Saldırganların DDoS (Distributed Denial of
Service - Dağıtık Hizmet Dışı Bırakma) saldırılarının etkisini arttırmak için DNS
ve NTP sunucularından sonra SNMP protokolünü de kullanmaya başladıklarını
görüyoruz.
DDoS saldırının etkisi yükseltmek için sadece
DNS, NTP veya SNMP kullanılmayabilir. İstek göndermeye imkan veren, bu isteğin
gönderildiği IP adresini denetleyemeyen ve isteğe oranla daha büyük bir paketle
cevap veren bütün protokol ve sunucular DDoS saldırılarının etkisi arttırmak
(DDoS amplification) için kullanılabilir.
SNMP protokolünün DDoS saldırılarında nasıl
kullanıldığını anlatan sayısız makaleden birini okurken aklıma temel sızma
eğitimi testlerinde gösterilen SNMP üzerinden bilgi alma yöntemleri geldi.
SNMP (Simple Network Management Protocol), ağ üzerindeki cihazlardan bilgi toplamak için kullanılan bir protokoldür. Sunuculardan switchlere, routerlardan yazıcılara kadar ağ üzerinde bulunan pek çok cihaza ait bilgilerin kolayca toplanmasına imkan veren bir protokoldür.
Şekil 1: Nijerya'da SNMP ile bilgi paylaşan bir cihaz (temsili)
Hedefi bulmak
Bu yazıyı hazırlamak için “uzak bir ülkeyi” tercih ettim. Bu işlemi sadece bilgi toplamak için ve hali hazırda paylaşmadıkları bilgilere ulaşmak için yaptığımdan vicdanım rahat. Nijerya’da IP adreslerini seçmiş olmam ise vicdanımı, nedense, bir miktar daha rahatlatıyor.
Eski dostumuz Google’a “Nijerya’daki internet
servis sağlayıcılarına atanmış IP adreslerini” sordum. Aşağıdaki listeye
ulaştım.
Şekil 2: Nijerya'daki internet servis sağlayıcılarına tahsis edilmiş IP adresleri
SNMP Bulmak
SNMP genelde 161 numaralı UDP portunda
çalıştığı için NMAP kullanarak tespit etmek oldukça kolay oldu. Aşağıdaki
komutta verdiğim IP aralığına UDP taraması (-sU) yapılmasını ve sadece 161
numaralı portun test edilmesini (-p161) istedim.
Şekil 3: NMAP ile SNMP hizmeti tespit etmek
Bu IP aralığında UDP 161 portu açık olan
birkaç makine buldum ve içlerinden birine daha yakından bakmaya karar verdim.
Yüzaltmışbir
SNMP konusunda yakından bakmak için
kullanılabilecek araçlardan birisi OneSixtyOne’dir. OneSixtyOne Kali Linux ile
birlikte gelmektedir, ancak bunu ayrıca yüklemek isterseniz https://labs.portcullis.co.uk/tools/onesixtyone/
adresinden de indirebilirsiniz.
Gördüğünüz gibi bazı parametreleri
ayarlamamıza imkan veren bir komut satırı var.
Şekil 4: Onesixtyone
Bizim için en önemli olanlar "–c" ile
belirttiğimiz sözlük (denenecek “community” isimlerinin listesi) ve "–i" ile
belirttiğimiz hedeflerdir. Sıkça kullanılan SNMP community isimlerinin
listelerini internette kolayca bulabilirsiniz.
OneSixtyOne
bize bu cihazın Cisco marka olduğu bilgisini veriyor. Bunun yanında yazılım
sürümü ve tarihi hakkında da bilgi ediniyoruz.
Şekil 5: Onesixtyone çıktısı
SNMP ile bilgi almak için kullanabileceğimiz
bir diğer araç ise snmpcheck’tir. Snmpcheck Kali Linux üzerinde bulunmaktadır
ancak özünde Perl dilinde yazılmış bir betik’tir (bkz. Script), kaynak koduna http://www.nothink.org/codes/snmpcheck/snmpcheck-1.8.pl
adresinden ulaşabilirsiniz.
Şekil 6: snmpcheck
Snmpcheck ile bulduğumuz hedefe bakıyoruz.
Şekil 7: snmpcheck çıktısı
Snmpcheck bize, SNMP hizmetinin 106 gündür
ayakta olduğu, bu cihazla ilgili iletişime geçebileceğimiz Ağ Operasyon
Merkezinin (Network Operation Center -
NOC) adresini ve telefon numarası gibi ek bilgiler veriyor.
Bunların yanında snmpcheck kullanarak elde edilen
önemli bilgiler var.
Şekil 8: snmpcheck çıktısında arayüz, IP adresi ve VLAN bilgileri
Cihazın arayüz bilgileri, IP adresi, bağlantı
hızı, VLAN bilgisi gibi bilgilerin ulaşılabilir olduğu görülmektedir.
Şekil 9: snmpcheck çıktısı (devamı) cihaz üzerindeki aktif TCP ve UDP bağlantıları
SNMP dost mu, düşman mı?
Görüldüğü gibi ağınızda açık olabilecek SNMP
hizmeti saldırganlar tarafından başka hedeflere DDoS saldırısı yapmak için ve
ağ yapınız hakkında önemli bilgilere ulaşmak için kullanılabilir.
Her iki
duruma da imkan vermemek için ilk yapılması gereken şey ağınızdaki açık SNMP
hizmetlerinin listesini çıkartmak olacaktır. Bu sayede ihtiyacınız olmadığı halde
açık olan hizmetleri tespit edip kapatabilirsiniz. SNMP hizmetine gerçekten
ihtiyaç duyduğunuz noktalarda ise cihaz üreticilerinin tavsiye ettiği güvenlik
önlemlerini almanızda fayda var.
No comments:
Post a Comment