Nmap “ftp-anon.nse” Kodu Trafik Analizi

Bu yazımızda nmap ile ftp anonim girişi kontrolünün pcap analizini yapacağız.

İlk olarak nmap kodunu inceleyelim. Varsayılan olarak /usr/share/nmap/scripts/ftp-anon.nse de yer almaktadır. Bu dosyayı açarak kodun akışını inceleyelim.

Kod incelendiğinde kullanıcı adı olarak anonymous, parola olarak IEUser@ girildiği görülmektedir.

İlgili scripti Nmap aracılığıyla çalıştırdığımızda sonuç aşağıdaki şekildedir:

Wireshark ekran görüntüsü aşağıdaki şekildedir:

5,6 ve 7 nolu paketler daha önce incelediğimiz üzere SYN taramasına karşılık gelmektedir. Saldırgan IP adresi 10.10.10.10 ve tarama yapılan makinanın IP adresi ise 10.10.10.20 olarak belirlenmiştir.

8,9 ve 10 nolu paketlerde 3lü el sıkışma sağlanmış olup 11 nolu pakette banner bilgisi döndürülmüştür.

13 nolu pakette kullanıcı adı anonymous “USER anonymous” olarak gözlemlenmiş, 17 nolu pakette ise parola IEUser@ olarak “PASS IEUser@” olarak gözlemlenmiştir. Ve 19 nolu paket incelendiğinde başarılı bir giriş olduğu gözlenmiştir. Bu dizinim ile nmap’in ftp-anon kodunu çalıştırdığı belirlenmiştir.