پويش يك پورت فرآيندى است كه مهاجمان با استفاده از آن قادر به تشخيص وضعيت يك پورت بر روى يك سيستم و يا شبكه مى باشند. مهاحمان با استفاده از ابزارهاى متفاوت، اقدام به ارسال داده به پورت هاى TCP و UDP نموده و با توجه به پاسخ دريافتى قادر به تشخيص اين موضوع خواهند بود كه كدام پورت ها در حال استفاده بوده و از كدام پورت ها استفاده نمى گردد و اصطلاحاً آنان باز مى باشند. مهاجمان در ادامه و بر اساس اطلاعات دريافتى، بر روى پورت هاى باز متمركز شده و حملات خود را بر اساس آنان سازماندهى مى نمايند. عملكرد مهاجمان در اين رابطه مشابه سارقانى است كه به منظور نيل به اهداف مخرب خود (سرقت)، درابتدا وضعيت درب ها و پنجره هاى منازل را بررسى نموده تا پس از آگاهى از وضعيت آنان (باز بودن و يا قفل بودن)، سرقت خود را برنامه ريزى نمايند. Transmission Control Protocol) TCP )وUDP ، دو پروتكل مهم TCP/IP مى باشند. هر يك از پروتكل هاى فوق مى توانند داراى شماره پورتى بين صفر تا ۵۳۵،۶۵ باشند. بنابراين ما داراى بيش از ۶۵۰۰۰ درب مى باشيم كه مى بايست در رابطه با باز بودن و يا بستن هر يك از آنان تعيين تكليف نمود (شبكه اى با بيش از ۶۵۰۰۰ درب!). از ۱۰۲۴ پورت اول TCP به منظور ارائه سرويس هاى استانداردى نظير FTP,HTTP,SMTP و DNS استفاده مى گردد. (پورت هاى خوش نام). به برخى از پورت هاى بالاى ۱۰۲۳ نيز سرويس هاى شناخته شده اى نسبت داده شده است، ولى اغلب اين پورت ها به منظور استفاده توسط يك برنامه در دسترس مى باشند.
| نحوه عملكرد برنامه هاى پويش پورت ها برنامه هاى پويش پورت ها در ابتدا اقدام به ارسال يك درخواست براى كامپيوتر هدف و بر روى هر يك از پورت ها نموده و در ادامه با توجه به نتايج بدست آمده، قادر به تشخيص وضعيت يك پورت مى باشند (باز بودن و يا بسته بودن يك پورت). در صورتى كه اينگونه برنامه ها با اهداف مخرب به خدمت گرفته شوند، مهاجمان قادر به تشخيص وضعيت پورت ها بر روى يك سيستم و يا شبكه كامپيوترى مى شوند. آنان مى توانند تهاجم خود را بگونه اى برنامه ريزى نمايند كه ناشناخته باقى مانده و امكان تشخيص آنان وجود نداشته باشد. برنامه هاى امنيتى نصب شده بر روى يك شبكه كامپيوترى مى بايست بگونه اى پيكربندى شوند كه در صورت تشخيص ايجاد يك ارتباط و پويش مستمر و بدون وقفه مجموعه اى از پورت ها در يك محدوده زمانى خاص توسط يك كامپيوتر، هشدارهاى لازم را در اختيار مديريت سيستم قرار دهند. مهاجمان به منظور پويش پورت ها از دو روش عمده «آشكار» و يا « مخفى»، استفاده مى نمايند. در روش پويش آشكار، مهاجمان در رابطه با تعداد پورت هائى كه قصد بررسى آنان را دارند، داراى محدوديت خواهند بود (امكان پويش همه ۵۳۵،۶۵ پورت وجود ندارد). در پويش مخفى، مهاجمان از روش هائى نظير « پويش كند » استفاده نموده تا احتمال شناسائى آنان كاهش يابد. با پويش پورت ها در يك محدوده زمانى بيشتر، احتمال تشخيص آنان توسط برنامه هاى امنيتى نصب شده در يك شبكه كامپيوترى كاهش پيدا مى نمايد. برنامه هاى پويش پورت ها با تنظيم فلاگ هاى متفاوت TCP و يا ارسال انواع متفاوتى از بسته هاى اطلاعاتى TCP قادر به ايجاد نتايج متفاوت و تشخيص پورت هاى باز بر اساس روش هاى مختلفى مى باشند. مثلاً يك پويش مبتنى بر SYN با توجه به نتايج بدست آمده اعلام مى نمايد كه كدام پورت باز و يا كدام پورت بسته است و يا در يك پويش مبتنى بر FIN بر اساس پاسخى كه از پورت هاى بسته دريافت مى نمايد (پورت هاى باز پاسخى را ارسال نخواهند كرد) وضعيت يك پورت را تشخيص خواهد داد . |
| چگونگى پيشگيرى و حفاظت مديران شبكه مى توانند با استفاده از امكانات متنوعى كه در اين رابطه وجود دارد از پويش پورت ها بر روى شبكه توسط مهاجمان آگاه گردند. مثلاً مى توان همه پويش هاى مبتنى بر SYN را ثبت تا در ادامه امكان بررسى دقيق آنان وجود داشته باشد. (تشخيص ارسال يك بسته اطلاعاتى SYN به پورت هاى باز و يا بسته). به منظور افزايش ايمن سازى كامپيوتر و يا شبكه مورد نظر مى توان خود راسا اقدام به پويش پورت ها نمود. با استفاده از نرم افزارهائى نظير NMap مى توان محدوده اى از آدرس هاى IP و پورت هاى مورد نظر را بررسى نمود (شبيه سازى يك تهاجم). پس از مشخص شدن وضعيت هر يك از پورت ها مى بايست اقدامات لازم حفاظتى در اين خصوص را انجام داد. در صورتى كه به وجود (باز بودن) يك پورت نياز نمى باشد، مى بايست آنان را غير فعال نمود. در صورت ضرورت استفاده از يك پورت، مى بايست بررسى لازم در خصوص تهديداتى كه ممكن است از جانب آن پورت متوجه سيستم و يا شبكه گردد را انجام و با نصب patch هاى مرتبط با آنان امكان سوءاستفاده از پورت هاى باز را كاهش داد. |
هیچ نظری موجود نیست:
ارسال یک نظر