Portspoof & Port Tarama Ödüllü Siber Güvenlik Yarışması Cevabı

ev ofisGeçen hafta gerçekleştirmiş olduğumuz ödüllü siber güvenlik yarışmasının cevabı ile karşınızdayız. Sormuş olduğumuz PCAP dosyasının analizini doğru bir şekilde gerçekleştirerek yarışmamızı kazanan Ali Bay’a tebriklerimizi sunarız.

Aynı zamanda ipucu olarak da karşı sistemde port tarama çalışmalarını şaşırtmak için bir sistem bulunduğunu belirtmiştik. Sorumuzun cevabı aşağıdaki şekilde analiz yapılarak çözülebilirdi.

1- Pcap içerisindeki TCP protokolünde kaynak ip adresinin 192.168.163.165 ve hedef ip adresinin 192.168.163.152 ip adresinin olduğu görülmektedir. 

# tcpdump -tttnn -r kaydet.pcap proto TCP | head -2

00:00:00.000000 IP 192.168.163.165.34298 > 192.168.163.152.22: Flags [S], seq 1425430302, win 29200, options [mss 1460,sackOK,TS val 14442952 ecr 0,nop,wscale 7], length 0

00:00:00.000139 IP 192.168.163.165.47148 > 192.168.163.152.21: Flags [S], seq 392221883, win 29200, options [mss 1460,sackOK,TS val 14442952 ecr 0,nop,wscale 7], length 0

2- 192.168.163.152 ip adresinin hangi portlarına isteklerin gittiğini öğrenmek için;

# tcpdump -tttnn -r kaydet.pcap proto TCP and src 192.168.163.165 | cut -d ” ” -f6 | tr -d “:”  | cut -d “.” -f5 | sort -nr | uniq -c | sort -nr | awk ‘{print $2}’ | sort -nr | tee 1

komutu kullanılmakta ve çıktıya baktığımız zaman 1-25 arasında olduğu görülmektedir. 

3- Pcap içerisinde data alışverişini görüntülemek için de PSH bayrağı set edilmiş paketler görüntülenir. Wireshark’ta “tcp.flags.push == 1″ filtresi ile görülebilir. Bu paketler follow -> tcp stream ile bakıldığında port spoof aktif olan portlarda “550” stringinin olduğu dikkatinizi çekecektir. Bu sebeple gercek servisleri tespit için çalışan portlarda ise bu string bulunmaması gerekiyor. Devamında “frame contains 550” ile filtreleme yapılarak seçilen paketler kaydedilip hedef portlar listelenir.

Tcpdump -tttnn -r filter-kaydet.pcap  src host 192.168.163.152  | cut -d ” ” -f4 | cut -d “.” -f5 | sort -nr | uniq -c  | awk ‘{print $2}’ | tee 2

4- Bir isimli dosya ile iki isimli dosya karşılaştırıldığı zaman aradaki fark gerçek yani açık olan servisleri verecektir. 

# diff 1 2 | grep “<” | cut -d ” ” -f2

25
22

Ödüllü siber güvenlik sorumuzun cevabı bu şekilde tespit edilebilirdi. Yarışmamıza katılan yüzlerce takipçimize teşekkürlerimizi sunarız. Önümüzdeki günlerde sosyal ağlarımız üzerinden yeni yarışmalarla karşınızda olacağız.