جلسه نهم دوره پیشرفته ابزار Nmap: تکنیک های عبور از فایروال و IDS/IPS + فیلم

در این جلسه به معرفی سوئیچ ها، گزینه ها و تکنیک های عبور از فایروال و IDS/IPS در ابزار Nmap پرداخته شده است. در Nmap قابلیت هایی وجود دارد که به واسطه آنها می توان تجهیزات امنیتی را دور زد به این تکنیک ها Evasion گفته می شود.

در جلسه نهم سعی شده است که کاربردی ترین گزینه ها و سوئیچ های عبور از فایروال و IDS/IPS موجود در Nmap بررسی شود. این گزینه ها در ادامه قابل مشاهده است.

f: این گزینه برای قطعه بندی کردن بسته های اسکن استفاده می شود. هر بسته قطعه بندی شده 8 بایت داده دارد. با گزینه f بسته های اسکن معمولا از فایروال هایی که پیکربندی نادرستی دارند، به راحتی عبور می کنند.

mtu: گزینه MTU یا Maximum Transmission Unit دقیقا شبیه گزینه f عمل می کند با این تفاوت که مقدار mtu بایستی در زمان اسکن تنظیم شود. با mtu به Nmap دستور داده می شود که بسته های اسکن قطعه بندی شوند. اندازه بسته های قطعه بندی شده در زمان اسکن تنظیم می شود و مقدار آن در جلوی mtu قرار می گیرد. با این تکنیک بسته های قطعه بندی زیادی تولید می شود که ممکن است از فایروال ها و دیگر تجهیزات امنیتی عبور کنند. لازم به ذکر است که مقدار mtu بایستی ضریبی از 8 باشد.

D: گزینه D یا Decoy برای پنهان و مخفی کردن درخواست های اسکن Nmap با استفاده از یک یا چند دام به کار برده می شود. در واقع زمانی که یک اسکن روی هدف انجام می شود Nmap به وسیله گزینه D چند آدرس IP را جعل می کند و به وسیله آنها درخواست های اسکن را به سمت هدف نیز ارسال می کند. به عبارت بهتر با این گزینه عملیات اسکن از چند سیستم به طور همزمان اجرا می شود و با این کار تجهیزات امنیتی در تشخیص اسکن اشتباه می کنند.

S: این گزینه برای تغییر آدرس IP مبدا یا Source-IP استفاده می شود. در واقع با این گزینه به Nmap دستور داده می شود عملیات اسکن را براساس آدرس Source-IP مشخص شده انجام دهد.

source-port: این گزینه برای تعیین شماره پورت سیستم مبدا که عملیات اسکن از طریق آن انجام می شود، استفاده می گردد.

data-length: این گزینه برای اضافه کردن داده های تصادفی به بسته های اسکن مورد استفاده قرار می گیرد. معمولا در Nmap طول بسته ها ثابت و یک مقدار مشخص است. بنابراین اکثر تجهیزات امنیتی مثل IPS قادر به تشخیص بسته های Nmap هستند به همین دلیل جهت عبور از تجهیزات امنیتی می توان از گزینه data-length استفاده نمود.

spoof-mac: این گزینه برای جعل و تغییر آدرس MAC سیستم مبدا که اسکن از روی آن انجام می شود، استفاده می گردد. spoof-mac را می توان به سه روش مقدار دهی کرد. در حالت اول اگر مقدار 0 برای این گزینه تنظیم شود، یک آدرس MAC تصادفی به کار برده می شود. برای حالت دوم می توان یک مقدار مشخص مثل 01:02:03:04:05:06 برای این گزینه تنظیم شود. در حالت سوم می توان یا توجه به Vendor (به طور مثال Cisco, Apple و غیره) این گزینه را مقدار دهی کرد.

badsum: با این گزینه می توان بسته های اسکن Nmap با چکسام (Checksum) نادرست را به سمت هدف ارسال کرد. در پروتکل TCP/IP معمولا از چکسام برای صحت و درستی داده ها استفاده می شود که در برخی مواقع اهدافی که پیکربندی ضعیفی دارند ممکن است به بسته های اسکن با چکسام نادرست، پاسخ مناسب دهند.

جهت مشاهده ویدیو آموزشی لطفا در وب سایت کیهان نت ثبت نام | ورود نمایید.

نظر بدهید

آدرس ایمیل تان منتشر نخواهد شد.