آموزش رایگان سکیوریتی پلاس: هکرها چگونه پورت‌های یک سیستم را اسکن می‌کنند؟

برای مطالعه بخش قبل روی این آدرس کلیک کنید.

گذر از HASH

گذر هش یک تکنیک هک است که برای دسترسی به شبکه‌هایی استفاده می‌شود که از NTLM  سرنام Microsoft NT LAN Manager  به عنوان پروتکل احراز هویت خود استفاده می‌کنند. با عبور از هش، هکر ابتدا یک سیستم ویندوزی را به خطر می‌اندازد و سپس یک هشدامپ روی پایگاه داده SAM  انجام می‌دهد. هشدامپ شامل تمام هش‌های رمز عبور برای هر یک از حساب‌های کاربری در آن سیستم است. سپس هکر می‌تواند از آن هش‌ها در یک حمله هش برای انجام حرکت موازی در سراسر شبکه و انجام احراز هویت سایر تجهیزات استفاده کند. مزیت این نوع حمله از دیدگاه هکرها این است که هکر نیازی به شکستن رمزهای عبور کاربر ندارد. آن‌ها به سادگی می‌توانند در هنگام احراز هویت  هش به‌دست آمده از سیستم قبلی را برای سایر سیستم‌های عضو شبکه استفاده کنند. یکی از راه‌کارهای برای مقابله با حمله گذر از هش، به‌کارگیری مکانیزم احراز هویت Kerberos است که دغدغه‌های امنیتی پیرامون این حمله را برطرف می‌کند.

Amplification

حمله تقویت شده به فرآیند افزایش قدرت سیگنال به منظور برقراری ارتباط اشاره دارد. یک هکر ممکن است سیگنال کارت بی سیم خود را تقویت کند تا بتواند با تجهیزات بی‌سیم که در مسافت‌های دورتر قرار دارند ارتباط برقرار کند. این بدان معنی است که اگر هکر سیگنال دستگاه خود را تقویت کرده باشد، ممکن است نیازی به نزدیک شدن فیزیکی به شبکه برای اتصال به آن شبکه نداشته باشد. به خاطر داشته باشید، از نقطه نظر امنیتی، باید قدرت اکسس پوینت بی‌سیم خود را کاهش دهید تا هر فردی که قصد ارتباط با شبکه دارد را مجبور کنید برای اتصال به زیرساخت به نقطه دسترسی شما نزدیک شود.

هرزنامه‌ها

هرزنامه اشاره به پیام ایمیل ناخواسته‌ای دارد که برای افراد زیادی ارسال می‌شود. پیام‌های هرزنامه معمولاً به این امید ارسال می‌شوند که گیرنده پیام هرزنامه محصول یا خدماتی را از فرستنده پیام بخرد. اکثر سرورهای ایمیل در حال حاضر دارای فیلترهای هرزنامه هستند که به محافظت از سیستم در برابر دریافت تعداد زیادی از پیام‌های ایمیل ناخواسته کمک می‌کند.

افزایش/ترفیع امتیاز

افزایش امتیاز یک حمله محبوب است که در آن شخصی که دسترسی در سطح کاربر به یک سیستم دارد، می‌تواند امتیازات خود را برای دسترسی مدیریتی به سیستم افزایش دهد. افزایش امتیاز معمولاً به دلیل آسیب‌پذیری در نرم‌افزار در حال اجرا بر روی سیستم یا درون خود سیستم‌عامل اتفاق می‌افتد. مهم است که سیستم و برنامه را وصله کنید تا هر‌گونه آسیب‌پذیری شناخته شده را حذف کنید تا مانع افزایش امتیاز توسط هکرها شوید.

حملات اسکن پورت

یکی دیگر از حملات محبوب پیرامون شبکه‌ها به‌نام پویش پورت یا حمله پویش پورت شناخته می‌شود. با حمله پویش پورت، هکر نرم‌افزاری در شبکه اجرا می‌کند که پورت‌های یک یا سامانه‌ها را اسکن می‌کند. به‌طوری که هکر متوجه می‌شود چه پورت‌هایی باز هستند. هنگامی که هکر متوجه شد چه پورت‌هایی باز هستند، می‌تواند از پورت‌ها برای دسترسی به سیستم و بهره‌برداری از آن استفاده کنند. هکرها می‌توانند از انواع مختلف پورت اسکن استفاده کنند، با این‌حال، سه مورد زیر محبوب بیشتری نزد هکرها دارند:

■   TCP connect scan: ‌اسکن اتصال TCP یکی از روش‌های قدیمی در این زمینه است. هکر یک دست‌دهی سه طرفه TCP را روی هر پورت سیستم آزمایش می‌کند. هدف این است که اگر هکر بتواند با یک پورت دست‌دهی سه طرفه انجام دهد. در این حالت متوجه می‌شود که پورت باز است.

■   SYN scan: اسکن SYN که به نام اسکن نیمه باز اتصال TCP نیز شناخته می‌شود یکی دیگر از حمله‌هایی است که پیرامون شبکه‌ها قرار دارد. در این روش سه بسته بین هکر و سیستم در حال اسکن مبادله می‌شود. با اسکن SYN، هکر یک پیام SYN ارسال می‌کند، اما ACK را به عنوان مرحله سوم دست‌دهی سه طرفه پس از دریافت ACK/SYN از سیستم قربانی ارسال نمی‌کند، به این دلیل که به واسطه ترافیک بالا شناسایی نشود. این اسکن به اسکن نیمه باز یا اسکن مخفی نیز معروف است.

■   اسکن XMAS: در اسکن XMAS، یک بسته با پرچم‌های PSH، URG، و FIN به هر پورت ارسال می‌شود. اصطلاح اسکن XMAS از این واقعیت ناشی می‌شود که شما سه پرچم از شش پرچم را فعال کرده‌اید که مانند روشن کردن یک دسته چراغ روی درخت کریسمس است. توجه داشته باشید که به این حمله XMAS نیز گفته می‌شود.

انجام پورت اسکن

در این تمرین از کالی لینوکس برای انجام پورت اسکن در شبکه 10.0.0.0 استفاده می‌کنیم، بنابراین مطمئن شوید که ماشین مجازی مجهز به ویندوز 10، ماشین مجازی مجهز به ServerA  و Kali Linux در حال اجرا باشند.

1.   به ماشین مجازی لینوکسی بروید و سپس یک ترمینال (خط فرمان) را باز کنید. به‌طور معمول، می‌توانید این کار را با کلیک راست روی دسکتاپ و انتخاب New Terminal انجام دهید.

2.   برای انجام اسکن اتصال TCP در سیستم 10.0.0.1، تایپ کنید.

nmap -sT 10.0.0.1

3.   برای انجام یک اسکن اتصال TCP 10.0.0.1 و مشخص کردن اینکه می‌خواهید پورت‌های 21، 25 و 80 را اسکن کنید، تایپ کنید

nmap -sT 10.0.0.1 -p 21,25,80

4.   کدام یک از آن پورت‌ها در سیستم باز هستند؟

5.   برای انجام اسکن SYN 10.0.0.1 و اسکن پورت‌های 21، 25، و 80، دستور زیر را تایپ کنید:

nmap -sS 10.0.0.1 -p 21,25,80

6.   تفاوت بین اسکن اتصال TCP و اسکن SYN چیست؟

7.   برای انجام اسکن SYN در کل شبکه 10.0.0.0 و مشخص کردن این‌که آیا پورت‌های 21، 25 و 80 باز هستند یا خیر دستور زیر را تایپ کنید:

nmap -sS 10.0.0.0/8 -p 21,25,80

سایر حملات شبکه

لیست حملات شبکه بلندبالا است و هنوز هم موارد مهم دیگری مثل حمله‌های روبایش و.... وجود دارند که برای آزمون سکیوریتی پلاس باید در مورد آن‌ها اطلاعات داشته باشید. بر همین اساس در این بخش به شکل فهرست‌وار به برخی از آن‌ها اشاره می‌کنیم:

■   Pharming: همان‌گونه که اشاره شد، pharming حمله‌ای است که برخی افراد برای حمله به DNS یا فایل میزبان استفاده می‌کنند که فرد را به وب‌سایت اشتباهی هدایت می‌کند.

■   پروتکل‌های قدیمی: بدون در نظر گرفتن ملاحظات امنیت ایجاد شده‌اند و معمولاً اکنون یک نسخه امن برای جایگزینی آن‌ها وجود دارد. از پروتکل‌های قدیمی مورد توجه که روی پروتکل TCP/IP قرار دارند باید به HTTP، FTP، SMTP و POP3 اشاره دارد. در شماره‌های آتی اطلاعات بیشتری در ارتباط با نسخه‌های امن این پروتکل‌ها به‌دست می‌آورید.

■    رویابش جلسه: ربودن جلسه زمانی است که هکر یکی از طرفین را از ارتباط خارج می‌کند و خود را به یک ارتباط وارد می‌کند. به‌طور معمول، هکر از طریق پیاده‌سازی یک حمله انکار سرویس طرفین را از یک ارتباط کنار می‌زند.

■   جلسه‌های تهی: جلسه‌ی تهی (Null Session) زمانی است که شخصی بدون ارائه هیچ گونه اعتباری به یک سیستم ویندوزی متصل می‌شود. هنگامی که فرد به سیستم متصل می‌شود، می‌تواند منابع سیستمی را در صورتی که هیچ مکانیزم امنیتی از آن‌ها محافظت نکرده باشد سرشماری کند. از طریق سرشماری، هکر ممکن است بتواند کاربران، گروه‌ها و لیست پوشه‌های مشترک را جمع‌آوری کند. دستور زیر برای ایجاد یک جلسه null در سیستم ویندوز استفاده می‌شود:

net use \\10.0.0.1\ipc$  ""  /u:""

■   Domain name kiting: هکر با استفاده از مهلت پنج روزه مجاز، یک نام دامنه را به صورت رایگان ثبت می‌کند. پس از پایان مهلت پنج روزه، نام را لغو می‌کند و سپس آن‌را برای پنج روز دیگر رایگان دریافت می‌کنند. آن‌ها به این کار ادامه می دهند تا نام دامنه را همواره به شکل رایگان دریافت کنند.

■   تهدید داخلی مخرب: تهدید داخلی مخرب زمانی است که شخصی در داخل شرکت عمداً داده‌های شرکت را از بین می‌برد یا افشا می‌کند. تهدید مخرب خودی می‌تواند شخصی باشد که فعالیت‌های کلاهبرداری انجام می‌دهد.

■   دسترسی انتقالی: یک حمله گذرا زمانی اتفاق می‌افتد که کاربر لینکی به یک پوشه اشتراکی در سیستم دیگری که مجهز به ویندوز است دریافت می‌کند روی لینک کلیک می‌کند. در این حالت کاربر مجبور می‌شود تا اعتبار حساب کاربری ویندوز را به سیستم راه دور منتقل کند تا احراز هویت با موفقیت انجام شود. مشکل این است که اگر هکر از یک اسنیفر و رمزشکن  استفاده کند، می‌تواند رمز عبور حساب را بشکند.

■   حملات سمت کلاینت: حملات سمت سرویس گیرنده، حملاتی هستند که از طریق آسیب‌پذیری‌های موجود در نرم‌افزارهای کاربردی روی سیستم کلاینت با موفقیت انجام می‌شوند. بسیاری از حملات سمت سرویس گیرنده از برنامه‌های اینترنتی مانند مرورگرهای وب و برنامه‌های پیام‌رسان نشات می‌گیرند.

■   حمله Watering hole: حمله حفره آبی  زمانی است که هکر سایت‌هایی را که ممکن است بخواهید از آن‌ها بازدید کنید را تعیین می‌کند و سپس آن سایت‌ها را با کاشت ویروس یا کد مخرب روی آن‌ها به خطر می‌اندازد. هنگامی که از سایت (که به آن اعتماد دارید) بازدید می‌کنید، سامانه شما به ویروس آلوده می‌شود.

■   اشتباه تایپی/ربایش نشانی اینترنتی: این حمله به معنای روبایش یک آدرس اینترنتی مشهور است و بر این قاعده استوار است که برخی  کاربران هنگام تایپ یک URL در مرورگر اشتباهات تایپی انجام می‌دهند. هکر وب سایتی را با آدرس اینترنتی مشابه نمونه واقعی راه‌اندازی می‌کند که بسیار شبیه به URL یک وب‌سایت محبوب است، اما شامل یک اشتباه تایپی پیش‌بینی‌شده است. در این حالت اگر کاربری آدرس را به اشتباه وارد کند به وب‌سایت تحت کنترل هکر هدایت می‌شود.

برای آزمون، به یاد داشته باشید که یک حمله حفره آبی زمانی است که هکر وب سایتی را که معمولاً قربانیان مورد نظر به آن دسترسی دارند، آلوده می‌کند. هنگامی که قربانیان مورد نظر به وب‌سایت وارد می‌شوند، کد مخرب اجرا می‌شود و آن‌ها را آلوده می‌کند.

کد مخرب یا اجرای اسکریپت

در شماره‌های آتی با حملات و امنیت برنامه‌ها و برخی از انواع مختلف کدهای مخربی که می‌توانند روی سیستم‌ها اجرا شوند آشنا خواهید شد. در این بخش می‌خواهم برخی از محیط‌های اسکریپت‌نویسی رایج را که مهاجمان برای ایجاد اسکریپت‌های مخرب از آن‌ها استفاده می‌کنند، را معرفی کنم:

■   PowerShell : پاورشل محیط اسکریپت‌نویسی برای سیستم‌های ویندوز است که از cmdlet‌ها استفاده می‌کند. cmdlet یک فرمان پاورشل است که فرمت فعل-اسم دارد (به عنوان مثال، شما از get-service برای دریافت لیستی از سرویس‌های در حال اجرا در سیستم استفاده می‌کنید). کاربران می‌توانند یک فایل اسکریپت پاورشل را با پسوند ps1. ایجاد کنند.

■    Python: یکی از محبوب‌ترین محیط‌های برنامه‌نویسی و اسکریپت‌نویسی برای خودکارسازی وظایف در سیستم و انجام آزمایش در شبکه است. برای مثال، که مدیران شبکه برای خودکارسازی برخی کارها یا انجام اسکن پورت‌ها از پایتون استفاده می‌کنند. فایل‌های اسکریپت پایتون پسوند .py دارند.

■   اسکریپت‌های  Bash : در محیط لینوکس ایجاد می‌شوند و برای انجام کارهای تعمیر و نگهداری منظم در سیستم لینوکس کاربرد دارند. فایل‌های برنامه‌نویسی پوسته Bash حاوی یک دستورات لینوکسی هستند که باید یکی پس از دیگری اجرا شوند. پسوند این فایل‌های اسکریپتی .sh است.

■   ماکروها: اشاره به ویژگی یا ویژگی‌های یک برنامه کاربردی دارند که اجازه می‌دهند تا انجام برخی کارها و وظایف را به شکل ساده‌تری مدیریت کنید. مجموعه وظایفی که قرار است بارها و بارها اجرا شوند. بیشتر ماکرو درون برنامه‌ای هستند و در همان برنامه کاربرد دارند. یکی از معروف‌ترین برنامه‌ها در این زمینه ورد مایکروسافت است. معمولا مهاجمان یک فایل با یک ماکرو مخرب ایجاد می‌کنند و سپس فایل را برای قربانیان خود ایمیل می‌کنند تا زمانی که فایل را باز می‌کنند، ماکرو اجرا شود و اقدامات مخرب روی سیستم انجام شود.

■   Visual Basic for Applications : زبان برنامه‌نویسی ماکرو برای مجموعه نرم‌افزار Microsoft Office است. برای مثال، می‌توانید از VBA در اکسل برای دستکاری خودکار صفحه‌گسترده استفاده کنید.

پیشگیری از بروز حمله‌های تحت شبکه

با توجه به این‌که بردارهای حمله مختلفی شبکه‌ها را تهدید می‌کنند، بنابراین باید کارهای مختلفی برای محافظت از شبکه در برابر تهدیدات انجام دهید. ابتدا مطمئن شوید که کنترل‌های امنیتی فیزیکی در اختیار دارید تا اطمینان حاصل کنید که افراد غیرمجاز نمی‌توانند برای اتصال به شبکه به این مرکز دسترسی پیدا کنند.

همچنین، ویژگی‌های امنیتی را روی سوئیچ‌های خود اجرا کنید، مانند غیرفعال کردن پورت‌های استفاده نشده روی سوئیچ‌ها. اگر یک پورت غیرفعال باشد، زمانی که هکر سعی می‌کند به پورت استفاده نشده متصل شود، نمی‌تواند از آن استفاده کند. همچنین باید ویژگی امنیتی پورت را روی سوئیچ‌ها پیاده‌سازی کنید. یعنی وقتی یک پورت فعال است، یک آدرس MAC خاص را با پورت مرتبط کنید. رویکرد فوق تضمین می‌کند که کسی نمی‌تواند یک ایستگاه کاری را از سوئیچ جدا کند و آن‌را با یک سیستم غیرمجاز جایگزین کند.

سیستم‌های خود را با وصله‌ها به روز نگه دارید تا در برابر اکسپلویت‌های شناخته شده آسیب‌پذیر نباشید. همچنین، مطمئن شوید که سفت‌افزار را روی سخت‌افزار شبکه خود، مانند سوئیچ‌ها و روترها، به‌روزرسانی کرده‌اید تا هر گونه آسیب‌پذیری شناخته شده در میان‌افزار حذف شود.

آخرین کاری که می‌توانید انجام دهید این است که همه کارمندان را از انواع مختلف حملات مانند vishing، pharming، spam و spim آگاه کنید. هرچه کارکنان بیشتر آگاه باشند، محیط شما امن‌تر خواهد بود.

در شماره آینده مبحث فوق را ادامه می‌دهیم.

برای مطالعه تمام قسمت‌های آموزش سکوریتی پلاس اینجا کلیک کنید.

معرفی آموزشگاه شبکه و امنیت

تهران: آموزشگاه عصر رایان شبکه

• مهندس اطلاعات 
• تلفن: 02188549150           کانال: Asrehshabakeh@

تبلیغات لینکی: 

استخدام کارشناس Help‌Desk