فحص منافذ الشبكة"Port Scanning": كيف يعمل، المخاطر، وكيفية الحماية

فحص منافذ الشبكة Nmap: أداة أمان أساسية أم تهديد محتمل؟

يُعتبر فحص المنافذ (Port Scanning) أداة حاسمة تُستخدم لاستكشاف المنافذ المفتوحة على جهاز أو شبكة ما. تُعد هذه التقنية سلاحًا ذو حدين؛ فهي تساعد خبراء الأمن في تعزيز دفاعاتهم، لكنها أيضًا تُستخدم من قِبل المهاجمين لاستغلال الثغرات الأمنية.

فحص منافذ الشبكة"Port Scanning": كيف يعمل، المخاطر، وكيفية الحماية

يهدف هذا المقال إلى تقديم فهم شامل حول فحص المنافذ، كيفية عمله، أنواعه، الأدوات المستخدمة فيه، المخاطر المرتبطة به، وطرق الحماية منه.

ما هو فحص المنافذ؟

تعريف فحص المنافذ

فحص المنافذ هو عملية إرسال طلبات إلى منافذ جهاز معين لتحديد حالتها، سواء كانت مفتوحة، مغلقة، أو مفلترة. تُشير المنافذ المفتوحة إلى الخدمات النشطة التي يمكن أن تكون عرضة للاستغلال، بينما تشير المنافذ المغلقة إلى أن الجهاز يستجيب ولكن الخدمة غير نشطة.

أما المنافذ المفلترة، فهي تلك التي يتم حمايتها بواسطة جدران الحماية.

أنواع منافذ الشبكة.

📌المنافذ المفتوحة (Open)

تشير المنافذ المفتوحة إلى وجود خدمة نشطة تعمل على الجهاز أو الشبكة، مما يعني أنها تستقبل طلبات الاتصال وتستجيب لها. تُعد هذه المنافذ أساسية لعمل الخدمات المختلفة، مثل خوادم الويب (HTTP)، البريد الإلكتروني (SMTP)، أو بروتوكولات نقل الملفات (FTP).

ومع ذلك، فإن وجود منافذ مفتوحة قد يكون سلاحًا ذا حدين؛ فهي تتيح تشغيل التطبيقات والخدمات الضرورية، لكنها قد تُشكل أيضًا نقطة ضعف إذا لم يتم تأمينها بشكل صحيح.

على سبيل المثال، إذا كانت الخدمة التي تعمل على المنفذ تحتوي على ثغرات أمنية أو لم يتم تحديثها بانتظام، فقد يتمكن المهاجمون من استغلالها للوصول غير المصرح به إلى النظام.

لذا، فإن تأمين المنافذ المفتوحة من خلال جدران الحماية، واستخدام التشفير، ومراقبة النشاط عليها يُعتبر جزءًا أساسيًا من استراتيجية أمان الشبكات..

📌المنافذ المغلقة (Closed):

المنافذ المغلقة تُشير إلى أن الجهاز يستجيب لمحاولات الاتصال، لكنه لا يشغل أي خدمة على المنفذ المعني. بمعنى آخر، الجهاز قادر على استقبال الطلبات لكنه لا يقدم أي وظائف أو خدمات عبر هذا المنفذ.

يُعتبر وجود المنافذ المغلقة أقل خطرًا مقارنة بالمنافذ المفتوحة، حيث إنها لا تُعرض النظام مباشرة للاستغلال. ومع ذلك، فإنها قد تكشف معلومات للمهاجمين، مثل وجود جهاز فعّال على الشبكة أو نوع النظام المستخدم.

للحفاظ على أمان الشبكة، يُنصح بإخفاء استجابات المنافذ المغلقة من خلال جدران الحماية أو تقنيات تصفية الحزم (Packet Filtering). بهذه الطريقة، يمكن تقليل احتمالية استخدام هذه المنافذ كنقطة انطلاق للمهاجمين في عمليات المسح أو الهجمات المتقدمة الأخرى.

📌المنافذ المفلترة (Filtered):

المنافذ المفلترة هي المنافذ التي تُظهر أن الجهاز محمي بواسطة جدار حماية أو نظام تصفية يمنع الوصول إليها. عند محاولة الاتصال بمنفذ مفلتر، لا يتلقى المهاجم أو المستخدم أي استجابة مباشرة، مما يجعل من الصعب تحديد ما إذا كان المنفذ مفتوحًا أو مغلقًا.

تُعد المنافذ المفلترة عنصرًا أساسيًا في تعزيز أمان الشبكات، حيث تعمل كخط دفاع أول ضد محاولات المسح الضارة والهجمات الإلكترونية. جدران الحماية مثل **firewalld** أو **iptables** تُستخدم بشكل شائع لتصفية المنافذ، مما يمنع الاتصال غير المصرح به ويحمي الخدمات النشطة.

على الرغم من أن المنافذ المفلترة تُقلل من خطر الكشف عن النظام، إلا أن تكوينها بشكل غير صحيح قد يؤدي إلى تعطيل الخدمات المشروعة. لذلك، من المهم إعداد قواعد تصفية دقيقة تُوازن بين الأمان وإمكانية الوصول للخدمات الضرورية.

كيف يعمل فحص منافذ الشبكة؟

الآلية الأساسية
📌 كيفية عمل عملية الفحص

تُعتبر عملية فحص المنافذ (Port Scanning) من التقنيات الأساسية في تحليل الشبكات. تعتمد هذه العملية على إرسال حزم بيانات (Packets) إلى المنافذ المستهدفة على جهاز أو شبكة معينة، ومن ثم تحليل الردود التي يتم تلقيها. الهدف من ذلك هو تحديد حالة المنافذ، سواء كانت مفتوحة، مغلقة، أو مفلترة.

تختلف تقنيات الفحص وفقًا لنوع الحزم المرسلة وطريقة معالجتها من قبل النظام المستهدف. على سبيل المثال، قد يتم استخدام حزم **TCP SYN** لإجراء فحص "نصف مفتوح"، حيث يتم إرسال طلب بدء اتصال دون إكماله، مما يجعل العملية أكثر سرية.

أما في حالة فحص **UDP**، فيتم إرسال حزم تعتمد على بروتوكول UDP للكشف عن الخدمات التي تعمل على المنافذ المرتبطة به.

يُعد تحليل الردود الخطوة الأهم في عملية الفحص، حيث يمكن من خلالها استنتاج نوع الخدمة أو النظام الذي يعمل على المنفذ. بناءً على هذه المعلومات، يتم تحديد النقاط الضعيفة المحتملة أو الخدمات التي تحتاج إلى تعزيز أمني.

أنواع تقنيات فحص منافذ الشبكة.

📌 الفحص الكامل (Full Scan)

في الفحص الكامل (Full Scan)، يتم إرسال حزم بيانات **TCP كاملة** تحتوي على إشارات **SYN** (Synchronize) و**ACK** (Acknowledge) إلى جميع المنافذ المستهدفة على الجهاز أو الشبكة. الهدف من هذا النوع من الفحص هو إجراء اتصال كامل مع المنافذ لتحديد حالتها بدقة.

عندما يتم إرسال حزمة TCP إلى منفذ معين، تكون الاستجابة من النظام المستهدف مؤشرًا على حالة المنفذ:
إذا كان المنفذ مفتوحًا، يتم إرسال استجابة تؤكد الاتصال (ACK).
إذا كان المنفذ مغلقًا، يُرسل النظام رسالة رفض (RST).
أما إذا كان المنفذ مفلترًا، فقد لا يتلقى الفاحص أي استجابة، مما يدل على وجود جدار حماية.

يُعتبر الفحص الكامل من أكثر طرق الفحص دقة لأنه يُكمل عملية الاتصال بالكامل. ومع ذلك، فإن هذه الطريقة قد تكون مكشوفة بسهولة لأن الاتصال الكامل يُسجل في سجلات النظام المستهدف، مما يجعلها أقل سرية مقارنة بأنواع الفحص الأخرى مثل **فحص SYN**.

لذلك، يُفضل استخدام الفحص الكامل في البيئات التي يُسمح فيها بتحليل شامل دون القلق من اكتشاف النشاط.
📌 فحص SYN (SYN Scan)

فحص SYN، المعروف أيضًا باسم الفحص "نصف المفتوح"، هو تقنية شائعة تُستخدم لتحديد حالة المنافذ على الأجهزة المستهدفة دون إكمال عملية الاتصال بالكامل. تعتمد هذه الطريقة على إرسال حزم **SYN** فقط (إشارة بدء الاتصال) إلى المنافذ، دون الانتقال إلى مرحلة الإقرار الكامل (ACK)، مما يجعلها أكثر سرية وأقل عرضة للاكتشاف.

كيف يعمل فحص SYN؟

يتم إرسال حزمة SYN إلى منفذ معين.
إذا كان المنفذ مفتوحًا، يستجيب النظام بحزمة **SYN-ACK**، مما يشير إلى استعداده لإكمال الاتصال.
إذا كان المنفذ مغلقًا، يُرسل النظام حزمة **RST** (إعادة تعيين).
إذا كان المنفذ مفلترًا، قد لا تكون هناك استجابة، مما يشير إلى وجود جدار حماية.

لماذا يُعتبر فحص SYN أكثر سرية؟

يُعتبر هذا النوع من الفحص أقل وضوحًا لأنه لا يُكمل الاتصال بالكامل. بدلاً من ذلك، يتم إنهاء الاتصال فور تلقي الرد الأولي (SYN-ACK أو RST)، مما يقلل من احتمال تسجيل النشاط في سجلات النظام المستهدف.

استخدامات فحص SYN

فحص الشبكات الكبيرة بسرعة وفعالية.
تقليل فرص اكتشاف الفاحص بواسطة أنظمة الكشف عن التسلل (IDS).
تحديد المنافذ المفتوحة لتحليلها بشكل أعمق لاحقًا.

رغم مزاياه، فإن فحص SYN قد يُعتبر نشاطًا مشبوهًا إذا تم رصده، لذا يجب استخدامه بحذر وبما يتماشى مع القوانين والسياسات الأمنية.

فحص UDP (UDP Scan)

يركز هذا النوع على بروتوكول UDP بدلاً من TCP، مما يساعد في تحديد الخدمات التي تعمل على المنافذ المرتبطة بـ UDP.
📌 الفحص المخصص (Custom Scan)

يسمح للمستخدم بتحديد منافذ معينة أو بروتوكولات لاستهدافها، مما يتيح مرونة أكبر في عملية الفحص. على سبيل المثال، يمكن للمستخدم تحديد نطاق من المنافذ لفحصها بدلاً من فحص جميع المنافذ بشكل افتراضي، مما يقلل من الوقت المستغرق في الفحص ويركز على المنافذ التي يُحتمل أن تكون أكثر أهمية أو تعرض النظام لخطر أكبر.

كما يمكن تحديد بروتوكولات معينة مثل TCP أو UDP، أو حتى استخدام خيارات متقدمة مثل فحص الأنظمة التي تستخدم بروتوكولات خاصة. هذا يساعد في تحسين دقة الفحص ويجعل من Nmap أداة قوية ومرنة للكشف عن الثغرات الأمنية في الشبكة أو النظام المستهدف.

أدوات فحص منافذ الشبكة.

أداة Nmap كمثال رئيسي

📌 أداة Nmap: الرائدة في مجال فحص المنافذ

تُعد Network Mapper واحدة من أبرز الأدوات المستخدمة في مجال فحص المنافذ وتحليل الشبكات. اكتسبت هذه الأداة شهرتها بفضل مرونتها العالية وإمكانياتها المتقدمة التي تلبي احتياجات خبراء الأمن السيبراني والمختصين في إدارة الشبكات.

ما الذي يجعل Nmap مميزة؟

**سهولة الاستخدام:** توفر Nmap واجهة سهلة للتعامل معها، مما يجعلها مناسبة للمبتدئين والمحترفين.
**إمكانيات متقدمة:** تدعم العديد من خيارات الفحص، مثل فحص SYN، الفحص الكامل، وفحص UDP.. **مرونة التخصيص:** تتيح تخصيص عمليات الفحص لاكتشاف المنافذ والخدمات بشكل دقيق.
**مجانية ومفتوحة المصدر:** كونها أداة مفتوحة المصدر، يمكن للمستخدمين تعديلها لتناسب احتياجاتهم الخاصة.

الوظائف الرئيسية لـ Nmap

**كشف المنافذ:** تحديد المنافذ المفتوحة، المغلقة، والمفلترة على الجهاز المستهدف.
**التعرف على الخدمات:** عرض تفاصيل الخدمات التي تعمل على المنافذ، مثل HTTP وSSH.
**اكتشاف الأنظمة:** التعرف على أنظمة التشغيل المستخدمة على الأجهزة المستهدفة.
**البحث عن الثغرات:** يمكن دمج Nmap مع أدوات أخرى لتحليل الثغرات الأمنية بشكل أعمق.

أهمية Nmap في الأمن السيبراني.

تُستخدم Nmap بشكل واسع من قِبل خبراء الأمن لاختبار الشبكات واكتشاف نقاط الضعف المحتملة قبل أن يتمكن المهاجمون من استغلالها. بفضل ميزاتها المتقدمة، تُعتبر أداة أساسية لتقييم أمان الشبكات وتعزيزها. ومع ذلك، يجب استخدامها بمسؤولية واحترام قوانين الخصوصية والأمان.

📌 أمثلة على استخدام Nmap
فحص المنافذ الافتراضية:

nmap 192.168.1.1

فحص جميع المنافذ:

nmap -p- 192.168.1.1

فحص نظام التشغيل:

nmap -O 192.168.1.1

المخاطر الناتجة عن فحص منافذ الشبكة

1. استغلال الثغرات
عند اكتشاف منافذ مفتوحة تعمل عليها خدمات ضعيفة أو غير محدثة، يمكن للمهاجمين استغلال هذه الثغرات للوصول إلى النظام.
2. الكشف عن الهيكل الشبكي
يتيح الفحص للمهاجمين معرفة تفاصيل حول هيكل الشبكة والخدمات المستخدمة، مما يساعدهم في التخطيط لهجمات مستقبلية.
3. التحضير لهجمات أخرى
يمكن استخدام نتائج الفحص كخطوة أولى لتنفيذ هجمات متقدمة مثل:
هجمات الحرمان من الخدمة (DDoS).
التحكم عن بُعد بالجهاز (Remote Exploitation).

كيفية الحماية من فحص المنافذ

1. استخدام جدران الحماية (Firewalls)
تُعتبر جدران الحماية مثل firewalld وiptables خط الدفاع الأول ضد محاولات الفحص. يمكن حجب المنافذ غير المستخدمة بسهولة.
مثال لإغلاق منفذ باستخدام firewalld

sudo firewall-cmd --permanent --remove-port=80/tcp
sudo firewall-cmd --reload

2. تقييد الوصول إلى المنافذ
يمكن تحسين الأمان عن طريق السماح بالوصول فقط من عناوين IP الموثوقة.
مثال لقواعد أمان مخصصة.

sudo firewall-cmd --permanent --add-rich-rule="rule family='ipv4' source address='192.168.1.100' port port=22 protocol=tcp accept"
sudo firewall-cmd --reload

3. تحديث البرامج والخدمات
تأكد دائمًا من تحديث جميع الخدمات المفعلة لإغلاق الثغرات الأمنية المحتملة.
4. مراقبة الشبكة
استخدم أدوات مثل Wireshark أو Suricata لمراقبة حركة المرور وكشف أي محاولات فحص غير مصرح بها.
5. تعطيل المنافذ غير الضرورية
قم بإيقاف تشغيل الخدمات غير المستخدمة وإغلاق المنافذ المرتبطة بها.
6. استخدام أنظمة كشف التسلل (IDS)
أنظمة مثل Snort أو OSSEC يمكنها اكتشاف محاولات الفحص وإيقافها.

فحص المنافذ (Port Scanning) هو تقنية مزدوجة الاستخدام تُستخدم لتعزيز أمان الشبكات أو استغلالها من قِبل المهاجمين.

من خلال فهم كيفية عمل هذه التقنية واستخدام الأدوات المناسبة مثل Nmap، يمكن تحسين الأمان بشكل كبير. ومع ذلك، فإن الإهمال في تأمين المنافذ والخدمات قد يعرّض الأنظمة لمخاطر كبيرة.

باتباع استراتيجيات الحماية المذكورة، مثل استخدام جدران الحماية، مراقبة الشبكة، وتعطيل المنافذ غير الضرورية، يمكن تقليل السطح المعرض للهجمات وحماية البيانات بشكل أفضل.

تثبيت Nmap لفحص منافذ الشبكة وFirewalld لتعزيز الحماية على توزيعة فيدورا

لتثبيت Nmap و Firewalld يمكنك اتباع الخطوات التالية باستخدام سطر الأوامر، بما اني من عشاق ومستخدمي توزيعة فيدوار فالشرح هو على لينكس توزيعة فيدورا.

خطوات تثبيت Nmap

**Nmap** هو أداة مفتوحة المصدر تُستخدم بشكل رئيسي لفحص الشبكات واكتشاف الأجهزة والأنظمة المتصلة بها. تعد هذه الأداة من الأدوات الأساسية في مجال الأمن السيبراني، حيث تتيح للمستخدمين الحصول على معلومات مفصلة حول الأجهزة المتصلة بالشبكة، مثل العناوين IP، المنافذ المفتوحة، والخدمات التي تعمل على تلك الأجهزة.

باستخدام **Nmap**، يمكن للمستخدم إجراء فحوصات دقيقة لتحديد الثغرات الأمنية، مراقبة الشبكة، والتأكد من أن النظام محمي بشكل جيد. لتثبيت **Nmap** على توزيعة فيدورا، يمكن للمستخدمين استخدام مدير الحزم **dnf**، وهو الأداة الافتراضية لتثبيت البرامج على هذه التوزيعة.

فقط من خلال تنفيذ أمر بسيط في الطرفية يقوم بتحميل وتثبيت الأداة من مستودعات فيدورا:
1. افتح الطرفية (Terminal).
2. لتثبيت Nmap، استخدم الأمر التالي:

3. بعد إدخال كلمة المرور، سيقوم النظام بتحميل وتثبيت Nmap.
4. للتحقق من أن Nmap تم تثبيته بنجاح، يمكنك استخدام الأمر التالي:

nmap --version

سيعرض هذا الإصدار الحالي من Nmap.

اليك كيفية تثبيت Firewalld

**Firewalld** هو جدار ناري متقدم ومرن يُستخدم في العديد من توزيعات لينكس، بما في ذلك فيدورا، لتوفير حماية قوية للنظام والشبكة من التهديدات الخارجية. يتميز **Firewalld** بالقدرة على إدارة قواعد الجدار الناري بشكل ديناميكي، مما يسمح بتعديل القواعد دون الحاجة لإيقاف الخدمة أو إعادة تشغيل النظام.

كما يوفر دعمًا لإعدادات أكثر تفصيلًا مثل المناطق (zones) التي تسمح بتخصيص السياسات الأمنية لكل واجهة شبكة بشكل مستقل. لتثبيت **Firewalld** على توزيعة فيدورا، يمكنك استخدام مدير الحزم **dnf** من خلال تنفيذ أمر بسيط في الطرفية.

بعد التثبيت، يمكنك بدء الخدمة وتفعيلها ليتم تشغيلها تلقائيًا عند بدء تشغيل النظام، مما يضمن حماية دائمة للبيئة الشبكية الخاصة بك.
1. افتح الطرفية (Terminal).
2. لتثبيت Firewalld، استخدم الأمر التالي:

sudo dnf install firewalld

3. بعد إدخال كلمة المرور، سيقوم النظام بتحميل وتثبيت Firewalld.
4. لتشغيل خدمة Firewalld وتفعيلها عند بدء التشغيل، استخدم الأوامر التالية:

sudo systemctl start firewalld
sudo systemctl enable firewalld

5. للتحقق من حالة خدمة Firewalld:

sudo systemctl status firewalld

إذا كانت الخدمة تعمل بشكل صحيح، ستظهر حالة "active (running)".

تشغيل واستخدام Nmap و Firewalld

- لاستخدام **Nmap** لفحص شبكة معينة، يمكنك كتابة الأمر التالي (على سبيل المثال، لفحص جهاز معين على الشبكة):

sudo nmap 192.168.1.1

- لضبط **Firewalld**، يمكنك استخدام أوامر مثل:
- لفتح منفذ محدد (مثل المنفذ 80):

sudo firewall-cmd --add-port=80/tcp --permanent

- لإعادة تحميل إعدادات Firewalld:

sudo firewall-cmd --reload

- لعرض المنافذ المفتوحة حالياً:

sudo firewall-cmd --list-ports

- باستخدام **Nmap** يمكنك فحص الشبكات واكتشاف الأجهزة.
- باستخدام **Firewalld** يمكنك إدارة جدار الحماية بشكل مرن وسهل.
باتباع هذه الخطوات، ستكون قد قمت بتثبيت وتكوين الأدوات على نظام فيدورا.