Aktif IDS/IPS Tespiti

BGA Security Wiki sitesinden
Şuraya atla: kullan, ara

Amaç:

Hedef sistem önünde bir güvenlik cihazı olup olmadığının tespit edilmesi.

Adımlar:

  • Hedef sistem önünde aktif bir IPS/IDS/WAF olup olmadığını tespit etmenin en sık kullanılan yöntemi IPS'lerin geneli tarafından tanınan belirli payloadların hedef sistemden istenmesidir.
  • Örnek olarak http://www.example.com/../../../cmd.exe gibi bir bağlantı çağrılarak sonucu yorumlanmalıdır. IPS ile korunan sistemler bu tür durumlarda sıklıkla cevap vermeyerek time outa düşürme veya connection reset işlemi döndürürler.
  • İlgili talepleri browserdan gönderebileceğimiz gibi komut satırından da gönderebiliriz.
  • IPS koruması olmayan bir sisteme bu tip HTTP istekleri gönderdiğimizde aşağıdakina benzer çıktı alırız.
# telnet www.snort.org 80
Trying 68.177.102.20…
Connected to www.snort.org.
Escape character is ‘^]’.
GET ../../../etc/passwd HTTP/1.0
HTTP/1.1 400 Bad Request
Date: Mon, 15 Feb 2010 09:53:42 GMT
Server: Apache
Content-Length: 289
Connection: close
Content-Type: text/html; charset=iso-8859-1

Doctype.png

  • IPS koruması olduğunu düşündüğümüz bir siteye aynı isteği ilettiğimizde aşağıdaki gibi cevapsız kalma gibi bir durum ile karşılaşabiliriz.
root@bt:~# telnet www.tippingpoint.com 80
Trying 66.179.208.38…
Connected to www.tippingpoint.com
Escape character is ‘^]’.
GET ../../../etc/passwd HTTP/1.0
…
…

Kaynak:[değiştir]