View RSS Feed

مهرزاد مقدس

انتقال داده با کمک تانل های نهان ! - قسمت دوم -

امتیاز
توسط - 2014-07-26 - 09:43 AM (بازدید: 2200)
  
در قسمت قبل ما با تانل های نهان آشنا شدیم . و همانطور که احتمالا حدس زده اید ، این نوع تانل ها مختص پروتکل icmp نیست . و سایر پروتکل ها هم به صورت بالقوه و بالفعل امکان همچنین موردی را دارند . مثلا پروتکل های محبوب و پرکاربرد HTTP , DNS !!!
اما به دلایلی تانل icmp محبوب ترین آنهاست !
همانطور که می دانید این پروتکل یک پروتکل لایه سه است . همچنین می دانید که محدوده فعالیت فایروال ها از لایه 3 شروع و به لایه 4 و 7 ختم میشود ! (البته میکروتیک یک فایروال مختص لایه 2 نیز دارد ! که از منو bridge سربرگ filter قابل دسترسی است . ) پس تنها بررسی مربوط به پکت های icmp به امکانات مربوط به لایه سه ختم میشود !!! یعنی بررسی مبدا و مقصد و کد مربوط به نوع پیغام ! معمولا سیستم ادمین ها با پکت های icmp مخصوصا کد های مربوط به ping request و echo reply با مهربانی هر چه تمام تر برخورد می کنند !!!
پس این روش یکی از محبوب ترین تانل های نهان هست !

با توجه به این شرایط تشخیص و مسدود سازی این ارتباطات در نوع خود کابوسی ست ! و عملا از توانایی فایروال به تنهایی خارج است !
اما با چند ترفند ساده می توانید تا حد خیلی زیادی از این نوع ارتباطات را کنترل کنید
1-با توجه به شرایط فوق هر نوع ارتباطی مشکوک است ! حتی پینگ و دی ان اس !
پس قسمت هایی از شبکه که نیازی به این نوع ارتباطات ندارند بهتر است مسدود شوند ! مثلا کمتر کسی نیاز دارد ای پی کلاینت شما را از سمت اینترنت پینگ کند !
پس به راحتی می توانید تمام درخواست های پینگ به سمت شبکه داخلی را دراپ کنید یا خودتان پاسخگو باشید ! یا از نظر تعداد درخواست های به سمت یک ای پی را محدود کنید . مثلا ای پی 1.1.1.1 فقط می توانید روزی ده بار ای پی 2.2.2.2 متعلق به شما را پینگ کند !
2- سایز پکت های icmp را بررسی کنید . همانطور که گفتیم پکت های استاندارد icmp صرفا 72 بایت هستند . پس بسته های درشت را دور بریزید !
3- ids/ips ها را در شکبه به کار ببرید .
و ...

منابع برای بررسی بیشتر :
http://en.wikipedia.org/wiki/Covert_channel
http://www1.cs.dartmouth.edu/reports/TR2005-536.pdf
http://www.sans.org/reading-room/whi...e-secrecy-1660
http://www.sans.org/reading-room/whi...ganography-678


----------------------------------------------------------------------
دوستان ممنون میشم اگر در مورد ارزش این مطلب نظرتون رو بفرمایید .(مثلا مطلب پیش پا افتاده ای است ! به صورت سطحی و ساده بیان شده ! یا خیلی عالی بود و ... ) چون چند مطلب مشابه در این مورد هست که علاقمندم در موردش چند خط بنویسم . اما در مورد ارزش مطلب و اینکه کاربردی برای خواننده دارد با توجه به استقبال از قسمت قبل مقداری تردید دارم .
mohsenhvac، dodvaod، parsabarze و 6 نفر دیگر سپاسگزاری کرده‌اند.
دسته ها
دسته بندی نشده

نظر

  1. شناسه تصویری mohsenhvac
    مسیر پکتها در پینگ یا سایز پکتهای icmp مطالب ساده و پیش و پا افتاده ای هستن و تقریبا در اکثر رفرنسها پیدا میشه اما کاربرد و نکته سنجی که در این مورد بکار بردید بسیار جالب بود .
    mehrzadmo و parsabarze سپاسگزاری کرده‌اند.