Footprinting

Sic e kemi trajtuar edhe ne tema te tjera ne AW, edhe ne kete teme do te trajtojm FOOTPRINTING.

Hapi i pare dhe i rendesishem per nje hacker dhe sigurisht e rendesishme te studjohet nga nje Security IT.  Pikerisht ky eshte dhe qellimi i ksaj teme te shfaqim disa menyra te footprinting dhe menyren se si te parandalojme ato.  Eshte e rendesishme per nje person qe merret me siguri te ket mentalitetin e nje hackeri.  Footprinting eshte procesi i mbledhjes se datave fillestare per nje x target duke perdorur metoda te pranishme ne publik.  Ky informacion mund te perdoret per te kuptuar me mire arkitekturen e network-ut te viktimes.

Motoret e kerkimit –  mund te perdoren per te mbledhur informacione te rendesishme. Celsi qendron ne menyren se si kerkojme ne databasen e ketyre motoreve. Psh disa kompani kerkojne ne internet profesionista ne fushe te sigurise,  kjo tregon se dicka nuk shkon me rrjetin e tyre.  Ky fakt e ndihmon nje sulmues ku te fokusohet. Pra e rendesishme eshte qe informacione te tilla,  kerkesa te tilla te mos behen ne publik.   Me ane te motoreve mund te gjejme dhe log file te cilat jane lene ne menyre te pavullnetshme ne web root te web server-it.  Psh.

“Index of” log_file ,  ky log_file mund te jete: syslog, maillog, access_log, error_log etj…

Query te tilla mund te perdoren ne motoret e kerkimit dhe informacione sensitive per hostin tuaj mund te ekspozohen. Eshte mir qe te kujdeseni per file te tilla. Nqs jeni administrator ne linux atehere eshte mir te kerkoni per ekzistencen e fileve log ne web root me kete komand ne shell:

ls -alR “web-root” | grep log – ne vend te web-root vendosni adresen ku ndodhet ne sistemin tuaj. (pa thonjeza)

Regjistruesit e domain-eve

Nje organizate mund te kete disa rrjeta ne vende te ndryshme. Te gjejme domaine te lidhur me nje organizate te caktuar realizohet me ane te pyetjeve “whois”. Shume regjistrues te domainve kane nje server publik “whois” me porte 69 ne te cilen klientet mund te lidhen ne menyre per te marr informacion mbi ato qe kane domainet. Informacioni i kthyer nga kerkesat whois permban dhe POC, DNS te cilat jane te rendesishme per te percaktuar network-un e viktimes. Domainet regjistrohen nga regjistrues te ndryshem, kshu qe si fillim na duhet te kerkojme regjistruesin e domainit dhe me pas te bejme kerkes mbi xkompani.com ne serverin regjistrues. Nje server i mir publik nga te fillojm punen eshte whois.crsnic.net Atehere komanda qe duhet ekzekutuar ne shell eshte:

whous -h whois.crsnic.net xkompani.com

kjo do te na shfaqi te dhena te tilla:

Domain Name: xkompani.com

Registrar: whois.serveriregjistrues.com

Name Server:

NS1.XKOMPANI.COM

Name Server: NS2.XKOMPANI.COM

Tani qe kemi serverin qe ka regjistruar domain, bejm perseri kerkese por tashme ne serverin qe gjetem. Kshu qe do kemi:

whois -h whois.serveriregjistrues.com xkompani.com

Tani do na shfaqen info mbi personin qe ka bler domain (ownerin)

Emri Mbiemri Emaili Adresa Nr i tel … Kontakt administrativ .. . NS1.serveri.com 18.0.0.1 NS2.serveri.com 192.168.1.1

Vazhdojme… Gjithashtu ne database mund te kerkohet edhe me keyword. Dmth mund te perdorim nje query te till:

whois -h whois.crsnic.net “albanianwizard.”

dhe do te shfaqen te gjitha domainet qe jan kshu: albanianwizard.org albanianwizard.com albanianwizardblabla.com e kshu me rradh…

Regional Internet Registries

E ngjashme me domainet, organizatat mund te keni edhe blloqe Ip Adresash. Keto adresa afishohen ne database te medha per zona te ndryshme te globit. Serveri per europen eshte whois.ripe.com Ne te njejten menyre do te bejm perseri whois per blloqe IP apo kerkojme per nje organizat te caktuar. Do te na afishohen info te cilat mund te jene te nevojshme.

DNS Reverse – Lookups

DNS reverse lookup nevojitet per te kaluar nga nje IP ne HOST dhe nese bejme ne shell:

host 18.0.0.3 (pa lidhje)

mund te na shfaqen info te rendesishme mbi ekzistencen e ndonje lloj serveri.

Mail Exchange

Per te gjetur hostname-t dhe IP-te e mail serverave te nje organizate perdorim komanden dig mx ne shell:

dig mx xkompani.com

Do te na shfaqet mail serveri ne formen mail.xkompani.com (nje gje e till).

Zone Transfers

Nje transferim ndodh kur nje DNS server dytsor kontakton me nje primar ne menyre qe te bej update e informacionit te asaj zone. Per te realizuar nje zone transfer per nje organizat te caktuar na duhet IP e DNS server-it. Kete gje mund ta realizojme thjesht me whois, dhe nqs na jepet ne hostname atehere perdorim komanden qe pershkruam me larte. Tani qe kemi dhe DNS, ekzekutojme komanden ne shell:

host -l domaini IP_DNS

Do na shfaqen:

mail.xkompani.com has address 192.168.1.10

Using domain server:

Name: 10.0.0.1

Address: 10.0.0.1#53

firewall.xkompani.com is an alias for vpn.xkompani.com

Using domain server:

Name: 10.0.0.1

Address: 10.0.0.1#53

vpn.xkompani.com has address 192.168.1.9

Using domain server:

Name: 10.0.0.1

Address: 10.0.0.1#53

Pra do te na shfaqen hostname dhe me IP perkatese ne network te ketyre serverave Menyra se si ti ndalojme Zone Transfer:

* Nuk duhet te lejojme hoste te pa autorizuara te bejne transferime nga DNS juaj.

* Perderisa transferimet behen ne porten TCP 53, konfiguroni firewall qe te bllokoj lidhjet me te.

* Eshte nje ide e mire qe te instalojme nje DNS server per hostet e intranetit qe te mos jete i aksesueshem nga jashte.

Traceroute

Me ndihmen e kerkesave te mesiperme qe realizuam, IP adresat mund te merren lehte po te njohim emrin e nje organizate qe na intereson. Perderisa paketat per te arritur ne destinacion kalojn ne shtegje te ndryshme eshte mir qe te mesojme per gateway-t qe kalon midis nesh dhe hostit destinues. Per te realizuar kete na hyn ne pun komanda ne shell traceroute:

traceroute 10.0.0.1

Ky program funksionon duke derguar paketa UDP ne porta te larta tek destinacioni me vleren TTL (Time to Live) 1 fillimisht dhe qe shtohet me 1 per cdo paket pasardhese. Gateway-t e ulin TTL me 1 perpara se ta bejn forward ate. Nqs TTL eshte 0 atehere ajo i kthen nje paket ICMP Time To Live Exceeded ne hostin qe dergoi kerkesen fillestare. Ne kete menyre funksionon ky program derisa i ben route te gjith getway-ve. Me parametrin -p mund te ndryshojme porten per te anashkaluar firewall qe mund te ken Gatway-t. Menyra per te parandaluar traceroute:

* Konfigurojme firewall ne menyre qe te thyej paketat qe dergohen ICMP Time to Live Exceeded”

* Konfiguroni firewall ne menyre qe te lejoj vetem ato paketa UDP hyrese te cilat vijn nga porta 53 (DNS) dhe nga IP specifike.

One thought on “Footprinting

  1. Shume mire, me pelqeu tema 😉
    Perdora ca kohe Maltego si aplikacion dhe kishte vertet shume opcione sidomos ne footprinting e fingerprinting.
    Tek videotutorialet ne webin zyrtar ka ca gjera shume interesante.

Leave a Reply

Your email address will not be published. Required fields are marked *