Syncookie/SynProxy Koruma Tespiti

Amaç:

Hedef sistem önünde yapılacak testleri olumsuz etkileyecek sistemler ve korumaların tespit edilmesi.

Araç:

• hping
• nmap

Adımlar:

• Hedef sistem önünde syncookie veya synproxy olarak bir koruma mevcut ise hedefin tüm portlarına gönderdiğimiz TCP SYN paketlerine SYN+ACK paketleri dönecektir. Böylece hedef önünde ilgili korumaların olup olmadığı belirlenebilir.

• Bunun için hedef sistemin 1-25 arasındaki portlarının taranması istenerek sonuçları incelenebilir. Şayet tüm portlar açık ise hedef sistem önünde synproxy veya syncookie koruması olduğu söylenebilir.

nmap  -n  -v  www.example.com -p 1-25
Host is up (0.023s latency).
PORT   STATE    SERVICE
1/tcp  open     tcpmux
2/tcp  open     compressnet
3/tcp  open     compressnet
4/tcp  open     unknown
5/tcp  open     unknown
6/tcp  open     unknown
7/tcp  open     echo
8/tcp  open     unknown
9/tcp  open     discard
10/tcp open     unknown
11/tcp open     systat
12/tcp open     unknown
13/tcp open     daytime
14/tcp open     unknown
15/tcp open     netstat
16/tcp open     unknown
17/tcp open     qotd
18/tcp open     unknown
19/tcp open     chargen
20/tcp open     ftp-data
21/tcp open     ftp
22/tcp open     ssh
23/tcp open     telnet
24/tcp open     priv-mail
25/tcp filtered smtp

şeklinde bir sonuç ile karşılaşılması durumunda hedef önünde ilgili koruma devrede olduğu belirlenir.

• Aynı şekilde hping aracı ile hedef sistemin açık olduğu bilinen (TCP/80) ve kapalı olması muhtemel (TCP/99) portlarına SYN paketleri gönderilerek dönen cevabın incelenmesi ile de tespit edilebilir. SYN paketlerine her iki port da SYN+ACK dönüyorsa burada bir synproxy/syncookie koruması olduğundan söz edilebilir.

Kaynak:[değiştir]

• Syn Cookie/Syn Proxy Kullanan Sistemleri Belirleme