Wireshark ile SSH Analizi

 


Wireshark ile SSH protokolü 

SSH ile Telnet arasındaki temel fark, SSH'nin tamamen şifrelenmiş ve doğrulanmış bir oturum sağlamasıdır. SSH'nin bunu gerçekleştirme şekli, web trafiğinin (HTTPS) ve yerleşik şifreleme olmadan diğer protokollerin şifrelenmesi için kullanılan SSL / TLS'ye çok benzer

Yukarıdaki ekran görüntüsü, Wireshark'ta örnek bir SSH oturumunu göstermektedir. Gösterildiği gibi, oturumla ilişkili paketler yerleşik ssh filtresi kullanılarak filtrelenir.
SSH, hedeflerine ulaşmak için iki farklı kriptografi türü kullanır. Gelişmiş Şifreleme Standardı (AES) gibi simetrik şifreleme, toplu şifreleme için daha hızlı ve daha etkilidir, ancak paylaşılan bir gizli anahtar gerektirir. Öte yandan asimetrik şifreleme, paylaşılan bir gizli anahtar gerektirmez, ancak daha az etkilidir.
SSH, paylaşılan bir gizli anahtar oluşturmak için asimetrik kriptografi ve ardından bu anahtarla toplu şifreleme için simetrik kriptografi kullanır. Diffie-Hellman güvenli anahtar üretimi için bir protokol olduğundan, asimetrik kriptografinin kullanımı yukarıdaki ekran görüntüsünde gösterilmektedir.

Yukarıda gösterildiği gibi paket 21'e daldığımızda, simetrik kriptografinin de kullanıldığını görüyoruz. Bu SSH oturumu, mesaj bütünlüğünü sağlamak için MD5'e dayalı bir HMAC ile şifreleme için Sayaç modunda AES-128 kullanacaktır. Bu, yakalamanın tarihini belirlerken (MD5 kullanımdan kaldırılmıştır), SSH'nin nasıl çalıştığını ve Wireshark'ta nasıl göründüğünü gösterir.

SSH protokol analizi

SSH, kullanıcı kimlik doğrulaması gerektirir. Bu, bir saldırganın SSH sunucusu çalıştıran bir bilgisayara erişimi varsa, ona karşı kimlik bilgilerini dolduran bir saldırı gerçekleştirebileceği anlamına gelir.
Kimlik bilgilerini doldurma, bir kullanıcının hesabına erişmeye çalışmak için ihlal edilen veya tahmin edilen kullanıcı kimlik bilgilerinin bir listesini denemeyi içerir. SSH, belirli sayıda yanlış oturum açma girişiminden sonra bir kullanıcının hesabını kilitleyecek şekilde yapılandırılabilirken, birçok kişinin birden çok hesap için aynı kimlik bilgilerini kullanması, yalnızca bir veya iki denemenin yeterli olduğu anlamına gelebilir.
SSH trafiği şifrelendiğinden, Wireshark'ta başarılı ve başarısız oturum açma girişimlerini ayırt etmek kolay değildir. Ancak, trafiğin bazı özellikleri, kimlik doğrulama girişiminin başarılı olup olmadığını ortaya çıkarmaya yardımcı olabilir:
1.Akış uzunluğu: Başarılı bir kimlik doğrulama girişimi, başarısız bir oturumdan daha uzun bir oturumla sonuçlanacaktır
2.Paket boyutu: SSH sunucuları, başarılı ve başarısız kimlik doğrulamaları için yanıtlar ayarlar. SSH paketlerinin uzunluğunu gözlemlemek, kimlik doğrulamanın başarılı olup olmadığını gösterebilir. Bir sunucunun, kimlik doğrulama başarılı olursa bir oturum açma isteğine 5 kB yanıt göndereceği varsayılır.
3.Paket zamanlaması: Kullanıcı etkileşimi gerektiren paketler, otomatik paketlerden daha uzun sürer ve bu da onların algılanmasını kolaylaştırır.
Bu bilgileri kullanarak, trafik yakalama istatistiklerini karşılaştırmak, başarılı ve başarısız SSH oturumlarının tespit edilmesine yardımcı olabilir.

Yukarıdaki iki ekran görüntüsüne bakıldığında, en üstteki başarılı bir SSH oturumunu gösterirken, alttaki bir SSH kaba kuvvet tahmin saldırısı gösteriyor. Sunucudan (B) istemciye (A) gönderilen baytlara göre farklılaştırılabilirler, burada başarılı bir kimlik doğrulama denemesi başarısız olandan çok daha fazla verinin gönderilmesine neden olur.
Kimlik bilgilerini dolduran bir saldırı, tek bir kullanıcıyı veya birçok kullanıcıyı aynı anda ihlal etmeye çalışabilir. Başarılı olsun veya olmasın, olağandışı sayıda SSH oturum açma denemesi için Wireshark'a bakın. Kimlik bilgilerini dolduranlar, başarısız oturum açma eşiğine asla ulaşmamak için çabalarını birçok hesaba dağıtarak radarın altında uçmaya çalışabilir.

Yorumlar

Yorum Gönder

Bu blogdaki popüler yayınlar

Maltego Nedir? Nasıl Kullanılır?

Resim
Maltego Nedir? Pentestlerde en önemli kısımlarından biri olan bilgi toplama kısmıdır. Maltego’da aktif ve pasif bilgi toplama özelliği olan bir bilgi toplama aracıdır.  Maltego konsol tabanlı olarak değil görsel olarak kullanılmaktadır ve topladığı bilgileri sınıflandırma işlemi yaparak görsel bir şekilde bizlere sunar. Maltego ile neler yapabiliriz;     • Alan adları     • Whois bilgileri     • Ip adresi     • Ağ Tespiti     • E-posta adresi toplama     • Telefon, fax numaraları     • Sosyal paylaşım ağları Maltego, Windows, Linux ve Mac için uyumlu bir araçtır. Ticari ve Topluluk sürümü olarak 2 sürümü vardır. Nasıl Kullanılır? Ben kurulum işlemlerimi ve tarama işlemlerimi Kali Linux üzerinde gerçekleştireceğim. Ve başlıyoruz. Menü kısmından yukarıdaki resimdeki gibi programa erişim sağlayabilirsiniz ya da terminal ekranına  ‘ maltegoce ’  yazarak yazılımı açabilirsiniz. Yukarıdaki fotoğrafta görüldüğü üzere giriş yapmak için bizden üyelik bilgilerimizi istemektedir. Üyelik işlemleri
Devamı

Bind Shell ve Reverse Shell Nedir?

Resim
  Bind Shell ve Reverse Shell Nedir? Bu konumda Bind Shell ve Reverse Shell'in ne olduğunu, aralarında ne tür farkların bulunduğunu ve hangi durumda Bind Shell ve Reverse Shell kullanmamız gerektiğini göreceğiz. Fakat öncelikle shell kavramının kısa bir tanımını yapmalıyız. Shell (kabuk) kullanıcı ve çekirdek arasında bir aracı görevi gören bir yazılımdır. Kullanıcıya, çekirdek servislerine erişim sağlayan bir arayüz sağlar. Bind Shell Nedir? Ele geçirilen sunucu; netcat, yada python, perl vb programlama dilleri ile yazılmış scriptler ile saldırganın seçtiği bir port dinlemeye alınır. Bu işlem gerçekleştirildikten sonra saldırgan hedef sunucunun dinlemede olan portuna bağlantı talebi göndermesine dayanır. Reverse Shell Nedir? Ele geçirilen sunucu; netcat, yada python, perl vb programlama dilleri ile yazılmış scriptler ile saldırganın bilgisayarının dinlemede olduğu bir portuna bağlantı talebi gerçekleştirmesine dayanmaktadır. Bind Shell ve Reverse Shell arasındaki farka dikkat eder
Devamı