Footprinting, halka açık kaynaklardan bir  sistem hakkında olabildiğince çok bilgi toplamanızı ifade eder.Pentest’in ilk adımı budur. Footprinting’i kullanmak, bilgisayar korsanına hedefin kullandığı yazılımlar vb. şeyler hakkında bilgi toplayarak hedefe sızmak için çeşitli yollar bulmasına yardımcı olur.
Etik Hackerların veya pentestçi’lerin, hedef hakkında önemli bilgileri toplamak için çeşitli araçlar ve teknikler kullanır. Tekniklerden bazıları, web arama hizmetleri, Google hacking, web arşivleri, whois aramaları ve daha fazlasını içerir.

                                                                                Windows Komut Satırı İle Bilgi Toplama

 

 

Windows işletim sistemi ping, tracert veya nslookup komutu gibi bilgi toplama için bilgisayar korsanlarına yardımcı olan birkaç komut satırı yardımcı programı sunmaktadır.

Ping, ana ulaşılabilirliği test etmek ve göndericiden alıcıya paketin gidiş-dönüş süresini saymak için kullanılan çok iyi bilinen ve güçlü bir yardımcı programdır. Bu yardımcı program ICMP protokolünü kullanır, bir hedefe ICMP istek paketleri gönderir ve yanıt bekler.

Tracert, belirli bir paketin yolunu izlemeye yardımcı olan bir komut satırı yardımcı programıdır.IP paketleri bir yönlendiriciden diğerine geçiş yaparak hedefe yönlendirilir. Her yönlendirici bir sonraki yönlendiriciyi belirlemek için yönlendirme tablosunu inceler. Tracert, her bir yönlendirici arasındaki gecikmeyi ve olası paket kayıplarını belirlemek için kullanılır. Bu bilgi, hedefe giden bağlantılardan birinde tıkanıklık veya başka bir sorun olup olmadığını belirlemek, yönlendirme sorunlarını teşhis etmek için kullanır,faydalı bir programdır.

Nslookup, İnternet sunucuları hakkında bilgi elde etmek için kullanılan bir ağ yardımcısı programdır. Adından da anlaşılacağı gibi, bu yardımcı program, Etki Alanı Ad Sistemini-Domain Name System (DNS) sorgulayarak etki alanları için ad sunucusu bilgilerini bulur . Örneğin www.google.com alan adının IP adresi DNS sunucularında tutulur.

Ping programının komutları:
-f: paket parçalanmasını yasaklar.
-l: çerçeve boyutunu ayarla
-n: gönderilecek yankı talebi sayısı
-i: TTL (yaşama süresi) değerini ayarlayın.

Normal bir komutla başlayacağız:


                                                                                                     ping www.google.com.tr

 

Ping komutu, hedefin IP adresini,  gönderilen, alınan ve kaybolan paketlerin sayısı gibi bazı ping istatistiklerini gösterecektir. Ayrıca gidiş dönüş sürelerini de gösterir.

Şimdi, maksimum çerçeve boyutunu tahmin edeceğiz, ancak komutu göstermeden önce çerçeve boyutu hakkında daha fazla konuşalım.
Çerçeve boyutu bayt olarak ölçülür ve uygulanan teknolojiye bağlı olarak minimum / maksimum değerlere sahiptir. Bir Ethernet LAN için minimum çerçeve boyutu 64 bayt ve maksimum çerçeve boyutu 1518 bayttır. Bir Token Ring LAN için minimum / maksimum sırasıyla 32 bayt / 16 kilobayttır (KB).
Maksimum çerçeve boyutu, maksimum iletim birimi (MTU) olarak da bilinir. Bir çerçeve MTU’dan daha büyük olduğunda, ağın MTU’sunu barındıracak şekilde Katman 3 protokolüyle parçalanır.
Min / max değerleri, kullanıcılarınızın mesaj trafiğinin daha hızlı ve doğru bir şekilde gitmesi gereken yere ulaşmasını sağlamanız için önemlidir.

 


                                                                                             Ping www.google.com -f -l 1500

 

Bu komutta birleştirmeyi ayarladık ve çerçeve boyutunu 1420’ye ayarladık.
“192.168.1.1” den paketin parçalanmış olduğunu söyleyen bir cevap geldi ve parçalanan paket yok oldu.Yani bu demektir ki paketimiz MTU değerinin üstünde.
Eğer hiçbir kayıp olmadan yanıt alırsanız o zaman paket henüz MTU değerine ulaşmamaştır.Şimdi MTU’nin değerini bulmak için değerlerle oynıyalım mesela 1400 gibi daha küçük bir değer seçelim.
Yaşam Süresi (TTL), bir bilgisayar veya ağdaki verilerin süresini veya ömrünü sınırlayan bir mekanizma. TTL, veriye eklenmiş veya veriye yerleştirilmiş bir sayaç veya zaman damgası tanımını alabilir. Hedefe ulaşmadan önce TTL “0” değerine ulaşırsa, yönlendirici paket kaybını ve sonsuz döngüleri önlemek için paketi yok eder.


                                                                                                      Ping www.google.com -i 3

Router “196.203.188.1”, bir ICMP hatası gönderdi (11 kez aştı) ve bu ileti hedefine ulaşmadan önce TTL’nin “0” ‘a ulaştığı ve router 196.203.188.1 tarafından atıldığı anlamına gelen “TTL süresi doldu” mesajı yolluyor.

 

Tracert programının komutları:

 

                                                                                                   tracert www.google.com

Bu komut (tracert), önceki komutumuz (ping) tarafından gönderilecek yankı isteklerinin sayısını ayarlayarak taklit edilebilinir.


                                                                                        ping www.google.com -i 3 -n 1

“196.203.188.1” ten bir cevap aldık. Sonra “216.58.198.4” e ulaşıncaya kadar TTL’yi 4’e yükseltiyoruz kısacası bütün IP adreslerini yazarsak, tracert komutunu taklit etmiş oluruz.

Nslookup programının kullanımı:

DNS kayıtları, sunucuların konumu ve türleri hakkında önemli bilgiler sağlar.

 

Kayıt türleri  ile ilgili açıklayıcı tablo:

 

     Record types                                Description  

  A                         Ana bilgisayarın IP adresini işaret eder

         MX                       Etki alanının posta sunucusuna işaret eder

             NS                          Ana bilgisayarın ad sunucusunu işaret eder

                                                        CNAME                  Conanical adlandırma, bir ana makineye takma ad vermeye izin verir

   SDA                                         Alan adı için yetki belirtiniz

SRV                                                           Hizmet kayıtları

              PTR                                     IP adresini bir ana makineye eşler

RP                                       Sorumluluk sahibi kişi

HINFO                                 Host bilgisi (CPU, OS)

     TXT                     Yapılandırılmamış metin kayıtları

 

Bir komut satırı açın ve nslookup yazın. Bu komut varsayılan sunucuyu ve adresini görüntüler.

 

Nslookup  etkileşimli modunda ekran görüntüsünde “>” görüyoruz.
set type=a yazarak kayıt türünü yapılandırabiliriz.

Yetkili olmayan bir yanıt döndü, çünkü cevap yerel makinenin sunucusu tarafından geldi, alan adının barındığı sunucu tarafından değil.

Şimdi set type=cname deneneyerek yetkili bir cevap aramalıyız.

 

Buradan,birinci ad sunucusunun IP adresini almak için “A” type i sıfırlayarak ve “a.ns.facebook.com” koyarak yapabilirsiniz.

Nihai notlar:
Analizi kolaylaştırmak için IP adreslerini, TTL’leri ve DNS bilgilerini yazmamız gerekiyor.
Ayrıca, pentestin sonunda raporlama yapılması önemlidir.

 

 

Siber Güvenlik Araştırmacısı,Siber İstihbarat

Ahmet Mersin

Siber Güvenlik Araştırmacısı,Siber İstihbarat

1 Comment

Saniye Nur · 23 Temmuz 2017 17:46 tarihinde

Eline sağlık başarılı..

Bir Cevap Yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Benzer yazılar

Bilgi Toplama

Sızma Testlerinde Bilgi Toplama

Bilgi Toplama Aşaması—-Kapsam Network IP aralığını bulmak Bulunan IP aralığındaki aktif sistemlerin tespiti Açık port ve erişim noktalarının tespiti İşletim sistemlerin tespiti Portlarda çalışan servislerin tespiti Network haritasının çıkartılması Hedef sistemin en iyi şekilde tanınmasıdır Daha fazlasını oku…