منطق شناسایی پورت اسکن nmap

💬 سوال: منطق شناسایی پورت اسکن nmap

درک منطق شناسایی پورت و سرویس توسط NMap بسیار مهم است. در اینجا به زبان ساده و کامل توضیح میدهم که NMap چگونه این کار را انجام میدهد.

منطق کلی شناسایی پورت در NMap

NMap برای شناسایی پورت ها از یک فرآیند چند مرحلهای استفاده میکند که ترکیبی از ارسال بسته های خاص و تجزیه و تحلیل پاسخ ها است. این فرآیند را میتوان به صورت زیر خلاصه کرد:

1. ارسال بسته (Probe): NMap یک یا چند بسته شبکه (پکت) به پورت هدف میفرستد.
2. دریافت پاسخ (Response): پاسخ پورت (یا عدم پاسخ) دریافت میشود.
3. تطبیق الگو (Matching): پاسخ دریافتی با پایگاه داده داخلی NMap (که حاوی الگوهای پاسخ هزاران سرویس است) مقایسه میشود.
4. نتیجهگیری (Conclusion): بر اساس تطابق، وضعیت پورت (باز، بسته، فیلتر شده و…) و احتمالاً نام سرویس تشخیص داده میشود.

مراحل و تکنیک های شناسایی

کشف میزبان (Host Discovery)

قبل از اسکن پورت، NMap ابتدا بررسی میکند که آیا میزبان اصلاً در شبکه alive است یا خیر. این کار با ارسال بستههایی مثل:

• ICMP Echo Request (پینگ)
• TCP SYN به پورت ۸۰ یا ۴۴۳
• ACK به یک پورت تصادفی
  انجام میشود. اگر پاسخی دریافت کند، اسکن پورت ادامه مییابد.

تشخیص وضعیت پورت (Port States)

NMap پورتها را در یکی از ۶ حالت زیر دستهبندی میکند:

• Open (باز): یک سرویس/اپلیکیشن روی این پورت در حال گوش دادن (listening) است و آماده دریافت اتصال یا داده است.
• Closed (بسته): پورت قابل دسترسی است، اما هیچ سرویسی روی آن در حال گوش دادن نیست. (مثلاً فایروال میزبان اجازه دسترسی میدهد اما هیچ برنامهای از آن پورت استفاده نمیکند).
• Filtered (فیلتر شده): معمولاً یک فایروال یا دیوار آتش (Firewall) مانع از رسیدن بستههای NMap به پورت شده است. NMap پاسخ دریافت نکرده و مطمئن نیست که پورت باز است یا بسته.
• Unfiltered (غیرفیلتر شده): پورت قابل دسترسی است، اما NMap نمیتواند تشخیص دهد که باز است یا بسته. این حالت معمولاً در اسکنهای ACK رخ میدهد.
• Open|Filtered (باز یا فیلتر شده): NMap نمیتواند بین این دو حالت تمایز قائل شود. این اتفاق زمانی میافتد که پورت پاسخی ارسال نکند (مثل پورتهای فیلتر شده) اما برخی سرویسها (مثل UDP یا IP پروتکل) به طور عادی هم پاسخی نمیدهند.
• Closed|Filtered (بسته یا فیلتر شده): بسیار نادر است و زمانی رخ میدهد که NMap نتواند بین این دو حالت تمایز قائل شود.

تکنیک های اسکن (Scan Techniques)

NMap برای تشخیص وضعیت پورت ها از تکنیک های مختلفی استفاده میکند که هر کدام منطق خاص خود را دارند:

اسکن SYN (-sS) – اسکن استیلث (Stealth):

• منطق: NMap یک بسته SYN (برای شروع handshake سه مرحلهای TCP) میفرستد.
• اگر پورت باز باشد، پاسخ SYN/ACK میدهد. NMap بلافاصله connection را با ارسال RST میبندد (اتصال کامل نمیشود، hence “نیمهباز”).
• اگر پورت بسته باشد، پاسخ RST میدهد.
• اگر پاسخی نبود، پورت filtered در نظر گرفته میشود.

کاربرد: پیشفرض NMap برای کاربران عادی. سریع و کمجنجال است.

اسکن Connect (-sT):

• منطق: مانند یک کلاینت عادی، handshake سه مرحلهای TCP را به طور کامل انجام میدهد (SYN -> SYN/ACK -> ACK).
• کاربرد: اگر کاربری دسترسی raw socket نداشته باشد (مثلاً در ویندوز بدون مجوز Administrator)، NMap به اجبار از این روش استفاده میکند. noisyتر است.

اسکن UDP (-sU):

• منطق: NMap یک بسته UDP خالی (یا حاوی payload خاص) به پورت هدف میفرستد.

اگر پورت باز باشد، اکثر سرویسها پاسخی نمیدهند! بنابراین اگر پاسخی نبود، NMap ممکن است پورت را open|filtered اعلام کند. برای تشخیص، پورت را چند بار اسکن میکند.

• اگر پورت بسته باشد، اغلب یک پیغام ICMP “port unreachable” دریافت میکند.
• کاربرد: شناسایی سرویس های UDP مانند DNS (53), DHCP (67,68), SNMP (161). بسیار کند است.

اسکن های دیگر (برای عبور از فایروال)

• اسکن FIN (-sF), Xmas (-sX), NULL (-sN): بستههایی با flagهای غیرعادی میفرستند. برخی فایروال ها این بسته ها را فیلتر نمیکنند، اما سیستم هدف طبق RFC به پورتهای بسته، RST و به پورت های باز، پاسخی نمیدهد.
• اسکن ACK (-sA): برای نقشهبرداری از قوانین فایروال استفاده میشود. با تحلیل پاسخ RST یا عدم پاسخ، میتواند بفهمد فایروال stateful است یا خیر.

شناسایی سرویس و نسخه (Service and Version Detection -sV)

این قویترین ویژگی NMap است. پس از پیدا کردن پورتهای باز، NMap میتواند سرویس دقیق و نسخه آن را شناسایی کند.

منطق:

• NMap به هر پورت باز، یک سری probe (بستههای حاوی payloadهای خاص) میفرستد. این پروب ها برای برانگیختن پاسخهای قابل تشخیص از سرویس ها طراحی شدهاند.
• پاسخ دریافت شده (مثلاً SSH-2.0-OpenSSH_8.4p1) با پایگاه داده عظیم nmap-service-probes مقایسه میشود.
• اگر پاسخ با یک الگو (regex) در پایگاه داده مطابقت داشته باشد، نام سرویس، نسخه، اطلاعات جزئیتر و حتی اطلاعات سیستم عامل (مثلاً Windows 10 vs Linux) استخراج میشود.
• مثال: ارسال یک پروب HTTP به پورت ۸۰ ممکنه پاسخ HTTP/1.1 200 OK Server: nginx/1.18.0 را برگرداند. NMap این پاسخ را میخواند و سرویس را nginx 1.18.0 گزارش میکند.

تشخیص سیستم عامل (OS Detection -O)

NMap با ارسال یک سری بسته TCP/UDP و تحلیل اثر انگشت (fingerprint) پاسخهای میزبان، سیستم عامل آن را حدس میزند. این اثر انگشت شامل مواردی مانند:

• مقدار TTL اولیه بسته پاسخ
• اندازه پنجره TCP (TCP Window Size)
• TCP Options و ترتیب آنها
• رفتار سیستم در برابر بسته های خاص
  است. این مشخصات برای هر سیستم عامل (و حتی نسخه های مختلف) منحصر به فرد است.

….