Made By: Paula Samir

LinkedIn: https://www.linkedin.com/in/paulasamir/

‫قولت افصل شويه عن مذاكرة الكورسات واعمل حاجة عمليه فقولت اشوف ازاى اعرف واحلل ال‬
snort ‫ وازاى اكتشفها عن طريق ال‬Wireshark ‫ عىل ال‬nmap scan

 Wireshark
 Snort

Page 1 of 17
 ‫طيب ف االول كده احنا هنتكلم عن ال‬

‫‪Recon‬‬

‫ودا انك تجمع معلومات عن ال ‪ target‬وفيه منه طريقتي‪:‬‬

‫‪ Passive‬‬
‫‪ Active‬‬

‫‪(1) Passive‬‬

‫دا انك تجمع معلومات من غي ماتحتك بال ‪ target‬يعن من غي ماتبعت ‪ requests‬لل ‪ target‬وال‬
‫يعرف انت مي اصال ‪.‬‬

‫امال بتجمع معلومات ازاى؟‬

‫عن طريق ال ‪ social media‬مثال زى ‪ Facebook, Twitter, LinkedIn‬وغيها ‪.‬‬

‫‪(2) Active‬‬

‫دا بقا عكس ال ‪ Passive‬يعن بيحتك بال ‪ target‬يعن بيبعتله ‪ requests‬ويحلل ال ‪ response‬بتاع‬
‫ال ‪ target‬ويستخرج منه معلومات ودا زى ال ‪nmap‬‬

‫‪Page 2 of 17‬‬
‫‪Nmap‬‬

‫دى ‪ tool‬بتستخدم لعمل ‪ port scanning‬يعن بيشوف إيه ال ‪ ports‬المفتوحة وايه ال ‪ service‬الىل‬
‫شغاله عليها وايه ال ‪ version‬المستخدم‪.‬‬

‫‪Wireshark‬‬

‫دى اداة بتعمل ‪ capture‬لل ‪ packets‬وتقدر من خاللها تفحص ال ‪ packets‬دى‪.‬‬

‫طيب ايه ىه ال ‪packet‬؟‬

‫ال ‪ data‬لما بيتم ارسالها من ال ‪ source‬لل ‪ destination‬بتتقسم ل ‪ packets‬يعن اجزاء اصغر وال‬

‫‪ packet‬دى بتحتوى عىل ‪ header‬فيه معلومات عن ال ‪ packet‬دى علشان توصل لل ‪destination‬‬

‫الصح‪.‬‬

‫‪Page 3 of 17‬‬
 ‫ال ‪ nmap‬بتستخدم ر‬
‫بأكي من طريقه منها‪:‬‬

‫‪ TCP Scan‬‬

‫‪ UDP Scan‬‬
‫‪ Stealth Scan‬‬

‫فيه تان بس دول االشهر استخداما ‪.‬‬

‫___________________________________________________________________‬

‫‪(1) TCP Scan‬‬

‫زى ما إحنا عارفي ان ال‬

‫)‪Transmission Control Protocol (TCP‬‬

‫دا ‪ protocol‬بيشتغل ف ال ‪ 4 layer‬وبيستخدم ف نقل ال ‪data‬‬

‫ازاى ال ‪ TCP‬بيشتغل ؟‬
‫ئ‬
‫بينش اتصال بي ال ‪ client‬وال ‪ server‬قبل نقل ال‬ ‫اول حاجة بيعمل ‪ establish connection‬يعن‬
‫‪data‬‬

‫وبيسىىم هذة العمليه بال‬

‫‪Three-way handshake‬‬

‫)‪ (1‬ال ‪ sender‬بيسل ‪ TCP segment‬عبارة عن ‪SYN‬‬

‫)‪ (2‬ال ‪ receiver‬بيستلم ال ‪ SYN‬وبيسل ‪ TCP segment‬عبارة عن ال ‪SYN+ACK‬‬

‫)‪ (3‬واخيا ال ‪ sender‬بيستلم ال ‪ SYN + ACK‬وبيسل ‪ ACK‬وبكده تم ال ‪connection‬‬

‫)‪ (4‬ولو عاوز يعمل ‪ end‬او ‪ close‬لل ‪ session‬هيستخدم ‪RST + ACK‬‬

‫‪Page 4 of 17‬‬
 ‫ملحوظة‪:‬‬

‫تزامن ‪SYN = Synchronization‬‬

‫ر‬
‫اعياف ‪ACK = Acknowledgment‬‬

‫‪RST = Reset‬‬

‫احنا هنا قدام حالتي‪:‬‬

‫‪ ‬ان ال ‪ port‬يبقا ‪open‬‬

‫‪ ‬ان ال ‪ port‬يبقا ‪close/filtered‬‬

‫طيب تمام احنا هنا هنعمل ‪ test‬عىل ال ‪ metasploitable‬ودى عبارة عن ‪ machine‬فيها ‪web‬‬
‫‪ application‬ومصابة بمجموعة من الثغرات ‪.‬‬

‫ف االول هنستخدم ال ‪ nmap‬علشان نشوف مي ال ‪ ports‬المفتوحه ومي الىل مقفول علشان نعمل‬
‫‪ test‬عىل كل واحد لواحده ونشوف ال ‪ traffic‬بتاعه هو ومقفول وهو مفتوح ‪.‬‬

‫‪Page 5 of 17‬‬
 ‫)‪ (1‬لو ال ‪ 3-way handshake‬تم دا معناه ان ال ‪ connection‬تم مع ال ‪ server‬وبكده ال ‪port‬‬
‫مفتوح فال ‪ connection‬بي ال ‪ client‬وال ‪ server‬هيبقا بالشكل دا والكالم دا لو كان ال ‪ port‬مفتوح‪.‬‬

‫طيب تعاىل نشوف الكالم دا لما نستخدم ال ‪ nmap‬ونشوف ال ‪ traffic‬عىل ال ‪Wireshark‬‬

‫دا استخدام ال ‪ nmap‬بيبقا بالطريقه دى‪:‬‬

‫‪nmap -sT -p 80 192.168.1.3‬‬

‫‪-sT‬‬

‫دا معناه انه يعمل ‪TCP Scan‬‬

‫‪-p‬‬

‫دا علشان تحدد ال ‪port‬‬

‫‪192.168.1.3‬‬

‫دا ال ‪ IP‬بتاع ال ‪metasploitable‬‬

‫‪Page 6 of 17‬‬
 ‫هنا زى ما إحنا شايفي فيه ‪ 4‬من ال ‪packets‬‬

‫‪‬‬ ‫‪SYN‬‬
‫‪‬‬ ‫‪SYN+ACK‬‬
‫‪‬‬ ‫‪ACK‬‬
‫‪‬‬ ‫‪RST+ACK‬‬

‫اول ‪ 3‬دول بتوع ال ‪ three way handshake‬وال ‪ RST-ACK‬دا علشان ينىه االتصال بعد ماعرف ان ال‬
‫‪ port‬مفتوح‪.‬‬

‫‪Page 7 of 17‬‬
 ‫)‪ (2‬لو ال ‪ 3-way handshake‬ماتمتش يعن لما ال ‪ client‬يبعت ‪ ACK‬ال ‪ server‬مش هيد بال‬
‫‪ ACK +SYN‬وبكده مفيش ‪ connection‬مع ال ‪ server‬وبكده ال ‪ port‬مغلق فال ‪ connection‬بي ال‬
‫‪ client‬وال ‪ server‬هيبقا بالشكل دا والكالم دا لو كان ال ‪ port‬مغلق‪.‬‬

‫طيب تعاىل نشوف الكالم دا لما نستخدم ال ‪ nmap‬ونشوف ال ‪ traffic‬عىل ال ‪Wireshark‬‬

‫هنا زى ما إحنا شايفي فيه ‪ 2‬من ال ‪packets‬‬

‫‪ SYN‬‬
‫‪ RST+ACK‬‬

‫‪Page 8 of 17‬‬
‫‪(2) UDP Scan‬‬

‫دا ‪ protocol‬بيشتغل ف ال ‪ 4 layer‬وبيستخدم ف نقل ال ‪ data‬زى ال ‪ TCP‬بس دا بيستخدم لنقل ال‬

‫‪ voice, videos‬وهو ارسع من ال ‪ TCP‬علشان مش بيستخدم ال ‪ 3-way handshake‬علشان يعمل‬
‫‪ establish connection‬ولو فيه ‪ data‬اتعملها ‪ drop‬مش بيعيد االرسال مرة تانيه‪.‬‬

‫دا طريقة عمل ال ‪ UDP‬ال ‪ client‬بيبعت ال ‪ request‬وبعدين ينتظر ال ‪ response‬من ال ‪server‬‬

‫يتبعت ورا بعضه‪.‬‬

‫ف االول هنستخدم ال ‪ nmap‬علشان نشوف مي ال ‪ ports‬المفتوحه ومي الىل مقفول علشان نعمل‬
‫‪ test‬عىل كل واحد لواحده ونشوف ال ‪ traffic‬بتاعه هو ومقفول وهو مفتوح‪.‬‬

‫زى ما احنا شايفي كده ان ال ‪ result‬عبارة عن ‪ open | filtered‬ودا علشان مفيش ‪response‬‬

‫ودا ال ‪ traffic‬عىل ال ‪Wireshark‬‬

‫‪Page 9 of 17‬‬
 ‫هنا فيه ‪ 3‬حاالت‪:‬‬

‫(‪ )1‬ان ال ‪ port‬مفتوح‬

‫(‪ )2‬ان ال ‪ port‬عبارة عن ‪open | filtered‬‬

‫(‪ )3‬ان ال ‪ port‬مغلق‬

‫___________________________________________________________________‬

‫(‪ )1‬لو كان ال ‪ port‬مفتوح فال ‪ client‬هيبعت ‪ request‬وهيجعله ال ‪ response‬بال ‪data‬‬

‫ودا ال ‪nmap‬‬

‫‪-sU‬‬

‫يعن يعمل ‪UDP Scan‬‬

‫ودا ال ‪ traffic‬عىل ال ‪Wireshark‬‬

‫‪Page 10 of 17‬‬
 open | filtered ‫ عبارة عن‬port ‫) لو كان ال‬2(

response ‫ دا ملهوش‬open | filtered ‫زى ماقولنا ان ال‬

____________________________________
unreachable ‫ بال‬response ‫ وهيجعله ال‬request ‫ هيبعت‬client ‫ مغلق فال‬port ‫) لو كان ال‬3(

nmap ‫ودا ال‬

Wireshark ‫ودا ال‬

Page 11 of 17
‫‪(3) Stealth Scan‬‬

‫دا ال ‪ default scan‬لل ‪ nmap‬ودا علشان رسعته النه عبارة عن ‪ half open scan‬النه مش بيعمل‬
‫‪ TCP connection‬كامل يعن ال ‪ connection‬بيبقا بالشكل دا (لو ال ‪ port‬مفتوح)‪:‬‬

‫)‪ (1‬ال ‪ sender‬بيسل ‪ TCP segment‬عبارة عن ‪SYN‬‬

‫)‪ (2‬ال ‪ receiver‬بيستلم ال ‪ SYN‬وبيسل ‪ TCP segment‬عبارة عن ال ‪SYN+ACK‬‬

‫)‪ (3‬وبعدين بيعمل ‪ end‬او ‪ close‬لل ‪ session‬وبيبعت ‪RST‬‬

‫ملحوظة‪:‬‬

‫دا هو نفسه ال ‪ 3-way handshake‬بس بدل ما ال ‪ client‬يبعت ‪ ACK‬بيبعت ‪ RST‬علشان ينىه‬

‫االتصال‪.‬‬

‫طيب تعاىل نشوف ال ‪nmap‬‬

‫‪-sS‬‬ ‫دا يعن ‪Stealth scan‬‬

‫‪Page 12 of 17‬‬
 Wireshark ‫ ف ال‬traffic ‫ودا شكل ال‬

packets ‫ من‬3 ‫هنا زى ما احنا شايفي فيه‬

 SYN
 SYN + ACK
 RST

___________________________________________________________________

:‫ بالشكل دا‬connection ‫ هيبقا ال‬close ‫ كان‬ports ‫طيب لو ال‬

SYN ‫ هيبعت‬client ‫) ال‬1(

RST + ACK ‫ هيد بال‬server ‫) وال‬2(

Page 13 of 17
 ‫طيب تعاىل نشوف ال ‪nmap‬‬

‫ودا شكل ال ‪ traffic‬ف ال ‪Wireshark‬‬

‫عاوز اقولك ف االخر انت مش هتحتاج ال ‪ Wireshark‬علشان تشوف ال ‪ traffic‬بتاع ال ‪ nmap‬او‬

‫علشان تكتشف ان فيه شخص ما بيعمل عليك ‪ scan‬الن فيه ‪ product‬زى ال ‪ snort‬وهو الىل‬
‫بيكتشف الحاجة دى عن طريق ‪ rule‬بس طبعا الزم تعرف ال ‪ Wireshark‬وازاى تحلل ال ‪ traffic‬فيها‪.‬‬

‫تعاىل بقا نشح ايه هو ال ‪Snort‬‬

‫‪Page 14 of 17‬‬
Snort

:‫ عمليات‬3 ‫ وبيقوم بعمل‬open source ‫ و‬free ‫ و‬IDS/IPS system ‫ودا عبارة عن‬

1. Packet Sniffing

Wireshark ‫ زى ال‬traffic ‫بيجمع ويعرض ال‬

2. Packet Logging

file ‫ ف‬traffic ‫بيجمع ويسجل ال‬

3. Network Intrusion Detection

detect ‫ الىل عنده علشان يعمل‬signatures ‫ وال‬traffic ‫ بي ال‬match ‫ وبيعمل‬packets ‫بيحلل ال‬
Attacks ‫لل‬

:‫ملحوظة‬

:‫ دى‬rules ‫ انواع من ال‬3 ‫ كده وليه‬firewall ‫ زيه زى ال‬rules ‫ عىل اساس‬match ‫ بيعمل‬snort ‫ال‬

1. Community rules

snort community ‫ وتم إنشائه بواسطة‬free ‫دا‬

2. Registered rules

. ‫ علشان توصلهم‬account ‫ وبيحتاج انك تعمل‬Talos ‫ وتم انشائه بواسطة‬free ‫دا‬

3. Subscription only rules

‫ يعن بيكون مدفوع ر‬paid ‫دا بيكون‬
‫بأشياك‬

Or you can write your own rules.

Page 15 of 17
 ‫ال ‪ rule‬بتتكتب بطريقه معي يعن ليها ‪ syntax‬معي زى كده بالظبط‬

‫‪sid‬‬

‫دا ال ‪ snort ID‬والزم يكون اكي من ‪ 1000000‬ودا علشان الىل قبل ال ‪ 1000000‬محجوز‬

‫ملحوظة‪:‬‬

‫تقدر تكتب ال ‪ rules‬الخاصة بيك ف المسار دا‬

‫‪/etc/snort/rules/local.rules‬‬

‫ملحوظة‪:‬‬

‫تقدر تستخدم الموقع دا هيساعدك ف كتابه ال ‪rules‬‬

‫‪http://snorpy.cyb3rs3c.net/‬‬

‫‪Page 16 of 17‬‬
 :‫ هيكتشف‬snort ‫طيب تمام تعاىل كده نشوف ازاى ال‬

.‫ جواها‬rules ‫ف االول هنفتح المسار دا وهنحط ال‬

sudo nano /etc/snort/rules/local.rules

‫ الىل رسحناها‬nmap ‫ الىل هنكتشف بيها انواع ال‬rules ‫ودى ال‬

alert tcp any any -> 192.168.1.6 any (msg: "Nmap TCP Scan";sid:10000001;)

alert udp any any -> 192.168.1.6 any (msg: "Nmap UDP Scan";sid:10000002;)

‫ عن طريق‬snort ‫وبعدين هنشغل ال‬

sudo snort -A console -q -c /etc/snort/snort.conf -i eth0

-A console

terminal ‫ تتعرض ف ال‬result ‫دا علشان ال‬

-q

quite mode ‫دا ال‬

-c

‫ منه‬rules ‫ الىل هينفذ ال‬file ‫دا علشان تعرف ال‬

-i

traffic ‫ الىل هيج منها ال‬network interface ‫دا علشان تعرف ال‬

.‫ وال ال‬nmap ‫ هتتعرف عىل ال‬snort ‫ ونشوف ال‬nmap ‫وف االخر نبدا نشغل ال‬

Page 17 of 17