• السلام عليكم و رحمة الله
      سؤال من محتوى المحاضرة رقم 3.2 بخصوص كيف تكتشف الTCP RST Attack
      كنا نحكي أنه من خلال الMAC address بتقدر تحكم أنه المرسل أختلف و بتكون الPackets المرسلة واضحة أنها مصنعة.
      لكن سهل جداً أنك تصطنع MAC address بشبه ال MAC الخاص بالمرسل بهاي الحالة كيف بقدر أمسك هاي الpackets و أوقف الAttack.

      شكراً سلفاً.

      samisalih, Mohamed Hamouda و 3 آخرون
      4 تعليق
      • مرحبا مهندس

        فيه اداوات كتيره بتستخدم في مراكز العمليات الامنيه زي واير شارك

        وفيه البروكسي دا بيستخدم لتحليل اي حاجه في الHeader

        ips

        ids

        كل دا بيستخدم في عمل تصدي وكشف لاي هجوم بيحصل وبيعطيلك تقارير مفصله بكل شئ

        1
        • أهلاً مهندس
          نعم تحديداً أنا بحكي عن ال Wireshark
          اذا كان كل البيانات الموجودة بالHeader مصنعة (IP address src,dst,Port number src,dst,Sequence number ,MAC Address src.dst) ايش ممكن يدلني انه هاض attack

        • مرحبا, الباكت بتكون مقسمه جزئين (Header و Payload) .. جزء الـ Header يحتوي علي العناوين الخاصة بالارسال للجلسة مثل Source/Destination IP Address و Source/Destination Mac Address و Source/Destination Port Number و أيضا المهمين جدا Session Number و Sequence Number يتم الاتفاق عليهم عند عمل TCP Three Way Handshake مع الطرف الآخر .. يعنى الـ Packets الحقيقية يكون فيها الـ Sequence Number متزامن بالاتفاق مع الطرق الآخر لذلك بمنتهي البساطة عند عمل Artifcat لـ New Packet With Different Details Like Sequence Number or Winodw Size or Session Number وقتها تقدر أداة زي الـ Wireshark او أنظمة كشف الدخلاء زي الـ IPS/IDS انهم يكتشفوها بسهولة.

          • اهلاً مهندس أحمد و شكراً على ردك
            نعم لما يكون الSequence Number مختلف سهل جداً أنك تتحدد ال attack,
            ولكن بالحالة الي بقصدها حجم Windows Size ما بفرق لانه أنا أرسلت TCP RST Packet و بالتالي ما في Session Number

            بالصورة المرفقة
            اليمين بمثل تفاصيل TCP RST Packet عادية مش مصنعة
            و اليسار بمثل تفاصيل TCP RST Packet مصنعة وبهدف إنهاء الأتصال بين الطرفين
            الفرق بينهم كان Windows Size Scaling Factor