درخواست های ارتباط
جستجو
    لیست دوستان من
    صندوق پیام
    همه را دیدم
    • در حال دریافت لیست پیام ها
    صندوق پیام
    رویدادها
    همه را دیدم
    • در حال دریافت لیست رویدادها
    همه رویدادهای من
    اطلاعات مطلب
      مدرس/نویسنده
      محمد نصیری
      امتیاز: 802020
      رتبه:1
      364
      1646
      801
      10551
      محمد نصیری ، بنیانگذار TOSINSO ، کارشناس امنیت اطلاعات و ارتباطات و کشف جرائم رایانه ای ، هکر کلاه سفید ، تخصص در حوزه امنیت سیستم عامل و تست های نفوذسنجی ، لینوکس ، مجازی سازی ، سرویس های کاربردی سرور و ... سابقه همکاری در بیش از 40 سازمان دولتی ، خصوصی و نظامی در حوزه پروژه ، مشاوره و آموزش ، بیش از 10 هزار ساعت سابقه آموزشی در طی 12 سال فعالیت حرفه ای ... پروفایل کاربر

      TCP Connect / Full Open یا Vanilla Scan چیست ؟

      تاریخ 17 ماه قبل
      نظرات 4
      بازدیدها 184
      به عنوان یک ITPRO در حوزه امنیت اطلاعات شما باید بعد از این بدانید که قابل اعتمادترین نوع پورت اسکن از نوع TCP ، TCP Connect Scan یا Full Open Scan است که بعضا ما آن را به عنوان Vanilla Scan هم می شناسیم. در این نوع تکنیک پورت اسکن ، اسکنر یک درخواست برقراری ارتباط با سرور مقصد بر روی پورت مورد نظرش ارسال می کند ، این درخواست توسط سیستم TCP Connect اسکنر ارسال می شود ، در طرف مقابل اگر سرور هدف بر روی پورت درخواستی در حالت Listening باشد فرمان TCP Connect موفقیت آمیز خواهد بود ، به این معنی که پورت مورد نظر باز است ، در غیر اینصورت پورت در دسترس نیست و سرویسی بر روی آن ارائه نمی شود.در فرآیند TCP Three-way Handshake کلاینت به سمت سرور یک SYN Flag ارسال می کند که توسط سرور دریافت و توسط یک SYN+ACK Flag پاسخ داده می شود ، در بازگشت کلاینت توسط یک ACK Flag به منزله کامل شدن Connection است. در واقع در یک Connection کامل ارتباطی TCP هر دو طرف ارتباط را برقرار می کنند و در حالت استاندارد هر دو طرف هم ارتباط را پایان می دهند.

      Full Open Scan  چیست


      Vanilla Scan چیست ؟


      در اسکن وانیلی یا Vanilla Scan زمانیکه فرآیند TCP Handshake کامل شد ، کلاینت بصورت یکطرفه به ارتباط پایان می دهد و اگر ارتباط برقرار نشده باشد ماشینی که مورد اسکن قرار گرفته است بصورت ناخواسته دچار یک حمله DOS ساده می شود که اینکار باعث می شود شما بتوانید به عنوان اسکنر یک Socket جدید را ایجاد یا فراخوانی کنید. به همین دلیل امکان اسکن کردن پورت های جدید برای سرویس های جدید وجود خواهد داشت. این فرآیند تا زمانیکه حداکثر پورت های موجود بر روی سیستم هدف اسکن شوند قابل ادامه است. اگر پورت مورد نظر بر روی سرور بسته باشد ، سرور با ارسال یک RST+ACK Flag که برای Reset کردن Connection است پاسخ می دهد و کلاینت نیز در همین هنگام یک RST Flag دیگر برای اتمام ارتباط ارسال خواهد کرد. اینکار نیز توسط همان TCP Connect ای که فراخوانی شده است انجام می شود.

      ایجاد کردن Connect های مجزا ( فراخوانی تابع Connect ) برای هر پورت موجود باعث می شود که ناخودآگاه فرآیندپورت اسکن شما کند شده و مدت زمان زیادی را از شما بگیرد ، به ویژه اینکه لینک اینترنت شما هم ضعیف باشد. مهاجم در چنین مواقعی می تواند سرعت اسکن کردن خودش را با استفاده از موازی کاری سوکت ها زیاد کند یعنی بصورت همزمان بر روی چندین سوکت درخواست ارسال کند. اگر سرور مقصد مکانیزم بلاک کردن یا مسدود کردن I//O های زیاد را پیاده سازی نکرده باشد ، مهاجم می تواند بصورت همزمان همه سوکت های خودش را تجزیه و تحلیل و نتیجه را مشاهده کند.

      از معایب این نوع اسکن کردن می توان به سهولت شناسایی و فیلتر کردن آن اشاره کرد. با توجه به اینکه در این نوع از پورت اسکن رسما فرآیند TCP Handshake کامل می شود و Session ارتباطی برقرار و سپس قطع می شود ، کلیه Session ها در فایروال لاگ برداری و قابل ردیابی می شوند و همین امر می تواند باعث شناسایی و پیگرد مهاجم شود. اما از طرفی با توجه به اینکه دقت این نوع اسکن بسیار بالا است می توان برای فرآیند های اسکن کردن قانونی روی آن حساب ویژه ای باز کرد.لازم به ذکر است که این نوع اسکن بر روی هرگونه سیستم عاملی قابل استفاده است. ITPRO باشید

      نویسنده : محمد نصیری
      منبع : ITPRO
      هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد
      برچسب ها
      مطالب مرتبط

      در حال دریافت اطلاعات

      نظرات
      • سپاس از آموزش خوبتون.
        اگر پورت مورد نظر بر روی سرور بسته باشد ، سرور با ارسال یک RST+ACK Flag که برای Reset کردن Connection است پاسخ می دهد و کلاینت نیز در همین هنگام یک RST Flag دیگر برای اتمام ارتباط ارسال خواهد کرد.
        طبق تصویر دوم در صورت بسته بودن پورت مورد نظر سرور فلگ RST رو ارسال نمیکنه ؟
      • تصویری که شما می بینید برای TCP Connect هست ، تصویر Vanilla Scan با توجه به اینکه فقط یک مرحله اضافه تر داره قرار داده نشده ... چون هر دو نوع اسکن Full Scan محسوب میشن در یک مطلب قرار داده شدن.
      • در کل TCP Connect مورد اطمینان تر است یا Vanilla Scan ؟
      • هر دو قابل اطمینان هستند چون Session کامل برقرار میشه.

      برای ارسال نظر ابتدا به سایت وارد شوید

      arrow