تخطي الجدار الناري أثناء الفحص في Nmap

nmap-evasion-firewall الفحص تجميع المعلومات Nmap

تقنيات الفحص وتجميع المعلومات بواسطة Nmap | الدرس الثالث

تخطي الجدار الناري أثناء الفحص ب Nmap

قبل تخطي الجدار الناري يجب أولا أن نعرف ماهو الجدار الناري وماهو دوره بالضبط

ماهو الجدار الناري Firewall :

الـ Firewall أو ما يسمى بالعربية الجدار الناري هو عبارة عن جهاز (Hardware) أو نظام (Software) يقوم بالتحكم في مسيرة و مرور البيانات (Packets) في الشبكة أو بين الشبكات و التحكم يكون إما بالمنع أو بالسماح.
  • يعتبر جدار الحماية المنطقة الفاصلة التي تبقي غير المصرح لهم بدخول الشبكة من الدخول لها و التعامل معها بشكل مباشر و التي تقلل من استغلال ثغرات هذه الشبكة و خدماتها كـ  
  1. IP-spoofing
  2. ARP-spoofing
  3. Routing-attacks
  4. DNS-attacks
  • تم تصميم الجدران النارية خصيصا لمنع الاختراق / مختبري الاختراق ومنع أدوات جمع المعلومات مثل أداة nmap و nessus التي تمكننا من تكوين صورة حول النظم المراد اختراقها. ولا ننسى أيضا انه يقوم بتسجيل Logs .
لكن مبرمجي ومطوري  أداة المسح Nmap  صمموها خصيصًا لتجاوز هذه الدفاعات والجدران النارية عبر  اضافة بعض الميزات للتخطي.

ملاحظة
ستجد هذا الاي بي  192.168.1.10 مكرر في جميع الأمثلة على فرض أنه اي بي الضحية المراد فحصه.

تقنيات التخطي Nmap firewall Evasion

تقنية تجزئة الحزم Fragment Packets:

nmap -f 192.168.1.10
-f هذا البراميتر يستخدم لتقطيع الحزم ل 8 بايتات لكل حزمة مرسلة للهدف.
قد تتطلب بعض الانظمة ارسال حزم ايث eth جنبا الى جنب مع الحزم المجزءة
nmap --send-eth -f 192.168.1.10

تقنية تحديد MTU (وحدة الارسال العظمى)

nmap --mtu 16 192.168.1.10

--mtu يشبه لحد كبير البرامتر السابق ويمكن تحديد القيمة من مضاعفات 8 بايت نحن استخدمنا في المثال القيمة 16.
قد تتطلب بعض الانظمة ارسال حزم ايث eth جنبا الى جنب مع MTU

تقنية التمويه Decoy Adresses

سنقوم بفحص الهدف بعدة عناوين اي بي مزيفة حتى لا يعرف اي جهاز يقوم بفحصه
في المثال سنقوم بالفحص بعشرة عناوين اي بي وسيظن الضحية أن المهاجم يقوم بفحصه بعدة أنظمة مختلفة

nmap --D RND:10 192.168.1.10
البراميتر RND اختصار لكلمة Random يعني عشوائي , ثم مررنا له رقم 10 وهو عدد الIPs يمكن وضع ما تشاء للتمويه.

يمكن أيضا اختيار  عناوين ايبي مزيفة يدويا بهذه الطريقة
nmap --D 192.168.1.2,192.168.100.20, 192.168.11.50  192.168.1.10
عيوبها
  1. استخدام عناوين اي بي كثيرة يسبب ازدحام في الشبكة وقد تظهر نتائج غير دقيقة
  2. قد يمتلك مزود الانترنت الخاص بك خدمة تصفية لحركة المرور ويقوم بمنع العناوين المزيفة وفي هذه الحالة لن تكون هناك فعالية لهذا الهجوم.

تقنية الفحص الساكن أو الخامل idl Zombie

في هذه الطريقة لن نقوم بالفحص  من جهازنا مبدئيا بالنسبة للجدار الناري فالسكان يعتبره قادما من جهاز اخر Zombie Host لذلك فالعملية الأولى التي يجب القيام بها هي البحث في الشبكة عن Idle Zombie  (الزومبي هو جهاز خامل موجود على شبكة الضحية ) لنفرض أنه 192.168.1.2 والهدف 192.168.1.10 فيكون الأمر كالأتي:
nmap -sI 192.168.1.2 192.168.1.10
البارميتر sl للتوضيح الحرف I هو الحرف i كابتل كبير
يستحسن اضافة البارمتر -PN للامر لمعرفة حالة الهدف ليصبح هكذا
nmap -sI  -PN 192.168.1.2 192.168.1.10

تقنية الفحص من خلال بورت محدد source-port :

في الشبكات والسيرفرات الكبرى يقوم خبراء الحماية بفلترة ومنع جميع البورتات عبر جدار الحماية وترك بورت محدد مفتوح لاستخدامه مثل بورت 80 . لتخطي هذه المشكلة يجب علينا فحص السيرفر من نفس هذا البورت المفتوح باستخدام البرامتر الاتي --source-port او -g 
ليكون الأمر على هذا الشكل:
nmap‬‬ ‫‪--source-port‬‬ ‫‪80‬‬ ‫‪onsec.tk

تقنية اضافة بيانات عشوائية data-length

عند الفحص باداة nmap ترسل حزم للهدف بغرض الفحص وهذه الحزم تكاد تكون مألوفة عند جدار الحماية. والحل يجب علينا اضافة كمية من البيانات (بايت) جنب هذه الحزم للتمويه.
سنستعمل البارميتر --data-length ونضع امامها عدد يحدد كميتها. مثال
nmap --data-length 25 onsec.tk

تقنية الفحص العشوائي randomize-hosts

عند فحص جميع هوستات الشبكة أو فحص رينج من الايبيات تقوم الاداة بالفحص بالترتيب وهذ الامر يسبب حساسية لجدار الحماية فهي تقوم بالفحص العناوين بالتسلسل كالاتي
العنوان 192.168.0.1 ثم 192.168.0.2 ... وهكذا وهذا ما يتسبب في شكل نظام التسللIDS بأن هناك من يقوم بالهجوم. وطريقة التخطي هي كالاتي
nmap --randomize-hosts 192.168.1.0-254

تقنية تزوير عنوان الماك أدريس Spoof-Mac

نقوم بتغيير العنوان الفيزيائي الخاص بنا MAC تجنبا لكشف هويتنا أو انتحال ماك موثوق به على الشبكة كالأتي:
nmap --spoof-mac 0 onsec.tk
  1. وضعنا الرقم 0 بمعنى اختار عنوان عشوائي.
  2. اختيار عنوان ماك محدد نضعه فقط بجانب spoof-mac وسيتم استخدامه أثناء الفحص.
  3. يمكن ادراج فقط اسم الشركة مثلا Dell أو HP أو Apple وسيتم استخدام عنوان ماك من هذه الشركة.

تقنية استعمال البروكسي لتخطي الحجب

طريقة الاستعمال نكتب البارميتر --proxy  ونمرر له الهوست ثم البورت
--proxy host:port
كمثال ربط الاداة بالتور Tor:
nmap --proxy 127.0.0.1:9050

تقنية ارسال اختبار غير صحيح Send Bad checksum

checksum تستعمل من TCP/IP للتأكيد من عدم تلف الداتا المرسلة DATA لكن ارسال checksum خاطئة من الممكن أن تجعلنا نأخد المعلومات بدون أن يتدخل الجدار الناري لمنعنا.
الامر المستخدم على الشكل الأتي:
nmap --badsum onsec.tk

الى هنا ينتهي درسنا اليوم
 نلتقي بموضوعنا القادم ان شاء الله