إعـــــــلان

تقليص
لا يوجد إعلان حتى الآن.

Idle Scan بالتفصيل !

تقليص
X
 
  • تصفية - فلترة
  • الوقت
  • عرض
إلغاء تحديد الكل
مشاركات جديدة

  • [شرح] Idle Scan بالتفصيل !

    السلام عليكم ورحمة الله وبركاته

    قبل فترة طويلة من الزمن ربما شهر أو أثنين قام أحد الأخوة بطلب مني أن أشرح له عملية المسح الساكن، أو ما يعرف بالـ Idle Scan ولظروف عدة لم تسنح لي الفرصة بعمل ذلك وكذلك في الكثير من الأحيان نسيت الأمر للأمانة (سامحني ياطيب) ... ولهذا أتمنى أن يعذرني على تقصيري هذا ... لقد حاولت في الموضوع أن أبسطه في أبسط صورة ممكنة وأجعله مفهوماً للجميع ... وكذلك استعنت بكتاب Nmap Network Scanning في الكثير من جوانبه وكذلك فكرة الشرح الذي بالصور بالأسفل ... أتمنى أن ينال على رضاكم وإعجابكم ويكون مفيد ولو بشكل بسيط لكم ... ندخل في الموضوع ...

    ما هو المسح الساكن، أو ما يعرف بالـ Idle Scan؟
    وهو إحدى التقنيات المستعملة لعمل مسح/scan لهدف من دون أن يتم إرسال ولو حزمة واحدة للهدف، وبالتالي يكون الهدف أعمى عن حقيقة من قام بالمسح!

    هذه الطريقة تعمد على إختيار الفاحص (الشخص الذي يقوم بالمسح) بإختيار ضحية يجب ان تكون Idle أي إنها متصلة بالشبكة ولكنها في حالة سكون (لا يوجد إرسال أو إستقبال في تلك اللحظة) ... السبب في ذلك لكي نستطيع أن نخمن ما هو رقم الـ IP ID للحزمة التالية ... فكما يعرف الجميع لكل حزمة هناك IP ID وهذا الرقم يكون فريد أو وحيد (unique) ... من خلال هذا الرقم نستطيع أن نخمن رقم الحزمة القادمة وهكذا ... هذه الطريقة في الفحص تجعل أجهزة أو انظمة كشف الإختراقات تسجل بإنه حصلت عملية فحص من قبل جهاز الضحية، وذلك لعدم معرفتها بإنه فعليا الفحص تم من جهاز آخر (جهاز الفاحص)!


    ما هي فائدة المسح الساكن Idle Scan؟
    - مفيد في عمل فحص بشكل مخفي للهدف، وذلك لأنه الهدف لن يعرف من قام فعلياً بعملية المسح، ولا أجهزة كشف الإختراقات ستعرف ذلك وإنما سيعرفون بإن الضحية هو من قام بذلك ... وذلك لأنها توهم الهدف بإنه لم تقوم هي بإرسال ولا اي حزمة من جهاز الجهاز الذي يقوم بالمسح الى الهدف، رغم إن أول حزمة هي صادرة من هذا الجهاز ولكن تم التعديل عليها لتظهر وكأنها صادرة من جهاز الضحية ... وبالتالي صعب جداً إكتشاف المهاجم أو الماسح الحقيقي!
    - مفيدة في تخطي حماية بعض الجدران النارية والراوترات والتي تعمل فلترة على عنوان IP لجهاز المصدر ... مثلاً، قاعدة البيانات لا تسمح بالإتصال بها إلا من خلال جهاز له IP معيين، وبالتالي حين نقوم بعمل مسح عليه سيظهر إنه مغلق أو مفلتر لنا ...
    - مفيدة لمعرفة ما هي المنافذ المسموحة للضحية الإتصال بها على الهدف ... وبالتالي نعرف ما هي صلاحيات الضحية على هذا الهدف ... وكما يقولون بالأنجليزي Map and define trust relationships ...


    بعض أساسيات TCP/IP التي من الظروري معرفتها لفهم المسح الساكن Idle Scan:
    1- لمعرفة إذا كان منفذ TCP مفتوح أو لا ... نقوم بإرسال حزمة من نوع SYN والتي هي حزمة رغبة إنشاء إتصال ... فإذا قام الطرف الآخر بالرد عليها بحزمة من نوع SYN/ACK ... أي حزمة الموافقة على رغبة إنشاء الإتصال ... فهذا يعني بإن المنفذ مفتوح ... ولكن إذا جاء الرد من الطرف الآخر بحزمة من نوع RST ... فهذا يعني بإن المنفذ مغلق ... (هذه أبسط الطرق، أي الأساسيات فقط) ...

    2- أي جهاز يستلم فجأة حزمة من نوع SYN/ACK ... أي إنه يوافق على رغبة الإتصال، رغم إنه الجهاز لم يرسل طلب بإنشاء إتصال ! ... فإن الجهاز سيقوم بالرد عليها بحزمة من نوع RST ... وهذا دلالة على الرفض أو إلغاء الأمر ...

    3- أي حزمة في الشبكات لها رقم يسمى IP Identifier أو بعض الكتب تسميه Fragment Identifier والذي نرمز له بـ IP ID ... انظمة التشغيل إن لم يكن جلها تقوم بزيادة هذا الرقم لكل حزمة تقوم بإرسالها، وبالتالي عملية التحقق أو probe من الـ IP ID يمكن أن تكشف لنا كم حزمة تم إرسالها منذ آخر عملية تحقق probe قمنا بها وذلك لأنه نستطيع أن نحسب الفارق بين الرقمين للـ IP ID الذي حصلنا عليهم ...


    طريقة عمل مسح (Scan) من نوع Idle Scan:
    هناك ثلاث خطوات سيتم تكرارها بغض النظر عن حالة المنفذ (مفتوح، مغلق، مفلتر) الذي يتم فحصه على جهاز المستهدف (الهدف المراد فحصه). هذه الخطوات هي:

    الخطوة الأولى:
    نقوم بالتحقق من رقم الـ IP ID للحزم على الجهاز الضحية، من خلال إرسال حزمة SYN/ACK له وتسجيل الرقم العائد لنا في حزمة الـ RST ...

    الخطوة الثانية:
    نقوم بإنشاء حزمة نوعها SYN وذلك رغبة في إنشاء إتصال بين الضحية والجهة المستهدفة ... نقوم بإرسال هذه الحزمة الى الهدف المراد فحصه، ولكن مع وضع عنوان الضحية وليس عنوان جهاز المسح الذي ننفذ عملية المسح منه ...

    الخطوة الثالثة:
    نقوم بالتحقق من رقم الـ IP ID للحزم على جهاز الضحية مرة أخرى، من خلال إرسال حزمة SYN/ACK له وتسجيل الرقم العائد لنا في حزمة الـ RST ... نقوم بمقارنة رقم الـ IP ID الذي حصلنا عليه في هذه الخطوة مع الرقم الذي حصلنا عليه في الخطوة رقم(1) ... حيث سيتغيير أو لا يتغيير هذا الرقم حسب حالة المنفذ الذي تم فحصه ...

    هذه هي الثلاث حالات التي ستتكرر في كل مرة نقوم بالفحص بغض النظر عن حالة المنفذ (مفتوح، مغلق، مفلتر) ...


    الآن نأتي الى كيفية معرفة هل المنفذ مفتوح، أم مغلق، أم هو مفلتر بواسطة جدار ناري ... طبعا جميع الشرح هذا يجب ان يكون فيه الضحية أو الـ Zombie في حالة سكون (Idle) ... غير ذلك جميع ما ذكر سيختلف ويكون صعب تخمين رقم الـ IP ID وبالتالي يصعب الحصول على نواتج دقيقة ... الآن الـ IP ID على جهاز الضحية يجب أن يتغيير بمقدار واحد (1) أو بمقدار أثنين (2) ... الآن:
    - إذا كان التغيير في IP ID بمقدار واحد (1) ... هذا يعني إنه الضحية/Zombie لم تقم بإرسال سوى حزمة واحدة والتي كانت رداً على حزمة التحقق (SYN) الذي قام بها الماسح ... وبالتالي هذا يعطينا فكرة على إن الهدف إما إنه لم يقم بالرد أو إنه قام بالرد بحزمة من نوع RST ولهذا تجاهلها الضحية/Zombie وهذا يعني بإن المنفذ مغلق ...
    - إذا كان التغيير في الـ IP ID بمقدار أثنين (2) ... فهذا يعني بإن الضحية قام بإرسال حزمتين ... واحدة كانت رداً على حزمة التحقق (SYN) الذي قام بها الماسح ... وأخرى كانت رداً على جواب المنفذ بـ SYN/ACK (راجع عزيزي القاريء أساسيات TCP/IP في حالة أردت معرفة لماذا قام المنفذ المفتوح بالرد بـ SYN/ACK على حزمة الـ SYN) من خلال حزمة RST ... وبالتالي هذا يعطينا دلالة على إن المنفذ مفتوح ...
    - إذا كان التغيير في IP ID أكثر من 2، فهذا يعني بإن الضحية/Zombie هذا غير جيد ... أي إنه فعلياً ليس في حالة سكون/Idle حقيقية وبالتالي نتائجنا غير دقيقة ...
    - أخيراً، بسبب كون ما يحصل في حالة أردنا معرفة هل المنفذ مغلق أم مفلتر هو نفسه (زيادة الـ IP ID) بمقدار واحد ... فهذا يعني بإن الـ Idle Scan لا يستطيع أن يمييز فعلياً بين المنفذ المغلق أو المنفذ المفلتر ...

    لمن لم يفهم ما يحصل في عملية المسح الساكن أو ما يسمى بـ Idle Scan أليكم الخطوات التالية موضحاً بالرسم ... وكما يقولون الصورة أبلغ من ألف كلمة

    صورة الأدوار (الأجهزة المشاركة):


    الصورة الأولى: الفحص في حالة كان المنفذ مفتوح


    الصورة الثانية: الفحص في حالة كان المنفذ مغلق


    الصورة الثالثة: الفحص في حالة كان المنفذ مفلتر


    الآن لنرى كيف يتم تنفيذ المسح الساكن Idle Scan من خلال Nmap ... حيث يتم تنفيذ ذلك ببساطة من خلال الأمر التالي:
    كود:
    [LEFT]nmap -PN -sI idle.device.com www.target.com
    [/LEFT]
    وكما هو واضح بإننا نضع بعد الـ sI الجهاز الساكن ومن ثم الهدف المراد فحصه ... يعني جميع الشرح الذي قمنا به بالأعلى هو لفهم هذا السطر فقط

    أخيراً/
    كيف يتم إكتشاف الأجهزة الساكنة Idle؟
    هذا أتركه لكم للمذاكرة والإكتشاف

    أرجوا أن أكون قد وفقت في شرح الموضوع بالشكل المطلوب وأن كان هناك اي إستفسار إن شاء الله أقوم بالإجابة عليه بإستثناء السؤال الخاص بتشغيل المُخ

    دمتم بود ...
    التعديل الأخير تم بواسطة علي الشمري; الساعة 31-12-2010, 01:01 PM.
    إِنَّمَـا الأُمَـمُ الأَخْـلاقُ مَا بَقِيَـتْ ... فَـإِنْ هُمُ ذَهَبَـتْ أَخْـلاقُهُمْ ذَهَبُـوا

    إذا المرء لا يرعاك إلا تكلفاً ... فدعه ولا تكثر عليه التأسفا
    ففي الناس أبدال وفي الترك راحة ... وفي القلب صبر للحبيب ولو جفا
    فما كل من تهواه يهواك قلبه ... ولا كل من صافيته لك قد صفا
    إذا لم يكن صفو الوداد طبيعة ... فلا خير في خل يجيء تكلفا
    ولا خير في خل يخون خليله ... ويلقاه من بعد المودة بالجفا
    وينكر عيشاً قد تقادم عهده ... ويظهر سراً كان بالأمس في خفا

    [ مواقع مفيدة: أروع موقع القرآن الكريم |مدونتي |Twitter |نظام طارق ]


  • #2
    سملت يداك يا أبو محمد

    إضافة للأحباب, عندما تم اختيار صورة الطابعة لتكون هي الـ Zombie فهذا لم يكن عبثا ,, لأنه فعلا طابعات الشبكة Network Printer هي مصدر خطر كبير خاصة أنها تحتوي على نظام تشغيل متكامل(Linux) و له خدماتها(Web,SNMP,telnet,IPX,etc) و التي تعمل بدون أن يتم تحديثها (لا تلقائي و لا دوري) نيابة على أن طابعات الشبكة قد تكون موصولة بعدة شبكات VLANs مختلفه

    أقولها بجدية,, لو تم ختراق نظام تشغيل الطابعة فسيكون بمثابة مكان دافئ و رطب لبكتيريا لا تعيش إلا في الأماكن الحارة الممطرة :D

    قمت بعمل عدة تجارب على الطابعة في الشركة التي أعمل بها و كانت النتائج مخيفة :D


    سلمت يداك أبو محمد
    مـدونـتي الـتقـنـيـة

    サブリ

    مــا خِفتُ المـوتَ ولا عُـقبــاهُ ,,, فما أعظمَ شأنهُ غيرَ مولاهُ
    أهوِن بما في الموتِ من حدثٍ ,,, غـــيــرَ أن بـــهِ الله ألقــاهُ

    خارج الخدمة


    تعليق


    • #3
      بعد تنفيذ الأمر

      nmap -sI idle.device.com www.target.com
      طلعت لي المخرجات


      WARNING: Many people use -PN w/Idlescan to prevent pings from their true IP. On the other hand, timing info Nmap gains from pings can allow for faster, more reliable scans.
      You requested a scan type which requires root privileges.
      QUITTING!

      تعليق


      • #4
        المشاركة الأصلية بواسطة linex مشاهدة المشاركة
        بعد تنفيذ الأمر

        طلعت لي المخرجات
        أخي قم بقراءة رسالة الخطأ وترجمها ,ليس عندي خبرة بالحماية وبرامجها ,لكن الحل مكتوب في الرسالة

        تعليق


        • #5
          حياكم الله جميعاً يا شباب وأهلا بكم ...

          المشاركة الأصلية بواسطة KING SABRI مشاهدة المشاركة
          سملت يداك يا أبو محمد

          إضافة للأحباب, عندما تم اختيار صورة الطابعة لتكون هي الـ Zombie فهذا لم يكن عبثا ,, لأنه فعلا طابعات الشبكة Network Printer هي مصدر خطر كبير خاصة أنها تحتوي على نظام تشغيل متكامل(Linux) و له خدماتها(Web,SNMP,telnet,IPX,etc) و التي تعمل بدون أن يتم تحديثها (لا تلقائي و لا دوري) نيابة على أن طابعات الشبكة قد تكون موصولة بعدة شبكات VLANs مختلفه

          أقولها بجدية,, لو تم ختراق نظام تشغيل الطابعة فسيكون بمثابة مكان دافئ و رطب لبكتيريا لا تعيش إلا في الأماكن الحارة الممطرة :D

          قمت بعمل عدة تجارب على الطابعة في الشركة التي أعمل بها و كانت النتائج مخيفة :D

          سلمت يداك أبو محمد
          الله يسلمك يارب أخوي صبري ... وأشكرك جدا على الإضافة رغم إنك هكذا أعطيت القاريء نصف جواب السؤال "تعب حالك"

          المشاركة الأصلية بواسطة linex مشاهدة المشاركة
          بعد تنفيذ الأمر

          طلعت لي المخرجات
          طيب أخي أضف الخيار -PN أنا نسيت وضعه الى الأمر ونفذه ... لكن لا تنسى هذه الطريقة لن تعمل بدون أن يكون الضحية ساكن أو Idle

          المشاركة الأصلية بواسطة عمر خرسه مشاهدة المشاركة
          أخي قم بقراءة رسالة الخطأ وترجمها ,ليس عندي خبرة بالحماية وبرامجها ,لكن الحل مكتوب في الرسالة
          أشكرك للمساعدة أخي عمر ...

          المشاركة الأصلية بواسطة أبوريفان
          موضوع يوزن بذهب

          بارك الله فيك يا أبا محمد
          ويبارك بيك اخوي أبو ريفان ... هذا من لطفك وذوقك وإن شاء الله تكون أستفدت منه ...
          إِنَّمَـا الأُمَـمُ الأَخْـلاقُ مَا بَقِيَـتْ ... فَـإِنْ هُمُ ذَهَبَـتْ أَخْـلاقُهُمْ ذَهَبُـوا

          إذا المرء لا يرعاك إلا تكلفاً ... فدعه ولا تكثر عليه التأسفا
          ففي الناس أبدال وفي الترك راحة ... وفي القلب صبر للحبيب ولو جفا
          فما كل من تهواه يهواك قلبه ... ولا كل من صافيته لك قد صفا
          إذا لم يكن صفو الوداد طبيعة ... فلا خير في خل يجيء تكلفا
          ولا خير في خل يخون خليله ... ويلقاه من بعد المودة بالجفا
          وينكر عيشاً قد تقادم عهده ... ويظهر سراً كان بالأمس في خفا

          [ مواقع مفيدة: أروع موقع القرآن الكريم |مدونتي |Twitter |نظام طارق ]

          تعليق


          • #6
            شكرا دكتور ازادك الله من علمه
            واشتقنا لمواضيعك الشيقه


            دكتور عند عمل فحص عادي ping
            هل يكون بمقدره الهدف معرفه ان هذا الشخص يقوم بمسح
            ام يعرفها على انها تصفح للسيرفر او طلب اي شي من السيرفر

            سامحني على الخروج من الموضوع خبرتي معدومه ولكن لي اهتمامات بالحمايه ..

            تعليق


            • #7
              المشاركة الأصلية بواسطة wedo_ksa مشاهدة المشاركة
              شكرا دكتور ازادك الله من علمه
              واشتقنا لمواضيعك الشيقه


              دكتور عند عمل فحص عادي ping
              هل يكون بمقدره الهدف معرفه ان هذا الشخص يقوم بمسح
              ام يعرفها على انها تصفح للسيرفر او طلب اي شي من السيرفر

              سامحني على الخروج من الموضوع خبرتي معدومه ولكن لي اهتمامات بالحمايه ..
              حياك الله اخوي وليد وبارك الله بيك على دعواتك الطيبة ... شكراً لك ...

              بخصوص عمل الفحص بواسطة ping كمثال ...

              الجواب لسؤالك: إن كان الهدف لديه نظام كشف الإختراقات أو اي نظام يقوم بعمل Sniffing أو Logging للحزم؟ فإنه سوف يرى هذه الـ ping التي عملتها ولو قمت بعمل إرسال حزمة واحدة وأوقفت البرنامج عن إكمال الإرسال ... (في ويندوز يرسل 4 حزم وفي لينوكس يرسل الى حين تقوم بإيقافه) ...

              لكن بالغالب الطرف الآخر لن يعتبر عملية إرسال ping واحدة مشبوهة ... مالم يتم إرسال عدد كبير منها ... عندها يبدأ الشك من أهداف هذه الحزم ...

              وقبل ان اختم التوضيح أخي وليد ... المسح لا يتم فقط بواسطة icmp والتي يستعملها ping ... المسح يتم من خلال بروتوكولات عدة وكذلك من خلال التلاعب بالأعلام flags وكذلك ممكن يتم من خلال صناعة حزم خاصة بك لرغبة فحص ما ... والتي تسمى بعملية packet crafting ... ولهذا بالغالب عملية فحص ping واحدة لن يعتبرها الكثيرون ورائها أهداف أخرى ...

              لا اعلم إن كانت قد توضحت لك الصورة ام لا ... إن لم تكن تفضل بالسؤال لا عليك جميع الاسئلة مفيدة لي وللجميع ... وكذلك ما نعرفه سنجيب عليه وما لا نعرفه سنحاول البحث عن معرفة له

              تحياتي لك ويا هلا ومرحبا بك وبجميع الأخوة الكرام ...
              إِنَّمَـا الأُمَـمُ الأَخْـلاقُ مَا بَقِيَـتْ ... فَـإِنْ هُمُ ذَهَبَـتْ أَخْـلاقُهُمْ ذَهَبُـوا

              إذا المرء لا يرعاك إلا تكلفاً ... فدعه ولا تكثر عليه التأسفا
              ففي الناس أبدال وفي الترك راحة ... وفي القلب صبر للحبيب ولو جفا
              فما كل من تهواه يهواك قلبه ... ولا كل من صافيته لك قد صفا
              إذا لم يكن صفو الوداد طبيعة ... فلا خير في خل يجيء تكلفا
              ولا خير في خل يخون خليله ... ويلقاه من بعد المودة بالجفا
              وينكر عيشاً قد تقادم عهده ... ويظهر سراً كان بالأمس في خفا

              [ مواقع مفيدة: أروع موقع القرآن الكريم |مدونتي |Twitter |نظام طارق ]

              تعليق


              • #8
                المشاركة الأصلية بواسطة علي الشمري مشاهدة المشاركة
                حياك الله اخوي وليد وبارك الله بيك على دعواتك الطيبة ... شكراً لك ...

                بخصوص عمل الفحص بواسطة ping كمثال ...

                الجواب لسؤالك: إن كان الهدف لديه نظام كشف الإختراقات أو اي نظام يقوم بعمل Sniffing أو Logging للحزم؟ فإنه سوف يرى هذه الـ ping التي عملتها ولو قمت بعمل إرسال حزمة واحدة وأوقفت البرنامج عن إكمال الإرسال ... (في ويندوز يرسل 4 حزم وفي لينوكس يرسل الى حين تقوم بإيقافه) ...

                لكن بالغالب الطرف الآخر لن يعتبر عملية إرسال ping واحدة مشبوهة ... مالم يتم إرسال عدد كبير منها ... عندها يبدأ الشك من أهداف هذه الحزم ...

                وقبل ان اختم التوضيح أخي وليد ... المسح لا يتم فقط بواسطة icmp والتي يستعملها ping ... المسح يتم من خلال بروتوكولات عدة وكذلك من خلال التلاعب بالأعلام flags وكذلك ممكن يتم من خلال صناعة حزم خاصة بك لرغبة فحص ما ... والتي تسمى بعملية packet crafting ... ولهذا بالغالب عملية فحص ping واحدة لن يعتبرها الكثيرون ورائها أهداف أخرى ...

                لا اعلم إن كانت قد توضحت لك الصورة ام لا ... إن لم تكن تفضل بالسؤال لا عليك جميع الاسئلة مفيدة لي وللجميع ... وكذلك ما نعرفه سنجيب عليه وما لا نعرفه سنحاول البحث عن معرفة له

                تحياتي لك ويا هلا ومرحبا بك وبجميع الأخوة الكرام ...
                شكرا لك يا دكتور اجابه كافيه ووافيه واكثر مما طلبت عودتنا دائما على هذا

                تعليق


                • #9
                  السلام عليكم...
                  تحية طيبة لكل اعضاء المجتمع وللدكتور علي الرائع...
                  موضوع غاية في الاهمية وشرح جميل وواضح...سلمت يداك.
                  ليس لدي الكثر من الخبرة في مجال Penetration Testing. لكني اعتقد انه يمكن اكتشاف موكونات شبكة ما من خلال ادوات توضح اسماء وكيفية ربط الشبكة (شاهدت عمل هذا البرنامج من قبل على الويندوز لكني لا اذكر اسمه بصراحة ) من خلال معرفة الاجهزة يمكن بعدها تخمين الجهاز الذي من الممكن ان يكون خاملاً كمثل الطابعة, البرنامج كان يعمل على الشبكة الداخليه حينها ويمكن ان يوجد برنامج شبيه على الشبكات الاخرى!!!
                  بالنسبة للحماية من هكذا هجمات, هل تعتقد ان وجود Honeynet بتصميم الشبكة ينفع بتقليل المخاطر او اكتشاف الاجزاء الحقيقية من الشبكة...دمت بود
                  التعديل الأخير تم بواسطة المهندس; الساعة 01-01-2011, 01:20 PM.

                  تعليق


                  • #10
                    المشاركة الأصلية بواسطة المهندس مشاهدة المشاركة
                    السلام عليكم...
                    تحية طيبة لكل اعضاء المجتمع وللدكتور علي الرائع...
                    موضوع غاية في الاهمية وشرح جميل وواضح...سلمت يداك.
                    ليس لدي الكثر من الخبرة في مجال Penetration Testing. لكني اعتقد انه يمكن اكتشاف موكونات شبكة ما من خلال ادوات توضح اسماء وكيفية ربط الشبكة (شاهدت عمل هذا البرنامج من قبل على الويندوز لكني لا اذكر اسمه بصراحة ) من خلال معرفة الاجهزة يمكن بعدها تخمين الجهاز الذي من الممكن ان يكون خاملاً كمثل الطابعة, البرنامج كان يعمل على الشبكة الداخليه حينها ويمكن ان يوجد برنامج شبيه على الشبكات الاخرى!!!
                    بالنسبة للحماية من هكذا هجمات, هل تعتقد ان وجود Honeynet بتصميم الشبكة ينفع بتقليل المخاطر او اكتشاف الاجزاء الحقيقية من الشبكة...دمت بود
                    ﻻ اعتقد ذالك . ﻻن اغلب الشبكات تكون اصلا خلف بروكسي سيرفر

                    وحتى لو متصله دايركت فمالك صلاحيه بمعرفه الاجهزه الاخرى
                    اﻻ اذا كان هناك برنامج يبدا يخمن على رانج الاي بي والبورتات لكل ايب وبعدها يصنف كل جهاز وما يحمله من خدمه

                    واتمنى من من لهم خبره يفيدونا

                    تعليق


                    • #11
                      شكرا على الموضوع حبيبي واخيرا تم الفهم
                      لكن بالنسبة لاكتشاف الجهاز الخامل في الشبكة اكيد حيكوون طابعه او شي متل هيك
                      لكن طريقة اكتشافه من خلال الاي بي او من خلال سطر الاوامر ما بعرف كيف ياريت الاخوان يجابون بسررررعه

                      تعليق


                      • #12
                        @ wedo_ksa
                        إذا كنت على نفس الشبكة، فيمكنك عمل broadcast للـping لتنفيذه على جميع المتصلين في نفس المجموعة (راجع مواضيع توزيع العناوين في كتب تصميم الشبكات)؛ إذا كان هذا ما تقصده!
                        المشاركة الأصلية بواسطة KING SABRI مشاهدة المشاركة
                        إضافة للأحباب, عندما تم اختيار صورة الطابعة لتكون هي الـ Zombie فهذا لم يكن عبثا ,, لأنه فعلا طابعات الشبكة Network Printer هي مصدر خطر كبير خاصة أنها تحتوي على نظام تشغيل متكامل(Linux) و له خدماتها(Web,SNMP,telnet,IPX,etc) و التي تعمل بدون أن يتم تحديثها (لا تلقائي و لا دوري) نيابة على أن طابعات الشبكة قد تكون موصولة بعدة شبكات VLANs مختلفه

                        أقولها بجدية,, لو تم ختراق نظام تشغيل الطابعة فسيكون بمثابة مكان دافئ و رطب لبكتيريا لا تعيش إلا في الأماكن الحارة الممطرة :D

                        قمت بعمل عدة تجارب على الطابعة في الشركة التي أعمل بها و كانت النتائج مخيفة :D
                        أتصدّق أن هذه الأجهزة كانت غائبة عن ذهني تماماً أثناء قراءة الموضوع ؟!
                        ما فكّرت به هو تنفيذ SYN/ACK على أحد الأجهزة مرّة، ثم الانتظار لمدّة دقيقة واحدة، ثم إعادة تنفيذها وقراءة الأرقام (كما هو مذكور في هذا الموضوع تماماً) لمعرفة ما إذا كان الجهاز خاملاً أم لا، وعمل ذلك على بقيّة الأجهزة أيضاً! << مكنتش أفكّر إلّا في الـbruteforce
                        خاصّة وأنا لا أعرف عناوين هذه الأجهزة على أيّة حال ;)
                        عبدالرحيم الفاخوري -- abdilra7eem
                        IRC: Fakhouri
                        فلسطين
                        مترجم ومبرمج ويب وفني شبكات وخوادم يحب البطاريق

                        كتاب الإدارة المتقدمة لجنو/لينكس:
                        https://librebooks.org/gnu-linux-adv...dministration/

                        تعليق


                        • #13
                          لا زال السؤال يحيرني كيف لي ان اعرف عناوين الاجهزة الخاملة !

                          تعليق


                          • #14
                            المشاركة الأصلية بواسطة مغرم احزان مشاهدة المشاركة
                            لا زال السؤال يحيرني كيف لي ان اعرف عناوين الاجهزة الخاملة !
                            هذا واجب بيتي لك!
                            + يمكنك الاستفادة من مشاركة المهندس صبري، وربما من مشاركتي السابقة (مع أنّي أستبعد هذه الثانية).
                            عبدالرحيم الفاخوري -- abdilra7eem
                            IRC: Fakhouri
                            فلسطين
                            مترجم ومبرمج ويب وفني شبكات وخوادم يحب البطاريق

                            كتاب الإدارة المتقدمة لجنو/لينكس:
                            https://librebooks.org/gnu-linux-adv...dministration/

                            تعليق


                            • #15
                              مش عارف الحل لاني مبتدا

                              تعليق

                              يعمل...
                              X