تا 60% تخفیف
برای 5 نفر
به همراه صدور مدرک
مانده تا پایان تخفیف ها
TCP Idle Scan چیست؟ معرفی انواع پورت اسکن به زبان بسیار ساده
TCP Idle Scan چیست؟ خوب تا اینجای کار در ITPRO انواع مختلفی از تکنیک های پورت اسکن را به شما عزیزان معرفی کردیم اما در همه این تکنیک ها یک چیز مشترک بود ، همه اسکن ها مستقیما توسط سیستم مهاجم انجام می شد و درصد شناسایی مهاجم در این نوع اسکن ها بسیار بالا می رفت هر چند که مخفی کاری نیز انجام شده باشد در هر حال امکان شناسایی وجود دارد.
دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
امروز می خواهیم در خصوص پیچیده ترین و در عین حال باحال ترین نوع پورت اسکن در دنیا صحبت کنیم و آن چیزی نیست به جز Idle Scan ... در این نوع اسکن در ساده ترین تعریف ممکن ، شما به هیچ عنوان بصورت مستقیم به سرور مقصد متصل نمی شوید که درصدی احتمال شناسایی وجود داشته باشد !! شما کارتان را از طریق یک سیستم واسط انجام می دهید که در اصطلاح امنیت و هک به این سیستم قربانی که اسکن از طرف آن ثبت و ضبط می شود Zombie گفته می شود.
TCP Idle Scan توسط شخصی به نام Antirez طراحی و معرفی شد ، محقق و پژوهشگر حوزه امنیتی که ابزار hping2 را نیز به دنیا معرفی کرد. از این نوع پورت اسکن به عنوان پورت اسکن کاملا مخفی یا completely blind port scan نام برده می شود. مهاجم در این نوع اسکن کردن حتی یک بسته اطلاعاتی نیز به سمت هدف ارسال نمی کند که درصدی احتمال شناسایی مهاجم وجود داشته باشد. این Zombie ها هستند که فرآیند پورت اسکن را در این حالت انجام می دهند و در هر مکانیزم Log برداری فایروال یا سیستم تشخیص نفوذ ، آدرس Zombie ها ثبت و ضبط خواهد شد.
یکی از دلایل محبوبیت این نوع پورت اسکن در میان هکرهای کلاه سیاه این است که می توانند اسکن ها را از کامپیوترهای Zombie ای انجام بدهند که در دایره اعتماد یا Trust سرور مقصد قرار دارند و بنابراین خیلی ساده تر می توان عملیات شناسایی را انجام داد. برخلاف تکنیک های پورت اسکنی که تاکنون در ITPRO معرفی شده است ، Idle Scan بسیار بسیار پیچیدگی بیشتری دارد اما قرار نیست شما زیاد درگیر این پیچیدگی ها شوید و صرف اینکه متوجه باشید مکانیزم کاری این نوع اسکن به چه شکل است برای این مقاله کفایت می کند ، بصورت کلی فرآیند پورت اسکن توسط این تکنیک به شکل زیر می باشد ، در ابتدا یک سری دانش اولیه برای ورود به این نوع اسکن الزامی است :
- یکی از روشهای مرسومی که باز بودن یک پورت TCP را تشخیص می دهد ارسال یک بسته SYN برای برقراری ارتباط به پورت مورد نظر است. اگر سیستم هدف در پاسخ بسته SYN//ACK به منزله تایید برقرار ارتباط را بازگشت داد یعنی پورت مورد نظر باز است و اگر در پاسخ بسته RST برای ریست کردن ارتباط ارسال کرد پورت مورد نظر بسته است . این مکانیزم در Idle Scan نیز وجود دارد و قبلا در ITPRO در قسمت SYN Scan کاملا تشریح شده است.
- هر ماشینی که بسته اطلاعاتی ناشناخته ای بصورت SYN//ACK دریافت کند با RST قطعا پاسخ خواهد داد. هرگونه RST بی مورد در فایروال ها نادیده گرفته می شود .
- هر بسته اطلاعاتی از نوع IP در اینترنت برای خودش دارای یک Fragment Identification Number یا IP ID می باشد که شناسه منحصر به فرد آن سیستم یا بسته اطلاعاتی نیز خواهد بود. با توجه به اینکه اکثر سیستم عامل های امروزی از مکانیزم افزایش مقدار IP ID در ارسال بسته های اطلاعاتی خودشان استفاده می کنند ، با شنود کردن IPID های سیستم های قربانی می توان تعداد بسته های اطلاعات و زمان و سایر اطلاعاتی از این قبیل را بدست آورد و در Idle Scan ما از این IPID برای اسکن کردن واسط استفاده می کنیم.
خوب حالا با توجه به سه نکته گفته شده در بالا ، این امکان وجود دارد که یک مهاجم با استفاده از IPID یک سیستم واسط قربانی ، یک ماشین دیگر را هدف اسکن کردن قرار بدهد ، اما فرآیند فنی Idle Scan نیز قابل تامل است ، بصورت کلی ، فرآیند Idle Scan یک فرآیند سه مرحله ای است که شامل همه مراحل برای اسکن کردن هر پورت بصورت مجزا می باشد ، یعنی برای اسکن کردن ده عدد پورت ، ده بار باید فرآیند زیر انجام شود که به شکل زیر می باشد :
- باید بر روی سیستم قربانی Zombie به دنبال IP ID گشت و آن را ثبت کرد.
- از طرف سیستم Zombie به سمت سیستم قربانی بر روی پورت مورد نظر یک بسته SYN ارسال کرد. بر حسب وضعیت پورت مورد نظر کامپیوتر هدف ممکن است باعث شود که IP ID بعدی اضافه شود یا نیازی به اضافه کردن آن نباشد و بدون تغییر بماند.
- مجددا به دنبال IP ID جدید سیستم Zombie می گردیم و آن را ثبت می کنیم. برای بررسی کردن وضعیت پورت IP ID جدید را با IP ID قدیمی مقایسه می کنیم و متوجه می شویم که وضعیت پورت مورد نظر چگونه است زیرا سیستم قربانی درخواست را به سمت Zombie هدایت کرده است. این فرآیند برای همه پورت های مورد نظر مجددا از مرحله اول انجام می شود.
پس از اینکه این فرآیند انجام شد ، IP ID مربوط به Zombie بایستی یک یا دو عدد زیاد شده باشد. اضافه شدن یک عدد به این معنی است که Zombie بسته اطلاعاتی خاصی ارسال نکرده است و از آن Packet ای در واقع خارج نشده است ، مگر پاسخ آن به کامپیوتر مهاجم که ما هستیم ( اسکنر ) . این کمبود بسته اطلاعاتی به منزله بسته بودن پورت مورد نظر است ، یعنی کامپیوتر هدف که اسکن شده است به سمت سیستم Zombie یک بسته ریست فقط ارسال کرده است که از طرف Zombie هم Ignore شده است.
اما اگر عدد IP ID دو عدد زیاد شده باشد به منزله باز بودن پورت مورد نظر است زیرا سرور مقصد به سمت سیستم Zombie بسته اطلاعاتی بازگشتی داده است و درخواست برقراری ارتباط داده است. البته این ساختار بسیار ساده تشریح شده است و در خصوص Idle Scan بحث های زیادی می توان انجام داد. فقط به این مسئله نیز دقت کنید که Zombie چیزی نیست که همیشه در دسترس باشد و شما باید یک سیستم Zombie برای اینکار از قبل آماده داشته باشید یا با استفاده از اسکریپت های خاص این قربانی های واسط را پیدا کنید. ITPRO باشید
نویسنده : محمد نصیری
منبع : ITPRO
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد