09038494675
شما اینجا هستید: هرمز آی تی فناوری اطلاعات معرفی تکنیک پورت اسکن Packet Fragmentation برای پورت اسکن پشت فایروال و IDS
معرفی تکنیک پورت اسکن Packet Fragmentation برای پورت اسکن پشت فایروال و IDS

معرفی تکنیک پورت اسکن Packet Fragmentation برای پورت اسکن پشت فایروال و IDS

port scan معرفی تکنیک پورت اسکن Packet Fragmentation برای پورت اسکن پشت فایروال و IDS

خوب تا اینجای کار در Hormoz IT انواع و اقسام روش های مختلف Port Scanning را با هم یاد گرفته ایم و مفاهیم هر کدام را متوجه شده ایم , اما همیشه هم روشهای گفته شده کارایی لازم را ندارند به ویژه زمانیکه شما در پشت یک فایروال قرار داشته باشید فرآیند Port Scan بسیار دشوارتر خواهد بود.

از این جهت روش های متنوع تری برای پورت اسکن پشت فایروال ها و سیستم های تشخیص نفوذ وجود دارد که یکی از جالبترین و جذاب ترین آنها روشی به نام Fragmentation Scanning یا Packet Fragmentation است , همانطور که می دانید زمانیکه شما می خواهید یک Port Scan انجام بدهید یک بسته اطلاعاتی یا Packet بصورت کامل به سیستم مقصد ارسال می شود تا بررسی های لازم بر روی پورت ها را انجام بدهد , اما فایروال ها و سیستم های تشخیص نفوذ براحتی این نوع بسته هایی که برای اسکن کردن یا مصارف دیگر هستند را شناسایی می کنند و بعضا ممکن است عملیات اسکن شما ناموفق باشد.

تکنیک Packet Fragmentation همانطور که از نامش هم پیداست یعنی یک بسته اطلاعاتی به جای اینکه بصورت کامل برای هدف حمله ارسال شود که ممکن است پشت یک IDS یا فایروال باشد ، بصورت تکه تکه شده برای هدف ارسال شده و بعد سرهم بندی می شود و نتیجه اعلام می شود , در واقع این تکنیک از پورت اسکن روش چندان جدیدی نیست و با دستکاری کردن روش های قبلی پورت اسکن به نتیجه رسیده است , شما در این روش TCP Header یک بسته اطلاعاتی IP را به قطعات کوچکتر تقسیم بندی می کنید به طوریکه فایروال های Packet Filtering توانایی تشخیص یک Packet کامل را نداشته باشند و به همین دلیل امکان شناسایی این مورد بسیار سخت می شود.

اما در خصوص استفاده کردن از این نوع پورت اسکن دقت کنید ، برخی از نرم افزارها در نحوه برخورد با اینگونه بسته های اطلاعاتی ریز و تکه تکه شده مشکل دارند و نمی توانند این نوع ترافیک را تجزیه و تحلیل کنند. برای مثال برخی از نرم افزارهای Sniffer ممکن است به محض دریافت کردن چنین بسته های اطلاعاتی هنگ کنند و دچار اختلال شوند. اما خوب سیستم عامل ها و فایروال های تحت لینوکس معمولا مشکل خاصی با این نوع Fragment Packet ها ندارند و حتی در سیستم عامل های خانواده لینوکس Option ای به شکل CONFIG_IP_ALWAYS_DEFRAG به همین منظور وجود دارد. اما بسیاری از زیرساختارهای شبکه نیز با دریافت چنین بسته هایی کارایی خود را از دست می دهند یا کمی در کارایی شبکه آنها اختلال ایجاد می شود. این تکنیک بصورت ویژه و اختصاصی برای پورت اسکنرها طراحی شده است شما می توانید در پورت اسکنری مثل nmap با استفاده از سویچ f مشابه مثال پایین استفاده کنید :

nmap –f 192.168.1.5 < Other Options >

در مثال بالا ما به nmap می گوییم که با استفاده از packet های fragment شده بسیار کوچک اسکنی از نوع FIN و SYN را بر روی هدف انجام بدهد. به این نکته توجه کنید که روش فوق می تواند بسیار کاربردی باشد با توجه به اینکه بسیاری از مدیرهای شبکه بر روی فایروال های خودشان برای بالا بردن کارایی سیستم قابلیت packet reassembly را غیرفعال می کنند چون پردازش CPU فایروال را بالا می برد و به همین دلیل باعث می شود که بتوانیم پشت فایروال را اسکن کنیم , در سیستم های تشخیص نفوذی مثل snort هم پیشفرض قابلیت fragmentation reassembly غیرفعال شده است. البته طبیعتا در ادامه دستور مورد نظر Option های مختلفی که می توانیم برای این دستور استفاده کنیم را اضافه خواهیم کرد اما پارامتر f در اینجا به معنی fragment کردن اسکن است.

دسته بندی: فناوری اطلاعات تاریخ: ۲۷ تیر ۱۳۹۶
هاست رایگان
تمام حقوق مادی و معنوی این سایت محفوظ و متعلق به هرمز آی تی می باشد.
copyright 2017 Hormoz IT - Designed and Developed Hormoz IT