- بواسطة x32x01 ||
بص يا صديقى الـ zombie scan ده تكنيك في nmap اسمه idle scan
فكرته إنك تقدر تعمل scan على جهاز الضحية من غير ما تبان إنك انت اللي بتعمل السكان
الطريقة بتعتمد على إنك تستخدم جهاز تالت اللي هو الزومبي يكون جهاز فاضي ومش بيعمل شغل كتير عشان تستغل حاجة اسمها ip id
اللي بيحصل إنك بتختار جهاز زومبي يكون ترافيكه قليل وهادي عشان الرقم اللي هو ip id بتاعه بيبقى ثابت أو بيزيد بشكل يعني سهل تتوقعه بعد كده بتستخدم الجهاز الزومبي كبروكسي
يعني كأنك بتبعت طلبات للضحية من خلاله الضحية هيشوف إن الطلبات جاية من الزومبي مش منك
لما تبعت للضحية لو البورت مفتوح الضحية هيرد على الزومبي والـ ip id بتاع الزومبي هيزيد أما لو البورت مقفول الضحية مش هيرد وبالتالي ip id بتاع الزومبي مش هيزيد هنا أنت تقارن الرقم قبل وبعد وتعرف البورت مفتوح ولا مقفول لو زاد يبقى مفتوح لو مفيش تغيير يبقى مقفول
الميزة في التكنيك ده إنك متخفي تماما الضحية مش هيشوفك هو هيشوف الزومبي وكمان مفيش أي ترافيك بيرجعلك من الضحية وده بيخليك بعيد عن الأنظار
عشان تعمل الموضوع ده في nmap بتستخدم كوماند بسيط بتكتب
وهنا nmap هيبدأ يشتغل ويعمل سكان باستخدام الزومبي بدون ما الضحية يعرف إنك انت اللي ورا العملية
بس خلي بالك الموضوع ده ليه شوية عيوب أول حاجة إنك محتاج زومبي مناسب يعني جهاز يكون مش عليه ضغط ومش بيبعت ترافيك كتير عشان ip id يبقى سهل تتبعه وكمان لو الضحية عنده firewall قوي أو أنظمة حماية حديثة الموضوع ممكن يفشل
الفكرة إن التكنيك ده بيستخدم غالبا في ظروف معينة لما عايز تبقى متخفي تماما بس في نفس الوقت بقى مش قوي زي زمان مع الحمايات الجديدة
لو حابب تقرا الموضوع بتفصيل أكتر عندك الريسورس هنا: https://nmap.org/book/idlescan.html
فكرته إنك تقدر تعمل scan على جهاز الضحية من غير ما تبان إنك انت اللي بتعمل السكان
الطريقة بتعتمد على إنك تستخدم جهاز تالت اللي هو الزومبي يكون جهاز فاضي ومش بيعمل شغل كتير عشان تستغل حاجة اسمها ip id
اللي بيحصل إنك بتختار جهاز زومبي يكون ترافيكه قليل وهادي عشان الرقم اللي هو ip id بتاعه بيبقى ثابت أو بيزيد بشكل يعني سهل تتوقعه بعد كده بتستخدم الجهاز الزومبي كبروكسي
يعني كأنك بتبعت طلبات للضحية من خلاله الضحية هيشوف إن الطلبات جاية من الزومبي مش منك
لما تبعت للضحية لو البورت مفتوح الضحية هيرد على الزومبي والـ ip id بتاع الزومبي هيزيد أما لو البورت مقفول الضحية مش هيرد وبالتالي ip id بتاع الزومبي مش هيزيد هنا أنت تقارن الرقم قبل وبعد وتعرف البورت مفتوح ولا مقفول لو زاد يبقى مفتوح لو مفيش تغيير يبقى مقفول
الميزة في التكنيك ده إنك متخفي تماما الضحية مش هيشوفك هو هيشوف الزومبي وكمان مفيش أي ترافيك بيرجعلك من الضحية وده بيخليك بعيد عن الأنظار
عشان تعمل الموضوع ده في nmap بتستخدم كوماند بسيط بتكتب
nmap -sI بعد كده ip بتاع الزومبي وبعده ip بتاع الضحية مثال لو الزومبي ip بتاعه 192.168.1.10 والضحية 192.168.1.20 بتكتب Code:
nmap -sI 192.168.1.10 192.168.1.20بس خلي بالك الموضوع ده ليه شوية عيوب أول حاجة إنك محتاج زومبي مناسب يعني جهاز يكون مش عليه ضغط ومش بيبعت ترافيك كتير عشان ip id يبقى سهل تتبعه وكمان لو الضحية عنده firewall قوي أو أنظمة حماية حديثة الموضوع ممكن يفشل
لو حابب تقرا الموضوع بتفصيل أكتر عندك الريسورس هنا: https://nmap.org/book/idlescan.html