Jump to content
بازگشایی انجمن! ×
Invision Community

تحلیل پروسه اسکن پورت

R3DN4X314
 Share

Recommended Posts

R3DN4X314 Rookie

R3DN4X314

Posted
Posted

امروز قصد داریم در مورد یک سبک اسکن متداول که میشه گفت بخشی از سبک های ریشه ای تمام پورت اسکنر هاست صحبت کنیم ، و در اصل زیر بخش های پروسه رو مورد بررسی قرار بدیم 

این سبک از روش دست تکانی سه مرحله ای TCP برای ارتباط و ارزیابی باز ، بسته ، یا فی.لتر بودن پورت استفاده میکنه 

این روش پر استفاده ، روش پیشفرض اکثر پورت اسکنر هاست ، حتی پورت اسکنر های منعطفی مثل nmap , که تحت عنوان SYN شناخته میشه ، که اسم اولین پکت ارسالی در این روشه

در هنگام تعامل با یک سرویس TCP ارتباط از طریق دست تکانیه سه مرحله ای شکل میگیره ، که در مرحله ی اول یک پکت SYN به یک پورت TCP حاوی سرویس ارسال میشه ، به عنوان مثال HTTP پورت 80 یا SMTP پورت 25 یا POP3 پورت 110 و ...

در مرحله دوم سرور پکت SYN رو دریافت میکنه و با یک SYN ACK پاسخ میده 

و در مرحله سوم کلاینت SYN ACK دریافتی رو با یک ACK پاسخ میده

بعد از این سه مرحله یک ارتباط به وجود میاد و تعامل و تبادل اطلاعات شکل میگیره ، تصویر زیر :

firewall-allows-web-traffic.png

 

در مثال تصویر بالا فایروال به پکت ها اجازه عبور داده و کانکشن شکل گرفته ، فایروالی که در تمام تصاویر مثال ها اومده میتونه یک گره سخت افزاری باشه یا یک نوع نرم افزاریه نصب شده رو هاست

امتناع از ورود پکت های ناخواسته ای که ممکنه به سیستم صدمه بزنن رو میشه یکی از عملکرد های فایروال دونست

در این مثال پکت به پورت 81 که سرویسی روش نیست ارسال میشه ، و فایروال به همین دلیل کانفیگ شده تا دسترسی بهش رو ممنوع کنه ، تصویر زیر :

firewall-filtered-port.png

 

یک نتیجه ی filtered port پس از اسکن توسط nmap نشون میده که پورت پکت SYN رو دریافت نکرده ، و پکت توسط فایروال کنار گذاشته شده

در تصویر زیر مانیتور پروسه تصویر بالا توسط وایرشارک رو میبینید ، که همونطور که گفته شد درخواست بدون پاسخ مونده :

wireshark-nmap-filtered-port.png

 

 

اما زمانی که پیام پورت باز نیست پس از اسکن دریافت میکنید ، به این معنیه که سرویس در حال اجرایی روی پورت مورد نظر نیست ، اما فایروال اجازه رد شدن رو به پکت داده 

در مثال تصویر زیر پکت ارسالی ما به پورت 81 بوده که سرویس در حال اجرا نداشته (مثل نمونه قبل) اما با این حال فایروال به پکتمون اجازه عبور داده ، که این مشگل معمولا از طریق کانفیگ نادرست مدیر سیستم به وجود میاد :

firewall-closed-port.png

و همچنین مانیتور پروسه تصویر توسط وایرشارک :

wireshark-nmap-closed-port.png

 

 

و اما دریافت نتیجه باز بودن پورت ، در این حالت SYN پکت ارسالیه اولیه ما با جواب مناسب یعنی SYN ACK پاسخ داده شده (که از طرف سرویس روی پورته) و در قسمت سوم دست تکانی (چون به باز بودن پورت اگاه شدیم و نیازی به ادامه نیست) برای جلوگیری از کانکشن به جای پاسخ با ACK با یک پکت ریست RST پاسخ میدیم که ارتباط لغو بشه , تصویر زیر :

wireshark-nmap-open-port.png

 

 

 

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...