Port tarama ağ seviyesi atakların başında gelmektedir ve sızma testlerinde ilk adımlardan biridir (bilgi toplama aşaması)
Port tarama yapmadan diğer aşamalara geçilmesi genellikle sızma testlerinin eksik kalmasıyla sonuçlanmaktadır. Zira bir güvenlik zafiyetinin olması için öncelikle hizmet veren bir servisin (sunucu tabanlı zafiyetler) olması gerekmektedir, hizmet veren bir servis olması için de TCP/IP ağlarda port kavramı devreye girmektedir.
Port tarama işlemi gürültü çıkarttığı için çok rahatlıkla Saldırı Tespit Sistemleri tarafından yakalanabilir.
Port tarama işlemlerinde hedef sisteme yakalanmadan tarama işlemini gerçekleştirmek için çeşitli yöntemler bulunmaktadır. Bunlardan biri de Decoy Scanning olarak literatüre geçen tuzak sistemler aracılığıyla port tarama yapmaktır. Tuzak sistemler kullanarak tarama yapma hedef sisteme port tarama için gönderilen paketlerin eş zamanlı farklı ip adreslerinden gönderilerek hedef şaşırtma amaçlı kullanılmasıdır.
Tuzak sistemler aracılığıyla tarama yapabilmek icin tarama yapan sistemin ip spoofing yapabilir durumda olması gerekir. Sadece sistemin ip spoofing yapabilmesi yetmez, önündeki router, firewall vs gibi sistemlerin de bu spoof edilmiş paketleri geçiriyor olması gerekir (URPF, antispoof gibi korumalar olmaması)
Decoy scanning TCP için üçlü el sıkışma gerektirmeyecek tarama türlerinde ve UDP, ICMP tarama tiplerinde geçerlidir. Sahte IP adreslerinden TCP üçlü el sıkışma tamamlanamayacağı için versiyon tarama gibi türlerde sahte ip kullanılamaz.
Nmap Kullanarak Tuzak Sistemler Aracılığıyla Port Tarama
# nmap -D RND:5 www.siberguvenlik.org -PN -sS -p 80 –packet_trace
Starting Nmap 5.50 ( ) at 2011-05-08 19:23 EEST
SENT (0.1310s) TCP 213.116.227.58:40212 > 178.18.197.18:80 S ttl=49 id=2996 iplen=44 seq=2328236182 win=2048 <mss 1460>
SENT (0.1310s) TCP 61.2.175.211:40212 > 178.18.197.18:80 S ttl=44 id=2996 iplen=44 seq=2328236182 win=1024 <mss 1460>
SENT (0.1310s) TCP 91.93.118.125:40212 > 178.18.197.18:80 S ttl=42 id=2996 iplen=44 seq=2328236182 win=3072 <mss 1460>
SENT (0.1310s) TCP 2.42.201.233:40212 > 178.18.197.18:80 S ttl=46 id=2996 iplen=44 seq=2328236182 win=3072 <mss 1460>
SENT (0.1310s) TCP 118.188.139.129:40212 > 178.18.197.18:80 S ttl=39 id=2996 iplen=44 seq=2328236182 win=4096 <mss 1460>
SENT (0.1310s) TCP 200.200.133.245:40212 > 178.18.197.18:80 S ttl=40 id=2996 iplen=44 seq=2328236182 win=1024 <mss 1460>
RCVD (0.1370s) TCP 178.18.197.18:80 > 91.93.118.125:40212 SA ttl=55 id=0 iplen=44 seq=2585139682 win=5840 <mss 1460>
Nmap scan report for www.siberguvenlik.org (178.18.197.18)
Host is up (0.0063s latency).
PORT STATE SERVICE
80/tcp open http
Nmap done: 1 IP address (1 host up) scanned in 0.33 seconds
Rastgele IP adreslerin yerine istenilen IP adresleri de kullanılabilir. Bunun için aşağıdaki komut yeterli olacaktır.
nmap -D IP1, IP2, IP3, IP4 -p 80 hedef_sistem
Tuzak Sistemlerden Gelen Taramaları Yakalama ve Engelleme
Snort Saldırı Tespit ve Engelleme Sisteminde sfportscan önişlemcisi kullanılarak port taramaları izlenebilir.
Snort decoy scan tekniği kullanılarak gerçekleştirilmiş port taramalarını da yakalayabilmektedir fakat port tarama yapan ip adresleri arasından hangi ip adresinin gerçek hangisinin sahte olduğunu ayırt edememektedir.
preprocessor flow: stats_interval 0 hash 2
preprocessor sfportscan: proto { all }
scan_type { all }
sense_level { low }
- TCP Decoy Portscan
- UDP Decoy Portscan
- IP Decoy Portscan
A. Enis ÖNAL <enis.onal@bga.com.tr>
