Port Tarama Sistemlerini Şaşırtma

BGA Security Wiki sitesinden
Şuraya atla: kullan, ara

Amaç:

Port tarama sistemlerinin, mevcut sistemin port durumu hakkında bilgi almasını önlemek için tüm portlarının yapılandırılması.

Kullanılan Araç:

  • portspoof

Uygulama:

Saldırganlar bir sistemi hedef aldıklarında ilk yaptığı işlerden biri hedef sistemin açık portlarını tespit etmek ve portlar üzerinde çalışan servisleri belirlemektir. Saldırganların SYN tarama yöntemi ile portların durumunu tespit ettiğinde saldırganların tespit edilmesi mümkün değildir. Fakat sistemin tüm portlarının açıkmış gibi gösterilmesi durumunda saldırganlar gerçekten hangi portların açık olduğunu tespit edebilmek için full TCP bağlantısı gerçekleştirmesi gerekmektedir. Bu işlem herhangi bir SYN Proxy aracı ile de gerçekleştirilebilmektedir.

Portspoof aracının çalışma prensibi; portspoof kullanım dışında olan tüm portların NAT(Network Address Translation) kuralı ile 4444 portuna yönlendirilmesini sağlar. Önceden açılmış olan 4444 portuna tüm bağlantılar yönlendirilmiş olur. Fakat kullanımda olan portlar NAT kuralı dâhilinde yönlendirilmemelidir.

Adımlar:

1. Adım: Portspoof aracının indirilip derlenmesi;

Araç aşağıda verilen linkte bulunan download sekmesinden indirilebilir.

Araç aşağıda verilen linkte bulunan download sekmesinden indirilebilir.

  • portspoof.org

İndirilen zip dosyasının açılması ve açılan dizine gidilmesi;

unzip portspoof-master.zip
root@kali:~ cd portspoof-master/

Programın derlenmesi;

root@kali:~/portspoof-master# ./configure
root@kali:~/portspoof-master# make
root@kali:~/portspoof-master# make install

2. Adım: Portspoof aracının yapılandırılması;

Bu yapılandırma örneğinde sistemde SSH hizmeti verilmektedir. Diğer tüm portlar 4444 portuna yönlendirilecek ve portspoof aracı çalıştırılacaktır.

iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 1:21 -j REDIRECT --to-ports 4444
iptables -t nat -A PREROUTING -i eth0 -p tcp -m tcp --dport 23:65535 -j REDIRECT --to-ports 4444
portspoof -D

3. Adım: Sistemin nmap ile taranması;

root@kali:~# nmap 192.168.20.235 -n -p1-65535 --open
Starting Nmap 6.47 ( http://nmap.org ) at 2015-04-07 07:34 EDT
Nmap scan report for 192.168.20.235
Host is up (0.00019s latency).
PORT  	STATE SERVICE
1/tcp 	open  tcpmux
2/tcp 	open  compressnet
3/tcp 	open  compressnet
4/tcp 	open  unknown
5/tcp 	open  unknown
6/tcp 	open  unknown
7/tcp 	open  echo
8/tcp 	open  unknown
9/tcp 	open  discard
10/tcp	open  unknown
11/tcp	open  systat
12/tcp	open  unknown
13/tcp	open  daytime
14/tcp	open  unknown
15/tcp	open  netstat
16/tcp	open  unknown
17/tcp	open  qotd
18/tcp	open  unknown
19/tcp	open  chargen 
20/tcp	open  ftp-data
21/tcp	open  ftp
22/tcp	open  ssh
23/tcp	open  telnet
24/tcp	open  priv-mail
25/tcp	open  smtp
26/tcp	open  rsftp
27/tcp	open  nsw-fe

Yukarıda verilen tarama sonucunda da görüldüğü üzere tüm portlarda hizmet varmış gibi görünmektedir. Böyle sistemlerin saldırganlar tarafından analiz edilmesi çok daha zordur.