Professional Documents
Culture Documents
Detect Nmap Scan
Detect Nmap Scan
LinkedIn: https://www.linkedin.com/in/paulasamir/
قولت افصل شويه عن مذاكرة الكورسات واعمل حاجة عمليه فقولت اشوف ازاى اعرف واحلل ال
snort وازاى اكتشفها عن طريق الWireshark عىل الnmap scan
Wireshark
Snort
Page 1 of 17
طيب ف االول كده احنا هنتكلم عن ال
Recon
Passive
Active
(1) Passive
دا انك تجمع معلومات من غي ماتحتك بال targetيعن من غي ماتبعت requestsلل targetوال
يعرف انت مي اصال .
(2) Active
دا بقا عكس ال Passiveيعن بيحتك بال targetيعن بيبعتله requestsويحلل ال responseبتاع
ال targetويستخرج منه معلومات ودا زى ال nmap
Page 2 of 17
Nmap
دى toolبتستخدم لعمل port scanningيعن بيشوف إيه ال portsالمفتوحة وايه ال serviceالىل
شغاله عليها وايه ال versionالمستخدم.
Wireshark
ال dataلما بيتم ارسالها من ال sourceلل destinationبتتقسم ل packetsيعن اجزاء اصغر وال
الصح.
Page 3 of 17
ال nmapبتستخدم ر
بأكي من طريقه منها:
___________________________________________________________________
ازاى ال TCPبيشتغل ؟
ئ
بينش اتصال بي ال clientوال serverقبل نقل ال اول حاجة بيعمل establish connectionيعن
data
Three-way handshake
Page 4 of 17
ملحوظة:
RST = Reset
طيب تمام احنا هنا هنعمل testعىل ال metasploitableودى عبارة عن machineفيها web
applicationومصابة بمجموعة من الثغرات .
ف االول هنستخدم ال nmapعلشان نشوف مي ال portsالمفتوحه ومي الىل مقفول علشان نعمل
testعىل كل واحد لواحده ونشوف ال trafficبتاعه هو ومقفول وهو مفتوح .
Page 5 of 17
) (1لو ال 3-way handshakeتم دا معناه ان ال connectionتم مع ال serverوبكده ال port
مفتوح فال connectionبي ال clientوال serverهيبقا بالشكل دا والكالم دا لو كان ال portمفتوح.
-sT
-p
192.168.1.3
Page 6 of 17
هنا زى ما إحنا شايفي فيه 4من ال packets
SYN
SYN+ACK
ACK
RST+ACK
اول 3دول بتوع ال three way handshakeوال RST-ACKدا علشان ينىه االتصال بعد ماعرف ان ال
portمفتوح.
Page 7 of 17
) (2لو ال 3-way handshakeماتمتش يعن لما ال clientيبعت ACKال serverمش هيد بال
ACK +SYNوبكده مفيش connectionمع ال serverوبكده ال portمغلق فال connectionبي ال
clientوال serverهيبقا بالشكل دا والكالم دا لو كان ال portمغلق.
SYN
RST+ACK
Page 8 of 17
(2) UDP Scan
ف االول هنستخدم ال nmapعلشان نشوف مي ال portsالمفتوحه ومي الىل مقفول علشان نعمل
testعىل كل واحد لواحده ونشوف ال trafficبتاعه هو ومقفول وهو مفتوح.
زى ما احنا شايفي كده ان ال resultعبارة عن open | filteredودا علشان مفيش response
Page 9 of 17
هنا فيه 3حاالت:
___________________________________________________________________
ودا ال nmap
-sU
Page 10 of 17
open | filtered عبارة عنport ) لو كان ال2(
____________________________________
unreachable بالresponse وهيجعله الrequest هيبعتclient مغلق فالport ) لو كان ال3(
Page 11 of 17
(3) Stealth Scan
دا ال default scanلل nmapودا علشان رسعته النه عبارة عن half open scanالنه مش بيعمل
TCP connectionكامل يعن ال connectionبيبقا بالشكل دا (لو ال portمفتوح):
ملحوظة:
Page 12 of 17
Wireshark ف الtraffic ودا شكل ال
SYN
SYN + ACK
RST
___________________________________________________________________
Page 13 of 17
طيب تعاىل نشوف ال nmap
Page 14 of 17
Snort
: عمليات3 وبيقوم بعملopen source وfree وIDS/IPS system ودا عبارة عن
1. Packet Sniffing
2. Packet Logging
detect الىل عنده علشان يعملsignatures والtraffic بي الmatch وبيعملpackets بيحلل ال
Attacks لل
:ملحوظة
: دىrules انواع من ال3 كده وليهfirewall زيه زى الrules عىل اساسmatch بيعملsnort ال
1. Community rules
2. Registered rules
Page 15 of 17
ال ruleبتتكتب بطريقه معي يعن ليها syntaxمعي زى كده بالظبط
sid
دا ال snort IDوالزم يكون اكي من 1000000ودا علشان الىل قبل ال 1000000محجوز
ملحوظة:
/etc/snort/rules/local.rules
ملحوظة:
http://snorpy.cyb3rs3c.net/
Page 16 of 17
: هيكتشفsnort طيب تمام تعاىل كده نشوف ازاى ال
alert tcp any any -> 192.168.1.6 any (msg: "Nmap TCP Scan";sid:10000001;)
alert udp any any -> 192.168.1.6 any (msg: "Nmap UDP Scan";sid:10000002;)
-A console
-q
-c
-i
traffic الىل هيج منها الnetwork interface دا علشان تعرف ال
. وال الnmap هتتعرف عىل الsnort ونشوف الnmap وف االخر نبدا نشغل ال
Page 17 of 17