14 Ocak 2012

İki uç nokta arasındaki hop'ları bulmak için çeşitli uygulamalar kullanılabilir.Bunlardan en sık kullanılanı şüphesiz traceroute(linux/unix ortamlarda ) veya tracert(windowsdaki eşdeğeri) araçlarıdır.Fakat bu araçlar UDP/ICMP protokolleri ile çalıştığından  bazı hop noktalarında bu protokoller engellenmişse(genelde engellenmiştir) bize sağlıklı bilgi vermeyecektir."*" işaretleri ile bize sonuç dönecektir.

Traceroute tool'una alternatif olarak tcptraceroute aracı kullanılabilir.Tcptraceroute, hedef bir IP adresinin belirli bir portuna TCP paketleri göndererek trace işlemini gerçekleştirir.Fakat bunla da yaptığım çalışmalarda her ne kadar hedefe gitse de arada firewall v.s bazı IP'leri göstermediğini farkettim.

Bunun için tüm bu yöntemlerin dışında kurulan bir TCP oturumunun mevcut kanalı içerisinden trace atmak en mantıklısı.Ve arada ne kadar hop varsa bunları gösterebilmektedir.Bu yöntemle firewall/IPS gibi güvenlik cihazlarını da bypass etmiş oluyorsunuz,çünkü açılmış bir tünel içerisinden hedefe gidiyorsunuz.Ayrıca trace attığınız uzak sistem önündeki firewall ile hedef sunucu arasında router olarak kullanılan ve local IP'lere sahip cihazlar varsa bunlarda hop'lar içerisinden görüneceğinden dolayı uzak sistem iç networkünde kullanılan local IP bilgilerinide elde etmiş olacağız.Local IP'ler de pentest işlemlerinde bizlere oldukça yardımcı olacaktır.

Kurulan bir TCP oturumu içerisinden trace atmak için intrace veya 0trace kullanılabilir.0trace aracı Linux backtrack sürümü üzerinde default geliyor ;  fakat uzun bir süredir geliştirilmediği ve stabil olmadığı için ben bunun yerine intrace aracını kullanmayı tavsiye ederim.Intrace indirmek için burayı ziyaret edebilirsiniz.

Intrace ile trace atmak için önceklikle intrace çalıştırıyoruz.Bunun için;














-h ile trace atacağımız Remote IP adresini ve ardından Remote portunu belirtiyoruz.Bu IP ve port TCP oturumunun kurulacağı Ip ve port adresidir.Intrace çalıştırdıktan sonra telnet ile uzak sunucunun 8080 portuna bir TCP connection kurucağız ve yukarıda status Press ENTER olduğunu göreceksiniz.
Şimdi uzak hostun ilgili portuna telnet ile bağlanalım;







Şimdi TCP oturumu kuruldu.Bunu netstat ile de görebilirsiniz.

 
Telnet ile oturumuda kurduktan sonra başlattığımız intrace uygulamasında Press ENTER aktif olmuş olması gerekiyor.Şimdi ENTER yaparak tüm hopları görebilirsiniz.Hope'lardan dönen cevaplarda görüldüğü gibi ICMP time exceed.Buda bize gösteriyorki TCP oturumu içersinden UDP paketleri gönderilerek trace atılmıştır.Ama kurulan Tcp kanalından trace attığımız için sorun değil.Bilindiği gibi UDP cevap mekanizmasına sahip olmadığı için burada da görülebileceği gibi geriye dönülen cevaplar için ICMP'den yardım almış:)

1 yorum:

  1. ne işe yarıyor tam olarak şimdi bu ?

    YanıtlaSil

Her türlü eleştiri,yorum,ekleme ve düzeltmeye yönelik fikirlerinizi paylaşabilirsiniz.Hakaret içeren yorumlar filtrelenmektedir.

Makalelerin kötüye kullanım kullanıcının sorumluluğundadır. | networkpentest.net. Blogger tarafından desteklenmektedir.