سسلام عليكم ورحمة الله وبركاته شحالكم ان شاءالله بخير.؟
المهم الموضوع الي بتكلم فيه منقؤؤؤؤؤؤؤل لحـفظ الحقوق لاني والله كنت من المـلل أدور في المواقع واقرا دروس عن الهكر وشفت هالموضوع الي اعجبني وحبيت انقله لكــم
بسم الله الرحمن الرحيم
الأمن في الانترنت موضوع طويل وطويل جدا ولكن نشرح هنا بعض المسائل بخصوص
الثغرات والمنافذ وأتمنى أن يشارك الكل في إثراء الموضوع.
ناخذها حبه حبه زي ما تقدر ويسمح لنا الوقت:
والأمثلة الوردة تخص الوندوز الجديد يعني شد بلد . .
فإذا ظهرت لك منافذ مفتوحه أكثر معناها برامج انت محملها
1-إغلاق المنافذ الغير مستخدمه:
يأتي نظام الوندوز وبه خدمات اتصالات عديدة والكثير منها غير مستخدم وعادة يكون من
الأفضل إيقاف بعضها إن لم يكن جميعها وأقصد بذلك المستخدم العادي الذي لا يرتبط نظامه
بأنظمة أخرى كما في الشركات وغيره.
سنورد هنا الطرق اللازمة والكافية لإنهاء هذا الموضوع الأول وهناك بعض المصطلحات التي
تخص تفاصيل تقنية ستضاف لاحقا إلى الموضوع على هيئة ردود بإذن الله.
نعلم جميعا أن وراء كل منفذ مفتوح يوجد برنامج معين يقوم بالاتصال عن طريقه تماما مثل تردد موجات الراديو
كل محطة تستخدم تردد معين ولكي نغلق المنفذ لابد من إيقاف البرنامج أو الخدمة التي تستخدمه.
أسرع طريقة لمعرفة منافذ TCP / UDP المفتوحة هي باستخدام الأمر netstat :
في نظام Windows 2000
يعطينا الامر netstat -an command النتائج التالية:
نوافذ الدوس يا أخوان تكتب على شكل كود
كود PHP:
<?
:WINNT>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:25 0.0.0.0:0 LISTENING
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1027 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING
TCP 0.0.0.0:4983 0.0.0.0:0 LISTENING
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1028 *:*
UDP 0.0.0.0:1029 *:*
UDP 0.0.0.0:3456 *:*
UDP 192.70.106.143:137 *:*
UDP 192.70.106.143:138 *:*
UDP 192.70.106.143:500 *:*
?>
في نظام Windows XP
يعطينا الامر netstat -ano command النتائج التالية:
كود PHP:
<?
C:WINDOWS>netstat -ano
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 884
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 976
TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING 1160
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING 4
UDP 0.0.0.0:135 *:* 884
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:500 *:* 704
UDP 0.0.0.0:1026 *:* 1112
UDP 0.0.0.0:1027 *:* 976
UDP 127.0.0.1:123 *:* 976
UDP 127.0.0.1:1900 *:* 1160
UDP 192.70.106.143:123 *:* 976
UDP 192.70.106.143:137 *:* 4
UDP 192.70.106.143:138 *:* 4
UDP 192.70.106.143:1900 *:* 1160
?>
ملاحظه
تنبيه مهم: وهو ان الأمر netstat لا يظهر منافذ TCP / UDP المفتوحة في الحقيقة بل
يظهر فقط حالة ال TDI وهي بدورها تظهر عنوان بدء الاتصال ونقطة انقطاعه لأن نظام
الوندوز عموما عمره ما صمم ليوضح أي هذه العلميات يستخدم ذلك المنفذ وبالعكس. . .
بينما أن هذه الخاصية توجد في نظام اليونكس. . .
ولكن هناك أداة غريبة تسمى Inzider والتي تحشر نفسها
بين مقابس الاتصالات TCP /UDP sockets لتظهر حقيقة المنافذ وهي الأفضل
مثال في الوندوز على إتصال outgoing TCP connection من منفذ محلي رقم 1367 الى
منفذ رقم 22 وعنوانه 192.70.106.76 كمثال فإن الأمر netstat يظهر كالآتي :
كود PHP:
<?
C:WINDOWS>netstat -anp tcp | find ':1367'
TCP 0.0.0.0:1367 0.0.0.0:0 LISTENING
TCP 192.70.106.142:1367 192.70.106.76:22 ESTABLISHED
?>
كما تلاحظ السطر الثاني يضهر الأتصال جاري ESTABLISHED بين المنفذ المحلي
1367 والمنفذ الخارجي 22 , بينما في السطر الأول يظهر نفس المنفذ المحلي في حالة استماع
LISTENING وهذا غير صحيح فكيف يكون نفس المنفذ له حالتين في نفس الوقت !!
ملاحظه: تم اصلاح هذا الخلل في النظام Windows Server 2003
قبل البدء في افقال المنافذ وحذف الخدمات الغير مستعملة
بإستخدام الامر ( the net stop command)
يجب ان نتأكد من عدم رجوعها بعد إعادة التشغيل ويكون ذلك كالتالي:
في الوندوز 2000
يسمح لك service manager بأختيار كيف تريد الخدمه ان تبدأ مع بداية التشغيل
فهو يعطيك الخيارات التالية
( The Startup Type (Automatic, Manual or Disabled
تصل اليها كالتالي C:WINDOWS>services.msc
من قائمة تشغيل او run اكتب services.msc
اضغط على الخدمة باليمين واختار خصائص ثم عام ثم اختار Disabled
الخدمات التي يتم ايقافها في وندوز2000 هي:
- IIS 5: iisadmin, w3svc, smtpsvc
- Others: messenger, msdtc, policyagent, schedule
في الوندوز xp:
يتم إيقاف الخدمات بالامر التالي
:C:WINDOWS>sc config service_name start= disabled
وللتشغيل يدويا الامر:
C:WINDOWS>sc config service_name start= manual
الخدمات التي يتم ايقافها
messenger, policyagent, schedule, ssdpsrv, w32time
--[ Windows 2000 ]--
-[ IIS 5 ]-
ايقاف خدمات IIS عندها نقفل المنافذ التاليه:
TCP ports 25, 80, 443, UDP port 3456 ومنفذ آخر يستخدم
من قبل IIS administration website عادة يكون 4983 ومنفذ آخرين للخدمة RPC services يكونان دائما أكثر من 1023 .
الوندوز 2000 من الدوس كالتالي
كود PHP:
<?
C:WINNT>net stop iisadmin
The following services are dependent on the IIS Admin Service service.
Stopping the IIS Admin Service service will also stop these services.
World Wide Web Publishing Service
Simple Mail Transport Protocol (SMTP)
Do you want to continue this operation? (Y/N) [N]: y
The World Wide Web Publishing Service service is stopping.
The World Wide Web Publishing Service service was stopped successfully.
The Simple Mail Transport Protocol (SMTP) service is stopping.
The Simple Mail Transport Protocol (SMTP) service was stopped successfully.
...
The IIS Admin Service service was stopped successfully.
ثم تكون النتيجه كالتالي
C:WINNT>netstat -an
Active Connections
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1029 *:*
UDP 192.70.106.143:137 *:*
UDP 192.70.106.143:138 *:*
UDP 192.70.106.143:500 *:*
يتضح ان عدد المنافذ قد تناقص
?>
]ايقاف الخدمة -[ IPsec ]- لاقفال المنفذ 500
كود PHP:
<?
C:WINNT>net stop policyagent
The IPSEC Services service is stopping.
The IPSEC Services service was stopped successfully.
نتأكد من النتيجه
C:WINNT>netstat -an
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3372 0.0.0.0:0 LISTENING
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1029 *:*
UDP 192.70.106.143:137 *:*
UDP 192.70.106.143:138 *:*
?>
ايقاف الخدمة -[ Distributed Transaction Coordinator ]- ويغلق المنفذين 3372 و 1023
كالتالي
C:WINNT>net stop msdtc
The Distributed Transaction Coordinator service is stopping.
The Distributed Transaction Coordinator service was stopped successfully.
نتأكد من النتيجه
كود PHP:
<?
C:WINNT>netstat -an
Proto Local Address Foreign Address State
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1026 0.0.0.0:0 LISTENING
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING
UDP 0.0.0.0:135 *:*
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:1029 *:*
UDP 192.70.106.143:137 *:*
UDP 192.70.106.143:138 *:*
?>
--[ Windows XP ]--
الخدمات التي يمكن ايقافها بسهولة وهي:
IPsec services PolicyAgent
SSDP Discovery Service SSDPSRV
Windows Time W32Time
الأوامر التالية تفي بأداء المهمة
كود PHP:
<?
C:WINDOWS>net stop policyagent
The IPSEC Services service is stopping.
The IPSEC Services service was stopped successfully.
C:>WINDOWS>net stop ssdpsrv
The SSDP Discovery Service service is stopping.
The SSDP Discovery Service service was stopped successfully.
C:>WINDOWS>net stop w32time
The Windows Time service is stopping.
The Windows Time service was stopped successfully
?>
يظهر الأمر netstat -ano command المنافذ التي تم اغلاقها
TCP 5000 and UDP 123, 500 , 1900
إقتباس:
C:WINDOWS>netstat -ano
Active Connections
Proto Local Address Foreign Address State PID
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 884
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 976
TCP 192.70.106.143:139 0.0.0.0:0 LISTENING 4
UDP 0.0.0.0:135 *:* 884
UDP 0.0.0.0:445 *:* 4
UDP 0.0.0.0:1026 *:* 1112
UDP 0.0.0.0:1027 *:* 976
UDP 192.70.106.143:137 *:* 4
UDP 192.70.106.143:138 *:* 4
__________________
على فكـــرهـ المووضوع منقـؤل لحـفـظ الحقـوق
آنتــظر ردؤؤدكم