EnderUNIX Team.


EnderUNIX İpucu

Arkadaşıma gönder , Ana Sayfa

[ Güvenlik ]

"Iptables ile saldırganın kendisini taramasını sağlama" - Huzeyfe Önal - (2004-12-10 23:51:30)   [4091]

linux üzerine iptables'in MIRROR ozelligini kullanarak herhangi bir portumuza bağlanmaya çalışan birine gönderdiği isteği aynalayarak geri gönderebiliriz. Mesela herhangi biri sizin portlarini taramaya calisirsa buna MIRROR kurali ile kendi portlarını taramasını sağlayabiliriz:)
kullanımı

#iptables -t filter -A INPUT -p tcp --dport 80 -j MIRROR

ornekle acalim biraz;
iki adet makinemiz olsun biri saldirgan dieri hedef.makine . hedef makinesinde asagidaki firewall kuralini yazalim.

# iptables -t filter -a INPUT -p udp --dport 137 -j MIRROR

bu kuralla udp 137. porta gelen istekleri ayni sekilde geri yolluyoruz.

ayni hostta(hedef.makine)tcpdump komutunu calistirarak agi dinleyelim.

#tcpdump udp port 137
tcpdump: listening on eth0

dinlemeye aldik şimdi de saldırgan makinesinden hedef.makine nin udp 137. portunu yoklayalim. bunu asagidaki komutla yapabilirsiniz.

---
#nmap -P0 -sU -p 137 yubam

Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
Interesting ports on hedef.makine (194.27.6.7):
Port State Service
137/udp open netbios-ns

Nmap run completed -- 1 IP address (1 host up) scanned in 12 seconds
---
diger makine(hedef.makine)deki çalıştırdığımız tcpdump komutu aşağıdaki gibi çıktı verecektir.
22:30:08.151613 saldirgan.45359 > hedef.makine.137:
22:30:08.151667 hedef.makine.45359 > saldirgan.137: [|SMB]
22:30:14.160184 saldirgan.45360 > hedef.makine.137:
22:30:14.160236 hedef.makine.45360 > saldirgan.137: [|SMB]

4 packets received by filter
0 packets dropped by kernel

Görüldüğü üzere hedef.makine ye yazdigimiz kural sonrasinda birnevi ayna vazifesi görerek paketi gönderen hosta ayni kaynak port ve ayni hedef port kullanarak yolladi.

bu kurali silelim,
# iptables -t filter -D INPUT -p udp --dport 137 -j MIRROR
ve biraz önceki islemleri tekrarlayalim.

hedef.makine da asagidaki komutu verelim
#tcpdump udp port 137
tcpdump: listening on eth0


saldirgan makinesinde asagidaki komutu verelim.
nmap -P0 -sU -p 137 yubam

Starting nmap V. 2.54BETA31 ( www.insecure.org/nmap/ )
The 1 scanned port on hedef.makine (194.27.7.8) is: closed

Nmap run completed -- 1 IP address (1 host up) scanned in 1 second
---

hedef.makine deki tcpdump komutunun ciktisi asagidaki gibi olacaktir.


22:34:20.994454 saldirgan.59800 > hedef.makine.137:

Arkadaşıma gönder , Ana Sayfa