Loading…

جزیره امنیت اطلاعات و ارتباطات

ارسال کننده: UNITY
محمد نصیری ، بنیانگذار TOSINSO ، کارشناس امنیت اطلاعات و ارتباطات و کشف جرائم رایانه ای ، هکر کلاه سفید ، تخصص در حوزه امنیت سیستم عامل و تست های نفوذسنجی ، لینوکس ، مجازی سازی ، سرویس های کاربردی سرور و ... سابقه همکاری در بیش از 40 سازمان دولتی ، خصوصی و نظامی در حوزه پروژه ، مشاوره و آموزش ، بیش از 10 هزار ساعت سابقه آموزشی در طی 12 سال فعالیت حرفه ای ...
ارسال پیام خصوصی
امتیازات این مطلب
نکته: Stealth Scan یا Half-Open Scan چیست ؟
خوب از انواع Port Scanning هایی که تا به حال معرفی کردیم اکثر آنها فقط و فقط برای سیستم عامل های خانواده لینوکس و یونیکس کاربردی بودند. امروز می خواهیم به نوعی از پورت اسکن در ITPRO بپردازیم که تقریبا بر روی تمامی سرورها و سیستم عامل ها قابل اجرا است. در این نوع اسکن که به عنوان اسکن مخفی یا Stealth هم معروف است فقط و فقط یک Frame از نوع TCP بر روی یک پورت ارسال می شود ، هیچ فرآیند TCP Handshaking اضافه یا اطلاعات انتقالی Packet اضافه ای در این نوع اسکن ارسال نمی شود و فقط یک در اصطلاح Single Frame برای هدف ارسال می شود تا پاسخی که داده می شود تجزیه و تحلیل شود. همانطور که در این نوع اسکن یک Frame ارسال می شود انتظار دریافت فقط یک Frame از مقصد و نه بیشتر از آن می رود. نام دیگر این نوع اسکن Half-Open Scan یا اسکن نیمه باز است !! یعنی اینکه فرآیند TCP Handshake در این نوع اسکن کامل نمی شود به محض اینکه تشخیص داده شود که وضعی یک پورت چگونه است به Session ای که هنوز کامل نشده است خاتمه داده می شود.

Stealth Scan چیست


این نوع تکنیک Port Scanning به عنوان SYN Scan یا TCP SYN Scan نیز شناخته می شود زیرا فقط و فقط یک Packet از نوع SYN در فرآیند TCP Handshake ارسال می کند و تمام !!! این سرعت عمل و اینکه ارتباط اصلا برقرار نمی شود که تحلیلی بر روی ترافیک آن انجام شود برای اسکنر خوب است زیرا اصلا ارتباطی کامل نمی شود که بخواهد کسی آن را تحلیل کند. این نوع اسکن کردن به همین دلیل اسکن مخفی یا Stealth Scan هم گفته می شود چون ارتباطی برقرار نمی شود که ترافیک آن شناسایی شود ! یا شناسایی آن بسیار دشوار است.البته فرآیند TCP Three-Way Handshake در Stealth Scan پیاده سازی می شود با این تفاوت که در آخرین مرحله از Handshake به جای اینکه تاییده داده شود که ارتباط برقرار شود ، اسکنر RST ارسال می کند و ارتباط را Reset می کند تا ادامه مراحل انجام نشود. فرآیند کلی این نوع اسکن به این شکل است که ابتدا اسکنر یک بسته اطلاعاتی تکی بصورت SYN برای سرور ارسال می کند که بر روی پورت مورد نظری که می خواهیم اسکن کنیم ارسال می شود. سرور بعد از اینکه بسته SYN را دریافت کرد ، در صورتیکه سرویسی بر روی پورت مورد نظر ارائه کند برای اسکنر بسته SYN/ACK ارسال می کند یعنی آماده برقراری ارتباط است و این یعنی پورت مورد نظر باز یا Open است. در همین حین اسکنر به جای اینکه برای سرور ACK ارسال کند برایش RST ارسال می کند و همانجا Connection را می بندد. اما اگر سرور در برگشت RST ارسال کند یعنی پورت مورد نظر بر روی سرور Closed است. این نوع اسکن تقریبا برای روی همه سیستم عامل ها قابل استفاده است. ITPRO باشید

نویسنده : محمد نصیری
منبع : ITPRO
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

دیدگاه ها
اگه در وضیت اول آقای اسکنر RST رو نفرسته چه مشکلی پیش میاد ؟
  • ارسال توسط:
  • زمان ارسال: 11 ماه قبل
سرور منتظر میمونه که درخواست ارسال بشه و یه جور DOS Attack میشه اگر زیاد بشه و قابل شناسایی میشه.
برای ارسال نظر وارد شوید.

در حال به روز رسانی نرم افزار سایت، از شکیبایی شما ممنونیم