Iss

TCP/IP le 




letim Sistemi Saptama 







letim sistemi saptamak karma ık i lemlerden olu an bir süreçtir. letim sistemlerinin (Windows, Linux, FreeBSD, Solaris vs.) a üzerinden aldıkları paketlere verdikleri tepkiler  bazı durumlarda farklılıklar göstermektedir, bu farklılıkların do ru analiz edilmesi, hedef i letim sistemini ele verecek ipuçlarını da ortaya çıkarır. Bu farklılıkları    analiz kaydedildi i bir veritabanı ile kar ıla tırarak eden ve i letim sistemine göre farklılıkların    yorumlayan bazı programlarda geli tirilmi tir.  letim sistemi saptama süreci, a haritalama ve a a sızma testlerinin önemli parçalarındandır. Düzenlenecek saldırı ve zayıflık denetimlerinin hedefe özel olması   gereklili i bu tekni in geli mesine sebep olmu tur. Birçok saldırgan, hedef sistemde bulunan zayıflıkları incelemek için özel programlar kullanmak yerine, hedef hakkında bilgi toplamayı ve böylece zayıflıkları bulmayı tercih eder; bu durumda faydalandı ı önemli tekniklerden  biride hedefin i letim sisteminin ve uygulamalarının saptanmasıdır.       letim sistemi saptama teknikleri zaman içerisinde de i iklikler ya amı , geli tirilmi ve üst seviye bilgiye gereksinim duyulmayan araçlar ile otomatize edilmi tir. Genel olarak 2 yöntem ile i letim sistemi saptanır ; Aktif denetim ve Pasif denetim.  fikir hedefe özel Aktif denetim , Queso aracı ile duyulmaya ba lamı tır.  Temel  ıla tırılmasıdır. Queso bu paketlerin  gönderilmesi ve alınan cevapların bir veritabanı ile kar  tekni i ba arı ile uygulayan ilk araçtır. Hedef sisteme çe itli TCP paketleri göndererek aldı ı getirdi i paketlerin analizini yapmaktadır. Ancak  bu tekni i uygulayan ilk araç olmasının  eksiklikler Fyodor tarafından görülmü ve Queso’nun kullandı ı teknikler geli tirilerek Nmap    tir. Queso’nun geli tirilmesi bir  süre sonra durduruldu ; ancak Nmap isimli araca eklenmi  aracı halen geli imine devam etmektedir, sadece bir i letim sistemi saptama aracı olmaktan  çok daha fazla özelli ide bünyesinde barındırımaktadır. Fyodor, Nmap’in i letim sistemi  saptamada kullandı ı teknikleri ayrıntılarıyla açıklayan bir dökümanıda hazırlamı ve sitesinde yayınlamaktadır. Hedefe FIN bayraklı TCP paketi göndermek, IP paketlerinin  çerçeve boyunda de i iklikler yapmak ve TCP paketindeki normalde beraber aktif olmayan bayrakları aynı anda aktif ederek hedefe göndermek, bu tekniklere birkaç örnektir.  Ofir Arkin’in yazmı oldu  u “ICMP Usage in Scanning” isimli dökümanda açıklanan  yöntem, aktif i letim sistemi saptama yöntemlerine bir yenisini eklemi tir. Temel fikir, hedefe  çe itli ICMP paketleri (Echo Request, TimeStamp Request vs.) , bozuk IP paketleri ve UDP paketleri göndermek ve alınan cevapları bir karar a acı do rultusunda de erlendirmektir. Örne   in; a yayın adresine gönderilen “ICMP/Echo Request” paketine Windows türevi vermemektedir, böylece i letim sistemleri cevap   bu pakete cevap gönderen sistemlerin Windows türevi bir i letim sistemi olmadı ı anla ılmı olur. Dökümanın üçüncü sürümünden sonra, Ofir Arkin ve Fyodor Yarochkin tarafından hazırlanan Xprobe isimli araçta, dökümanda açıklanan teknikleri uygulamaktadır. Aktif denetim yönteminde, gönderilecek paketlerin özel  olabilmesi ve denetimin daha fazla türde paket üzerinden yapılması, yanılma payını dü ürmektedir ; ancak bu tür denetimlerin saldırı tespit sistemleri tarafından kolayca farkedilebilir olması, katlanılması   gereken ciddi bir risktir. Bu riskin olu maması ve elde edilen sıradan paketler ile de i letim sistemi saptayabilmek için Pasif denetim yöntemi geli tirilmi tir. Pasif denetim yönteminde, hedefin bu tür bir denetimi farketmesi mümkün de ildir ; ancak denetimde özel paket gönderilmemesi ve alınacak paket türlerinin kısıtlı olması yüksek yanılma oranınıda beraberinde getirmektedir.

Pasif denetim yönteminde, hedefe sıradan ve izin verilen ba lantılar kurulur (Örn. Web sayfası gezmek ve FTP ile dosya aktarımı yapmak) ve hedeften alınan paketler analiz edilir. Paketlerin içerdi i; TOS (Type of Service), TTL ve paket bölünme ekli gibi bilgiler ile i letim sistemlerinin saptanması mümkün olmaktadır. Ço u i letim sisteminin TCP/IP yı ınının farklı olması bu tekni in geli tirilmesine yardımcı olmu tur. Bu yöntemi uygulamak için geli tirilmi bazı araçlarda mevcuttur ; Siphon, P0f ve Passfing bu araçların ba arılı olanları arasındadır. Bu araçlar bir sniffer gibi çalı arak gelen paketleri analiz edebilece i gibi daha önceden Tcpdump ile yakalanmı paketleride analiz edebilmektedir. TCP/IP paketlerinin analizi ile i letim sistemini saptayan bu yöntemlere ek olarak servis açılı mesajları, ba lanılan servislerdeki bilgi istekleri ve hata mesajlarıda, hedef i letim sistemi hakkında çe itli bilgileri barındırmaktadır. Bu tür bilgilerin harmanlanması ile bulunacak sonucun yanılma payıda dü ük olacaktır. Hedefin i letim sisteminin ve yama seviyesinin belirlenmesi, hedefe özel güvenlik denetimlerinin önemli parçalarından biridir. Saldırı tespiti, a haritalama ve a a sızma testleri gibi süreçlerde bu yöntemlere sıkça ba vurulmaktadır.


















































Fatih Özavcı Security Analyst [email protected] http://www.siyahsapka.com http://www.dikey8.com Ek 1 – Araçlar Queso Nmap Xprobe Siphon P0f Passfing

http://www.insecure.org/nmap http://www.sys-security.com/html/projects/X.html http://siphon.datanerds.net http://lcamtuf.coredump.cx

Ek 2 – Makaleler Fyodor – Remote OS detection via TCP/IP Stack FingerPrinting http://www.insecure.org/nmap/nmap-fingerprinting-article.html Ofir Arkin – ICMP Usage In Scanning http://www.sys-security.com/archive/papers/ICMP_Scanning_v3.0.pdf Ofir Arkin / Fyodor Yarochkin – X Remote ICMP Based OS Fingerprinting Techniques http://www.sys-security.com/archive/papers/X_v1.0.pdf Honeynet Project – Know Your Enemy : Passive Fingerprinting http://project.honeynet.org/papers/finger