روش انتقال داده با کمک تانل های نهان

مرداد, 1396 بدون نظر دسته‌بندی نشده

روش انتقال داده با کمک تانل های نهان

اما این اخطار دقیقا به چه معناست ؟ همه ما پروتکل محبوب icmp و دستور مفید ping را می شناسیم و تا آنجا که می دانیم کاربردی برای انتقال اطلاعات ندارد چه برسد برای تانلینگ استفاده شود ! اما مطمئنا nod32 هم با ما سر شوخی و مزاح ندارد ! برای درک این قضیه و اتفاق پشت پرده این اخطار لازم است کمی با ساختار پکت های icmp آشنا شویم .
اگر دستور پینگ را به شکل زیر استفاده کنید و ترافیک مربوطه را با نرم افزاری مانند wireshrak اسنیف کنید متوجه میشوید پکت مربوطه 42 بایت است .
* اگر با سویچ های n , l آشنایی ندارید از راهنمای دستور پینگ یا گوگل کمک بگیرید .
که از این 42 بایت ، 14 بایت مربوط به هدر اترنت و 20 بایت مربوط به هدر IP و الباقی مربوط به پکت icmp است .
برای اطلاعات بیشتر در مورد ساختار پکت icmp به لینک زیر مراجعه نمایید . و خرید vpn
حال اگر اینبار دستور پینگ رو به حالت معمولی اجرا کنید می بینید سایز فریم اسنیف شده به 74 بایت رسیده .این 32 بایت اضافه مربوط است به اطلاعات تصادفی که دستور پینگ تولید و ارسال میکند . که با سویچ L قابل تغییر هست .
دستور پینگ استاندارد امکان ارسال و دریافت اطلاعات درخواستی توسط کاربر را ندارد و صرفا یک سری اطلاعات تصادفی تولید و به پکت الصاق میشود . اما تولز های فراوانی هستند که امکان ارسال اطلاعات درخواستی توسط کاربر را فراهم می کنند .
مثل نرم افزار لینوکسی hping یا نرم افزار هایی که به صورت کلاینت و سرور یک ارتباط نهان بین کامپیوتر گیرنده و فرستنده ایجاد میکنند .

همانطور که می دانید این پروتکل یک پروتکل لایه سه است . همچنین می دانید که محدوده فعالیت فایروال ها از لایه 3 شروع و به لایه 4 و 7 ختم میشود ! (البته میکروتیک یک فایروال مختص لایه 2 نیز دارد ! که از منو bridge سربرگ filter قابل دسترسی است . ) پس تنها بررسی مربوط به پکت های icmp به امکانات مربوط به لایه سه ختم میشود !!! یعنی بررسی مبدا و مقصد و کد مربوط به نوع پیغام ! معمولا سیستم ادمین ها با پکت های icmp مخصوصا کد های مربوط به ping request و echo reply با مهربانی هر چه تمام تر برخورد می کنند !!!
پس این روش یکی از محبوب ترین تانل های نهان هست !

با توجه به این شرایط تشخیص و مسدود سازی این ارتباطات در نوع خود کابوسی ست ! و عملا از توانایی فایروال به تنهایی خارج است !
اما با چند ترفند ساده می توانید تا حد خیلی زیادی از این نوع ارتباطات را کنترل کنید
1-با توجه به شرایط فوق هر نوع ارتباطی مشکوک است ! حتی پینگ و دی ان اس !
پس قسمت هایی از شبکه که نیازی به این نوع ارتباطات ندارند بهتر است مسدود شوند ! مثلا کمتر کسی نیاز دارد ای پی کلاینت شما را از سمت اینترنت پینگ کند !
پس به راحتی می توانید تمام درخواست های پینگ به سمت شبکه داخلی را دراپ کنید یا خودتان پاسخگو باشید ! یا از نظر تعداد درخواست های به سمت یک ای پی را محدود کنید . مثلا ای پی 1.1.1.1 فقط می توانید روزی ده بار ای پی 2.2.2.2 متعلق به شما را پینگ کند !
2- سایز پکت های icmp را بررسی کنید . همانطور که گفتیم پکت های استاندارد icmp صرفا 72 بایت هستند . پس بسته های درشت را دور بریزید !
3- ids/ips ها را در شکبه به کار ببرید .
و …

برچسب ها

ارسال نظر شما

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *