Nmap Versiyon Taraması Trafik Analizi
Kali makinamızdan 10.10.10.20 IP adresine nmap ile versiyon taraması yapıyoruz.
Versiyon taramasında ilk olarak açık bir servisin analizi ile başlayalım.
Wireshark üzerinde 8080 nolu portu filtreleyelim. Bunun için tcp.port==8080 filtresini kullanabiliriz.
126,133,136 nolu paketleri incelendiğinde daha önceki yazılarımızda incelediğimiz SYN taraması dizilimine benzediğini görebilmekteyiz. Nmap versiyon taramasında ilk olarak SYN taraması yapmaktadır. 131340,131359 ve 131360 nolu paketlerde 3lü el sıkışması yapılmıştır. Nmapte versiyon bilgisi 3lü el sıkışma tamamlandıktan sonra elde edilmekte olup, 131646 nolu pakette kök dizine HTTP isteği yapılmıştır. Ve 131825 nolu pakette anasayfa geri döndülürmüş olup banner bilgisi bu pakette server bilgisi alanında Apache-Coyote olarak görülebilemektedir.
Şimdi 8081 nolu portu filtreleyelim.Bunun için tcp.port==8081 filtresini kullanabiliriz.
Versiyon taramasında port kapalı olduğu için SYN taramasındaki portun kapalı olduğu dizilim görülecektir.
Haberleşmenin başlaması için SYN flagi set edilmiş bir paket 10.10.10.10 IP adresinden 10.10.10.20 IP adresine gönderilmiştir.(105896 nolu paket)
Port kapalı olduğu için 10.10.10.20 IP adresine sahip kurban makina RST ve ACK flagleri set edilmiş paketi geri döndürmüştür. (105903 nolu paket)