مرکز آموزش

1. دولت هاست
2. مرکز آموزش
3. سرور مجازی و اختصاصی
4. رفع مشکل سرور ابیوز در هتزنر

نت اسکن یا اسکن شبکه به عملی گفته می‌شود که برای یافتن پورت‌های آزاد و در دسترس شبکه انجام می‌دهیم. این عملیات می‌تواند به صورت دستی یا خودکار به منظور اجرای اهداف مختلف انجام شود. یکی از رایج‌ترین اهداف آن، یافتن راه نفوذ به شبکه یا سرور است. شخصی که به دنبال راه نفوذ به شبکه باشد، اقدام به اسکن پورت‌های رندوم می‌کند و با یافتن پورت‌های در دسترس شبکه می‌تواند اطلاعات کامل‌تری از شبکه شما به دست آورد و پس از آن اقدامات بعدی خود را انجام می‌دهد.

انواع نت اسکن

نت اسکن شبکه داخلی: اگر عملیات نت اسکن روی IPهایی با ماهیت خصوصی (IP Private) انجام شود، به آن نت اسکن شبکه داخلی گفته می‌شود.

طبق استاندارد RFC 1918 رنج IP های زیر جزو آدرس‌های رزرو شده برای شبکه خصوصی هستند:

10.0.0.0/8

172.16.0.0/12

192.168.0.0/16

100.64.0.0/10

نت اسکن شبکه خارجی:‌ زمانی که ترافیک نت اسکن از سرور شما به سمت IPهای شبکه داخلی نیست و در واقع، اسکن روی IPهای عمومی (Public IP) انجام شود، به آن نت اسکن شبکه خارجی گفته می‌شود.

عوامل ایجاد نت اسکن

ممکن است برنامه‌ای که تابه‌حال با آن کار نکرده‌اید را به تازگی نصب کرده باشید و این برنامه به دلیل ماهیتی که دارد، در حال اسکن IPهای فعال در یک محدوده IP باشد.

ممکن است شما روی سرور خود، Docker راه‌اندازی کرده باشید و تنظیمات آن به گونه‌ای انجام شده باشد که ماشین‌های فعال در یک رنج IP جستجو کند.

همچنین در صورتی که شما از سرور خود جهت VPN استفاده می‌کنید، اگر Pool IP شما IP‌های زیادی را شامل می‌شود، به احتمال زیاد نت اسکن بر روی این پول در سرور شما در حال انجام است.

از جمله عوامل دیگر نت اسکن، وجود Botnet یا Malware روی سرور شما است و یا در صورتی که کاربران با استفاده از پروتکلی مانند vpn یا پروکسی از اینترنت سرور شما استفاده می‌کنند، آلوده بودن موبایل، سیستم یا شبکه کاربر نیز می‌تواند باعث ارسال ترافیک نت اسکن توسط سرور شما به بیرون یا شبکه داخلی شود.

مشکلات نت اسکن برای سرور شما

۱. ایجاد هزینه مالی

ابتدایی‌ترین مشکلی که این موضوع در سرور شما ایجاد می‌کند، استفاده از پهنای باند و پردازنده سرویس شما برای کاربرهای ناخواسته شما است.

طبیعتا شما سروری برای استفاده مورد نظر خود تهیه کرده‌اید و اینکه منابع شما صرف استفاده‌ای بجز مورد دلخواه شما شود، چندان خوش‌آیند نخواهد بود و حتی می‌تواند باعث صرف  هزینه بیشتر برای شما شود.

۲. محدودیت دسترسی موقت یا دائمی به سرور

ارسال شکایت یا Abuse توسط دیتاسنتر یا در مواقع نادر، توسط نهادهای امنیتی و دولت به علت ارسال ترافیک نت اسکن توسط سرور شما، یکی از رایج‌ترین مشکلاتی است که برای شما بوجود خواهد آمد.

عموما دیتاسنترها برای جلوگیری از ایجاد ترافیک اسپم در شبکه خود به صورت دائم در حال مانیتور پهنای باند و شبکه‌شان هستند و از این طریق، فورا به سرویس‌هایی که در حال انجام نت اسکن هستند، پی خواهند برد.

در این مواقع، با ارسال Abuse به کاربر اخطار داده و در صورت عدم رفع مشکل در بازه زمانی ذکر شده در متن Abuse، اقدام به مسدودسازی سرویس خواهند کرد.

از جمله دیتاسنترهایی که موضوع نت اسکن را با حساسیت بسیار بالایی پیگیری می‌کنند، می‌توان به دیتاسنتر Hetzner اشاره کرد که عموما برای رفع مشکل نت اسکن توسط کاربر، بیش از چند ساعت مهلت نداده و اقدام به مسدودسازی سرویس کاربر می‌کنند.

راه‌حل جلوگیری یا رفع نت اسکن در سرور

نت اسکن شبکه روی سیستم‌عامل‌های مختلف مانند ویندوز، لینوکس، میکروتیک و … انجام می‌شود.

جلوگیری یا رفع نت اسکن شبکه داخلی

برای رفع مشکل، در ابتدا می‌توانید توسط فایروال سیستم‌عامل، ترافیک خروجی از سرور به سمت رنج‌های IP Private را محدود و در ادامه ریشه ایجاد مشکل را جستجو کنید.

برای مسدودسازی رنج‌های ذکر شده در بخش بالا این مقاله، بسته به نوع فایروال موجود در سرور لینوکسی خود، می‌توانید به صورت زیر اقدام کنید.

مسدودسازی private ip با فایروال ufw:

ufw enable

ufw deny out from any to 10.0.0.0/8

ufw deny out from any to 172.16.0.0/12

ufw deny out from any to 192.168.0.0/16

ufw deny out from any to 100.64.0.0/10

ufw deny out from any to 141.101.0.0/16

ufw deny out from any to 173.245.0.0/16

sudo ufw reload

موارد فوق بصورت نمونه است و شما باید فایل Abuse Message.txt که از دیتاسنتر ارسال شده را باز کرده و رنج آی پی و سابنت را مطابق خطوط بالا ایجاد کنید.

به عنوان مثال گزارشی بصورت زیر ارسال می شود:

> Mon Jul  3 21:58:43 2023 TCP   78.46.124.156 35762 =>    141.101.78.5 443 
> Mon Jul  3 21:58:45 2023 TCP   78.46.124.156 35762 =>    141.101.78.5 443 
> Mon Jul  3 21:58:43 2023 TCP   78.46.124.156 48134 =>   141.101.78.10 443
> Mon Jul  3 21:58:45 2023 TCP   78.46.124.156 36696 =>  141.101.79.221 443 

برای محدود کردن این رنج آی پی از سایت IP Subnet Calc سابنت را بسازید. مثلا برای مورد بالا 141.101.0.0/16 خواهد بود. معمولا نت اسکن ها به دو رنج آی پی متفاوت و تغییرات دو رقم سمت راست یعنی سابنت 16 انجام می شود.

مسدودسازی توسط فایروال iptables:

iptables -A OUTPUT -p tcp -s 0/0 -d 10.0.0.0/8 -j DROP

iptables -A OUTPUT -p tcp -s 0/0 -d 172.16.0.0/12 -j DROP

iptables -A OUTPUT -p tcp -s 0/0 -d 192.168.0.0/16 -j DROP

iptables -A OUTPUT -p tcp -s 0/0 -d 100.64.0.0/10 -j DROP

iptables -A OUTPUT -p udp -s 0/0 -d 10.0.0.0/8 -j DROP

iptables -A OUTPUT -p udp -s 0/0 -d 172.16.0.0/12 -j DROP

iptables -A OUTPUT -p udp -s 0/0 -d 192.168.0.0/16 -j DROP

iptables -A OUTPUT -p udp -s 0/0 -d 100.64.0.0/10 -j DROP

iptables-save

 مسدودسازی در فایروال میکروتیک:

/ip firewall address-list add list=RFC1918 address=10.0.0.0/8

/ip firewall address-list add list=RFC1918 address=172.16.0.0/12

/ip firewall address-list add list=RFC1918 address=192.168.0.0/16

/ip firewall address-list add list=RFC1918 address=100.64.0.0/10

/ip firewall filter add chain=output dst-address-list=RFC1918 action=drop

 

پس از اضافه کردن رول باید سرویس را ریستارت کنید تا اعمالش شود.

با دستورات زیر سرویس را ریستارت فایروال را غیرفعال یا فعال می توانید کنید:

sudo ufw status verbose

sudo ufw reload

sudo ufw disable

sudo ufw enable

باز کردن پورت های لازم روی فایروال

اگر پورت ssh و یا پورت غیر ضروری دیگر را لازم دارید تا روی فایروال باز شود باید از دستور زیر استفاده کنید:

2222 بصورت مثال شماره پورت است، به جای این عدد پورتی که نیاز دارید باز شود را جایگزین کنید.

sudo ufw allow 2222/tcp

نصب آنتی ویروس

بهتر است آنتی ویروس رایگان و قوی clamAV را که رایگان هم است روی سرور خود و یکبار اسکن کنید.

آموزش نصب آنتی ویروس رایگان clamAV