3 Ocak 2012

Burada yapılan çalışma, http://www.pcapr.net üzerinden indirilen örnek bir pcap formatında dosya ile yapılmıştır.Dosya SYN flood saldırısı esnasında alınmış bir kayıttır.
Fakat ben çalışmayı tcpdump ile nasıl kaydedileceğinden itibaren anlatmaya başladım.

Bu çalışmadan temelde şu 2 amaç için faydalanılabilir:
  • Bir saldırı esnasında tcpdump ile nasıl capture alınabileceğini ve maruz kalınan bir saldırının ne tür bir saldırı olabileceği hakkında bilgi edinmek amaçlı
  • Load Balancer,router,sunucu vb. bir network cihazınızın internete veya istediğiniz bir bacağına bakan trafiği belli bir süre kaydedip bu süre zarfında kaç farklı IP ziyaret etmiş bilgisi çıkarmak amaçlı kullanılabilir.

Önce trafiği kaydetmek ile başlayalım:

 
Burada;
 -i eth0 ile trafiği kaydedeceğimiz interface bilgisi belirtiliyor.
 -n ile reverse dns çözümleme yapılmaması sağlandı.Yani kayıtta domain isimleri yerine IP isimleri görünsün istiyoruz.
-w deneme.pcap ile trafiği verilen isimde kaydediyoruz
Ben kaydı tcpdump üzerinden aldım.Siz dilerseniz wireshark veya tshark benzeri bir trafik capture aracı ile pcap formatında kayıt alabilirsiniz.


Şimdi bu pcap dosyasını okuyup içinde neler var bakalım:

 
-r deneme1.pcap ile ile kaydettiğimiz bir pcap dosyasını okuyoruz.Görüldüğü gibi SYN bayrakları set edilmiş TCP istekleri gönderilmiş.

Şimdi source IP kısmını keselim.


Kesmek için cut komutunu kullanıyorum.Burada -d den sonra çift tırnak(" ") işaretleri arasındaki boşluk, satırları boşluklara göre kesilmesi için kullanılmıştır. -f3 parametresi 3. parçanın alınması için kullanılmıştır.

Şimdi source IP'lerin sonundaki source port kısmından da kurtulup temiz IP bilgilerine erişelim:
Burada -f1,2,3,4 ile  nokta ile ayrılmış ilk 4 parçanın alınmasını sağladık.
Şimdi temizlediğimiz IP'lerin hangisinden kaç tane olduğunu bulalım.
 
Burada uniq -c ile her IP kaç defa kullanılmış bilgisine erişmek istenmiştir.Yukarıda IP'lerin solundaki rakamlar kaçar kez var olduklarını gösterir.
Tüm source IP'ler 1 veya 2 tane gibi az sayıda kullanılmış ise burada şu yorumu yapabiliriz..Saldırı Random IP'ler(spoof) ile yapılmıştır.Bizim örneğimizde  bayrakların türü SYN olduğundan Syn flood saldırısı olduğunu  rahatlıkla söyleyebiliriz.

Şimdi de satır sayısını bulalım böylece eldeki pcap dosyasında kaç farklı source IP ile saldırı yapıldığına bakalım.


Wc -l ile mevcut satır sayısını ekrana yazdırdık.Toplamda 10 farklı IP ile SYN bayrakları set edilmiş TCP paketleri almışız.

4 yorum:

  1. Ellerine sağlık celal bey, aydınlatıcı bir paylaşım olmuş teşekkürler.

    YanıtlaSil
  2. Merhabalar, küçük bir kavram karmaşası olmuş zannediyorum başlıkta. Başlıkta asıl kullanılması gereken "data mining" değil "data extraction" olmalı.

    YanıtlaSil
  3. düzeltme için teşekkürler necati bey.

    YanıtlaSil

Her türlü eleştiri,yorum,ekleme ve düzeltmeye yönelik fikirlerinizi paylaşabilirsiniz.Hakaret içeren yorumlar filtrelenmektedir.

Makalelerin kötüye kullanım kullanıcının sorumluluğundadır. | networkpentest.net. Blogger tarafından desteklenmektedir.