-




كيفية اكتشاف NMAP المسح الضوئي باستخدام الشخير



سنناقش اليوم كيفية الكشف عن مسح NMAP باستخدام Snort ولكن قبل المضي قدمًا ، تفضل بقراءة كلا مادتي كلتا الشركتين إلى تثبيت Snort ( يدويًا أو استخدام apt-respiratory ) وتهيئة القاعدةالخاصة به لتمكينه كمعرف IDS لشبكتك .
أساسا في هذه المقالة نقوم باختبار Snort ضد NMAP المسح الضوئي المختلفة والتي سوف تساعد محلل أمن الشبكات لإعداد قاعدة الشخير في مثل هذه الطريقة بحيث تصبح على بينة من أي نوع من المسح NMAP.
المتطلبات
المهاجم: كالي لينكس (NMAP Scan)
الهدف: Ubuntu (Snort as IDS)
اختياري: Wireshark (قمنا بإضافته في البرنامج التعليمي الخاص بنا حتى نتمكن من تأكيد جميع حزم الشبكة الواردة والصادرة بوضوح)
دعونا نبدأ!

التعرف على NMAP Ping Scan

كما نعلم ، سيبدأ أي مهاجم بالهجوم عن طريق تحديد حالة المضيف عن طريق إرسال حزمة ICMP باستخدام فحص ping. لذلك كن ذكيا وأضف قاعدة في الشخير التي ستحلل محلل NMAP Ping عند قيام شخص ما بمحاولة فحص شبكتك لتحديد المضيف الحي للشبكة.
تنفيذ الأمر الوارد أدناه في محطة أوبونتو لفتح ملف القاعدة المحلية الشخير في محرر النص.
sudo gedit /etc/snort/rules/local.rules
أضف الآن السطر الموضح أدناه الذي سيسجل حركة المرور الواردة على شبكة 192.168.1.105 (ubuntu IP) لبروتوكول ICMP.
alert icmp any any -> 192.168.1.105 أي (msg: “NMAP ping sweep Scan”؛ dsize: 0؛ sid: 10000004؛ rev: 1؛)
قم بتشغيل وضع IDS من snort بتنفيذ الأمر المعطى أدناه في المحطة الطرفية:
sudo snort -A console -q -u snort -g snort -c /etc/snort/snort.conf -i eth0
الآن باستخدام آلة مهاجمة تنفيذ أمر معين أدناه لتحديد حالة الماكينات المستهدفة أي أن المضيف هو UP أو Down.
nmap -sP 192.168.1.105 –disable-arp-ping
إذا كنت ستنفذ أمرًا أعلى من دون معلمة "تعطيل ARP-ping" ، فستعمل كمسح ضوئي تفحص ping افتراضي والذي سيرسل حزم arp على الرغم من إرسال ICMP على شبكة الأهداف وقد يكون snort غير قادر على التقاط NMAP Ping في ذلك sinario ، لذلك كان لدينا استخدام المعلمة "تعطيل ARP بينغ" في الأمر أعلاه.
كما ذكر أعلاه لماذا نحن نشارك wireshark في هذا البرنامج التعليمي حتى تتمكن من رؤية بوضوح يرسل حزمة شكل شبكة المهاجم لأهداف الشبكة. ومن ثم في الصورة الموضحة أدناه ، يمكنك ملاحظة حزمة طلب ICMP بالإضافة إلى رزم الرد الخاصة بـ ICMP وهما جزء من حركة مرور الشبكة.
ارجع إلى جهازك المستهدف حيث يلتقط الشخير كل شيء في المرور المرتقب هنا ، وسوف تلاحظ أنه يقوم بتوليد تنبيه لـ NMAP Ping Sweep scan. وبالتالي يمكنك منع IP المهاجم لحماية الشبكة من مزيد من المسح.

تحديد NMAP TCP Scan

الآن للتواصل مع الشبكة المستهدفة ، قد ينتقل المهاجم مع تعداد الشبكات إما باستخدام بروتوكول TCP أو بروتوكول UDP. لنفترض أن المهاجم قد يختار مسح TCP لتعداد الشبكة ، وفي هذه الحالة يمكننا تطبيق القاعدة التالية في ملف القاعدة المحلية snort.
تنبيه tcp أي -> 192.168.1.105 22 (msg: "NMAP TCP Scan" ؛ sid: 10000005 ؛ rev: 2؛)
القاعدة أعلاه قابلة للتطبيق فقط على المنفذ 22 ، لذا إذا كنت تريد مسح أي منفذ آخر ثم استبدال 22 من المنفذ الذي تريد مسحه ضوئيًا آخر ، يمكنك أيضًا استخدام "أي" لتحليل كافة المنافذ. تمكين وضع NIDS من الشخير كما فعلت أعلاه.
الآن مرة أخرى باستخدام آلة المهاجم تنفيذ الأمر المذكور أدناه لمسح TCP على المنفذ 22.
nmap -sT -p22 192.168.1.105
من الصورة الموضحة أدناه ، يمكنك ملاحظة أن wireshark قد التقطت حزم TCP من 192.168.1.104 إلى 192.168.1.105
هنا يمكنك التأكد من أن القناص يعمل بشكل كامل عندما يقوم المهاجم بمسح المنفذ 22 باستخدام nmap TCP scan ويعرض IP للمهاجم من حيث تأتي حركة المرور على المنفذ 22. لذلك يمكنك منع IP هذا لحماية الشبكة من الفحص الإضافي.

التعرف على NMAP XMAS Scan

كما نعلم أن اتصال TCP يتبع بثلاث اتجاهات إلى اتصال TCP الثابت مع الجهاز المستهدف ولكن في بعض الأحيان بدلاً من استخدام SYN / SYN / ACK أو ACK ، يقوم مهاجم العلم باختيار فحص XMAS للتواصل مع الهدف عن طريق إرسال حزم البيانات من خلال إشارات Fin و PSH و URG.
 لنفترض أن المهاجم قد يختار مسح XMAS لتعداد الشبكة ، وفي هذه الحالة يمكننا تطبيق القاعدة التالية في ملف قاعدة الشفرة المحلية.
تنبيه tcp أي -> 192.168.1.105 22 (msg: "Nmap XMAS Tree Scan" ؛ الأعلام: FPU ؛ sid: 1000006 ؛ rev: 1؛)
مرة أخرى فوق القاعدة تنطبق فقط على المنفذ 22 الذي سيستمع إلى حركة المرور الواردة عندما تأتي الحزم من أعلام Fin و PSH و URG. إذا كنت تريد مسح أي منفذ آخر ثم استبدال 22 من المنفذ الذي تريد مسحه ضوئيًا ، يمكنك أيضًا استخدام "أي" لتحليل جميع المنافذ. تمكين وضع NIDS من الشخير كما فعلت أعلاه.
الآن مرة أخرى باستخدام آلة المهاجم تنفيذ الأمر المذكور أدناه لمسح XMAS على المنفذ 22.
nmap -sX -p22 192.168.1.105
من الصورة الموضحة أدناه ، يمكنك ملاحظة أن wireshark تعرض 2 حزمة من آلة المهاجم إلى الجهاز المستهدف تم إرسالها باستخدام FIN ، PSH ، أعلام URG.
ارجع إلى جهازك المستهدف حيث يلتقط الشخير كل شيء في حركة المرور القادمة هنا ، وسوف تلاحظ أنه يقوم بتوليد تنبيه لـ NMAP XMAP scan. وبالتالي يمكنك منع IP المهاجم لحماية الشبكة من مزيد من المسح.

تحديد NMAP FIN Scan

بدلاً من استخدام SYN و SYN / ACK وعلامة ACK إلى اتصال TCP الثابت مع الجهاز الهدف ، قد يختار المهاجم فحص FIN للتواصل مع الهدف عن طريق إرسال حزم البيانات من خلال علامات Fin فقط.
 لنفترض أن المهاجم قد يختار فحص FIN لتعداد الشبكة ، وفي هذه الحالة ، يمكننا تطبيق القاعدة التالية في ملف القاعدة المحلية snort.
تنبيه tcp أي -> 192.168.1.1045 22 (msg: "Nmap FIN Scan" ؛ الأعلام: F ؛ sid: 1000008 ؛ rev: 1؛)
مرة أخرى فوق القاعدة تنطبق فقط على المنفذ 22 الذي سيستمع إلى حركة المرور الواردة عندما تأتي الحزم من Fin Flags. لذلك إذا كنت تريد مسح أي منفذ آخر ثم استبدال 22 من المنفذ الذي تريد مسحه ضوئيًا آخر ، يمكنك أيضًا استخدام "أي" لتحليل كافة المنافذ. تمكين وضع NIDS من الشخير كما فعلت أعلاه.
الآن مرة أخرى باستخدام آلة المهاجم تنفيذ الأمر المحدد أدناه لفحص FIN على المنفذ 22.
nmap -sF -p22 192.168.1.105
من الصورة الموضحة أدناه ، يمكنك ملاحظة أن wireshark تعرض رزمتين من آلة المهاجم إلى الجهاز المستهدف تم إرسالها باستخدام أعلام FIN.
ارجع إلى جهازك المستهدف حيث يلتقط الشخير كل شيء في المرور المرتقب هنا ، وسوف تلاحظ أنك تولد تنبيهًا لفحص NMAP FIN. وبالتالي يمكنك منع IP المهاجم لحماية الشبكة من مزيد من المسح.

التعرف على NMAP NULL Scan

بدلاً من استخدام SYN و SYN / ACK وعلامة ACK إلى اتصال TCP تأسيس مع الجهاز الهدف قد المهاجم باختيار مسح NULL للاتصال مع الهدف عن طريق إرسال حزم البيانات من خلال علامات NONE فقط.
 لنفترض أن المهاجم قد يختار فحص FIN لتعداد الشبكة ، وفي هذه الحالة ، يمكننا تطبيق القاعدة التالية في ملف القاعدة المحلية snort.
تنبيه tcp أي -> 192.168.1.105 22 (msg: "Nmap NULL Scan" ؛ الأعلام: 0 ؛ sid: 1000009 ؛ rev: 1؛)
مرة أخرى فوق القاعدة تنطبق فقط على المنفذ 22 الذي سيستمع إلى حركة المرور الواردة عندما تأتي الحزم من NONE Flags. لذلك إذا كنت تريد مسح أي منفذ آخر ثم استبدال 22 من المنفذ الذي تريد مسحه ضوئيًا آخر ، يمكنك أيضًا استخدام "أي" لتحليل كافة المنافذ. تمكين وضع NIDS من الشخير كما فعلت أعلاه.
الآن مرة أخرى باستخدام آلة المهاجم تنفيذ الأمر المحدد أدناه لمسح NULL على المنفذ 22.
nmap -sN -p22 192.168.1.105
من الصورة الموضحة أدناه ، يمكنك ملاحظة أن wireshark يعرض 2 حزمة من آلة المهاجم إلى الجهاز المستهدف تم إرسالها باستخدام أعلام NONE.
ارجع إلى جهازك المستهدف حيث يلتقط الشخير كل شيء في المرور المرتقب هنا ، وسوف تلاحظ أنه يولد تنبيهًا لـ NMAP Null scan. وبالتالي يمكنك منع IP المهاجم لحماية الشبكة من مزيد من المسح.

تحديد NMAP UDP Scan

من أجل تحديد منفذ UDP مفتوح وقد يقوم مهاجم خدمات التشغيل باختيار NMAP UDP scan لإنشاء اتصال مع الجهاز المستهدف لتعداد الشبكة ، وفي هذه الحالة يمكننا تطبيق القاعدة التالية في ملف القاعدة المحلية snort.
alert UDP any any -> 192.168.1.105 68 (msg: ”Nmap UDPScan”؛ sid: 1000010؛ rev: 1؛)
مرة أخرى فوق القاعدة تنطبق فقط على المنفذ 68 الذي سيستمع إلى حركة المرور الواردة عندما تأتي الحزم من NONE Flags. لذلك إذا أردت مسح أي منفذ آخر ثم استبدال 68 من المنفذ الذي تريد مسحه ضوئيًا آخر ، يمكنك أيضًا استخدام "أي" لتحليل كافة المنافذ. تمكين وضع NIDS من الشخير كما فعلت أعلاه.
الآن مرة أخرى باستخدام آلة المهاجم تنفيذ الأمر المحدد أدناه لمسح NULL على المنفذ 22.
nmap -sU -p68 192.168.1.105
من الصورة الموضحة أدناه ، يمكنك ملاحظة أن wireshark يعرض 2 علبة من آلة المهاجم إلى الجهاز المستهدف تم إرسالها عبر منفذ UDP.
ارجع إلى جهازك المستهدف حيث يلتقط الشخير كل شيء في المرور المرتقب هنا ، وسوف تلاحظ أنك تولد تنبيهًا لفحص NMAP UDP. وبالتالي يمكنك منع IP المهاجم لحماية الشبكة من مزيد من المسح.
المؤلف:  AArti سينغ هو باحث وكاتب فني في القرصنة مقالات مستشار أمن المعلومات وسائل الاعلام الاجتماعية العشاق والأدوات. اتصل  هنا
الوظائف ذات الصلة Plugin for WordPress و Blogger ...

Commentaires

Enregistrer un commentaire

Posts les plus consultés de ce blog

-
Image
Dumpzilla - استخراج جميع معلومات الطب الشرعي مثيرة للاهتمام من متصفحات فايرفوكس ، Iceweasel و Seamonkey Dumpzilla الموقع الرسمي   : [www.dumpzilla.org] (   http://www.dumpzilla.org   "موزيلا متصفح   الطب الشرعي   أداة") Manual   : [Español] (   http://dumpzilla.org/Manual_dumpzilla_es.txt   "Manual en español de dumpzilla") / [إنجليزي] (   http://dumpzilla.org/Manual_dumpzilla_en.txt   "Dumpzilla english Manual") SO   : يونكس / وين لقطات الشاشة   : [Dummpzilla] (   http://dumpzilla.org/Screenshots/screenshots.html   "لقطات شاشة dumpzilla") تم تطوير تطبيق Dumpzilla في بيثون 3.x و له استخراج الغرض وجميع معلومات مثيرة للاهتمام الطب الشرعي من فايرفوكس، Iceweasel وسيمانكي   المتصفحات   لتحليلها.   نظرًا لتطويره في Python 3.x ، فقد لا يعمل بشكل صحيح في إصدارات Python القديمة ، خاصة مع بعض الأحرف.   يعمل تحت أنظمة Unix و   Windows   32/64 بت. يعمل في   واجهة   سطر الأوامر   ، بحيث يمكن إعادة توجيه عمليات تفريغ المعلوم
Lire la suite
-
Image
Ethereum Classic (ETC) تم تسجيله بواسطة هجوم مضاعف بقيمة 1.1 مليون دولار لماذا هذا الهجوم يتعلق؟  أسفرت عملية السرقة عن خسارة بقيمة 1.1 مليون دولار من عملة  Classic الرقمية.  انخفضت العملة الرقمية على الفور في السعر بعد صدور الخبر.  كشفت Coinbase يوم الاثنين أنها حددت "إعادة تنظيم سلسلة عميقة" من blockchain Ethereum الكلاسيكية (أو هجوم 51 في المئة من الشبكة) ، مما يعني أن شخص ما يسيطر على غالبية عمال المناجم على الشبكة (أكثر من 50 ٪) قد تعديل تاريخ المعاملة. بعد إعادة تنظيم blockchain Ethereum ، كان المهاجمون قادرين على ما يطلق عليه "إنفاق مزدوج" حول 219،500 ETC باستعادة العملات التي تم صرفها من قبل من المستلمين الشرعيين ونقلهم إلى كيانات جديدة اختارها المهاجمون (عادة ما تكون محفظة في سيطرتهم). "لاحظنا تكرار إعادة تنظيم عميقة من blockchain Ethereum الكلاسيكية، ومعظمها الواردة ضعف تنفق" قال المهندس الأمن Coinbase كافة نيسبيت في  بلوق وظيفة  .  "القيمة الإجمالية للإنفاق المزدوج الذي لاحظناه حتى الآن هي
Lire la suite
-
Image
Metasploit 5.0 - إطار اختبار الاختراق الأكثر استخدامًا في  العالم المعرفة قوة ، خاصة عندما تكون مشتركة. يساعد التعاون بين مجتمع المصدر المفتوح و Rapid7 ، Metasploit فرق الأمان على القيام بأكثر من مجرد التحقق من نقاط الضعف ، وإدارة تقييمات الأمان ، وتحسين الوعي الأمني ​​؛ إنه يمنح المدافعين عن الأسلحة ويبقون على الدوام خطوة واحدة (أو اثنتين) قبل المباراة. أعلنت Rapid7 عن إطلاق Metasploit 5.0 ، الإصدار الجديد يتضمن العديد من الميزات الجديدة الهامة ، وتعتقد الشركة أنه سيكون أسهل في الاستخدام وأكثر قوة. Metasploit هو إطار اختبار الاختراق الأكثر استخدامًا ولديه أكثر من 1500 وحدة تقدم وظائف تغطي كل مرحلة من مراحل اختبار الاختراق ، مما يجعل حياة اختبار الاختراق أسهل نسبيًا. تتضمن أهم التغييرات التي تم إدخالها في Metasploit 5.0 على قواعد بيانات جديدة وأوتومات واجهات برمجة التطبيقات التلقائية ، ووحدات التهرب والمكتبات ، ودعم اللغة ، وتحسين الأداء. Metasploit 5.0 متوفر حاليًا من مشروع GitHub الرسمي. يقول Rapid7 إنه في
Lire la suite