تکنیک TCP-IDLE-SCAN
🔹یکی از تکنیکهای مبتنی بر tcp است، در این روش جالب حتی یک بسته هم از طرف نفوذگر به هدف ارسال نمیگردد چرا که اساس این حمله قربانی کردن سیستم شخص بیگناهی است که حتی روحشم خبر نداره ! بله اون شخص زامبی هکر شده.
یکی از راههای تشخیص نفوذ به یک پورت ارسال یک بسته با پرچم SYN به آن پورت است.
🔸تشریح نفوذ این حمله در وضعیتی که پورت باز است :
هکر ابتدا در اولین گام IP-ID زامبی را بدست می آورد اینکار از طریق ارسال بسته ای که شامل SYN/ACK به زامبی صورت میگیرد.و از آنجایی که زامبی بیخبر از همه انتظار همچین بسته ای را ندارد در جواب یک بسته ی RST به هکر میفرستد و در اینجا ID آن IP مشخص می شود.
🔹گام دوم جعل یک بسته SYN از سوی زامبی :هدف در پاسخ به SYN که وانمود میکند از سوی زامبی می آید بسته ای شامل SYN/ACK را می فرستد،و همانند مرحله قبل زامبی فریب میخورد ولی در این فرایند یک شماره به ID آن IP اضافه می شود.
🔸گام آخر بدست آوردن IP-ID زامبی : آی پی آی دی زامبی از گام اول تا این لحظه دو عدد افزایش داشته که این یعنی پورت مربوطه به سیستم هدف باز است !
🔹از این تکنیک می توان در وضعیت پورت بسته و پورت فیلتر نیز استفاده کرد که در گام دوم آن هیچ.پاسخی نمیدهد ignore و زامبی فریب میخورد.
🔺این روش معمولا توسط IDS شناخته میشود و سیستم تشخیص نفوذ فکر میکند که زامبی این حمله را پیاده سازی کرده پس تا حدی میشه گفت بایپس خورده و برای نفوذگر یک.مزیت است.
🔻از طریق این نوع اسکن فیلترینگ بسته های خاص که توسط Firewall صورت میگیرد شکسته میشود و دیوار آتش نیز بایپس میخورد !
