PORT NEDİR, PORT SCANNER ve ÇEŞİTLERİ
Günümüz dünyasında birçok işletim sistemi birden fazla programın aynı anda çalışmasına izin vermektedir. Bu programlardan bazıları dışarıdan gelen istekleri (istemci-client/ request) kabul etmekte ve uygun gördüklerine cevap (sunucuserver/response) vermektedir. Sunucu programları çalışan bilgisayarlara birer adres verilir ( IP adresleri) ve bu adresler kullanılarak istenilen bilgisayarlara ulaşılır. Ulaşılan bu bilgisayar üzerindeki hangi sunucu programdan hizmet almak istendiği belirlemek ise portlar sayesinde sağlanır. ve her birine, adresleyebilmek için pozitif bir sayı verilir (port numarası) ama bunlar makinenizin arkasındaki LPT ve COM portları değildir bu nette bağlandığınız anda aktif olan soyut bağlantı noktalarıdır örnek uzak bir yerdeki bir yere telefon açmak için oranın alan kodunu çevirmeniz gerekir 0216 gibi ilk alan kodu tuşlandıktan sonra sistem aramaya müsait olur yani kanal açılır işte port ta bunun gibidir bir şeyi çalıştırmadan önce onu kullanabilmeniz için önce alan kodunu açmanız gerekir
Bazı sunucu programları, daha önce herkes tarafından bilinen portlardan hizmet verirken (örn:telnet->23. port) MSN portu vs bazıları da sunucu programını çalıştıran kişinin türüne ve isteğine göre değişik portlardan hizmet verir. Dolayısıyla, ağ üzerindeki herhangi bir sunucu programa bağlanmak istenildiğinde, programın çalıştığı bilgisayarın adresinin yanında istekleri kabul ettiği port numarasını da vermek gerekir.peki vermezsek yada karşı tarafta istediğimiz port kapalıysa ne olur ? tabiki bağlanamayız yani IP bilmek tek başına bir şey değildir Port numarası genellikle 2 byte olarak tutulur. Bu nedenle 6555 adet port Vardır Genellikle 1024ten küçük olan port numaraları özel hakları olan kullanıcılar (root) tarafından kullanılırken, büyük olanlar genel kullanıma açıktır. Port Scannerler ise varolan bu portlar otomatik olarak tarayan yazılımlardır. Scan işleminin birçok çeşidi vardır. Bu çeşitler, hacker ve hacking yöntemlerine karşı koymak için geliştirilen yöntem ve tekniklerin gelişimi ile doğru orantılı olarak artmıştır.
Temel Port Scan türleri aşağıda verilmiştir:
1. TCP Connect Scan
2. TCP SYN Scan
3. TCP FIN Scan
4. SYN/FIN scanning using IP fragments (bypasses packet filters)
5. TCP Xmas Tree Scan
6. TCP Null Scan
7. TCP ACK Scan
8. TCP ftp proxy (bounce attack) scanning
9. TCP Windows Scan
10. TCP RPC Scan
11. UDP Scan
12. Ident Scan
Fakat bu Scan çeşitleri anlatılmadan önce konunun daha iyi anlaşılması için bilgisayarların İnternet üzerinden bir birleri ile bağlantısını sağlayan bir dizi ağ protokolü olan Transmission Control Protocolnün TCP nin nasıl çalıştığı incelenmelidir. Kısa olarak TCP oturumu, ilk olarak, bir sunucu bilgisayardan servis isteyecek diğer bilgisayar (istemci), bağlantı kurmak istediğini göstermek için SYN bayrağı kalkık(set) paketini, sunucu bilgisayara gönderir. Bu paketi alan sunucu SYN paketi aldığını ve bağlantı isteğini onayladığını yine SYN bayrağı kaldırılmış(set) paketi (SYN-ACK paketi) istemci bilgisayara gönderir. Üçüncü aşamada ise sunucu bilgisayarın gönderdiği SYN-ACK paketini alan istemci bilgisayar sunucuya bu paketi aldığını bildiren bir paket gönderir(ACK)
TCP Connect Scan
Bu tarama yukarıda bahsi geçen oturum açma işlemini tamamıyla yapar ve oturum açıldığında bağlantıyı kesip bize portun açık olduğu bilgisini verir. Bu tarama türünün iyi yanı, oturumun açık olduğunu bire bir test etmesi olduğu gibi kötü tarafı da karşı sistemin açılan bütün oturumları kaydetmesi durumunda oturum açma isteğini gönderen tarafın IP bilgisin karşı sistemin veri tabanında yerini almış olmasıdır. Sadece zorunlu durumlarda yada emin olunması gereken durumlarda risk alınarak yapılan bir tarama türüdür fakat kesin sonuç verir.
TCP SYN Scan
Yukarıda bahsi geçen riski almamamız için oturumu açmadan taramamız gerekir. Bu tarama türü yarı-açık tarama olarak ta anılır. Sebebi yukarıda anlatılan oturum açma işleminin ilk 2 aşaması olan SYN bayraklı paketi gönderme ve SYN/ACK bayraklı paketi alma işlemini başarıyla yapmasına rağmen ardından RST/ACK bayraklı bir paket göndererek oturumun açılmasını reddetmesidir. Portun açık olduğu sonucuna SYN/ACK bayraklı paketi alındığında karar verilir. RST/ACK bayraklı paket oturumun resetlenmesi için gönderilen pakettir. Böylece oturum açılmadığından kayıtlara geçme ihtimalimiz azalır.
TCP FIN Scan
Eğer bir port oturum açma işlemlerini kullanmadan taramak istiyorsak kullanabileceğimiz yöntemlerden biri FIN taramadır. Eğer bir sistemin portlarından birine FIN bayraklı bir paket gönderilirse RFC793'e göre sistem kapalı olan portlar icin RST cevabı gonderir. Bize de açık olan portların bilgisi kalır.
SYN/FIN Scanning Using IP Fragments
Bu Scan tip aslıda yeni bir yöntem değildir. SYN ve FIN yöntemlerinin geliştirilmiş bir türüdür. Bu yöntemde bir araştırma paketi göndermek yerine paketi daha küçük iki üç IP fragmenti olarak gönderilir. Kısaca TCP paketlerinin başlıklarını paket filtreleşicilerinin işini zorlaştırmak ve yapılan işin anlaşılmaması için çeşitli paketlere bölmektir.
TCP Xmas Tree Scan
Noel ağacı anlamına gelen bu tarama türünde hedef sistemin portuna FIN No
more data from sender, URG Urgent Pointer field significant ve PUSH Push
Function flaglı paket gönderilir ve kapalı olan portlardan RFC 793'e göre RST
cevabı beklenir. Cevapsızlar yine açık portlardır. TCP Null Scan Bu tarama türü ise Xmas Tree'nin tersine hiçbir bayrak taşımayan bir paket gönderir. RFC 793'e göre sistemin kapalı olan portlarından RST cevabı gelir. TCP ACK Scan Bu tip taramada temel mantık statik yada dinamik paket filtreleme de firewall'ların bağlantıyı ilk başlatan tarafı hatırlayamamasıdır. Bazı firewall'ların onaylanmış bağlantılara izin verdiğini de düşünürsek bu ACK Acknowledgment field significant paketin firewall yada routerların içinden engellenmeden geçmesi ve hedefe ulaşması mümkün olabilir. Bu şekilde Firewall'ları bypass ederek hedefe ulaşıp hedefin portlarını tarama şansı kazanırız.
TCP Ftp Proxy (Bounce Attack) Scanning RFC 959 tanımına göre ftp protokolünün dikkat çekici bir özelliği de proxy ftp bağlantısına izin vermesidir. Bu tür scan tipi ise bu özelliğin yarattığı açığı kullanır. Çünkü bu özellik hacker.comdan, kurba.comun FTP server-PI (protocol interpreter) aracılığı ile kontrol haberleşme bağlantısı kurulabilir. Bu bağlantı sayesinde, server-PIe ağdaki her hangi bir yere dosya yollayabilecek server-DTP (data transfer process) isteği aktif edilebilir. Bu açık özellikle firewall arkasında bağlı bulunan bir ftpya bağlandığımız zaman sunucuya kendi portlarını taratması sağlandığı için çok
tehlikeli bit tarama türüdür. Çünkü firewall baypas edilmiş olur.
TCP Windows Scan
Bu scan türü TCP Windows Scan raporlarındaki kusurları dikkate alarak bazı
işletim sistemlerinde portların açık olup olmadığını yada filtreli olup olmadığını
kontrol eder.
TCP RPC Scan
Bu tarama yöntemiyle RPC (Remote Procedure Call - Uzak işlem çağrıları)
portlarından çalışan işlemleri ve sürümlerini anlama şansımız olabilir.
UDP Scan Bu teknik hedef porta udp paketi göndererek kapalı olan porttan "ICMP port
unreachable" mesajının alınması temeline dayanır. Eğer bu mesaj gelmezse portun
açık olduğu anlaşılır. Bu işlemi yaparken oldukça yavaş davranmak gerekir. Özellikle
de yoğun işlemlerin olduğu bir filtreleme cihazının üzerinden scan yaparken.
Ident Scan RFC 1413'te tanımlanmış bir protokol olan Ident protokolü üzerine inşa edilen
bir tarama türüdür. Diğer taramalar ile birlikte kullanılır. Hedef sistem üzerinde
Identd aktif ise sistemde çalışan servislerin tam listesine ve bu servisleri çalıştıran
kullanıcıların isimlerine ulaşılması için yapılır. Identd aktif durumda değil ise bu
tarama türü işlevsiz olmaktadır. Bunlar sadece bir port scannerın nasıl çalıştığını göstermek için verilmiştir. Bunları manuel yapmanız asla gerekmez
Günümüz dünyasında birçok işletim sistemi birden fazla programın aynı anda çalışmasına izin vermektedir. Bu programlardan bazıları dışarıdan gelen istekleri (istemci-client/ request) kabul etmekte ve uygun gördüklerine cevap (sunucuserver/response) vermektedir. Sunucu programları çalışan bilgisayarlara birer adres verilir ( IP adresleri) ve bu adresler kullanılarak istenilen bilgisayarlara ulaşılır. Ulaşılan bu bilgisayar üzerindeki hangi sunucu programdan hizmet almak istendiği belirlemek ise portlar sayesinde sağlanır. ve her birine, adresleyebilmek için pozitif bir sayı verilir (port numarası) ama bunlar makinenizin arkasındaki LPT ve COM portları değildir bu nette bağlandığınız anda aktif olan soyut bağlantı noktalarıdır örnek uzak bir yerdeki bir yere telefon açmak için oranın alan kodunu çevirmeniz gerekir 0216 gibi ilk alan kodu tuşlandıktan sonra sistem aramaya müsait olur yani kanal açılır işte port ta bunun gibidir bir şeyi çalıştırmadan önce onu kullanabilmeniz için önce alan kodunu açmanız gerekir
Bazı sunucu programları, daha önce herkes tarafından bilinen portlardan hizmet verirken (örn:telnet->23. port) MSN portu vs bazıları da sunucu programını çalıştıran kişinin türüne ve isteğine göre değişik portlardan hizmet verir. Dolayısıyla, ağ üzerindeki herhangi bir sunucu programa bağlanmak istenildiğinde, programın çalıştığı bilgisayarın adresinin yanında istekleri kabul ettiği port numarasını da vermek gerekir.peki vermezsek yada karşı tarafta istediğimiz port kapalıysa ne olur ? tabiki bağlanamayız yani IP bilmek tek başına bir şey değildir Port numarası genellikle 2 byte olarak tutulur. Bu nedenle 6555 adet port Vardır Genellikle 1024ten küçük olan port numaraları özel hakları olan kullanıcılar (root) tarafından kullanılırken, büyük olanlar genel kullanıma açıktır. Port Scannerler ise varolan bu portlar otomatik olarak tarayan yazılımlardır. Scan işleminin birçok çeşidi vardır. Bu çeşitler, hacker ve hacking yöntemlerine karşı koymak için geliştirilen yöntem ve tekniklerin gelişimi ile doğru orantılı olarak artmıştır.
Temel Port Scan türleri aşağıda verilmiştir:
1. TCP Connect Scan
2. TCP SYN Scan
3. TCP FIN Scan
4. SYN/FIN scanning using IP fragments (bypasses packet filters)
5. TCP Xmas Tree Scan
6. TCP Null Scan
7. TCP ACK Scan
8. TCP ftp proxy (bounce attack) scanning
9. TCP Windows Scan
10. TCP RPC Scan
11. UDP Scan
12. Ident Scan
Fakat bu Scan çeşitleri anlatılmadan önce konunun daha iyi anlaşılması için bilgisayarların İnternet üzerinden bir birleri ile bağlantısını sağlayan bir dizi ağ protokolü olan Transmission Control Protocolnün TCP nin nasıl çalıştığı incelenmelidir. Kısa olarak TCP oturumu, ilk olarak, bir sunucu bilgisayardan servis isteyecek diğer bilgisayar (istemci), bağlantı kurmak istediğini göstermek için SYN bayrağı kalkık(set) paketini, sunucu bilgisayara gönderir. Bu paketi alan sunucu SYN paketi aldığını ve bağlantı isteğini onayladığını yine SYN bayrağı kaldırılmış(set) paketi (SYN-ACK paketi) istemci bilgisayara gönderir. Üçüncü aşamada ise sunucu bilgisayarın gönderdiği SYN-ACK paketini alan istemci bilgisayar sunucuya bu paketi aldığını bildiren bir paket gönderir(ACK)
TCP Connect Scan
Bu tarama yukarıda bahsi geçen oturum açma işlemini tamamıyla yapar ve oturum açıldığında bağlantıyı kesip bize portun açık olduğu bilgisini verir. Bu tarama türünün iyi yanı, oturumun açık olduğunu bire bir test etmesi olduğu gibi kötü tarafı da karşı sistemin açılan bütün oturumları kaydetmesi durumunda oturum açma isteğini gönderen tarafın IP bilgisin karşı sistemin veri tabanında yerini almış olmasıdır. Sadece zorunlu durumlarda yada emin olunması gereken durumlarda risk alınarak yapılan bir tarama türüdür fakat kesin sonuç verir.
TCP SYN Scan
Yukarıda bahsi geçen riski almamamız için oturumu açmadan taramamız gerekir. Bu tarama türü yarı-açık tarama olarak ta anılır. Sebebi yukarıda anlatılan oturum açma işleminin ilk 2 aşaması olan SYN bayraklı paketi gönderme ve SYN/ACK bayraklı paketi alma işlemini başarıyla yapmasına rağmen ardından RST/ACK bayraklı bir paket göndererek oturumun açılmasını reddetmesidir. Portun açık olduğu sonucuna SYN/ACK bayraklı paketi alındığında karar verilir. RST/ACK bayraklı paket oturumun resetlenmesi için gönderilen pakettir. Böylece oturum açılmadığından kayıtlara geçme ihtimalimiz azalır.
TCP FIN Scan
Eğer bir port oturum açma işlemlerini kullanmadan taramak istiyorsak kullanabileceğimiz yöntemlerden biri FIN taramadır. Eğer bir sistemin portlarından birine FIN bayraklı bir paket gönderilirse RFC793'e göre sistem kapalı olan portlar icin RST cevabı gonderir. Bize de açık olan portların bilgisi kalır.
SYN/FIN Scanning Using IP Fragments
Bu Scan tip aslıda yeni bir yöntem değildir. SYN ve FIN yöntemlerinin geliştirilmiş bir türüdür. Bu yöntemde bir araştırma paketi göndermek yerine paketi daha küçük iki üç IP fragmenti olarak gönderilir. Kısaca TCP paketlerinin başlıklarını paket filtreleşicilerinin işini zorlaştırmak ve yapılan işin anlaşılmaması için çeşitli paketlere bölmektir.
TCP Xmas Tree Scan
Noel ağacı anlamına gelen bu tarama türünde hedef sistemin portuna FIN No
more data from sender, URG Urgent Pointer field significant ve PUSH Push
Function flaglı paket gönderilir ve kapalı olan portlardan RFC 793'e göre RST
cevabı beklenir. Cevapsızlar yine açık portlardır. TCP Null Scan Bu tarama türü ise Xmas Tree'nin tersine hiçbir bayrak taşımayan bir paket gönderir. RFC 793'e göre sistemin kapalı olan portlarından RST cevabı gelir. TCP ACK Scan Bu tip taramada temel mantık statik yada dinamik paket filtreleme de firewall'ların bağlantıyı ilk başlatan tarafı hatırlayamamasıdır. Bazı firewall'ların onaylanmış bağlantılara izin verdiğini de düşünürsek bu ACK Acknowledgment field significant paketin firewall yada routerların içinden engellenmeden geçmesi ve hedefe ulaşması mümkün olabilir. Bu şekilde Firewall'ları bypass ederek hedefe ulaşıp hedefin portlarını tarama şansı kazanırız.
TCP Ftp Proxy (Bounce Attack) Scanning RFC 959 tanımına göre ftp protokolünün dikkat çekici bir özelliği de proxy ftp bağlantısına izin vermesidir. Bu tür scan tipi ise bu özelliğin yarattığı açığı kullanır. Çünkü bu özellik hacker.comdan, kurba.comun FTP server-PI (protocol interpreter) aracılığı ile kontrol haberleşme bağlantısı kurulabilir. Bu bağlantı sayesinde, server-PIe ağdaki her hangi bir yere dosya yollayabilecek server-DTP (data transfer process) isteği aktif edilebilir. Bu açık özellikle firewall arkasında bağlı bulunan bir ftpya bağlandığımız zaman sunucuya kendi portlarını taratması sağlandığı için çok
tehlikeli bit tarama türüdür. Çünkü firewall baypas edilmiş olur.
TCP Windows Scan
Bu scan türü TCP Windows Scan raporlarındaki kusurları dikkate alarak bazı
işletim sistemlerinde portların açık olup olmadığını yada filtreli olup olmadığını
kontrol eder.
TCP RPC Scan
Bu tarama yöntemiyle RPC (Remote Procedure Call - Uzak işlem çağrıları)
portlarından çalışan işlemleri ve sürümlerini anlama şansımız olabilir.
UDP Scan Bu teknik hedef porta udp paketi göndererek kapalı olan porttan "ICMP port
unreachable" mesajının alınması temeline dayanır. Eğer bu mesaj gelmezse portun
açık olduğu anlaşılır. Bu işlemi yaparken oldukça yavaş davranmak gerekir. Özellikle
de yoğun işlemlerin olduğu bir filtreleme cihazının üzerinden scan yaparken.
Ident Scan RFC 1413'te tanımlanmış bir protokol olan Ident protokolü üzerine inşa edilen
bir tarama türüdür. Diğer taramalar ile birlikte kullanılır. Hedef sistem üzerinde
Identd aktif ise sistemde çalışan servislerin tam listesine ve bu servisleri çalıştıran
kullanıcıların isimlerine ulaşılması için yapılır. Identd aktif durumda değil ise bu
tarama türü işlevsiz olmaktadır. Bunlar sadece bir port scannerın nasıl çalıştığını göstermek için verilmiştir. Bunları manuel yapmanız asla gerekmez