TCP Idle Scan چیست؟ خوب تا اینجای کار در ITPRO انواع مختلفی از تکنیک های پورت اسکن را به شما عزیزان معرفی کردیم اما در همه این تکنیک ها یک چیز مشترک بود ، همه اسکن ها مستقیما توسط سیستم مهاجم انجام می شد و درصد شناسایی مهاجم در این نوع اسکن ها بسیار بالا می رفت هر چند که مخفی کاری نیز انجام شده باشد در هر حال امکان شناسایی وجود دارد.
امروز می خواهیم در خصوص پیچیده ترین و در عین حال باحال ترین نوع پورت اسکن در دنیا صحبت کنیم و آن چیزی نیست به جز Idle Scan ... در این نوع اسکن در ساده ترین تعریف ممکن ، شما به هیچ عنوان بصورت مستقیم به سرور مقصد متصل نمی شوید که درصدی احتمال شناسایی وجود داشته باشد !! شما کارتان را از طریق یک سیستم واسط انجام می دهید که در اصطلاح امنیت و هک به این سیستم قربانی که اسکن از طرف آن ثبت و ضبط می شود Zombie گفته می شود.
TCP Idle Scan توسط شخصی به نام Antirez طراحی و معرفی شد ، محقق و پژوهشگر حوزه امنیتی که ابزار hping2 را نیز به دنیا معرفی کرد. از این نوع پورت اسکن به عنوان پورت اسکن کاملا مخفی یا completely blind port scan نام برده می شود. مهاجم در این نوع اسکن کردن حتی یک بسته اطلاعاتی نیز به سمت هدف ارسال نمی کند که درصدی احتمال شناسایی مهاجم وجود داشته باشد. این Zombie ها هستند که فرآیند پورت اسکن را در این حالت انجام می دهند و در هر مکانیزم Log برداری فایروال یا سیستم تشخیص نفوذ ، آدرس Zombie ها ثبت و ضبط خواهد شد.
یکی از دلایل محبوبیت این نوع پورت اسکن در میان هکرهای کلاه سیاه این است که می توانند اسکن ها را از کامپیوترهای Zombie ای انجام بدهند که در دایره اعتماد یا Trust سرور مقصد قرار دارند و بنابراین خیلی ساده تر می توان عملیات شناسایی را انجام داد. برخلاف تکنیک های پورت اسکنی که تاکنون در ITPRO معرفی شده است ، Idle Scan بسیار بسیار پیچیدگی بیشتری دارد اما قرار نیست شما زیاد درگیر این پیچیدگی ها شوید و صرف اینکه متوجه باشید مکانیزم کاری این نوع اسکن به چه شکل است برای این مقاله کفایت می کند ، بصورت کلی فرآیند پورت اسکن توسط این تکنیک به شکل زیر می باشد ، در ابتدا یک سری دانش اولیه برای ورود به این نوع اسکن الزامی است :
خوب حالا با توجه به سه نکته گفته شده در بالا ، این امکان وجود دارد که یک مهاجم با استفاده از IPID یک سیستم واسط قربانی ، یک ماشین دیگر را هدف اسکن کردن قرار بدهد ، اما فرآیند فنی Idle Scan نیز قابل تامل است ، بصورت کلی ، فرآیند Idle Scan یک فرآیند سه مرحله ای است که شامل همه مراحل برای اسکن کردن هر پورت بصورت مجزا می باشد ، یعنی برای اسکن کردن ده عدد پورت ، ده بار باید فرآیند زیر انجام شود که به شکل زیر می باشد :
پس از اینکه این فرآیند انجام شد ، IP ID مربوط به Zombie بایستی یک یا دو عدد زیاد شده باشد. اضافه شدن یک عدد به این معنی است که Zombie بسته اطلاعاتی خاصی ارسال نکرده است و از آن Packet ای در واقع خارج نشده است ، مگر پاسخ آن به کامپیوتر مهاجم که ما هستیم ( اسکنر ) . این کمبود بسته اطلاعاتی به منزله بسته بودن پورت مورد نظر است ، یعنی کامپیوتر هدف که اسکن شده است به سمت سیستم Zombie یک بسته ریست فقط ارسال کرده است که از طرف Zombie هم Ignore شده است.
اما اگر عدد IP ID دو عدد زیاد شده باشد به منزله باز بودن پورت مورد نظر است زیرا سرور مقصد به سمت سیستم Zombie بسته اطلاعاتی بازگشتی داده است و درخواست برقراری ارتباط داده است. البته این ساختار بسیار ساده تشریح شده است و در خصوص Idle Scan بحث های زیادی می توان انجام داد. فقط به این مسئله نیز دقت کنید که Zombie چیزی نیست که همیشه در دسترس باشد و شما باید یک سیستم Zombie برای اینکار از قبل آماده داشته باشید یا با استفاده از اسکریپت های خاص این قربانی های واسط را پیدا کنید. ITPRO باشید
نویسنده : محمد نصیری
منبع : ITPRO
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات
هکر کلاه سفید ، کارشناس امنیت اطلاعات و ارتباطات و کشف جرائم رایانه ای ، بیش از 12 هزار ساعت سابقه تدریس در بیش از 40 سازمان دولتی ، خصوصی و نظامی ، علاقه مند به یادگیری بیشتر و عاشق محیط زیست ، عضو کوچکی از مجموعه توسینسو
08 خرداد 1396 این مطلب را ارسال کرده