Port Taramalarında Ağ Tabanlı Atak Önleme Sistemlerini Şaşırtma

Port tarama ağ seviyesi atakların başında gelmektedir ve sızma testlerinde ilk adımlardan biridir  (bilgi toplama aşaması)
Port tarama yapmadan diğer aşamalara geçilmesi genellikle sızma testlerinin eksik kalmasıyla sonuçlanmaktadır. Zira bir güvenlik zafiyetinin olması için öncelikle hizmet veren bir servisin (sunucu tabanlı zafiyetler) olması gerekmektedir, hizmet veren bir servis olması için de TCP/IP ağlarda port kavramı devreye girmektedir.

Port tarama işlemi gürültü çıkarttığı için çok rahatlıkla Saldırı Tespit Sistemleri tarafından yakalanabilir.
Port tarama işlemlerinde hedef sisteme yakalanmadan tarama işlemini gerçekleştirmek için çeşitli yöntemler bulunmaktadır. Bunlardan biri de Decoy Scanning olarak literatüre geçen tuzak sistemler aracılığıyla port tarama yapmaktır. Tuzak sistemler kullanarak tarama yapma hedef sisteme port tarama için gönderilen paketlerin eş zamanlı farklı ip adreslerinden gönderilerek hedef şaşırtma amaçlı kullanılmasıdır.

Tuzak sistemler aracılığıyla tarama yapabilmek icin tarama yapan sistemin ip spoofing yapabilir durumda olması gerekir. Sadece sistemin ip spoofing yapabilmesi yetmez, önündeki router, firewall vs gibi sistemlerin de bu spoof edilmiş paketleri geçiriyor olması gerekir (URPF, antispoof gibi korumalar olmaması)

Decoy scanning TCP için üçlü el sıkışma gerektirmeyecek tarama türlerinde ve UDP, ICMP tarama tiplerinde  geçerlidir. Sahte IP adreslerinden TCP üçlü el sıkışma tamamlanamayacağı için versiyon tarama gibi türlerde sahte ip kullanılamaz.

Nmap Kullanarak Tuzak Sistemler Aracılığıyla Port Tarama 

# nmap -D RND:5 www.siberguvenlik.org -PN -sS -p 80 –packet_trace

Starting Nmap 5.50 ( http://nmap.org ) at 2011-05-08 19:23 EEST
SENT (0.1310s) TCP 213.116.227.58:40212 > 178.18.197.18:80 S ttl=49 id=2996 iplen=44  seq=2328236182 win=2048 <mss 1460>
SENT (0.1310s) TCP 61.2.175.211:40212 > 178.18.197.18:80 S ttl=44 id=2996 iplen=44  seq=2328236182 win=1024 <mss 1460>
SENT (0.1310s) TCP 91.93.118.125:40212 > 178.18.197.18:80 S ttl=42 id=2996 iplen=44  seq=2328236182 win=3072 <mss 1460>
SENT (0.1310s) TCP 2.42.201.233:40212 > 178.18.197.18:80 S ttl=46 id=2996 iplen=44  seq=2328236182 win=3072 <mss 1460>
SENT (0.1310s) TCP 118.188.139.129:40212 > 178.18.197.18:80 S ttl=39 id=2996 iplen=44  seq=2328236182 win=4096 <mss 1460>
SENT (0.1310s) TCP 200.200.133.245:40212 > 178.18.197.18:80 S ttl=40 id=2996 iplen=44  seq=2328236182 win=1024 <mss 1460>
RCVD (0.1370s) TCP 178.18.197.18:80 > 91.93.118.125:40212 SA ttl=55 id=0 iplen=44  seq=2585139682 win=5840 <mss 1460>
Nmap scan report for www.siberguvenlik.org (178.18.197.18)
Host is up (0.0063s latency).
PORT   STATE SERVICE
80/tcp open  http
Nmap done: 1 IP address (1 host up) scanned in 0.33 seconds

Rastgele IP adreslerin yerine istenilen IP adresleri de kullanılabilir. Bunun için aşağıdaki komut yeterli olacaktır.

nmap -D IP1, IP2, IP3, IP4 -p 80 hedef_sistem

Tuzak Sistemlerden Gelen Taramaları Yakalama ve Engelleme

Snort Saldırı Tespit ve Engelleme Sisteminde sfportscan önişlemcisi kullanılarak port taramaları izlenebilir.

Snort decoy scan tekniği kullanılarak gerçekleştirilmiş port taramalarını da yakalayabilmektedir fakat port tarama yapan ip adresleri arasından hangi ip adresinin gerçek hangisinin sahte olduğunu ayırt edememektedir.

preprocessor flow: stats_interval 0 hash 2
preprocessor sfportscan: proto { all }
scan_type { all }
sense_level { low }

Snort sfportscan önişlemcisini kullanarak yukarıdaki port tarama tiplerini rahatlıkla yakalayabilmektedir.
  • TCP Decoy Portscan
  • UDP Decoy Portscan
  • IP Decoy Portscan

A. Enis ÖNAL <enis.onal@bga.com.tr>