اسکن بلوکهای IP
Scanning IP Blocksتوضیحات
مهاجمان بلوکهای IP را برای شناسایی میزبانهای فعال اسکن میکنند. این کار ممکن است با ارسال پینگ (ICMP) یا درخواستهای TCP/UDP به محدودهای از آدرسهای IP انجام شود تا مشخص شود کدام میزبانها آنلاین هستند. این اطلاعات میتوانند برای شناسایی اهداف بالقوه و درک محدوده زیرساخت قربانی استفاده شوند.
روشهای شناسایی
پایش ترافیک ICMP و TCP/UDP غیرعادی از آدرسهای IP خارجی. شناسایی الگوهای اسکن متوالی در لاگهای فایروال. استفاده از honeypot برای جذب و شناسایی اسکنرها.
روشهای مقابله
پیکربندی فایروال برای بلاک کردن پینگهای ورودی از منابع ناشناخته. اعمال rate limiting روی درخواستهای ورودی. استفاده از IPS برای شناسایی و مسدودسازی اسکنهای شبکه.
تکنیک اصلی
اسکن فعال
مهاجمان با ارسال مستقیم ترافیک شبکه، اطلاعاتی را جمعآوری میکنند که میتوانند در هدفگیری استفاده شوند. برخلاف سایر اشکال شناسایی، اسکن فعال ارتباط مستقیمی با زیرساخت قربانی برقرار میکند. اطلاعات جمعآوریشده ممکن است شامل محدودههای IP، نامهای DNS، سرویسهای در حال اجرا، آسیبپذیریها و سایر جزئیات باشد.
سایر زیرتکنیکها (2)