BÖLÜM 2 Ağ Üzerinden Başka Bilgisayara Bağlanma

  Laboratuvarlar

• Lab 2.1 Ağ İletişim Analizi

Lab 2.1w Windows’ta Ağ İletişim Analizi

Lab 2.1 Analiz Soruları

Lab 2.1 Anahtar Terimler Sınavı

• Lab 2.2 Port Bağlantı Durumu

Lab 2.2w Windows-Tabanlı Port Bağlantı Durumu

Lab 2.2l Linux-Tabanlı Port Bağlantı Durumu

Lab 2.2 Analiz Soruları

Lab 2.2 Anahtar Terimler Sınavı

 

Ağlar, A noktasından B noktasına ya da B noktasından A noktasına veri iletimi yaparak çalışır. Ancak veri iletişimini kontrol etmek için bazı standartlara ihtiyaç vardır. Bu bölümün laboratuvarlarında şu üç standarttan faydalanacaksınız: Address Resolution Protocol (ARP), User Datagram Protocol (UDP) ve Transmission Control Protocol (TCP). Paketlerin trafiğini tam olarak görebilmeniz için bağlantıları kuracak ve nereye gitmesi gerektiğine dair bilgi alacaksınız. Bunun için Wireshark ve netstat gibi araçları kullanacaksınız.

 

Lab 2.1: Ağ İletişim Analizi

Wireshark, ağ profesyonellerinin ağ trafiği sorunlarını gidermek ve analiz etmek için kullanabilecekleri güçlü bir protokol analizcisidir (ve sniffer’ı). Wireshark’ta ortaya konan bilgiler bir ağa saldırmak veya savunmak için kullanılabildiğinden, yöneticiler bunu nasıl kullanacaklarını öğrenmeli ve böylece potansiyel saldırganların neler yapabileceğinin farkında olmalıdırlar. Wireshark, çeşitli protokollerin nasıl çalıştığına bakmanıza yardımcı olacak bir programdır. Kitap boyunca çeşitli laboratuvarlarda incelenecektir.

Lab 1.1, “Ağ İş İstasyonu İstemci Yapılandırması” nda, IP adreslerinin MAC adresleriyle ilişkisine ve ping komutunun kullanımına baktınız. Bu laboratuvarda, önce Adres Çözümleme Protokolünü (ARP) kullanan başka bir bilgisayarın MAC adresini isteyen bilgisayar tarafından oluşturulan trafiği göreceksiniz. Daha sonra ping isteği ve cevap süresince ICMP trafiğine bakacaksınız. Sonra, DNS tarafından kullanılan bağlantısız bir protokol olan UDP’ye bakacaksınız. Son olarak ise bağlantılı TCP trafiğine bakacaksınız.

Internet Denetim İletisi Protokolü (ICMP), ağdaki farklı aygıtlar arasında ağda neler olduğu ile ilgili daha fazla bilgi edinilmesine yardımcı olmak için kullanılan bir aktarım protokolüdür.

Kullanıcı Datagram Protokolü (UDP), genellikle iletim sırasının önemli olmadığı veya trafiğin zamanlamasının trafiğin bütünlüğünden daha önemli olduğu küçük miktarlarda veri göndermek için kullanılan bağlantısız bir aktarım protokolüdür.

İletim Denetimi Protokolü (TCP), iki veya daha fazla bilgisayar arasındaki bağlantı yönelimli protokoldür. Bu nedenle veri iletilmeden önce güvenli bir bağlantı kurulmalıdır. İki cihaz arasındaki TCP ile bu bağlantının kurulmasına three-way handshake (üç-yönlü el sıkışma) denir. Aşağıdaki şekilde bir TCP paketinin başlığı (header) görülmektedir ve onun da aşağısında TCP’nin bölümleri açıklanmaktadır.

• Source Port (Kaynak Bağlantı Noktası): 16 bittir. Kaynak port numarasını belirtir.
• Destination Port (Hedef Bağlantı Noktası): 16 bittir. Hedef port numarasını belirtir.
• Sequence Number (Sıra Numarası): 32 bittir. Bu segmentteki ilk veri oktetinin sıra numarasıdır (SYN mevcut olduğu zaman hariç). Eğer SYN mevcutsa sıra numarası başlangıç sıra numarasıdır (ISN) ve ilk veri okteti ISN+1’dir.
• Acknowledgement Number (Alındı Onayı Numarası): 32 bittir. ACK kontrol biti ayarlanmışsa, bu alan göndericinin almayı beklediği sıra numarasının değerini içerir. Bir bağlantı kurulduğunda ACK değeri her zaman gönderilir.
• Data Offset: 4 bittir. TCP başlığında 32-bitlik kelimelerin sayısıdır. Verinin başladığını belirtir. TCP başlığı (seçenekler de dahil olmak üzere) 32-bitlik parçalanamaz bir sayıdır.
• Reserved (Ayrılmış Alan): 6 bittir. İleride kullanılmak üzere ayrılmıştır ve değeri sıfır olmalıdır.
• Control Bits (Kontrol Bitleri): 6 bittir (soldan sağa):
  • URG: Urgent Pointer (Acil İşaretçi) alanı.
  • ACK: Acknowledgement (alındı onayı) alanı.
  • PSH: Push (itme) işlevi.
  • RST: Bağlantıyı resetleme
  • SYN: Sıra numaralarının senkronize edilmesi.
  • FIN: Gönderilen verinin sonlanması.
• Window: 16 bittir. Göndericinin kabul etmeye istekli olduğu onaylama alanında belirtilen sayı ile başlayan veri oktetlerinin sayısıdır.
• Checksum (Kontrol): 16 bittir. Sağlama alanı, başlığın ve verinin tamamındaki 16 bitlik kelimelerin toplamının 16 bitlik tamamlayıcısıdır. Bir segment, kontrol edilmek üzere tek sayıda başlık ve metin oktetleri içeriyorsa, son sekiz bitin sağına, sağlama amacıyla 16-bitlik bir kelime oluşturmak için sekiz tane sıfır eklenir. Sekiz tane sıfır doldurulan bu kısım, segmentin bir parçası olarak iletilmez. 16-bitlik kelimelere ayrılan segmentte, 16’lık tabanda toplama işlemi yapılır. Toplamın sağlaması yapılırken, sağlama alanı sıfırlarla değiştirilir.
• Urgent Pointer (Acil İşaretçi): Bu alan, acil işaretçinin mevcut değerini, bu segmentteki sıra numarasından pozitif bir değer olarak bildirir. Acil işaretçi, acil verileri izleyen sekizli sıra numarasına işaret eder. Bu alan sadece URG kontrol biti ile segmentlerde yorumlanabilir.
• Options (Seçenekler): Değişkendir.
• Padding (Dolgu): Değişkendir. TCP başlık dolgusu, TCP başlığının bitmesini ve verilerin 32-bitlik bir sınırda başlamasını sağlamak için kullanılır. Dolgu sıfırlardan oluşur.

Üç yönlü el sıkışmada esasında üç adım vardır. İlk olarak, ilk bilgisayar senkronize paket (SYN) aracılığıyla ikinci bilgisayarla bir bağlantı kurar. İkinci bilgisayar bu paketi aldığında, SYN ve alındı onayı paketi (ACK) göndererek yanıt verir. İlk bilgisayar da ACK paketi atar ve güvenli bağlantı kurulmuş olur. Asıl veri buradan sonra gönderilir. Üç yönlü el sıkışma, SYN, SYN/ACK ve ACK ile oluşur. Gördüğünüz gibi bu önemli bir güvenlik konseptidir.

Örneğin, TCP üç yönlü el sıkışması kullanan bir uygulama katmanı protokolüdür. Internet’te web-tabanlı haberleşmede sık kullanılan kapsamlı bir protokoldür. HTTP, kullanıcı temsilcileri ve proxy’ler veya yönlendiriciler arasında diğer Internet sistemleri ile haberleşme için kullanılır. TCP tabanlı protokoldür. Haberleşme için 80 portunu kullanır.

NOT: Bu laboratuvar ARP dahil IPv4 ile ilişkili protokoller ve yöntemler üzerine kurulmuştur. ARP, IPv6’nın bir parçası olmadığı için, bu laboratuvar IPv6 çalışma ortamında aynı sonuçları sağlamayacaktır.

Öğrenim Amaçları

Bu laboratuvarı tamamladıktan sonra

• İki bilgisayar arasında iletişim oturumu (session) yakalamak için Wireshark’ı kullanabilirsiniz.
• Wireshark kullanılarak yakalanan bir oturumun ekran görüntüsü verildiğinde Wireshark ekranının üç ana bölümünü belirleyebileceksiniz.
• İstenen protokolleri görüntülemek için Wireshark’ın filtre seçeneğini kullanabileceksiniz.
• UDP trafiğini yakalamak ve tanımlamak için Wireshark’ı kullanabileceksiniz.
• TCP trafiğini yakalamak, üç yönlü el sıkışma ve kullanılan paketlerde dahil olmak üzere TCP oturumunun sona erdiğini belirlemek için Wireshark’ı kullanabileceksiniz.

 

• 25 DAKİKA

 

Lab 1.2m: Windows’ta Ağ İletişim Analizi

Malzemeler ve Kurulum

Aşağıdakilere ihtiyacınız olacaktır:

• Windows 10
• Windows 2016 Server
• Metasploitable 2 (Linux)

Ayrıca Wireshark’a da ihtiyacınız olacak.

 

Laboratuvar Adımlarına Kısa Bir Bakış

Adım 1: Windows 10 PC’yi ve Windows 2016 Server’ı başlatın. Yalnızca Windows 10 makineye giriş yapın.

Adım 2: ARP önbelleğini temizleyin.

Adım 3: Wireshark’ı başlatın ve bir ping oturumu yakalayın.

Adım 4: Yakalanan oturumu inceleyin.

Adım 5: Yakalanan oturumu filtreleyin.

Adım 6: Bir DNS oturumu yakalayın.

Adım 7: DNS oturumunu inceleyin.

Adım 8: ARP önbelleğini temizleyin ve bir Telnet oturumu yakalayın.

Adım 9: Telnet oturumunu inceleyin ve kullanımda olan protokolleri belirleyin.

Adım 10: Windows 10 PC’den çıkış yapın.

 

 

Laboratuvar Adımları

Adım 1: Windows 10 PC’yi ve Windows 2016 Server’ı başlatın. Yalnızca Windows 10 makineye giriş yapın.

Windows 10 PC’de oturum açmak için aşağıdaki adımları izleyin:

1. Oturum açma ekranında Yönetici simgesini tıklayın.
2. Parola metin kutusuna adminpass yazın ve ENTER tuşuna basın.

 

Adım 2: ARP önbelleğini temizleyin.

ARP önbelleği, bilgisayarın ARP tablosunda bulunan bilgilerin depoladığı bellekteki bir alandır. Yakalama oturumunu başlatmadan önce ARP önbelleğini temizlediğinizde, yakaladığınız veriler üzerinde daha fazla kontrol sahibi olursunuz.

1. Komut İstemi’ni yönetici olarak çalıştırın.
2. Evet’i tıklayın.
3. Komut satırında arp -a yazın.
4. Girdiler yok olmalıdır. Eğer hala varsa, arp -d komutu ile temizleyin.

• NOT: Komut istemi penceresini bu laboratuvarda açık bırakın çünkü çok kez kullanacaksınız.

 

Adım 3: Wireshark’ı başlatın ve bir ping oturumu yakalayın.

Bu adım sizi Wireshark ile tanıştırır ve iki bilgisayar arasındaki iletişimi yakalamayı, görüntülemeyi ve filtrelemeyi nasıl yapacağınızı gösterir.

1. Şekil 2-1‘de gösterildiği gibi Wireshark’ı başlatın.
2. Capture | Options’ı seçerek internete bağlı olduğunuz arayüze tıklayın.
3. Capture Interfaces iletişim kutusunda veri yakalamaya başlamak için Start’a tıklayın.
4. Komut satırında ping 192.168.2.169 yazın. (Windows 2016 Server makinenin IP adresi)
5. Cevabı gözlemleyin. Dört yanıt almalısınız.
6. Wireshark ’ta Capture | Stop’a tıklayarak veri yakalamayı durdurun.
7. Yakalanan oturumu gözlemleyin. Şekil 2-3’te gösterilen örneğe bakın. Hangi protokol ping istekleri için kullanılıyor?

Şekil 2-1 Wireshark Başlangıç Ekranı Şekil 2-2 Capture Interfaces İletişim Kutusu

Şekil 2-2 Capture Interfaces İletişim Kutusu

Şekil 2-3 ping verisi topladıktan sonra Wireshark

 

Adım 4: Yakalanan oturumu inceleyin.

Şimdi Wireshark’ın size verdiği bilgilere bakacaksınız.

1. Şekil 2-3’te gösterildiği gibi Wireshark’ın ana ekranı üç alana ayrılmıştır.

• Paket Listesi Kısmı: En üstte yer alan bu kısım, yakalanan paketleri özetler. Bu bölümdeki paketlerden herhangi birine tıklamak aşağıdaki diğer iki kısımda daha ayrıntılı bilgiler görüntüler.
• Ağaç Görünümü Kısmı: Ortada bulunan bu kısım, üst kısımda seçilen paket hakkında ağaç biçiminde ayrıntılı bilgi görüntüler.
• Veri Görünümü Kısmı: En altta yer alan bu kısım, yakalanan bir paketin onaltılık formatta ve metin biçimindeki ham verilerini gösterir. Onaltılık format 16-tabanında numaralama sistemidir. 0-9 arası rakamlardan ve A-F arası harflerden oluşur. Onaltılık sistem, ikili sayıları temsil etmenin kısa bir yolu olarak düşünülebilir. Ağaç Görünümü Kısmında seçilen herhangi bir kesit, bu kısımda vurgulanacaktır.

 

2. Paket Listesi kısmındaki sütunlar aşağıda verilmiştir. Her sütun belirli bilgileri sağlar.

• No (Numara): Paketlerin alındığı sıra
• Time (Zaman): Her paketin yakalanmasının başlangıcına göre yakalanan zaman
• Source (Kaynak): Kaynağın adresi
• Destination (Hedef): Hedefin adresi
• Protocol: Yakalanan paketin kullandığı protokol
• Length: Paketin boyutu (byte olarak)
• Info (Bilgi): Paketin yaptıklarının bir özeti

Paket listesi kısmında hangisi seçili ise, ağaç görünümünde ve veri görünümü kısımlarında da görüntülenir. Paket listesi kısmında oluşturmayı planladığınız amaçların dışında başka paketleriniz de olabilir. Bunlar, IGMP (çok noktaya yayın için kullanılır) veya 802.1D (spanning ağacı için) paketlerini içerebilir. Gördüğünüz paketler ağ ekipmanınıza veya hangi ağ ekipmanlarının simüle edildiğine bağlıdır.

NOT: ARP protokolüne ait iki paket göreceksiniz. Birincisi broadcast (yayın), ikincisi ise cevaptır.

3. ARP protokolü için hedefi Broadcast olan ilk paketi seçin.
4. Ağaç görünümü kısmında Ethernet II etiketli kısmı seçin ve > sembolüne tıklayın.
5. Hedef (destination) satırını seçin.
   1. Onaltılık sistemdeki broadcast adresi nedir?
   2. Broadcast adresinin veri görünümü kısmında vurgulandığını gözlemleyin.
   3. Kaynak ya da hedeften hangisi ilk sıradadır?
6. Ağaç görünümü kısmında Adres Çözümleme Protokolüne tıklayın ve > işaretine tıklayarak genişletin.
   1. Protokolün türü nedir?
   2. Protokolün boyutu nedir?
7. Paket listesi kısmında, broadcast paketinden sonra listelenen ARP yanıt paketini seçin. Ağaç görünümü ve veri görünümü kısmındaki bilgiler buna göre değişecektir.
8. İki bilgisayarın iletişim kurması için, hedefin MAC adresi belirlenmelidir. ARP önbelleği tablosunu temizlediğinizden beri bilgisayar tekrar istek göndermek zorunda kaldı.

Sizce bu mekanizma bazı yollarla istismar edilebilir mi?

9. Paket listesi kısmında, ilk ping isteğine tıklayın ve Info bölümüne bakın.
   1. Bu sizin gönderdiğiniz ilk ping. Dört yanıtın yanısıra dört cevap olduğuna dikkat edin.
   2. Wireshark ping’i göndermek ve cevaplamak için hangi protokolü kullanıyor?

Adım 5: Yakalanan oturumu filtreleyin.

Paket yakalama çok fazla bilgi toplayamasa da yoğun bir ağda, bazen kısa bir sürede binlerce paket almak kolaydır. Aralarında sıralama yapmak oldukça sıkıcı bir iş olabilir. Bu nedenle filtrelerin nasıl kullanıldığını öğrenmek yararlıdır. Filtreler, aradığınız bilgilere erişmenize yardımcı olabilir.

1. Filter çubuğunda Filter metin kutusuna tıklayın.
2. arp yazın ve ENTER’a tıklayın.

• UYARI: Bu büyük/küçük harfe duyarlı bir komuttur. Eğer siz ARP yazarsanız, kutu kırmızı renkle vurgulanır ve filtre çalışmaz.

3. Artık sadece ARP paketleri görüntülenir. Ayrıca filtre kutusuna yazdığınız komut doğruysa arka plan yeşil renkle, söz dizimi yanlışsa kırmızı renkle vurgulanır.
4. Bu filtreyle işiniz bittiğinde ve yakalanan tüm paketleri görmek istediğinizde Filtre çubuğunda Clear’ı tıklayın.

• NOT: Filter çubuğunda Expression (ifade) butonu doğru biçimlendirilmiş filtre komutları oluşturmanıza yardımcı olur.

 

Adım 6: Bir DNS oturumu yakalayın.

Önceki adımlarda ICMP ve alt katman protokollerine bakmak için Wireshark’ı kullandınız. Şimdi UDP trafiğine bakacaksınız.

UDP, bir taşıma katmanı protokolüdür. UDP, bağlantısız bir protokoldür. Bu nedenle birkaç hata-kurtarma işlevi vardır ve paket teslim (packet-delivery) garantisi yoktur. UDP önemli ölçüde üst katman protokolünü azaltır. Bu resimde UDP başlık formatı görülmektedir.

Source Port (Kaynak Port): İsteğe bağlı bir alandır. Gönderme işleminin portunu belirtir ve herhangi bir bilginin yokluğunda cevabın dikkate alınması gereken port olarak kabul edilebilir.

Destination (Hedef) Port: Belirli bir internet hedef adresini belirtir.

Length (Uzunluk): Kullanıcı datagramının başlık ve veri de dahil 8-bit olduğunu gösterir.

Checksum: 16-bitlik bir sağlama kontrolü. IP üstbilgisinden, UDP başlığından ve verilerin bir sözde başlık toplamını tamamlar.

       DNS oturumu yakalamak için şu adımları izleyin:

1. Wireshark’ta Capture | Options’u seçerek ve Start’a tıklayarak yeni bir yakalama oturumu başlatın.
2. Komut satırında nslookup google.com yazın ve ENTER tuşuna basın.
3. Komut isteminden yanıtı aldıktan sonra Wireshark’ta Capture | Stop’u seçerek yakalamayı durdurun.

 

 

Adım 7: DNS oturumunu inceleyin.

Bu noktada bir nslookup komutunu yakalamalısınız. Bu, ARP oturumunda olabilir. Şekil 2-4’teki örneğe bakın.

 

Şekil 2-4 nslookup alındıktan sonra Wireshark

1. Paket listesi kısmında, Protocol sütununda listelenen DNS’e sahip ilk paketi seçin.
2. User Datagram Protocol ögesini genişletin.
   1. Görüntülenen bilgileri gözlemleyin.
   2. Kaynak portu nedir?
   3. Hedef portu nedir?
   4. Checksum değeri nedir?

Adım 8: ARP önbelleğini temizleyin ve bir Telnet oturumu yakalayın.

1. Komut isteminde arp -a yazın.
2. Eğer girdiler görüyorsanız arp -d yazarak onları kaldırın.
3. Wireshark’ta yeni bir yakalama oturumu başlatmak için Capture | Interfaces’ı seçin ve Start’a tıklayın. Sonra Continue Without Saving’e tıklayın.
4. Komut satırında telnet 192.168.2.42 yazın ve ENTER’a basın. (metasploitable 2’nin IP adresi)
5. Eğer Metasploitable 2’nin IP adresini belirlemediyseniz bir önceki bölümdeki Lab 1.2 laboratuvarına bakınız.
6. Eğer telnet komutunun mevcut olmadığına dair bir mesaj alırsanız Windows logo tuşu | Denetim Masası | Programlar | Windows Özelliklerini Aç Veya Kapat’tan Telnet İstemcisi’ni seçerek Tamam’a tıklayın.
7. Login ekranında msfadmin yazın ve ENTER tuşuna basın.
8. Password ekranında msfadmin yazın ve ENTER tuşuna basın. Parola yazdığınız gibi harfleri görmeyeceksiniz. Bu normal.
9. cat /etc/passwd yazarak makinede hangi hesapların olduğunu kontrol edebilirsiniz. Şimdi exit yazarak hesaba giriş yapabilirsiniz.
10. Wireshark’ta yakalamayı durdurun.

 

Adım 9: Telnet oturumunu inceleyin ve kullanımda olan protokolleri belirleyin.

1. Paket listesi kısmında Protocol sütununda listelenen TCP’ye sahip ilk paketi seçin.
2. Ağaç görünümü kısmında Transmission Control Protocol ögesini genişletin.
   1. Görüntülenen bilgileri gözlemleyin.
   2. Kaynak portu nedir?
   3. Hedef portu nedir?
   4. Checksum değeri nedir? Doğru mu?
   5. TCP ve UDP başlıkları arasındaki farklar nelerdir?
3. Şimdi filtre kutusunda tcp yazarak sadece TCP bağlantılarını görebilirsiniz.

Adım 10: Windows 10 PC’den çıkış yapın.

Windows 10 PC’de Windows logo tuşu | Oturumu Kapat ile çıkış yapın.

 

Laboratuvar 2.1 Analiz Soruları

1. Bir bilgisayara ping atarken Wireshark hangi protokolü kullanır?

 

2. Siz bir LAN ağının ağ yöneticisisiniz. Ağ trafiğini son 10 dakika boyunca yakaladınız ve binlerce paketin yakalandığını gördünüz. AIM protokolü kullanan paketleri aramaktasınız. İstenilen paketleri nasıl görüntülersiniz?

 

3. Siz bir LAN ağının ağ yöneticisisiniz. Ağ trafiğini yakaladınız ve paketlerin analiz edildiğini gördünüz. Bazı şüpheli paketler görmektesiniz. Bu paketlerin kaynağın IP adresini ve MAC adresini nasıl bulabilirsiniz?

 

4. Oturumu başlatmak için üç-yönlü el sıkışma gerektiren TCP tabanlı üç protokol veya uygulamanın adını yazınız. (HTTP hariç)

 

5. Bağlantısız protokolün dezavantajlarını yazınız.

 

6. Bağlantılı protokolün faydası nedir?

 

7. Bağlantısız protokolün faydası nedir?

 

 

Laboratuvar 2.1 Anahtar Terimler Sınavı

Aşağıdaki kelimeleri kullanarak cümleleri tamamlayın:

ACK

Filtre

http

paket

paket teslimi

port

oturum

SYN

SYN/ACK

Üç-yönlü el sıkışma

TCP

UDP

Wireshark

1. Wireshark, ağa gönderilen _________________ i yakalar.
2. _______________, sadece görmek istediğiniz paketleri gösterecektir.
3. _______________ paketi, üç-yönlü el sıkışmanın bitmesini onaylamak için gönderilir ve böylece iletişim başlar.
4. _______________, bağlantıya dayalı bir protokoldür ve iletişime onun temeli olarak üç-yönlü el sıkışmayı sağlar.
5. _______________, orijinal SYN paketinin alındı onayı için gönderilen pakettir.
6. _______________, bağlantısız bir protokoldür.
7. UDP, _____________ni garanti etmez.

 

Lab 2.2: Port Bağlantı Durumu

Netstat, ağ yöneticileri için önemli bir araçtır. Aktif TCP ve UDP bağlantılarını, Ethernet istatistiklerini ve IP yönlendirme tablosunu göstermek için kullanılır. Bir port, durumların herhangi bir numarası olabilir. Bir TCP portu dinleme durumunda (listening state) iken, üç yönlü el sıkışmanın başlatılması ve bitirilmesi için bekler.

 

Öğrenim Amaçları

Bu laboratuvarı tamamladıktan sonra,

• Geçerli TCP/IP ağ bağlantılarını ve protokol istatistiklerini göstermek için kullanılan komutu öğreneceksiniz.
• Bilgisayarın portları kullanarak çoklu iletişimi nasıl yönetebileceğini anlayacaksınız.
• Netstat komutunun işlevselliğini artırmak için eklenebilen anahtarları listeleyebileceksiniz.
• 10 DAKİKA

 

Lab 2.2w: Windows Tabanlı Port Bağlantı Durumu

Bu laboratuvarda bir sunucuya FTP ve HTTP bağlantılarını analiz etmek için Windows netstat komutunu kullanacaksınız.   

 

Malzemeler ve Kurulum

Aşağıdakilere ihtiyacınız olacaktır:

• Windows 10
• Windows 2016 Server

 

Laboratuvar Adımlarına Kısa Bir Bakış

Adım 1: Windows 10 PC’ye ve Windows 2016 Server’a giriş yapın.

Adım 2: Windows 2016 Server makinede açık portları görmek için netstat komutunu kullanın.

Adım 3: Windows 2016 Server makineye Windows 10 makineden FTP ve http bağlantılarını kurun.

Adım 4: Windows 2016 Server makinedeki bağlantılara bakmak için netstat komutunu kullanın.

Adım 5: Windows 2016 Server ve Windows 10 PC’den çıkış yapın.

 

Laboratuvar Adımları

Adım 1: Windows 10 PC’ye ve Windows 2016 Server’a giriş yapın.

1. Windows 10 PC’de giriş ekranındaki Admin ikonuna tıklayın ve parola metin kutusuna adminpass yazın.
2. Windows 2016 Server PC’de giriş ekranında CTRL-ALT-DEL tuşlarına tıklayın, kullanıcı adını administrator ve parolayı adminpass olarak girin ve sonra OK’e tıklayın.

 

Adım 2: Windows 2016 Server makinede açık portları görmek için netstat komutunu kullanın.

Bir sunucu dinleme durumunda birçok port içermektedir. Dinleme durumundaki bir port bağlantı isteğini bekler.

Windows 2016 Server bilgisayarda açık olan portları görüntülemek için aşağıdaki adımları takip edin:

1. Komut istemini açın.
2. Komut satırında netstat /? Yazın ve ENTER’a basın.
3. Ağ bağlantısı için görüntülenen seçenekleri gözlemleyin.
4. Hangi seçenek kullanımda olan portları numarayla gösterir?
5. Hangi seçenek tüm bağlantıları ve dinleme portlarını listeler?
6. Hangi seçenek her bağlantıyı oluşturan programları gösterir?
7. Komut satırında netstat -na yazıp ENTER’a basın.

• NOT: Metin ekranın yukarısına kayarsa, Komut İstemi penceresini büyültün ve metnin görünümünü ayarlamak için sağdaki kaydırma çubuğunu kullanın.

1. Dinleme durumundaki portları gözlemleyin.
2. Dinleme durumunda kaç tane port var?
3. FTP ve HTTP için hangi port numaraları kullanılır?
4. Bu portlar dinleme durumunda mıdır?
5. Neden bu kadar çok açık port var ve hepsinin açık olması gerekli mi?
6. Bu açık portlar hakkında kaygılanmalı mısınız?

 

 

Adım 3: Windows 2016 Server makineye Windows 10 makineden FTP ve HTTP bağlantılarını kurun.

NOT: Windows 2016 Server makinede IIS sunucusu ve FTP sunucusu yüklü değilse şu adımları izleyin:

• Windows logo tuşu | Server Manager’a tıklayın.
• Add Roles And Features seçeneğini seçin.
• Before You Begin ekranında Next’e tıklayın.
• Select İnstallation Type ekranında Role-based or feature-based installation seçeneğini işaretleyin ve Next’e tıklayın.
• Değişiklik yapmadan Next’e tıklayın.
• Ekranı aşağı kaydırın ve Web Server (IIS) seçeneğine tıklayın.
• Add Features butonuna tıklayın.
• Next’e tıklayın.
• Select Features ekranında XPS Viewer seçeneğini işaretleyin ve Next’e tıklayın.
• Sonraki ekranda Next’e tıklayın.
• Select Role Services ekranında aşağı inin ve FTP Server, FTP Service ve FTP Extensibility seçeneklerini işaretleyin. Next’e tıklayın.
• Install’a tıklayın.
• Kurulum tamamlandığında Close’a tıklayın.
• Service Manager’a gelin.
• Sol üst köşedeki Tools sekmesine tıklayın. Internet Information Services (IIS) ögesini seçin.
• Connetcions’un altında makinenin ismine sağ tıklayın ve Add FTP Site’ı seçin.
• FTP sitesi ismine FTP yazın.
• Physical Path kutusunun yanındaki butona tıklayıp Local Disk (C:)’yi seçin ve OK’e tıklayın.
• Next’e tıklayın.
• IP Address kutusunu 192.168.2.169 olarak değiştirin. SSL sekmesinde No SSL’i seçin ve Next’e tıklayın.
• Authentication için Basic seçeneğini seçin. Allow Access To butonunda All Users’ı seçin.
• Permissions altında Read ve Write’ı işaretledikten sonra Finish’e tıklayın.
• Windows logo tuşu | Control Panel | System And Security | Windows Firewall | Allow An App Or Feature Through Windows Firewall seçeneğine tıklayın. Açılan pencerede FTP Server’a tıklayın ve tüm kutucuklarını işaretleyin.

Windows 10 makinede şu adımları izleyin:

1. Windows logo tuşuna tıklayın. Programları Ve Dosyaları Ara kutusuna cmd yazın ve ENTER’a basın.
2. Komut satırında ftp 192.168.2.169 yazın ve ENTER’a basın.
3. Oturum açma ekranında administrator yazıp ENTER’a basın.
4. Parola ekranında adminpass yazıp ENTER’a basın.

Sonuçları görmek için komut satırını açık bırakın.

5. Web tarayıcısını açın.
6. Adres kutusuna 192.168.2.169 yazın ENTER’a basın.

Bazı FTP komutları aşağıda verilmiştir:

• Help: Tüm FTP komutları listesini isteyin.
• ascii: ASCII karakter modunu açar.
• status: Mevcut FTP oturumun nasıl yapılandırıldığını gösterir.
• prompt: Etkileşimli modu açma/kapama için.
• ls: Dizin listeleme ile eş değerdir.
• ls-l: Uzun, ayrıntılı dizin listeleme için.
• pwd: Ekran geçerli dizin adı.
• cd: Dizin değiştirir.
• lcd: Yerel geçerli dizini değiştirme.
• get: FTP sunucusundan dosya indirmek.
• put: Sunucuya dosya yüklemek.
• mget: FTP sunucusundan birden fazla dosya indirmek.
• mput: FTP sunucusuna birden fazla dosya upload-yüklemek.
• binary: İkili modu açın.
• delete: FTP sunucusundan her hangi bir dosya silmek.
• mkdir: FTP sunucusu üzerinde dizin yapmak.
• quit/close/bye/disconnect: FTP sunucusundan bağlantıyı kesmek.
• ! : Bir komutta öncelikle komutu, uzaktan sistem yerine, yerel sistemde yürütmesini sağlar.

Sunucuya dosya yüklemek için komutu girin:

put dosyaadı

 

Adım 4: Windows 2016 Server makinedeki bağlantılara bakmak için netstat komutunu kullanın.

1. Windows 2016 Server makinenin komut satırında netstat yazın.
2. Kısa bir aradan sonra, çıkış aşağıdaki gibi gelmelidir.

• NOT: Eğer HTTP bağlantılarını görmezseniz internet tarayıcınızı yenileyin ve komut satırına tekrar netstat yazın.

Aynı makineye iki kez bağlansanız bile port atamaları, HTTP oturumundaki bilgileri FTP oturumundaki bilgilerden ayrı tutar. IP adresi ve port numarası birleşimi soket olarak adlandırılır.

3. İyi bilinen porttan (FTP ve HTTP) sunucuya geçici porttan (1023’ten büyük numaralı bir porttan) bağlanın. Adım 2’de listelenen çıkış, yerel makinede 1065 port numarası ve uzak makine port numarası; 21 (FTP) arasındaki bağlantıyı gösterir. Yerel makine, 1068 numaralı porttan 80 numaralı porta (HTTP) bağlıdır.
   1. netstat’ın çıkışında hangi port FTP’ye bağlıdır?
   2. netstat’ın çıkışında hangi port HTTP’ye bağlıdır?

 

Adım 5: Windows 2016 Server ve Windows 10 PC’den çıkış yapın.

1. Windows 2016 Server PC’den ve Windows 10 PC’den çıkış yapın.

 

Lab 2.2l: Linux Tabanlı Port Bağlantı Durumu

Malzemeleri ve Kurulumu

Aşağıdakilere ihtiyacınız olacaktır:

• Kali
• Metasploitable

Laboratuvar Adımlarına Kısa Bir Bakış

Adım 1: Kali ve Metasploitable PC’lere giriş yapın.

Adım 2: Metasploitable PC’deki açık portlara bakmak için netstat komutunu kullanın.

Adım 3: Kali PC’yi kullanarak, Metasploitable PC’ye bir FTP ve HTTP bağlantısı kurun.

Adım 4: Metasploitable PC üzerindeki bağlantılara bakmak için netstat komutunu kullanın.

Adım 5: Bir işlem için portu izleyin.

Adım 6: Kali PC üzerinde GUI’ın oturumunu ve Iceweasel’i kapatın.

Adım 7: Kali ve Metasploitable PC’lerden çıkış yapın.

 

Laboratuvar Adımları

Adım 1: Kali ve Metasploitable PC’lere giriş yapın.

Kali PC’de oturum açmak için şu adımları izleyin:

1. Oturum açma ekranında Diğer’i tıklayın.
2. Kullanıcı adı metin kutusuna root yazın ve ENTER’a basın.
3. Parola metin kutusuna toor yazın ve ENTER’a basın

Metasploitable PC’de oturum açmak için şu adımları izleyin:

1. Giriş ekranında user yazıp ENTER’a basın.
2. Parola ekranında, user yazıp ENTER’a basın.

 

• NOT: Parolayı yazarken herhangi bir karakter göremezsiniz.

Adım 2: Metasploitable PC’deki açık portlara bakmak için netstat komutunu kullanın.

Bir sunucu dinleme durumunda iken birkaç port bulunacaktır. Dinleme durumunda olan bir port, bağlantı kurulması için istek beklemektedir.

1. Komut satırında netstat -h yazıp ENTER’a basın.
2. Seçenekleri gözlemleyin.
3. Hangi seçenek kullanımda olan portları gösterir?
4. Hangi seçenek tüm bağlantıları ve dinleme portlarını gösterir?
5. Komut satırında netstat -na yazın ENTER’a basın.

 

• NOT: Metin ekrandan yukarı doğru kayarsa Komut İstemi penceresini büyültün ve metnin görünümünü ayarlamak için sağdaki kaydırma çubuğunu kullanın. Ayrıca SHIFT-PAGE UP veya SHIFT-PAGE DOWN kullanabilirsiniz.

1. “dinleme” durumundaki portları inceleyin.
2. Kaç tane port dinleme durumundadır?
3. Hangi port numaraları FTP ve HTTP için kullanılır?
4. Bu portlar dinleme durumunda mı?
5. Neden bu kadar çok port açık ve bunların açık olması gerekiyor?
6. Bu kadar çok portun açık olmasından dolayı endişelenmeli misiniz?

 

Adım 3: Kali PC’yi kullanarak, Metasploitable PC’ye bir FTP ve HTTP bağlantısı kurun.

Şimdi, iyi bilinen portlar üzerinden (FTP ve HTTP) geçici portlardan (1023’ten daha büyük sayıdaki portlar) Metasploitable PC’ye bağlanacaksınız. Listelenen çıkış, yerel makinede 1065 portu ile uzak makinedeki 21 (FTP) portu arasındaki bağlantıyı gösterir. Yerel makine, 1068 numaralı porttan 80 numaralı porta (HTTP) bağlanır.

1. Şekil 2-5’te gösterildiği gibi Kali PC’de Terminal ikonuna tıklayın.
2. Komut satırında ftp 192.168.2.42 yazın ve ENTER’a basın.
3. Ad (192.168.2.42:root) msfadmin yazın ve ENTER’a basın.
4. Parola için msfadmin yazın ve ENTER’a basın.

Şimdi şu adımları izleyerek sunucudaki bir web sayfasını görüntüleyin.

5. Üst kısımdaki Iceweasel simgesine tıklayın.
6. Adres çubuğunda, http://192.168.2.42/ yazın ve ENTER’a basın.

Şekil 2-5 Terminal Kabuğu

 

Adım 4: Metasploitable PC üzerindeki bağlantılara bakmak için netstat komutunu kullanın.

1. Komut satırında netstat -tn yazın.
2. Kısa bir duraklamanın ardından aşağıdaki gibi çıktı alıyor olmalısınız.

• NOT: Bunu ilk kez yaptığınızda 80 numaralı portu göremezseniz, Firefox’u yenileyin ve netstat -tn komutunu tekrar yazın.

Aynı makineye iki kez bağlansanız bile, port atamaları FTP oturumundaki bilgileri Telnet oturumundaki bilgilerden ayrı tutar. IP adresi ve port numarasının birleşimi soket olarak adlandırılır.

1. Netstat komutu tarafından görüntülenen çıktıda FTP’ye hangi port bağlı?
2. Netstat komutu tarafından görüntülenen çıktıda HTTP’ye hangi port bağlı?

 

Adım 5: Bir işlem için portu izleyin.

1. Komut satırında lsof > ~/lsof yazın ve ENTER’a basın.
2. less ~/lsof yazın ve ENTER’a basın.

FTP bağlantısı için işlem kimliği (process ID’si) nedir?

3. Komut satırında q yazın ve ENTER’a basın.
4. Komut satırında ps -ax yazın ve ENTER’a basın.

Hangi bilgiler FTP işlem kimliği için belirlenmiştir?

Adım 6: Kali PC üzerinde GUI’ın oturumunu ve Firefox’u kapatın.

1. Firefox penceresinde sağ üst köşedeki kapatma butonuna tıklayın.
2. Kali PC üzerinde Menu | Log Out’u seçin ve tekrar Log Out’a tıklayın.

 

Adım 7: Kali ve Metasploitable PC’lerden çıkış yapın.

1. Metasploitable PC’nin komut satırında logout yazın ENTER’a basın.
2. Kali’de sağ üst köşedeki Root simgesine tıklayın ve logout ‘u seçin.

 

 

Laboratuvar 2.2 Analiz Soruları

1. netstat komutu ne için kullanılır?

 

 

 

2. Yalnızca TCP bağlantılarını göstermek için netstat komutu ile birlikte hangi seçeneği kullanırsınız?

 

 

 

3. Her protokolün istatistiklerini göstermek için netstat komutu ile birlikte hangi seçeneği kullanırdınız?

 

 

4. Aşağıdaki netstat komutunun çıktısına bakın ve ne anlama geldiğini açıklayın.
5. Aşağıdaki netstat komutunun çıktısına bakın ve ne anlama geldiğini açıklayın.

 

6. Yerel alan ağınıza bağlı bir bilgisayarın yönlendirme tablosuna bakmanız gerekiyor. Yönlendirme tablosunu görüntülemek için hangi komutu kullanırdınız?

 

Laboratuvar 2.2 Anahtar Terimler Sınavı

 

kurulan durum (established state)

HTTP

dinleme durumu

netstat

port

oturum

soket

durumlar

TCP bağlantılar

UDP bağlantılar

1. Komut satırına girilen_____________________ komutu, bir bilgisayar sistemi üzerindeki aktif bağlantıları görüntüleyebilir.
2. 239.39.147:80 ESTABLISHED satırı bilgisayar sisteminde 80 ___________nda aktif bağlantı olduğunu bildirir.
3. netstat komutu tarafından görüntülenen ____________ bilgisi, bağlantının mevcut durumunu gösterir.
4. Bir IP adresi ve onun portunun birleşimi _____________ olarak adlandırılır.
5. netstat -p tcp komutu __________________ ını gösterecektir.