اسکن و حمله Idle یک هکر

اسکن و حمله Idle یک هکر

با سلام خدمت تمام هوش پلاسی های عزیز. امروز از سری آموزش های امنیت شبکه(سیستم مدیریت امنیت اطلاعات ISMS) در خدمت شما هستیم و قرار است که اسکن و حمله Idle یک هکر با هم مورد بررسی قرار دهیم. با ما همراه باشید.

اسکن و حمله Idle یک هکر

اسکن Idle در کل از سه مرحله تشکیل شده است.

  1. جستجو برای IP ID زامبی (منظور از زامبی در اسکن و حمله Idle یک هکر ، میزبان یا Host است که هکر از آن برای انجام کار هایش استفاده می کند).
  1. ایجاد یک بسته با آدرس زامبی و ارسال آن به پورت مورد نظر در سیستم قربانی. این کار باعث می شود تا هکر از افزایش IP ID بسته ی زامبی خبر دار شود.
  2. جستجوی مجدد برای IP ID زامبی جهت مشاهده ی افزایش آن

پس از انجام مراحل بالا، ID IP زامبی باید به مقدار ‘۱’ یا ‘۲’ عدد افزایش یابد. اگر مقدار آن ۱ عدد افزایش یابد به این معنی است که زامبی هیچ بسته ای ارسال نکرده به جز پاسخش به جستجوی هکر و اینکه پورت سیستم قربانی بسته است. اگر مقدار آن ۲ عدد افزایش یابد به این معنی است که زامبی یک بسته بین SYN و SYN/ACK های ارسال شده بین هدف، ارسال کرده است.

این بسته ی اضافی به این معنی است که پورت سیستم قربانی باز است. اگر عدد بیشتر از ۱ و ۲ تغییر پیدا کند دلیلش می تواند وجود مشکل در زامبی و یا اتصال باشد.

برای درک بیشتر موضوع به تصاویر زیر توجه کنید: 

   هکر

   زامبی (هاست)

  هدف (قربانی)

  • نوع اول که در آن پورت هدف باز است:

اسکن و حمله Idle یک هکر

  •  نوع دوم که در ان پورت بسته است:

اسکن و حمله Idle یک هکر 

  • نوع سوم که در آن پورت فیلتر شده است:

اسکن و حمله Idle یک هکر

نکته: پورت های فیلتر شده معمولا بدلیل وجود فایروال یا یک دستگاه دیگری در حال محافظت از آن پورت هستند.

در مثال بعدی که ما برای اسکن و حمله Idle یک هکر می آوریم، Idle Scan به یک هدف با پورت باز را با جزئیات بیشتری توضیح خواهیم داد:

اسکن و حمله Idle یک هکر

  • هکر یک سگمنت (بسته) به کامپیوتر زامبی میفرستد.

اسکن و حمله Idle یک هکر

  • کامپیوتر زامبی با RST پاسخ داده و IP IDاش ۱عدد افزایش می یابد.
  • در این مرحله هکر از IP ID که در این مثال ۶۱۶۲ است را بدست می آورد.

اسکن و حمله Idle یک هکر

  • در این مرحله هکر بسته ی SYN را با آدرس جعلی که از کامپیوتر زامبی گرفته است، به کامپیوتر قربانی ارسال می کند. (آدرس آی پی در این مثال: ۱۶۸.۲۰.۲)

اسکن و حمله Idle یک هکر

  • چون که پورت سیستم قربانی باز است، با یک SYN/ACK به زامبی پاسخ می دهد بدون آنکه بفهمد SYN قبلی از طرف هکر بوده.

اسکن و حمله Idle یک هکر

  • زامبی یک سگمنت SYN/ACK از کامپیوتر قربانی دریافت می کند و با RST پاسخ می دهد. و کامپوتر زامبی IP ID سگمنت را ۱ عدد افزایش می دهد.

اسکن و حمله Idle یک هکر

  • هکر یک SYN/ACK به کامپیوتر زامبی ارسال می کند.

اسکن و حمله Idle یک هکر

  • کامپیوتر زامبی با یک RST پاسخ SYN/ACK را می دهد و IP ID اش ۱ عدد افزایش می یابد. که مقدار آن به ۶۱۶۴ تغییر می یابد.

در نهایت IP ID نسبت مقدار اولیه اش ۲ عدد افزایش می یابد و همانطور که قبلا گفتیم، مقدار ۲ به این معنی است که پورت هدف باز است.

یکی از مشکلات در حین اسکن Idle این است که اگر کامپیوتر زامبی اطلاعات و ترافیک رد و بدل کند مقدار IP ID اش بیشتر خواهد شد که در این حالت نمی توانیم از Idle Scan استفاده کنیم.

مشکل بعدی این است که برخی از سیستم عامل ها مقدار IP ID بسته هایشان را افزایش نمی دهند. به عنوان مثال برخی از نسخه های Linux مقدار IPID را صفر قرار می دهند و برخی نیز بصورت تصادفی IP ID تولید می کنند.

آموزش ما آموزش ما که در رابطه با اسکن و حمله Idle یک هکر بود، در همینجا به پایان می رسد. لازم به ذکر است که در این نوع اسکن که در این آموزش بررسی شد، کامپیوتر زامبی باید Idle یعنی بیکار و بدون فعالیت باشد. با ما همراه باشید. پیشنهاد می کنیم مطالب زیر را دنبال کنید:

نویسنده : مدیر
برچسب ها

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

پیاده سازی شده توسط هوش پلاس