أمن وحماية الشبكاتمواضيع عامةمواضيع ومقالات

مقال : كيف يعمل الفحص الساكن (Idle scan)

تم أرشفة هذا المحتوى


بسم الله الرحمن الرحيم

ما هو المسح الساكن، أو ما يعرف بالـ Idle Scan؟
وهو إحدى التقنيات المستعملة لعمل مسح/scan لهدف من دون أن يتم إرسال ولو حزمة واحدة للهدف، وبالتالي يكون الهدف أعمى عن حقيقة من قام بالمسح!

قبل أن نتحدث عن الفحص الساكن أو أحياناً يسمى الفحص الخامل ، من الضرورة أن تكون لديك بعض المفاهيم لتفهم العملية بشكل جيد ، لذلك سوف نبدأ بتوضيح بعض المفاهيم حول كيف يتم فحص البورتات وبعض المفاهيم ثم البدء بتوضيح فكرة الفحص الساكن .

أول مفهوم أريدك أن تكون على علم به وهو : Tcp handshaking أو بالعربية عملية المصافحة بين أجهزة الشبكة ،، هذه العملية يمر بها أي جهاز موجود ضمن شبكة إذا أراد التخاطب مع جهاز اخر وهي عملية سهلة جدا وتم تسميتها بعملية المصافحة لأنها تشبة في الحقيقة المصافحة عندما تلتقي بأحد أصدقائك او شخص ترغب بالتقدم والتحدث ألية دعوني اضع لكم هذه الصورة لفهم الخطوات التي تمر بها الأجهزة على الشبكة قبل إرسال أي بيانات .

TCP handshakeكما تلاحظون في الصورة السابقة لدينا ثلاثة اسهم وهي تعبر عن ثلاث خطوات يمر بها أي جهاز اذا أراد إرسال ملفات على سبيل المثال لدينا الجهاز الأول (Machine1) يريد ان يرسل ملفات إلى الجهاز (Machine 1)  يقوم في البداية بتهيئة الاتصال ومعرفة أن كل شيء على ما يرام يقوم بالتالي :

يقوم بإرسال حزمة من نوع SYN إلى الجهاز الهدف وينتظر الرد ،، يقوم الجهاز الذي استقبل الحزمة بالرد علية بحزمة من نوع SYN/ACK فيعرف الجهاز الأول أن كل شيء على ما يرام وان الجهاز الهدف مستعد لاستقبال البيانات ، فيبدأ بإرسال ACK,DATA وهي بمثابة البيانات التي يريد إرسالها .الآن اصبحنا نعرف كيف تتم عملية المصافحة بين جهازين ليتم أعداد الاتصال للبدء في إرسال  ملفات  بشكل مبسط

 مفهوم عملية فحص البورتات

ألأولى : وهي أن يكون البورت مفتوح

open-port scanفي هذه الحالة نستطيع معرفة أن البورت مفتوح عن طريق استجابة البورت والرد علينا بانه مستعد لاستقبال الاتصال .

الحالة الثانية وهي ان البورت مغلق :

prot close

في هذه الحالة نستطيع أن نعرف أن البورت مغلق بسبب أن الجهاز الهدف ارسل حزمه من نوع RET وهذا يعني أن البورت مغلق .

مفهوم عملية الفحص الساكن (Idle scan)

هذا الأسلوب يستخدم لمعرفة البورتات المفتوحة لدى الهدف بنفس طريقة الفحص العادي ولكن باستخدام احد الأشخاص الذي يساعدني على الفحص واستخدمه للفحص لكي لا يعرف مدير الشبكة بأني انا الذي يقوم بالفحص يسمى هذا الجهاز الجهاز الخامل أو يسمى zombie

نحتاج الى zombie والى جهاز الهدف لنقوم بعملية الفحص والحالة الاولى التي سوف نتناولها وهي أن يكون البورت مفتوح

idle-scan-open

الخطوة الاولى :

، قام المهاجم بارسال حزمة الى الجهاز الساكن الذي سوف نستخدمة لعملية الفحص ويشترط أن يكون جهاز خامل لا يرسل ولا يستقبل أي حزم ، ثم نقوم بتسجيل IP ID وهي قيمة رقمية وتزداد عندما تزداد الحزم  المرسلة من أي جهاز ، الآن أرسلنا حزمه وسجلنا القيمة

الخطوة الثانية :

نقوم بإرسال حزمة الى الجهاز الهدف بعد تزويرها ونقوم بتعديلها كانها جاءت من الجهاز الخامل سوف يستقبل الجهاز الهدف الحزمه ويقوم بالرد على الجهاز الخامل بحسب حالة البورت في حالتنا هذه البورت مفتوح سوف يرد الجهاز الهدف الى الجهاز الخامل بحزمة SYN/ACK وهي ان البورت مفتوح سوف يقوم الجهاز الخامل بالرد بحزمه RST لينهي الاتصال لانه لم يطلب أن يتصل .

الخطوة الثالثة :

نحن ما زلنا محتفظين بالقيمة التي حصلنا عليها من الخطوة الاولى ، نقوم مره اخرى بارسال حزمة الى الجهاز الخامل ليقوم بالرد علينا بــ RST ونقوم بتسجيل القيمة الجديده التي حصلنا عليها وننظر الى التغير الذي حصل ، التغير الحاصل كان حزمتين عن القيمة الاولى وهذا يدل ان الجهاز ارسل حزمتين بعد ما اختبرناه في المرحلة الاولى حزمه عندما قام بالرد على الهدف وحزمه عندما رد علينا في المرحلة الثالثة  ، من هذه المراحل نعرف أن البورت في الجهاز الهدف كان مفتوح ، في حالة كان البورت مغلق لن يكون التغير ألا بمقدار حزمه واحده كما في الصورة التالية

idle-scan-closed

من هذا المبدأ يتم الفحص الخامل عن طريق دارسة التغير الحاصل في الجهاز الخامل ونعرف مقدار التغير لدراسة حالة البورتات لدى الهدف .

سوف نقوم بتطبيق عملي على العملية في الجزء الثاني من المقال ان شاء الله .

علي الوشلي

علي الوشلي من اليمن, مدير مجتمع iSecur1ty , مهتم بأمن المعلومات واختبار الاختراق . حسابي على تويتر : ali_alwashali@

مقالات ذات صلة

‫3 تعليقات

  1. السلام عليكم
    مقال مميز ماشاء الله عليكم أخي على المقال المميز
    أريد أن أتكلم في نقطة و هي ما هو الفرق بين Connect Scan و SYN Scan ؟ و أيهما أفضل ؟
    Cnnect Scan يقوم بعملية اتصال كاملة بخلاف الاتصالSYN بحيث في حال كان المنفذ مفتوح عندما يرسل الجهاز المتصل SYN اضافة للبورت سوف يرد عليه الجهاز المتلقي ب SYN/ACK ثم يرد الأول مرة أخرى ب ACK و يتبعها ب RST لغلق الاتصال.
    سلبيات هذا النواع من الفحص
    أنه يأخذ وقت أطول لأنه يعمل Session كاملة مع النضام.
    يتم تسجيل الاتصال في Logs عند مدير النضام .
    الأمر الاخاص بتطبيق هذا النوع من الفحص هو :
    Nmap –sT IP_Target
    SYN : نوع من أنواع الفحص يشبه Connect Scanمميزاته أنه سريع لأنه لا يفتح Session مع النضام خلال الاتصال و هذا ما يجعله أسرع.
    الأمر الاخاص بتطبيق هذا النوع من الفحص هو :
    Nmap –sS IP_Target
    و بالتالي فانه SYN Scan هي الأسرع و الأفضل في الفحص مارنة مع connect scan.

    تحياتي لكم

  2. المرجوا ان تضعوا الجزء الثاني جزاكم الله على مجهوداتكم و اشكركم على تعاونكم هذا الدرس مهم بالنسبة لي وحتى جزء الثاني …. 🙂

اترك تعليقاً

لن يتم نشر عنوان بريدك الإلكتروني. الحقول الإلزامية مشار إليها بـ *

زر الذهاب إلى الأعلى