NMAP yazılımını kullanarak, IP adresi bilinen bir cihazın işletim sistemi nasıl öğrenilir anlatmaya çalışacağım.
Yakın zaman önce, internet bağlantımda yavaşlama hissettim ve "acaba biri wireless üzerinden sızmış ve bağlantımı kullanıyor olabilirmi?" diye bir şüpheye kapıldım. Modemin arayüzüne bağlandım ve DHCP den alınmış IP adresleri listesine ulaştım. 6 adet IP görmek şüphelerimi artırdı :) Modem bazı IP lerin hostnamelerini çözebilmiş. Bir kaçını bu şekilde tespit ettim (2 telefon, 1 tablet, 1 Windows PC). Kendi Mac' imin MAC adresini de karşılaştırarak eşleştirdim. Geriye ne olduğu belli olmayan 1 IP kaldı. Aklıma bu cihazla ilgili bilgilere network üzerinden ulaşmak geldi. Tabi bunun ağıma sızmış biri olduğu fikrinin etkisi altındaydım. Biraz araştırınca NMAP toolunun varlığından haberdar oldum. Kısaca NMAP; networkler üzerinde çeşitli taramalar gerçekleştiren ve bulduğu sonuçları analiz edebilen, network yöneticileri tarafından sıklıkla kullanılan ve oldukça yetenekli bir yazılım.
Kullandığım bilgisayarda nmap kurulu değildi (Mac Os X MountainLion). Bende kurdum
brew install nmap
brew, Mac OS X için üçüncü parti bir paket yönetim sistemi. Bununla ilgili başka bir yazı yazabilirim, belki.
Nmap ile bir IP adresinin işletim sistemini öğrenmek için kullanacağımı parametre -O (büyük O harfi) dir. Bu parametreyi kullanacağımız zaman Nmap bize root haklarına sahip olmamız gerektiğini söylüyor.
TCP/IP fingerprinting (for OS scan) requires root privileges. QUITTING!
Mac OS X'te (en azından MountainLion'da) konsoldan root olabilmek default olarak açık değil. Kendiniz açmanız gerekiyor. Bunula ilgili de bir yazı yazmam iyi olacak sanırım. Şimdilik devam edelim.
aliaydin@Alis-MacBook-Air.local:~$ su - Password:
ile root olduk. Nmap'in -O parametresine ek olarak -v parametresini, işlem sırasında daha fazla bilgi almak için kullanıyoruz. Üçüncü parametre ise araştıracağımız IP adresi.
Alis-MacBook-Air:~ root# nmap -O -v 10.0.0.104
Starting Nmap 6.40 ( http://nmap.org ) at 2014-01-13 04:17 EET
Initiating ARP Ping Scan at 04:17
Scanning 10.0.0.104 [1 port]
Completed ARP Ping Scan at 04:17, 0.01s elapsed (1 total hosts)
Initiating Parallel DNS resolution of 1 host. at 04:17
Completed Parallel DNS resolution of 1 host. at 04:17, 0.08s elapsed
Initiating SYN Stealth Scan at 04:17
Scanning 10.0.0.104 [1000 ports]
Discovered open port 1234/tcp on 10.0.0.104
Discovered open port 1051/tcp on 10.0.0.104
Discovered open port 5679/tcp on 10.0.0.104
Discovered open port 5678/tcp on 10.0.0.104
Completed SYN Stealth Scan at 04:17, 0.30s elapsed (1000 total ports)
Initiating OS detection (try #1) against 10.0.0.104
Nmap scan report for 10.0.0.104
Host is up (0.0032s latency).
Not shown: 996 closed ports
PORT STATE SERVICE
1051/tcp open optima-vnet
1234/tcp open hotline
5678/tcp open rrac
5679/tcp open activesync
MAC Address: 18:2D:C1:67:F3:1A (AirTies Wireless Networks)
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.36 - 2.6.37, Linux 2.6.37
Uptime guess: 0.524 days (since Sun Jan 12 15:43:38 2014)
Network Distance: 1 hop
TCP Sequence Prediction: Difficulty=200 (Good luck!)
IP ID Sequence Generation: All zeros
Read data files from: /usr/local/bin/../share/nmap
OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 2.29 seconds
Raw packets sent: 1020 (45.626KB) | Rcvd: 1016 (41.354KB)
Çıktıyı yorumlamaya çalışayım. Nmap, cihazın MAC ID'sinden AirTies marka olduğu sonucuna vardı. Bunu görünce farkına vardım ki, bu bizim TiViBu kutusunun IP adresi :) Ama unutmayın, güvenlik konusunda şüpheci olmak herzaman iyidir. Nmap hangi portların açık olduğunu, işletim sisteminin Linux olduğunu (kernel 2.6.X), hatta ne kadar süretir açık olduğunu (guess dediğine göre tahminen) söyledi. Aynı komutu, benim IPad'in IP si için çalıştırdığımda, işletim sistemi ile ilgili bilgi aşağıdaki gibi geliyor.
MAC Address: mac id işte (Apple) Device type: media device|phone Running: Apple iOS 4.X|5.X|6.X OS CPE: cpe:/o:apple:iphone_os:4 cpe:/a:apple:apple_tv:4 cpe:/o:apple:iphone_os:5 cpe:/o:apple:iphone_os:6 OS details: Apple Mac OS X 10.8.0 - 10.8.3 (Mountain Lion) or iOS 4.4.2 - 6.1.3 (Darwin 11.0.0 - 12.3.0) Uptime guess: 10.314 days (since Thu Jan 2 20:54:28 2014)
Görüldüğü gibi oldukça başarılı. Nmap' in sayfasında şöyle bir ifade geçiyor; "Nmap'in en çok tanınan özelliği, TCP/IP parmak izlerinden işletim sistemini tespit etmesidir". Verilen IP adresine çeşitli paketler yollayıp gelen sonuca göre en iyi tahminini yapıyor. Tabiki %100 tespit edecek diye bir sonuca varmamak gerekir. Bazı spesifik cihazları, yada bu tür taramalara karşı özellikle engellenmiş bir cihaz hakkında çok az yada hiç bilgi alamayabiliriz.
İlerleyen zamanlarda Nmap ile ilgili daha çok araştırma yapmayı planlıyorum, öğrendikçe bloguma da yazacağım.
Görüşmek üzere
Hiç yorum yok:
Yorum Gönder