Wireshark Nedir?

Wireshark, ağ trafiğini analiz etmek için kullanılan açık kaynaklı ve ücretsiz bir yazılım aracıdır. Ağ yöneticileri, güvenlik uzmanları ve geliştiriciler tarafından yaygın olarak kullanılan Wireshark, ağ paketlerini gerçek zamanlı olarak yakalar ve detaylı bir şekilde inceler.

Wireshark aracının kullanım alanları:

• Protokol hatalarını çözümlemek
• Paket analiz işlemleri
• Ağ içerisinde ki hataları tespit etmek
• Ağ hakkında ki istatistikleri görüntüleyebilmek
• Canlı olarak veya elinizde bulunan pcap gibi formatlarda olan verileri
  görüntülemek
• Tersine mühendislik çalışmaları gibi bir çok farklı konuda tercih edilen bir araçtır.

Wireshark aracı için kurulum adımları:

Gerekli dosya indirildikten sonra kurulum yönergeleri sayesinde kurulabilir.

İndirme adresi : https://www.wireshark.org/download.html

Linux için:

$ sudo apt install wireshark

Wireshark ile Paket Yakalamak

İzlemek istediğimiz ağı seçelim, bu genellikle bir Wi-Fi veya Ethernet bağlantısı olabilir. Ardından, “Başlat” düğmesine tıklamalıyız. Böylece Wireshark ağ trafiğini yakalamaya başlar.

Örnek olarak bir HTTP filtrelemesi yapalım:

Wireshark veya benzeri ağ analiz araçları, HTTP trafiği üzerinde izinli veya izinsiz izleme yapabilirken, HTTPS trafiği şifreli olduğu için içeriğini görüntüleyemezler. Bu nedenle HTTP trafiğini ağ üzerindeki iletişimi kolayca görüntülemek için izleyebiliriz. Üst köşede olan çubuğa http yazarak kolaylıkla HTTP paketleri görüntüleyebiliriz.

Paketler hakkında detaylı bilgi edinmeyi deneyelim:

İlgilendiğimiz HTTP paketini listeden seçip sağ tıkladıktan sonra “Takip Et” ve ardından “HTTP Akışı” seçeneğine tıklıyoruz. Bu işlem, sadece seçtiğimiz HTTP paketinin iletişimini görüntüler.

En Sık Kullanılan Kodlar:

İzlemek istediğimiz ağı seçelim, bu genellikle bir Wi-Fi veya Ethernet bağlantısı olabilir. Ardından, “Başlat” düğmesine tıklamalıyız. Böylece Wireshark ağ trafiğini yakalamaya başlar.

1. http
   • HTTP protokolü üzerinden gönderilen ve alınan verileri gösterir.
   • Ekranda sadece web sayfalarının trafiğini görmek için kullanılır.
2. tcp
   • TCP protokolü üzerinden gelen verileri gösterir.
   • Güvenilir bağlantılar üzerinden gerçekleşen trafiği izlemek için kullanıllır.
3. udp
   UDP protokolü üzerinden gelen verileri gösterir.Hızlı, ancak güvenilir olmayan bağlantılar için veri trafiğini görmek için kullanılır.
4. ip.addr == 192.168.x.x
   • Belirtilen IP adresine ait verileri gösterir.
   • Belirli bir IP adresiyle ilişkili trafiği izlemek için kullanılır.
5. port 80
   • Port 80 üzerinden gönderilen ve alınan verileri gösterir.
   • HTTP trafiğini (web) izlemek için. Port numarasını değiştirerek diğer portlardaki trafiği görebilirsiniz.
6. src ip == 192.168.x.x
   • Belirtilen IP adresinden gelen verileri gösterir.
   • Belirli bir kaynaktan gelen trafiği izlemek için kullanılır.
7. dst ip == 192.168.x.x
   • Belirtilen IP adresine giden verileri gösterir.
   • Belirli bir hedefe giden trafiği izlemek için kullanılır.

1. tcp.port == 443
   • TCP üzerinden port 443 (HTTPS) ile ilgili verileri gösterir.
   • Güvenli web trafiğini (şifreli) izlemek için kullanılır.
2. http.request.method == “GET”
   • HTTP GET isteklerini gösterir.
   • Web sayfası veya veri talep eden GET isteklerini görmek için kullanılır.
3. ip.proto == 1
   • ICMP (Internet Control Message Protocol) protokolü ile ilgili verileri gösterir.
   • Ağ hata raporları ve “ping” trafiğini izlemek için kullanılır.

Faydalı olması dileği ile..

https://eyupturan.com

The post Wireshark: Ağ Trafiğini Anlamanın Gücü first appeared on Eyüp TURAN | Siber Güvenlik Lab & Blog.

Merhaba, bu yazımda sızma testi metodolojisinin başında gelen bilgi toplama araçlarından bahsetmek istiyorum Bu yazıyı hazırlarken kendime çıkarmış olduğum notları bir araya getirerek paylaşmak istedim, hem tek konu altında birleştirmek hemde kendime depo oluşturmak maksadıyla bilgi toplama araçlarını tek başlıkda topladım.

Bilgi toplama yani keşif süreci Sızma testinin ilk adımıdır. En uzun süren süreçlerden birisidir. Diğer adımlar için temel burada atılır. Dış Ağdan test yapılıyor ise Teknik (DNS / WHOIS) yöntemler ile alt yapı / ağ mimarisi / ip adresleri ile ilgili bilgi edinilebilir.

Aktif ve Pasif bilgi toplama olarak 2’ye ayrılmaktadır, en çok kullanılan araçları sırası ile paylaşacağım.

Pasif Bilgi Toplama Araçları :

Hedef ile herhangi bir temasa, iletişime geçmeden toplanılan bilgilerdir, genellikle internet üzerinden toplanır. Örneğin sosyal medya da bir pasif bilgi toplama işlemidir. Aşağıda belirttiğim 4 Web site üzerinden pasif bilgi toplama işlemini gerçekleştireceğiz.

1-Netcraft : Hedef hakkında whois sorgusu yapar. Site title, domain register vb. Gibi bilgiler verir.

https://sitereport.netcraft.com/ 

2-Whoislookup : netcraft tarzı bir detaylı whois sorgusu yapar.

whois.domaintools.com

3-Archive.org : Sorguladığımız herhangi bir domainin geçmiş yıllardaki görünümleri ve işlemlerini getirmekte.

4-You get signal : bağlı tüm subdomainleri vs gösterir

yougetsignal.com/tools/web-sites-on-web-server/

Aktif Bilgi Toplama Araçları :

hedef ile doğrudan temasa geçilerek yapılan bilgi toplama çeşididir. Aktif bilgi toplamayla, pasif bilgi toplamadan daha net ve güvenilir sonuçlar elde edebiliriz. Ancak, hedef ile doğrudan temasa geçildiği için hedefte iz bırakılır. Bu sebep den dikkatli olunması gerekmektedir ilerleyen safhalarda hukuksal olarak sorunlar yaratabilir. Bu uyarıyı da yaptıktan sonra başlayalım.

1- Dig Aracı : Dig komutu DNS ad sunucularını sorgulamak için sıklıkla kullanılan bir komut satırı aracıdır. IP adres kayıtları, yetkili ad sunucularının yanıtları da olmak üzere bir çok DNS sorunlarını gidermekte kullanılır. Kısaca kullanımı şu şekildedir.

dig domainadi.com | ip vb bilgiler verir, ping domainadi.com komutu ile karşılaşdırıldığında aynı ip bilgileri verileceği görülecektir.

dig domainadi.com -t ns | domainadi.com’ a bağlı olan name serverları gösterir.

dig domainadi.com -t mx | domainadi.com’a bağlı olan mail serverları listeler.

dig domainadi.com -t txt | domainadi.com ‘a bağlı olan txt cıktılarını verir ipv4 ipv6 vs gibi şeyler verir.

dig +trace domainadi.com | gönderilen paket bilgilerinin hangi duraklara uğradığı durakları, gönderilen paketleri listeler kısaca ağı izler.

dig 8.8.4.4 domainadi.com -t ns | dig domainadi.com -t ns komutu ile aynı işlemi yapar yani domainadi.com name serverları verir ancak burada log tutulmasın diye dns adresini 8.8.4.4 üzerinden sorgulama yapar.

2-Dnsenum : bu araç da dig aracının yaptığı işlemlere yakın işlemler gerçekleştirir. Dns kaydı sorgulamamıza yarıyor. Farklı alternatif araç kullanma amacımız bazı araçlar kali’nin kütüphanesinde olmayabilir veya kali versiyonu desteklemeyebilir o nedenle farklı araçlar öğrenmekte fayda vardır. Kısaca kullanılan komutlar;

Dnsenum --help | bu komutla parametreleri gösterir.

dnsenum domainadi.com | alt alan adları, dns’leri listeler. Dig aracına nazaran daha sade daha açık listeler.
dnsenum --enum domainadi.com | yine aynı çıktıları verir birkaç yerde farklı şeyler listeliyor. sub domainleri detaylı listeler, brute force yapabileceğimiz sayfaları listeliyor. Whois tarzı sorgulamalar yapar.

dnsmap domainadi.com | bu komutumuzda yine dnsenum gibi görevi bulunmakta

genel olarak kullanım mantığı bu şekilde siz detaylı inceleyebilirsiniz.

3-Nslookup : Bu araç da aktif bilgi toplama araçları arasında da dig gibi dnsenum ve dnsmap gibi dns kayıtlarını listelemeye yarayan,
verdiğimiz domainin ip adresleri vb.birçok bilgiyi bize vermeye çalışan bir araçtır. Nslookup kali linux’un bazı versiyonlarında yüklü olarak gelmeyebiliyor arkadaşlar. Kullanımı oldukca basitdir.

Terminal ekranına “nslookup” yazıp enterlayınca nslookup ekranı çalıştırır. site adı veya ip yazınca sorgulamayı gerçekleştirir birçok önemli bilgiyi listeler.

set type=ns | komutu enterlayınca yeni bir komut satırı gelir buraya domain yazınca name serverlar listeler
set type=mx | mail server kayıtlarını listeler

Nslookup aracını birde etkileşimsiz mod da kullanabiliriz yani karşı hedef server ile iletişim kurmadan komutu çalıştırabilirsiniz bunun içinde
nslookup -query=ns domainadi.com | domaine ait name serverları etkileşimsiz mod da çalıştırır.

nslookup -query=any domainadi.com | domain adını etkileşimsiz modda tüm dnsleri sorgular.

4-Whois : Aktif bilgi toplama araçlarından biride whois’dir. Whois, tescil edilmiş bir domainin hangi kişi veya firmaya ait olduğunu, bu kişi ya da firmanın iletişim bilgilerini ve alan adının kayıt edildiği tarihi ile bitiş süresini gösteren bilgidir. Bu Araç basit olarak kali’de şu şekilde kullanılır.

whois domainadi.com | bize domain adina ait tüm bilgileri listeler.

5-Traceroute : Traceroute aracı dig komutuna benzer işleve sahip hatta aynı işleve sahip diyebiliriz. Traceroute tcp/ip mantıklı çalışmaktadır. Hedef sistemimize paketler gönderiyor ve bu paketler giderken hangi router’dan hangi yönlendiriciden ulaştığını geçtiğini görmemizi sağlıyor. Network ile daha ilgili bir araçtır.
Kullanımı Windows işletim sisteminde " tracert www.domainadi.com "

Linux’ta : ” traceroute www.domainadi.com “

6-Dmitry : bu araç yukarda görmüş olduğumuz 5 bilgi toplama aracının bir araya getirilmiş halidir diyebiliriz. Tek komut ile tüm bilgi toplama aracının işlevini yapabiliriz. Dmitry aracı kali linux’ta yüklü olarak gelir. Eğer bulunmaz ise " sudo apt-get install dmitry " komutu ile kendi kütüphanesinden yükleyebiliriz. Kullanımını inceleyelim.

Dmitry -h | tüm parametrelerini inceleyebilirsiniz ben sadece genel kullanımı belirteyim.
dmitry domainadi.com | domain hakkında tüm bilgileri döker tarama biraz uzun sürebilir. host ipler, whois sorgusu, name serverları, eposa bilgileri vb tüm bilgileri listeler

7-TheHarvester : Kullanımı oldukça kolaydır. theHarvester i genel olarak tanımlamak gerekirse, size hedef hakkında yığın bir veri toplar. Bu verileri analiz ederek hedefiniz hakkında bilgi sahibi olursunuz. Githup Linki:

https://github.com/laramies/theHarvester

theharvester aracı çok geniş kapsamlı bir araçtır çok fazla parametresi vardır.
theharvester -h | komutu ile tüm parametrelerini inceleyebilirsiniz.

Ençok kullanulan parametreleri şu şekildedir.

theharvester -d domainadi.com -b all | -d parametresi domaini belirtmemizi sağlıyor. -b parametresi arama yapacağı platformları belirtmemizi sağlıyor. Google, yandex, linkedin gibi, tüm platformlarında arama yapmak istiyorsanız all parametresi eklenir.

8-Nmap : Nmap aracı genelde hedef sistemde açık olan portları görüntülememize yarıyor ama bunun dışında çok fazla ayrıntılı kullanımı var, kendi yazdığınız scriptleri ekleyebiliyorsunuz hedef sistemde zaafiyet taramasından tutun kullanıcı adı taramasına kadar her şeyi yapabiliyoruz.
Burada nmap üzerinde en çok kullanılan parametreler ve teknikleri belirteceğim.

nmap -h | komutunu kullandığımız da çok fazla parametresi olduğunu göreceksiniz, script tüm parametreleri listeler. Script taramalarından tutunda Firewall/Ids taramalarına kadar birçok tarama hazırda verilmiş olarak mevcuttur, kendinizin incelemesini tavsiye ederim.

nmap -sn 10.0.2.0/24  | -sn parametresi bir ip aralığı vermemizi istiyor 0 dan 24 e kadar yerel ağda olan ipleri getirir genelde yerel ağda kullanılıyor Örneğin yerel ağda kullanılan sanal makinaların veya cihazların ip’lerini getirir. Tabi burda ip’mizi öğrenmek için
" ifconfig " komutu kullanılabilir veya " hostname -I " komutuyla kullandığımız host ip’mizi öğrenebiliriz.

nmap -sS -sV 10.0.2.8 | 10.0.2.8 ip benim typhon makinamın ipsi. -sS parametresi hedef sisteme paketler gönderir bu sayede açık olan portları ve bu portlarda çalışan protokollari listeler. -sV parametresi de hedef sistemde açık olan portlarda çalışan servislerin hangi versiyona ait oldukları hangi versiyonda çalıştıklarını bizlere çıktı olarak sunar.

Örneğin kendim typhoon makinama bir tarama başlattığımda ftp versiyonunun eski olduğunu görüntüledim buda burada bir zaafiyet olduğunu gösterir, böyle durumlarda güncelleme yapılması için hedef sistemin uyarılması gerekir.

nmap -sT 10.2.0.8 | açık olan tcp portları tarar
nmap -sU 10.2.0.8 | açık olan udp portları tarar

nmap -p22 10.0.2.8 | sadece 22 nolu portu tarar
nmap -p21,22,80 10.0.2.8 | 21 22 80 portlarını tarar
nmap -p80-8080 10.0.2.8 | 80 den 8088 e kadar olan portları tarar

nmap -A 10.0.2.8 | Agresif bir tarama işlemi uzun sürebilir ancak detaylı bilgi listeler.

nmap sC 10.0.2.8 | script taraması yapar. açık olan port, bazı ftp serverına dönük cıktılar, ssh ile ilgili bilgiler getirir.

localate nmap | nmap içindeki zaafiyet scriptleri listeler şimdi bunu sistemde denerken kullanırken

nmap --script=script_ismi 10.0.2.8 | buda scripte zaafiyet varmı listeler.
Burda scipt isimlerini görüntülemek için öncelikle
localate nmap | yazarak nmap scriptlerinin hepsini görüntüleyebiliriz.

9-Netcat : Netcat aracı iki sistem arasında dosya transferi, haberleşme, açık olan portları bulma, bağlantı sağlama shell alma gibi işlemler için kullanılıyor, kullanımı detaylıdır.

" Nc -h " komutu ile tüm parametreleri inceleyebilirsiniz ben genel kullanılan komutları belirteceğim. Kullanımı şu şekildedir.
Bağlantı talebinde bulunmak için, bağlantı başlatmak istediğim makinamın terminale

nc 10.0.2.7 4444 | bu komut ile 10.0.2.7 makinamın 4444 portuna bağlantı talebi gönderiyorum.

Diğer makinama gelip

nc -lvp 4444 | komutu ile yukarda yapmış olduğum bağlantı talebini dinlemeye alıyorum.

Burada -lvp parametresi: l listening v verbos yani cıktı ver p de port anlamına gelmektedir.

Basitce Bu şekilde 2 sistem arasında bağlantı yaparak haberleşmeyi gerçekleştirir.

10-Unicornscan : bu araç hedef sistemde port taraması gerçekleştirir açık olan portları listeler. Bu araç Nmap aracına göre daha kısıtlı çalışma mantalitesine sahip. Kısaca kullanımı basit olarak şu şekilde:

apt-get install unicornscan | otomatik olarak yükler yüklü değil ise

unicornscan -h | kullanılan tüm parametreleri listeler, nmap kadar olmasada oldukca fazla parametreye sahipdir.

unicornscan 10.0.2.8 | tcp portları tarar

unicornscan -mU 10.0.2.8 | udp portları tarar

11-Rustscan : bu araç nmap gibi port taraması yapar açık olan portları verir, peki neden nmap varken bu aracı tercih edelim? Nmapin 10-20dk yaptığı taramayı rutscan 40-50sn’de yaptığını iddia ettiği için tercih ediliyor.

github üzerinden kurmamız gerekiyor. Kendiniz inceleyebilirsiniz linki bırakıyorum ve basitce kullanılan komutları belirteceğim. Installation Guide bölümünde kurulum hakkında detaylı bilgi bulunmakta. Github Linki:

https://github.com/RustScan/RustScan

rustscan -h | parametreleri görebilirsiniz.

rustcan -a 10.0.2.8 | basit kullanımı bu şekildedir.

*******************************************************************

Bilgi toplama işlemleri bukadardı, faydası olması ümidiyle başka yazılarda buluşmak üzere..

www.eyupturan.com

www.3dbabus.com

The post Sızma Testlerinde Bilgi Toplama (Keşif) first appeared on Eyüp TURAN | Siber Güvenlik Lab & Blog.

Bir ağın temel amacı, cihazlar arasında veri transferini hızlı, güvenli ve verimli bir şekilde gerçekleştirmektir. Ağlar, fiziksel bağlantılar (kablolu) veya kablosuz bağlantılar aracılığıyla oluşturulabilir. Fiziksel ağlar, bakır teller, fiber optik kablolar gibi iletim ortamlarını kullanırken, kablosuz ağlar radyo dalgaları, mikrodalgalar ve kızılötesi ışınlar gibi teknolojilere dayanır.

Ağlar, boyutlarına ve kapsadıkları alanlara göre farklı kategorilere ayrılır:

1 – Yerel Alan Ağı (LAN – Local Area Network): Küçük bir coğrafi alanı kapsayan ağlardır. Örneğin, bir ofis veya ev içindeki ağlar LAN olarak adlandırılır.

2 – Geniş Alan Ağı (WAN – Wide Area Network): Daha geniş bir coğrafi alana yayılan ağlardır. İnternet, dünya genelinde birçok LAN ve diğer ağları birbirine bağlayan devasa bir WAN örneğidir.

3 – Metropol Alan Ağı (MAN – Metropolitan Area Network): Bir şehir veya büyük bir kampüs gibi orta büyüklükteki alanları kapsayan ağlardır.

OSi Katmanı Nedir?

Open Systems Interconnection / OSİ – Açık Sistemler Bağlantısı) modeli, ağ iletişimini yedi farklı katmana ayırarak, bu katmanlar arasındaki etkileşimleri ve veri akışını tanımlayan bir referans modelidir. Uluslararası Standardizasyon Örgütü (ISO) tarafından geliştirilmiştir. Her katman, belirli ağ işlevlerini yerine getirir ve bir üst veya alt katmanla iletişim kurar. İşte OSI modelinin yedi katmanı ve her birinin işlevleri:

1. Fiziksel Katman (Physical Layer)
   • Görevi: Bitlerin fiziksel ortam üzerinden iletimini sağlar.
   • Detaylar: Elektriksel, mekanik ve prosedürel özellikleri tanımlar. Kablolar, konektörler, voltaj seviyeleri gibi fiziksel bağlantılar bu katmanda ele alınır.
2. Veri Bağlantı Katmanı (Data Link Layer)
   • Görevi: Fiziksel katman üzerinden hatasız veri iletimini sağlar.
   • Detaylar: Çerçeveleme, hata tespiti ve düzeltme, MAC (Medya Erişim Kontrolü) adresleme işlemleri bu katmanda gerçekleştirilir. Ethernet, Wi-Fi gibi teknolojiler bu katmanda çalışır.
3. Ağ Katmanı (Network Layer)
   • Görevi: Verinin bir ağdan diğerine yönlendirilmesini sağlar.
   • Detaylar: Yönlendirme, mantıksal adresleme (IP adresleme) ve paket iletimi işlemleri bu katmanda yapılır. İnternet Protokolü (IP) bu katmanda çalışır.
4. Taşıma Katmanı (Transport Layer)
   • Görevi: Uçtan uca iletişim sağlamak ve veri akışını yönetmek.
   • Detaylar: Bağlantı kurulumu, veri segmentasyonu, hata kontrolü ve akış kontrolü işlemleri bu katmanda gerçekleştirilir. TCP (Transmission Control Protocol) ve UDP (User Datagram Protocol) gibi protokoller bu katmanda çalışır.
5. Oturum Katmanı (Session Layer)
   • Görevi: Uygulamalar arasında oturumların kurulmasını, yönetilmesini ve sonlandırılmasını sağlar.
   • Detaylar: Oturum açma, kapama ve oturum süresince veri alışverişini yönetir. Oturum katmanı, iki cihaz arasındaki bağlantının sürekliliğini ve senkronizasyonunu sağlar.
6. Sunum Katmanı (Presentation Layer)
   • Görevi: Verinin sunumunu ve biçimlendirilmesini sağlar.
   • Detaylar: Veri şifreleme, veri sıkıştırma, veri formatlama işlemleri bu katmanda yapılır. Farklı veri formatlarının birbirine dönüştürülmesi de bu katmanda gerçekleşir.
7. Uygulama Katmanı (Application Layer)
   • Görevi: Kullanıcı uygulamalarının ağa erişimini sağlar.
   • Detaylar: E-posta, web tarayıcıları, dosya transfer protokolleri gibi uygulamalar bu katmanda çalışır. HTTP, FTP, SMTP gibi protokoller de bu katmanda yer alır.

OSI modeli, ağ iletişimini standardize ederek, farklı üreticilerin cihazlarının birbiriyle uyumlu çalışmasını sağlar. Ayrıca, ağ sorunlarının belirlenmesi ve çözülmesinde rehberlik eder. Bu model, ağ mühendisleri ve yöneticileri için temel bir referans noktasıdır.

Nedir Bu Mac Adresi ?

MAC adresi, ağ arayüzü kartlarının (NIC – Network Interface Card) benzersiz kimlik numarasıdır. Her ağ cihazı, üretici tarafından atanan ve dünya genelinde tek olan bir MAC adresine sahiptir. Bu adres, 48 bitlik (6 bayt) bir sayı olup, genellikle onaltılık (hexadecimal) formatta ifade edilir. MAC adresi şu şekilde görünür: 00:1A:2B:3C:4D:5E.

Bir MAC adresi, iki ana bölümden oluşur:

1. Üretici Kodu (OUI – Organizationally Unique Identifier): İlk 24 bit (ilk 3 bayt) üreticiyi tanımlar. Bu bölüm, IEEE (Institute of Electrical and Electronics Engineers) tarafından belirlenir.
2. Cihaz Tanımlayıcısı (Device Identifier): Son 24 bit (son 3 bayt) üretici tarafından atanan benzersiz bir numaradır.

MAC Adresinin İşlevi

MAC adresleri, veri bağlantı katmanında (OSI modelinin 2. katmanı) kullanılır ve aynı yerel ağdaki (LAN) cihazların birbirleriyle iletişim kurmasını sağlar. Ethernet, Wi-Fi ve diğer IEEE 802 ağ teknolojileri, cihazların veri çerçevelerini doğru alıcılara yönlendirebilmesi için MAC adreslerini kullanır.

Örneğin, bir bilgisayar bir ağ üzerinden bir veri paketi gönderdiğinde, paket hedef MAC adresini içerir. Ağ anahtarları (switch) bu adresi kullanarak paketi doğru cihaza iletir.

MAC Adresinin Önemi ve Kullanım Alanları

1. Ağ Güvenliği: MAC adresleri, ağ güvenlik politikalarının uygulanmasında önemli bir rol oynar. Birçok ağ yöneticisi, belirli MAC adreslerine erişim izni vererek ağ güvenliğini sağlar. Bu yöntem, cihazların kimliğini doğrulamak ve yetkisiz erişimi önlemek için kullanılır.
2. Ağ Yönetimi ve İzleme: Ağ yöneticileri, ağ trafiğini izlemek ve yönetmek için MAC adreslerini kullanır. Bu, ağ performansını optimize etmek, ağ sorunlarını tespit etmek ve çözmek için kritiktir. Örneğin, belirli bir cihazın ağda nerede bulunduğunu tespit etmek için MAC adresi kullanılır.
3. Ağ Adresi Çevirisi (NAT): NAT, bir ağdaki cihazların internet üzerinden iletişim kurmasını sağlarken, iç ağdaki MAC adreslerinin gizli kalmasını sağlar. Bu, ağ güvenliğini artırır ve IP adreslerinin korunmasına yardımcı olur.
4. Cihaz Tanımlama: Bazı ağ hizmetleri ve uygulamalar, cihazları tanımlamak ve eşleştirmek için MAC adreslerini kullanır. Örneğin, bir yönlendirici (router), bağlı cihazların MAC adreslerine göre IP adresleri atayabilir (DHCP rezervasyonu).

MAC Adresinin Sınırlamaları

Her ne kadar MAC adresleri ağ içindeki cihazların tanımlanması ve iletişimi için önemli olsa da, bazı sınırlamaları vardır. Örneğin, MAC adresleri sadece yerel ağlarda kullanılır ve yönlendiriciler tarafından internet üzerinden iletilmez. Ayrıca, bazı güvenlik tehditleri, MAC adresi sahtekarlığı (spoofing) yaparak ağ güvenliğini tehlikeye atabilir.

Subnet,IP Nedir – Subnetting İşlemi

Subnetting Nedir ve IP Alt Ağlara Bölme İşlemi
Subnetting (Alt Ağlara Bölme), bir IP adresini daha küçük parçalara bölmek ve bu parçaları farklı ağlara atamak için kullanılan bir yöntemdir. Bu işlem, ağın performansını artırmak, IP adres alanını daha verimli kullanmak ve güvenliği sağlamak amacıyla yapılır.
Bir IP adresi, ağın tanımlanması ve cihazın tanımlanması için iki bölüme ayrılır:

1. Network ID (Ağ Tanımlayıcı):
   • Aynı fiziksel ağdaki cihazların ortak numarasıdır.
   • IP adresinin ilk üç hanesi ile tanımlanır.
   • Örneğin, IP adresi 192.168.1.1 için Network ID 192.168.1.0 olur.
2. Host ID (Cihaz Tanımlayıcı):
   • Ağdaki cihazları gösterir ve onlara atanan numaradır.
   • IP adresinin son hanesi ile tanımlanır.

Subnetting’in Faydaları:

• Broadcast Trafik Kontrolü: Alt ağlar, ağdaki yayın trafiğini azaltır.
• Daha Sağlıklı İletişim: İletişimin daha düzenli ve etkili yapılmasını sağlar.

IP Adres Sınıfları:

• A Sınıfı: 1-126 aralığındaki IP adresleri. Varsayılan ağ maskesi 255.0.0.0.
• B Sınıfı: 128-191 aralığındaki IP adresleri. Varsayılan ağ maskesi 255.255.0.0.
• C Sınıfı: 192-223 aralığındaki IP adresleri. Varsayılan ağ maskesi 255.255.255.0.

Subnetting Hesaplama:

• Network ID’yi bulmak için IP adresi ve ağ maskesini ikilik sistemde AND işlemine tabi tutarız.
• Broadcast adresi, aynı anda ağdaki tüm cihazlara veri yollamak için kullanılır.

Routing Nedir?

Routing (Yönlendirme), bir topolojideki ağlar arasında en uygun yolları bulmayı içerir. En iyi yolun belirlenmesi, kriterlerin ve metriklerin tanımlanmasını gerektirir.

Yönlendirme, ağ trafiğinin etkin yönetimini sağlar ve veri paketlerinin en hızlı ve en güvenilir yoldan hedefe ulaşmasını temin eder. Yönlendirmenin başlıca işlevleri şunlardır:

1. Ağ Bağlantısı Sağlama: Farklı ağlar arasında bağlantı kurarak, cihazların birbirleriyle iletişim kurmasını sağlar. Örneğin, bir ev ağı ile internet arasındaki bağlantıyı yönlendirici sağlar.
2. Veri Akışını Optimize Etme: En uygun rotayı seçerek, veri paketlerinin en hızlı yoldan iletilmesini sağlar. Bu, ağ performansını artırır ve gecikmeleri en aza indirir.
3. Ağ Güvenliğini Artırma: Yönlendiriciler, ağ trafiğini denetleyebilir ve belirli kurallara göre veri paketlerini kabul edebilir veya reddedebilir. Bu, yetkisiz erişimleri engelleyerek ağ güvenliğini artırır.
4. Yük Dengeleme: Büyük ağlarda, trafiğin dengeli dağıtılmasını sağlar ve ağ tıkanıklıklarını önler. Bu, ağ kaynaklarının etkin kullanılmasına yardımcı olur.

Yönlendirme Türleri

Yönlendirme, farklı yöntemlerle gerçekleştirilebilir:

1. Statik Yönlendirme: Ağ yöneticileri tarafından manuel olarak yapılandırılır. Küçük ve basit ağlarda kullanışlıdır. Ancak, ağda değişiklik olduğunda manuel güncelleme gerektirir.
2. Dinamik Yönlendirme: Yönlendiriciler arasında otomatik olarak bilgi paylaşımı yaparak yönlendirme tablolarını günceller. Büyük ve karmaşık ağlarda daha etkilidir. OSPF (Open Shortest Path First), BGP (Border Gateway Protocol) ve RIP (Routing Information Protocol) gibi dinamik yönlendirme protokolleri kullanılır.

NAT (Ağ Adresi Çevirisi) Nedir?

Network Address Translation – NAT, aynı ağ içerisinde bulunan birden fazla cihazın aynı public IP’yi kullanarak internete erişebilmesini sağlayan yöntemdir.

NAT’in Çalışma Prensibi

Çalışma prensibi oldukça basittir. Bir yerel ağdaki cihazlar, özel IP adresleri (örneğin, 192.168.x.x veya 10.x.x.x gibi) kullanarak birbirleriyle iletişim kurar. Bu özel IP adresleri, internette yönlendirilemez ve sadece yerel ağ içinde geçerlidir. İnternete erişmek isteyen bir cihaz, yerel IP adresi ile NAT cihazına (yönlendirici) bir istek gönderir. NAT cihazı, bu isteği alır ve cihazın yerel IP adresini genel bir IP adresine çevirir. Böylece, internet trafiği genel IP adresi üzerinden yönlendirilir. Gelen yanıtlar, NAT cihazı tarafından tekrar yerel IP adresine çevrilerek ilgili cihaza iletilir.

NAT Türleri

NAT, farklı ihtiyaçlara ve senaryolara göre çeşitli türlerde uygulanabilir:

1. Statik NAT (Static NAT): Belirli bir yerel IP adresi, belirli bir genel IP adresine eşlenir. Bu, genellikle bir iç ağdaki belirli bir cihazın (örneğin, bir web sunucusu) sürekli olarak aynı genel IP adresi üzerinden erişilebilir olmasını sağlamak için kullanılır.
2. Dinamik NAT (Dynamic NAT): Yerel IP adresleri, kullanılabilir genel IP adres havuzundan rastgele seçilen IP adreslerine çevrilir. Dinamik NAT, genel IP adreslerinin verimli kullanılmasını sağlar ancak her cihaz için sabit bir genel IP adresi garanti etmez.
3. PAT (Port Address Translation) veya NAT Overload: Birden fazla yerel IP adresi, tek bir genel IP adresi üzerinden internete bağlanır. Bu yöntemde, her bağlantı için farklı port numaraları kullanılarak ayrım yapılır. PAT, sınırlı sayıda genel IP adresi kullanarak birçok cihazın internete bağlanabilmesini sağlar ve yaygın olarak kullanılan NAT türüdür.

NAT’in Avantajları

NAT, çeşitli avantajlar sunarak ağ yönetimini ve güvenliğini kolaylaştırır:

1. IP Adresi Tasarrufu: NAT, sınırlı sayıda genel IP adresi kullanarak birçok cihazın internete bağlanabilmesini sağlar. Bu, özellikle IPv4 adreslerinin tükenmeye başlamasıyla büyük önem kazanmıştır.
2. Güvenlik: NAT, yerel ağdaki cihazların IP adreslerini gizleyerek, dış dünyadan gelen doğrudan saldırılara karşı bir koruma katmanı oluşturur. İnternetten gelen istekler, NAT cihazı tarafından yönetildiği için yerel ağ cihazları doğrudan hedef alınamaz.
3. Kolay Yönetim: Yerel IP adreslerinin iç ağda yönetilmesi, ağ yöneticileri için esneklik ve kolaylık sağlar. IP adres değişiklikleri veya eklemeleri, NAT cihazında yapılacak basit yapılandırmalarla gerçekleştirilebilir.

NAT’in Sınırlamaları ve Zorlukları

Her ne kadar NAT birçok avantaj sunsa da, bazı sınırlamalar ve zorluklar da beraberinde gelir:

1. Uçtan Uca Bağlantılar: NAT, uçtan uca bağlantıları zorlaştırabilir. Özellikle, VoIP (Voice over IP) ve bazı P2P (Peer-to-Peer) uygulamaları, NAT cihazlarının arkasında çalışırken sorun yaşayabilir.
2. Performans: Büyük ağlarda, NAT cihazlarının performansı bir darboğaz oluşturabilir. Yüksek miktarda trafik yönlendirilirken, NAT cihazlarının işlem kapasitesi sınırlarına ulaşabilir.
3. Çift NAT (Double NAT): İki NAT cihazının arka arkaya kullanılması, bazı ağ hizmetlerinin ve uygulamalarının çalışmasını zorlaştırabilir. Bu durum, özellikle ev ağlarında ve ISP’ler tarafından sağlanan modemlerde sıkça görülür.

https://eyupturan.com

The post Network |Osi Modeli |Mac |Routing | NAT Nedir? first appeared on Eyüp TURAN | Siber Güvenlik Lab & Blog.

Nmap Nedir?

Nmap (Network Mapper), ağdaki bilgisayar sistemlerini ve ağ cihazlarını taramak için kullanılan güçlü bir açık kaynaklı ağ tarama aracıdır. Bilgisayar ağlarında keşif yapmak, güvenlik açıklarını belirlemek ve ağ performansını analiz etmek için yaygın olarak kullanılır. Ayrıca, sistem yöneticileri ve güvenlik uzmanları tarafından da sıklıkla tercih edilen bir araçtır.

Nmap’ın Temel Özellikleri

1. Ağ Keşfi ve Haritalama: Nmap, bir ağı tarayarak ağdaki tüm aktif cihazları (bilgisayarlar, sunucular, yazıcılar vb.) belirler ve bu cihazların IP adreslerini, açık portlarını ve çalışan servislerini listeler.
2. Port Taraması: Nmap, belirli bir IP adresinde hangi portların açık olduğunu ve hangi servislerin çalıştığını tespit etmek için kullanılır. Bu bilgiler, ağ güvenliği değerlendirmelerinde ve sistem yapılandırmalarının denetlenmesinde önemli rol oynar.
3. Versiyon Algılama: Nmap, hedef sistemlerde çalışan servislerin sürümlerini tespit edebilir. Bu, potansiyel güvenlik açıklarını belirlemek için önemli bir adımdır.
4. OS Algılama: Nmap, hedef sistemlerin işletim sistemini tahmin edebilir. Bu özellik, ağ üzerindeki cihazların yapılandırmasını ve güvenlik durumunu anlamak için kullanışlıdır.
5. Scripting ve NSE (Nmap Scripting Engine): Nmap, kullanıcıların kendi otomatik tarama ve keşif senaryolarını yazmalarına olanak tanıyan güçlü bir betik motoruna sahiptir. Bu, özelleştirilmiş tarama işlemleri ve güvenlik denetimleri için idealdir.
6. Hızlı ve Etkin Tarama: Nmap, çok hızlı ve etkin bir şekilde ağ taraması yapabilen optimize edilmiş bir araçtır. Farklı tarama teknikleri ve parametrelerle kullanıcı ihtiyaçlarına göre özelleştirilebilir.

Nmap Kullanımı

Nmap, komut satırı tabanlı bir araçtır ve çeşitli işletim sistemlerinde (Windows, Linux, macOS) çalışabilir. Temel kullanım senaryoları şunlardır:

Temel Tarama: Bir hedef IP adresini veya IP aralığını belirterek basit bir port taraması yapabilirsiniz:

nmap <hedef_IP_adresi veya IP_aralığı>

Detaylı Tarama: Tarama sonuçlarını daha detaylı olarak görmek için -v (verbose) seçeneği kullanılabilir:

nmap -v <hedef_IP_adresi veya IP_aralığı>

Port Belirtme: Belirli portları taramak için -p seçeneği kullanılabilir:

nmap -p 80,443 <hedef_IP_adresi veya IP_aralığı>

Servis Sürümü Algılama: -sV seçeneğiyle çalışan servislerin sürümlerini tespit edebilirsiniz:

nmap -sV <hedef_IP_adresi veya IP_aralığı>

İşletim Sistemi Algılama: -O seçeneğiyle hedef sistemlerin işletim sistemini tahmin edebilirsiniz:

nmap -O <hedef_IP_adresi veya IP_aralığı>

Betik Tabanlı Tarama: Nmap Scripting Engine (NSE) kullanarak özel betiklerle detaylı güvenlik taramaları yapabilirsiniz:

nmap --script <betik_adı> <hedef_IP_adresi veya IP_aralığı>

Nmap’ın Güvenlik Değerlendirmesi ve Kullanım Alanları

Nmap, aşağıdaki gibi çeşitli güvenlik değerlendirme senaryolarında kullanılabilir:

• Ağ Güvenliği Denetimleri: Ağ üzerindeki cihazların ve servislerin güvenlik durumunu değerlendirmek için Nmap kullanılabilir. Açık portlar ve çalışan servislerin sürüm bilgileri, olası güvenlik açıkları hakkında önemli ipuçları verebilir.
• Penetrasyon Testleri: Nmap, penetrasyon testleri sırasında ağda bulunan zayıf noktaları ve potansiyel güvenlik açıklarını tespit etmek için kullanılır. Sistem yöneticileri ve güvenlik uzmanları, saldırganların erişebileceği ağ saldırı vektörlerini anlamak için Nmap’ı kullanabilirler.
• Ağ Haritalama ve Envanter Yönetimi: Büyük ölçekli ağlarda, Nmap ağ topolojisi haritalama ve envanter yönetimi için kullanılabilir. Bu, ağ yöneticilerine hangi cihazların ağda bulunduğunu ve hangi hizmetlerin çalıştığını görsel olarak sunar.

Sonuç

Nmap, ağ güvenliği değerlendirmeleri ve ağ yapılandırmalarının denetlenmesi için güçlü ve esnek bir araçtır. Kullanımı geniş bir komut seti sunar ve çeşitli parametrelerle özelleştirilebilir. Ancak, Nmap’ı kullanırken yasal sorumlulukları ve ağ güvenliği politikalarını dikkate almak önemlidir.

Nmap Kullanımı bir başka post altında da değerlendirmiştim, inceleyebilirsiniz.

https://eyupturan.com

The post Nmap (Network Mapper) Nedir? Kullanımı first appeared on Eyüp TURAN | Siber Güvenlik Lab & Blog.

Hydra aracı Brute-Force saldırıları için kullanılan yazılımlardandır. Online olarak parola kırmaya yarayan bu araç Kali linux ile birlikte kurulu olarak gelmektedir. Birçok sisteme ftp, ssh, telnet, http, smtp, mysgl, nntp gibi sistemlere saldırı yapabilir. Hydra aracını şifre saldırılarında kullandığımız için bir wordlist oluşturmalı veya hazır wordlistler kullanılmalıdır.

1- Kali lunux için hydra kurulumu aşağıdaki gibi yapılmaktadır.

https://github.com/vanhauser-thc/thc-hydra 

GitHub reposuna gidilip klonlama işlemi yapılabilir.

2- Klonlama işleminden sonra “apt-get install hydra” komutu ile yükleyebilirsiniz.

3- Kurulum işlemi başarılı bir şekilde tamamlandıktan sonra “hydra -help” ile kullanılabilen komutları sıralayabiliriz.

TERMİNAL EKRANINDA İŞLEM YAPMAK

hydra <Username options> <Password options> <Options> <IP Address> <Protocol> kullanım şekline sahiptir.

Kullanımını incelediğimizde verilen kullanıcı adı bilgileri ve şifre wordlistimiz , ilgili IP adresimizin portunda brute force işlemini yapmaktadır.

• Kullanıcı adını biliyorsak ve bir FTP saldırısı yapmak istiyorsak kullanabileceğimiz komut satırı aşağıdaki gibidir:

“hydra -l msfadmin -P passwords.txt ftp://192.168.1.40 -V –f”

Komutlar:

-l Single username

-P Password

-V Verbose output

-f Stop on correct login

Oluşturulan kullanıcı adı listesi ile FTP saldırısı yapmak istiyorsak kullanabileceğimiz komut satırı aşağıdaki gibidir:

“hydra -L usernames.txt -P passwords.txt ftp://192.168.1.40 –t 16 -V –f”

Komutlar:

-L Username List

-t Limit concurrent connections

-V Verbose output

-f Stop on correct login

-P Password

• Bir SSH saldırısı yapmak istediğimizde kullanabileceğimiz komut satırı aşağıdaki gibidir:

“hydra -s 22 -L /usr/share/wordlists/rockyou.txt.gz

-P /usr/share/wordlists/rockyou.txt.gz 192.168.1.40 ssh”

Komutlar:

-s port the use

-L username list

-P Password

HYDRA ARACININ KULLANIMI

Terminal dışında kullanabileceğimiz bir arayüzüne sahip olan Hydra aracına Kali linux içinden ulaşabiliriz.

Kali Linuxda hydra olarak arama yaptıktan sonra hydra-graphical olan seçeneği seçip arayüzüne giriş yapıyoruz.

Target kısmında bulunan “Single Target” kısmı tek bir hedef IP üzerinden saldırı yapılacaksa kullanılır. “Target List” ise birden çok hedef IP lerimiz varsa liste halinde eklememizi sağlar. Port kısmını saldırıyı yapmak istediğimiz port olarak seçiyoruz. (Hedef makinede port açık olmalıdır.)

Passwords kısmı hydra için en önemli kısımlardan biridir. Username kategorisinde eğer kullanıcı adını biliyorsak ,yada bir kullanıcıadı listesi oluşturup kullanabilliriz. Password list kısmında kullanılmasını istediğimiz listeyi seçiyoruz. Hata almamak için “Try login as password” ve “Try empty password” seçeneklerini seçmekte fayda vardır.

Zaman aşımı ve proxy ayarlarımızı “Tuning” kategorisinden yapabilirsiniz.

“Specific” ayarlarını olduğu gibi bırakabilirsiniz.

Ayarları tamamladıktan sonra “Start” bölümünden başlatabilir ve stop diyerek durdurabilirsiniz.

www.eyupturan.com

The post Hydra ile Bruteforce Saldırısı Yapmak first appeared on Eyüp TURAN | Siber Güvenlik Lab & Blog.