السلام عليكم معكم المهندس محمد خريشة في دورة الهاكر الأخلاقي، درس اليوم عن تقنيات فحص الشبكات Port Scanning ، ولكن قبل ذلك سنقوم مراجعة ما قمنا به سابقاً.
مراجعة لمفهوم Port Scanning
تحدثنا في درس سابق عن أهمية Port Scanning وقلنا إنها عملية فحص جميع المنافذ المفتوحة والمغلق على عدة أجهزة موجودة على شبكة ما.
والبورت يمكن أن يقوم بنقل البيانات بإحدى بروتوكولين من بروتوكولات نقل البيانات عبر الشبكة وهما TCP و UDP والفرق بينهما.
وتحدثنا عن المنافذ أنها البوابة التي يمكن من خلالها إختراق الأجهزة عبر الشبكة.
اليوم سنوضح عدة تقنيات من فحص الشبكات، التي تتم عبر الشبكة. وسنقوم بالفحص باستخدام البروتوكولين.
فحص المنافذ والخدمات بطريقة Scanning TCP Services
هناك العديد من التقنيات ويمكن تصنيفها إلى :
Open TCP Scanning Methods
فحص اتصال TCP، أي فحص المنافذ Port Scanning بالفحص المفتوح. يستخدم هذا النوع عبر الشبكة تقنية 3 way handshaking التي تستخدم في بدء عملية الاتصال في اتصال TCP.
عند الاتصال عبر الشبكة ببروتوكول TCP يتم قبله الاتصال ب 3 way handshaking وهذا النوع من أنواع الفحص يفحص المنافذ المغلقة والمفتوحة عن طريق هذا الأمر.
يتميز هذا النوع من الفحص أن جهاز المخترق لا يحتاج أن يملك صلاحيات Admin أو Root لكن من سيئاته أن أي عملية فحص سيتم تسجيلها على الجهاز الذي تم فحصه.
يقوم جهاز المهاجم بإرسال حزمة إلى منفذ ليفحصه، إذا تمت عملية 3 way handshaking بشكل كامل هذا يعني أن المنفذ مفتوح، وإن لم يصل من الهدف أي شيء فيعني ذلك أن المنفذ مغلق.
Stealth TCP scanning Methods
مثل:
Half-open Scan
يعني يقوم بنصف عملية ، بمعنى أن جهاز المهاجم يرسل حزمة على المنفذ الهدف، إذا استجاب جهاز الهدف يعني أنه مفتوح وسيرسل المهاجم Reset packet.
وذلك حتى لا يكمل عملية 3 way handshaking ولا يتم تسجيل عملية فحصه في الجهاز الهدف، وسيحاول تجاوز بعض عمليات Logging في الهدف.
وفي حال المنف مغلق، سيرسل Reset Packet من الهدف إلى المهاجم والمهاجم سيعلم بأن المنفذ مغلق.
سيئات عملية الفحص هذه أن المهاجم عليه تنفيذ العملي بصلاحيات أدمن أو روت، حسب نظام التشغيل.
Xmas Scan
وهي تقنية فحص شجرة عيد الميلاد بإرسال حزمة TCp وبداخلها أعلام FIN و URG و PUSH وقيمتهم واحد.
فإذا وصلت الحزمة للهدف، فلن يفهمها، ولن يجب على المهاجم وهذا يعني أن المنفذ مفتوح. أما إذا رد ب Reset فهذا يعني أن المنفذ مغلق.
من سيئات هذا النوع من الفحص أنه لا يعمل إلا على أنظمة تشغيل متعاملة مع المقاييس الخاصة TCP/IP والتي هي RFC793. وهي لينكس أما نظام ويندوز فلا يعمل معه.
وهذا النوع أيضاً تسللي بحيث أنه لا يعمل Logging لعمليات الفحص التي يقوم بها. ويحاول إخفاء هوية من قام بالفحص أو أن هناك عملية قامت أساساً.
Inverse TCP Flag Scan و Null Scan
يشبه Xmas Scan ولكنه يتم فيه عمل Reset لواحد من الأعلام التي قيمتها واحد، فإما يرسل حزمة FIN أو URG أو PUSH . أو الجميع أصفار.
فإن كانت قيمة FIN واحد فيصبح إسم الفحص FIN Scanning وكذلك الأمر بالنسبة للبقية، ولكن إن أرسلنا كل الأعلام بقيمة أصفار فنسميه Null Scan.
فإن لم يصل أي شيء فهذا يعني أن المنفذ مفتوح، أما إذا وصل Reset فهذا يعني أن المنفذ مغلق.
وهذا النوع من الفحص لا يعمل إلا على أنظمة التشغيل المتعاملة مع TCP/IP والتي هي RFC793. بمعنى أنها لا تعمل مع نظام ويندوز.
ووظيفتها أن يحاول المخترق إخفاء عمليات الفحص عن الهدف بحيث الهدف لا يقوم ب Logging لهذه العمليات.
ACK Flag Probe Scan
وهذا يختلف قليلاً عن الأنواع السابقة، حيث أن المهاجم يرسل TCP Packet وفيها علم ACK، وقيمته واحد والباقي أصفار.
والرد الذي يصل من الهدف يقوم بتحليله، فالحزمة التي تصل تحوي حقلين TTL و Window، ويحدد من خلالهما إذا كان المنفذ مفتوح أو مغلق.
إذا كانت قيمة حقل TTL أقل من 64 فالمنفذ مفتوح، وإن كانت أكبر فيذهب إلى window فإن كانت صفر يعني المنفذ مغلق. وإن كانت ليست صفر أي المنفذ مفتوح.
Spoofed TCP Scanning Methods
ومثل عليها IDLE Scan
وهو يعتمد على أن المهاجم يزيف عنوان الإنترنت الخاص به لعنوان جهاز موجود داخل الشبكة الهدف.
بأن يبحث عن جهاز زومبي وهو جهاز ليس عليه Traffic عالي جداً أو لا اتصالات عليه، ومنه سيقوم بعملية الفحص، أو Spoofing لل IP Address الخاص به.
وجهاز الزومبي إما موجود على شبكة المهاجم أو شبكة الهدف، ومن ثم يرسل له حزمة Ack وفيها IP Address Identity وهي نوع من الحقول الموجودة.
والرقم الموجود فيها يأخذه المهاجم ويرسل الحزمة على المنفذ الهدف من خلال هذا الرقم الذي هو IP ID.
فإن كان المنفذ المفتوح على الهدف، فالهدف سيرسل الرد إلى الزومبي والزومبي سيرسل Reset ويزيد قيمة IP بواحد.
وإن كان المنفذ مغلق، فإنه يرسل الحزمة على منفذ آخر وقام ب Spoof للزومبي ويرسل reset packet.
فحص المنافذ والخدمات بطريقة Scanning UDP Services
UDP Scanning
هو أن المهاجم يرسل UDP Packet إلى الهدف فيسأله إن كان المنفذ مفتوح، فإن لم يصله للمهاجم أي إجابة من الهدف هذا يعني أن المنفذ مفتوح،
لأنه في الوضع الطبيعي في حالة UDP ترسل فقط ولا تنتظر الرد من الهدف، فإن لم يصل شيء فهذا يعني أن المنفذ مفتوح وإن تم الرد بأن ICMP لا يمكن الوصول إليه، فهذا يعني أن المنفذ مغلق.
ويمكن استخدامه فقط لفحص المنافذ Port Scanning التي تعمل على الهدف باستخدام UDP Protocol. أما البقية تستخدم فقط إذا كان الفحص TCP Ports.
IDS Evasion Techniques
وهي تقنيات يستعملها المهاجم لتجاوز أنظمة الحماية، مثل Trojan Detection System.
Spoof and Sniff
وهناك عدة طرق بأن يقوم ب Spoof لل IP Address وSniff لل Responses أو باستخدام Proxy أو أجهزة مخترقة ليقوم بالفحص.
إن كان هناك جهاز IDS والمهاجم يريد تجاوزه لأن الجهاز سيقوم بالتحليل وعمل Logging ويمكن أن يمنع بعض Traffic.
Use Proxy or hacked machine
فالمهاجم إذا أراد فحص ويب سيرفر معين بشركة ما، يمكن من خلال Proxy Server أن يخفي هويته، أو أن يقوم بالفحص من جهاز مخترق سابقاً.
Fragment IP Packet
ويعني أن يرسل المهاجم بإرسال حزمة فيقوم IDS بفحصها ويرى إن كانت تعمل، فإن وجد أن المهاجم يقوم بفحص يقوم بحجب و Logging وينبه الأدمن.
وعملية التجزئة للحزم IP تكون بأن قبل إرسال الحزم يقسمها إلى حزم أصغر ويرسلها، وعندما تمر ب IDS لن يفهم أنها تخص المهاجم فيوصلها إلى الجهاز الهدف.
وفي الجهاز الهدف ينتظر ليتلقاها كاملة ويجمعها ومن ثم يعرف أنها لفحص المنفذ ويرد إن كان المنفذ مفتوح او مغلق. وبهذا يكون المهاجم تجاوز أنظمة ال IDS.
Source Routing
وهي إن كانت متاحة.
Port Scanning Countermeasures
كيف أخفف من عمليات فحص المنافذ Port Scanning والمخاطر التي تنتج عنها.
يجب ضبط إعدادات الجدار الناري وأنظمة الحماية بحيث تقوم بكشف أي أحد يقوم بالفحص
ب IDS ليتتبع nmap التي تفحص الشبكات.
يفتح المنافذ المحتاجة وليس جميع المنافذ.
بفلترة رسائل ICMP .
فحص الشبكة بشكل دوري.
تحديث دوري للجدار الناري و IDS دائماً.
أدوات فحص المنافذ Port Scanning Tools
Hping2/Hping3
Nmap
NetScanTools Pro
SuperScan
وبهذا انتهينا من درس اليوم فحص المنافذ Port Scanning والهدف كان فقط توضيح تقنيات فحص الشبكات TCP أو UDP .