Ağu 16

Yerel ağdaki dropbox kullanıcı ip lerini tcpdump ile tespit etmek

Alında bu yazıyı unuturumda döner siteme bakarım diye yazıyorum, daha önce tcpdump kullanımını sizlerle yaplaşmıştım.

tcpdump -i eth0 src port 17500 and dst port 17500 and dst host 255.255.255.255

Faydalı olabilmesi temennisi ile…

Share Button

Ağu 16

SSLdump ile SSL li trafiği dinlemek

Bu yazımda ssl li bir trafiği nasıl dinleyebileceğimizden bahsedeğim.

SSL li trafiği dinleyebilmek için kesinlikle ssl sertifikasına sahip olmamız gerekir aksi taktir de dinleme işleminden anlamlı veriler elde edemeyiz.

SSL sertifikasının elimizde olduğunu var sayar isek, dinleme işlemini ssldump tool u ile gerçekleştireceğiz.

Kullanımı :

ssldump -i eth0 port 443 –> 443. porttan geçen https trafiğini izler.

ssldump -i eth0 port 443 and host 1.1.1.1 –> 1.1.1.1 ile sunucu arasındaki https trafiğini izler.

ssldump -d -H -k /home/user/ssl.key -i etho tcp port 443 and host 1.1.1.1

1.1.1.1 hostuna ait https trafiğini yukarıdaki komut ile dinleyebiliriz.

daha detaylı bilgi için http://www.rtfm.com/ssldump/ adresini inceleyebilirsiniz.

Faydalı olabilmesi temennisi ile..

Share Button

Ağu 16

Ngrep nedir, ne değildir, ne işe yarar

Bu yazımda sizlere ngrep tool undan bahsedeceğim, oldukça başarılı ve işe yarayan bir tool diyebilirim kendisi için.

Ngrep Nedir?

Ngrep belirtmiş olduğunuz port üzerinden geçen veriyi gösterir.

Örneğin maillerinize pop3 den erişiyorsunuz, eğer ssl yok ise sunucu üzerinde çalıştırılacak olan,

ngrep port 110

komutu, sunucuya gelen tüm mail içeriklerini ve mail adresi şifrelerini bize gösterir. Bu tool ile sunucunuza erişim problemi yaşandığında ilgili servisin portu ngrep ile dinlenerek porta veri gelip gelmediği kontrol edilir.

Porta veri gelmiyor ise user sunucuya erişemiyordu, firewall v.s. kesiyor olabilir, bunlara yoğunlaşmanız gerekir ancak paket geliyor ancak hata alınıyor ise uygulama logları incelenir gibi çözümlerin üretilmesi için önem arz etmektedir.

Ngrep default linux de mevcut olmayıp ek kurulum gerektirmektedir.

Ngrep Kurulum :

cd /tmp

wget http://pkgs.repoforge.org/ngrep/ngrep-1.45-2.el6.rf.x86_64.rpm

rpm -ivh ngrep-1.45-2.el6.rf.x86_64.rpm

ile kurulumu tamamlayabilirsiniz.

En güncel sürümünü http://pkgs.repoforge.org/ngrep/ adresinden kontrol ederek kurabilirsiniz.

Ngrep Kullanımı :

ngrep -q port 80 —> http den geçen trafiği izler.şifrelenmemiş verileri cleare text olarak görebilirsiniz.

ngrep -q port 21—> sunuya gelen ftp baglantılarını izleyebilir, sunucuya gelen request deki user name şifre gibi bilgileri görebilirsiniz.

ngrep -q -i ‘aranmak istenen text’ tcp port 80 –> http ye gelen talepleri izleyerek içerisinde belirtilen değer yer alan içeriği ekrana basar.

ngrep -W byline port 80 –>http den geçen veriyi satır satır düzğün bir şekilde gösterir.

ngrep -W byline port 80 -o /tmp/web.log –> çıktıyı web.log dosyasına kaydeder.

Faydalı olabilmesi temennisi ile…

 

Share Button

Ağu 15

Tcpdump nedir, ne yapar, örnekler

Aranızda tcpdump nedir diye sorsalar bilmeyeneniz yoktur her halde, kısaca bahsetmek gerekirse makinenize gelen trafiği izlemenizi sağlayan başarılı bir tool diyebiliriz.

tcpdump ı kurmak için

yum -y install tcpdump.x86_64 komutu ile kurabiliriz.

en basit kullanımı :

tcpdump

tcpdump ile dinlenebilecek interfacesleri listesini,

tcpdump -D

bildiğim en detayı hali ile bir satır yazarak onu açıklıyayım size,

tcpdump -nn -i eth0 -s0 -X dst host 1.1.1.1 and src host 1.1.1.2 and port 25 -v -w /tmp/x.log -c 20

-nn : ip nin ve portun çözümlemesini yapma diyorum. yani ip içini xxx.statik.ttnet.net.tr yazmasın ip yazsın ve smtp yazmak yerine 25 yazsın diyorum. Yağun paket akışı olan sunucularda bunu kullanmazsanız paket akışı çok yavaş olabiliyor.

-i : interface seçiyoruz, biz burda interface olarak eth0 ı seçtik.

-s0 : default olarak paketin ilk 24 byte görüntülenir ancak -s0 ile paketin içeriğinin tamamını gösterir.

-X : -s0 ile elede edilen veriyi ekrana basar.

dst host : hedef host ip si

src host : kaynak host

and,or, not : 3 operatör var, ve veya değil operatörleri bilmeyen yoktur sanırım, bilmeyen var ise araştırabilir, yada örneklere bakarak anlayabilir.

port : belirtilen portu dinler.

port not 25 : 25. port dışındakiler.

-v : ttl ve id bilgilerini verir.

-w çıktıyı kaydetmek için.

-c 20 : 20 paketi göster sadece

Örnekler:

sadece 80 e gelen paketleri göster,

tcpdump port 80

sadece 1.1.1.1 den 80 e gelen istekleri göster,

tcpdump src host 1.1.1.1 and port 80

1.1.1.1 den gelen paketleri listele ama 80 e gelenleri listeleme

tcpdump src host 1.1.1.1 and port not 80

konu ile ilgili olarak aşağıdaki adresleri de inceleyebilirsiniz.

http://www.bga.com.tr/calismalar/tcpdump1.pdf

http://openmaniak.com/tcpdump.php

Faydalı olabilmesi temennisi ile…

Share Button

Tem 30

Multipath nedir, ne işe yarar?

Bu yazımda sizlere bahsetmek istediğim konu daha çok enterprise yapılarda kullanılan storage a yüksek erişilebilirlik sağlayan bir yapılandırma. Konuya ileri derecede hakim olmadığım için sadece yüzeysel olarak basedebileceğim, umarım faydalı olur.

Multipath genellikle hostların (fiziksel sunucuların) storage ile olan bağlantısını yedeklemek amacı ile kullanılır, fiziksel sunucu ile storage arasındaki fiber kablolardan birisi kopması, zarar görmesi v.b. durumunda storage olan erişimi kaybetmeden sisteminize erişilebilirliği sağlar. Bankalar global eticaret sistemleri gibi enterprise yapılarda kullanılmaktadır.

Bir kaç görsel ile size yapıdam bahsetmek istiyorum :

Görsellerde de görmüş olduğunuz gibi Sunucular üzerinde bulunan HBA kartları SANaracılığı ile storage lara bağlanmaktadır.

HBA lardan birisinde veya SAN ların birisinde problem olması durumunda ikinci hba veya san üzerinden veri akışı devam etmekte ve problem yaşanmamaktadır.

Konu ile ilgili kurulum ve testleri devam ediyor vakit oldukça ve yeni bilgiler edindikçe sizlerle paylaşıyor olacağım.

Faydalı olabilmesi temennisi ile…

Share Button