منبع اصلی نوشتار زیر در این لینک قرار دارد

بررسی پکت به پکت سویچ sT / sS / sA / sF / sN در اسکنر nmap

08

دسامبر

با سلام . در این ارسال 5 سوییچ مختلف در اسکنر nmap را بررسی خواهیم کرد . هدف از این آموزش کار با این سویچ ها نیست بلکه کار کرد تک تک این سویچ ها رو بررسی خواهیم کرد . هم چنین پکت به پکت ای که به سمت سرور فرستاده می شه رو آنالیز می کنیم و تفاوت هر یک از حالات رو بررسی می کنیم . در آخر رفتار سرور رو در استفاده از هر یک از این سویچ ها بررسی می کنیم .

یعنی سویچ های زیر :

 

-sT
-sS
-sA
-sF
-sN

 

سویچ sT : به طور خلاصه از این سویچ برای برقراری ارتباطی کامل استفاده می کنیم . یعنی یک ارتباط از نوع TCP به صورت کامل با طرف مقابل خود برقرار می کنیم . اجازه دهید معنای این ارتباط کامل رو در داخل وایرشارک و بررسی پکت ها انجام دهیم .

فرض ها :

آی پی آدرس سیستم نفوذگر ( یا کلاینت ) : 192.168.1.2

آی پی آدرس سیستم قربانی ( یا سرور ) : 192.168.1.6

سیستم عامل قربانی : اوبونتو 12.04 ( با تنظیمات دیفالت )

می خواهیم با استفاده از اسکنر nmap و سویچ sT روی پورت 80 پویشی انجام دهیم . به این صورت :

 

nmap -sT -p 80 192.168.1.6

 

قبل از شروع اسکن یک برنامه ی پکت کپچر مثل وایرشارک باز و اینترفیس مربوطه را انتخاب می کنیم . مثلا روی اینترفیس eth0 را انتخاب می کنیم و در نهایت اسکن رو شروع می کنیم .

با توجه به این که سرویس آپاچی روی سیستم سرور ما نصب و فعال هست و روی پورت 80 سرویس می دهد , پس از پایان اسکن چندین پکت همانند عکس زیر در داخل وایرشارک دریافت خواهیم کرد :

۱۵۹۶۹۳۴۲۲۱۵۹۹۵۲۱۷۹۳

ارتباطی که در بالا رخ داده است یک ارتباط از نوع TCP می باشد که به صورت کامل انجام شده است یعنی به ترتیب :

1. کلاینت یک بسته از توع SYN یا همان Synchronize به سمت سرور فرستاده است .

2. سرور در جواب یک بسته از نوع SYN , ACK به سمت کلاینت فرستاده است .

3. کلاینت یک بسته از نوع ACK یا همان Acknowledgment به سمت سرور فرستاده است .

4. در آخر کلاینت یک بسته از نوع RST , ACK جهت قطع ارتباط به سمت سرور فرستاده است .

مراحل 1 تا 3 را اصطلاحا دست تکانی یا handshake می گویند که در مقالات قبلی بررسی کردیم .

نکته : توجه داشته باشید که فرض رو بر این گذاشتیم که سرور روی پورت 80 سرویس می دهد .
حالا اجازه بدید همین روند رو برای یک پورت دیگر امتحان کنیم . پورتی که هیچ سرویس دهنده ای پشت آن قرار نداشته باشد . برای مثال ما در این جا پورت 443 که برای سرویس https می باشد رو بررسی می کنیم و فرض رو بر این می زاریم که این سرویس در داخل سرور فعال نمی باشد .

روند اسکن همانند دفعه ی گذشته است همراه با این که دوباره یک برنامه ی پکت کپچر را جهت کپچر کردن پکت ها اجرا می کنیم . برای اسکن به این صورت عمل می کنیم :

nmap -sT -p 443 192.168.1.6

 

اگر مراحل بالا را موفقیت آمیز طی کرده باشید . در داخل وایرشارک پکت هایی مشابه عکس زیر دریافت خواهید کرد :

۷۷۴۰۸۳۹۴۹۱۶۵۰۸۳۶۸۰۸

همان طور که در عکس بالا مشاهده می کنید . کلاینت اولین مرحله در handshake را انجام داده است . یعنی یک پکت درخواستی ( از نوع SYN ) به سمت سرور فرستاده است .

سرور در جواب پکتی از نوع قطع ارتباط یعنی از نوع RST , ACK به سمت کلاینت فرستاده است . چرا ؟ چون فرض رو بر این گذاشتیم که در سرور پروتکل https فعال نمی باشد . لذا در خروجی nmap وضعیت پورت را closed دریافت خواهیم کرد .

سویچ sS : در مرحله ی قبل با استفاده از سویچ sT یک ارتباط کامل از نوع TCP را انجام دادیم . در این مرحله ارتباطی رو بررسی می کنیم که در آن کمی قانون شکنی رخ می دهد یعنی مراحل 3 گانه ی هندشیک جهت برقراری ارتباط صورت نمی گیرد .

اجازه دهید نحوه ی کارکرد را در قالب مثال بررسی کنیم . می خواهیم پورت ۸۰ سرور را با استفاده از سویچ sS مورد پویش قرار دهیم . برای این منظور به صورت زیر عمل می کنیم :

nmap -sS -p 80 192.168.1.6

 

نکته : همانند قسمت قبل فرض را بر این گذاشتیم که پورت ۸۰ بر روی سیستم قربانی باز و سرور آیاچی روی این پورت فعال می باشد و سرویس می دهد .

اگر مراحل بالا را موفقیت آمیز طی کرده باشید . در داخل وایرشارک پکت هایی همانند عکس زیر دریافت خواهید کرد :

۵۳۴۲۳۳۲۷۴۹۴۰۳۸۶۱۸۰۳

مرحله ی اول از هند شیک : کلاینت جهت برقراری ارتباط یک پکت از نوع SYN تحت پروتکل TCP به سمت سرور فرستاده است .

مرحله ی دوم از هند شیک : سرور در جواب کلاینت و جهت برقراری ارتباط یک پکت از نوع SYN , ACK به سمت کلاینت می فرستد .

پس از این پکت از سمت سرور دریافت شد . بلافاصله کلاینت یک پکت از نوع RST جهت قطع ارتباط به سمت سرور می فرستد . یعنی مرحله ی سوم که از طرف کلاینت می بایست انجام شود انجام نمی شود و به جای آن یک پکت از نوع قطع ارتباط فرستاده می شود .

اگر یکم با دقت فکر کنیم می بینیم که منطقی هم هست . برای بررسی باز بودن پورت همین ۲ مرحله ی اول از دست تکانی کافیست و دیگر لازم به یک ارتباط کامل نیست .

پس به طور خلاصه طبق بررسی هایی که روی پکت ها انجام دادیم می تونیم این نتیجه رو بگیریم که این سویچ یعنی sS یکی از مراحل 3 گانه ی هند شیک را انجام نمی دهد .

نکته : برقراری یک ارتباط کامل از دید دسته ای از IDS ها یک حمله و یا یک اخطار حساب می شود

نکته : از اون جایی که در این روش ( استفاده از سویچ sS ) از برقرای یک ارتباط کامل جلوگیری کردیم , خیلی از IDS ها رو هم دور زده ایم .

 

هر گونه نظر و انتقاد رو در قالب نظر با من در میون بزارید .

 



برچسب ها :