Ana Sayfa » Genel » Nmap ile Networkteki Sahte Gateway’lerin Tespiti

Nmap ile Networkteki Sahte Gateway’lerin Tespiti


BerbatKötüİdare EderGüzelHarika (Toplam 4 oy. 5 puan üzerinden ortalama 4,50 || Oy vererek siz de katkıda bulunabilirsiniz.)
Loading...

Warning: mysqli_query(): (HY000/3): Error writing file '/tmp/MYxv4cpr' (Errcode: 28 - No space left on device) in /usr/share/nginx/html/syslogs/wp-includes/class-wpdb.php on line 2349

Geçenlerde ISC‘de, networklerdeki rogue gatewaylerin ile nasıl tespit edilebileceğini anlatan güzel bir yazı yayınlandı. [1] Buna göre, 'in ip-forwarding scriptini kullanarak networkteki cihazların her birine özel bir icmp-ehco requesti gönderip, dönen cevaplardan ip forwarding'i etkin olan yani üzerinden trafik geçirebilecek durumda olan cihazları bulabiliyorsunuz. Bir başka deyişle, böyle bir taramada default gateway'iniz dışında ip forwarding'i açık olan bir cihaz listelenirse, ağınızda kontrolünüz dışında bir çıkış kapısı daha var demek olabilir ki arp poisoning ile tüm trafik bu noktadan geçiyor ve bu şekilde networkünüz sniff ediliyor bile olabilir.

Yukarıdaki örnek bir senaryo olsa da özellikle raspberry pi gibi küçük bilgisayarların networklerde arka kapı oluşturmak için kolayca kullanılabileceği bilindiğinden aslında pek de hafife alınacak bir konu değildir.

Netwörküzde böyle bir tarama yapmak için ip-forwarding scriptini şu şekilde kullanabilirsiniz:

 -sn 10.0.0.0/24 --script ip-forwarding --script-args="target=www.google.com"

Bu komuta göre öncelikle 10.0.0.0/24 networkünde ping scan yapılacak ve up durumdaki hostlar tespit edilecektir. Sonrasında da bu hostlara ip-forwarding scripti kullanılarak www.google.com için özel bir icmp-echo paketi gönderilecek ve ip forwarding yapan host var ise aşağıdaki gibi listelenecektir:

Nmap scan report for 10.0.0.98
Host is up (0.047s latency).
MAC Address: F4:6D:04:9D:92:ED (Asustek Computer)

Host script results:
| ip-forwarding:
|_  The host has ip forwarding enabled, tried ping against (www.google.com)

Bu şekilde de default gateway'iniz dışında ip forwarding yapan makinaları tespit etmeniz mümkün olacaktır.

Yazının orjinali şurada mevcut; detaylar için gözatabilirsiniz:

[1] http://isc.sans.edu/diary/Do+you+have+rogue+Internet+gateways+in+your+network+Check+it+with+nmap/16198

Visited 690 times, 1 visit(s) today
Kategoriler: Genel,Security |

Bu yazılar da ilginizi çekebilir:


- Nmap5 ve Hping3 Hızlı Kullanım Kılavuzu (Cheatsheet)
- DNSMap Kullanımı – DNS Network Mapper
- Linux Sistemlerde Gereksiz Servislerin Tespiti ve Kapatılması
- SSH Tunneling ile Güvenli Surf ve SSH Port Forwarding
- Komut Satırından Mysql Kullanıcı Şifresi Değiştirmek

Yorumlar


  1. Ozgur Karatas | (Ağustos 1st, 2013 6:25 am)

    Selamlar,

    oncelikle script’i https://svn.nmap.org/nmap/scripts/ip-forwarding.nse adresinden edindim. bu yontem ile taradigimda 100 tane IP adresinde forward acik oldugunu gordum. Fakat bu IP’lerden cogu tablet android ya da iphone gibi cihazlar cikti. Sanirim bu script/yontem sadece forwarding enable olan cihazlari gosteriyor. Gercekten forward edildigini ve Google’a paketin o IP uzerinden gidebildigini gostermiyordur. Acaba yaniliyor muyum?

    Nmap done: 256 IP addresses (99 hosts up) scanned in 4.03 seconds

    Saygilar

    [Cevapla]

    Cagri Ersen tarafından yanıtlandı.

    selamlar,

    256 IP addresses (99 hosts up) scanned in 4.03 seconds bu ibare forwardingin açık olduğunu göstemiyor; sadece ping scan sonucuna göre up olduğu tespit edilen hostları bildiriyor.
    Forwarding enabled olanları ise aşağıdaki şekilde listeler.

    Host script results:
    | ip-forwarding:
    |_  The host has ip forwarding enabled, tried ping against (www.google.com)
    

    sizde durum bu şekilde mi ? Açıkçası mobil cihazlar forwarding yapabildikleri gibi default olarak açık değildir, bu nedenle 100 cihazda açık olması enteresan bir durum olurdu.

    Son olarak, script üzerinden trafik geçirebilecek şekilde yapılandırılmış hostlardan haberdar olmanızı sağlıyor; üzerlerinden google’ı pingliyoruz.

    [Cevapla]

  2. Jerfi | (Ağustos 2nd, 2013 3:31 pm)

    Önemli bir bilgilendirme. Teşekkür ederim.

    [Cevapla]

Trackbacks

Yorumda bulunun.