آموزش های تخصصی شبکه و امنیت و ضد امنیت

شروع هك ( جمع آوری اطلاعات - قسمت چهارم) 
بنام خدا 

در ادامه مبحث شناسايي هدف ، ميرسيم به بخش اسكن كردن سيستم هدف براي پيدا كردن پورتهاي باز و برنامه هاي در حال اجرا و پيدا كردن نقاط دسترسي راه دور .

همونطور كه قبلاً هم اشاره شد ، هنگام اسكن كردن ، اگر اينكار رو بي ملاحظه انجام بديم ، خيلي راحت حمله ي ما شناسايي ميشه . ممكنه كه در كشور ما ، اين نكته خيلي مهم نباشه ، اما وقتي شما بدون در نظر گرفتن مخفي بودن شروع به اسكن كردن يك سيستم متعلق به يك سازمان ميكنيد ، آدرس IP شما ، در سيستم هدف ثبت ميشه . بعد اون سازمان بلافاصله ISP كه شما از اون استفاده كرديد رو رد گيري ميكنه و براي اون ISP اخطار ميفرسته كه مثلاً يكي از كاربرهاي شما در فلان روز و فلان ساعت با آدرس IP فلان ، با استفاده از نرم افزار .... به سيستم هاي ما حمله كرده و ... . حالا ما چون در ايران هستيم و تابع قانون جهاني در اين مورد نيستيم ، اين اخطارها از طرف ISP پيگيري نميشه و بدست ما نميرسه . چون اين مسئله در خارج از ايران و در ديد كلي خيلي مهم هست ، تكنيكهاي متنوعي براي مخفي بودن مرحله اسكن كردن پورتها ابداع شده كه در ادامه قصد داريم اين تكنيك ها رو كه در نرم افزار Nmap ارائه شده ، بررسي كنيم .
وقتي اينترفيس Nmap رو نگاه ميكنيم ، بخش Scan Type‌ جلب توجه ميكنه . اين بخش كه يك ليست انتخاب باز شو ، هست ، شامل گزينه هايي ميشه كه تكنيك اسكن پورت رو بر اساس قابليت هاي مختلف پروتكل tcp/ip و سرويس هاي اينترنتي، مشخص ميكنه . در ادامه قصد دارم كه اين تكنيكها رو به اختصار توضيح بدم .

SYN Stealth Scan

در اين تكنيك ، كه يك تكنيك مخفي هست ، ارتباط كامل با سيستم هدف بر قرار نميشه . يعني مراحل 3 Way Handshake‌ به طور كامل اجرا نميشه . در اين روش ابتدا نرم افزار اسكنر ما ، يك بسته براي سيستم هدف با پورت مورد نظر كه فلگ SYN‌ اون ست شده ( يا يك شده ) رو براي هدف ميفرسته . اگر پورت مورد نظر باز باشه ، سيستم هدف اين ارتباط رو ميپذيره و يك بسته ي پاسخ با فلگهاي SYN و ACK‌ ست شده براي ما ميفرسته . تا اينجا نصف كار انجام شده . در حالت برقراري ارتباط واقعي، بايد در جواب اين بسته ، ما هم يك بسته يا فلگ ACK ست شده براي هدف ارسال كنيم ، اما در اين حالت ، ما فهميديم كه پورت باز هست ، بنابرين احتياجي به ادامه مراحل نيست و نرم افزار به جاي ارسال بسته ي ACK ، يك بسته با فلگ RST‌ يا reset ميفرسته و ارتباط رو ميبنده . در اين روش ، چون ارتباط ما با سيستم هدف كامل نشده ، چيزي در سيستم هدف ثبت نميشه . سرعت اسكن هم بيشتر ميشه، اما به علت كامل نبودن برقراري ارتباط ، اطلاعات بيشتري نميتونيم از سيستم هدف بدست بياريم . در اين حالت اگر پورت مورد نظر ما بسته باشه ، سيستم هدف در جواب بسته SYN ما ، يك بسته ي ACK‌ و RST ارسال ميكنه كه بدون جواب ميمونه و از نظر ما اون پورت بسته و ادامه ي ارتباط بي معني هست .

Connect Scan 

اين تكنيك ، در حقيقت همون اسكن با 3 way handshake‌ هست . ارتباط با هدف به صورت كامل بر قرار ميشه . آدرس IP ما ثبت ميشه ، اما اطلاعات كاملي از هدف بدست مياد .

ACK Scan

در اين تكنيك ، اولين بسته ي ارسالي از طرف ما ، با فلگ ACK ست شده مي باشد و جواب در صورت باز بودن يا بسته بودن پورت مورد نظر ، يك بسته با فلگ RST خواهد بود ! پس هدف از اين تكنيك ، باز بودن يا بسته بودن پورت مورد نظر نيست . اين تكنيك براي شناسايي تنظيمات فايروال يا سيستم هاي ********** كننده به كار برده ميشه. بنابرين اگر بسته ي ارسالي ما به هدف برسه و پاسخ RST دريافت بشه ، نتيجه اينه كه پورت مورد نظر ********** نشده و Nmap اون رو به صورت unfiltered نشون ميده . ولي اگر جواب RST نرسه و به جاي اون يك جواب ICMP بياد ، نتيجه ميشه كه اون پورت ********** شده و nmap اون رو به صورت filtered نشون ميده .

TCP Window Scan 

دقيقاً سناريوي ACK Scan پياده سازي ميشه ، با اين تفاوت كه nmap به window size بسته ي پاسخ نگاه ميكنه . در بعضي از سيستم ها ، بسته ي پاسخ RST شامل يك مقدار مثبت براي Window Size براي پورتهاي باز هست ، در حالي كه در پورتهاي بسته ، اين مقدار صفر هست . 


FIN/ACK ، FIN‌ ، NULL ، Xmas Stealth Scans

تمامي اين تكنيكها شبيه هم هستند ، فقط موضوع بازي كردن با فلگ ها هست . ارسال يك بسته براي درخواست برقراري ارتباط روي يك پورت خاص در حالي كه فلگ اون اشتباه ست شده باشه ، باعث ايجاد دو حالت متفاوت ميشه . اگر پورت مورد نظر بسته باشه ، اون درخواست با يك بسته ي RST جواب داده ميشه و اگر پورت باز باشه ، هيچ جوابي ارسال نميشه . در تكنيكهاي بالا ، NULL به معني بسته اي هست كه هيچ فلگی در اون ست نشده باشه و Xmas هم بسته اي هست كه همه ي فلگهاي اون با هم ست شده باشه . تمام اين تكنيكها مثل SYN Scan مخفي هستند و همون مزايا و معايب رو دارند .

UDP Scan 

نياز به توضيح نداره .

IP Protocol 

براي تشخيص نوع IP protocol مورد پشتيباني توسط هدف مثل ICMP , TCP ,IGMP و ... استفاده ميشه .

Ping Sweep

احتياج به توضيح نداره .

Host List

احتياج به توضيح نداره .


FTP Bounce

در اين روش از يك Server FTP كه اجازه ي login كردن با كاربر anonymous رو بده و يك دايركتوري با قابليت خواندن و نوشتن رو براي اين كاربر داشته باشه و بشه با اون يك فايل براي يك ماشين ديگه ارسال كرد ، استفاده ميشه . اگرچه ديگه شايد چنين FTP Server ي پيدا نشه ، اما شيوه ي كار اينجوريه كه nmap بعد از مشخص كردن آدرس اين ftp server ، از اون ميخواد كه يك فايل براي سيستم هدف روي پورت خاص ارسال كنه ، اگر ftp server تونست روي اون پورت مورد نظر با سيستم هدف ارتباط بر قرار كنه ، nmap ميفهمه كه اون پورت روي سيستم هدف باز هست و در غير اين صورت ، پورت بسته هست . 


Idle

در اين روش هم كه يكي از مخفي ترين تكنيكهاي اسكن هست ، بايد از يك سيستم واسط استفاده كرد كه اصطلاحاً به اونها Zombie گفته ميشه . شيوه ي كار به اين شكل هست كه هر بسته ي IP ، يك شماره منحصر به فرد داره كه به اون IPID ميگن . سيستم عاملها ( بعضي نسخه ها ) ، در هر ارسال بسته ، اين مقدار رو افزايش مي دادند . حالا اين ايده وجود داره كه اگر مهاجم بتونه يك Zombie پيدا كنه و بتونه شماره هاي IPID‌ اون رو بخوونه و تحت نظر داشته باشه ، ميتونه بفهمه كه چند تا بسته در يك فاصله مشخص از سيستم zombie ارسال شده . حالا با اين توضيح فرض ميكنيم كه ipid سيستم zombie مثلاً 32852 هست . مهاجم يك بسته ي SYN‌ براي سيستم هدف روي پورت خاص با آدرس مبداء zombie ارسال ميكنه ( يك نوع spoof ) . اگر پورت مورد نظر روي سيستم هدف باز باشه ، سيستم هدف يك بسته ي ACK , SYN براي zombie ميفرسته . چون zombie هيچ سابقه اي از اين ارتباط نداره ، اون رو reset ميكه و IPID سيستم zombie‌ افزايش پيدا ميكنه . حالا اگر پورت سيستم هدف بسته باشه ، يك بسته ي RST براي zombie ميفرسته و zombie هم جوابي نميده و IPID‌ اون تغييري نميكنه . مهاجم هم كه شماره IPID هاي zombie رو تحت نظارت داره ، ميفهمه كه پورت رو سيستم هدف باز بوده يا بسته .