Bir Saldırının Analizi (Bölüm 2)

Kaydolun ve günde 1000 $ kazanın ⋙

Bir Saldırının Analizi (Bölüm 2)Bir Saldırının Analizi (Bölüm 1)

Don Parker

Nmap'ten gönderilen paket dizisini açarken görülebilecek bilgileri birinci bölümde sizlere göstermiştik. Gönderilen dizi, bilgisayara veya ağa bir IP adresi atanıp atanmadığını belirlemek için bir ICMP yankı yanıtıyla başlar.

Ayrıca saldırıya uğrayan bilgisayarın ağının Windows tabanlı bir ağ olduğunu, geri gönderdiği ICMP yankı yanıt paketindeki ttl değerine bakarak da tahmin edebiliriz. Şimdi yapılması gereken, Nmap tarayıcısında kalan paketleri gözlemlemeye devam etmek ve kurban ağın profilini çıkarabilmek için geriye kalan bilgileri bulmaktır.

Devam etmek

10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 > 192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1.....o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^...^
0x0020: 5010 0800 fd46 0000 P....F..

10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 > 192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(..........o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$...^...^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P...h.........

Yukarıdaki iki paket, 1. bölümde gözlemlediğimiz ICMP paketlerinden sonra geliyor. Nmap, kurban ağ IP'si 192.168.111.23'e 80 numaralı porttan bir ACK paketi gönderdi. Sahte bilgi olduğu için burada tüm resmi göremiyoruz. Saldırgandan gelen ACK paketinin beklenmeyen bir cevap olması nedeniyle, bu ACK paketinin bir RST paketi olduğu görülmektedir. Esasında daha önceden kurulmuş bir bağlantının parçası değildir. Daha önce gözlemlenen ttl'ye karşılık gelen 128'lik bir ttl'miz daha var.

10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 3072
0x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q...o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o.....w.......
0x0020: 5002 0c00 37ce 0000 P...7...

10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 > 192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o.....ds}Dw...
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `...OX........

10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n........o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o.....w...w...
0x0020: 5004 0000 ca50 0000 P....P..

ACK ve RST paket değişimini takiben, kalın S ile gösterilen pakette kanıtlandığı gibi, hacker'dan kurban ağına gerçek bir SYN paketi gönderildiğini görebiliriz. Bu, SYN/ACK paketinin kurban ağından 21 numaralı porttan geri geldiğini çıkarsamamızı sağlar. Bu değişim daha sonra hacker'ın bilgisayarından kurban ağına geri gönderilen bir RST paketiyle sonlandırılır. Bu üç paket artık sahte ürün hakkında çok sayıda bilgi içeriyor.

Mağdur makinede ttl 128'in yanı sıra win64240 da var. Bu değer listelenmemiş olsa da, Win32'de (Win NT, 2K, XP ve 2K3 gibi Microsoft Windows'un 32-bit sürümleri) daha önce birçok kez gördüğüm bir boyuttur. Windows bilgisayarların bir diğer kısıtlılığı ise IP ID sayısının tahmin edilemez olmasıdır. Bu durumda elimizde sadece bir adet IP ID değeri bulunmaktadır. Bu bilgisayarın bir Microsoft Windows bilgisayarı olduğunu güvenle söyleyebilmemiz için en azından bir değere daha ihtiyacımız var. Nmap taramasından kalan paketlere de bakın.

10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(....;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o....Pw.......
0x0020: 5002 1000 3393 0000 P...3...

10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 > 192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw...
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `...y.........

10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o........o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o....Pw...w...
0x0020: 5004 0000 ca15 0000 P.......

Hacker'ın baktığı ilk bilgi, IP ID numarasının 399'a çıkıp çıkmadığına bakmaktır. Bu DI IP'si, paketin ortasından da görebileceğimiz gibi gerçekten 399'dur. Bu bilgiler sayesinde saldırgan, saldırdığı kurban bilgisayarın Windows NT, 2K, XP veya 2K3 olduğundan oldukça emin oluyor. Bu paket dizisinde ayrıca kurban ağındaki 80 numaralı portun bir servise sahip olduğu gözlemleniyor, SYN/ACK paketinden de anlaşılacağı üzere, SYN/ACK paketi TCP başlığındaki bayrak alanının incelenmesiyle belirleniyor, bu durumda altı çizili onaltılık değer ondalık olarak 12 veya 18'dir. Bu değer, ACK bayrağı 16 değerine SYN bayrağı 2 değerinin eklenmesiyle tespit edilebilir.

Numaralandırma

Hacker, hem 21 hem de 80 numaralı portların işletmeye açık olduğunu öğrendiğinde numaralandırma durumuna geçecektir. Şimdi bilmesi gereken şey, hangi tür web sunucusunun bağlantıları dinlediğidir. Bu hacker'ın IIS web sunucusundaki Apache açığını kullanmasının bir anlamı olmazdı. Saldırgan bunu aklında tutarak bir cmd.exe oturumu açacak ve ağ türünü öğrenecektir.

C:\>nc.exe 192.168.111.23 80
GET slslslls
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87

The parameter is incorrect.

C:\>

Yukarıda işaretlenen ağ türünü veya saldırganın kurbanın IP adresini ve 80 numaralı portu yazdığı nc.exe söz dizimini görebiliriz. Saldırgan içeri girdiğinde, GET metodunun HTTP'sini yazacak ve ardından bazı dil bilgisi yanlışı cümleler gelecektir. Bu eylem, kurban ağının web sunucusunun, isteğin ne olduğunu anlamadığında sisteme bilgi göndermesine neden olabilir. Bu yüzden doğal olarak hackerların ihtiyaç duyduğu bilgileri listeliyorlar. Artık saldırgan Microsoft IIS 5.0'da olduğunu görebiliyor. Daha da iyi haber, hackerların bu versiyon için birçok açıkları olması.

Sonuç

Saldırgan, Nmap kullanarak kurbanın ağını tarayarak bir dizi önemli veri paketi alabilir. Bu veri paketlerinin içerisinde, gördüğümüz üzere, bilgisayar korsanlarının mimari, işletim sistemi, ağ türü ve sunucu türündeki zafiyetleri istismar edebilmesi için gerekli bilgilerle dolu bilgiler bulunmaktadır.

Kısacası, bu şekilde saldırganlar sunucu, mimari ve sağlanan hizmetler hakkında önemli bilgilere erişebilirler. Bu bilgileri ele geçiren saldırgan, kurbanın ağındaki web sunucusuna saldırı başlatabilir. Aşağıdaki bölümde, bilgisayar korsanlarının bu durumda kullanıcıları saldırmak için hangi saldırı yöntemlerini kullanabileceği hakkında daha ayrıntılı bilgi vereceğiz.

Bir Saldırının Analizi (Bölüm 2)Bir Saldırının Analizi (Bölüm 3)

Sign up and earn $1000 a day ⋙

Leave a Comment

Normal TV ile Akıllı TV arasındaki fark

Normal TV ile Akıllı TV arasındaki fark

Akıllı televizyonlar gerçekten dünyayı kasıp kavurdu. Teknolojinin sunduğu pek çok harika özellik ve internet bağlantısı, televizyon izleme şeklimizi değiştirdi.

Dondurucuda ışık yokken buzdolabında neden ışık var?

Dondurucuda ışık yokken buzdolabında neden ışık var?

Buzdolapları evlerde sıkça kullanılan cihazlardır. Buzdolapları genellikle 2 bölmeden oluşur, soğutucu bölme geniştir ve kullanıcı her açtığında otomatik olarak yanan bir ışığa sahiptir, dondurucu bölme ise dardır ve hiç ışığı yoktur.

Wi-Fiyi Yavaşlatan Ağ Tıkanıklığını Gidermenin 2 Yolu

Wi-Fiyi Yavaşlatan Ağ Tıkanıklığını Gidermenin 2 Yolu

Wi-Fi ağları, yönlendiriciler, bant genişliği ve parazitlerin yanı sıra birçok faktörden etkilenir; ancak ağınızı güçlendirmenin bazı akıllı yolları vardır.

Tenorshare Reiboot Kullanarak Veri Kaybı Olmadan iOS 17den iOS 16ya Nasıl Geri Dönülür

Tenorshare Reiboot Kullanarak Veri Kaybı Olmadan iOS 17den iOS 16ya Nasıl Geri Dönülür

Telefonunuzda kararlı iOS 16'ya geri dönmek istiyorsanız, iOS 17'yi kaldırma ve iOS 17'den 16'ya geri dönme konusunda temel kılavuzu burada bulabilirsiniz.

Her gün yoğurt yediğinizde vücudunuzda neler olur?

Her gün yoğurt yediğinizde vücudunuzda neler olur?

Yoğurt harika bir besindir. Her gün yoğurt yemek faydalı mıdır? Her gün yoğurt yediğinizde vücudunuzda nasıl değişiklikler olur? Hadi birlikte öğrenelim!

Hangi pirinç türü sağlık açısından daha iyidir?

Hangi pirinç türü sağlık açısından daha iyidir?

Bu yazıda en besleyici pirinç türleri ve seçtiğiniz pirincin sağlık yararlarından nasıl en iyi şekilde yararlanabileceğiniz ele alınıyor.

Sabahları zamanında nasıl uyanılır

Sabahları zamanında nasıl uyanılır

Uyku düzeninizi ve uyku vakti rutininizi oluşturmak, çalar saatinizi değiştirmek ve beslenmenizi buna göre ayarlamak, daha iyi uyumanıza ve sabahları zamanında uyanmanıza yardımcı olabilecek önlemlerden birkaçıdır.

Rent Please! oynamak için ipuçları Yeni Başlayanlar İçin Ev Sahibi Simülasyonu

Rent Please! oynamak için ipuçları Yeni Başlayanlar İçin Ev Sahibi Simülasyonu

Kiralayın Lütfen! Landlord Sim, iOS ve Android'de oynanabilen bir simülasyon mobil oyunudur. Bir apartman kompleksinin ev sahibi olarak oynayacak ve dairenizin içini iyileştirme ve kiracılar için hazır hale getirme amacıyla bir daireyi kiralamaya başlayacaksınız.

En Son Banyo Kule Savunma Kodları ve Kodların Nasıl Girileceği

En Son Banyo Kule Savunma Kodları ve Kodların Nasıl Girileceği

Bathroom Tower Defense Roblox oyun kodunu alın ve heyecan verici ödüller için kullanın. Daha yüksek hasara sahip kuleleri yükseltmenize veya kilidini açmanıza yardımcı olacaklar.

Transformatörlerin yapısı, sembolleri ve çalışma prensipleri

Transformatörlerin yapısı, sembolleri ve çalışma prensipleri

Transformatörlerin yapısını, sembollerini ve çalışma prensiplerini en doğru şekilde öğrenelim.

Yapay Zekanın Akıllı TVleri Daha İyi Hale Getirmesinin 4 Yolu

Yapay Zekanın Akıllı TVleri Daha İyi Hale Getirmesinin 4 Yolu

Daha iyi görüntü ve ses kalitesinden ses kontrolüne ve daha fazlasına kadar, bu yapay zeka destekli özellikler akıllı televizyonları çok daha iyi hale getiriyor!

ChatGPT neden DeepSeekten daha iyidir

ChatGPT neden DeepSeekten daha iyidir

Başlangıçta DeepSeek'e yönelik büyük umutlar vardı. ChatGPT'ye güçlü bir rakip olarak pazarlanan bir yapay zeka sohbet robotu olarak, akıllı sohbet yetenekleri ve deneyimleri vadediyor.

Fireflies.ai ile tanışın: Size Saatlerce Çalışma Kazandıran Ücretsiz AI Sekreteri

Fireflies.ai ile tanışın: Size Saatlerce Çalışma Kazandıran Ücretsiz AI Sekreteri

Önemli ayrıntıları not alırken gözden kaçırmak kolaydır ve sohbet ederken not almaya çalışmak dikkat dağıtıcı olabilir. Çözüm Fireflies.ai'dır.

Axolotl Minecraft nasıl yetiştirilir, Minecraft Salamander nasıl evcilleştirilir

Axolotl Minecraft nasıl yetiştirilir, Minecraft Salamander nasıl evcilleştirilir

Axolot Minecraft, oyuncuların su altında görev yaparken nasıl kullanacaklarını bilmeleri durumunda harika bir yardımcı olacaktır.

Sessiz Bir Yer: Önümüzdeki Yol PC Oyun Yapılandırması

Sessiz Bir Yer: Önümüzdeki Yol PC Oyun Yapılandırması

A Quiet Place: The Road Ahead'in yapılandırması oldukça yüksek olarak derecelendirilmiştir, bu yüzden indirmeye karar vermeden önce yapılandırmayı göz önünde bulundurmanız gerekecektir.