Bir Saldırının Analizi (Bölüm 2)

Bir Saldırının Analizi (Bölüm 1)

Don Parker

Nmap'ten gönderilen paket dizisini açarken görülebilecek bilgileri birinci bölümde sizlere göstermiştik. Gönderilen dizi, bilgisayara veya ağa bir IP adresi atanıp atanmadığını belirlemek için bir ICMP yankı yanıtıyla başlar.

Ayrıca saldırıya uğrayan bilgisayarın ağının Windows tabanlı bir ağ olduğunu, geri gönderdiği ICMP yankı yanıt paketindeki ttl değerine bakarak da tahmin edebiliriz. Şimdi yapılması gereken, Nmap tarayıcısında kalan paketleri gözlemlemeye devam etmek ve kurban ağın profilini çıkarabilmek için geriye kalan bilgileri bulmaktır.

Devam etmek

10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 > 192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1.....o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^...^
0x0020: 5010 0800 fd46 0000 P....F..

10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 > 192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(..........o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$...^...^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P...h.........

Yukarıdaki iki paket, 1. bölümde gözlemlediğimiz ICMP paketlerinden sonra geliyor. Nmap, kurban ağ IP'si 192.168.111.23'e 80 numaralı porttan bir ACK paketi gönderdi. Sahte bilgi olduğu için burada tüm resmi göremiyoruz. Saldırgandan gelen ACK paketinin beklenmeyen bir cevap olması nedeniyle, bu ACK paketinin bir RST paketi olduğu görülmektedir. Esasında daha önceden kurulmuş bir bağlantının parçası değildir. Daha önce gözlemlenen ttl'ye karşılık gelen 128'lik bir ttl'miz daha var.

10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 3072
0x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q...o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o.....w.......
0x0020: 5002 0c00 37ce 0000 P...7...

10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 > 192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o.....ds}Dw...
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `...OX........

10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n........o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o.....w...w...
0x0020: 5004 0000 ca50 0000 P....P..

ACK ve RST paket değişimini takiben, kalın S ile gösterilen pakette kanıtlandığı gibi, hacker'dan kurban ağına gerçek bir SYN paketi gönderildiğini görebiliriz. Bu, SYN/ACK paketinin kurban ağından 21 numaralı porttan geri geldiğini çıkarsamamızı sağlar. Bu değişim daha sonra hacker'ın bilgisayarından kurban ağına geri gönderilen bir RST paketiyle sonlandırılır. Bu üç paket artık sahte ürün hakkında çok sayıda bilgi içeriyor.

Mağdur makinede ttl 128'in yanı sıra win64240 da var. Bu değer listelenmemiş olsa da, Win32'de (Win NT, 2K, XP ve 2K3 gibi Microsoft Windows'un 32-bit sürümleri) daha önce birçok kez gördüğüm bir boyuttur. Windows bilgisayarların bir diğer kısıtlılığı ise IP ID sayısının tahmin edilemez olmasıdır. Bu durumda elimizde sadece bir adet IP ID değeri bulunmaktadır. Bu bilgisayarın bir Microsoft Windows bilgisayarı olduğunu güvenle söyleyebilmemiz için en azından bir değere daha ihtiyacımız var. Nmap taramasından kalan paketlere de bakın.

10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(....;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o....Pw.......
0x0020: 5002 1000 3393 0000 P...3...

10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 > 192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw...
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `...y.........

10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o........o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o....Pw...w...
0x0020: 5004 0000 ca15 0000 P.......

Hacker'ın baktığı ilk bilgi, IP ID numarasının 399'a çıkıp çıkmadığına bakmaktır. Bu DI IP'si, paketin ortasından da görebileceğimiz gibi gerçekten 399'dur. Bu bilgiler sayesinde saldırgan, saldırdığı kurban bilgisayarın Windows NT, 2K, XP veya 2K3 olduğundan oldukça emin oluyor. Bu paket dizisinde ayrıca kurban ağındaki 80 numaralı portun bir servise sahip olduğu gözlemleniyor, SYN/ACK paketinden de anlaşılacağı üzere, SYN/ACK paketi TCP başlığındaki bayrak alanının incelenmesiyle belirleniyor, bu durumda altı çizili onaltılık değer ondalık olarak 12 veya 18'dir. Bu değer, ACK bayrağı 16 değerine SYN bayrağı 2 değerinin eklenmesiyle tespit edilebilir.

Numaralandırma

Hacker, hem 21 hem de 80 numaralı portların işletmeye açık olduğunu öğrendiğinde numaralandırma durumuna geçecektir. Şimdi bilmesi gereken şey, hangi tür web sunucusunun bağlantıları dinlediğidir. Bu hacker'ın IIS web sunucusundaki Apache açığını kullanmasının bir anlamı olmazdı. Saldırgan bunu aklında tutarak bir cmd.exe oturumu açacak ve ağ türünü öğrenecektir.

C:\>nc.exe 192.168.111.23 80
GET slslslls
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87

The parameter is incorrect.

C:\>

Yukarıda işaretlenen ağ türünü veya saldırganın kurbanın IP adresini ve 80 numaralı portu yazdığı nc.exe söz dizimini görebiliriz. Saldırgan içeri girdiğinde, GET metodunun HTTP'sini yazacak ve ardından bazı dil bilgisi yanlışı cümleler gelecektir. Bu eylem, kurban ağının web sunucusunun, isteğin ne olduğunu anlamadığında sisteme bilgi göndermesine neden olabilir. Bu yüzden doğal olarak hackerların ihtiyaç duyduğu bilgileri listeliyorlar. Artık saldırgan Microsoft IIS 5.0'da olduğunu görebiliyor. Daha da iyi haber, hackerların bu versiyon için birçok açıkları olması.

Sonuç

Saldırgan, Nmap kullanarak kurbanın ağını tarayarak bir dizi önemli veri paketi alabilir. Bu veri paketlerinin içerisinde, gördüğümüz üzere, bilgisayar korsanlarının mimari, işletim sistemi, ağ türü ve sunucu türündeki zafiyetleri istismar edebilmesi için gerekli bilgilerle dolu bilgiler bulunmaktadır.

Kısacası, bu şekilde saldırganlar sunucu, mimari ve sağlanan hizmetler hakkında önemli bilgilere erişebilirler. Bu bilgileri ele geçiren saldırgan, kurbanın ağındaki web sunucusuna saldırı başlatabilir. Aşağıdaki bölümde, bilgisayar korsanlarının bu durumda kullanıcıları saldırmak için hangi saldırı yöntemlerini kullanabileceği hakkında daha ayrıntılı bilgi vereceğiz.

Bir Saldırının Analizi (Bölüm 3)