پاسخ : امنیت سرور + انتی ویروس ها
نقل قول:
امن نمودن HTTP به وسیله SSL
پورت ۴۴۳ چیست ؟
پورت ۴۴۳ برای امن نمودن HTTP استفاده میشود و تمام درخواست های https:// به پورت ۴۴۳ فرستاده میشوند و connection link نیز رمزنگاری خواهد شد. برای نصب https شما به گواهینامه SSL نیاز دارید (نصب OpenSSL) که پس از انجام این کارها میتوانید با تایپ آدرس های https://yoursite.com یا https://ipaddress/ به سایت ایمن خود متصل شوید.
گواهینامه ssl توسط CA امضا شود. (certificate authority) سایت شما به شکل یک قفل که نمایان گر امن بودن سایت شما است نمایش داده میشود.
---------- Post added at 05:57 PM ---------- Previous post was at 05:56 PM ----------
برای این کار ابتدا وارد SSH شده و فایل پیکربندی آن را با یکی از ویرایشگر ها مانند nano باز کنید:
nano /etc/ssh/sshd_config
نقل قول:
SSH خود را امن کنید
۱- پورت SSH را تغییر دهید:
خط زیر را پیدا کرده:
# را از ابتدای آن برداشته و بجای ۲۲ یک عددی را به عنوان پورت SSH وارد کنید: به طور مثال
دقت داشته باشید که پورت جدید را در tcp_out و tcp_in فایروال خود قرار دهید.
۲- SSH از protocol2 استفاده کند:
خط زیر را پیدا کرده :
به خط زیر تغییردهید:
---------- Post added at 06:02 PM ---------- Previous post was at 05:57 PM ----------
نقل قول:
راه های مقابله با حملات DOS/DDoS
شاید به جراًت بتوان گفت که مهم ترین دغدغه ی یک مدیر سرور مقابله با حملات DDOS/DOS است. در این پست قصد داریم چندین روش برای مقابله با این نوع حملات به شما ارائه دهیم. البته ناگفته نماند که هیچگاه نمیتوان به طور ۱۰۰% جلوی اینگونه از حملات را گرفت.
تمام عملیات های این پست به صورت نرم افزاری است.
۱- نصب و راه اندازی Dos_Deflate
این ابزار این قابلیت را به شما میدهد که بوسیله آن بتوانید یک سری اطلاعات از IP هایی که به سرور متصل هستند بدست بیاورید. که هر IP چند Connection دارد و این که هر IP چندتا Connectrion بتواند داشته باشد. همینطور شما میتوانید در تنظیمات این ابزار تعیین کنید که گزارش را به ایمیل شما ارسال کند.
دانلود کنید:
کد PHP:
[LEFT]wget http://www.inetbase.com/scripts/ddos/install.sh[/LEFT]
کد PHP:
[LEFT]sh install.sh[/LEFT]
کد PHP:
[LEFT]sh /usr/local/ddos/ddos.sh[/LEFT]
فایل پیکربندی را با یک ویرایشگر باز میکنیم:
کد PHP:
nano /usr/local/ddos/ddos.conf
مقدار زیر را قرار پیدا و به صورت زیر ویرایش کرده:
کد PHP:
[LEFT]EMAIL_TO=”your_email@domain.com”[/LEFT]
هر IP چه مقداردر دقیقه کانکشن داشته باشد:
کد PHP:
[LEFT]FREQ=5[/LEFT]
بیشترین connection که هر IP میتواند داشته باشد را مشخص کنید:
کد PHP:
[LEFT]NO_OF_CONNECTIONS=100[/LEFT]
در Dos_Deflate توسط APF بن کنید:
اگر فایروال APF نصب دارید میتوانید این مقدار را برابر با یک قرار دهید. اگر نه توسط CSF یا … عملیات Ban کردن را انجام میدهید برابر با صفر قرار دهید.
کد PHP:
[LEFT]APF_BAN=0[/LEFT]
کد PHP:
[LEFT]KILL=1[/LEFT]
بهترین مقدار ۳۰۰ تا ۱۱۰۰ است.
۲- بهینه سازی وب سرور Apache :
البته پیشنهاد ما این است که شما از وب سرور های قدرتمند دیگری همچون Litespeed یا nginx استفاده کنید.
ابتدا با دستور زیر فایل پیکربندی آپاچی وب سرور را پیدا کنید:
کد PHP:
locate httpd.conf
مقدار Timeout را کمتر کنید:
توضیحات تمام این پارامتر ها در مقاله آموزش وب سرور فارسی (نوشته پیمان قربانی) داده شده است. اما در این پست به طور خلاصه توضیح میدهیم.
کد PHP:
[LEFT]Timeout 200[/LEFT]
KeepAliveTime به معنای حداکثر انتظار وب سرور برای پاسخ به کاربر میباشد.
قابلیت KeepAlive را خاموش کنید:
KeepAlive Off اگریک Connection بیشتر از یک درخواست دارد به طور مدام به آن اجازه ندهد. در واقع KeepAlive وظیفه اش زنده نگه داشتن Connection است.
مقدار MaxClients را کمتر کنید:
MaxClients به معنای : بیشترین تعداد پروسس هایی که هر Client میتواند داشته باشد.
کد PHP:
[LEFT]MaxClients 50[/LEFT]
یکی از راه های مقابله با حملات Dos استفاده از mod_evasive است. این ابزار یک ماژول تحت Apache و برای سرورهای لینوکس است که درخواست ها را کنترل می کند و از جاری شدن سیل عظیم آن (Flood) جلوگیری می کند. این کار بر اساس تعداد درخواست های مجاز تعیین شده در بخش تنظیمات صورت می گیرد. این ماژول آدرس IP که بیش از حد مجاز درخواست می فرستد را بصورت پیش فرض برای ۱۰ دقیقه مسدود (Block) می کند که این مقدار نیز قابل تغییر است.
mod_evasive نسخه به روز شده همان ماژول mod_dosevasive است که در تاریخ Feb 1 2005 بصورت استفاده عمومی ارائه شده است.
نکته: این ماژول مشکلاتی را با Frontpage Server Extensions دارد و احتمال از کار انداختن آن را ایجاد می کند.
در ضمن پیشنهاد میشود Frontpage بر روی سرور خود پاک و یا غیر فعال کنید.
کد PHP:
[LEFT]cd /usr/local/src
wget http://www.zdziarski.com/projects/mod_evasive/mod_evasive_1.10.1.tar.gz
tar -zxvf mod_evasive_1.10.1.tar.gz
cd mod_evasive
apxs -cia mod_evasive20.c[/LEFT]
اگر نسخه آپاچی شما ۲٫۰٫x هست :
کد PHP:
[LEFT]<IfModule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 10
DOSBlockingPeriod 600
</IfModule>[/LEFT]
کد PHP:
[LEFT]<IfModule mod_evasive.c>
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 600
</IfModule>[/LEFT]
کد PHP:
service httpd restart
3- دیواره آتشین نصب کنید.
اگر از CSF استفاده میکنید ، میتوانید تنظیمات زیر را اعمال نمایید:
وارد تنظیمات فایروال شوید،
کد PHP:
[LEFT]CT_LIMIT =[/LEFT]
کد PHP:
[LEFT]CT_INTERVAL =[/LEFT]
کد PHP:
[LEFT]CT_EMAIL_ALERT[/LEFT]
کد PHP:
[LEFT]CT_PERMANENT[/LEFT]
IP که بن میشود چه مدت معلق بماند؟! مقدار ۱۸۰۰ یا ۵۰۰ مقداری خوبی است.
کد PHP:
CT_SKIP_TIME_WAIT
برابر با صفر باشد.
آمار از سرور به شما ارائه میدهد. اینکه هر IP چند کانکشن دارد و …
پورت ها را با , از هم جدا کنید. مثلا: ۸۰,۴۴۳,۲۵
۴- یافتن حملات و درخواست هایی از نوع sync
کد PHP:
netstat -an|grep :80
با دستور فوق تمام کانکشن هایی که به پورت ۸۰ وصل هستند را نمایش میدهد ، سپس دستور زیر را وارد میکنیم تا ببنیم کجا با SYN_RECV شروع شده است
کد PHP:
netstat -an|grep SYN_RECV
تعداد کانکشن های آپاجی و تعداد کانکشن های SYN_RECV :
کد PHP:
netstat -an|grep :80|wc -l
کد PHP:
netstat -an|grep SYN_RECV|wc -l
---------- Post added at 06:03 PM ---------- Previous post was at 06:02 PM ----------
نقل قول:
راه های مقابله با حملات DOS/DDoS
شاید به جراًت بتوان گفت که مهم ترین دغدغه ی یک مدیر سرور مقابله با حملات DDOS/DOS است. در این پست قصد داریم چندین روش برای مقابله با این نوع حملات به شما ارائه دهیم. البته ناگفته نماند که هیچگاه نمیتوان به طور ۱۰۰% جلوی اینگونه از حملات را گرفت.
تمام عملیات های این پست به صورت نرم افزاری است.
۱- نصب و راه اندازی Dos_Deflate
این ابزار این قابلیت را به شما میدهد که بوسیله آن بتوانید یک سری اطلاعات از IP هایی که به سرور متصل هستند بدست بیاورید. که هر IP چند Connection دارد و این که هر IP چندتا Connectrion بتواند داشته باشد. همینطور شما میتوانید در تنظیمات این ابزار تعیین کنید که گزارش را به ایمیل شما ارسال کند.
دانلود کنید:
کد PHP:
[LEFT]wget http://www.inetbase.com/scripts/ddos/install.sh[/LEFT]
کد PHP:
[LEFT]sh install.sh[/LEFT]
کد PHP:
[LEFT]sh /usr/local/ddos/ddos.sh[/LEFT]
فایل پیکربندی را با یک ویرایشگر باز میکنیم:
کد PHP:
nano /usr/local/ddos/ddos.conf
مقدار زیر را قرار پیدا و به صورت زیر ویرایش کرده:
کد PHP:
[LEFT]EMAIL_TO=”your_email@domain.com”[/LEFT]
هر IP چه مقداردر دقیقه کانکشن داشته باشد:
کد PHP:
[LEFT]FREQ=5[/LEFT]
بیشترین connection که هر IP میتواند داشته باشد را مشخص کنید:
کد PHP:
[LEFT]NO_OF_CONNECTIONS=100[/LEFT]
در Dos_Deflate توسط APF بن کنید:
اگر فایروال APF نصب دارید میتوانید این مقدار را برابر با یک قرار دهید. اگر نه توسط CSF یا … عملیات Ban کردن را انجام میدهید برابر با صفر قرار دهید.
کد PHP:
[LEFT]APF_BAN=0[/LEFT]
کد PHP:
[LEFT]KILL=1[/LEFT]
بهترین مقدار ۳۰۰ تا ۱۱۰۰ است.
۲- بهینه سازی وب سرور Apache :
البته پیشنهاد ما این است که شما از وب سرور های قدرتمند دیگری همچون Litespeed یا nginx استفاده کنید.
ابتدا با دستور زیر فایل پیکربندی آپاچی وب سرور را پیدا کنید:
کد PHP:
locate httpd.conf
مقدار Timeout را کمتر کنید:
توضیحات تمام این پارامتر ها در مقاله آموزش وب سرور فارسی (نوشته پیمان قربانی) داده شده است. اما در این پست به طور خلاصه توضیح میدهیم.
کد PHP:
[LEFT]Timeout 200[/LEFT]
KeepAliveTime به معنای حداکثر انتظار وب سرور برای پاسخ به کاربر میباشد.
قابلیت KeepAlive را خاموش کنید:
KeepAlive Off اگریک Connection بیشتر از یک درخواست دارد به طور مدام به آن اجازه ندهد. در واقع KeepAlive وظیفه اش زنده نگه داشتن Connection است.
مقدار MaxClients را کمتر کنید:
MaxClients به معنای : بیشترین تعداد پروسس هایی که هر Client میتواند داشته باشد.
کد PHP:
[LEFT]MaxClients 50[/LEFT]
یکی از راه های مقابله با حملات Dos استفاده از mod_evasive است. این ابزار یک ماژول تحت Apache و برای سرورهای لینوکس است که درخواست ها را کنترل می کند و از جاری شدن سیل عظیم آن (Flood) جلوگیری می کند. این کار بر اساس تعداد درخواست های مجاز تعیین شده در بخش تنظیمات صورت می گیرد. این ماژول آدرس IP که بیش از حد مجاز درخواست می فرستد را بصورت پیش فرض برای ۱۰ دقیقه مسدود (Block) می کند که این مقدار نیز قابل تغییر است.
mod_evasive نسخه به روز شده همان ماژول mod_dosevasive است که در تاریخ Feb 1 2005 بصورت استفاده عمومی ارائه شده است.
نکته: این ماژول مشکلاتی را با Frontpage Server Extensions دارد و احتمال از کار انداختن آن را ایجاد می کند.
در ضمن پیشنهاد میشود Frontpage بر روی سرور خود پاک و یا غیر فعال کنید.
کد PHP:
[LEFT]cd /usr/local/src
wget http://www.zdziarski.com/projects/mod_evasive/mod_evasive_1.10.1.tar.gz
tar -zxvf mod_evasive_1.10.1.tar.gz
cd mod_evasive
apxs -cia mod_evasive20.c[/LEFT]
اگر نسخه آپاچی شما ۲٫۰٫x هست :
کد PHP:
[LEFT]<IfModule mod_evasive20.c>
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 10
DOSBlockingPeriod 600
</IfModule>[/LEFT]
کد PHP:
[LEFT]<IfModule mod_evasive.c>
DOSHashTableSize 3097
DOSPageCount 5
DOSSiteCount 100
DOSPageInterval 2
DOSSiteInterval 2
DOSBlockingPeriod 600
</IfModule>[/LEFT]
کد PHP:
service httpd restart
3- دیواره آتشین نصب کنید.
اگر از CSF استفاده میکنید ، میتوانید تنظیمات زیر را اعمال نمایید:
وارد تنظیمات فایروال شوید،
کد PHP:
[LEFT]CT_LIMIT =[/LEFT]
کد PHP:
[LEFT]CT_INTERVAL =[/LEFT]
کد PHP:
[LEFT]CT_EMAIL_ALERT[/LEFT]
کد PHP:
[LEFT]CT_PERMANENT[/LEFT]
IP که بن میشود چه مدت معلق بماند؟! مقدار ۱۸۰۰ یا ۵۰۰ مقداری خوبی است.
کد PHP:
CT_SKIP_TIME_WAIT
برابر با صفر باشد.
آمار از سرور به شما ارائه میدهد. اینکه هر IP چند کانکشن دارد و …
پورت ها را با , از هم جدا کنید. مثلا: ۸۰,۴۴۳,۲۵
۴- یافتن حملات و درخواست هایی از نوع sync
کد PHP:
netstat -an|grep :80
با دستور فوق تمام کانکشن هایی که به پورت ۸۰ وصل هستند را نمایش میدهد ، سپس دستور زیر را وارد میکنیم تا ببنیم کجا با SYN_RECV شروع شده است
کد PHP:
netstat -an|grep SYN_RECV
تعداد کانکشن های آپاجی و تعداد کانکشن های SYN_RECV :
کد PHP:
netstat -an|grep :80|wc -l
کد PHP:
netstat -an|grep SYN_RECV|wc -l
---------- Post added at 06:08 PM ---------- Previous post was at 06:03 PM ----------
نقل قول:
مدیریت Connection در لینوکس
در هنگام حملات به سرور شما می توانید از دستور زیر در SSH سرور خود برای نمایش تعداد Connection هایی که هر IP به خود اختصاصی داده است استفاده کنید .
netstat -anp |grep ‘tcp\|udp’ | awk ‘{print $5}’ | cut -d: -f1 | sort | uniq -c | sort -n
و پس از آن IP هایی که بیشتر از ۳۰۰ Connection را به خود اختصاص داده اند را از سرور بیرون به اندازید که دستور زیر این امر را انجام می دهد .
iptables -I INPUT -s 83.135.33.116 -j DROP
83.135.33.116 همان IP مورد نظر شماست که Connection بالایی را به خود اختصاص داده است و به جای آن IP مربوطه را تایپ می کنید .
پاسخ : امنیت سرور + انتی ویروس ها
بچه ها این این متن رو از کد ها خارج کنید
نمیدونم چرا به همه کد ها اضافه شده
پاسخ : امنیت سرور + انتی ویروس ها
نرم افزار ISA يا Internet Security and Acceleration توسط شرکت Microsoft براي Windows عرضه گرديده است. اين نرم افزار که در حقيقت نسخه جديدي از MS***** است داراي قابليتها و تواناييهاي جالبي است. اما متأسفانه هنوز هيچ کتابي در اين مورد به زبان فارسي نوشته نشده است. حتي اکثر کساني که از اين نرم افزار استفاده مي کنند با بسياري از قابليتهاي ISA آشنا نيستند. در سايتها و وب لاگهاي کامپيوتري هم کمتر کسي پيدا مي شود که حتي اشاره اي به ISA کرده باشد.
نرم افزار ISA (بخش1)
نرم افزار ISA داراي دو قابليت اصلي است.
1- Firewall - 2 Cache
با استفاده از قابليت Caching مي توان Request هاي Http و Ftp کاربران شبکه را Cache کرد تا در هنگام درخواستهاي تکراري با صرفه جويي در زمان و پهناي باند بتوان به آن درخواستها از طريق اطلاعات Cache Server پاسخ گفت.
Cache
بخش Caching خود، داراي قابليتهاي زير است:
1) Automatic & Scheduled Caching : در اين قابليت ISA بطور هوشمندانه در ساعات مشخصي (ساعاتي که ترافيک شبکه کم است) به سراغ سايتهايي که قبلا Cache شده اند اما زمان TTL آنها تمام شده است و Expire شده اند رفته و بطور اتوماتيک آنها را Update مي کند. ISA اين عمل را با اولويت سايتهاي محبوب (سايتهايي که بيش از ساير سايتها توسط کاربران درخواست شده اند) انجام مي دهد. نتيجه اين کار اين است که سايتهاي محبوب کاربران همواره بصورت Update شده در ISA براي تحويل به کاربران فراهم است. ضمن اينکه ما بصورت دستي نيز مي توانيم ساعاتي را براي Update کردن سايتهاي دلخواهمان تعيين کنيم.
2) Reverse Caching : با استفاده از اين قابليت ISA مي تواند اطلاعاتي را که بر روي Web Server داخلي شبکه قرار دارند را پس از آنکه يکبار در اختيار کاربران موجود در اينترنت قرار داد بر روي خود Cache نموده و در صورت تقاضاي مجدد بدون مراجعه به Web Server اطلاعات Cache شده را در اختيار کاربران Internet قرار دهد. اين خاصيت موجب کاسته شده ترافيک بر روي Web Server مي شود.
3) Transparent Cache: يکي از قابليتهاي ISA اين است که هم بصورت ***** Base و هم بصورت Transparent قابليت Cache کردن را دارد. در جلسات بعد در اين مورد بيشتر صحبت خواهيم کرد.
4) Distributed and Hierarchical Caching : مي توان بجاي يک ISA Cache از چند ISA Cache در شبکه استفاده کرد. سپس همه آنها را بصورت يک Array درآورد. در اين حالت تمام ISAها دست به دست هم داده و يک Cache يکپارچه را تشکيل مي دهند. درصورتيکه Objectهاي Cache شده از لحاظ فيزيکي بر روي اين ISA Server ها توزيع شده است و هر کدام قسمتي از اطلاعات را Cache نموده اند. ضمنا" ما مي توانيم از يک Root System نيز استفاده کنيم بگونه اي که يک يا چند ISA Server به اينترنت مستقيما" وصل بوده و Object هاي مورد نياز خود را از طريق ISA Serverهاي بالاتر تأمين نمايد. در اين حالت با استفاده از پروتکلCARP يا Cache Array Routing Protocol اطلاعات مورد نياز Clientها از روي يک Array جمع آوري شده و در اختيار آنها قرار مي گيرد.
Firewall
امروزه Firewallها در دو نوع سخت افزاري و نرم افزاري وجود دارند. مزيت عمده Firewallهاي سخت افزاري در سرعت آنهاست. از نمونه هاي سخت افزاري مي توان به Cisco PIX Firewall اشاره کرد که MicroSoft ادعا مي کند تمامي قابليتهاي يک Firewall سخت افزاري در ISA گنجانده شده است و بدليل قيمت بسيار کمتر براي استفاده اقتصادي تر است.
بطور کلي مي توان گفت قابليتهاي نرم افزار ISA در زمينه Firewall عبارتند از:
1- کنترل استفاده از اينترنت: در ISA مي توان با استفاده از Policyها ترافيک ورودي و خروجي را بر مبناي سايتها , Protocolها و محتويات Packetها Filter کرد.
2- مي توان Packetها را بر اساس لايه ها (از لايه Network تا Application) فيلتر نموده و حتي ترافيک هاي مربوط به DNS را کنترل کرد.
3- ISA با استفاده از قابليت Intrusion Detection مي تواند جلوي نفوذ هکرها را بگيرد. بر روي ISA روشهاي معروف Hack تعريف شده است و در صورتيکه فردي اقدام به استفاده از اين روشها نمايد ISA جلوي او را خواهد گرفت. به عنوان مثال ISA مي تواند Scan شدن Portها را تشخيص داده و جلوي آنرا بگيرد.
ISA داراي قابليتهاي مختلفي است که مي توان آنها را بصورت زير خلاصه کرد:
1- قابليت اعمال Policy هاي مختلف.
2- امکان کنترل Bandwidth (Qos).
توجه: در Linux و يا Cisco Routers شما مي توانيد Bandwidth کاربران را به يک سقف معين محدود کنيد. (بعدها در اين مورد بيشتر صحبت خواهيم کرد.)
3- امکان پشتيباني از ***.
4- امکان Publish کردن Webserverهاي داخلي شبکه.
پس از Publish کردن Webserverهاي داخلي هرگاه يک کاربر از طريق Intenet بخواهد به Webserver ما دسترسي پيدا کند اطلاعات مورد نياز او از طريق ISA در اختيارش قرار مي گيرد. در نتيجه هيچکس از طريق Internet نمي تواند مستقيما" به Webserver هاي ما دسترسي داشته باشد.
5- H.323 GateKeeper: ويژه برنامه هايي است که از IP تلفني استفاده مي نمايند. (مثل NetMeeting)
6- Monitoring & Alerts.
نکته: ذکر اين نکته لازم است که هر سيستم عاملي که Http (ver 1.1) را پشتيباني کند مي تواند به عنوان يک Web*****Client عمل نمايد. اگر بخواهيم از ISA به عنوان يک Firewall استفاده نماييم بايد Clientها داراي Win95 به بعد باشند. Clientها مي توانند به عنوان SecureNAT Client عمل کرده و از خيلي از قابليتهاي ISA بهره مند شوند.
ISA Server مي تواند در دو حالت زير نصب شود:
1- Stand-alone : در اين حالت ISA Server ها مستقل از يکديگر عمل کرده و به يکديگر متصل نمي شوند.
مزاياي اين روش عبارت است از:
- هزينه کمترو تنظيمات کمتري نياز دارد.
- تمام قابليتهاي Caching و Firewall را داراست.
- از هرنوع Connection حتي Dialup مي تواند استفاده کند.
معايب اين روش هم عبارت است از:
- داراي Enterprise Policy نيست. بنابراين اگر از چند Stand-alone استفاده کنيم بايد هرکدام را جداگانه کنترل کنيم.
- Single Point of Failure: در حالت Stand alone همه چيز وابسته به ISA است و اگر ISA دچار مشکل گردد Internet قطع خواهد شد.
2- Enterprise Array: پياده سازي اين روش فقط بر روي Active Directory امکان پذير است. در اين روش يک Array مرکب از چندين ISA Server تشکيل مي شود که همگي بصورت منطقي از يک نقطه کنترل مي گردند. ضمنا" هر کدام از اعضاي Array قسمتي از اطلاعات را Cache مي کنند. در صورت نياز مي توان Array را گسترش داد. نکته قابل توجه اين است که يک Array فقط تحت يک Domain واحد قابل پياده سازي است. يعني اعضاي يک Array بايد همگي عضو يک Domain باشند.
مزاياي اين روش:
- امکان اعمال Enterprise Policy.
- امکان مديريت متمرکز
- No Single Point of Failure: در اين حالت اگر يک يا چند ISA Server دچار اختلال شود اختلالي در شبکه بوجود نمي آيد.
معايب اين روش:
- نيازمند ايجاد تغييراتي در توپولوژي شبکه است.
- از نظر هزينه نسبت به روش قبلي گرانتر است.
- در ابتداي کار نياز به مطالعه , تحقيق , برنامه ريزي و صرف وقت بيشتري براي پياده سازي دارد.
قابليت Array Chains: اين قابليت (Hierarchical Caching) اجازه مي دهد که يک ISA Server بدون آنکه مستقيما" به اينترنت متصل باشد از طريق Cache يک ISA Server ديگر به تعدادي Client سرويس دهد.
Publishing: در اين حالت تمام کساني که بخواهند از طريق اينترنت به WebServer ما دسترسي پيدا کنند مستقيما" با آن ارتباط ندارند بلکه ISA اين اطلاعات را در اختيار کاربران قرار مي دهد.
مزاياي Publish کردن:
- بالا رفتن Security شبکه درحالي که اطلاعات سرورهاي ما بدون هيچ مشکلي از طريق اينترنت قابل دريافت است.
- امکان Reverse Caching به کمک Publish کردن فراهم مي شود.
معايب Publish کردن:
- اگر طراحي را به دقت انجام ندهيم بار زيادي بر روي ISA Server اعمال مي شود.
- نياز به انجام تنظيمات دقيق داريم در نتيجه هنگام بروز مشکل براي رديابي آن به مدت زمان بيشتري نياز داريم.
منبع : ندارد ( My Word ) ....
---------- Post added at 05:56 PM ---------- Previous post was at 05:48 PM ----------
براي جلوگيري از حملات ساسر بايد كليه پورتهايي را كه ساسر از آن استفاده مي كند را بلوك كنيد. شماره پورتهاي مورد استفاده توسط ساسر 445 ، 5556 و 9996 است و همگي با پروتكل TCP كار مي كنند.
در موقع استفاده از ISA 2004 بصورت پيش فرض اين پورتها بلوك شده اند. هرچند كه اگر سروري داشته باشيد كه روالي براي پورت ها داشته باشد، اين سرور در معرض خطر است. در ضمن ممكن است بيشتر در معرض خطر باشيد وقتيكه يك Exchange Server در يك DMZ داشته باشيد. زيرا اين پورت بايد بين محدوده DMZ و شبكه داخلي باز باشد. البته شما نيازي به باز گذاشتن پورتي كه بين شبكه خارجي و DMZ قراردارد نداريد و احتمال بروز خطر را تا حد زيادي كاهش مي دهيد.
سياست پيش فرض براي فايروال ISA 2004 از انتشار ساسر در شبكه جلوگيري مي كند زيرا ساسر براي انتشار نياز به Outbound FTP دارد. اگر فايروال شما طوري طراحي شده كه تمام مسيرهاي خروجي آن باز باشد بايد براي پورتهاي اشاره شده حتما" روال دسترسي مناسبي تعريف كنيد.
براي جلوگيري از حملات ساسر از خارج از محدوده شبكه اين عوامل ممكن است مفيد باشند:
- براي پورتهاي گفته شده حتما" روال هاي دسترسي تعريف كنيد. بستن پورت TCP 445 در جهت خروجي از ترافيك CIFS خروجي جلوگيري مي كند و بستن پورتهاي 5556 و 9996 در جهت خروجي از امكان استفاده از يك كامپيوتر ويروسي به عنوان سرور FTP وانتشار كرم ساسر جلوگيري مي كند.
- تعريف فايروال روي ايستگاه كاري براي جلوگيري از عملكرد خرابكارانه ساسر. براي اين روش كاري حتما" بايد روي كامپيوتر Client يك فايروال نصب كرده باشيد. توجه داشته باشيد كه تمام Client هايي كه سيستم عامل Windows دارند بايد فايروال نصب كرده باشند. اگر تمام راه هاي خروجي دسترسي تعريف شده داشته باشند باعث جلوگيري از انتشار كرم ساسر خواهد شد.
كامپيوتري كه به عنوان ISA Firewall عمل مي كند هم بسيار آسيب پذير است براي جلوگيري از حملات داخلي توسط ساسر به خود ISA Server به هيچ وجه روال دسترسي براي ارتباط با كامپيوترهاي شبكه محلي با پورت هاي گفته شده ايجاد نكنيد.
روش بستن ارتباط خروجي روي پورتهاي شناسايي شده :
1- از كنسول مديريت، منوي Microsoft Internet Security and Acceleration Sever 2004
را بازكنيد و روي نام سرور Expand كنيد و روي Firewall Policy كليك كنيد.
2- روي Tab مربوط به Tasks درTask Pane كليك كنيد.
3- در صفحه Welcome to the new access Rule Wizard در جعبه نوشتاري Access Rule Name وارد كنيد Block Sasser Outbound و روي Next كليك كنيد.
4- در صفحه Rule Action وضعيت Deny را انتخاب كنيد و كليد Next را بزنيد.
5- در صفحه پروتكل انتخاب Selected Protocols را از ليست This Rule Applies to انتخاب كنيدو دكمه Add را بزنيد.
6- در صفحه مربوط به Add protocols روي New كليك كنيد پروتكل را انتخاب كنيد.
http://www.sgnec.net/admin/images/ar...Server%201.JPG
7- در صفحه مربوط بهWelcome to the New Protocol Definition Wizard جمله Sasser Outbound را در جعبع متن Protocol Definition Name وارد كنيد و روي New كليك كنيد.
8- در صفحه Primary Connection Information روي New كليك كنيد.
9- در جعبه متن New/Edit Protocol Definition نوع پروتكل را TCP انتخاب كنيد.در اينجا همچنين Direction را Outbound انتخاب نموده و پورتها را از 445 تا 445 انتخاب كرده كليد OK را بزنيد.
http://www.sgnec.net/admin/images/ar...Server%202.JPG
- براي پورتهاي 9996 و 5556 از رديف 9 تكرار كنيد.
http://www.sgnec.net/admin/images/ar...Server%203.JPG
11- در صفحه New Protocol Definition Information تمام پورت هاي تعريف شده ديده مي شوند و مي توانيد رويNext كليك كنيد.
http://www.sgnec.net/admin/images/ar...Server%204.JPG
12- در صفحه Secondary connections روي No كليك كنيد و سپس Next را بزنيد.
13- براي تكميل عمليات در صفحهCompleting the New Protocol Definition Wizard روي Finish كليك كنيد.
14- در جعبه محاوره اي Add protocols روي فولدر User-defined كليك كرده و روي Sasser Outbound دوبار كليك كنيد و سپس Close را بزنيد.
15- در صفحه Protocols روي Next كليك كنيد.
16- در صفحه Access Rule Source كليد Add را بزنيد.
17- در جعبه محاوره اي Add Network Entities روي فولدر Network Sets كليك كنيد و سپس روي All Protected Networks دوبار كليك كنيد. و Close را بزنيد.
18- در صفحه Access rule Sources روي Next بزنيد.
http://www.sgnec.net/admin/images/ar...Server%205.JPG
19- در صفحه Access Rule Destinations كليد Add را بزنيد.
20- در جعبه محاوره اي Add Network Entities روي فولدر Networks بزنيد و External را دوبار كليك كنيد و Close را بزنيد.
21- در صفحه User Sets حالت پيش فرض All Users را انتخاب و Next را بزنيد.
22- در صفحه مربوط به Completing the New Access Rule Wizard كليد Finish را بزنيد.
23- قاعده Block Sasser Outbound را به بالاي ليست انتقال دهيد.
24- براي ثبت تغييرات انجام شده روي Apply كليك كنيد.
25- در جعبه محاوره اي Apply New Configuration كليد Ok را انتخاب كنيد.
روش تنظيم فايروال مربوط به ايستگاه كاري براي بلوك كردن عملكرد ساسر
عملكرد مشكوك ساسر در اين مرحله بنام avserve و avserve2 شناخته شده است.
توجه داشته باشيد عملكرد ساسر با نام هاي متفاوت انجام ميشود مراحل بعدي كه توضيح داده خواهد شد 100% موثر نيست ولي اتصالات ايجاد شده توسط avserve و avserve2 را بلوك خواهد كرد.
1- از كنسول مديريت، منوي Microsoft Internet Security and Acceleration Sever 2004
را بازكنيد و روي نام سرور Expand كنيد و حالت Configuration را انتخاب كنيد.
2- روي General كليك كنيد.
3- روي Define Firewall Client Settings در قسمت Details paneكليك كنيد
4- در جعبه محاوره اي Firewall Client Setting روي Tab مربوط به Application Setting بزنيد.
5- روي Tab مربوط به Application Setting روي دكمه New كليك كنيد.
http://www.sgnec.net/admin/images/ar...Server%206.JPG
6- در پنجره محاوره اي Application Entry Setting در جهبه متن Application وارد كنيد: avserve . در ليست Key وضعيت Disable انتخاب كنيد و از ليست Value عدد 1 را انتخاب كرده سپس Ok را بزنيد.
http://www.sgnec.net/admin/images/ar...Server%207.JPG
7- مرحله 5 و 6 را تكراركرده اينبار در Application نام avserve2 را وارد كنيد.
8- در پنجره Firewall Client Setting با انتخاب Ok و سپس Apply مراحل را ثبت كنيد.
9- روي پنجره Apply new Configuration كليد Ok را بزنيد.
تنظيم فايروال مربوط به Client براي Avserve.exe و Avserve2.exe فقط از رفتار مشكوك روي كامپيوتر آلوده شده جلوگيري ميكند.اگر اين دستگاه به عنوان SecureNAT طراحي شده باشد اين تنظيمات ديگر موثر نخواهد بود. ( براي جلوگيري از دسترسي SecureNAT Client از طريق سرور ISA مطمئن شويد كه هيچ دسترسي ناشناخته اي در مسير خروجي وجود ندارد).
شما همچنين ميتوانيد قابليت روال Block Sasser Outbound را از طريق Telnet روي يك دستگاه كه در شبكه تحت محافظت ISA 2004 Firewall است ، كنترل كنيد.
1- كنسول Microsoft Internet Security and Acceleration را بازكنيد و سرور را Expand كنيد.و روي Monitoring كنسول كليك كنيد.
2- روي Tab مخصوص به Details گزينه Logging را انتخاب كنيد.
3- رويTab مربوط به Tasks روي لينك Start Query بزنيد.
4- روي يك ايستگاه در يك شبكه محافظت شده ابتدا Start و سپس Run را بزنيد. در پنجره متني Open دستور cmd را تايپ كنيد و Ok نماييد.
5- در Prompt تايپ كنيد: Telnet 131.107.1.1 5556 و Enter را بزنيد.
6- به كنسول Microsoft Internet Security and Acceleration Sever 2004 بازگرديدو گزارش مربوط به زمان (real time log) مونيتور كنيد. بايد متن زير را در پيغامها ببينيد:
Block Sasser Outbound
.
10.0.0.2 131.107.1.1 5556 Sasser Outbound Denied Connection Block Sasser
Outbound
10.0.0.2 131.107.1.1 5556 Sasser Outbound Denied Connection Block Sasser
Outbound.
نویسنده: فریبا اسودی
ناشر : مشورت
تاریخ نشر : ۹ مرداد 1383
( منبع )
اميدوارم براي شما هم مفيد بوده باشه..... http://forum.persiannetworks.com/ima...lingsmiley.gif
---------- Post added at 05:56 PM ---------- Previous post was at 05:56 PM ----------
براي جلوگيري از حملات ساسر بايد كليه پورتهايي را كه ساسر از آن استفاده مي كند را بلوك كنيد. شماره پورتهاي مورد استفاده توسط ساسر 445 ، 5556 و 9996 است و همگي با پروتكل TCP كار مي كنند.
در موقع استفاده از ISA 2004 بصورت پيش فرض اين پورتها بلوك شده اند. هرچند كه اگر سروري داشته باشيد كه روالي براي پورت ها داشته باشد، اين سرور در معرض خطر است. در ضمن ممكن است بيشتر در معرض خطر باشيد وقتيكه يك Exchange Server در يك DMZ داشته باشيد. زيرا اين پورت بايد بين محدوده DMZ و شبكه داخلي باز باشد. البته شما نيازي به باز گذاشتن پورتي كه بين شبكه خارجي و DMZ قراردارد نداريد و احتمال بروز خطر را تا حد زيادي كاهش مي دهيد.
سياست پيش فرض براي فايروال ISA 2004 از انتشار ساسر در شبكه جلوگيري مي كند زيرا ساسر براي انتشار نياز به Outbound FTP دارد. اگر فايروال شما طوري طراحي شده كه تمام مسيرهاي خروجي آن باز باشد بايد براي پورتهاي اشاره شده حتما" روال دسترسي مناسبي تعريف كنيد.
براي جلوگيري از حملات ساسر از خارج از محدوده شبكه اين عوامل ممكن است مفيد باشند:
- براي پورتهاي گفته شده حتما" روال هاي دسترسي تعريف كنيد. بستن پورت TCP 445 در جهت خروجي از ترافيك CIFS خروجي جلوگيري مي كند و بستن پورتهاي 5556 و 9996 در جهت خروجي از امكان استفاده از يك كامپيوتر ويروسي به عنوان سرور FTP وانتشار كرم ساسر جلوگيري مي كند.
- تعريف فايروال روي ايستگاه كاري براي جلوگيري از عملكرد خرابكارانه ساسر. براي اين روش كاري حتما" بايد روي كامپيوتر Client يك فايروال نصب كرده باشيد. توجه داشته باشيد كه تمام Client هايي كه سيستم عامل Windows دارند بايد فايروال نصب كرده باشند. اگر تمام راه هاي خروجي دسترسي تعريف شده داشته باشند باعث جلوگيري از انتشار كرم ساسر خواهد شد.
كامپيوتري كه به عنوان ISA Firewall عمل مي كند هم بسيار آسيب پذير است براي جلوگيري از حملات داخلي توسط ساسر به خود ISA Server به هيچ وجه روال دسترسي براي ارتباط با كامپيوترهاي شبكه محلي با پورت هاي گفته شده ايجاد نكنيد.
روش بستن ارتباط خروجي روي پورتهاي شناسايي شده :
1- از كنسول مديريت، منوي Microsoft Internet Security and Acceleration Sever 2004
را بازكنيد و روي نام سرور Expand كنيد و روي Firewall Policy كليك كنيد.
2- روي Tab مربوط به Tasks درTask Pane كليك كنيد.
3- در صفحه Welcome to the new access Rule Wizard در جعبه نوشتاري Access Rule Name وارد كنيد Block Sasser Outbound و روي Next كليك كنيد.
4- در صفحه Rule Action وضعيت Deny را انتخاب كنيد و كليد Next را بزنيد.
5- در صفحه پروتكل انتخاب Selected Protocols را از ليست This Rule Applies to انتخاب كنيدو دكمه Add را بزنيد.
6- در صفحه مربوط به Add protocols روي New كليك كنيد پروتكل را انتخاب كنيد.
http://www.sgnec.net/admin/images/ar...Server%201.JPG
7- در صفحه مربوط بهWelcome to the New Protocol Definition Wizard جمله Sasser Outbound را در جعبع متن Protocol Definition Name وارد كنيد و روي New كليك كنيد.
8- در صفحه Primary Connection Information روي New كليك كنيد.
9- در جعبه متن New/Edit Protocol Definition نوع پروتكل را TCP انتخاب كنيد.در اينجا همچنين Direction را Outbound انتخاب نموده و پورتها را از 445 تا 445 انتخاب كرده كليد OK را بزنيد.
http://www.sgnec.net/admin/images/ar...Server%202.JPG
- براي پورتهاي 9996 و 5556 از رديف 9 تكرار كنيد.
http://www.sgnec.net/admin/images/ar...Server%203.JPG
11- در صفحه New Protocol Definition Information تمام پورت هاي تعريف شده ديده مي شوند و مي توانيد رويNext كليك كنيد.
http://www.sgnec.net/admin/images/ar...Server%204.JPG
12- در صفحه Secondary connections روي No كليك كنيد و سپس Next را بزنيد.
13- براي تكميل عمليات در صفحهCompleting the New Protocol Definition Wizard روي Finish كليك كنيد.
14- در جعبه محاوره اي Add protocols روي فولدر User-defined كليك كرده و روي Sasser Outbound دوبار كليك كنيد و سپس Close را بزنيد.
15- در صفحه Protocols روي Next كليك كنيد.
16- در صفحه Access Rule Source كليد Add را بزنيد.
17- در جعبه محاوره اي Add Network Entities روي فولدر Network Sets كليك كنيد و سپس روي All Protected Networks دوبار كليك كنيد. و Close را بزنيد.
18- در صفحه Access rule Sources روي Next بزنيد.
http://www.sgnec.net/admin/images/ar...Server%205.JPG
19- در صفحه Access Rule Destinations كليد Add را بزنيد.
20- در جعبه محاوره اي Add Network Entities روي فولدر Networks بزنيد و External را دوبار كليك كنيد و Close را بزنيد.
21- در صفحه User Sets حالت پيش فرض All Users را انتخاب و Next را بزنيد.
22- در صفحه مربوط به Completing the New Access Rule Wizard كليد Finish را بزنيد.
23- قاعده Block Sasser Outbound را به بالاي ليست انتقال دهيد.
24- براي ثبت تغييرات انجام شده روي Apply كليك كنيد.
25- در جعبه محاوره اي Apply New Configuration كليد Ok را انتخاب كنيد.
روش تنظيم فايروال مربوط به ايستگاه كاري براي بلوك كردن عملكرد ساسر
عملكرد مشكوك ساسر در اين مرحله بنام avserve و avserve2 شناخته شده است.
توجه داشته باشيد عملكرد ساسر با نام هاي متفاوت انجام ميشود مراحل بعدي كه توضيح داده خواهد شد 100% موثر نيست ولي اتصالات ايجاد شده توسط avserve و avserve2 را بلوك خواهد كرد.
1- از كنسول مديريت، منوي Microsoft Internet Security and Acceleration Sever 2004
را بازكنيد و روي نام سرور Expand كنيد و حالت Configuration را انتخاب كنيد.
2- روي General كليك كنيد.
3- روي Define Firewall Client Settings در قسمت Details paneكليك كنيد
4- در جعبه محاوره اي Firewall Client Setting روي Tab مربوط به Application Setting بزنيد.
5- روي Tab مربوط به Application Setting روي دكمه New كليك كنيد.
http://www.sgnec.net/admin/images/ar...Server%206.JPG
6- در پنجره محاوره اي Application Entry Setting در جهبه متن Application وارد كنيد: avserve . در ليست Key وضعيت Disable انتخاب كنيد و از ليست Value عدد 1 را انتخاب كرده سپس Ok را بزنيد.
http://www.sgnec.net/admin/images/ar...Server%207.JPG
7- مرحله 5 و 6 را تكراركرده اينبار در Application نام avserve2 را وارد كنيد.
8- در پنجره Firewall Client Setting با انتخاب Ok و سپس Apply مراحل را ثبت كنيد.
9- روي پنجره Apply new Configuration كليد Ok را بزنيد.
تنظيم فايروال مربوط به Client براي Avserve.exe و Avserve2.exe فقط از رفتار مشكوك روي كامپيوتر آلوده شده جلوگيري ميكند.اگر اين دستگاه به عنوان SecureNAT طراحي شده باشد اين تنظيمات ديگر موثر نخواهد بود. ( براي جلوگيري از دسترسي SecureNAT Client از طريق سرور ISA مطمئن شويد كه هيچ دسترسي ناشناخته اي در مسير خروجي وجود ندارد).
شما همچنين ميتوانيد قابليت روال Block Sasser Outbound را از طريق Telnet روي يك دستگاه كه در شبكه تحت محافظت ISA 2004 Firewall است ، كنترل كنيد.
1- كنسول Microsoft Internet Security and Acceleration را بازكنيد و سرور را Expand كنيد.و روي Monitoring كنسول كليك كنيد.
2- روي Tab مخصوص به Details گزينه Logging را انتخاب كنيد.
3- رويTab مربوط به Tasks روي لينك Start Query بزنيد.
4- روي يك ايستگاه در يك شبكه محافظت شده ابتدا Start و سپس Run را بزنيد. در پنجره متني Open دستور cmd را تايپ كنيد و Ok نماييد.
5- در Prompt تايپ كنيد: Telnet 131.107.1.1 5556 و Enter را بزنيد.
6- به كنسول Microsoft Internet Security and Acceleration Sever 2004 بازگرديدو گزارش مربوط به زمان (real time log) مونيتور كنيد. بايد متن زير را در پيغامها ببينيد:
Block Sasser Outbound
.
10.0.0.2 131.107.1.1 5556 Sasser Outbound Denied Connection Block Sasser
Outbound
10.0.0.2 131.107.1.1 5556 Sasser Outbound Denied Connection Block Sasser
Outbound.
نویسنده: فریبا اسودی
ناشر : مشورت
تاریخ نشر : ۹ مرداد 1383
( منبع )
اميدوارم براي شما هم مفيد بوده باشه..... http://forum.persiannetworks.com/ima...lingsmiley.gif
---------- Post added at 06:35 PM ---------- Previous post was at 05:56 PM ----------
دوستان ممنون میشم تو بهتر شدن پست به من کمک کنید...! >:d<;;)
---------- Post added at 06:35 PM ---------- Previous post was at 06:35 PM ----------
دوستان ممنون میشم تو بهتر شدن پست به من کمک کنید...! >:d<;;)
پاسخ : امنیت سرور + انتی ویروس ها
نقل قول:
نوشته اصلی توسط
armintanha
اینو تو فایل Word تو Pc داشتم برای همین عکس رو نتونستم بزارم : دی
---------- Post added at 10:49 PM ---------- Previous post was at 10:32 PM ----------
دستور 1
کد PHP:
cd /etc/yum.repos.d
دستور 2
دستور 3 - برای دانلود اینستالر آنتی ویروس دستور زیر را تایپ کنید
کد PHP:
wget http://www.linux-mail.info/files/dag-clamav.repo
دستور 4
دستور 5 - برای نصب آنتی ویروس Clamav در بخش خط فرمان تایپ کنید
کد PHP:
yum install clamav clamav-devel clamd
- برای تائید دانلود کامل از شما تائیدیه دانلود سوال می شود که شما می بایست با Y پاسخ دهید .
دستور
---------- Post added at 11:05 PM ---------- Previous post was at 10:49 PM ----------
اگه به یک کاربر شک دارید ...!
میتونید با دستور زیر فقط اون کاربر رو اسکن کنید...!
جای admin نام کاربری کاربر رو خود رو بنوسید ...!
بعد دستور زیر رو بزنید ...!
روش پاک کردن این آنتی ویروس به چه صورت هستش ؟!
پاسخ : امنیت سرور + انتی ویروس ها
نقل قول:
نوشته اصلی توسط
parsavps.ir
روش پاک کردن این آنتی ویروس به چه صورت هستش ؟!
اموزش حذف
2 فایل پیوست
پاسخ : امنیت سرور + انتی ویروس ها
کتاب های آموزش امنیت لینوکس
پاسخ : امنیت سرور + انتی ویروس ها
دانلود ویدئو آموزش امنیت شبکه در ویندوز سرور ۲۰۰۸ Windows Server 2008 Technology Roadmap
Windows-Server-2008
آزمون ۷۰-۶۴۲ با نام Windows Server 2008, Network Infrastructure به منظور سنجش مهارت های شما در رابطه با نصب ، پیکربندی و مدیریت DHCP ، IP Routing ، DNS ، TCP/IP ، امنیت شبکه در سرور ۲۰۰۸ و مطالبی از این قبیل می باشد.
در این مجموعه آموزشی مطالبی از قبیل پیکربندی DNS و یا Configuring DNS در ویندوز سرور ۲۰۰۸ ، آموزش زیر ساخت های شبکه در ویندوز سرور ۲۰۰۸ ، امنیت شبکه در سرور ۲۰۰۸ ، Remote Access ، TCP/IP و اصول شبکه سازی و مطالب بسیار دیگری از این دست را خواهید آموخت.
عناوین کورس های آموزشی این مجموعه:
- نصب ، پیکربندی و گسترش اطلاعات
- تنظیم و عیب یابی
- مدیریت و امنیت اطلاعات
- مهاجرت به اینترنت
- پیکربندی اف تی پی در خدمات اینترنت
- مجتمع کردن SMTP و UDDI
حجم برنامه: ۵۲۴ مگابایت
دانلود :بخش اول-بخش دوم
پسورد فایل فشرده : البرز دانلود – دانلود رایگان نرم افزار
منبع :البرز دانلود – دانلود رایگان نرم افزار
---------- Post added at 09:56 AM ---------- Previous post was at 09:54 AM ----------
روش های آنالیز کردن امنیت سرورها و کلاینت
در این درس قصد داریم شما را با روش های آنالیز کردن امنیت سیستم ها آشنا کنیم و در کنار آن موثرترین پورت اسکنر را به شما معرفی کنیم. همانطور که می دانید و در مقالات گذشته گفته شد یکی از ابتدایی ترین کارهایی که یک هکر برای هک کردن یک سرور یا کلاینت انجام می دهد پیدا کردن IP آن کامپیوتر مورد نظر و سپس اسکن کردن آن IP برای پیدا کردن درگاه ها و پورت های باز روی آن کامپوتر است، برای پیدا کردن IP روشهای مختلفی وجود دارد، از ساده ترین راه که تایپ کردن آدرس یک سایت در Internet Explorer و دیدن آیپی در status bar در هنگام لود شدن سایت گرفته تا Whois گرفتن از یک Domain و گرفتن IP و اطلاعاتی در مورد سرور و شخص ثبت کننده Domain است، البته این روشها برای گرفتن IP سرور بکار می رود و برای بدست آوردن IP یک سیستم کلاینت از روشهای مختلفی از جمله استفاده از فرمان Netstat -NA & Netstat و استفاده از ابزارهای Monitoring مثل ProPort و… استفاده می شود که که در درس های گذشته این روش ها را توضیح دادیم و تصور من در این مقاله بر این است که شما تمامی این راه ها و روشها را می دانید و حالا می خواهید به مرحله بعدی که اسکن کردن این IP ها است بروید، برای این منظور هکرها از قابلیت Scaning استفاده می کنند که خود به ۳ بخش عمده IP و Port و Vulnerability اسکنینگ تقسیم می شود که هر کدام تعریف خاص خودش را دارد فقط برای آشنایی شما عرض کنم که IP Scaning برای مشخص شدن آیپی های فعال در تعداد زیادی IP که متعلق به یک ISP هستند استفاده می شود که این راه برای هک کردن کلاینت ها بکار برده می شود و پورت اسکنینگ زمانی استفاده می شود که ما آیپی هایی را مشخص کردیم و حالا می خواهیم پورتهای باز روی آن سیستم را پیدا کنیم و از طریق آن پورتهای باز با استفاده از حفره های آسیب پذیر سرویس های نصب شده بر روی کامپیوتر به سیستم قربانی و یا سرور وصل شویم. پورت ها درگاه های کامپیوتر هستند و بدون باز بودن آنها ارتباطی بین دو سیستم برقرار نمی شود.
با نصب سرویس ها و برنامه های مختلف پورت ها باز می شوند و باز بودن یک پورت بدون هیچ دلیلی در یک سیستم معنایی ندارد. برای انجام پویش از یک سیستم ابزارهای اسکنینگ زیادی وجود دارد ، چون هم هکرهای حرفه ای و هم هکرای آماتور برای رسیدن به اهدافشان از این برنامه ها استفاده می کنند و این مختص قشر خاصی از هکرها نیست ولی اکثر پورت اسکنرها بر پایه سیستم عامل های مبتنی بر یونیکس مثل لینوکس نوشته شده اند ولی بعضی از آنها نسخه ای هم برای ویندوز دارند. حتی مدیران شبکه ها نیز برای سرورهای خود از امکان اسکنینگ استفاده می کنند تا شبکه خود را از نظر امنیت مورد ارزیابی قرار دهند که برای این عزیزان در مقالات بعدی اسکنرهای آسیب پذیری متعددی را که به Vulnerability Scanner معروف هستند معرفی خواهیم کرد. در این مقاله به شما یکی از بهترین و قویترین ابزار پویش پورت را معرفی می کنیم Nmap بهترین پورت اسکنر رایگان است که امکانات زیادی را برای هکرها و یا مدیران امنیت سرورها فراهم کرده است Nmap توسط Fyoder نوشته شده و توسط هکرهایی که با لینوکس کار می کنند استفاده می شود. اگر شما نیز مثل تمام هکرهای حرفه ای از سیستم عامل های لینوکس استفاده می کنید می توانید Nmap را از اینجا دریافت و استفاده کنید. ولی اگر هنوز با ویندوز کار می کنید باز هم نگران چیزی نباشید چون تیم eEye یک نسخه از این برنامه را بصورت ویندوز در آورده و این نسخه نیز توسط افرادی که با ویندوز کار می کنند استفاده می شود که هم اکنون نسخه اصلی این برنامه با نام NmapWin v1.3.1 در اختیار علاقه مندانی که با ویندوز کار می کنند قرار داره شده که شما نیز می توانید این نسخه از Nmap را که حدود ۵ مگابایت حجم دارد را از اینجا دریافت و استفاده کنید. البته این نکته را در نظر بگیرید که از NmapWin فقط در ویندوز NT,2000,XP می توان استفاده کرد و نسخه ای از این برنامه برای ویندوزهای دیگر نوشته نشده است. تصور می کنم اکثر دوستانی که این مقاله را مطالعه می کنند از ویندوز استفاده می کنند. به همین دلیل طرز کار با NmapWin را برای شما توضیح می دهیم، خود Nmap بیشتر از خط فرمان استفاده می کند ولی یک GUI خوب هم برای این برنامه ساخته شده است که به آن Nmap frontend می گویند. این رابط گرافیکی کار با Nmap ای که تحت لینوکس است را ساده تر کرده است که در عکس بالا مشخص است. البته NmapWin این دو را با هم ادغام کرده و یک نسخه گرافیکی برای ویندوز محسوب می شود Nmap نسبت به نسخه گرافیکی آن کاملتر و دارای دستورات بیشتری است که حتی با استفاده از آن ممکن است یک سیستم بوسیله بسته های زیادی که از طرف اسکنر به سمت آن برای مشخص شدن پورت های باز ارسال می شود Crash و Flood کند. NmapWin را از سایتی که داده ام دانلود و سپس install کنید و حالا آماده برای آشنا شدن با برنامه و گزینه های آن باشید. هنگامی که برنامه NmapWin را باز می کنید با گزینه های زیادی مواجه می شوید که من از همان قسمت بالا که به اصطلاح Network Section برنامه می گویند توضیح می دهم. وقتی برنامه را باز می کنید در قسمت بالای برنامه گزینه Host را می بینید که شما در این قسمت باید آیپی ماشین هدف را بدهید که هم می تواند یک آیپی متعلق به یک کلاینت و یا تعداد زیادی آیپی متعلق به یک ISP و یا چندین سرور باشد، اگر می خواهید تعدادی آیپی برای اسکن شدن به برنامه بدهید چندین راه وجود دارد، برای مثال می توانید یک Range آیپی را به این صورت بدهید *.*. ۲۱۷٫۲۱۸ که به این صورت تمام آیپی هایی که با ۲۱۷٫۲۱۸ شروع می شود توسط برنامه اسکن می شود و یا مثلاً اگر Range را به این صورت ۲۱۷٫۲۱۸٫۱۲٫۱۰۲-۱۲۵ بدهید تعداد آیپی هایی که بین ۲ عدد آخر وجود دارد اسکن می شود و در مورد هر آیپی در صورت فعال بودن و تنظیم صحیح برنامه اطلاعات زیادی در اختیار شما قرار داده می شود و اگر هم قصد دارید پورتهای یک سیستم کلاینت را اسکن کنید آیپی آن را در همان قسمت Host وارد می کنید. سمت راست برنامه در کنار گزینه ۴host گزینه دیگر وجود دارد که هر کدام کار خاصی انجام می دهند ( شماره ۱ ) گزینه Scan برای شروع کار برنامه بکار می رود البته بعد از دادن آیپی های هدف و تنظیم برنامه ، گزینه Stop همانطور که از اسم آن مشخص است برای متوقف کردن عملیات اسکنینگ بکار می رود. گزینه Help نیز برای کمک به کاربر و آشنا کردن کاربران با این اسکنر و Exit هم که برای خارج شدن از برنامه است. بخش اصلی برنامه قسمت option folder می باشد و تمام تنظیمات برنامه در این قسمت انجام می گیرد که خود چند قسمت اصلی و فرعی دارد مثل win32 و scan و discover و… درباره تک تک این گزینه ها در ادامه مقاله توضیح می دهیم ( شماره ۲ ) قسمت دیگر برنامه Output است که در این صفحه خاکستری رنگ نتایج اسکن در مورد یک یا چند IP نشان داده می شود و اطلاعات ارزشمندی درباره آیپی هایی که در قسمت Host وارد کردید در این صفحه بدست می آورید ( شماره ۳ ) در پایین ترین قسمت برنامه Status Bar قرار گرفته است که در سمت چپ آن به شما فرمان هایی نشان داده می شود که شما در هنگام تنظیم برنامه در قسمت option Folder بکار می برید و این فرمان ها برای کسانی مفید است که با برنامه اصلی Nmap که تحت لینوکس است و ظاهر گرافیکی ندارد کار می کنند و باید به جای انتخاب گزینه ها،این فرمان ها را برای تنظیم بدهید ( شماره ۴ ) در سمت راست Status bar نیز دکمه سبز رنگی است که این دکمه وقتی کار برنامه متوقف باشد سبز است و وقتی برنامه فعال و در حال اسکن کردن باشد به رنگ قرمز در می آید که در این حالت شما نمی توانید برنامه را تنظیم کنید و باید منتظر باشید تا عملیات اسکنینگ به پایان برسد و دکمه سبز بشود و سپس دوباره برنامه را تنظیم کنید ( شماره ۵ ) با فهرست های اصلی NmapWin آشنا شدید و اکنون توضیح در مورد هر کدام از گزینه های Option Folder. بخش Scan: این قسمت مهمترین قسمت برنامه NmapWin است که خود به ۲ بخش Scan Option و Mode تقسیم شده است ، ما در قسمت Mode نوع پویش و حالت اسکنینگ را مشخص می کنیم چون همانطور که می دانید ما چند نوع پروتکل در TCP/IP داریم مثل پروتکل کنترل انتقال (TCP) و یا پروتکل UDP و یا پروتکل اینترنت یا همان پروتکل IP و همچنین پروتکل پیام کنترل اینترنت (ICMP) و دراین قسمت و قسمت Discover از برنامه نیز شما می توانید اسکن های مختلفی درهر کدام از این پروتکل ها داشته باشید. در Discover کل کاری که پورت اسکنرها انجام می دهند این است که بسته هایی به سمت سیستم هدف که همان IP داده شده به برنامه است و تمام پورت های آن می فرستند و امتحان می کنند تا مشخص شود چه پورت هایی بر روی آن سیستم باز هستند و اطلاعات بدست آمده را در اختیار کاربر برنامه پویشگر قرار می دهند. در پورت اسکنرهای قوی نوع بسته هایی که فرستاده می شوند را می شود انتخاب کرد که NmapWin در قسمت Option Folder و قسمت Scan و گزینه Mode این امکان را در اختیار شما قرار داده است. گزینه Connect: قبل از توضیح درباره این نوع اسکن باید ذکر کنم که در توضیحات ، من از اصطلاحات رایج TCP/IP استفاده کرده ام و این مطالب برای کسانی قابل درک است که آشنایی قبلی با TCP و پروتکل های آن داشته باشند که در مقالات گذشته در مورد شبکه ها و پروتکل های آن مطالبی را ارائه داده ایم. گزینه Connect یک نوع اسکن و پویش از نوع TCP است که سعی می کند تا handshake سه طرفه TCP را با هر پورت هدف روی سیستمی که اسکن می شود را کامل کند ، برای اینکه این موضوع را کامل درک کنید که پویش از نوع TCP Connect به چه صورت است handshake سه طرفه را بیشتر برای کسانی که این مسائل را نمی دانند توضیح می دهیم. برای انجام handshake سه طرفه در ابتدا کامپیوتر ما که یک کلاینت است به سمت سرور یک بسته SYN می فرستد که یک درخواست برای اتصال است. در مرحله بعد اگر سرور این درخواست را قبول کند برای سیستم ما یک بسته SYN/ACK ارسال می کند و سپس در مرحله ۳ کامپیوتر ما یک بسته ACK برای سرور می فرستد و ارتباط بین دو کامپیوتر و شبکه برقرار می شود. تمام اتصال های مجاز TCP مثل Telnet ,Http ,FTP و … بوسیله همین handshake سه طرفه و راهی که در بالا ذکر شد ارتباط برقرار کرده و به همدیگر وصل می شوند. ولی احتمال کمی وجود دارد که اسکن از طریقه گزینه Connect باعث Crash شدن سیستم قربانی بشود. این نکته قابل ذکر است که استفاده از این نوع پویش کمی برای هکر خطرناک است چون اگر پورت باز باشد سیستم هکر handshake سه طرفه را با یک ACK تمام می کند و بعد با استفاده از بسته های FIN اتصال را قطع می کند که این کار سرور برگردانده نمی شود و یا یک بسته RESET فرستاده می شود و این پاسخها به معنی این است که پورت بسته می باشد، در هر صورت اسکن از طریقه گزینه Connect اطلاعاتی از شما را در Log فایل ثبت می کند و هکرهای حرفه ای کمتر از این گزینه برای اسکن استفاده می کنند و اکثر آنها سعی می کنند از اسکنینگ مخفی تری استفاده کنند تا ردپایی از خود در سرور قربانی خود برجای نگذارند. گزینه SYN Stealth: این نوع اسکن که به آن پورت اسکن TCP SYN هم می گویند پیش فرض اسکنینگ ها در برنامه NmapWin می باشد که چند ویژگی نسبت به گزینه Connect دارد ، اول اینکه این نوع اسکن مخفی تر از پویش Connect است ، دلیل آن هم این است که اسکن TCP SYN فقط بسته SYN اولیه را به سمت پورت هدف می فرستد و منتظر جواب SYN-ACK می ماند تا بفهمد که پورت باز است یا خیر، اگر پورت باز باشد و سیستم قربانی بسته SYN-ACK را برای سیستم ما ارسال کند برنامه Nmap و این گزینه سریع یک بسته Reset برای سیستم قربانی می فرستد تا قبل از اینکه اتصال کامل شود آن را قطع کند پس در این صورت دیگر کامپیوتر ما برای سرور بسته ACK نمی فرستد ، بنابراین مرحله ۳ در این نوع اسکن بکار گرفته نمی شود، اگر از طرف سرور یک بسته SYN/ACK برای ما فرستاده شود به این معنی است که آن پورت باز است و اگر یک بسته Rest یا RST/ACK برسد یعنی آن پورت می باشد. بنابراین این نوع اسکن هویت هکر را پنهان می کند. البته اگر سرور برای ثبت وقایع از برنامه های خاص خود و برای کنترل بسته ها از روترها و فایروالها استفاده کند تا حدودی امکان اسکن کامل و دقیق سیستم از هکرها گرفته می شود. امکان دیگر پویش از طریقه SYN سرعت این نوع اسکنینگ است چون دو سوم Handshake را انجام می دهد و به همین دلیل از نوع اسکن Connect سریعتر به نتیجه می رسد زیرا دیگر بسته ACK را به سمت سیستم قربانی ارسال نمی کند و آخرین نکته این نوع اسکن در این است که اگر یک حمله هماهنگ به سمت سرور با این نوع پویش و فرستادن بسته های SYN بشود ممکن است ( بستگی به قدرت آن سرور و هماهنگ بودن هکرها ) سرور قربانی Down شود، پس با نصب IDs و فایروال های سخت افزاری و با بستن پورت های نامشخص و بی استفاده راه مقابله با هکرها را پیش بگیرید. گزینه های Fin Stealth ,Xmas Tree ,Null Scan: این نوع پویشها برای سیستمهای ویندوز مثل ۲۰۰۰ و ۹x نوشته نشده است و برای این سیستمها کار نمی کنند چون سیستمهای ویندوز از RFC ها در مورد اینکه اگر بسته های FIN ,Xmas Tree ,Null وارد شوند چه زمانی باید Reset فرستاد پیروی نمی کنند، برای مثال کاری که گزینه FIN Stealth انجام می دهد به این صورت است که یک بسته FIN به هر پورت می فرستد که اگر در پاسخ بسته Reset نشان داده شود به معنی بسته بودن پورت است و اگر پاسخی دریافت نشود این نتیجه گرفته می شود که ممکن است پورت باز باشد ولی در کل این ۳ گزینه برای اسکن کردن کلاینت ها و سرورهایی که ازسیسنم عامل هایی غیر از ویندوز استفاده می کنند بکار می رود و خیلی هم سودمند است. گزینه Ping Sweep: این نوع اسکن نیز آیپی های فعال در یک شبکه را پیدا می کند و می توان گفت که این گزینه همان کار IP اسکنینگ ها را انجام می دهد و برای این کار برنامه NmapWin یک بسته درخواست ICMP Echo را به تمام آن IP ها ارسال می کند تا مشخص شود که کدام سیستم ها در آن لحظه فعال هستند، در هر صورت از این گزینه نیز می توانید برای پیدا کردن آیپی های فعال در یک ISP استفاده کنید و سپس به وسیله توضیحاتی که داده شد هر کدام از آن IP ها را برای پیدا کردن پورتهای باز پویش کنید. گزینه UDP Scan: این گزینه برای اسکن کردن پورتهای UPD بکار می رود و برای اینکار یک بسته UPD به پورتهای سیستم هدف می فرستد تا متوجه شود که آیا پورت های UPD در آن سیستم باز است یا خیر. پروتکل UPD پروتکل قابل اطمینانی نیست و بر عکس TCP قابلیت Handshake سه طرفه را ندارد ولی برای سرویسهایی مثل Real Player و برنامه هایی که به تبادل آهنگ و فایل های تصویری و صوتی در شبکه می پردازند و به سرعت بیشتر از امنیت احتیاج دارند این پروتکل انتخاب اول است. برای کسانی که قصد دارند پورتهای UPD یک سیستم را برای امتحان امنیت سرویس های نصب شده بر روی کامپیوتر که از پورت های UPD استفاده می کنند، این گزینه مفید است. گزینه IP Protocol Scan & ACK Scan: این گزینه برای اسکنینگ آیپی ها و مشخص کردن آیپی های فعال و دادن اطلاعاتی در مورد هر IP بکار می رود که تقریباً این گزینه همان کار گزینه ping Sweep را انجام می دهد ولی گزینه Ack Scan بیشتر برای تشخیص فایروالها استفاده می شود و طرز کار آن به این صورت است که یک بسته با کد بیت ACK را به تمام پورتهای موجود در سیستم قربانی می فرستد و امکان ***** کردن بسته ها را در اتصالهای برقرار شده می دهد و نتایج بدست آمده اطلاعات ارزشمندی را در اختیار هکر قرار می دهد از جمله لیستی از پورتهایی که به اتصالهای برقرار شده اجازه ورود به شبکه را می دهند که در نهایت به آنها کمک می کند تا روترها و فایروالهای یک سرور را پیدا کنند. گزینه Window Scan: این نوع اسکن تقریباً مثل اسکن ACK است ولی برای فهمیدن باز یا بسته بودن پورت روی چندین سیستم عامل ، روی اندازه TCP ویندوز تمرکز می کند و کلاً این نوع اسکن کاملتر از پویش ACK است. گزینه RCP Scan & List Scan: اسکن از نوع لیست اسکن تقریباً همان کار اسکن ping Sweep را انجام می دهد ولی بصورت مخفیانه تر و شما می توانید با استفاده از این قابلیت یک اسکن Nmap TCP را از یک سرور FTP که خود نیز خبر ندارد عبور بدهید تا مبدأ حمله را مخفی کنید ولی اسکن از طریقه RCP یکی از کاملترین نوع اسکنینگ است و سرویسهای RPC را اسکن می کند و برای فرستادن دستورهایش از تمام پورتهای TCP و UPD باز در سیستم قربانی استفاده کرده و در نهایت می فهمد که آیا یک برنامه RCP در حال گوش دادن به پورت است یا خیر. در هر صورت این نوع اسکن برای هکرهای حرفه ای خیلی مفید است، برای کسانی که کاملاً با برنامه های RPC آشنایی دارند و با این نوع اسکن می شود از نقطه ضعفهای امنیتی این برنامه ها اطلاع پیدا کرد و سپس از طریقه این حفره های امنیتی به یک سرور نفوذ کرد. این تمام گزینه ها و انواع اسکن ها در برنامه NmapWin و در قسمت Mode در قسمت اسکن بود ولی در بخش اسکن یک گزینه دیگر به اسم Scan Option هم وجود دارد که ۶ گزینه دارد که فقط اولین گزینه آن برای ما کارایی دارد و مورد استفاده قرار می گیرد. بخش اسکن Option و گزینه Port Range: شما با انتخاب کردن این گزینه و فعال کردن آن می توانید Range پورتهایی که مایل هستید در آن سیستم اسکن بشود را بدهید تا پورتهای باز در آن سیستم و در آن Range پورت را به شما نشان بدهد و اگر این قسمت را شما خالی بگذارید در آن سیستم هایی که در Host آیپی های آنها را نوشتید تمام پورتها اسکن می شود و اگر فقط یک شماره پورت در این قسمت بدهید فقط آن پورت در آن سیستم اسکن خواهد شد و اگر هم یک Range مثل ۸۰۰-۲۰۰۰ بدهید تمام پورتهایی که بین این ۲ رنج هستند اسکن خواهد شد. پورتهای مبدأ ۲۵ یا ۸۰ انتخاب خوبی برای شماره پورت ابتدایی بشمار می روند زیرا پورتهای وب سرور و سرویس SMTP میل سرور هستند و ترافیک حاصل از اسکن ، سرور را گمراه می کنند و سرور گمان می کند که این ترافیک از یک وب سرور که از HTTP استفاده می کند می آید. بخش Discover: این بخش نیز یکی دیگر از قسمتهای Option Folder برنامه NmapWin است که خود ۴ گزینه دارد و در مورد هر کدام توضیح می دهیم. گزینه TCP Ping: این گزینه از برنامه برای پینگ در TCP بکار می رود و با فرستادن پینگ که به آن پیام ICMP Echo هم می گویند برای آیپی ها و سیستمهای مشخص شده در برنامه می فهمد که کدام یک از آن سیستمها فعال هستند و بعد از این کار شما می توانید پورتهای آن سیستمهای فعال را اسکن کنید. گزینه TCP+ICMP: این گزینه که پیش فرض قسمت Discover هم است برای پینگ کردن سیستمها در هر ۲ پروتکل ICMP و TCP بکار می رود و در بخش Discover از همه بهتر و مفیدتر است و برای بررسی فایروال های سرورها نیز می شود از این گزینه استفاده کرد . گزینه ICMP Ping: برای پینگ کردن سیستمها در پروتکل کنترل پیام اینترنت (ICMP) می توان از این گزینه استفاده کرد و فقط مخصوص ابن پروتکل است. گزینه Don’t Ping: با فعال کردن این گزینه برنامه هیچ نوع پینگی انجام نمی دهد و بخش Discover از اسکن برنامه حذف و غیر فعال می شود. بخش Options: گزینه Fragmentation: این گزینه زمانی برای ما مفید است که مخفی اسکن کردن ما از نتیجه اسکن برای هکر اهمیت بیشتری داشته باشد ، این گزینه از آیپی های مبدأ برای اسکن استفاده می کند و به وسیله روشهایی آیپی هکر و هر اطلاعاتی راجع به شخص اسکن کننده را پنهان می کند و بیشتر این گزینه زمانی مفید است که اسکنی از نوع FIN-Xmas SYN و یا Null صورت بگیرد ولی در هر صورت با انتخاب این گزینه کمی از کارایی برنامه و نتیجه پایانی اسکن کم می شود. گزینه Get Identd Info: این گزینه نیز برای زمانی مفید است که بخواهیم سیستمی را از نوع پویش Connect اسکن کنیم و می توان گفت این گزینه مکمل اسکن Connect بشمار می رود و با انتخاب این گزینه بهمراه پویش اسکن اطلاعات ارزشمندی می شود از یک سرور بدست آورد. گزینه Resolve All: از این گزینه نیز شما می توانید برای پیدا کردن DNS(domain name server) ها در سیستم ها و آیپی های داده شده به برنامه استفاده کنید ، البته این گزینه بر روی تمام آیپی های داده شده به برنامه عمل Reverse Whois را انجام می دهد و برای آن فرقی نمی کند آن IP فعال است یا Down زیرا از همه آنها Whois می گیرد. این گزینه نیز برای پیدا کردن سرورها و DNS ها خیلی مفید است. گزینه Don’t Resolve: این گزینه عمل Reverse Whois را روی هیچ سیستمی انجام نمی دهد و بیشتر برای زمانی مفید است که شما برای اسکنی که می خواهید انجام دهید احتیاج به سرعت دارید که در این صورت می توانید از این گزینه استفاده کنید. گزینه Fast Scan: این گزینه نیز احتیاج به توضیح ندارد و مشخص است که با انتخاب این گزینه سرعت اسکن بیشتر می شود ولی وقتی که سرعت بیشتر باشد نتیجه اسکن ضعیف تر از حالت عادی اسکن می شود ولی اگر شما به سرعت احتیاج دارید می توانید از این گزینه استفاده کنید. گزینه OS Detection: این گزینه که گزینه پیش فرض قسمت Option هم است یکی از مهمترین گزینه های برنامه می باشد که کار آن حدس زدن و فهمیدن سیستم عامل سیستم در حال اسکن است ولی شاید برای شما جالب باشد که چطوری برنامه NmapWin و این گزینه می تواند نوع سیستم عامل را فقط با دانستن آدرس IP آن حدس بزند برای این کار Nmap از یک تکنیک به نام کپی برداری از پشته TCP/IP استفاده می کند و با کمک گرفتن از RFC ها بسته هایی را به پورتهای مختلفی روی سیستم هدف می فرستد و چگونگی تغییر شماره سریال در بسته SYN-ACK را بررسی می کند و در نهایت نوع سیستم عامل را حدس می زند. گزینه Random Host: این گزینه نیز به آیپی های داده شده در قسمت Host برنامه توجه نمی کند و آیپی هایی را بصورت اتفاقی انتخاب می کند و سپس اسکن می کند. قسمت Debug و گزینه Debug: این گزینه اولین گزینه قسمت Debug است که در قسمت Option قرار دارد که برای دیباگ کردن بکار می رود و با انتخاب این گزینه نتایج دیباگ را شما می توانید در قسمت Output برنامه ببینید. گزینه Very verbose & Verbose: این دو گزینه نیز جزئیات و مراحل اسکن و دیباگ را نشان می دهند که من پیشنهاد می کنم اگر قصد استفاده از گزینه دیباگ را دارید به عنوان مکمل این اسکن از گزینه Very Verbose استفاده کنید چون این گزینه نسبت به گزینه verbose کارایی بیشتری دارد و مراحل اسکن و دیباگ را دقیقتر نشان می دهد. بخش Timing: این بخش خود دارای ۲ قسمت است که در ابتدا قسمت Throttle توضیح می دهیم:
هکرها با توجه به نوع اسکن و زمانی که دارند سرعت های اسکن مختلفی را انتخاب می کنند که بستگی به سرعت و قدرت سیستم فربانی هم دارد، برای مثال اگر سرعت سیستم قربانی کند باشد و ما یک نوع اسکن سریع را انتخاب کنیم ممکن است بعضی از پورتهای باز را از دست بدهیم و یا ممکن است آن سیستم به خاطر بسته های زیادی که به سمت آن فرستاده می شود هنگ و Crash کند. این قسمت از برنامه Nmap برای تنظیم سرعت اسکن بکار می رود که گزینه Normal بهترین انتخاب برای این کار است و اگر سیستم شما ضعیف بود و در حال اسکن با این سرعت هنگ کرد از گزینه Polite استفاده کنید که سرعت کمتری دارد و هر بسته را تقریباً در ۰/۴ ثانیه برای سیستمهای قربانی می فرستد و ۲ گزینه آخر سرعت اسکن را خیلی زیاد می کند و بیشتر برای زمانی مفید هستند که شما وقت کمی برای اسکن دارید و احتیاج به سرعت دارید ولی این نکته را در نظر بگیرید که با سرعت بالا اسکن کردن ضریب اشتباه را بالا می برد و ممکن است بعضی از پورتهای باز مشخص نشود پس بهترین انتخاب گزینه نرمال است که پیش فرض برنامه نیز همین گزینه است. قسمت Timeouts: این قسمت نیز بیشتر برای زمان بندی هر اسکن و پویش بکار می رود و قابلیت سفارشی کردن زمان اسکن را به شما می دهد ، برای مثال با انتخاب گزینه Host Timeout (ms) و فعال کردن آن شما می توانید زمانی را تعیین کنید که برای هر اسکن صرف بشود و گزینه های دیگر نیز تقریباً به همین منظور هستند و برای زمانبندی انواع اسکن بکار می روند. بخش Files: این بخش نیز خود ۲ قسمت دارد که بیشتر برای ذخیره کردن نتایج اسکن بکار می رود. قسمت Input File: این قسمت تقریباً کاره یک passlist در برنامه های کراکر و brute force را انجام می دهد و برای سریعتر کردن کار اسکن می شود از این قسمت استفاده کرد که در این حالت ورودی از یک فایلی که ما انتخاب کرده ایم خوانده می شود. قسمت Output: با انتخاب این گزینه و فعال کردن این قسمت شما می توانید نتایج بدست آمده از اسکن را که در Output نشان داده می شود را در یک فایل با فرمتهای مختلف ذخیره کنید تا بتوانید از روی فرصت پورتها و حفره های باز روی آن سیستم را مورد بررسی قرار دهید، با انتخاب گزینه نرمال نتایج بدست آمده بصورت Log فایل و txt. ذخیره می شود و شما می توانید فرمتهای دیگری مثل XML و یا Grep را انتخاب کنید. بخش Service: این قسمت هم برای سفارشی کردن زمان و روز اسکن آیپی های مشخص بکار می رود و برای مثال می شود یک آیپی را در این قسمت ثبت کرد و یک روز را مشخص کرد و برنامه در صورت انتخاب گزینه AutoStart در آن روز مشخص خود به خود آن IP و سیستم را اسکن می کند و حتی شما می توانید دقیقه و ثانیه شروع عملیات اسکن را در این قسمت مشخص کنید. برای سفارشی کردن زمان و روز اسکن از این قسمت استفاده می شود. بخش Win32: این بخش نیز که قسمت آخر برنامه NmapWin است برای تنظیم بهتر برنامه در ویندوزهای Xp و ۲۰۰۰ می باشد که خود ۲ قسمت دارد که ما گزینه های قسمت اول را توضیح می دهیم ، چون قسمت Commands برای کسانی مفید است که با Nmap تحت لینوکس کار کردند و با خط فرمان آن آشنایی دارند، پس بحث ما روی قسمت اول است. گزینه No Pcap: وقتی که شما برنامه NmapWin را بر روی سیستم خود نصب می کنید، اگر دقت کرده باشید متوجه شده اید که همراه آن pcap هم نصب می شود که برای ویندوزهای ۲۰۰۰ و Xp نوشته شده است و در این ویندوزها می توانید به عنوان مکمل Nmap کارهای پویش را انجام دهید، با انتخاب این گزینه، برنامه دیگر از pcap استفاده نمی کند و pcap غیر فعال می شود و اگر این گزینه را انتخاب کنیم برنامه بجای pcap از Raw Socket به صورت پیش فرض استفاده می کند و از آن کمک می گیرد. گزینه No Raw Socket: اگر این گزینه انتخاب شود Raw Socket غیر فعال می شود و توسط برنامه، دیگر استفاده نمی شود و اگر گزینه No Pcap انتخاب نشده باشد برنامه از pcap به عنوان مکمل و البته در ویندوزهای ۲۰۰۰ و Xp استفاده می کند. گزینه Force Raw Socket: اگر این گزینه را شما انتخاب کنید دیگر pcap غیر فعال می شود و فقط Raw Socket توسط برنامه استفاده می شود. گزینه NT4Route: این قسمت نیز برای کاربران سیستم NT 4.0 است که از این نسخه NmapWin در ویندوز خود استفاده می کنند و با انتخاب این گزینه در صورت استفاده از ویندوز NT می توان اطلاعات ارزشمندی در مورد انواع فایروالهای روی سرورها و کلاینت ها بدست آورد. گزینه Win Trace: این گزینه نیز یکی از بهترین گزینه های برنامه NmapWin است که کار آن استفاده از تکنیک Trace Route برای پیدا کردن روترها و gateway های یک سرور است. با انتخاب این گزینه برنامه برای هر آیپی عمل Trace را انجام می دهد و اطلاعات ارزشمندی درباره هر سیستم در اختیار شما قرار می دهد و البته این گزینه کمی از سرعت اسکن را می گیرد ولی به نظر من ارزش این را دارد و شما نیز سعی کنید از این گزینه به عنوان مکمل برنامه و اسکن خود استفاده کنید. دوستان این تمام گزینه های اسکنر NmapWin بود که برای شما آنها را شرح دادیم، شما با فهمیدن کار هر یک از این گزینه ها و استفاده درست از آنها می توانید بهترین پویش را از یک سرور انجام دهید و اطلاعات زیادی از یک سرور بدست آورید و سپس راه های مختلف نفوذ به یک سرور را با استفاده از پورت های باز آن امتحان کنید تا از میزان امنیت سرور خود و یا کامپیوترهای دیگر مطلع شوید و توسط راه هایی که در مقالات بعدی تیم آشیانه ارائه می شود این حفره های آسیب پذیر را از بین ببرید تا سیستمی همیشه ایمن داشته باشید. امیدواریم از خواندن این مقاله لذت برده باشید و از این اطلاعات در راه های درست و ایمن کردن سرورها استفاده کنید. + منبع: سایت آشیانه + نویسنده مقاله: بهروز کمالیان از تیم آشیانه
پاسخ : امنیت سرور + انتی ویروس ها
اقا دستت درد نکنه
شما که به امنیت اشنایی
من یه سرور 2003 دارم بهش حمله ddos کردن چطوری جلو حمله رو بگیرم؟
یه برنامه مطمین سبک و تست شده میخوام
میشه لطفا بگید کدوم بهتره؟
مرسی
پاسخ : امنیت سرور + انتی ویروس ها
پاسخ : امنیت سرور + انتی ویروس ها
ممنون دوست عزیز
ولی اولی که مال لینوکس بود دومی هم قبلا انجام دادم یه سری عدد 2 رقمی میده هرسری هم که دستور رو میزنم یه عدد جدید میده میشه بگی با این اعداد باید چه کار کرد؟
من یه سری تنظیمات داخل رجیستری انجام دادم اما فایده نداشت
در مورد مقاله که اشاره کرده بودی فکر میکنم طرف از سرور من spam داده که حالت ddos برای من داشته چون ip ام داخل لیست ای پی های spam شده بود
لطفا بیشتر کمک کنید
ممنون
