İki uç nokta
arasındaki hop'ları bulmak için çeşitli uygulamalar kullanılabilir.Bunlardan en
sık kullanılanı şüphesiz traceroute(linux/unix ortamlarda ) veya
tracert(windowsdaki eşdeğeri) araçlarıdır.Fakat bu araçlar UDP/ICMP
protokolleri ile çalıştığından bazı hop
noktalarında bu protokoller engellenmişse(genelde engellenmiştir) bize sağlıklı bilgi
vermeyecektir."*" işaretleri ile bize sonuç dönecektir.
Traceroute tool'una
alternatif olarak tcptraceroute aracı kullanılabilir.Tcptraceroute, hedef bir
IP adresinin belirli bir portuna TCP paketleri göndererek trace işlemini
gerçekleştirir.Fakat bunla da yaptığım çalışmalarda her ne kadar hedefe gitse
de arada firewall v.s bazı IP'leri göstermediğini farkettim.
Bunun için tüm bu
yöntemlerin dışında kurulan bir TCP oturumunun mevcut kanalı içerisinden trace
atmak en mantıklısı.Ve arada ne kadar hop varsa bunları
gösterebilmektedir.Bu yöntemle firewall/IPS gibi güvenlik cihazlarını da bypass
etmiş oluyorsunuz,çünkü açılmış bir tünel içerisinden hedefe gidiyorsunuz.Ayrıca trace attığınız uzak sistem önündeki firewall ile hedef sunucu arasında router olarak kullanılan ve
local IP'lere sahip cihazlar varsa bunlarda hop'lar içerisinden görüneceğinden
dolayı uzak sistem iç networkünde kullanılan local IP bilgilerinide elde etmiş olacağız.Local IP'ler de pentest işlemlerinde bizlere oldukça yardımcı olacaktır.
Kurulan bir TCP
oturumu içerisinden trace atmak için intrace veya 0trace kullanılabilir.0trace
aracı Linux backtrack sürümü üzerinde default geliyor ; fakat uzun bir süredir geliştirilmediği ve stabil olmadığı için
ben bunun yerine intrace aracını kullanmayı tavsiye ederim.Intrace indirmek
için burayı ziyaret edebilirsiniz.
Intrace ile trace
atmak için önceklikle intrace çalıştırıyoruz.Bunun için;
-h ile trace
atacağımız Remote IP adresini ve ardından Remote portunu belirtiyoruz.Bu IP ve
port TCP oturumunun kurulacağı Ip ve port adresidir.Intrace çalıştırdıktan
sonra telnet ile uzak sunucunun 8080 portuna bir TCP connection kurucağız ve
yukarıda status Press ENTER olduğunu göreceksiniz.
Şimdi uzak hostun
ilgili portuna telnet ile bağlanalım;
Şimdi TCP oturumu
kuruldu.Bunu netstat ile de görebilirsiniz.
Telnet ile oturumuda
kurduktan sonra başlattığımız intrace uygulamasında Press ENTER aktif olmuş
olması gerekiyor.Şimdi ENTER yaparak tüm hopları görebilirsiniz.Hope'lardan
dönen cevaplarda görüldüğü gibi ICMP time exceed.Buda bize gösteriyorki TCP
oturumu içersinden UDP paketleri gönderilerek trace atılmıştır.Ama kurulan Tcp
kanalından trace attığımız için sorun değil.Bilindiği gibi UDP cevap
mekanizmasına sahip olmadığı için burada da görülebileceği gibi geriye dönülen
cevaplar için ICMP'den yardım almış:)
ne işe yarıyor tam olarak şimdi bu ?
YanıtlaSil