SpareNet Servers Advertising & Link Exchange

اطلاعیه

بستن
هیچ اطلاعیه ای هنوز ایجاد نشده است .

بررسی پکت به پکت سویچ sT / sS / sA / sF / sN در اسکنر nmap

بستن
X
 
  • فیلتر
  • زمان
  • نمایش
پاک کردن همه
نوشته‌های جدید

  • بررسی پکت به پکت سویچ sT / sS / sA / sF / sN در اسکنر nmap

    سلام دوستان . توی این ارسال 5 سوییچ مختلف در اسکنر nmap رو بررسی می کنیم یعنی سویچ های زیر :-sT-sS

    -sA

    -sF

    -sN
    هدف از این آموزش کار با این سویچ ها نیست بلکه کار کرد تک تک این سویچ ها رو بررسی خواهیم کرد . هم چنین پکت به پکت ای که به سمت سرور فرستاده می شه رو آنالیز می کنیم و تفاوت هر یک از حالات رو بررسی می کنیم . در آخر هم رفتار سرور رو در استفاده از هر یک از این سویچ ها بررسی می کنیم .


    سویچ sT : به طور خلاصه از این سویچ جهت برقراری ارتباطی کامل استفاده می کنیم . یعنی یک ارتباط از نوع TCP به صورت کامل با طرف مقابل خود برقرار می کنیم . اجازه دهید معنای این ارتباط کامل رو در داخل وایرشارک و بررسی پکت ها انجام دهیم .

    فرض ها :

    آی پی آدرس سیستم نفوذگر ( یا کلاینت ) : 192.168.1.2

    آی پی آدرس سیستم قربانی ( یا سرور ) : 192.168.1.6

    سیستم عامل قربانی : اوبونتو 12.04 ( با تنظیمات دیفالت )


    می خواهیم با استفاده از اسکنر nmap و سویچ sT روی پورت 80 پویشی انجام دهیم . به این صورت :



    کد:
    nmap -sT -p 80 192.168.1.6
    قبل از شروع اسکن یک برنامه ی پکت کپچر مثل وایرشارک باز می کنیم و روی اینترفیس مربوطه میایم . مثلا روی اینترفیس eth0 و در نهایت اسکن رو شروع می کنیم .


    با توجه به این که سرویس آپاچی روی سیستم سرور ما نصب و فعال هست و روی پورت 80 سرویس می دهد , پس از پایان اسکن چندین پکت همانند عکس زیر در داخل وایرشارک دریافت خواهیم کرد :



    ارتباطی که در بالا رخ داده است یک ارتباط از نوع TCP می باشد که به صورت کامل انجام شده است یعنی به ترتیب :


    1. کلاینت یک بسته از توع SYN یا همان Synchronize به سمت سرور فرستاده است .

    2. سرور در جواب یک بسته از نوع SYN , ACK به سمت کلاینت فرستاده است .

    3. کلاینت یک بسته از نوع ACK یا همان Acknowledgment به سمت سرور فرستاده است .

    4. در آخر کلاینت یک بسته از نوع RST , ACK جهت قطع ارتباط به سمت سرور فرستاده است .


    مراحل 1 تا 3 را اصطلاحا دست تکانی یا handshake می گویند که در مقالات قبلی بررسی کردیم .


    نکته : توجه داشته باشید که فرض رو بر این گذاشتیم که سرور روی پورت 80 سرویس می دهد .


    حالا اجازه بدید همین روند رو برای یک پورت دیگر امتحان کنیم . پورتی که هیچ سرویس دهنده ای پشت آن قرار نداشته باشد . برای مثال ما در این جا پورت 443 که برای سرویس https می باشد رو بررسی می کنیم و فرض رو بر این می زاریم که این سرویس در داخل سرور فعال نمی باشد .

    روند اسکن همانند دفعه ی گذشته است همراه با این که دوباره یک برنامه ی پکت کپچر را جهت کپچر کردن پکت ها اجرا می کنیم . برای اسکن به این صورت عمل می کنیم :



    کد:
    nmap -sT -p 443 192.168.1.6
    اگر مراحل بالا را موفقیت آمیز طی کرده باشید . در داخل وایرشارک پکت هایی مشابه عکس زیر دریافت خواهید کرد :


    همان طور که در عکس بالا مشاهده می کنید . کلاینت اولین مرحله در handshake را انجام داده است . یعنی یک پکت درخواستی ( از نوع SYN ) به سمت سرور فرستاده است .

    سرور در جواب پکتی از نوع قطع ارتباط یعنی از نوع RST , ACK به سمت کلاینت فرستاده است . چرا ؟ چون فرض رو بر این گذاشتیم که در سرور پروتکل https فعال نمی باشد . لذا در خروجی nmap وضعیت پورت را closed دریافت خواهیم کرد .


    سویچ sS : در مرحله ی قبل با استفاده از سویچ sT یک ارتباط کامل از نوع TCP را انجام دادیم . در این مرحله ارتباطی رو بررسی می کنیم که در آن کمی قانون شکنی رخ می دهد یعنی مراحل 3 گانه ی هندشیک جهت برقراری ارتباط صورت نمی گیرد .

    اجازه دهید نحوه ی کارکرد را در قالب مثال بررسی کنیم . می خواهیم پورت 80 سرور را با استفاده از سویچ sS مورد پویش قرار دهیم . برای این منظور به صورت زیر عمل می کنیم :nmap -sS -p 80 192.168.1.6
    نکته : همانند قسمت قبل فرض را بر این گذاشتیم که پورت 80 بر روی سیستم قربانی باز و سرویس آیاچی روی این پورت فعال می باشد و سرویس می دهد .

    اگر مراحل بالا را موفقیت آمیز طی کرده باشید . در داخل وایرشارک پکت هایی همانند عکس زیر دریافت خواهید کرد :



    مرحله ی اول از هند شیک : کلاینت جهت برقراری ارتباط یک پکت از نوع SYN تحت پروتکل TCP به سمت سرور فرستاده است .

    مرحله ی دوم از هند شیک : سرور در جواب کلاینت و جهت برقراری ارتباط یک پکت از نوع SYN , ACK به سمت کلاینت می فرستد .

    پس از این پکت از سمت سرور دریافت شد . بلافاصله کلاینت یک پکت از نوع RST جهت قطع ارتباط به سمت سرور می فرستد . یعنی مرحله ی سوم که از طرف کلاینت می بایست انجام شود انجام نمی شود و به جای آن یک پکت از نوع قطع ارتباط فرستاده می شود .

    اگر یکم با دقت فکر کنیم می بینیم که منطقی هم هست . برای بررسی باز بودن پورت همین ۲ مرحله ی اول از دست تکانی کافیست و دیگر لازم به یک ارتباط کامل نیست .


    پس به طور خلاصه طبق بررسی هایی که روی پکت ها انجام دادیم می تونیم این نتیجه رو بگیریم که این سویچ یعنی sS یکی از مراحل 3 گانه ی هند شیک را انجام نمی دهد .


    نکته : برقراری یک ارتباط کامل از دید دسته ای از IDS ها یک حمله و یا یک اخطار حساب می شود

    نکته : از اون جایی که در این روش ( استفاده از سویچ sS ) از برقرای یک ارتباط کامل جلوگیری کردیم , خیلی از IDS ها رو هم دور زده ایم .

    نویسنده : E2MA3N
    منبع : http://pars-sec.ir
صبر کنید ..
X