SSldump akan trafikten analiz/şifre çözme yapabileceği gibi daha önce pcap formatında kaydedilmiş trafikden de analiz/şifre çözme işlemleri gerçekleştirebilir.

SSLdump Kullanım Parametreleri

Canlı trafikte analiz için

#ssldump -i ağ_arabirimi (ssldump -i eth0 gibi)

Daha önce kaydedilmiş pcap formatındaki dosyadan okutmak için

#ssldump -r

SSL trafiği içerisinde geçen verileri açığa çıkarmak için gerekli parametreler

ssldump -i eth0 -k gizlianahtar -d

-d uygulama seviyesi trafik bilgilerini göstermek için kullanılır.

SSL verilerini çözebilmesi için ssldump’ın openssl destekli kurulmuş olması gerekir. Openssl desteğini öğrenmek için -v parametresi kullanılabilir.

[root@labs ~]# ssldump -v
ssldump 0.9b3
Copyright (C) 1998-2001 RTFM, Inc.
All rights reserved.
Compiled with OpenSSL: decryption enabled

Örnek kullanım:

#ssldump -i rl0 tcp port 443

New TCP connection #1: dsl7.16-3229.ttnet.net.tr(4318) <-> labs.lifeoverip.net(443)
1 1 0.0638 (0.0638) C>S Handshake
ClientHello
Version 3.1
resume [32]=
24 fc 17 ee f2 b4 c5 e9 96 51 51 f3 38 e6 b9 7f
61 18 6c d0 68 3d 64 1c 8d bf 05 da 28 62 7a fc
cipher suites
Unknown value 0xff
Unknown value 0xc00a
Unknown value 0xc014
Unknown value 0×88
Unknown value 0×87
Unknown value 0×39
Unknown value 0×38
Unknown value 0xc00f
Unknown value 0xc005
Unknown value 0×84
Unknown value 0×35
Unknown value 0xc007
Unknown value 0xc009
Unknown value 0xc011
Unknown value 0xc013
Unknown value 0×45
Unknown value 0×44
Unknown value 0×33
Unknown value 0×32
Unknown value 0xc00c
Unknown value 0xc00e
Unknown value 0xc002
Unknown value 0xc004
Unknown value 0×96
Unknown value 0×41
TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA
Unknown value 0x2f
Unknown value 0xc008
Unknown value 0xc012
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Unknown value 0xc00d
Unknown value 0xc003
Unknown value 0xfeff
TLS_RSA_WITH_3DES_EDE_CBC_SHA
compression methods
NULL
1 2 0.0643 (0.0004) S>C Handshake
ServerHello
Version 3.1
session_id[32]=
24 fc 17 ee f2 b4 c5 e9 96 51 51 f3 38 e6 b9 7f
61 18 6c d0 68 3d 64 1c 8d bf 05 da 28 62 7a fc
cipherSuite Unknown value 0×88
compressionMethod NULL
1 3 0.0643 (0.0000) S>C ChangeCipherSpec
1 4 0.0643 (0.0000) S>C Handshake
1 5 0.1088 (0.0445) C>S ChangeCipherSpec
1 6 0.1088 (0.0000) C>S Handshake
1 7 0.1088 (0.0000) C>S application_data
1 8 0.1124 (0.0035) S>C application_data
1 9 0.1124 (0.0000) S>C application_data
1 10 0.1796 (0.0672) C>S application_data
1 11 0.1832 (0.0035) S>C application_data
1 12 0.1832 (0.0000) S>C application_data

Bir SSL bağlantısına ait tüm adımlar ssldump’da ayrı trafik numarasıyla belirtilir ve ilgili ssl bağlantısına ait tüm paketler o numarayı takip eder. yukardaki çıktıda bir adet ssl bağlantısı vardır ve 1, 1 1, 1 2, 1, 3 ….1 12 şeklinde giden satırlar tek bir SSL bağlantısına aittir.

Yukardaki ssl bağlantısında veriler şifreli olduğu için gözükmeyecektir. SSldump’a bağlantı yapılan adresin gizli anahtarını -k parametresi ile tanıtırsak 1 12 0.1832 (0.0000) S>C application_data yazan kısımda aşağıdaki gibi açık HTTP başlık bilgileri gözükecektir.

#ssldump -i rl0 -d -H -k /usr/local/etc/apache22/extra/blog.key tcp port 443

New TCP connection #1: dsl7.16-3229.ttnet.net.tr(4318) <-> labs.lifeoverip.net(443)
1 1 0.0638 (0.0638) C>S Handshake
ClientHello
Version 3.1
resume [32]=
24 fc 17 ee f2 b4 c5 e9 96 51 51 f3 38 e6 b9 7f
61 18 6c d0 68 3d 64 1c 8d bf 05 da 28 62 7a fc
cipher suites
Unknown value 0xff
Unknown value 0xc00a
Unknown value 0xc014
Unknown value 0×88
Unknown value 0×87
Unknown value 0×39
Unknown value 0×38
Unknown value 0xc00f
Unknown value 0xc005
Unknown value 0×84
Unknown value 0×35
Unknown value 0xc007
Unknown value 0xc009
Unknown value 0xc011
Unknown value 0xc013
Unknown value 0×45
Unknown value 0×44
Unknown value 0×33
Unknown value 0×32
Unknown value 0xc00c
Unknown value 0xc00e
Unknown value 0xc002
Unknown value 0xc004
Unknown value 0×96
Unknown value 0×41
TLS_RSA_WITH_RC4_128_MD5
TLS_RSA_WITH_RC4_128_SHA
Unknown value 0x2f
Unknown value 0xc008
Unknown value 0xc012
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA
Unknown value 0xc00d
Unknown value 0xc003
Unknown value 0xfeff
TLS_RSA_WITH_3DES_EDE_CBC_SHA
compression methods
NULL
1 2 0.0643 (0.0004) S>C Handshake
ServerHello
Version 3.1
session_id[32]=
24 fc 17 ee f2 b4 c5 e9 96 51 51 f3 38 e6 b9 7f
61 18 6c d0 68 3d 64 1c 8d bf 05 da 28 62 7a fc
cipherSuite Unknown value 0×88
compressionMethod NULL
1 3 0.0643 (0.0000) S>C ChangeCipherSpec
1 4 0.0643 (0.0000) S>C Handshake
1 5 0.1088 (0.0445) C>S ChangeCipherSpec
1 6 0.1088 (0.0000) C>S Handshake
1 7 0.1088 (0.0000) C>S application_data

GET /network_pentest HTTP/1.1
Host: www.bga.com.tr
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip,deflate
Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7
Keep-Alive: 115
Connection: keep-alive

1 8 0.1124 (0.0035) S>C application_data

HTTP/1.1 404 Not Found

Date: Tue, 29 Jun 2010 13:24:17 GMT
Server: Apache/2.2.13
Content-Length: 213
Keep-Alive: timeout=5, max=100
Connection: Keep-Alive
Content-Type: text/html; charset=iso-8859-1

1 12 0.1832 (0.0000) S>C application_data

SSldump hakkında detay bilgi için http://www.rtfm.com/ssldump/documentation.html

The post SSLdump Kullanarak HTTPS Trafiği Analizi first appeared on Complexity is the enemy of Security.

Scapy, Python dili ile yazılmış Linux ve Windows sistemlerde komut satırından çalışan açık kaynak kodlu bir yazılımdır. Kullanım amacı TCP/IP ağlar için özelleştirilmiş paketler üretmektir. Nmap, packit, Hping, sing gibi bu işe özel araçlar varken neden özelleştirilmiş paketlere neden ihtiyaç duyarız?

Bunun  cevabı yine  sorusunda yatıyor.Nmap ve Hping en sık kullanılan port tarama ve paket üretme “araçlarıdır”, yani belirli amacı gerçekleştirmek için hazırlanmış yazılımlar. Fakat her iki aracın da sınırları vardır ve sadece yazılımcısının sunduğu özellikler kullanılabilir.

Mesela Nmap ile istenilen türde TCP paketleri üreterek tarama yapılamaz ya da Hping kullanarak L2 seviyesinde(ARP, RARP) paketler üretilemez. Piyasada bulunan benzeri ürünlerin hepsinde buna benzer çeşitli kısıtlamalar vardır.

Scapy tüm bu araçlarda bulunan, bulunmayan özellikleri esnek bir şekilde sunar. Scapy için oyun hamuru diyebiliriz, Scapy ile TCP/IP ağlarda birşey yapmak için sadece ne istediğinizi bilmeniz ve bunu Scapy’nin anlayacağı şekilde yazmanız yeterli olacaktır.

Scapy Kullanımı:

Scapy interaktif bir kullanıma sahiptir, istenirse python scriptlerinde import edilerek de kullanılabilir.

TCP/80 portuna SYN bayraklı paket gönderimi

# scapy
Welcome to Scapy (2.0.0.10 beta)
>>> sr(IP(dst=”192.168.0.0/24″)/TCP(dport=80, flags=”S”))

XMAS Tarama için özellştirilmiş paket gönderimi

>>> ans,unans = sr(IP(dst=”192.168.1.1″)/TCP(dport=666,flags=”FPU”) )

Script içerisinde Scapy kullanımı

Basit TCP Port tarama aracı

#!/usr/bin/env python
import sys
from scapy import sr,IP,TCP,conf
conf.verb = 0
dstip = sys.argv[1]

print “\nScan started for  “+dstip
res,unans = sr(IP(dst=dstip)/TCP(dport=[(0,1024)]),timeout=1)
if res:
print “\nReceived answers from the following ports:\n”
for s,r in res:
print r.sprintf(“%TCP.sport%”)
print “\nScan Finished\n”

Scapy ile yapılabilecekleri daha detaylı görmek ve öğrenmek için http://www.secdev.org/projects/scapy/doc/ adresindeki güncel dökümantasyonu incelenebilir.

The post Scapy – Özelleştirilebilen TCP/IP Test Aracı first appeared on Complexity is the enemy of Security.

The post Tcpdump ile Trafik Analizi first appeared on Complexity is the enemy of Security.

1-2 Mayıs 2010 tarihlerinde Snort Saldırı Tespit ve Engelleme Sistemi eğitimi açılacaktır.

Eğitime katılanlar günümüzde ağ güvenliği denildiğinde akla ilk gelen bileşen IPS’ler hakkında detay ve uygulamalı bilgi sahibi olacaklar ve Snort’u gerçek ağ ortamlarında kullanabilmek için gerekli bilgiyi edinecekler.

Eğitim ileri düzey bir eğitim olduğu için öncesinde katılımcılara ücretsiz olarak “Online TCP/IP Güvenliği” eğitimi hediye edilecek ve online sınav yapılacaktır.

Eğitim sonrası katılımcılar “Snort Certified Professional (SnortCP)” sertifikasına hazır hale geleceklerdir.

Eğitimle ilgili tüm bilgiler http://www.guvenlikegitimleri.com/new/snort-saldiri-tespit-ve-engelleme-sistemi-egitimi adresinden edinilebilir.

 Eğitim İçeriği

1. TCP/IP Protokol Ailesi
2. TCP/IP’ye dayalı saldırı tipleri
3. Ağ trafik analizi
   • tcpdump kullanımı
   • tcpdump çıktılarını analiz etme
   • ethereal ile ağ trafik analizi
4. Protokol analizi
   • arp tabanlı saldırı çeşitleri
   • IP, ICMP tabanlı salsırı çeşitleri
   • TCP, UDP’ye dayalı saldırı tipleri
   • http, ftp, telnet, smtp protokolleri analizi
   • ssh, ssl protokol analizleri
5. IDS, IPS, NIDS, NIPS Tanımları
6. IDS/IPS(salsırı tespit ve engelleme) teknolojileri
7. IDS/IPS  yerleşim planlaması
8. Açık kod IDS/IPS Araçları
   • Snort, BroIDS
9. Snort’a GİRİŞ
   • Snort mimarisi
10. Snort Kurulumu
    •   Windows
    •   Linux
    •   FreeBSD/OpenBSD
11. Snort Çalışma modları
    •   Sniffer
    •   Paket loglayıcı
    •   NIDS/NIPS
12. Snort’u (N)IDS olarak yapılandırma
13. IDS Kurallarını Anlama ve Yorumlama
14. Snort Kural dili ile IDS Kuralları  Yazma
15. Saldırı analizi ve ileri düzey kural yazımı
16. Saldırı Loglarını inceleme ve Yorumlama
17. Snort performans ayarları
18. Snort’u NIPS olarak Kullanma
    • Snort’u ağ trafiği için virüs tarama aracı olarak kullanma
    •  WEB saldırılarında Snort kullanımı ve engelleme
19. Snort Yönetim araçları
    • saldırı  İzleme araçları
    • sensör  yönetim araçları
    • kural yazım araçları
20. IDS/IPS atlatma araçları ve korunma yöntemleri
    • Nmap
    • Nessus
    • Metasploıt
    • ftester

The post Snort Saldırı Tespit ve Engelleme Sistemi Eğitimi first appeared on Complexity is the enemy of Security.

ISP tarafından bakıldığında elimizde sınırlı ip adresi olduğu için müşterilerin her bağlantısında farklı ip adresi veriliyor ve eğer bir ip adresi spam kara listelerine girdiyse o ip adresini başka müşteri aldığında mail gönderemiyor ya da gönderdiği mailler Junk, Spam klasörlerine düşüyor.

ISP ortamında yüzbinlerce kullanıcı olduğu için ve bu yüzbinlerce kullanıcı milyonlarca mail gönderdiği için hangi mailin spam hangisinin normal olduğunu bulmanın kolay bir yolu yok. Tabi patronların lügatında yok/olmaz diye bir sözcük yer almadığı için iş başa düştü ve milyonlarca mailin aktığı bir sistemde %kaç oranında SPAM mail gidiyor, %kaç oranında ip adresi spam listelerine girmiş sorularına cevap aramaya koyulduk.

Teknik olarak cevaplandırmaya çalıştığımız sorular: ağımızdan ne kadar spam gönderiliyor, hangi ip adresleri spam gönderiyor ve ötesinde spam gönderen ip adreslerinin kaç tanesi kara listelere girmiş durumdadır?

İlk olarak bir ip adresinin spammer olup olmadığını bulacak mantık düşündük.  Spammer mantığımız şöyle çalışıyor: bir ip adresi belirli değerden fazla(örneğin 500) SMTP bağlantısı kurmaya çalışıyorsa bu ip adresi spam göndermeye çalışıyor demektir.

Adım adım Spam listesi çıkarma

İlk olarak  TCP/25 portuna yapılan bağlantı isteklerini(SYN paketi)  loglamamız gerekiyor

# tcpdump -nntttt -i lagg0  -w hamlog.pcap   \( src net 199.0.0.0/17 src net 192.0.0./16 \) and dst port 25 and  ‘tcp[13] & 2 != 0’ &

Yukardaki komutu tüm SMTP trafiğini görecek bir konumda çalıştırmak gerekir. Bunun için TAP cihazları ya da Switchlerden mirror alarak Linux sistemler kullanılabilir.

hamlog.pcap dosyası bizim ip bloğumuzdan yapılan tüm SMTP bağlantılarını içermektedir.

Bu dosya içerisinden hangi ip adresinin kaç adet SMTP bağlantısı başlatmak istediği bilgisini çıkaralım

#tcpdump -nn -r hamlog>textlog

#cut -f3 -d” ” cuma |cut -f1,2,3,4 -d”.”|sort -n|uniq -c |sort -nr>liste

Listeye bakacak olursak aslında spam gönderici ip adresleri hemen belli oluyor. Bir ip adresinin 32.000 SMTP bağlantısı başlatma isteğinde bulunması bormal değildir.

326189 88.101.218.151
220194 99.79.22.97
218239 99.79.63.9
189308 17.17.16.131
144264 99.79.43.122
142219 99.79.13.25
122556 99.57.67.104
121786 99.79.102.70
120254 99.79.91.239
119938 99.79.126.59
119047 99.79.79.183
103905 99.79.76.173
103525 99.79.91.221

Bu dosya hangi ip adresinin kaç adet STMP bağlantısı kurmaya çalıştığını da içermektedir. Bize sadece hangi ip adresleri spam gönderiyor bilgisi lazım. Bu bilgiyi de aşağıdaki komutla alabiliriz.

#akw -F ” ” ‘{print $2}’ >liste

Sonra ortaya çıkan ip adreslerini RBL sorgulaması yaparak hangilerinin SPAM kara listelerine girdiğini bulabiliriz.

Komut satırından RBL sorgulaması için rblcheck yazılımını kullanıyorum.

#for a in `cat sorgu`;do rblcheck -m $a |grep -v “not listed”;done >>SONUC

SONUC dosyasi icerigine bakacak olursak hangi ip adreslerinin hangi karalistelere girdiğini görebiliriz.

11.22.111.243 listed by xbl.spamhaus.org
11.22.60.245 listed by pbl.spamhaus.org
11.22.81.66 listed by pbl.spamhaus.org
11.22.35.151 listed by xbl.spamhaus.org
11.22.94.254 listed by xbl.spamhaus.org
11.22.31.0 listed by pbl.spamhaus.org
11.22.78.254 listed by pbl.spamhaus.org
1.23.4.175 listed by xbl.spamhaus.org
11.22.76.9 listed by pbl.spamhaus.org
11.22.71.101 listed by xbl.spamhaus.org
11.22.54.221 listed by xbl.spamhaus.org
11.22.81.27 listed by pbl.spamhaus.org
7.7.27.29 listed by xbl.spamhaus.org

NOT: Burada uygulanan yöntem tüm SMTP trafiğini TAP cihazlarıyla kaydedilmesi ve kaydedilen trafik üzerinde işlem yapılmasıyla gerçekleştirilmiştir.

The post ISP’ler için SPAM istatistiği çıkarma first appeared on Complexity is the enemy of Security.

Asimetrik hatlar, iletisimin bir hattan baslayip diger hattan devam ettigi hatlardir. Bu tip baglantilarda hem güvenlik duvarlari hem de aradaki izleme/engelleme cihazlari oldukca zorlanir. Bunun sebebi TCP gibi protokollerde oturum bilgilerinin tam tutulamamasidir.

Mesela bir TCP baglantisinda ilk paket olan SYN 1. hattan gider, cevabi olacak SYN/ACK paketi 2. hattan döner. Durum böyle olunca trafigi izlemeye çalisan IDS/IPS/NSM benzeri sistemler oturum bilgisini tam tutamadigi için saglikli çalismazlar.

Her üreticinin bu tip durumlar için bir çözümü vardır ve genelde yapılan iki farklı hattan gelen uçları link aggregation yaparak tek bir sanal arabirimde birleştirmek ve bu arabirim üzerinde IDS/NSM çalıştırmaktır.

Yine böyle bir yapıda pasif olarak iki hattı(asimetrik) birleştirip trafik analizi yapmam gerekti. Altyapıda FreeBSD kullandığım için  FreeBSD’nin network aggregation özelliğini kullandım. Aşağıdaki ayarlar basitce FreeBSD üzerinde link aggregation işlemini yapmanızı sağlayacaktır.

#kldload if_lagg

#ifconfig lagg0 create

#ifconfig lagg0 laggproto lacp laggport rl0 laggport rl1

Detay bilgiyi aşağıdaki linklerden alabilirsiniz.

http://www.cyberciti.biz/faq/freebsd-network-link-aggregation-trunking/

http://www.freebsd.org/doc/en/books/handbook/network-aggregation.html

The post Asimetrik Hatlarda Trafik izleme ve IDS/IPS Calistirma first appeared on Complexity is the enemy of Security.

Ağ trafiğinde protokol analizi yapmak için kullanılan en sağlıklı yöntem Netflow’dur. Netflow Cisco’ya özel olsa da piyasada aynı ismi ya da benzeri ismi taşıyan çeşitli flow yazılımları bulunmaktadır. Fakat flow yazılımlarının çalışması için network cihazlarında ayar gerektirir ve bazı durumlarda flow açmak yönlendirici sistemleri zor durumda bırakır(DDOS saldırılarında vs). Flow yerine kullanılanılabilecek diğer bir yöntem de  trafiğini SPAN edip bir sniffer aracılığıyla analiz etmek.

Bu iş için en ideal yazılım Argus’tur. Fakat bazen daha basit bir araca ihtiyacımız olur. Mesela  amacımız sniffer aracılığıyla kaydedilmiş paketleri inceleyerek ağ trafiğinde protokol kullanım oranını görmekse argus yerine tcpdstat gibi tek işi bu olan basit bir araç  kullanabiliriz.

tcpdstat ile trafikden ne elde edilir?

Hangi port(protokol)un ne oranda kullanildigi bilgisi, hangi porttan kac MB veri transferi yapılmış, kaç paket geçmiş, ağımızda yaygın kullanılan  paket boyutu  gibi bilgiler alınabilir.

Bir sniffer aracılığıyla kaydedilmiş trafiği tcpdstat’a okutarak yukarda saydığım maddeleri gösteren rapor alabiliriz.

[root@sniffme]# tcpdstat -n 10gb.pcap

DumpFile:  10gb.pcap
FileSize: 32544.19MB
Id: 200909081156
StartTime: Tue Sep  8 11:56:09 2009
EndTime:   Tue Sep  8 12:04:35 2009
TotalTime: 505.74 seconds
TotalCapSize: -1013.45MB  CapLen: 1514 bytes
# of packets: 51749994 (31754.55MB)
AvgRate: 526.72Mbps  stddev:120.16M

### Packet Size Distribution (including MAC headers) ###
<<<<
 [   32-   63]:   15647286
 [   64-  127]:    7963761
 [  128-  255]:    3286917
 [  256-  511]:    2256683
 [  512- 1023]:    3164325
 [ 1024- 2047]:   19431022
>>>>
### Protocol Breakdown ###
<<<<
     protocol           packets                 bytes           bytes/pkt
————————————————————————
[0] total         51749994 (100.00%)      33297058195 (100.00%)    643.42
[1] ip            51748070 (100.00%)      33296937859 (100.00%)    643.44
[2]  tcp          44206963 ( 85.42%)      30306798074 ( 91.02%)    685.57
[3]   http(s)     21903649 ( 42.33%)      24386417917 ( 73.24%)   1113.35
[3]   http(c)     15599921 ( 30.14%)       2752951633 (  8.27%)    176.47
[3]   squid         635085 (  1.23%)        498196791 (  1.50%)    784.46
[3]   smtp          633754 (  1.22%)        268040520 (  0.80%)    422.94
[3]   nntp              21 (  0.00%)             1292 (  0.00%)     61.52
[3]   ftp           173167 (  0.33%)        156130274 (  0.47%)    901.62
[3]   pop3          707374 (  1.37%)        285657875 (  0.86%)    403.83
[3]   imap           78267 (  0.15%)         30131903 (  0.09%)    384.99
[3]   telnet         11854 (  0.02%)          3635518 (  0.01%)    306.69
[3]   ssh            49721 (  0.10%)          5664126 (  0.02%)    113.92
[3]   dns              652 (  0.00%)            43052 (  0.00%)     66.03
[3]   bgp              202 (  0.00%)            64050 (  0.00%)    317.08
[3]   napster           89 (  0.00%)            13020 (  0.00%)    146.29
[3]   realaud         1995 (  0.00%)           821605 (  0.00%)    411.83
[3]   rtsp           88678 (  0.17%)         77046679 (  0.23%)    868.84
[3]   icecast        16180 (  0.03%)          6264020 (  0.02%)    387.15
[3]   hotline          492 (  0.00%)            31158 (  0.00%)     63.33
[3]   other        4305855 (  8.32%)       1835686221 (  5.51%)    426.32
[2]  udp           3436128 (  6.64%)       1196791303 (  3.59%)    348.30
[3]   dns           366550 (  0.71%)         46654438 (  0.14%)    127.28
[3]   mcast           1588 (  0.00%)            98456 (  0.00%)     62.00
[3]   realaud        97084 (  0.19%)         21501796 (  0.06%)    221.48
[3]   halflif        59362 (  0.11%)          9047215 (  0.03%)    152.41
[3]   starcra           17 (  0.00%)             2173 (  0.00%)    127.82
[3]   everque           48 (  0.00%)             5712 (  0.00%)    119.00
[3]   unreal             7 (  0.00%)             1571 (  0.00%)    224.43
[3]   quake          12540 (  0.02%)          2414996 (  0.01%)    192.58
[3]   cuseeme            6 (  0.00%)              444 (  0.00%)     74.00
[3]   other        2889277 (  5.58%)       1106333936 (  3.32%)    382.91
[2]  icmp            26019 (  0.05%)          4367139 (  0.01%)    167.84
[2]  ipsec         3983336 (  7.70%)       1756154718 (  5.27%)    440.88
[2]  ip6              1192 (  0.00%)           356382 (  0.00%)    298.98
[2]  other           94432 (  0.18%)         32470243 (  0.10%)    343.85
[2]  frag            62971 (  0.12%)         72852344 (  0.22%)   1156.92
>>>>

The post Ağınızda hangi protokol ne kadar kullanılıyor? first appeared on Complexity is the enemy of Security.

SANS’ın Forensic eğitmenleri güzel bir yarışma düzenliyor. Yarışmanın amacı Network Forensics’in önemi ve temelinin anlaşılması. Yarışmacılardan https://blogs.sans.org/computer-forensics/2009/08/19/network-forensics-puzzle-contest/ adresinden edinecekleri pcap dosyası içerisindeki IM görüşmeleri ve dosya transferinde geçen dosyayı kaydedilmiş trafik üzerinden çıkarıp göndermeleri isteniyor.

(Trafik dosyası içerisinde şirketten dışarıya sızdırılan bir ofis dosyası ve bazı konuşmalar var, aslında çoğumuzun başına gelen/gelebilecek türden bir olay)Aslında yapılacak işlem basit ama ara adımlarda kullanılacak araçlar ve detay kullanımlarının bilinmezse sonucu ortaya çıkarmak zor olacaktır.

Ekim/Kasim gibi Bilgi Üniversitesinde başlatacağımız Forensic eğitiminde benzeri bulmacalardan fazlasıyla karşılaşabilirsiniz, tabiki önce neyin nasıl yapıldığı anlatılacak sonra bulmaca kısımlarına geçilecek. Tıpkı Network pentest eğitimlerindeki CTF(Capture The Flag ) yarışmaları gibi.

The post Network forensic yarışması first appeared on Complexity is the enemy of Security.

Komut satırından çalışan ve çok bilinen diğer bir trafik analiz aracı da tcpdump’dır.

Tshark ile tcpdump’ın ayrıldığı en belirgin nokta Tshark’ın trafik analizinde protokolleri tanıyabilmesi ve bunları detaylı bir şekilde gösterebilmesidir. Aşağıda vereceğim örneklerde
protokol tanımanın ne manaya geldiği daha iyi anlaşılacaktır. Kişisel olarak Tshark’ı imkanım olduğu ortamlarda tcpdump’a tercih ediyorum.

Bu ikili, networking konuları ile ilgilenen herkesin a-z’ye bilmesinde fayda olan araçlardır.

Basit Tshark Kullanımı

tshark, çeşitli işlevleri olan bir sürü parametreye sahiptir. Eğer herhangi bir paramnetre kullanmadan çalıştırılırsa ilk aktif ağ arabirimi üzerinden geçen trafiği yakalayıp ekrana basar.

home-labs ~ # tshark
Running as user “root” and group “root”. This could be dangerous.
Capturing on eth0
0.000000 192.168.2.23 -> 80.93.212.86 ICMP Echo (ping) request
0.012641 80.93.212.86 -> 192.168.2.23 ICMP Echo (ping) reply
0.165214 192.168.2.23 -> 192.168.2.22 SSH Encrypted request packet len=52
0.165444 192.168.2.22 -> 192.168.2.23 SSH Encrypted response packet len=52
0.360152 192.168.2.23 -> 192.168.2.22 TCP pcia-rxp-b > ssh [ACK] Seq=53 Ack=53 Win=59896 Len=0
0.612504 192.168.2.22 -> 192.168.2.23 SSH Encrypted response packet len=116
1.000702 192.168.2.23 -> 80.93.212.86 ICMP Echo (ping) request
1.013761 80.93.212.86 -> 192.168.2.23 ICMP Echo (ping) reply
1.057335 192.168.2.23 -> 192.168.2.22 SSH Encrypted request packet len=52
16 packets captured

Eğer çıktıların ekrana değil de sonradan analiz için  bir dosyaya yazdırılması isteniyorsa -w dosya_ismi parametresi kullanılır.

# tshark -w home_labs.pcap
Running as user “root” and group “root”. This could be dangerous.
Capturing on eth0

24

Gerektiğinde home_labs.pcap dosyası libpcap destekli herhangi bir analiz programı tarafından okunabilir. tshark ya da tcpdump ile kaydedilen dosyadan paket okumak
için -r parametresi kullanılır.

Arabirim Belirtme

İstediğiniz arabirim üzerinden dinleme yapılması istenirse -i arabirim_ismi parametresi kullanılır.

#tshark -i eth12
gibi.

-n parametresi ile de host isimlerinin ve servis isimlerinin çözülmemesi sağlanır.

Detaylı Paket Çıktısı

Paketleri ekrandan izlerken ilgili protokole ait tüm detayları görmek için -V parametresi kullanılabilir.

Mesela udp 53(DNS) paketlerini detaylı çıktısını incelyelim.

home-labs#thsark -i eth0 udp port 53
Frame 2 (100 bytes on wire, 100 bytes captured)
Arrival Time: Jan 17, 2009 11:54:34.174323000
[Time delta from previous captured frame: 0.001332000 seconds]
[Time delta from previous displayed frame: 0.001332000 seconds]
[Time since reference or first frame: 0.001332000 seconds]
Frame Number: 2
Frame Length: 100 bytes
Capture Length: 100 bytes
[Frame is marked: False]
[Protocols in frame: eth:ip:udp:dns]
Ethernet II, Src: Arcadyan_a7:22:5c (00:1a:2a:a7:22:5c), Dst: Giga-Byt_5a:1b:96 (00:1f:d0:5a:1b:96)
Destination: Giga-Byt_5a:1b:96 (00:1f:d0:5a:1b:96)
Address: Giga-Byt_5a:1b:96 (00:1f:d0:5a:1b:96)
…. …0 …. …. …. …. = IG bit: Individual address (unicast)
…. ..0. …. …. …. …. = LG bit: Globally unique address (factory default)
Source: Arcadyan_a7:22:5c (00:1a:2a:a7:22:5c)
Address: Arcadyan_a7:22:5c (00:1a:2a:a7:22:5c)
…. …0 …. …. …. …. = IG bit: Individual address (unicast)
…. ..0. …. …. …. …. = LG bit: Globally unique address (factory default)
Type: IP (0x0800)
Internet Protocol, Src: 192.168.2.1 (192.168.2.1), Dst: 192.168.2.23 (192.168.2.23)
Version: 4
Header length: 20 bytes
Differentiated Services Field: 0x00 (DSCP 0x00: Default; ECN: 0x00)
0000 00.. = Differentiated Services Codepoint: Default (0x00)
…. ..0. = ECN-Capable Transport (ECT): 0
…. …0 = ECN-CE: 0
Total Length: 86
Identification: 0x0000 (0)
Flags: 0x04 (Don’t Fragment)
0… = Reserved bit: Not set
.1.. = Don’t fragment: Set
..0. = More fragments: Not set
Fragment offset: 0
Time to live: 64
Protocol: UDP (0x11)
Header checksum: 0xb52e [correct]
[Good: True]
[Bad : False]
Source: 192.168.2.1 (192.168.2.1)
Destination: 192.168.2.23 (192.168.2.23)
User Datagram Protocol, Src Port: domain (53), Dst Port: blueberry-lm (1432)
Source port: domain (53)
Destination port: blueberry-lm (1432)
Length: 66
Checksum: 0x2a35 [correct]
[Good Checksum: True]
[Bad Checksum: False]
Domain Name System (response)
[Request In: 1]
[Time: 0.001332000 seconds]
Transaction ID: 0x0001
Flags: 0x8100 (Standard query response, No error)
1… …. …. …. = Response: Message is a response
.000 0… …. …. = Opcode: Standard query (0)
…. .0.. …. …. = Authoritative: Server is not an authority for domain
…. ..0. …. …. = Truncated: Message is not truncated
…. …1 …. …. = Recursion desired: Do query recursively
…. …. 0… …. = Recursion available: Server can’t do recursive queries
…. …. .0.. …. = Z: reserved (0)
…. …. ..0. …. = Answer authenticated: Answer/authority portion was not authenticated by the server
…. …. …. 0000 = Reply code: No error (0)
Questions: 1
Answer RRs: 1
Authority RRs: 0
Additional RRs: 0
Queries
1.2.168.192.in-addr.arpa: type PTR, class IN
Name: 1.2.168.192.in-addr.arpa
Type: PTR (Domain name pointer)
Class: IN (0x0001)
Answers
1.2.168.192.in-addr.arpa: type PTR, class IN, RT
Name: 1.2.168.192.in-addr.arpa
Type: PTR (Domain name pointer)
Class: IN (0x0001)
Time to live: 2 hours, 46 minutes, 40 seconds
Data length: 4
Domain name: RT

Benzer bir paketin tcpdump ile görüntüsü aşağıdaki gibi olacaktır. Her iki çıktıdan da görüleceği gibi Tshark ile protokol ve katmanlara ait tüm detaylar çözümlenirken tcpdump’da sadece özet bilgiler yer alır.

# tcpdump -i eth0 -n udp port 53 -vv
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes

11:57:12.096474 IP (tos 0x0, ttl 128, id 21291, offset 0, flags [none], proto UDP (17), length 59) 192.168.2.23.1446 > 192.168.2.1.53: [udp sum ok] 2+ A?

www.linux.com. (31)
11:57:12.820246 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto UDP (17), length 215) 192.168.2.1.53 > 192.168.2.23.1446: 2 q: A? www.linux.com. 2/3/3

www.linux.com. CNAME linux.com., linux.com.[|domain]

Tshark’da Filtreler

Tshark aynı Wireshark’da olduğu gibi iki çeşit filtreleme özelliğine sahiptir. Bunlardan biri trafik yakalama esnasında kullanılan ve tcpdump ile hemen hemen aynı
özelliklere(Berkley Paket Filter) sahip olan capture filter, diğeri de yakalanan trafik üzerinde detaylı analiz yapmaya yarayan Display filter dır.
Display filterlar aynı zamanda paket yakalama esnasında da kullanılabilir.

Display filter Kavramı

Display filter özelliği ile Tshark çözümleyebildiği protokollere ait tüm detayları gösterebilir ve sadece bu detaylara ait paketleri yakalamaya yardımcı olur. Mesela
amacımız tüm dns trafiği değil de dns trafiği içerisinde sadece www.lifeoverip.net domainine ait sorgulamaları yakalamak istersek aşağıdaki gibi bir filtreleme işimize yarayacaktır.

Note: Display Filter için  -R ‘filtreleme detayı’ seçeneği kullanılır.

# tshark -i eth0 -n -R ‘dns.qry.name==www.lifeoverip.net’
Running as user “root” and group “root”. This could be dangerous.
Capturing on eth0
11.467730 192.168.2.23 -> 192.168.2.1  DNS Standard query A www.lifeoverip.net
13.467968 192.168.2.23 -> 192.168.2.1  DNS Standard query A www.lifeoverip.net
17.936486 192.168.2.23 -> 192.168.2.1  DNS Standard query A www.lifeoverip.net
17.938038  192.168.2.1 -> 192.168.2.23 DNS Standard query response A 80.93.212.86

Böylece normal snifferlarda sadece udp 53’u dinleyerek bulmaya çalıştığımız detaylar Tshark ile kolayca belirtilebiliyor.

Display Filterlari akılda tutmak ya da ilgili protokole ait tüm detayları bilmek zor olabilir. Bunun için gerektiğinde başvurulacak sağlam bir kaynak var: wireshark
Display Filter Reference. Bu adresten ilgili protokole ait desteklenen tüm filtrelemeler incelenebilir.

Örnek: HTTP trafiği içerisinde GET, PUT ve OPTIONS kullanılan istekleri yakalama.

home-labs#tshark -i eth0 -n -R ‘http.request.method contains GET or http.request.method contains PUT or http.request.method contains OPTIONS’

Running as user “root” and group “root”. This could be dangerous.
Capturing on eth0
7.571543 192.168.2.22 -> 80.93.212.86 HTTP OPTIONS / HTTP/1.111
14.925700 192.168.2.22 -> 80.93.212.86 HTTP GET / HTRTP/1.1

Bir TCP Bağlantısına ait başlangıç ve bitiş  paketlerini yakalama

İçerisinde SYN veya FIN bayrağı set edilmiş paketleri yakalamak için

# tshark -n -R ‘tcp.port==80 and tcp.flags.fin==1 or tcp.flags.syn==1’
Running as user “root” and group “root”. This could be dangerous.
Capturing on eth0
1.245831 192.168.2.22 -> 80.93.212.86 TCP 36566 > 80 [SYN] Seq=0 Win=5840 Len=0 MSS=1460 TSV=2759271 TSER=0 WS=5
1.259797 80.93.212.86 -> 192.168.2.22 TCP 80 > 36566 [SYN, ACK] Seq=0 Ack=1 Win=65535 Len=0 MSS=1452 WS=1 TSV=2754203455 TSER=2759271
3.966800 80.93.212.86 -> 192.168.2.22 TCP 80 > 36566 [FIN, ACK] Seq=212 Ack=11 Win=66240 Len=0 TSV=2754206160 TSER=2759947
3.966919 192.168.2.22 -> 80.93.212.86 TCP 36566 > 80 [FIN, ACK] Seq=11 Ack=213 Win=6912 Len=0 TSV=2759952 TSER=2754206160

Filtrelemelerde kullanılacak operatörler(==, !=, contains, vs) için http://www.wireshark.org/docs/dfref/ adresi incelenebilir.

The post Thsark ile TCP/IP Paket Analizi first appeared on Complexity is the enemy of Security.