Nmap ile Networkteki Sahte Gateway’lerin Tespiti
Warning: mysqli_query(): (HY000/3): Error writing file '/tmp/MYgwlfT8' (Errcode: 28 - No space left on device) in /usr/share/nginx/html/syslogs/wp-includes/class-wpdb.php on line 2349
Geçenlerde ISC‘de, networklerdeki rogue gatewaylerin nmap ile nasıl tespit edilebileceğini anlatan güzel bir yazı yayınlandı. [1] Buna göre, nmap'in ip-forwarding scriptini kullanarak networkteki cihazların her birine özel bir icmp-ehco requesti gönderip, dönen cevaplardan ip forwarding'i etkin olan yani üzerinden trafik geçirebilecek durumda olan cihazları bulabiliyorsunuz. Bir başka deyişle, böyle bir taramada default gateway'iniz dışında ip forwarding'i açık olan bir cihaz listelenirse, ağınızda kontrolünüz dışında bir çıkış kapısı daha var demek olabilir ki arp poisoning ile tüm trafik bu noktadan geçiyor ve bu şekilde networkünüz sniff ediliyor bile olabilir.
Yukarıdaki örnek bir senaryo olsa da özellikle raspberry pi gibi küçük bilgisayarların networklerde arka kapı oluşturmak için kolayca kullanılabileceği bilindiğinden aslında pek de hafife alınacak bir konu değildir.
Netwörküzde böyle bir tarama yapmak için ip-forwarding scriptini şu şekilde kullanabilirsiniz:
nmap -sn 10.0.0.0/24 --script ip-forwarding --script-args="target=www.google.com"
Bu komuta göre öncelikle 10.0.0.0/24 networkünde ping scan yapılacak ve up durumdaki hostlar tespit edilecektir. Sonrasında da bu hostlara ip-forwarding scripti kullanılarak www.google.com için özel bir icmp-echo paketi gönderilecek ve ip forwarding yapan host var ise aşağıdaki gibi listelenecektir:
Nmap scan report for 10.0.0.98 Host is up (0.047s latency). MAC Address: F4:6D:04:9D:92:ED (Asustek Computer) Host script results: | ip-forwarding: |_ The host has ip forwarding enabled, tried ping against (www.google.com)
Bu şekilde de default gateway'iniz dışında ip forwarding yapan makinaları tespit etmeniz mümkün olacaktır.
Yazının orjinali şurada mevcut; detaylar için gözatabilirsiniz:
Bu yazılar da ilginizi çekebilir:
- Nmap5 ve Hping3 Hızlı Kullanım Kılavuzu (Cheatsheet)
- DNSMap Kullanımı – DNS Network Mapper
- Linux Sistemlerde Gereksiz Servislerin Tespiti ve Kapatılması
- SSH Tunneling ile Güvenli Surf ve SSH Port Forwarding
- Komut Satırından Mysql Kullanıcı Şifresi Değiştirmek
Yorumlar
Trackbacks
Yorumda bulunun.
Selamlar,
oncelikle script’i https://svn.nmap.org/nmap/scripts/ip-forwarding.nse adresinden edindim. bu yontem ile taradigimda 100 tane IP adresinde forward acik oldugunu gordum. Fakat bu IP’lerden cogu tablet android ya da iphone gibi cihazlar cikti. Sanirim bu script/yontem sadece forwarding enable olan cihazlari gosteriyor. Gercekten forward edildigini ve Google’a paketin o IP uzerinden gidebildigini gostermiyordur. Acaba yaniliyor muyum?
Nmap done: 256 IP addresses (99 hosts up) scanned in 4.03 seconds
Saygilar
[Cevapla]
selamlar,
256 IP addresses (99 hosts up) scanned in 4.03 seconds bu ibare forwardingin açık olduğunu göstemiyor; sadece ping scan sonucuna göre up olduğu tespit edilen hostları bildiriyor.
Forwarding enabled olanları ise aşağıdaki şekilde listeler.
sizde durum bu şekilde mi ? Açıkçası mobil cihazlar forwarding yapabildikleri gibi default olarak açık değildir, bu nedenle 100 cihazda açık olması enteresan bir durum olurdu.
Son olarak, script üzerinden trafik geçirebilecek şekilde yapılandırılmış hostlardan haberdar olmanızı sağlıyor; üzerlerinden google’ı pingliyoruz.
[Cevapla]
Önemli bir bilgilendirme. Teşekkür ederim.
[Cevapla]