Syncookie/SynProxy Koruma Tespiti
BGA Security Wiki sitesinden
Amaç:
Hedef sistem önünde yapılacak testleri olumsuz etkileyecek sistemler ve korumaların tespit edilmesi.
Araç:
- hping
- nmap
Adımlar:
- Hedef sistem önünde syncookie veya synproxy olarak bir koruma mevcut ise hedefin tüm portlarına gönderdiğimiz TCP SYN paketlerine SYN+ACK paketleri dönecektir. Böylece hedef önünde ilgili korumaların olup olmadığı belirlenebilir.
- Bunun için hedef sistemin 1-25 arasındaki portlarının taranması istenerek sonuçları incelenebilir. Şayet tüm portlar açık ise hedef sistem önünde synproxy veya syncookie koruması olduğu söylenebilir.
nmap -n -v www.example.com -p 1-25 Host is up (0.023s latency). PORT STATE SERVICE 1/tcp open tcpmux 2/tcp open compressnet 3/tcp open compressnet 4/tcp open unknown 5/tcp open unknown 6/tcp open unknown 7/tcp open echo 8/tcp open unknown 9/tcp open discard 10/tcp open unknown 11/tcp open systat 12/tcp open unknown 13/tcp open daytime 14/tcp open unknown 15/tcp open netstat 16/tcp open unknown 17/tcp open qotd 18/tcp open unknown 19/tcp open chargen 20/tcp open ftp-data 21/tcp open ftp 22/tcp open ssh 23/tcp open telnet 24/tcp open priv-mail 25/tcp filtered smtp
şeklinde bir sonuç ile karşılaşılması durumunda hedef önünde ilgili koruma devrede olduğu belirlenir.
- Aynı şekilde hping aracı ile hedef sistemin açık olduğu bilinen (TCP/80) ve kapalı olması muhtemel (TCP/99) portlarına SYN paketleri gönderilerek dönen cevabın incelenmesi ile de tespit edilebilir. SYN paketlerine her iki port da SYN+ACK dönüyorsa burada bir synproxy/syncookie koruması olduğundan söz edilebilir.