Nmap ile Networkteki Sahte Gateway’lerin Tespiti
Geçenlerde ISC‘de, networklerdeki rogue gatewaylerin nmap ile nasıl tespit edilebileceğini anlatan güzel bir yazı yayınlandı. [1] Buna göre, nmap’in ip-forwarding scriptini kullanarak networkteki cihazların her birine özel bir icmp-ehco requesti gönderip, dönen cevaplardan ip forwarding’i etkin olan yani üzerinden trafik geçirebilecek durumda olan cihazları bulabiliyorsunuz. Bir başka deyişle, böyle bir taramada default gateway’iniz dışında ip forwarding’i açık olan bir cihaz listelenirse, ağınızda kontrolünüz dışında bir çıkış kapısı daha var demek olabilir ki arp poisoning ile tüm trafik bu noktadan geçiyor ve bu şekilde networkünüz sniff ediliyor bile olabilir.
Yukarıdaki örnek bir senaryo olsa da özellikle raspberry pi gibi küçük bilgisayarların networklerde arka kapı oluşturmak için kolayca kullanılabileceği bilindiğinden aslında pek de hafife alınacak bir konu değildir.
Netwörküzde böyle bir tarama yapmak için ip-forwarding scriptini şu şekilde kullanabilirsiniz:
nmap -sn 10.0.0.0/24 --script ip-forwarding --script-args="target=www.google.com"
Bu komuta göre öncelikle 10.0.0.0/24 networkünde ping scan yapılacak ve up durumdaki hostlar tespit edilecektir. Sonrasında da bu hostlara ip-forwarding scripti kullanılarak www.google.com için özel bir icmp-echo paketi gönderilecek ve ip forwarding yapan host var ise aşağıdaki gibi listelenecektir:
Nmap scan report for 10.0.0.98 Host is up (0.047s latency). MAC Address: F4:6D:04:9D:92:ED (Asustek Computer) Host script results: | ip-forwarding: |_ The host has ip forwarding enabled, tried ping against (www.google.com)
Bu şekilde de default gateway’iniz dışında ip forwarding yapan makinaları tespit etmeniz mümkün olacaktır.
Yazının orjinali şurada mevcut; detaylar için gözatabilirsiniz:
Nmap5 ve Hping3 Hızlı Kullanım Kılavuzu (Cheatsheet)
Geçenlerde, http://www.securitybydefault.com adresinde Nmap5 ve Hping3 için hızlı kullanım klavuzu tarzında iki adet derli toplu güzel pdf dökümanı yayınlandı. Siz de Nmap ve Hping kullanıyorsanız eminin işinize yarayacaktır.
Nmap5
http://sbdtools.googlecode.com/files/Nmap5%20cheatsheet%20eng%20v1.pdf
Hping3
http://sbdtools.googlecode.com/files/hping3_cheatsheet_v1.0-ENG.pdf
Kaynaklar (İspanyolca)
http://www.securitybydefault.com/2010/02/chuleta-de-nmap-5.html
http://www.securitybydefault.com/2010/02/hping3-cheatsheet.html