Geçtiğimiz günlerde bir müşterimizden sorun bildirimi geldi, sorun; sürekli olarak iletişim halinde olduğu müşterisinden kendisine mail gelmediği yönündeydi.
Güncel rutin testleri gerçekleştirdikten sonra gördüm ki gerçekten bir problem var, konuyu detaylı olarak incelemek için karşıdaki göndericinin smtp IP adresini alarak, bize mail göndermesini istedim, karşı taraf mail gönderimi gerçekleştirirken bende bu IP adresinden gelen paketleri dinlemeye başladım.
Dinleme sonucunda aşağıdaki gibi dump aldım,
[important]16:32:04.631940 IP smtp.xxxx.com.38264 > mx.yyyy.com.smtp: Flags [S], seq 3237123503, win 64240, options [mss 1460,nop,nop,sackOK], length 0
0x0000: 4500 0030 6690 4000 6c06 8b66 52c2 7a32 E..0f.@.l..fR.z2
0x0010: d4fc 7ae0 9578 0019 c0f2 95af 0000 0000 ..z..x……….
0x0020: 7002 faf0 7f29 0000 0204 05b4 0101 0402 p….)……….
16:32:07.645920 IP smtp.xxxx.com.38264 > mx.yyyy.com.smtp: Flags [S], seq 3237123503, win 64240, options [mss 1460,nop,nop,sackOK], length 0
0x0000: 4500 0030 675c 4000 6c06 8a9a 52c2 7a32 E..0g\@.l…R.z2
0x0010: d4fc 7ae0 9578 0019 c0f2 95af 0000 0000 ..z..x……….
0x0020: 7002 faf0 7f29 0000 0204 05b4 0101 0402 p….)……….
16:32:13.578334 IP smtp.xxxx.com.38264 > mx.yyyy.com.smtp: Flags [S], seq 3237123503, win 64240, options [mss 1460,nop,nop,sackOK], length 0
0x0000: 4500 0030 67f8 4000 6c06 89fe 52c2 7a32 E..0g.@.l…R.z2
0x0010: d4fc 7ae0 9578 0019 c0f2 95af 0000 0000 ..z..x……….
0x0020: 7002 faf0 7f29 0000 0204 05b4 0101 0402 p….)……….
16:33:42.681860 IP smtp.xxxx.com.38273 > mx.yyyy.com.smtp: Flags [S], seq 3714940562, win 64240, options [mss 1460,nop,nop,sackOK], length 0
0x0000: 4500 0030 6e30 4000 6c06 83c6 52c2 7a32 E..0n0@.l…R.z2
0x0010: d4fc 7ae0 9581 0019 dd6d 7e92 0000 0000 ..z……m~…..
0x0020: 7002 faf0 79c2 0000 0204 05b4 0101 0402 p…y………..
16:33:45.696841 IP smtp.xxxx.com.38273 > mx.yyyy.com.smtp: Flags [S], seq 3714940562, win 64240, options [mss 1460,nop,nop,sackOK], length 0
0x0000: 4500 0030 6e7a 4000 6c06 837c 52c2 7a32 E..0nz@.l..|R.z2
0x0010: d4fc 7ae0 9581 0019 dd6d 7e92 0000 0000 ..z……m~…..
0x0020: 7002 faf0 79c2 0000 0204 05b4 0101 0402 p…y………..
16:33:51.732057 IP smtp.xxxx.com.38273 > mx.yyyy.com.smtp: Flags [S], seq 3714940562, win 64240, options [mss 1460,nop,nop,sackOK], length 0
0x0000: 4500 0030 7010 4000 6c06 81e6 52c2 7a32 E..0p.@.l…R.z2
0x0010: d4fc 7ae0 9581 0019 dd6d 7e92 0000 0000 ..z……m~…..
0x0020: 7002 faf0 79c2 0000 0204 05b4 0101 0402 p…y………..
16:34:19.687926 IP smtp.xxxx.com.38277 > mx.yyyy.com.smtp: Flags [S], seq 3420188340, win 64240, options [mss 1460,nop,nop,sackOK], length 0
0x0000: 4500 0030 71bc 4000 6c06 803a 52c2 7a32 E..0q.@.l..:R.z2
0x0010: d4fc 7ae0 9585 0019 cbdb eeb4 0000 0000 ..z………….
0x0020: 7002 faf0 1b2e 0000 0204 05b4 0101 0402 p……………
16:34:22.703290 IP smtp.xxxx.com.38277 > mx.yyyy.com.smtp: Flags [S], seq 3420188340, win 64240, options [mss 1460,nop,nop,sackOK], length 0
0x0000: 4500 0030 71de 4000 6c06 8018 52c2 7a32 E..0q.@.l…R.z2
0x0010: d4fc 7ae0 9585 0019 cbdb eeb4 0000 0000 ..z………….
0x0020: 7002 faf0 1b2e 0000 0204 05b4 0101 0402 p……………
16:34:28.737248 IP smtp.xxxx.com.38277 > mx.yyyy.com.smtp: Flags [S], seq 3420188340, win 64240, options [mss 1460,nop,nop,sackOK], length 0
0x0000: 4500 0030 71f7 4000 6c06 7fff 52c2 7a32 E..0q.@.l…R.z2
0x0010: d4fc 7ae0 9585 0019 cbdb eeb4 0000 0000 ..z………….
0x0020: 7002 faf0 1b2e 0000 0204 05b4 0101 0402 p……………
16:35:25.658646 IP smtp.xxxx.com.38285 > mx.yyyy.com.smtp: Flags [S], seq 1670775216, win 64240, options [mss 1460,nop,nop,sackOK], length 0
0x0000: 4500 0030 136d 4000 6b06 df89 52c2 7a32 E..0.m@.k…R.z2
0x0010: d4fc 7ae0 958d 0019 6396 01b0 0000 0000 ..z…..c…….
0x0020: 7002 faf0 7070 0000 0204 05b4 0101 0402 p…pp……….
16:35:28.616420 IP smtp.xxxx.com.38285 > mx.yyyy.com.smtp: Flags [S], seq 1670775216, win 64240, options [mss 1460,nop,nop,sackOK], length 0
0x0000: 4500 0030 1435 4000 6b06 dec1 52c2 7a32 E..0.5@.k…R.z2
0x0010: d4fc 7ae0 958d 0019 6396 01b0 0000 0000 ..z…..c…….
0x0020: 7002 faf0 7070 0000 0204 05b4 0101 0402 p…pp……….
16:35:34.651640 IP smtp.xxxx.com.38285 > mx.yyyy.com.smtp: Flags [S], seq 1670775216, win 64240, options [mss 1460,nop,nop,sackOK], length 0
0x0000: 4500 0030 15c2 4000 6b06 dd34 52c2 7a32 E..0..@.k..4R.z2
0x0010: d4fc 7ae0 958d 0019 6396 01b0 0000 0000 ..z…..c…….
0x0020: 7002 faf0 7070 0000 0204 05b4 0101 0402 p…pp……….[/important]
Dump da görebileceğiniz gibi sürekli olarak Flags S geliyor, yani karşıdaki kullanıcı bize sürekli olarak Syn paket gönderiyor, normal şartlarda olsa bu durumu saldırı olarak algılar, IP yi bile engelleyebilirsiniz 🙂 Düşünseniz ya birisi sürekli olarak size syn paket gönderiyor.
Neyse bunun durumun saldırı olmadığını bildiğim için hayırdır deyip ekrana biraz daha yaklaştık ve daha detaylı incelemeye başladım. Bu adam bize syn gönderiyor, bizimde bu amcaya syn+ack göndermemiz lazım, onunda bize ack paket gönderip TCP/IP Three Way Handshake işlemini tamamlamamız gerekiyor ancak bir terslik var, biz bu handshake işlemini gerçekleştiremiyoruz.
TCP/IP three way handshake işlemini bilmeyen arkadaşlar linkten detayları inceleyebilir.
Bir süre inceledikten sonra sorunun sebebini buldum, bize mail göndermeyi deneyen smtp sunucusuna göndermiş olduğumuz paketler kendisine ulaşmıyor, çünkü smtp sunucunun önündeki IPS cihazı inbound trafik için müşterimizin IP adresini engellemiş.
Bu engelleme nedeni ile karşıdaki sunucu müşterimizin sunucusuna syn paket gönderiyor, syn paket alan sunucu ack+syn gönderiyor ancak IP adresi IPS tarafından engellendiği için gönderdiğimiz paketler smtp sunucusuna ulaşmıyor ve bize yeniden syn paket gönderiyor, baktı cevap yok yine, yine, yine…
En sonunda yeter arkadaş senle biz anlaşamayacağız deyip çekip gidiyor ve mail göndericisine connection timeout hatası dönüyor.
Sonuç olarak,
Her tekrarlayan syn connection atak değildir, karşıdaki sistemler sizi engellerse bu durum oluşabilir.
Böylece bir tecrübe paylaşımının daha sonuna gelmiş bulunuyoruz, kalın sağlıcakla…
