این دستور ike-scan است که می تواند در ارائه دهنده هاست رایگان OnWorks با استفاده از یکی از چندین ایستگاه کاری آنلاین رایگان ما مانند Ubuntu Online، Fedora Online، شبیه ساز آنلاین ویندوز یا شبیه ساز آنلاین MAC OS اجرا شود.
برنامه:
نام
ike-scan - میزبان های IKE را کشف و اثر انگشت (سرورهای IPsec VPN)
خلاصه
ike-scan [گزینه های] [میزبان...]
میزبان های هدف باید در خط فرمان مشخص شوند مگر اینکه --فایل گزینه مشخص شده است.
شرح
ike-scan میزبان های IKE را کشف می کند و همچنین می تواند با استفاده از ارسال مجدد از آنها انگشت نگاری کند
الگوی عقب نشینی
ike-scan دو کار انجام می دهد:
1) Discovery: تعیین کنید کدام میزبان IKE را اجرا می کند. این کار با نمایش آن ها انجام می شود
میزبان هایی که به درخواست های IKE ارسال شده توسط پاسخ می دهند ike-scan.
2) اثر انگشت: تعیین کنید که هاست از کدام پیاده سازی IKE استفاده می کند. وجود دارد
چندین راه برای انجام این کار: (الف) انگشت نگاری عقب - ثبت زمان های
بسته های پاسخ IKE از میزبان های هدف و مقایسه مشاهده شده
ارسال مجدد الگوی عقب نشینی در برابر الگوهای شناخته شده. (ب) انگشت نگاری شناسه فروشنده
- تطبیق شناسه های فروشنده خاص با الگوهای شناسه فروشنده شناخته شده؛ و سی)
کدهای پیام اختصاصی اطلاع رسانی
مفهوم اثرانگشت پس از انتقال مجدد با جزئیات بیشتر در UDP مورد بحث قرار گرفته است
کاغذ اثر انگشت پشتیبان که باید در کیت ike-scan گنجانده شود udp-backoff-
انگشت نگاری-paper.txt.
این برنامه درخواست های IKE Phase-1 را به هاست های مشخص شده ارسال می کند و هر پاسخی را نمایش می دهد
که دریافت می شوند. برای مقابله با بسته، تلاش مجدد و ارسال مجدد را با backoff انجام می دهد
ضرر - زیان. همچنین مقدار پهنای باند استفاده شده توسط بسته های IKE خروجی را محدود می کند.
IKE پروتکل تبادل کلید اینترنت است که مبادله کلید و احراز هویت است
مکانیزم استفاده شده توسط IPsec. تقریباً تمام سیستمهای VPN مدرن IPsec را پیادهسازی میکنند، و بسیار زیاد
اکثر VPN های IPsec از IKE برای تبادل کلید استفاده می کنند.
Phase-1 دو حالت دارد: حالت اصلی و حالت تهاجمی. ike-scan هم از Main و هم پشتیبانی می کند
حالت تهاجمی، و به طور پیش فرض از حالت اصلی استفاده می کند. RFC 2409 (IKE) بخش 5 مشخص می کند که
حالت اصلی باید پیاده سازی شود، بنابراین می توان از همه پیاده سازی های IKE انتظار داشت
پشتیبانی از حالت اصلی
OPTIONS
--کمک or -h
این پیام استفاده را نمایش دهید و از آن خارج شوید.
--file= or -f
به جای دستور، نام هاست یا آدرس ها را از فایل مشخص شده بخوانید
خط یک نام یا آدرس IP در هر خط. برای ورودی استاندارد از "-" استفاده کنید.
--ورزش= or -s
پورت منبع UDP را روی آن تنظیم کنید ، پیش فرض = 500، 0 = تصادفی. برخی از پیاده سازی های IKE
از کلاینت می خواهد که از پورت منبع UDP 500 استفاده کند و با پورت های دیگر صحبت نمی کند.
توجه داشته باشید که معمولاً برای استفاده از پورت های منبع غیرصفر، امتیازات ابرکاربر مورد نیاز است
زیر 1024. همچنین تنها یک فرآیند در یک سیستم ممکن است به یک پورت منبع معین متصل شود
هر بار استفاده از گزینه --nat-t پورت منبع پیش فرض را به 4500 تغییر می دهد
--dport= or -d
پورت مقصد UDP را روی ، پیش فرض = 500. پورت UDP 500 پورت اختصاص داده شده است
شماره برای ISAKMP و این پورتی است که توسط اکثر پیاده سازی های IKE استفاده می شود.
استفاده از گزینه --nat-t پورت مقصد پیش فرض را به 4500 تغییر می دهد
-- دوباره امتحان کنید = or -r
تعداد کل تلاشها را برای هر میزبان تنظیم کنید ، پیش فرض = 3.
--تایم اوت= or -t
زمان اولیه هر میزبان را روی ms، پیش فرض = 500. این تایم اوت برای اولین بار است
بسته ارسال شده به هر میزبان تایم اوت های بعدی در ضریب بازگشت ضرب می شوند
که با --backoff تنظیم شده است.
--پهنای باند= or -B
پهنای باند خروجی دلخواه را روی ، پیش فرض=56000 مقدار بر حسب بیت است
دوم به صورت پیش فرض اگر "K" را به مقدار اضافه کنید، واحدها کیلوبیت در هر هستند
دومین؛ و اگر "M" را به مقدار اضافه کنید، واحدها مگابیت بر ثانیه هستند. در
پسوندهای "K" و "M" نشان دهنده اعشار و نه باینری هستند. بنابراین 64K است
64000 نه 65536
--فاصله= or -i
حداقل فاصله بسته را روی اماس. فاصله بسته کمتر از
این شماره. فاصله زمانی مشخص شده به طور پیش فرض بر حسب میلی ثانیه است. اگر "u" باشد
به مقدار اضافه می شود، آنگاه فاصله بر حسب میکروثانیه است و اگر «s» باشد
ضمیمه شده، فاصله بر حسب ثانیه است. اگر می خواهید از پهنای باند مشخصی استفاده کنید،
سپس استفاده از گزینه --bandwidth به جای آن آسانتر است. شما نمی توانید هر دو را مشخص کنید
--فاصله و --پهنای باند زیرا آنها فقط راه های متفاوتی برای تغییر یکسان هستند
متغیر زیربنایی
--backoff= or -b
فاکتور عقب نشینی تایم اوت را روی , default=1.50 تنظیم کنید. زمان پایان هر میزبان است
ضرب در این ضریب پس از هر بازه زمانی. بنابراین، اگر تعداد تلاش های مجدد 3 باشد،
تایم اوت اولیه هر میزبان 500 میلیثانیه و ضریب عقبنشینی 1.5 است، سپس اولین
تایم اوت 500 میلی ثانیه، دومی 750 میلی ثانیه و سومی 1125 میلی ثانیه خواهد بود.
-- پرحرف or -v
نمایش پیام های پیشرفت مفصل برای تاثیر بیشتر از یک بار استفاده کنید: 1 - نمایش
زمانی که هر پاس تکمیل می شود و زمانی که بسته هایی با کوکی های نامعتبر دریافت می شوند. 2
- نمایش هر بسته ارسال و دریافت شده و زمانی که هاست ها از لیست حذف می شوند. 3 -
قبل از شروع اسکن، میزبان، شناسه فروشنده و لیست های عقب نشینی را نمایش دهید.
--ساکت or -q
بسته برگشتی را رمزگشایی نکنید. این اطلاعات پروتکل کمتری را چاپ می کند
خطوط خروجی کوتاه تر هستند.
--چند خطی or -M
رمزگشایی محموله را در چندین خط تقسیم کنید. با این گزینه، رمزگشایی برای
هر بار در یک خط جداگانه که با یک TAB شروع می شود چاپ می شود. این گزینه می سازد
خواندن خروجی آسان تر است، به خصوص زمانی که بارهای زیادی وجود دارد.
--طول عمر= or -l
طول عمر IKE را روی ثانیه، پیشفرض=28800 تنظیم کنید. RFC 2407 28800 را به عنوان مشخص می کند
به طور پیش فرض، اما برخی از پیاده سازی ها ممکن است به مقادیر متفاوتی نیاز داشته باشند. اگر مشخص کنید
این به عنوان یک عدد صحیح اعشاری، به عنوان مثال 86400، سپس ویژگی از یک 4 بایت استفاده خواهد کرد.
ارزش. اگر آن را به عنوان یک عدد هگز، به عنوان مثال 0xFF مشخص کنید، از ویژگی استفاده خواهد شد
مقدار اندازه مناسب (یک بایت برای این مثال). اگر رشته را مشخص کنید
"none" پس هیچ ویژگی طول عمری به هیچ وجه اضافه نخواهد شد. می توانید از این گزینه استفاده کنید
بیش از یک بار در رابطه با گزینه های --trans برای تولید چندگانه
تبدیل محموله ها با طول عمر متفاوت هر گزینه --trans از
مقدار طول عمر مشخص شده قبلی
--lifesize= or -z
اندازه واقعی IKE را روی کیلوبایت تنظیم کنید ، پیش فرض = 0. اگر این را به صورت اعشاری مشخص کنید
عدد صحیح، به عنوان مثال 86400، سپس ویژگی از یک مقدار 4 بایت استفاده می کند. اگر مشخص کنید
آن را به عنوان یک عدد هگز، به عنوان مثال 0xFF، سپس ویژگی از اندازه مناسب استفاده می کند
مقدار (یک بایت برای این مثال). شما می توانید از این گزینه بیش از یک بار استفاده کنید
همراه با گزینه های --trans برای تولید بارهای تبدیل چندگانه با
اندازه های مختلف زندگی هر گزینه --trans از موارد مشخص شده قبلی استفاده می کند
ارزش اندازه واقعی
--auth= or -m
تنظیم تأیید. روش به ، پیش فرض = 1 (PSK). مقادیر تعریف شده RFC 1 تا 5 است. RFC را ببینید
2409 ضمیمه الف. حالت ترکیبی نقطه بازرسی 64221 است. GSS (Windows "Kerberos") است
65001. XAUTH از 65001 تا 65010 استفاده می کند. این برای IKEv2 قابل اجرا نیست.
- نسخه or -V
نمایش نسخه برنامه و خروج.
--فروشنده= or -e
رشته شناسه فروشنده را روی مقدار هگز تنظیم کنید . شما می توانید از این گزینه بیش از یک بار استفاده کنید
ارسال بارهای چندگانه شناسه فروشنده
--trans= or -a
از تبدیل سفارشی استفاده کنید به جای تنظیم پیش فرض شما می توانید از این گزینه بیشتر از
یک بار برای ارسال تعداد دلخواه تبدیل سفارشی. دو راه وجود دارد
specify the transform: راه جدید، که در آن جفتهای ویژگی/مقدار را مشخص میکنید،
و روش قدیمی که در آن مقادیر یک لیست ثابت از ویژگی ها را مشخص می کنید. برای
روش جدید، تبدیل به صورت (attr=value، attr=value، ...) مشخص شده است.
در جایی که "attr" شماره ویژگی است و "value" مقداری است که باید به آن اختصاص دهیم
صفت. می توانید تعداد دلخواه جفت ویژگی/مقدار را مشخص کنید. RFC را ببینید
2409 پیوست A برای جزئیات ویژگی ها و مقادیر. توجه داشته باشید که براکت ها هستند
مخصوص برخی از پوسته ها، بنابراین ممکن است لازم باشد آنها را نقل قول کنید، به عنوان مثال
--trans="(1=1,2=2,3=3,4=4)". For example, --trans=(1=1,2=2,3=1,4=2) specifies
Enc=3DES-CBC، Hash=SHA1، Auth=کلید مشترک، DH Group=2; و
--trans=(1=7,14=128,2=1,3=3,4=5) Enc=AES/128, Hash=MD5, Auth=RSA sig, DH را مشخص می کند.
گروه=5. برای روش قدیمی، تبدیل به عنوان مشخص شده است
enc[/len],hash,auth,group. در جایی که enc الگوریتم رمزگذاری است، len کلید است
طول برای رمزهای با طول متغیر، هش الگوریتم هش است و گروه DH است
گروه به عنوان مثال، --trans=5,2,1,2 Enc=3DES-CBC، Hash=SHA1، Auth=shared را مشخص می کند.
کلید، DH Group=2; و --trans=7/256,1,1,5 Enc=AES-256، Hash=MD5 را مشخص می کند،
Auth=کلید مشترک، DH Group=5. این گزینه هنوز برای IKEv2 پشتیبانی نمی شود.
--showbackoff[= ] or -o[ ]
جدول اثر انگشت پشتیبان را نمایش دهید. نمایش جدول پشتیبان به اثر انگشت
پیاده سازی IKE در هاست های راه دور آرگومان اختیاری زمان را مشخص می کند
منتظر ماندن در ثانیه پس از دریافت آخرین بسته، پیش فرض = 60. اگر استفاده می کنید
شکل کوتاه گزینه (-o) سپس مقدار باید بلافاصله از گزینه پیروی کند
حرف بدون فاصله، به عنوان مثال -o25 نه -o 25.
--fuzz= or -u
تنظیم الگوی تطبیق فاز به ms، پیش فرض = 500. این حداکثر میزان قابل قبول را تعیین می کند
تفاوت بین زمان بازگشت مشاهده شده و زمان مرجع در
فایل الگوهای عقب نشینی مقادیر بزرگتر امکان واریانس بالاتر را فراهم می کند اما همچنین افزایش می یابد
خطر شناسایی مثبت کاذب هر نوع fuzz برای هر الگوی ورودی
مشخصات موجود در فایل الگوها مقدار تنظیم شده در اینجا را لغو می کند.
--الگوها= or -p
از فایل الگوهای عقب نشینی IKE استفاده کنید ، پیش فرض=/usr/local/share/ike-scan/ike-backoff-
الگوها این نام فایل حاوی الگوهای عقب نشینی IKE را مشخص می کند.
این فایل فقط زمانی استفاده می شود که --showbackoff مشخص شده باشد.
--vidpatterns= or -I
از فایل الگوهای شناسه فروشنده استفاده کنید ، پیش فرض=/usr/local/share/ike-scan/ike-vendor-ids.
این نام فایل حاوی الگوهای شناسه فروشنده را مشخص می کند. این الگوها
برای انگشت نگاری ID فروشنده استفاده می شود.
--خشونت آمیز or -A
از حالت تهاجمی IKE استفاده کنید (حالت پیشفرض حالت اصلی است) اگر --aggressive را مشخص کنید،
سپس می توانید --dhgroup، --id و --idtype را نیز تعیین کنید. اگر از سفارشی استفاده می کنید
با حالت تهاجمی با گزینه --trans تبدیل می شود، توجه داشته باشید که همه تبدیل می شوند
باید همان DH Group را داشته باشد و این باید با گروه مشخص شده مطابقت داشته باشد
--dhgroup یا پیش فرض اگر --dhgroup استفاده نمی شود.
--id= or -n
استفاده کنید به عنوان ارزش شناسایی این گزینه فقط برای Aggressive قابل استفاده است
حالت می تواند به عنوان یک رشته، به عنوان مثال --id=test یا به عنوان یک مقدار هگز با a مشخص شود
پیشرو "0x"، به عنوان مثال --id=0xdeadbeef.
--idtype= or -y
از نوع شناسایی استفاده کنید . پیشفرض 3 (ID_USER_FQDN). این گزینه فقط
قابل اجرا در حالت تهاجمی برای جزئیات شناسایی به RFC 2407 4.6.2 مراجعه کنید
انواع.
--dhgroup= or -g
از گروه Diffie Hellman استفاده کنید . پیش فرض 2. این گزینه فقط برای
حالت تهاجمی و IKEv2. برای هر دوی اینها، برای تعیین اندازه استفاده می شود
محموله تعویض کلید اگر از حالت تهاجمی با تبدیل های سفارشی استفاده می کنید، پس
شما معمولاً باید از گزینه --dhgroup استفاده کنید مگر اینکه از حالت پیش فرض استفاده کنید
گروه DH. مقادیر قابل قبول 1,2,5,14,15,16,17,18،XNUMX،XNUMX،XNUMX،XNUMX،XNUMX،XNUMX،XNUMX (فقط MODP) هستند.
--gssid= or -G
از GSS ID استفاده کنید جایی که یک رشته شش گوش است. این از نوع ویژگی تبدیل 16384 استفاده می کند
همانطور که در draft-ietf-ipsec-isakmp-gss-auth-07.txt مشخص شده است، اگرچه Windows-2000
مشاهده شده است که از 32001 نیز استفاده می کند. برای ویندوز 2000، باید از آن استفاده کنید
--auth=65001 برای تعیین احراز هویت Kerberos (GSS).
--تصادفی or -R
لیست میزبان را تصادفی کنید. این گزینه ترتیب میزبان ها را به صورت تصادفی در هاست نشان می دهد
فهرست، بنابراین کاوشگرهای IKE به ترتیب تصادفی به میزبان ها ارسال می شوند. از Knuth استفاده می کند
الگوریتم زدن
--tcp[= ] or -T[ ]
از انتقال TCP به جای UDP استفاده کنید. این به شما امکان می دهد میزبانی را که IKE را اجرا می کند آزمایش کنید
TCP شما معمولاً به این گزینه نیاز نخواهید داشت زیرا اکثریت قریب به اتفاق IPsec
سیستم ها فقط از IKE از طریق UDP پشتیبانی می کنند. مقدار اختیاری نوع را مشخص می کند
IKE از طریق TCP. در حال حاضر دو مقدار ممکن وجود دارد: 1 = RAW IKE بیش از TCP به عنوان
استفاده شده توسط Checkpoint (پیش فرض)؛ 2 = IKE کپسوله شده روی TCP همانطور که توسط سیسکو استفاده می شود. اگر
شما از شکل کوتاه گزینه (-T) استفاده می کنید، سپس مقدار باید بلافاصله
حرف گزینه را بدون فاصله دنبال کنید، به عنوان مثال -T2 نه -T 2. شما فقط می توانید a را مشخص کنید
اگر از این گزینه استفاده می کنید میزبان تک هدف.
--tcptimeout= or -O
مدت زمان اتصال TCP را روی تنظیم کنید ثانیه (پیش فرض = 10). این فقط برای
حالت انتقال TCP
--pskcrack[= ] or -پ[ ]
کلیدهای از پیش مشترک حالت تهاجمی را بشکنید. این گزینه حالت تهاجمی را خروجی می دهد
پارامترهای کلید مشترک (PSK) برای کرک کردن آفلاین با استفاده از برنامه "psk-crack"
که با ike-scan عرضه می شود. شما می توانید به صورت اختیاری یک نام فایل را مشخص کنید، ، به
پارامترهای PSK را بنویسید. اگر نام فایلی را مشخص نکردهاید، پس PSK
پارامترها در خروجی استاندارد نوشته می شوند. اگر از فرم کوتاه استفاده می کنید
گزینه (-P) سپس مقدار باید بلافاصله از حرف گزینه با شماره پیروی کند
فضاها، به عنوان مثال فایل -Pfile نه -P. شما فقط می توانید یک هاست هدف واحد را مشخص کنید
از این گزینه استفاده کنید این گزینه فقط برای حالت تهاجمی IKE قابل استفاده است.
--نود or -N
از DNS برای حل نام ها استفاده نکنید. اگر از این گزینه استفاده می کنید، پس همه هاست ها باید باشند
به عنوان آدرس IP مشخص شده است.
--noncelen= or -c
طول nonce را روی بایت ها Default=20 این گزینه طول آن را کنترل می کند
محموله nonce که در حالت تهاجمی یا درخواست IKEv2 ارسال می شود. به طور معمول
نیازی به استفاده از این گزینه نیست مگر اینکه بخواهید اندازه nonce را کاهش دهید
سرعت شکستن کلید از قبل به اشتراک گذاشته شده را افزایش دهید، یا اگر می خواهید ببینید چگونه یک سرور خاص
بارهای غیر یکسان با طول های مختلف را مدیریت می کند. RFC 2409 بیان می کند که طول nonce
محموله باید بین 8 تا 256 بایت باشد، اما ike-scan این را اعمال نمی کند.
تعیین طول nonce بزرگ، اندازه بسته ارسال شده توسط ike- را افزایش می دهد.
اسکن کنید. یک طول غیرانسی بسیار بزرگ ممکن است باعث تکه تکه شدن یا تجاوز از حداکثر IP شود
اندازه بسته این گزینه فقط برای حالت تهاجمی IKE قابل استفاده است.
--headerlen= or -L
طول هدر ISAKMP را روی آن تنظیم کنید بایت ها می توانید از این گزینه برای
مقدار مورد استفاده برای طول هدر ISAKMP را به صورت دستی مشخص کنید. به صورت پیش فرض،
ike-scan مقدار صحیح را پر می کند. از این گزینه برای تعیین دستی an استفاده کنید
طول نادرست را می توان به عنوان "+n" تعیین کرد که طول را به n بایت تنظیم می کند
بیشتر از آنچه که باید باشد، "-n" که آن را روی n بایت کمتر تنظیم می کند، یا "n" که آن را بر روی
دقیقا بایت تغییر طول هدر به مقدار نادرست گاهی اوقات می تواند
سرورهای VPN را مختل کند.
--mbz= or -Z
از مقدار استفاده کنید برای فیلدهای رزرو شده (MBZ)، پیش فرض = 0. با مشخص کردن این گزینه
بسته خروجی را با RFC سازگار نمی کند و فقط در صورت تمایل باید از آن استفاده کرد
ببینید چگونه یک سرور VPN به بسته های نامعتبر پاسخ می دهد. ارزش باید باشد
در محدوده 0-255.
--headerver= or -E
نسخه هدر ISAKMP را مشخص کنید. پیشفرض 0x10 (16) است که با آن مطابقت دارد
نسخه 1.0. تعیین یک مقدار غیر پیش فرض، بسته خروجی را غیر RFC می کند
سازگار است و فقط در صورتی باید استفاده شود که بخواهید ببینید سرور VPN چگونه به آن واکنش نشان می دهد
نسخه های عجیب و غریب مقدار باید در محدوده 0-255 باشد.
--certreq= or -C
بار بار CertificateRequest را اضافه کنید . باید به عنوان یک مقدار هگز مشخص شود.
اولین بایت از مقدار هگز به عنوان نوع گواهی تفسیر می شود. را
بایت های باقی مانده به عنوان مرجع گواهی همانطور که در RFC 2408 3.10 توضیح داده شده است. در
انواع گواهینامه در RFC 2408 sec 3.9 فهرست شده است. RFC 2048 بیان می کند "گواهی
درخواست بار باید در هر نقطه از مبادله پذیرفته شود"
--doi= or -D
SA DOI را روی ، پیش فرض 1 (IPsec). شما معمولاً نمی خواهید تغییر کنید
این مگر اینکه بخواهید ببینید سرور VPN چگونه به یک DOI غیر استاندارد پاسخ می دهد.
--وضعیت= or -S
وضعیت SA را روی ، پیش فرض 1. معنای وضعیت بستگی به
DOI، و در سند DOI مناسب به تفصیل آمده است. برای IPsec DOI،
وضعیت پیش فرض 1 نشان دهنده SIT_IDENTITY_ONLY است. شما معمولا نمی خواهید
این را تغییر دهید مگر اینکه بخواهید ببینید سرور VPN به یک غیر استاندارد چگونه پاسخ می دهد
وضعیت.
--پروتکل= or -j
شناسه پروتکل پیشنهادی را روی آن تنظیم کنید ، پیش فرض 1. معنای پیشنهاد
شناسه پروتکل به DOI بستگی دارد و در سند DOI مناسب به تفصیل آمده است.
برای IPsec DOI، شناسه پروتکل پیشنهادی پیشفرض 1 نشاندهنده PROTO_ISAKMP است.
شما معمولاً نمی خواهید این را تغییر دهید مگر اینکه بخواهید ببینید سرور VPN چگونه است
به شناسه پروتکل غیر استاندارد پاسخ می دهد.
--transid= or -k
Transform ID را روی ، پیش فرض 1. معنای شناسه تبدیل بستگی به
DOI، و در سند DOI مناسب به تفصیل آمده است. برای IPsec DOI،
شناسه تبدیل پیش فرض 1 نشان دهنده KEY_IKE است. شما معمولاً نمی خواهید تغییر کنید
این مگر اینکه بخواهید ببینید سرور VPN چگونه به یک تبدیل غیر استاندارد پاسخ می دهد
شناسه.
--spisize=
اندازه SPI پیشنهادی را روی . Default=0 اگر این غیر صفر است، یک SPI تصادفی است
اندازه مشخص شده به بار پیشنهادی اضافه می شود. پیش فرض صفر است
یعنی بدون SPI.
--hdrflags=
پرچمهای هدر ISAKMP را روی آن تنظیم کنید . Default=0 پرچم ها در RFC 2408 به تفصیل آمده است
بخش 3.1
--hdrmsgid=
شناسه پیام هدر ISAKMP را روی آن تنظیم کنید . Default=0 این باید برای IKE صفر باشد
فاز 1.
--کوکی=
کوکی آغازگر ISAKMP را روی آن تنظیم کنید مقدار کوکی باید به صورت هگز مشخص شود.
به طور پیش فرض، کوکی ها به طور خودکار تولید می شوند و مقادیر منحصر به فردی دارند. اگر شما
این گزینه را مشخص کنید، سپس فقط می توانید یک هدف را مشخص کنید، زیرا ike-scan
برای مطابقت با بسته های پاسخ، به مقادیر کوکی منحصر به فردی نیاز دارد.
--تبادل =
نوع تبادل را روی این گزینه به شما امکان می دهد تا نوع تبادل را در آن تغییر دهید
هدر ISAKMP به یک مقدار دلخواه. توجه داشته باشید که ike-scan فقط از Main و پشتیبانی می کند
حالت های تهاجمی (به ترتیب مقادیر 2 و 4). تعیین مقادیر دیگر خواهد بود
مقدار نوع تبادل را در هدر ISAKMP تغییر دهید، اما دیگری را تنظیم نمی کند
محموله ها انواع تبادل در RFC 2408 sec 3.1 تعریف شده است.
--nextpayload=
بار بعدی را در هدر ISAKMP روی تنظیم کنید به طور معمول، بار بعدی است
به طور خودکار مقدار صحیح را تنظیم کنید.
--تصادفی=
استفاده کنید برای ایجاد اعداد تصادفی شبه. این گزینه PRNG را بذر می کند
با شماره مشخص شده، که اگر می خواهید اطمینان حاصل کنید که می تواند مفید باشد
دادههای بسته زمانی دقیقاً قابل تکرار هستند که شامل محمولههایی با دادههای تصادفی باشند
به عنوان تعویض کلید یا بدون. به طور پیشفرض، PRNG با یک غیرقابل پیشبینی تخمین زده میشود
ارزش.
--مهر زمان
نمایش مهرهای زمانی برای بسته های دریافتی این گزینه باعث می شود تا یک مهر زمانی باشد
برای هر بسته دریافتی نمایش داده می شود.
--sourceip=
آدرس IP منبع را برای بسته های خروجی روی . این گزینه باعث خروجی می شود
بسته های IKE برای داشتن آدرس IP منبع مشخص شده. آدرس می تواند یک باشد
آدرس IP در قالب چهار نقطه نقطه، یا رشته "تصادفی" که از یک متفاوت استفاده می کند
آدرس منبع تصادفی برای هر بسته ای که ارسال می شود. در صورت استفاده از این گزینه خیر
بسته ها دریافت خواهند شد این گزینه به پشتیبانی سوکت خام نیاز دارد و شما نیاز خواهید داشت
امتیاز superuser برای استفاده از این گزینه، حتی اگر یک پورت منبع بالا را مشخص کنید.
این گزینه در همه سیستم عامل ها کار نمی کند.
- نشان داده شده
نمایش شماره میزبان برای بسته های دریافتی. این میزبان ترتیبی را نمایش می دهد
شماره میزبان پاسخ دهنده قبل از آدرس IP. هنگام ارسال می تواند مفید باشد
بسیاری از بسته ها به همان IP هدف، برای مشاهده اینکه آیا هر کدام از پروب ها نادیده گرفته می شوند.
--nat-t
از RFC 3947 NAT-Traversal encapsulation استفاده کنید. این گزینه نشانگر غیر ESP را به آن اضافه می کند
آغاز بسته های خروجی و آن را از بسته های دریافتی جدا می کند، همانطور که توضیح داده شد
در RFC 3947. همچنین پورت منبع پیش فرض را به 4500 و پیش فرض تغییر می دهد
پورت مقصد به 4500 که پورت های NAT-T IKE هستند. این شماره پورت ها
را می توان با گزینه های --sport و --dport تغییر داد، مشروط بر اینکه بعد از آن استفاده شود
گزینه --nat-t.
--rcookie=
کوکی پاسخ دهنده ISAKMP را روی آن تنظیم کنید . این کوکی پاسخگو را روی مقدار تنظیم می کند
مقدار هگز مشخص شده به طور پیش فرض، کوکی پاسخ دهنده روی صفر تنظیم شده است.
--ikev2 or -2
استفاده از IKE نسخه 2 این باعث می شود بسته های خروجی از فرمت IKEv2 همانطور که تعریف شده است استفاده کنند
در RFC 4306 به جای فرمت پیش فرض IKEv1. هر بسته بازگردانده شده است
به طور خودکار به عنوان IKE یا IKEv2 رمزگشایی می شود، بسته به بارهای آنها صرف نظر از آنها
این گزینه گزینه --ikev2 در حال حاضر آزمایشی است. نبوده است
به طور گسترده آزمایش شده است، و فقط از ارسال پیشنهاد پیش فرض پشتیبانی می کند.
از ike-scan آنلاین با استفاده از خدمات onworks.net استفاده کنید
