دليل مرجعي Nmap (صفحة مان). كيفية استخدام Nmap لمسح شبكة مسح مضيف واحد أو عنوان IP
بالنسبة للكثيرين منا الذين ارتبطت مهام عملهم ارتباطًا وثيقًا بأمن المعلومات لبعض الوقت على الأقل ، لطالما كانت Nmap أداة مألوفة ومفيدة. لا غنى عنه مثل بطانية دافئة في ليلة شتاء باردة. إلا أن Nmap هو غطاء فعّال للغاية.
Nmap عبارة عن ماسح ضوئي لأمن الشبكات عبر الأنظمة الأساسية وشائعًا وقويًا يمكن استخدامه لإجراء فحص فعال للغاية لأي شبكة. يمكن أن يساعدك أيضًا في الحصول على نظرة عامة على الأنظمة المتصلة بشبكتك ؛ يمكنك استخدامه لمعرفة عناوين IP لجميع المضيفين المباشرين ، وفحص المنافذ والخدمات المفتوحة التي تعمل على تلك الأجهزة المضيفة ، وأكثر من ذلك بكثير.
بلا شك ، Nmap هو أكثر ماسح ضوئي للمنافذ تنوعًا في الوجود اليوم. نعم ، يمكنك العثور على ماسحات ضوئية أسرع ، ولكن لا يوجد أي منها مفيد جدًا ولا غنى عنه ببساطة لحل العديد من مهامك. وستوافق الغالبية العظمى من المتخصصين في مجال أمن المعلومات بشكل قاطع على هذا البيان.
ومع ذلك ، فإن قلة من الناس يعرفون أن إحدى أكثر ميزات Nmap إثارة للاهتمام هي القدرة على استخدام نصوص NSE ، والتي ستمنح أداة أمان الشبكة المفضلة لديك المزيد من المرونة والكفاءة. بمساعدتهم ، يمكنك القيام بأشياء لا تتوقع الحصول عليها حتى من خلال ماسح ضوئي متقدم للغاية للمنافذ مثل Nmap.
دعنا نلقي نظرة فاحصة على نصوص NSE ، وربما تفاجئك إمكاناتها بسرور.
بمعنى آخر ، بالإضافة إلى الفحص القياسي للمنافذ المفتوحة بواسطة الماسح الضوئي Nmap ، باستخدام NSE ، لديك أيضًا فرصة للحصول على معلومات موسعة حول الخدمات التي تعمل عليها. لذلك ، على سبيل المثال ، باستخدام نصوص NSE النصية ، يمكنك إلقاء نظرة أعمق على خدمات الشبكة الخاصة بك ومعرفة مدى جودة تكوينها ، وما هي المعلومات المتاحة ، وما إذا كان يتم استخدام بيانات اعتماد ضعيفة ، وما إلى ذلك. منصة للتفاعل مع خدمات الشبكة.
قدرات البرمجة النصية لمحرك Nmap
قام فريق تطوير ماسح منفذ Nmap بتصميم وإنشاء محرك برمجة نصية في المقام الأول لحل مشكلات مثل:
1. استكشاف الشبكة
هذا هو التطبيق العملي الرئيسي لـ Nmap. تم تصميم بعض البرامج النصية لتسهيل وتحسين وتسريع عمل ماسح المنافذ المفضل لديك. تتضمن بعض الأمثلة على استخدامها أداء مهام مثل:
- البحث عن بيانات WHOIS (بروتوكول شبكة طبقة تطبيق يعتمد على بروتوكول TCP ؛ تطبيقه الرئيسي هو الحصول على بيانات التسجيل لأصحاب أسماء المجالات وعناوين IP والأنظمة المستقلة في شكل نصي) للمجالات المقابلة ؛
- إرسال استعلامات إلى خوادم WHOIS الرئيسية الإقليمية ARIN (أمريكا الشمالية) أو RIPE (أوروبا والشرق الأوسط) أو APNIC (آسيا والمحيط الهادئ) لتحديد مالك عنوان IP معين ؛
- Identd-search على المنافذ المفتوحة (يسمح لك بتحديد المستخدمين المتصلين بها) ؛
- تقديم الطلبات عبر بروتوكول SNMP (بروتوكول الإنترنت لإدارة الأجهزة في شبكات IP بناءً على معماريات TCP / UDP) ؛
- تجميع قوائم الموارد والخدمات المتاحة من خلال بروتوكولات الشبكة للوصول عن بعد NFS أو SMB أو RPC.
2. إصدار أكثر تطورا
إن نظام إصدارات Nmap للخدمات والتطبيقات قادر على التعرف على آلاف الخدمات المختلفة باستخدام المجسات ومطابقة توقيع التعبير العادي ، ولكنه ليس كلي القدرة. على سبيل المثال ، يتطلب تعريف خدمة Skype v2 اثنين من مجسات التشغيل المستقلة التي لا تتسم إمكانيات إصدارها بالمرونة الشديدة. Nmap قادر أيضًا على التعرف على بعض خدمات SNMP إذا حاول تعداد عدة مئات من أسماء المجتمعات باستخدام القوة الغاشمة. كلتا المهمتين المذكورتين أعلاه ليستا ملائمتين لاستخدام طرق إصدار Nmap القياسية ، ولكن كلاهما يتم تنفيذهما بسهولة باستخدام NSE. لهذا السبب ، يقوم نظام الإصدار الآن باستدعاء NSE افتراضيًا لحل مهمة تعيين الإصدار عند معالجة بعض الخدمات المعقدة.
3. البحث عن نقاط الضعف
عندما يتم اكتشاف ثغرة أمنية جديدة ، فإنها تصبح معرفة عامة ، ويحتاج محترفو أمن الشبكات بشكل عاجل إلى فحص شبكاتهم لتحديد الأنظمة الضعيفة بسرعة قبل أن يقوم الأشرار بذلك نيابة عنهم. على الرغم من أن Nmap ليس أداة فحص كاملة للثغرات الأمنية ، إلا أن قدرات NSE القوية تسمح لها بإجراء فحوصات الثغرات الأمنية حتى مع المتطلبات الصارمة للغاية. على سبيل المثال ، عندما تسبب خطأ Heartbleed في برنامج تشفير OpenSSL في اختراق مئات الآلاف من الأنظمة حول العالم ، استجاب مطورو Nmap من خلال كتابة نص برمجي للكشف عن ssl في غضون يومين.
4. كشف مستتر
يترك العديد من المهاجمين السيبرانيين ، وكذلك بعض الديدان الآلية ، وراءهم أبوابًا خلفية لتزويد أنفسهم بثغرة في المستقبل لاختراق نظامك بسهولة أكبر. يمكن اكتشاف بعض هذه الأبواب الخلفية باستخدام إصدارات Nmap القياسية بناءً على مطابقة توقيع التعبير العادي ، ولكن العديد من الديدان والأبواب الخلفية الأكثر تعقيدًا تتطلب قدرات NSE المتقدمة للكشف بشكل موثوق. على وجه الخصوص ، يتم استخدام NSE للكشف عن الباب الخلفي DoublePulsar ، والذي يستخدم ثغرة أمنية في تنفيذ بروتوكول SMB ، وإصدارات الباب الخلفي لخادم UnrealIRCd IRC ، بالإضافة إلى خوادم vsftpd و ProFTPd FTP.
5. كشف الضعف
يتم تطبيق NSE على لغة برمجة للأغراض العامة ، ويمكن حتى استخدام NSE لإنشاء ثغرات يمكن أن تساعدك على اكتشاف نقاط الضعف قبل أن تكون معروفة للجمهور. يمكن أن تكون هذه القدرة على إضافة ثغرات نصية مخصصة مفيدة للغاية لبعض الأشخاص (في المقام الأول مختبرو الاختراق). ومع ذلك ، لا تزال NSE ليست منصة كاملة لإنشاء التوقيعات والمآثر ، مثل Metasploit.
ما هي فئات نصوص NSE الموجودة؟
يوجد حاليًا 598 برنامج نصي NSE يمكنك العثور عليها في مجلد "scripts" ، وهو دليل فرعي من دليل Nmap الرئيسي. للحصول على أداء أفضل ، تتم فهرسة جميع البرامج النصية في قاعدة البيانات "scripts / script.db" ، والتي تشير إلى الفئة أو الفئات التي ينتمي إليها كل برنامج نصي.
اعتمادًا على الاستخدام المقصود ، ولتسهيل استخدامها ، يتم تجميع نصوص NSE في فئات مختلفة. الفئات التالية من نصوص NSE محددة حاليًا: المصادقة ، البث ، الغاشم ، الافتراضي. ديسكفري ، دوس ، إكسبلت ، خارجي ، فزر ، متطفل ، برمجيات خبيثة ، آمن ، إصدار ، وفولن (أسماء الفئات ليست حساسة لحالة الأحرف). يوجد أدناه عرض أكثر تفصيلاً لكل فئة:
- المصادقة- تتعامل هذه الفئة من البرامج النصية مع أوراق اعتماد المصادقة (أو تتجاوزها) على النظام الهدف. ومن أمثلة هذه البرامج النصية "x11-access" و "ftp-anon" و "oracle-enum-users". لاحظ أن البرامج النصية التي تستخدم هجوم القوة الغاشمة لمحاولة تحديد بيانات الاعتماد يتم تصنيفها على أنها غاشمة.
- إذاعة- عادةً ما تُستخدم البرامج النصية في هذه الفئة لاكتشاف المضيفين غير المحددين في سطر الأوامر من خلال الاتصال واسع النطاق مع الشبكة المحلية. عند استخدام وسيطة البرنامج النصي "newtargets" ، سيضيفون تلقائيًا المضيفين الذين يجدونهم إلى قائمة انتظار الفحص.
- غاشمة- تُستخدم هذه الفئة من البرامج النصية لتنفيذ هجمات القوة الغاشمة للحصول على بيانات اعتماد المصادقة لخادم بعيد. يقدم Nmap نصوصًا لهجمات القوة الغاشمة على عشرات البروتوكولات. تتضمن هذه البرامج النصية التالية: "http-brute" و "oracle-brute" و "snmp-brute" وما إلى ذلك.
- إفتراضي- تحدد هذه الفئة من البرامج النصية تلك البرامج النصية التي تم تحديدها بواسطة مطوري Nmap على أنها مفيدة لتوسيع وظائف الماسح الضوئي أو تحسين تشغيله ، ويشار إلى المجموعة "الافتراضية" الأساسية. يتم تشغيلها عند استخدام الخيارين "-sC" أو "-A" ، وليس عن طريق تحديد قائمة محددة من البرامج النصية من خلال الخيار "--script". من الممكن تحديد هذه الفئة من البرامج النصية بشكل صريح ، مثل الفئات الأخرى ، باستخدام "--script = default". يحاول فريق Nmap ، عند تحديد ما إذا كان يجب تصنيف نص برمجي معين على أنه افتراضي ، الاعتماد على المتطلبات التالية:
- سرعة- يجب إكمال المسح الافتراضي بسرعة ، مما يستبعد تضمين هذه الفئة من مفرقعات المصادقة ذات القوة الغاشمة ، وعناكب الويب ، بالإضافة إلى أي نصوص أخرى يتم حساب وقت مسحها لخدمة واحدة بالدقائق أو حتى ساعات.
- جدوى- يتطلب إجراء مسح في الفئة الافتراضية الحصول على معلومات قيمة وحديثة. بمعنى آخر ، يجب أن تكون نتيجة فحص مثل هذا البرنامج النصي مفهومة ومفيدة لمتوسط أمن الشبكات المحترف. خلاف ذلك ، لا معنى لتشغيله بشكل افتراضي.
- الإيجاز- يتم استخدام مخرجات المعلومات التي يتلقاها الماسح الضوئي Nmap لمجموعة متنوعة من الأغراض والاحتياجات ، لذلك يجب أن تكون هذه المعلومات مقروءة وموجزة. النصوص التي غالبًا ما تُنشئ العديد من الصفحات بإخراج كامل لجميع المعلومات المتلقاة لا تنتمي أيضًا إلى فئة البرنامج النصي الافتراضي. بمعنى آخر ، نصوص NSE المصنفة على أنها افتراضية عندما لا تجد أي معلومات مهمة لا تظهر شيئًا في التقرير. وينطبق هذا أيضًا على البرامج النصية الافتراضية التي تبحث عن نقاط الضعف المخفية - فهي تنتج النتيجة فقط عند اكتشاف هذه الثغرات الأمنية.
- الموثوقية- يمكن للعديد من البرامج النصية في عملهم الاعتماد على التحليل التجريبي وبيانات مطابقة التوقيع الغامضة لاستخلاص استنتاجات معينة حول المضيف أو الخدمة المستهدفة. ومن أمثلة هذه البرامج النصية "sniffer-discovery" و "sql-injection". لن يتم تضمين مثل هذه النصوص في الفئة الافتراضية ، لأن نتائج عملهم غالبًا ما تكون خاطئة ويمكن أن تضلل المستخدم الذي لا يفهم بوضوح جميع تفاصيل عملهم.
- الخفاء- بعض البرامج النصية تطفلية بشكل مفرط عندما تستخدم موارد مهمة للنظام البعيد ، مما قد يؤدي إلى فشل هذا النظام أو الخدمة ، أو يمكن اعتبار أفعالها بمثابة هجوم من قبل المسؤولين عن بعد. لا يتم تضمين هذه البرامج النصية أيضًا في الفئة الافتراضية. ومع ذلك ، فقد صنف فريق Nmap بعض البرامج النصية "العدوانية المعتدلة" على أنها افتراضية بناءً على فائدتها ومدى قدرتها على التصرف بشكل جيد ، بالنظر إلى عوامل أخرى.
- سرية- يمكن للعديد من النصوص الكشف عن معلومات سرية لأطراف ثالثة ، بناءً على تفاصيل عملهم. على سبيل المثال ، يجب أن تقدم البرامج النصية للبحث عن بيانات WHOIS تقريرًا بعنوان IP الهدف للمسجلين الإقليميين. بمعنى آخر ، في الفئة الافتراضية لنصوص NSE ، يحاول فريق Nmap عدم إضافة نصوص يمكن أن تنتهك الخصوصية.
- اكتشاف- تحاول هذه الفئة من البرامج النصية بنشاط معرفة المزيد حول الشبكة عن طريق إرسال الطلبات العامة إلى المسجل ، والأجهزة التي تدعم SNMP ، وخدمة الدليل ، وما إلى ذلك. ومن أمثلة هذه البرامج النصية "عنوان HTML" (يحصل على عنوان المسار الجذر لمواقع الويب) و "مشاركات smb-enum" (تسرد مشاركات Windows) و "snmp-sysdescr" (استرداد معلومات النظام التفصيلية عبر بروتوكول الإنترنت القياسي لإدارة جهاز SNMP).
- دوس- يجب استخدام النصوص في هذه الفئة بحذر شديد ، لأنها يمكن أن تؤدي إلى رفض الخدمة. يتم استخدامها في بعض الأحيان من قبل مختبري الأمان لاختبار ضعف النظام أمام هجمات رفض الخدمة ، ولكن مثل هذا الاختبار يمكن أن يؤدي إلى آثار جانبية غير مرغوب فيها ، مثل التسبب في تعطل بعض الخدمات الضعيفة.
- استغلال- تهدف هذه البرامج النصية إلى استغلال ثغرة أمنية معينة. ومن أمثلة هذه الفئة من البرامج النصية "jdwp-exec" و "http-shellshock".
- خارجي- يمكن للنصوص في هذه الفئة إرسال البيانات إلى جهات خارجية تتحكم في قواعد البيانات أو موارد الشبكة الأخرى. مثال على مثل هذا البرنامج النصي هو "whois-ip" ، والذي يتصل بخوادم WHOIS للحصول على معلومات حول عنوان IP الخاص بالهدف. هناك دائمًا احتمال أن يقوم مشغلو قواعد بيانات الطرف الثالث بتسجيل كل ما ترسله إليهم ، والذي سيشمل في كثير من الحالات معلومات حول عنوان IP الخاص بك وعنوان IP لهدفك. لا تندرج معظم البرامج النصية التي تتعامل فقط مع حركة المرور بين جهاز الكمبيوتر الذي يتم فحصه والعميل ضمن هذه الفئة.
- مصاهرهي فئة من البرامج النصية المصممة لإرسال حقول غير متوقعة أو عشوائية إلى برنامج الخادم في كل دفعة. على الرغم من أن هذه الطريقة يمكن أن تكون مفيدة في العثور على أخطاء غير معروفة ونقاط ضعف في البرامج ، إلا أنها عملية بطيئة تستهلك أيضًا نطاقًا تردديًا مكثفًا. مثال على هذه الفئة من البرامج النصية هو "dns-fuzz" ، الذي يقصف خادم DNS باستعلامات نطاق معدلة جزئيًا حتى ينخفض الخادم أو تنتهي فترة زمنية محددة من قبل المستخدم.
- تطفلي- تتضمن هذه الفئة من البرامج النصية تلك التي لا يمكن تصنيفها على أنها آمنة (آمنة) ، نظرًا لأن المخاطر عالية جدًا بحيث ينهار النظام المستهدف تحت ضغطها ، فستكون هناك حاجة إلى موارد كبيرة على المضيف الهدف (على سبيل المثال ، النطاق الترددي أو وقت المعالج ) ، أو غير ذلك ، سيتم اعتبار تنفيذها من قبل مسؤولي النظام الهدف على أنه نشاط ضار. ومن أمثلة هذه البرامج النصية "http-open-proxy" (الذي يحاول استخدام الخادم الهدف كوكيل HTTP) و "snmp-brute" (الذي يحاول تخمين ما يسمى بـ "سلسلة المجتمع" لأجهزة SNMP عن طريق إرسال القيم مثل العامة والخاصة و cisco). إذا كان البرنامج النصي لا ينتمي إلى فئة الإصدار الخاصة ، فيجب تصنيفه على أنه آمن أو تدخلي.
- البرمجيات الخبيثة- تتحقق هذه البرامج النصية مما إذا كانت المنصة المستهدفة مصابة ببرامج ضارة أو أبواب خلفية. من أمثلة البرامج النصية في هذه الفئة من البرامج النصية "smtp-strangeport" ، الذي يراقب خوادم SMTP التي تعمل بأرقام منافذ غير معتادة ، و "auth-spoof" ، الذي يكتشف شياطين الهوية المخادعة (تنفيذ دعم بروتوكول هوية المستخدم) التي تقدم استجابة وهمية حتى الآن قبل أن يتلقوا طلبًا. سواء بالنسبة للمثال الأول أو الثاني ، فإن هذا السلوك ، إذا تم اكتشافه ، عادة ما يكون علامة على إصابة النظام بالبرامج الضارة.
- آمنة- يتم تصنيف جميع البرامج النصية التي لم يتم إنشاؤها للتسبب في فشل الخدمة ، وتستخدم كميات كبيرة من النطاق الترددي للشبكة أو موارد أخرى ، ولا تهدف إلى استغلال الثغرات الأمنية ، على أنها آمنة. هم أقل عرضة لجذب انتباه المسؤولين عن بعد ، على الرغم من أنه (كما هو الحال مع أي وظيفة Nmap أخرى) لا يمكن ضمانه بنسبة 100٪ أنهم لن يجتذبوا الانتباه الجانبي. تؤدي معظم هذه البرامج النصية مهامًا تتعلق باستكشاف الشبكة العام. من أمثلة البرامج النصية في هذه الفئة "ssh-hostkey" (يحصل على مفتاح SSH الخاص بالمضيف) و "html-title" (يأخذ العنوان من صفحة الويب). لا يتم تصنيف البرامج النصية في فئة الإصدار على أنها آمنة ، ولكن يجب تعريف البرامج النصية الأخرى غير الآمنة على أنها نصية متطفلة.
- الإصدار- البرامج النصية من هذه الفئة الخاصة هي امتداد لوظيفة اكتشاف الإصدار ولا يمكن تحديدها بشكل صريح. يتم تحديدها للتشغيل فقط عند مطالبتك بتحديد إصدار Nmap ("-sV"). لا يمكن فصل مخرجاتهم عن مخرجات وظيفة الإصدار ، ولا تعمل كمضيف أو برامج نصية للخدمة. ومن أمثلة هذه البرامج النصية "skypev2-version" و "pptp-version" و "iax2-version".
- فولن- تقوم البرامج النصية في هذه الفئة بإجراء فحوصات بحثًا عن وجود ثغرة أمنية معروفة وعادة ما تقدم فقط تلك النتائج التي تؤكد اكتشاف مثل هذه الثغرة الأمنية. ومن أمثلة هذه البرامج النصية "realvnc-auth-bypass" و "afp-path-vuln".
يتم تقسيم البرامج النصية ، اعتمادًا على توجهها الوظيفي ، بالإضافة إلى مرحلة المسح التي يتم تنفيذها خلالها ، إلى أربعة أنواع (يمكن لبعض البرامج النصية أن تدعم عدة أنواع من العمليات في وقت واحد):
- البرامج النصية المسبقة - يتم تشغيل هذا النوع من البرامج النصية قبل تنفيذ أي عمليات Nmap ، لذلك يتم تنفيذها قبل مرحلة الفحص ، عندما لا يكون Nmap قد جمع بعد أي معلومات حول الهدف. يمكن أن تكون هذه البرامج النصية مفيدة لأداء المهام المستقلة عن أهداف مسح محددة ، مثل تقديم طلبات البث لاستطلاع خوادم DHCP و DNS SD. يمكن لبعض هذه البرامج النصية إنشاء أهداف جديدة لمسح Nmap (فقط إذا قدمت وسيطة NSE "newtargets"). لذلك ، على سبيل المثال ، يمكن للبرنامج النصي "dns-zone-transfer" الحصول على قائمة بعناوين IP في مجال باستخدام طلب نقل المنطقة ، ثم إضافتها تلقائيًا إلى قائمة الأهداف لفحص Nmap. يتم تحديد البرامج النصية السابقة باستخدام وظيفة prerule.
- البرامج النصية للمضيف - يتم تشغيل هذه البرامج النصية أثناء عملية فحص Nmap القياسية ، بعد أن يقوم الماسح الضوئي Nmap بإجراء عمليات عادية مثل اكتشاف المضيف ومسح المنافذ وإصدار الإصدارات واكتشاف نظام التشغيل على المضيف الهدف. يتم استدعاء هذا النوع من البرامج النصية مرة واحدة لكل مضيف هدف يطابق وظيفة القاعدة المضيفة الخاصة به. تتضمن الأمثلة "whois-ip" الذي يبحث عن معلومات المالك لعنوان IP الهدف ، و "path-mtu" الذي يحاول تحديد الحجم الأقصى لحزمة IP التي يمكن أن تصل إلى الهدف دون الحاجة إلى التجزئة.
- البرامج النصية للخدمة - يتم تشغيل هذا النوع من البرامج النصية عند العثور على خدمات معينة على المضيف الهدف. على سبيل المثال ، يتضمن Nmap أكثر من 15 نصًا نصيًا لخدمة http يتم تشغيلها للعمل مع خوادم الويب. إذا كان لدى المضيف خوادم ويب تعمل على منافذ متعددة ، فيمكن تشغيل هذه البرامج النصية عدة مرات (واحد لكل منفذ). هذا هو النوع الأكثر شيوعًا من البرامج النصية في Nmap ، ويختلفان من حيث احتوائهما على وظيفة portrule لتحديد الخدمات المكتشفة التي يجب تشغيل البرنامج النصي مقابلها.
- البرامج النصية لما بعد القاعدة - يتم تشغيل هذا النوع من البرامج النصية مرة واحدة ، بعد أن يقوم Nmap بفحص جميع الأهداف المقصودة. يمكن أن تكون مفيدة لتنسيق وتقديم مخرجات المعلومات التي يتلقاها الماسح الضوئي Nmap. على سبيل المثال ، يُعرف البرنامج النصي "ssh-hostkey" بشكل أكثر شيوعًا باسم برنامج نصي للخدمة (مع تعريف portrule) الذي يتصل بخوادم SSH ويكتشف مفاتيحها العامة ويطبعها. ولكنه يتضمن أيضًا وظيفة postrule التي تتحقق من وجود مفاتيح مكررة بين جميع المضيفين الذين تم التحقق منهم ، ثم تطبع جميع الأجهزة التي تم العثور عليها. هناك حالة استخدام محتملة أخرى لنصوص من هذا النوع وهي إجراء طباعة عكسية لإخراج ماسح Nmap - على سبيل المثال ، إدراج جميع المضيفين الذين يقومون بتشغيل خدمة معينة ، بدلاً من سرد جميع المضيفين الذين يقومون بتشغيل الخدمات عليها. يتم تحديد البرامج النصية لما بعد القاعدة باستخدام وظيفة postrule.
ملحوظة: يمكن تشغيل العديد من البرامج النصية كبرنامج نصي تمهيدي بالإضافة إلى نص برمجي لما بعد القاعدة. في هذه الحالات ، يوصى باستخدام الوظيفة السابقة لتجنب التناقضات.
بجنون العظمة الأبدي ، أنطون كوتشوكوف.
أنظر أيضا:
nmap [ <Тип сканирования> ...] [ <Опции> ] { <цель сканирования> }
وصف
nmap (" مخطط الشبكة ») هي أداة مساعدة لاستكشاف الشبكة واختبار الأمان مفتوحة المصدر. تم تصميمه لمسح الشبكات الكبيرة بسرعة ، على الرغم من أنه يعمل بشكل جيد أيضًا مع أهداف فردية. يستخدم Nmap حزم IP الأولية بطريقة أصلية لتحديد المضيفين المتاحين على الشبكة ، والخدمات (اسم التطبيق والإصدار) التي يقدمونها ، وأنظمة التشغيل (وإصدارات نظام التشغيل) التي يستخدمونها ، وأنواع مرشحات الحزم / جدران الحماية المستخدمة ، والعديد من الخصائص الأخرى. على الرغم من استخدام Nmap بشكل شائع لفحوصات الأمان ، إلا أن العديد من مسؤولي النظام يجدونها مفيدة للمهام الشائعة مثل مراقبة بنية الشبكة وإدارة جداول بدء تشغيل الخدمة وتتبع وقت تشغيل المضيف أو الخدمة.
ناتج Nmap عبارة عن قائمة بالأهداف الممسوحة ضوئيًا ، مع معلومات إضافية عن كل هدف اعتمادًا على الخيارات المقدمة. المعلومات الأساسية هي « جدول المنافذ الهامة» . يحتوي هذا الجدول على رقم المنفذ والبروتوكول واسم الخدمة والحالة. يمكن أن تكون الحالة مفتوحة (مفتوحة) أو مصفاة (مصفاة) أو مغلقة (مغلقة) أو غير مصفاة (غير مصفاة). فتح يعني أن التطبيق على الجهاز الهدف جاهز للاتصال / استقبال الحزم على هذا المنفذ. يُقصد بالفلتر أن جدار الحماية أو عامل تصفية الشبكة أو أي تداخل آخر للشبكة يحظر المنفذ ، ولا يمكن لـ Nmap تحديد ما إذا كان المنفذ مفتوحًا أم مغلقًا. لا ترتبط المنافذ المغلقة بأي تطبيق ، ولكن يمكن فتحها في أي وقت. تعتبر المنافذ غير مصفاة عندما تستجيب لطلبات Nmap ، لكن Nmap لا يمكنها معرفة ما إذا كانت مفتوحة أم مغلقة. تفتح مشكلات Nmap المجموعات المصفاة | المصفاة والمغلقة | التي تمت تصفيتها عندما يتعذر عليها تحديد أي من الحالتين التي يصفها المنفذ. قد يوفر هذا الجدول أيضًا تفاصيل حول إصدار البرنامج إذا طلب ذلك. عند المسح عبر بروتوكول IP (-sO) ، يوفر Nmap معلومات حول البروتوكولات المدعومة ، وليس حول المنافذ المفتوحة.
بالإضافة إلى جدول المنافذ المهمة ، يمكن أن يوفر Nmap مزيدًا من المعلومات المستهدفة: أسماء DNS التي تم حلها ، وتخمين نظام التشغيل ، وأنواع الأجهزة ، وعناوين MAC.
يظهر الفحص النموذجي باستخدام Nmap في المثال 1. الوسيطات الوحيدة المستخدمة في هذا المثال هي -A لإصدار نظام التشغيل والمسح النصي والتتبع ؛ -T4 لتنفيذ أسرع ؛ ثم مضيفين مستهدفين.
مثال 1. مثال نموذجي للمسح باستخدام Nmap
# nmap -A -T4 scanme..org) منافذ مثيرة للاهتمام على scanme.site (64.13.134.52): (المنافذ الـ 1663 التي تم مسحها ضوئيًا ولكن لم تظهر أدناه هي في حالة: تمت تصفيتها) PORT STATE SERVICE VERSION 22 / tcp open ssh OpenSSH 3.9p1 (بروتوكول 1.99) 53 / tcp open domain 70 / tcp مغلق gopher 80 / tcp open http Apache httpd 2.0.52 ((Fedora)) 113 / tcp مصادقة مغلقة نوع الجهاز: أغراض عامة التشغيل: Linux 2.4.X | 2.5.X | 2.6.x تفاصيل نظام التشغيل: Linux 2.4.7 - 2.6.11 ، Linux 2.6.0 - 2.6.11 منافذ مثيرة للاهتمام في الملعب ..168.0.40): (المنافذ 1659 التي تم فحصها ولكن لم تظهر أدناه في حالة: مغلق) PORT إصدار خدمة الحالة 135 / tcp مفتوح msrpc Microsoft Windows RPC 139 / tcp open netbios-ssn 389 / tcp open ldap؟ 445 / برنامج التعاون الفني افتح Microsoft-DS Microsoft Windows XP Microsoft-ds 1002 / TCP فتح windows-icfw؟ 1025 / tcp open msrpc Microsoft Windows RPC 1720 / tcp open H.323 / Q.931 CompTek AquaGateKeeper 5800 / tcp open vnc-http RealVNC 4.0 (القرار 400x250 ؛ منفذ VNC: 5900) 5900 / tcp open vnc VNC (البروتوكول 3.8) MAC العنوان: 00: A0: CC: 63: 85: 4B (Lite-on Communications) نوع الجهاز: أغراض عامة التشغيل: Microsoft Windows NT / 2K / XP OS تفاصيل: Microsoft Windows XP Pro RC1 + حتى الإصدار النهائي معلومات الخدمة: أنظمة التشغيل: Windows ، انتهى Windows XP Nmap: تم فحص عنواني IP (مضيفان لأعلى) في 88.392 ثانية
يمكن تنزيل أحدث إصدار من Nmap من
Nmap عبارة عن ماسح ضوئي لا يمكن لأي متسلل تقريبًا الاستغناء عنه ، لذا أعتقد أن موضوع توسيع قدراته يثير اهتمام الكثيرين. يعد استخدام أدوات أخرى مع Nmap ممارسة شائعة. ستتحدث هذه المقالة عن كيفية أتمتة Nmap بسهولة باستخدام أدواتك المفضلة. من الأنسب "الضغط على زر واحد" والحصول على النتيجة بدلاً من القيام بنفس تسلسل الإجراءات باستمرار. يمكن أن يساعد استخدام البرامج النصية في Nmap المتسللين على اختراق الأنظمة بشكل تلقائي ، ويمكن لمسؤولي النظام فحص الأنظمة بحثًا عن الثغرات الافتراضية وإصلاحها في الوقت المناسب.
بضع كلمات عن Nmap
أنا متأكد من أن معظم قراء مجلة Hacker يعرفون ماهية Nmap وربما استخدموها أكثر من مرة لاستكشاف الشبكة وجمع المعلومات. بالنسبة لأولئك الذين نسوا أو لا يعرفون ، فقط في حالة ، دعني أذكرك:
- Nmap هي أداة تعمل عبر الأنظمة الأساسية لفحص الشبكة وفحص أمانها وتحديد إصدارات نظام التشغيل والخدمات المتنوعة وغير ذلك الكثير. هذه أداة مرنة للغاية وقابلة للتوسيع بسهولة ، ويجعلها محرك البرمجة النصية NSE ؛
- NSE (Nmap Scripting Engine) هو مكون Nmap قوي يسمح للمستخدمين بكتابة نصوص لأتمتة مجموعة واسعة من مهام الشبكة: تفاعل أكثر مرونة مع إمكانيات Nmap الحالية ، واكتشاف واستغلال الثغرات الأمنية ، وأكثر من ذلك. تعتمد NSE على مترجم لغة Lua ؛
- Lua هي لغة برمجة نصية مشابهة لجافا سكريبت.
صياغة المشكلة
كما ذكرنا سابقًا ، سنقوم اليوم بتوسيع وظائف Nmap من خلال كتابة البرامج النصية الخاصة بنا. عادة ما يبدأ أي اختراق / pentest بالاستطلاع وجمع البيانات. أحد عمليات الفحص الأولى هو وجود منافذ مفتوحة على المضيف قيد الدراسة وتحديد الخدمات قيد التشغيل. ربما لا توجد أداة أفضل من Nmap لجمع مثل هذه المعلومات. عادةً ما تكون الخطوة التالية بعد المسح إما البحث عن sploit للخدمة التي تم العثور عليها المعرضة للخطر ، أو تحديد تسجيل الدخول: زوج كلمة المرور باستخدام طريقة القوة الغاشمة.
لنفترض أنك تستخدم THC-Hydra brute-forcer بشكل نشط لتخمين كلمات مرور العديد من الخدمات (على سبيل المثال ، HTTP-Basic و SSH و MySQL). في هذه الحالة ، يجب عليك ضبط الهيدرا على كل خدمة على حدة ، وتحتاج إلى تذكر ميزات الخدمات والأعلام اللازمة لإطلاق الهيدرا. وإذا أصبح من الضروري الغاشمة أكثر بكثير من خمس خدمات؟ .. لماذا لا تتم أتمتة ذلك؟
لذلك ، دعنا نكتب نصًا بسيطًا يعمل على أتمتة عملية بدء Hydra لتحديد تسجيلات الدخول / كلمات المرور لخدمة واحدة (على سبيل المثال ، PostgreSQL). لهذا نحتاج إلى الأدوات التالية:
- nmap.
- THC- هيدرا
- أي محرر نصوص.
إذا لم يكن لديك بالفعل Nmap و / أو Hydra مثبتًا ، فقم بإصلاحه على الفور:
sudo apt-get install nmap hydra
حسنًا ، لنبدأ. البرامج النصية لـ Nmap هي ملفات نصية عادية بامتداد * .nse. لذا افتح محرر النصوص المفضل لديك وأنشئ ملفًا جديدًا. سأستخدم Vim:
$ vim hydra.nse
هيكل البرنامج النصي NSE
قبل الانتقال إلى الكتابة ، لا بد من القول إن جميع النصوص لها هيكل معين. بالإضافة إلى الكود نفسه ، الذي يقوم بأتمتة إجراءات معينة ، فإنه يحتوي على وصف للبرنامج النصي (الغرض منه وكيفية استخدامه) ، ومعلومات حول المؤلف ، والتراخيص ، والاعتماد على البرامج النصية الأخرى ، والفئات التي ينتمي إليها البرنامج النصي ، وهلم جرا. دعنا نلقي نظرة فاحصة على كل جزء من هذه الأجزاء.
وصف البرنامج النصي (الوصف)
يحتوي هذا القسم على وصف للبرنامج النصي وتعليقات المؤلف ومثال لعرض نتيجة تنفيذ البرنامج النصي على الشاشة وميزات إضافية.
بالنسبة إلى النص البرمجي الذي يختار تسجيلات الدخول / كلمات المرور لـ PostgeSQL ، سيبدو الوصف كما يلي:
الوصف = [[فرض غاشم تشغيل كافة الخدمات على مضيف هدف. يتم إرجاع النتائج في جدول مع كل مسار ، وطريقة الكشف ، وتسجيل الدخول و / أو كلمة المرور. ]] --- -usage - nmap - سكريبت هيدرا [- script-args "lpath =
تعليق؛ - - تعليق متعدد الأسطر ؛ usage ،output ،args - مثال على استدعاء برنامج نصي ، وعرض النتيجة على الشاشة ، والحجج الضرورية عند الاتصال.
أعلاه فيusage ، نرى تنسيق تشغيل البرنامج النصي. في هذه الحالة ، يتم تحديد اسم البرنامج النصي (hydra) فقط. يصبح هذا ممكنًا إذا تم وضع البرنامج النصي في الدليل /
الفئات التي يوجد بها البرنامج النصي (الفئات)
عند كتابة نص NSE ، يمكنك تحديد فئته (أو عدة فئات). يكون هذا مفيدًا عندما لا يريد مستخدم Nmap استخدام نص برمجي محدد ، بل مجموعة من البرامج النصية الموجودة في نفس الفئة. أمثلة على بعض الفئات:
- المصادقة - فئة تحدد فيها البرامج النصية بيانات المصادقة للمضيف الهدف ؛
- brute - فئة تساعد نصوصها في تحديد عمليات تسجيل الدخول وكلمات المرور للخدمات المختلفة ؛
- افتراضي - فئة تحتوي على البرامج النصية الرئيسية. هناك بعض المعايير التي تحدد ما إذا كان البرنامج النصي ينتمي إلى هذه الفئة: سرعة المسح ، والفائدة ، والموثوقية ، والسرية ، والإخراج المرئي ؛
- البرامج الضارة - فئة تساعد في التعرف على البرامج الضارة.
على سبيل المثال ، إذا كنت تريد تشغيل جميع البرامج النصية من فئة المصادقة ، فسيبدو الأمر كما يلي:
$ nmap --script = المصادقة example.com
في هذه الحالة ، سيتم تشغيل البرامج النصية من هذه الفئة بدورها للمضيف المحدد. السيناريو الخاص بنا ينتمي إلى فئة الغاشمة. دعنا نضيف السطر التالي إلى الملف:
الفئات = ("الغاشمة")
معلومات عن المؤلف (المؤلف)
يحتوي كل نص على معلومات حول مؤلفه. في حالتي:
المؤلف = "أولغا بارينوفا"
معلومات حول الترخيص قيد الاستخدام (الترخيص)
يرحب Nmap بجميع تطويرات المستخدم ويشجع على المشاركة ، بما في ذلك نصوص NSE. عند تحديد ترخيص ، فإنك تؤكد الحق في مشاركة البرنامج النصي مع المجتمع. يبدو ترخيص Nmap القياسي كما يلي:
الترخيص = "مثل Nmap - راجع http://nmap.org/book/man-legal.html"
دعنا نضيف هذا السطر إلى البرنامج النصي الخاص بنا أيضًا.
التبعيات على البرامج النصية الأخرى (التبعيات)
تحتوي هذه المنطقة على أسماء نصوص NSE التي يجب تنفيذها قبل تشغيل هذا البرنامج النصي للحصول على المعلومات الضرورية. علي سبيل المثال،
التبعيات = ("smb-brute").
في حالتنا هذه ، لن تكون هناك حاجة إلى هذه الميزة ، لذلك لن نضيف التبعيات.
المضيف والميناء (المضيف والميناء)
يحتاج Nmap إلى معرفة الخدمات والمنافذ التي سيتم تشغيل البرنامج النصي عليها. هناك قواعد خاصة لهذا:
- prerule () - يتم تنفيذ البرنامج النصي مرة واحدة قبل فحص أي مضيف ، ويستخدم لبعض عمليات الشبكة ؛
- hostrule (host) - يتم تنفيذ البرنامج النصي لكل مضيف من الجدول ، والذي يأخذ كوسيطة ؛
- portrule (host، port) - يتم تنفيذ البرنامج النصي لكل مضيف ولكل منفذ من الجداول التي يتخذها كوسيطات ؛
- postrule () - يتم تنفيذ البرنامج النصي مرة واحدة بعد فحص أي مضيف. يتم استخدامه بشكل أساسي لمعالجة النتائج وتلخيص الإحصائيات وما شابه.
توجد مكتبات لتشكيل مثل هذه القواعد. يحتاج البرنامج النصي الخاص بنا فقط إلى تحديد رقم المنفذ (5432) واسم الخدمة (postgresql) ، وبعد ذلك سيعمل فقط لهذا المنفذ والخدمة. توجد مكتبة شورت بورت مشهورة إلى حد ما مدمجة في NSE تتضمن طرقًا مختلفة. سوف نستخدم الطريقة
Port_or_service (المنافذ ، الخدمات ، البروتوس ، الدول)
حيث المنافذ هي أرقام المنافذ ، والخدمات هي أسماء الخدمات ، والبروتوكولات هي أسماء بروتوكول (على سبيل المثال ، udp) ، والحالات هي حالات.
تُرجع هذه الطريقة صحيحًا إذا كانت الخدمة التي يتم تحليلها حاليًا موجودة على أحد المنافذ في قائمة المنافذ أو تطابق أي خدمة في قائمة الخدمات ، ويتم التحقق من البروتوكول والحالة بحثًا عن تطابق ، وإلا يتم إرجاع false.
لجعل البرنامج النصي يعمل مع PostgreSQL ، نحتاج إلى إضافة رقم المنفذ واسم الخدمة:
Portrule = shortport.port_or_service ((5432)، ("postgresql"))
ربط المكتبات
دعنا نتطرق لثانية واحدة من بنية البرنامج النصي وننظر في كيفية اتصال المكتبات الخارجية ، والوظائف التي نحتاج إلى الوصول إليها.
واصلت متاحة للأعضاء فقط
الخيار 1. انضم إلى مجتمع "الموقع" لقراءة جميع المواد الموجودة على الموقع
ستمنحك العضوية في المجتمع خلال الفترة المحددة الوصول إلى جميع مواد القرصنة ، وزيادة الخصم التراكمي الشخصي الخاص بك وتسمح لك بتجميع تقييم نقاط Xakep احترافي!
ستجد أدناه 20 أساسيًا أمثلة على استخدام الأمر Nmap.
سوف تتعلم كيفية استخدام Nmap من سطر الأوامر في لينكسللبحث عن مضيفين نشطين على الشبكة وفحص المنافذ المفتوحة.
سترى كيف كشف نظام التشغيل عن بعدباستخدام TCP / IP مكدس بصمات الأصابع وكيف تحقق من إصدار البرنامجيعمل على خادم بعيد.
سأوضح لك أيضًا كيفية استخدام Nmap للتنفيذ مسح سري، مثل تحديد جدار الحمايةوكيف تغيير عنوان MAC.
1. امسح مضيف واحد أو عنوان IP
مسح عنوان IP منفصل:
nmap $ 192.168.1.1
فحص الخادم عن طريق اسم المضيف:
$ nmap server.site
زيادة مستوى التفصيلنتائج مسح:
خادم $ nmap -v..site
2. مسح عدة عناوين IP
مسح عناوين IP متعددة:
nmap 192.168.1.1 192.168.1.2 192.168.1.3 $ namp 192.168.1.1،2،3
مسح الشبكة الفرعية:
$ nmap 192.168.1.0/24 $ nmap 192.168.1. *
مسح مجموعة من عناوين IP (192.168.1.0 — 192.168.1.200):
nmap 192.168.1.0-200 دولار
3. ابحث عن أجهزة كمبيوتر نشطة على الشبكة
نصيحة مفيدة:امسح الشبكة بأمر ping واحد فقط! حساب جميع أجهزة الكمبيوتر النشطة!
تفحص الشبكة في البحث المضيفون النشطون:
nmap دولار - 192.168.1.0/24
4. مسح قائمة المضيفين من ملف
مسح قائمة بالمضيفين / الشبكات من ملف:
$ nmap -iL input.txt
تنسيق الملف:
# يمكن أن تكون الإدخالات بأي من التنسيقات التي تعمل بها # Nmap من سطر الأوامر (عناوين IP أو أسماء المضيفين أو CIDR أو IPv6 أو octet # range). يجب أن تكون الإدخالات مفصولة بمسافة واحدة أو أكثر ، أو بعلامات تبويب # أو أسطر جديدة. $ cat input.txt server.site 192.168.1.0/24 192.168.2.1،2،3 192.168.3.0-200
5. استبعاد IP / المضيفين / الشبكات من المسح
استبعاد الأهدافمن مسح Nmap:
nmap $ 192.168.1.0/24 - باستثناء 192.168.1.1 $ nmap 192.168.1.0/24 - باستثناء 192.168.1.1 192.168.1.5 $ nmap 192.168.1.0/24 - باستثناء 192.168.1.1،2،3
قائمة الاستبعاد hosts مأخوذ من الملف:
$ nmap 192.168.1.0/24 - استبعاد الملف باستثناء
تنسيق الملف مع المضيفات المستبعدة هو نفسه أعلاه.
6. فحص منافذ معينة
مسح منفذ واحد:
$ nmap -p 80192.168.1.1
مسح منافذ متعددة:
$ nmap -p 80،443 192.168.1.1
مسح نطاق المنفذ:
$ nmap -p 80-1000 192.168.1.1
مسح جميع المنافذ:
$ nmap -p 192.168.1.1 "*"
تفحص القليل من أكثر الموانئ المشتركة:
$ nmap - المنافذ العلوية 5 192.168.1.1 $ nmap - المنافذ العلوية 10 192.168.1.1
7. تعريف بروتوكولات IP المدعومة
تحديد أي بروتوكولات IP(TCP ، UDP ، ICMP ، إلخ.) يدعم المضيف الممسوح ضوئيًا:
$ nmap -sO 192.168.1.1
8. تفحص منافذ TCP / UDP
مسح جميع منافذ TCP:
$ nmap -sT 192.168.1.1
مسح بعض منافذ TCP:
$ nmap -p T: 80192.168.1.1
مسح جميع منافذ UDP:
$ nmap -sU 192.168.1.1
مسح منافذ UDP محددة:
$ nmap -p U: 53 192.168.1.1
الجمع بين عمليات مسح المنافذ المختلفة:
$ nmap -p U: 53،79،113، T: 21-25،80،443،8080 192.168.1.1
9. المسح السريع
تفعيل وضع سريعيتم المسح:
$ nmap -F 192.168.1.1
* يقوم بمسح منافذ أقل من المسح العادي.
10. إظهار سبب حالة المنفذ
يعرض السببوالتي تعتبر بموجبها Nmap أن الميناء في حالة معينة:
nmap $ - السبب 192.168.1.1
11. إظهار المنافذ المفتوحة فقط
يعرض فقط المنافذ المفتوحة(أو ربما مفتوح):
nmap $ - مفتوح 192.168.1.1
12. تعريف نظام التشغيل
واحدة من أكثر ميزات Nmap شهرة هي اكتشاف نظام التشغيل عن بُعد بناءً على تحليل مكدس TCP / IP.يرسل Nmap سلسلة من حزم TCP و UDP إلى مضيف بعيد ويفحص الاستجابات.
بعد إجراء الكثير من الاختبارات ، يقارن Nmap النتائج بقاعدة البيانات الخاصة به ، وإذا وجد تطابقًا ، فإنه يعرض معلومات حول نظام التشغيل.
شغله تعريف نظام التشغيل:
$ nmap -O 192.168.1.1
13. تحديد إصدار الخدمات
شغله تحديد إصدار الخدمات:
$ nmap -sV 192.168.1.1
* يحدد إصدارات البرامج التي تعمل على الخادم البعيد.
14. كشف جدار الحماية
اكتشف ما إذا كان جهاز الكمبيوتر الخاص بك محميًا من قبل أي منها مرشحات الحزمةأو جدار الحماية:
$ nmap -sA 192.168.1.1
15. عنوان MAC انتحال
يتغيرون عناوين MAC:
nmap $ - spoof-mac 00: 11: 22: 33: 44: 55 192.168.1.1
تغيير عنوان MAC عشوائية MAC:
nmap $ - spoof-mac 0 192.168.1.1
16. فحص جدار الحماية بحثًا عن نقاط الضعف
تستخدم أنواع الفحص الثلاثة هذه ثغرة دقيقة في TCP RFC لفصل المنافذ المفتوحة والمغلقة.عندما يتم فحص نظام متوافق مع RFC ، فإن أي حزمة لا تحتوي على مجموعة بت SYN أو RST أو ACK ستؤدي إلى إرسال RST استجابةً إذا كان المنفذ مغلقًا ، أو لن ينتج عنه أي استجابة إذا كان المنفذ مفتوحًا .
لان لم يتم تعيين أي من هذه البتات ، فإن أي مجموعة من الثلاثة المتبقية (FIN و PSH و URG) ستكون صالحة.
TCP Nullيتم المسح:
$ nmap -sN 192.168.1.1
* لم يتم تعيين أي بت (الإشارات في TCP Header 0).
TCP Finيتم المسح:
$ nmap -sF 192.168.1.1
* تم تعيين بت TCP FIN فقط.
برنامج التعاون الفني عيد الميلاديتم المسح:
$ nmap -sX 192.168.1.1
* تم تعيين أعلام FIN و PSH و URG (تضيء الحزمة مثل شجرة عيد الميلاد).
17. المسح المخفي
نصيحة مفيدة:ابق مجهولاً أثناء عمليات فحص المنفذ! استخدم Nmap + Tor + ProxyChains! اختبار اختراق آمن وسهل!
TCP SYNيتم المسح:
$ nmap -sS 192.168.0.1
* يُعرف باسم فحص الاتصال نصف المفتوح ، لأنه لا يفتح اتصالات TCP الكاملة.
18. تعطيل اكتشاف المضيف (لا يوجد Ping)
لا تقم بإجراء اختبار ping للمضيفين قبل المسح:
$ nmap -Pn 192.168.1.1
19. تعطيل استخدام DNS
نصيحة مفيدة:هل تحتاج إلى تشديد الأمان على Linux؟ تشفير حركة مرور DNS للحماية من الانتحال!
لا تقم مطلقًا بإجراء تحليل DNS عكسي لكل عنوان IP نشط تم العثور عليه.
Tcpdump - دليل مفيد مع أمثلة
إدارة المفاتيح توزيع المفاتيح الذي يشمل مركز توزيع رئيسي
الملفات التي تصيب فيروسات الماكرو