האקרים וסריקת הפורטים במחשב שלך
סריקת פורטים היא אחד הדברים הראשונים אשר בדרך כלל האקרים מבצעים על מנת להתפרץ לתוך מערכת.
יש כמה דרכים לביצוע סריקת פורטים, במאמר זה אציג 4 מהן.
השאלה הנשאלת היא, מדוע צריך יותר משיטה אחת.
התשובה המתבקשת מחולקת לשתיים:
1. פיירוואלים-רוב הפיירוואלים בהגדרות ברירת המחדל שלהם לא יאפשרו כניסה של פאקטים אלו או אחרים.
2. IDS ים- כלי לזיהוי התפרצויות למערכת, אשר בין השאר מזהה סריקות פורטים. בעזרת השיטות שאציג פה נוכל למנוע מן הפיירוואל לסנן את הפאקטים, ומהIDS לתייג אותם כעוינים.
normal scanning
השיטה הזאתי די מוכרת לכולם אני מניח, היא ידועה גם בשם “סריקת וניל”.
הרעיון זה לנסות להתחבר לפורט , אם ההתחברות הצליחה, סימן שהפורט פתוח.
אם היא נכשלה, הפורט סגור.
לא מי יודע מה מסובך.
ניתן לממש את השיטה הזו ברמה יותר גבוהה של שקעים, אין צורך לבצע שימוש בRAW SOCKETS.
half open scanning
מי שיש לו רקע בפרוטוקול הTCP/IP יודע(או אמור לדעת) איך מתבצע קשר בין מחשבים.
הקליאנט(הסורק) שולח פאקט עם דגל SYN, השרת(הנסרק) משיב לנו עם פאקט עם דגל SYN|ACK ואנחנו מחזירים לו עם פאקט עם דגל ACK.
הרעיון מאחורי השיטה הוא כזה:אנחנו שולחים פאקט עם דגל SYN, מחכים לתשובה, אם מוחזר פאקט עם דגל SYN|ACK אנחנו יודעים שהפורט פתוח, ומחזירים פאקט עם דגל RST.
אם מוחזר פאקט עם דגל RST, שמאתחל את ההתקשרות אנחנו יודעים שהפורט סגור.
הקונספט של השיטה הזו, הוא שמעולם לא התבצעה התחברות מלאה!
משמע, חלק מהIDSים לא יקטלגו את זה כסריקה.
כדאי לממש שיטה זו אנו זקוקים לידע בRAW SOCKETS.
stealth scanning
ראשית חשוב להבהיר השיטה הנ”ל לא תפעיל בכל מערכת הפעלה, חלק מהמערכות(בניהם windows), יגיבו בצורה לא שגרתית לפאקטים, לכן אין לשיטה זו כל אפקטביות כלפיהם.
סריקה זו מתחלקת לשני סוגים.
1)דגל הFIN- אנו שולחים פאקט עם דגל FIN,אם ההוסט אליו שלחנו את הפאקט ענה לנו עם דגל RST, הפורט סגור, אחרת
הפורט ככל הניראה פתוח.
2)דגלACK-כאשר אנחנו נשלח פאקט עם דגל ACK, במידה גודל החלון עולה על 0, או גודל הTTL, קטן משאר הTTL בפאקטים האחרים שהתקבלו, כניראה שהפורט “פתוח”.
סריקה ממספר מקומות
השיטה הזו לא באה להחליף את השיטה הקודמת, אלא באה לתמוך בה, ובעיקר למנוע מהIDSים לגלות אותה.
בשביל שיטה זו, אנו צריכים להשתלט על מספר מחשבים, ולשלוח להם בקשה אילו פורטים לסרוק, מחשב אחד ישמש כ”בוס”, ועוד כמה מחשבים יהיה “העבדים “שלו, שבעצם יסרקו כל פורט שהוא אומר.
חשוב לדאוג שמספרי הפורטים לא יהיו סדרתיים.
לדוגמא, פורט 1, ו 29, ואז 3, ו1000.
וכן הלאה, עד שיסרק הכל.
גורם הזמן
זמן הוא כסף, אבל החיפזון מהשטן.
סריקה של מספר גדול של פורטים בכמה דקות, תגרום לפIDS להדליק נורה אדומה.
חשוב לדאוג שהסריקה תתבצע לאט לאט, ואפילו עדיף שתמשך ימים שלמים.
SPOOFING
אתם בטח שואלים, מה spoofing יועיל לי כאן.
התשובה היא, ניתן בעזרת spoofing להטעות את המחשב הנסרק.
לדוגמא, אפשר לשלוח 20 פאקטים של פורט 1-20, ולסרוק את פורט 19 בלבד עם כתובת מקור תקינה.
אבל שוב, יש פה חוסר יעילות, לסרוק פורט אחד מתוך 100 לא יעזור לנו, לכן יש לדאוג לשלב בין השיטות, כמובן שאי אפשר להמנע מגילוי במאה אחוז.
שיטה נוספת הי אלהציף את המחשב בהמון סריקות, ובוא בזמן לסרוק בשיטה שונה את המחשב עם כתובת מקור תיקנית.
אוקי, אני מקווה שנהנתם והכי חשוב למדתם מהכתבה, אם אתם מתעניינים בנושא מהאספקט התיכנותי, אני ממליץ לכם לבקר באתר של כלי הסריקה nmap, כלי הסריקה הידוע, כלי זה הינו קוד פתוח ותוכלו להציץ שם ולהבין כיצד הוא עובד.
עד כאן, מקווה שהשכלתם ונהנתם מקריאת צמד הפוסטים הללו.
מאת: אביחי – טכנאי מחשבים מוסמך
16 באוקטובר 2019 @ 11:54
האקרים הם ממש הסכנה של כולם היום