadece SYN paketi gönderip cevap olarak SYN+ACK gelmesiyle tarama işlemini sonuçlandırmaz, portu açık olarak belirledikten sonra(karşı taraftan gelecek SYN+ACK cevabı) o portta çalışan uygulamanın versiyonunu belirlemek için ek paketler gönderir ki bu ek paketler SYNCookie/SynProxy korumasını devre dışı bırakır(Syncookie/synproxy 3’lü el sıkışmayı tamamlayan paketler için devreden çıkar ve paketleri doğrudan koruduğu sistemlere iletir). Her ne kadar tarama süresi oldukça uzasa da açık portları sağlıklı bir şekilde keşfetmek için versiyon belirleme taraması yapmak gerekir.
root@bt:~# nmap www.example.com-PN -sV –top-ports 10
Starting Nmap 5.00 ( http://nmap.org ) at 2010-02-14 12:52 EST
Interesting ports on 11.22.33.44(11.22.33.44):
PORT STATE SERVICE VERSION
21/tcp filtered ftp
22/tcp filtered ssh
23/tcp filtered telnet
25/tcp filtered smtp
80/tcp open http Microsoft IIS webserver 7.0
110/tcp filtered pop3
139/tcp filtered netbios-ssn
443/tcp filtered https
445/tcp filtered microsoft-ds
3389/tcp filtered ms-term-serv
Service Info: OS: Windows
Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 10.32 seconds
The post SynCookie/SynProxy ile korunan sistemlere yönelik port tarama first appeared on Complexity is the enemy of Security.
]]>The post 10 Soruda Pentest(Penetrasyon Testleri) first appeared on Complexity is the enemy of Security.
]]>Öncelikle pentest kavramından ne anladığınızı ve ne beklediğinizi bilmek size bu süreçte yardımcı olacaktır. Zira ne olduğunu bilmediğiniz bir servisi alarak sonradan bu muydu yani? Bu kadar parayı bu iş için mi verdim ya da bu sistemlere neden baktırmadım gibi sorular sormayın kendinize.
1)Pentest nedir? Vulnerability assessment ve risk asssessment kavramlarından farkı nedir?
Pentest tanımı: Belirlenen bilişim sistemlerine mümkün olabilcek her yolun denenerek sızılmasıdır. Pentest de amaç güvenlik açıklığını bulmaktan öte bulunan açıklığı değerlendirip sistemlere yetkili erişimler elde etmektir.
Pentest çeşitleri: Whitebox, blackbox, graybox olmak üzere genel kabul görmüş üç çeşidi vardır. Bunlardan blackbox bizim genelde bildiğimiz ve yaptırdığımız pentest yöntemidir. Bu yöntemde testleri gerçekleştiren firmayla herhangi bir bilgi paylaşılmaz. Firma ismi ve firmanın sahip olduğu domainler üzerinden firmaya ait sistemler belirlenerek çalışma yapılır.
Diğer yöntemlerde pentest yapacak firmayla belirli bilgiler paylaşılır.
Vulnerability Assessment(zaafiyet tarama): Belirlenen sistemlerde güvenlik zaafiyetine sebep olabilecek açıklıkların araştırılması. Bu yöntem için genellikle otomatize araçlar kullanılır(Nmap, Nessus, Qualys vs)gibi.
Risk assessment tamamen farklı bir kavram olup pentest ve vuln. assessmenti kapsar. Zzaman zaman technical risk assessment tanımı kullanılarak Vulnerability assessment kastedilir.
2)Neden Pentest yaptırmalıyım?
Sahip olduğunuz bilişim sistemlerindeki güvenlik zaafiyetlerinin üçüncü bir göz tarafından kontrol edilmesi ve raporlanması proaktif güvenliğin ilk adımlarındandır. Siz ne kadar güvenliğe dikkat ederseniz birşeylerin gözünüzden kaçma ihtimali vardır ve internette hackerlarin sayısı ve bilgi becerisi her zaman sizden iyidir. Hackerlara yem olmadan kendi güvenliğinizi Beyaz şapkalı hackerlara test ettirmeniz yararınıza olaacktır.
Ek olarak PCI, HIPAA gibi standartlar da Pentest yaptırmayı zorunlu tutmaktadır.
3)Pentest projesinin planı nasıl olmalıdır?
Yaptırılacak pentestden olabildiğince çok verim alabilmek için her işte olduğu gibi burada da plan yapmak gerekir. Pentest planınıza en azından aşağıdaki soruları cevaplayarak hazırlayın
4)Firma secimi konusunda nelere dikkat etmeliyim?
Pentest yapacak firma ne kadar güvenili olsa da-aranizda muhakkak imzalı ve maddeleri açık bir NDA olmalı- siz yine de kendinizi sağlama alma açısından firmanın yapacağı tüm işlemleri loglamaya çalışın. Bunu nasıl yaparsınız? Firmanın pentest yapacağı ip adres bilgilerini isteyerek bu ip adreslerinden gelecek tum trafiği Snort veya benzeri bir yazılım kullanarak loglayabilirsiniz.
Penetration test firmanın özel işi mi yoksa oylesine yaptığı bir iş mi? Bu sorgu size firmanın konu hakkında yetkinliğine dair ipuçları verecektir.
5)Pentest yapan firmadan sonuç olarak neler beklemeliyim?
6)Pentest sonrası nasıl bir yol izlemeliyim?
Pentest yaptırmak ne kadar önemliyse sonuçlarını değerlendirip aksiyon almak çok daha önemlidir.Malesef ki yaygın olarak yapılan yanlış sadece pentest yapıp raporu incelemek oluyor. Pentest sonrası açıklıkların kapatılmaması ve bir sonraki pentestde aynı açıklıkların tekrar çıkması sık karşılaşılan bir durumdur.
7)Turkiye’de pentest yapan hangi firmalar var?
Benim 2000 yılından beri çeşitli ortamlarda çalıştığım, raporlarını incelediğim ve ortanın üzerinde kabul ettiğim Pentest firmaları :
Güncel liste için http://blog.lifeoverip.net/2010/01/27/turkiyedeki-bilgi-guvenligi-firmalari/ adresini ziyaret edebilirsiniz.
Bunların haricinde bir de bireysel olarak bu işi yapanlar var. Bu konuda eğer pentest yapan kişiyi iyi tanımıyorsanız kişi yerine firmayı tercih etmeniz faydalı olacaktır.
8)Pentest konusunda kendimi geliştirmek için izleme gereken yol nedir?
Pentest konusunda kendinizi geliştirmek için öncelikle bu alana meraklı bir yapınızın olmasın gerekir. İçinizde bilişim konularına karşı ciddi merak hissi , sistemleri bozmaktan korkmadan kurcalayan bir düşünce yapınız yoksa işiniz biraz zor demektir. Zira pentester olmak demek başkalarının düşünemediğini düşünmek, yapamadığını yapmak ve farklı olmak demektir.
Bu işin en kolay öğrenimi bireysel çalışmalardır, kendi kendinize deneyerek öğrenmeye çalışmak, yanılmak sonra tekrar yanılmak ve doğrsunu öğrenmek. Eğitimler bu konuda destekci olabilir. Sizin 5-6 ayda katedeceğiniz yolu bir iki haftada size aktarabilir ama hiçbir zaman sizi tam manasıyla yetiştirmez, yol gösterici olur.
Pentest konularının konuşulduğu güvenlik listelerine üyelik de sizi hazır bilgi kaynaklarına doğrudan ulaştıracak bir yöntemdir.
Linux öğrenmek, pentest konusunda mutlaka elinizi kuvvetlendirecek, rakiplerinize fark attıracak bir bileziktir. Bu işi ciddi düşünüyorsanız mutlaka Linux bilgisine ihtiyaç duyacaksınız.
9)Pentest için hangi yazılımlar kullanılır?
Açıkkod Pentest Yazılımları: Nmap, Nessus, Metasploit, Inguma, hping, Webscarab, jtr, W3af
Açık kodlu bilinen çoğu pentest yazılımı Backtrack güvenlik CDsi ile birlikte gelir. Bu araçları uygulamalı olarak öğrenmek isterseniz https://www.bgasecurity.com/egitim/kali-linux-101-egitimi/ eğitimine kayıt olabilirsiniz.
Ticari Pentest Yazılımları: Immunity Canvas, Core Impact, HP Webinspect, Saint Ssecurity Scanner
Bu araçların yanında araçlar kadar önemli olan pentest metodolojileri vardır. Bunların da araçlar kadar iyi bilinmesi ve kullanılması gerekir.
OWASP guide, NIST, ISSAF, OSTTM
10)Pentest konusunda hangi eğitimler vardır?
The post 10 Soruda Pentest(Penetrasyon Testleri) first appeared on Complexity is the enemy of Security.
]]>The post Paket analizi, protokol analizi kavramları first appeared on Complexity is the enemy of Security.
]]>Gönderip aldığımız mailler, web sayfalarına girişimiz, mesaj gönderişimiz hatta 3g kullanıyorsak telefon konuşmalarımız vs arka planda hep paketler vasıtasıyla kotarılır. Bu paketleri görmek Sniffer adı verilen programlar vasıtasıyla mümkün olur.
Bir de bu paketler içerisinde gidip gelen protokoller vardır. Mesela web sayfalarına giriş için HTTP, 3G ya da GPRS bağlantıları için GTP, mail için SMTP . Bir de bunlar için güvenli ulaşım sağlayan alt seviye protokoller vardır TCP, IP, UDP gibi. Tüm bu protokoller iletişime geçmek isteyen uçlar arasında azami standartları belirlemek için düşünülmüştür.
Paket ve protokol analizi için sniffer araçları kullanılır. Bazı snifferlar kısıtlı protokol analizi yapabilirken b azı snifferlar detaylı paket ve protokol analizi yapmaya olanak sağlar. Kısıtlı paket ve protokol analizine imkan sağlayan sniffer olarak tcpdump’ı, gelişmiş paket ve protol analizine örnek olarak da Wireshark/Tshark’ı örnek verebiliriz.
Sniffer aracılığıyla paket analizi
tcpdump ile HTTP trafigi analizi
~# tcpdump -i eth0 -ttttnn tcp port 80 -vv
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
2009-09-08 05:47:23.057285 IP (tos 0x0, ttl 64, id 28117, offset 0, flags [DF], proto TCP (6), length 52) 10.200.169.163.45196 > 64.233.169.147.80: S, ck sum 0xfdbf (correct), 906286265:906286265(0) win 5840 <mss 1460,nop,nop,sackOK,nop,wscale 6>
2009-09-08 05:47:23.191048 IP (tos 0x0, ttl 52, id 58446, offset 0, flags [none], proto TCP (6), length 52) 64.233.169.147.80 > 10.200.169.163.45196: S, cksum 0x535f (correct), 2146314999:2146314999(0) ack 906286266 win 5720 <mss 1430,nop,nop,sackOK,nop,wscale 6>
2009-09-08 05:47:23.191090 IP (tos 0x0, ttl 64, id 28118, offset 0, flags [DF], proto TCP (6), length 40) 10.200.169.163.45196 > 64.233.169.147.80: ., ck sum 0xaa0e (correct), 1:1(0) ack 1 win 92
2009-09-08 05:47:23.191924 IP (tos 0x0, ttl 64, id 28119, offset 0, flags [DF], proto TCP (6), length 239) 10.200.169.163.45196 > 64.233.169.147.80: P 1: 200(199) ack 1 win 92
2009-09-08 05:47:23.325691 IP (tos 0x0, ttl 52, id 58447, offset 0, flags [none], proto TCP (6), length 40) 64.233.169.147.80 > 10.200.169.163.45196: ., cksum 0xa938 (correct), 1:1(0) ack 200 win 107
2009-09-08 05:47:23.328801 IP (tos 0x0, ttl 52, id 58448, offset 0, flags [none], proto TCP (6), length 608) 64.233.169.147.80 > 10.200.169.163.45196: P 1:569(568) ack 200 win 107
2009-09-08 05:47:23.328818 IP (tos 0x0, ttl 64, id 28120, offset 0, flags [DF], proto TCP (6), length 40) 10.200.169.163.45196 > 64.233.169.147.80: ., ck sum 0xa6fe (correct), 200:200(0) ack 569 win 109
2009-09-08 05:47:23.328826 IP (tos 0x0, ttl 52, id 58449, offset 0, flags [none], proto TCP (6), length 40) 64.233.169.147.80 > 10.200.169.163.45196: F, cksum 0xa6ff (correct), 569:569(0) ack 200 win 107
2009-09-08 05:47:23.368014 IP (tos 0x0, ttl 64, id 28121, offset 0, flags [DF], proto TCP (6), length 40) 10.200.169.163.45196 > 64.233.169.147.80: ., ck sum 0xa6fd (correct), 200:200(0) ack 570 win 109
Yukardaki çıktıya bakılacak olursa her bir satır bir paketi işsaret eder. Satırlar incelenirse HTTP protokolüne ait bilgi edinilemez, sadece TCP protokolüne ait bazı bilgiler elde edilebilir.
Bunun sebebi analiz için kullandığımız yazılımın(tcpdump) kısıtlı protokol analizine sahip olmasıdır(tcpdump tcp, ip, udp vs gibi alt seviye protokollere ait analiz imkanı sunar). Bizim görmek istediğimiz HTTP’e ait başlık bilgileri ise tcpdump ile görüntülenemez. Bunun için Wireshark/Tshark kullanmamız gerekir.
Sniffer aracılığıyla protokol analizi
Aşağıdaki çıktılar Tshark sniffer programından alınmıştır. Görüleceği üzere bir HTTP paketine ait tüm detaylar bulunmaktadır.
Capturing on eth0
…
Transmission Control Protocol, Src Port: 56537 (56537), Dst Port: http (80), Seq: 1, Ack: 1, Len: 199
Source port: 56537 (56537)
Destination port: http (80)
Sequence number: 1 (relative sequence number)
[Next sequence number: 200 (relative sequence number)]
Acknowledgement number: 1 (relative ack number)
Header length: 20 bytes
Flags: 0x18 (PSH, ACK)
0… …. = Congestion Window Reduced (CWR): Not set
.0.. …. = ECN-Echo: Not set
..0. …. = Urgent: Not set
…1 …. = Acknowledgment: Set
…. 1… = Push: Set
…. .0.. = Reset: Not set
…. ..0. = Syn: Not set
…. …0 = Fin: Not set
Window size: 5888 (scaled)
Checksum: 0x9f9e [incorrect, should be 0xf736 (maybe caused by “TCP checksum offload”?)]
[Good Checksum: False]
[Bad Checksum: True]
Hypertext Transfer Protocol
GET / HTTP/1.0\r\n
Request Method: GET
Request URI: /
Request Version: HTTP/1.0
Host: www.google.com\r\n
Accept: text/html, text/plain, text/css, text/sgml, */*;q=0.01\r\n
Accept-Encoding: gzip, bzip2\r\n
Accept-Language: en\r\n
User-Agent: Lynx/2.8.6rel.4 libwww-FM/2.14\r\n
\r\n
The post Paket analizi, protokol analizi kavramları first appeared on Complexity is the enemy of Security.
]]>The post Web sunuculara latency olcumu first appeared on Complexity is the enemy of Security.
]]>Alternatif araç önerileriniz varsa yorumlarınızla zenginleştirebilirsiniz.
Http_ping ile latency testleri
# http_ping -count 5 -interval 5 http://www.turkcell.com.tr
219 bytes from http://www.turkcell.com.tr: 24.088 ms (11.618c/12.458r/0.012d)
219 bytes from http://www.turkcell.com.tr: 23.424 ms (10.788c/12.621r/0.015d)
219 bytes from http://www.turkcell.com.tr: 17.003 ms (8.413c/8.577r/0.013d)
219 bytes from http://www.turkcell.com.tr: 20.625 ms (9.113c/11.501r/0.011d)
219 bytes from http://www.turkcell.com.tr: 20.398 ms (8.221c/12.165r/0.012d)
— http://www.turkcell.com.tr http_ping statistics —
5 fetches started, 5 completed (100%), 0 failures (0%), 0 timeouts (0%)
total min/avg/max = 17.003/21.1076/24.088 ms
connect min/avg/max = 8.221/9.6306/11.618 ms
response min/avg/max = 8.577/11.4644/12.621 ms
data min/avg/max = 0.011/0.0126/0.015 ms
Echoping ile latency testleri
[root@mail ~]# echoping -v -n 5 -w 3 -R -D -h /anasayfa www.turkcell.com.tr
This is echoping, version 6.0.0.
Trying to connect to internet address 212.252.168.225 80 to transmit 103 bytes…
Trying to send 256 bytes to internet address 212.252.168.225…
Connected…
TCP Latency: 0.005898 seconds
Sent (103 bytes)…
Application Latency: 0.044271 seconds
12781 bytes read from server.
Elapsed time: 0.059465 seconds
Trying to connect to internet address 212.252.168.225 80 to transmit 103 bytes…
Trying to send 256 bytes to internet address 212.252.168.225…
Connected…
TCP Latency: 0.004449 seconds
Sent (103 bytes)…
Application Latency: 0.050749 seconds
12779 bytes read from server.
Elapsed time: 0.068128 seconds
Trying to connect to internet address 212.252.168.225 80 to transmit 103 bytes…
Trying to send 256 bytes to internet address 212.252.168.225…
Connected…
TCP Latency: 0.013045 seconds
Sent (103 bytes)…
Application Latency: 0.042985 seconds
12781 bytes read from server.
Elapsed time: 0.060604 seconds
Trying to connect to internet address 212.252.168.225 80 to transmit 103 bytes…
Trying to send 256 bytes to internet address 212.252.168.225…
Connected…
TCP Latency: 0.004867 seconds
Sent (103 bytes)…
Application Latency: 0.044789 seconds
12781 bytes read from server.
Elapsed time: 0.053972 seconds
Trying to connect to internet address 212.252.168.225 80 to transmit 103 bytes…
Trying to send 256 bytes to internet address 212.252.168.225…
Connected…
TCP Latency: 0.003864 seconds
Sent (103 bytes)…
Application Latency: 0.056953 seconds
12779 bytes read from server.
Elapsed time: 0.065896 seconds
—
Minimum time: 0.053972 seconds (4743 bytes per sec.)
Maximum time: 0.068128 seconds (3758 bytes per sec.)
Average time: 0.061613 seconds (4155 bytes per sec.)
Standard deviation: 0.031128
Median time: 0.044271 seconds (5783 bytes per sec.)
http_ping’in detay kullanımı için man http_ping komutu kullanılabilir.
man http_ping
http_ping(1) http_ping(1)
NAME
http_ping – measure HTTP latency
SYNOPSIS
http_ping [-count n] [-interval n] [-quiet] [-proxy host:port] url
DESCRIPTION
http_ping runs an HTTP fetch every few seconds, timing how long it
takes.
Sample run:
% http_ping http://www.example.com/
7816 bytes from http://www.example.com/: 246.602 ms (9.923c/23.074r/213.605d)
7816 bytes from http://www.example.com/: 189.997 ms (11.619c/22.971r/155.407d)
7816 bytes from http://www.example.com/: 190.463 ms (8.994c/25.091r/156.378d)
7816 bytes from http://www.example.com/: 190.07 ms (9.234c/23.9r/156.936d)
7816 bytes from http://www.example.com/: 190.706 ms (10.142c/46.579r/133.985d)
^C
— http://www.example.com/ http_ping statistics —
5 fetches started, 5 completed (100%), 0 failures (0%), 0 timeouts (0%)
total min/avg/max = 189.997/201.568/246.602 ms
connect min/avg/max = 8.994/9.9824/11.619 ms
response min/avg/max = 22.971/28.323/46.579 ms
data min/avg/max = 133.985/163.262/213.605 ms
OPTIONS
-count Stop after the specified number of fetches. Without this
option, http_ping will continue until interrupted.
-interval
Wait the specified number of seconds between fetches. The
default is five seconds.
-quiet Only display the summary info at the end.
-proxy Specifies a proxy host and port to use.
SEE ALSO
http_load(1), http_get(1), ping(8)
AUTHOR
Copyright (C) 1998,1999,2001,2002 by Jef Poskanzer <[email protected]>.
All rights reserved.
The post Web sunuculara latency olcumu first appeared on Complexity is the enemy of Security.
]]>