Controlling Nmap Scan Speed

السلام عليكم ورحمة الله وبركاته

موضوع الأخ مصطفى ذكرني أكتب عن nmap والتي هي أفضل Scanner بأن أقوم بكتابة القليل عن هذه الأداة الرائعة …

بعض الأحيان حين تقوم بعمل فحص على هدف ما تحتاج الى أن تكون بطيء الى حد ما أو ربما تحتاج الى سرعة إضافية أثناء عملية الفحص … جميع هذه الطلبات يوفرها لك nmap من خلال خيارات عدة …

أهم 5 خيارات أو الأكثر شيوعاً هي:
Paranoid: هذا الخيار يقوم بإرسال الحزم كل خمسة دقائق وذلك لكي تكون خارج مجال الـ Time Sample الخاص بالـ IDS (في حالة كان هناك واحد على الهدف) وبالتالي يصعب إكتشاف الشخص الذي يقوم بعملية الفحص … هذه الطريقة تقوم بإرسال الحزم بشكل متسلسل Sequential وليس بشكل متزامن أو متوازي Parallel … أي حزمة بعد حزمة وهكذا …

Sneaky: يقوم بإرسال الحزم كل 15 ثانية … وكما في الطريقة السابقة لا يتم الإرسال بشكل متوازي وإنما حزمة بعد حزمة …

Polite: يتم إرسال الحزمة كل 0.4 ثانية، وأيضاً حزمة بعد حزمة … تم عمل هذا الخيار من أجل تخفيف الضغط على الشبكات حين تتم عملية الفحص ولكي لا تسبب بإنهيار الطرف المستهدف …

Normal: هذه هي الطريقة الأساسية التي يعتمدها الفاحص nmap … تعمل بشكل سريع جداً لكن بنفس الوقت لا تقوم بإغراق الجهة المستهدفة أو الشبكة … تحاول هذه الطريقة أن تكتشف أكبر قدر ممكن من الأجهزة والمنافذ المفتوحة … هذه الطريقة تقوم بإرسال الحزم بشكل متوازي Parallel أي مجموعة حزم ترسل الى مجموعة منافذ مرة واحدة وهكذا …

Aggressive: في هذه الطريقة تقوم nmap بفحص الجهة المستهدفة خلال 5 دقائق فقط بعدها تنتقل للهدف الآخر … هذه الطريقة تنتظر 1.25 ثانية من أجل الحصول على جواب … يعني حين تقوم بالفحص إذا لم يأتي جواب خلال هذه الفترة، تعتبر الجهة أو المنفذ مغلق وتنتقل للفحص التالي … طبعاً من دون أن أذكر أو أوضح، هذه الطريقة واضح إنها تستعمل Parallel في عملية إرسال الحزم …

Insane: في هذه الطريقة تقوم nmap بفحص الجهة المستهدفة خلال 75 ثانية فقط بعدها تنتقل للهدف الآخر … وتنتظر حوالي 0.3 ثانية للحصول على جواب … طبعاً هذه الطريقة ربما لا تستطيع إكتشاف الكثير من الأهداف وذلك للسرعة العالية التي تنفذ بها … ولهذا ينصح إستعمالها على الشبكات السريعة جداً جداً … وأيضاً نقطة أخيرة وهي بإنه ممكن هذه الطريقة تعمل مشاكل على الشبكة “غرق الشبكة” والجهة المستهدفة أيضاً بسبب سرعتها العالية … Continue reading

Howto install and configure Snort on Debian Lenny

السلام عليكم ورحمة الله وبركاته

قمت بكتاب هذا المستند في العمل وذلك لأجل التوثيق ولكي يسهل على من ياتي بعدي في العمل حين يحتاج الى تنصيب مثلاً برنامج Snort … ولهذا أحببت أن أجعل نسخة منه هنا لمن يود إستعمالها أو الإستفادة من المادة البسيطة التي فيها …

الشرح يخص تنصيب برنامج Snort الخاص بإكتشاف الهجمات والدخلاء IDS والتصدي لهم IPS على نظام Debian Lenny الأخير 5.0.3 … مع عمل الإعدادات اللازمة له لكي يعمل بشكل صحيح على Sensor واحد فقط …
Continue reading

كتاب: Nmap Network Scanning – تم إضافة التقرير لموقع الكتاب الرسمي

السلام عليكم ورحمة الله وبركاته

أكيد ربما الكثير سمع بالكتاب Nmap Network Scanning والذي قام بتأليفه نفسه Fyodor مطور الأداة Nmap … الكتاب صراحة من أروع الكتب التي قرأتها وأستمتعت بقرائتها هذه السنة … الكتاب يشرح جميع إمكانيات الأداة بالتفصيل وأيضاً طرق المسح Scanning … ومن أجمل الأمور التي عجبتني هي طريقة شرحه هي الفرق بين الـ Script Kiddies وبين المحترفين أو لنقول الفاهمين شغلهم صح … الأول كل الذي يعرفه هو تنفيذ الأداة بشكلها الطبيعي او الأساسي … بينما الذي يعرف الشغل الصح سيعرف كيف يفرق بين إختبار وآخر ويعرف متى يستعمل هذا ومتى يستعمل ذاك … وأيضاً الأداة كما يعرف مستخدميها بإن لها خيارات كثييييييييييرة جداً جداً، ولكن لا يعرف ميزة كل خيار من هؤلاء سوى من يفهمون بالأداة وطريقة عملها أما البقية كما ذكرت مجرد تنفيذ الطريقة الأساسية … الكتاب أيضاً يوضح الفرق في عمل فصح بالطريقة الأساسية بعض الأحيان والتي ممكن تنتهي بعد ربع ساعة من الزمن وبين تنفيذ نفس الفحص والحصول على نفس النتائج بالضبط ولكن ربما بوقت لا يتجاوز بضع ثواني !!!

نعم الكاتب يركز على جميع الطرق الممكنة ويشرح الـ Idle Scan بطريقة رائعة ومفهومة لأي شخص بصراحة … بالإضافة الى إنه يركز كثيراً على جانب الـ Performance في عملية الفحص ويركز على عملية الـ Reporting وكيف ممكن تستفيد من ميزات Nmap العديدة في الـ Reporting وطرق الحصول عليه أيضاً … الكتاب يوضح بشكل كبير كيفية عمل Nmap في مسائل الـ OS Detection ومسائل الـ Service Version وحتى الـ Application … أيضاً يوضح طرق تجاوز الـ IDS وحتى طرق تخريبها !!!
Continue reading

How to Sniff/Monitor a Switched Network

السلام عليكم ورحمة الله وبركاته

أعتقد ربما خطر في تفكير الكثير منا كيف يمكنني أن أقوم بعملية Sniff على الشبكة … ويوجد ولله الحمد الكثير من المواضيع تشرح هذه المسألة سواءاً بإستخدام مجموعة dsniff وtcpdump وettercap و Wireshark وغيرها من البرامج … لكن أنا متأكد ما لم يخطر في فكر الكثيرين هي الطرق الصحيحة لمراقبة وعمل Sniff بشكل صحيح على الشبكة … ولهذا أحببت أن أكتب هذا الموضوع الذي هو مجرد توضيح وشرح للطرق المتوفرة لمراقبة وعمل Sniff على الشبكات …

قبل ان نقوم بعرض الطرق أود بالبداية أن أوضح الفرق بين الشبكات التي تستعمل Hub وبين تلك التي تستعمل Switch … قبل أكثر من 3 أو 4 سنوات كان بالغالب مستخدمي المنازل والشركات الصغيرة وربما حتى الكبيرة يستعملون في شبكاتهم الـ Hub وذلك للتكلفة العالية للـ Switches في ذلك الوقت … طريقة عمل هذا الجهاز هو رطب جميع الأجهزة المتصلة به في خط سلكي واحد … بحيث أي جهاز يريد يتكلم (يرسل) على البقية أن تسمع فقط (تصمت) ::18  الى أن ينتهي الجهاز المتكلم … طبعاً خلال عملية الكلام جميع الكلام يصل الى جميع الأجهزة الموجودة على السلك (الجهاز Hub) ولهذا كلهم مستمعون فقط … بعد أن ينتهي من الكلام إذا كان الكلام موجه للجهاز A مثلاً سيقوم بالرد عليه، وإذا لم يكن موجه له سيتجاهل الكلام ويبقى صامت … طبعاً من خلال ما شرحنا نعرف بإن الجهاز الـ Hub يستعمل إتصال من نوع Half Duplex … أي شخص واحد يتكلم في نفس الوقت … هذا النوع من الأجهزة عيوبها إنها تبطأ عمل الشبكة وذلك ﻷن الشبكة مستخدمة من شخص في وقت واحد، فتخييل لما يتكلم 10 ماذا سيحدث؟ تصير خبصة ::18 وأيضاً كون الكلام المار فيها يسمع من الجميع تستطيع أن تعمل Sniff ومراقبة عليه بكل سهولة …
Continue reading

Aide من البداية الى النهاية Howto

السلام عليكم ورحمة الله وبركاته

Advanced Intrusion Detection Environment

كيف أحوال الشباب إن شاء الله الجميع بخير وعافية … اليوم قلت أكتب عن AIDE والذي هو إختصار لـ “Advanced Intrusion Detection Environment” وظيفته هي التحقق من سلامة الملفات File Integrity Checker الموجودة على النظام، طبعاً هنا أتكلم عن جنو/لينوكس :) يتم ذلك من خلال أخذ صورة snapshot للنظام في بداية تشغيلك له ومن ثم تصبح هي النقطة التي يتم بناء المقارنة عليها، أي في المستقبل عندما تشك بوجود حاجة غريبة أو تشك بإنه ربما قام أحد المخترقين بتنفيذ exploit على أو قام بتنصيب RootKit أو Trojan داخل النظام فإنك تستطيع مقارنة الملفات التي كنت قد أخذت لها snapshot مع الملفات الحالية وبالتالي تعرف إذا كانت هذه الملفات قد تغييرت أم لا …

أول حاجة لنقم بتحميله من موقع sourceforge:
تحميل aide

أيضاً سنحتاج الى مكتبة إسمها mhash، أيضاً قم بتحميلها من موقع sourceforge:
تحميل mhash
Continue reading