Idlescan, és ami mögötte van #1

Első körben az nmap küld egy halom SYN/ACK keretet az eszköznek (amiből majd a zombie gép lesz), és figyeli az RST válaszokat (itt az IPID értéke az érdekes, ennek következetesen növekvőnek kell lennie). Ekkor még nincs semmiféle kommunikáció a célgéppel!
iz_1A trace kimenet, figyeljük meg az IPID értékének növekedését (jobb olvashatóság miatt formáztam a kimenetet egy kicsit):

Source           Destination      Summary 
-----------------------------------------------------------------------------------------
[192.168.0.10]   [192.168.0.100]  IP:  D=[192.168.0.100] S=[192.168.0.10]  LEN=20 ID=1592
[192.168.0.100]  [192.168.0.10]   IP:  D=[192.168.0.10]  S=[192.168.0.100] LEN=20 ID=0994 <--
[192.168.0.10]   [192.168.0.100]  IP:  D=[192.168.0.100] S=[192.168.0.10]  LEN=20 ID=2012
[192.168.0.100]  [192.168.0.10]   IP:  D=[192.168.0.10]  S=[192.168.0.100] LEN=20 ID=0995 <--
[192.168.0.10]   [192.168.0.100]  IP:  D=[192.168.0.100] S=[192.168.0.10]  LEN=20 ID=9228
[192.168.0.100]  [192.168.0.10]   IP:  D=[192.168.0.10]  S=[192.168.0.100] LEN=20 ID=0996 <--
[192.168.0.10]   [192.168.0.100]  IP:  D=[192.168.0.100] S=[192.168.0.10]  LEN=20 ID=5056
[192.168.0.100]  [192.168.0.10]   IP:  D=[192.168.0.10]  S=[192.168.0.100] LEN=20 ID=0997 <--
[192.168.0.10]   [192.168.0.100]  IP:  D=[192.168.0.100] S=[192.168.0.10]  LEN=20 ID=6306
[192.168.0.100]  [192.168.0.10]   IP:  D=[192.168.0.10]  S=[192.168.0.100] LEN=20 ID=0998 <--
[192.168.0.10]   [192.168.0.100]  IP:  D=[192.168.0.100] S=[192.168.0.10]  LEN=20 ID=1468
[192.168.0.100]  [192.168.0.10]   IP:  D=[192.168.0.10]  S=[192.168.0.100] LEN=20 ID=0999 <--

Miután a forrásgép és a leendő zombie gép közt a kommunikáció sikeres volt, az NMAP meghamisítja az IP címet a célállomás részére, és kommunikációt még 4 alkalommal megismétli. A trace filet megvizsgálva észrevehetjük, hogy a forrás cím hamisításra került (a célgép IP címét vette fel), és erre az IP címre válaszol a zombie gép! A forrásgép SOHA nem látja a visszakapott válaszokat!
iz_2

Source           Destination      Summary 
-----------------------------------------------------------------------------------------
[192.168.0.200]  [192.168.0.100]  IP:  D=[192.168.0.100] S=[192.168.0.200] LEN=20 ID=3940
[192.168.0.100]  [192.168.0.200]  IP:  D=[192.168.0.200] S=[192.168.0.100] LEN=20 ID=1000 <--
[192.168.0.200]  [192.168.0.100]  IP:  D=[192.168.0.100] S=[192.168.0.200] LEN=20 ID=8034
[192.168.0.100]  [192.168.0.200]  IP:  D=[192.168.0.200] S=[192.168.0.100] LEN=20 ID=1001 <--
[192.168.0.200]  [192.168.0.100]  IP:  D=[192.168.0.100] S=[192.168.0.200] LEN=20 ID=3069
[192.168.0.100]  [192.168.0.200]  IP:  D=[192.168.0.200] S=[192.168.0.100] LEN=20 ID=1002 <--
[192.168.0.200]  [192.168.0.100]  IP:  D=[192.168.0.100] S=[192.168.0.200] LEN=20 ID=3373
[192.168.0.100]  [192.168.0.200]  IP:  D=[192.168.0.200] S=[192.168.0.100] LEN=20 ID=1003 <--

Mivel a forrásgéphez nem érkeznek meg a csomagok, az nmap nem tudja megállapítani, hogy a hamisítás megfelelően működött. Ezért az nmap lekérdezi a zombie gépet, hogy frissítse az IPID értéket:
iz_3

Source           Destination      Summary 
---------------------------------------------------------------------------------------
[192.168.0.10]   [192.168.0.100]  IP:  D=[192.168.0.100] S=[192.168.0.10] LEN=20 ID=6267
[192.168.0.100]  [192.168.0.10]   IP:  D=[192.168.0.10] S=[192.168.0.100] LEN=20 ID=1004 <--

Az IPID értéke 1004, amire vártunk 😀 Most, hogy az IPID elemzés befejeződött, az nmap elkezdheti a célgép szkennelését.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s