Syncookie/SynProxy Koruma Tespiti

BGA Security Wiki sitesinden
Şuraya atla: kullan, ara

Amaç:

Hedef sistem önünde yapılacak testleri olumsuz etkileyecek sistemler ve korumaların tespit edilmesi.

Araç:

  • hping
  • nmap

Adımlar:

  • Hedef sistem önünde syncookie veya synproxy olarak bir koruma mevcut ise hedefin tüm portlarına gönderdiğimiz TCP SYN paketlerine SYN+ACK paketleri dönecektir. Böylece hedef önünde ilgili korumaların olup olmadığı belirlenebilir.
  • Bunun için hedef sistemin 1-25 arasındaki portlarının taranması istenerek sonuçları incelenebilir. Şayet tüm portlar açık ise hedef sistem önünde synproxy veya syncookie koruması olduğu söylenebilir.
nmap  -n  -v  www.example.com -p 1-25
Host is up (0.023s latency).
PORT   STATE    SERVICE
1/tcp  open     tcpmux
2/tcp  open     compressnet
3/tcp  open     compressnet
4/tcp  open     unknown
5/tcp  open     unknown
6/tcp  open     unknown
7/tcp  open     echo
8/tcp  open     unknown
9/tcp  open     discard
10/tcp open     unknown
11/tcp open     systat
12/tcp open     unknown
13/tcp open     daytime
14/tcp open     unknown
15/tcp open     netstat
16/tcp open     unknown
17/tcp open     qotd
18/tcp open     unknown
19/tcp open     chargen
20/tcp open     ftp-data
21/tcp open     ftp
22/tcp open     ssh
23/tcp open     telnet
24/tcp open     priv-mail
25/tcp filtered smtp

şeklinde bir sonuç ile karşılaşılması durumunda hedef önünde ilgili koruma devrede olduğu belirlenir.

  • Aynı şekilde hping aracı ile hedef sistemin açık olduğu bilinen (TCP/80) ve kapalı olması muhtemel (TCP/99) portlarına SYN paketleri gönderilerek dönen cevabın incelenmesi ile de tespit edilebilir. SYN paketlerine her iki port da SYN+ACK dönüyorsa burada bir synproxy/syncookie koruması olduğundan söz edilebilir.


Kaynak:[değiştir]