Netscan Abuse چیست و چطور جلوی آن را بگیریم؟

اگر شما از صاحبان سرور مجازی یا اختصاصی هستید و ایمیلی با عنوان «Netscan Abuse» دریافت کرده‌اید، این مطلب حتما برای شما مفید است.

Netscan چیست؟

Netscan مخفف Network Scanning به معنای اسکن شبکه است و می‌توان این طور تعریف کرد که NetScan برای شناسایی هاست ‌ها، پورت‌ها و سرویس‌هایی که در شبکه در حال اجرا هستند استفاده می‌شود و مهاجم به وسیله آن به اطلاعات ارزشمندی دست پیدا می کند. در واقع یکی از روش‌هایی است که هکرها با استفاده از آن آسیب‌پذیری‌های موجود در شبکه شما را شناسایی می‌کنند و از همان نقاط حمله را آغاز می‌کنند.

به هر حال فرقی ندارد که یک کسب‌وکار بزرگ دارید یا یک کسب‌وکار کوچک و نوپا، در هر صورت،  امنیت مساله‌ای است که همیشه باید به آن توجه کنید بنابراین در صورتی که اخطار Netscan Abuse را دریافت کرده‌اید، در اسرع وقت برای رفع آن اقدام کنید.

حالا که تا حدودی با Netscan آشنا شدیم، باید یادآوری کنیم که خیلی از سرویس‌دهنده‌ها به این موضوع حساس هستند؛ از جمله دیتاسنتر Hetzner. حساسیت در این دیتاسنتر به حدی بالاست که اگر مشکل شما حل نشود، سرور را مسدود می‌کنند!

در این دیتاسنتر آلمانی مانیتورینگ ترافیک‌ها امری همیشگی است و ترافیک‌هایی از جنس Netscan در چشم برهم زدنی مشخص می‌شوند. در ضمن، دیتاسنتر از خروج ترافیک‌های مشکوک هم جلوگیری می‌کند. پس اگر هکر هم باشید و فعالیت مشکوک شما توسط دیتاسنتر رصد شود، احتمال قطع دسترسی بالاست!

چگونه مشکل Netscan Abuse  را برطرف کنیم؟

نت اسکن شبکه روی سیستم‌عامل‌های مختلف مانند ویندوز، لینوکس، میکروتیک و … انجام می‌شود. برای برطرف کردن این مشکل یا جلوگیری از آن، رنج IP های Private باید در فایروال سرور مسدود شوند.

یک فایروال می تواند از دسترسی غیرمجاز به شبکه خصوصی یک کسب و کار جلوگیری کند. فایروال‌ها می توانند پورت ها و وضعیت آن‌ها را تشخیص دهد و همچنین هر گونه اسکن در حال اجرا را نیز شناسایی و خاموش کند.

اکثر روترهای با کیفیت دارای فایروال داخلی هستند اما توصیه می‌شود بر روی دستگاه‌های متصل به اینترنت، یک فایروال نرم افزاری نیز نصب کنید. این نوع فایروال‌ها، تهدیدهای خارجی را شناسایی می کنند و از هر گونه خطر حمله به پورت‌های پر ریسک جلوگیری می‌کنند. این کار باعث می‌شود که آسیب پذیری‌های شبکه در برابر مشکل   netscan  ناشی از حمله هکرها، کم‌تر شود.

رفع نت اسکن در 2 شبکه داخلی و خارجی انجام ‌می‌شود که هر دوی آن‌ها را به شما خواهیم آموخت.

رفع مشکل نت اسکن شبکه داخلی

نحوه مسدود کردن IP در فایروال ویندوز 10

1- Windows Firewall رو از کنترل پنل ویندوز 10 پیدا کنید

2- روی Advanced Settings کلیک کنید.

3- روی گزینه Inbound Rules در سمت چپ پنل کنید. حالا در قسمت راست پنل روی گزینه New Rule کلیک کنید.

4- روی گزینهCustom (Custom rule) کلیک کنید و Next را بزنید.

5- روی گزینه All Programs کلیک کنید و Next را بزنید.

6- در قسمت Protocols and Ports page بدون دستکاری روی گزینه Next کلیک کنید.

7- در این قسمت شما می‌توانید محدودۀ IP های خصوصی را بلاک کنید. تنها لازم است در بخش Which remote IP addresses does this rule apply to گزینه These IP addresses را انتخاب کرده و بر روی Add کلیک کنید و رنج IP های مورد نظر را اضافه کنید. سپس بر روی Next کلیک نمایید.

8- در این قسمت روی Block the connection کلیک کنید.

9- در این قسمت باید تیک تمامی گزینه ها خورده باشد و روی Next کلیک کنید.

10- در این‌جا یک نام برای این قانون برگزینید و روی دکمه Finish کلیک کنید.

نحوه مسدود کردن IP در فایروال سرور لینوکسی

بسته به نوع فایروال موجود در سرور لینوکسی خود، می‌توانید به صورت زیر اقدام کنید.

مسدودسازی private ip با فایروال ufw

ufw enable

ufw deny out from any to 10.0.0.0/8

ufw deny out from any to 172.16.0.0/12

ufw deny out from any to 192.168.0.0/16

ufw deny out from any to 100.64.0.0/10

مسدودسازی توسط فایروال iptables

iptables -A OUTPUT -p tcp -s 0/0 -d 10.0.0.0/8 -j DROP

iptables -A OUTPUT -p tcp -s 0/0 -d 172.16.0.0/12 -j DROP

iptables -A OUTPUT -p tcp -s 0/0 -d 192.168.0.0/16 -j DROP

iptables -A OUTPUT -p tcp -s 0/0 -d 100.64.0.0/10 -j DROP

iptables -A OUTPUT -p udp -s 0/0 -d 10.0.0.0/8 -j DROP

iptables -A OUTPUT -p udp -s 0/0 -d 172.16.0.0/12 -j DROP

iptables -A OUTPUT -p udp -s 0/0 -d 192.168.0.0/16 -j DROP

iptables -A OUTPUT -p udp -s 0/0 -d 100.64.0.0/10 -j DROP

iptables-save

 مسدودسازی در فایروال میکروتیک

/ip firewall address-list add list=RFC1918 address=10.0.0.0/8

/ip firewall address-list add list=RFC1918 address=172.16.0.0/12

/ip firewall address-list add list=RFC1918 address=192.168.0.0/16

/ip firewall address-list add list=RFC1918 address=100.64.0.0/10

/ip firewall filter add chain=output dst-address-list=RFC1918 action=drop

رفع مشکل نت اسکن شبکه خارجی

بررسی و رفع مشکل نت اسکن به شبکه خارجی، کمی مشکل‌تر از شبکه داخلی است و پیشنهاد می‌شود برای رفع این مشکل، از کارشناسان پشتیبانی شرکت کمک بگیرید؛ اما به صورت کلی بهتر است، در فایروال سرور، ابتدا پورت‌های مورد نیاز خود را باز کنید و سپس تمامی پورت‌های دیگر را ببندید.

برای بررسی و پیدا کردن ریشه مشکل نت اسکن، باید پراسس مربوطه که در حال انجام نت اسکن است را پیدا کنید و سپس اقدامات متناسب را انجام دهید. همچنین پیشنهاد می‌شود در سرور از آنتی ویروس یا آنتی شل‌هایی مانند imunify360 استفاده و اقدام به اسکن سرور خود کنید.

همچنین Hardening  سرور و بستن پورت ها و سرویس های غیر ضروری نیز در بالا بردن امنیت سرور شما کمک خواهد کرد. علاوه بر این‌ها، کانفیگ صحیح سرور و به‌روزرسانی سرویس‌های نصب شده در آن، برای بالا بردن امنیت سرور الزامی است.

در پایان…

لطفا تیکت‌هایی که با عنوان Netscan Abuse برای شما ارسال می‌شود را جدی بگیرید و آن را پیگیری کنید. علت مشکل را بررسی کنید و نسبت به رفع آن با توجه به آموزش‌های ارائه شده در این مقاله در اسرع وقت اقدام کنید.

درصورت نیاز به راهنمایی بیشتر با ما تماس بگیرید.