שיעור 4: סריקת רשתות עם nmap
nmap (Network Mapper) הוא כלי הסריקה הנפוץ ביותר בעולם הסייבר. לא צריך רקע ברשתות — נסביר הכל מהבסיס: מה זה פורט (ה'דלת' של כל שירות על מחשב), איך TCP עובד ב-3 שלבים פשוטים, ואיך לקרוא את הפלט של nmap. כל התרגול יתבצע רק על מכונות CTF מורשות — בסביבה בטוחה ולגיטימית לחלוטין.
nmap שולח 'דפיקות' על דלתות (פורטים) של מחשב ומקשיב מי עונה. כמו לדפוק על כל הדלתות בבניין ולרשום: 'דלת 80 — פתוחה ועונה, דלת 443 — גם פתוחה, דלת 22 — פתוחה אבל שמורה'.
- פורט
- מספר לוגי (1-65535) שמזהה שירות רשת ספציפי על מחשב. פורט 80 = HTTP, פורט 443 = HTTPS, פורט 22 = SSH
- לחיצת יד TCP (Three-Way Handshake)
- תהליך הקמת חיבור TCP: הלקוח שולח SYN, השרת עונה SYN-ACK, הלקוח מסיים עם ACK. nmap מסיק מהתגובות על מצב הפורט
- פורט פתוח (Open)
- פורט שיש עליו שירות פעיל שמקבל חיבורים. SYN → SYN-ACK
- פורט סגור (Closed)
- פורט שהמחשב עונה עליו RST (Reset) — קיים, אבל אין שירות שמאזין. SYN → RST
- פורט מסונן (Filtered)
- פורט שחומת האש (Firewall) חוסמת — nmap לא מקבל תגובה כלל. SYN → אין תגובה (timeout)
- גרסת שירות (Service Version)
- הזיהוי המדויק של התוכנה שפועלת על פורט מסוים — למשל: 'Apache httpd 2.4.41'. דגל `-sV` מפעיל גילוי גרסה