نحوه ی دور زدن icmp
با سلام خدمت تمامی itpro ای های عزیز
اگر مقاله مهندس نصیری رو ""معرفی ابزارهای HPing2 و HPing3 برای استفاده در Scanning شبکه""
خونده باشید،جناب مهندس نصیری پیرو معرفی نرم افزار hping اونجا یک نکته ای رو مطرح کردن با عنوان :شناسایی اینکه یک Host خاموش است یا روشن حتی در صورتیکه بسته های ICMP مسدود شده باشند.
حالا سوال اینجاست که این مکانیزم به چه شکلیه؟ یعنی چطور این نرم افزار میتونه یک host رو شناسایی کنه در صورتی که icmp در شبکه مسدود شده باشه؟؟
ممنون از راهنماییتون
4 پاسخ
یه راهش اینه که به پورت های مختلف host یه بسته tcp syn بفرستیم که اون host بهش جواب بده و بفهمیم روشنه
یا بسته udp با ttl 0 بفرستیم بهش و host پاسخ icmp ttl exceeded برگردونه
و یا درخواست arp request واسه اون ip بفرستیم و پاسخ arp رو به همراه mac address سیستم مورد نظر دریافت کنیم
شاید روش های دیگه ای هم باشه
و اضافه کنم:
پاسخ ARP (که به جدول ARP اضافه میشه) مشخص می کنه: ارتباط از لایه 1 تا 2 سالم هست
ping با استفاده از icmp-echo request به ما میگه: ارتباط از لایه 1 تا 3 سالم هست
در نتیجه: این ما هستیم که از ping واسه تست روشن بودن یا نبودن سیستم استفاده می کنیم در صورتی که دریافت پاسخ ping بیانگر ارتباط سالم لایه های 1 و 2 و 3 به مدیر شبکه هست
به عنوان مثال:
شما میتونین روی پورت های معروف مثل 20و21و22و80و53و54و... مثلا telnet بفرسیتن اگر Connection Refused داد یعنی هاست Up
برای راحتی کار میتونین یک Script بنویسین که روی common پورت ها اینکار رو انجام بده
البته این برای Host جواب میده مثلا برای Firewall هایی که در حالت Transparent قرار دارن هیچ یک از روش های ذکر شده جواب نمیده
Honeypot هم که داستان خودشو داره
سلام
البته به موارد فوق باید نوع فایروال و یا نوع سیستم عامل و حتی ورژن سیستم عامل رو هم اضافه کنیم.
نرم افزارهایی همچون NMAP میتونه از نحوه عملکرد یا برخورد سیستم عامل با بسته ارسالی، نوع اون سیستم عامل رو تشخیص بده.