Quét MạngĐịa chỉ IP và các cổng mở trên máy chủ Hệ điều hành và kiến trúc hệ thống Dịch vụ đang chạy trên máy - Quét mạng dùng để chỉ các quy trình xác định địa chỉ các host, cổng, hay c
Trang 1Scanning Network
Module 3
Trang 2Mục Tiêu của Module
- Định nghĩa và các loại quét.
- Hiểu biết các phương pháp quét của CEH.
- Kiểm tra hệ thống và các cổng mở
- Hiểu biết các kỹ thuật quét
- Một số công cụ để thực hiện quá trình quét
- Hiểu kĩ thuật lấy thông tin về phiên bản HĐH của 1 hệ thống mục tiêu.
- Dựng biểu đồ hệ thống mạng sau khi đã phát hiện được lỗi các host.
- Chuẩn bị các proxy.
- Hiểu biết cách ẩn danh.
- Quét các biện pháp phòng chống của hệ thống mục tiêu.
- Quét thử nghiệm.
Trang 3Quét Mạng
Địa chỉ IP và các cổng mở trên máy
chủ
Hệ điều hành và
kiến trúc hệ thống
Dịch vụ đang chạy trên máy
- Quét mạng dùng để chỉ các quy trình xác định địa chỉ các host, cổng, hay các dịch vụ trên mạng
- Quét là một trong các thành phần của việc thu thập thông tin cho kẻtấn công để tạo ra một hồ sơ cá nhân của tổ chức, mục tiêu cần tấn công
Trang 4Các Loại Quét Mạng
Một loạt các tin nhắn được gửi bởi một người nào đó cố gắng đột nhập vào một máy tính đểtìm hiểu về dịch các
vụ mạng của máy tính
Quét lỗ hổng làquá trình tự độnghóa chủ động xác địnhcác lỗ hổng của hệthống máy tính có mặttrong một mạng
Quét mạng là một thủtục để xác định các máy chủ hoạt độngtrên mạnghoặc cho các mục đích tấn công hoặc đánh giá an ninh mạng
Trang 5Kiểm tra
hệ thống
Kiểm tracác cổngmở
Lấy thôngtin phiênbản HĐH
Quét lỗhổng bảomật
Dựngbiểu đồ
hệ thốngmạng
Chuẩn bịproxy
Trang 6Kiểm Tra Hệ Thống – Quét ICMP
- Bản chất của quá trình này là gửi một ICMP Echo Request đến máy chủ đang muốn tấn công
- Việc quét này rất hữu ích để định vị các thiết bị hoạt động hoặc xác định hệ thống cótường lửa hay không
Trang 7Ping Sweep được sử dụng để xác định các máy chủ còn “sống” từ một loạt các địa chỉ IP bằng cách gửi các gói ICMP Echo Request đến tất cả các
IP đó Nếu một máy chủ còn “sống ” nó sẽ trả lại một gói tin ICMP Reply
Trang 8Một Số Công Cụ Ping Sweep
Trang 9Một Số Công Cụ Ping Sweep
Trang 10Kiểm tra
hệ thống
Kiểm tracác cổngmở
Lấy thôngtin phiênbản HĐH
Quét lỗhổng bảomật
Dựngbiểu đồ
hệ thốngmạng
Chuẩn bịproxy
Trang 11Cơ Chế Bắt Tay 3 Bước
TCP sử dụng cơ chế bắt tay ba bước đểthiết lập kết nối giữa máy chủ và máy khách
Máy tính A khởi tạo một kết nối đến máy chủ bằng một gói tin với cờ SYN
Máy chủ sẽ trả lời bằng một gói tin với cờ SYN và ACK
Cuối cùng, máy khách sẽ gởi lại cho máy chủ một gói tin ACK.
Nếu ba bước trên được hoàn thành
mà không có biến chứng, sau đó một kết nối TCP được thiết lập giữa máy khách và máy chủ
Trang 12Cờ Giao Tiếp TCP
Được sử dụng để bắt đầu một kết nối giữa các
máy tính
Dùng để chỉ gói tin được
ưu tiên xử lí trước
Được sử dụng để xác nhận đã nhận được một gói tin
Được sử dụng để yêu cầu hệ thống gửi tất cả dữ liệu đệm ngay lập tức
Thông báo cho hệ thống từ
xa kết thúc việc truyền tin
Được sử dụng để thiết lập
lại một kết nối
Trang 13Tùy chỉnh các cờ TCP trong gói tin
Trang 14Là các dòng lệnh để tạo các gói tin cho giao
Trang 15Màn Hình Làm Việc của Hping 3
Trang 16thu thập số thứ tự ban đầu hing3 10.0.0.25 –Q 139 -s
Quét SYN trên cổng 80hping3 -8 50-56 –s 10.0.0.25 -v
Quét FIN, PUSH và URG trên
cổng 80hping3 –F –p -U 10.0.0.25 –p 80Quét toàn bộ mạng cho máy
chủ trực tiếphping3 –1 10.0.0.x –rand-dest -I eth0
Chặn tất cả các truy cập httphping3 –9 HTTP -I eth0
Trang 17Các Kĩ Thuật Quét
Trang 18Kết Nối TCP / Mở Quét Đầy Đủ
- Phát hiện kết nối TCP khi một cổng được mở bằngcách hoàn thành việc bắt tay ba bước
- Quét kết nối TCP thiết lập một kết nối đầy đủ vàbóc chỗ nối bằng cách gửi một gói tin RST
Trang 19Quét Tàng Hình (Quét Mở Một Nửa)
Kẻ tấn công sử dụng kỹ thuật quét tàng hình để bỏ qua các quy tắc tường lửa, cơ chế đăng nhập , và ẩn mình như mạng lưới giao thông thông thường
Máy khách gửi một gói SYN duy nhất cho máy chủ trên cổng thích hợp
1
Nếu máy chủ trả lời với một gói RST, sau đó các cổng từ xa là trong tình trạng đóng cửa
4
Trang 20- Xmas Scan sẽ gửi một gói tcp cho các thiết bị ở xa với các cờ URG, ACK, RST, SYN và cờ FIN.
- FIN Scan chỉ làm việc với các HĐH Tcp/IP phát triển theo RFC 793.
- Nó sẽ không làm việc với bất kì phiên bản hiện hành của Microsoft Windows
Trang 21- FIN Scan sẽ gửi một gói tcp cho các thiết bị ở xa với các cờ FIN.
- FIN Scan chỉ làm việc với các HĐH Tcp/IP phát triển theo RFC 793.
- Nó sẽ không làm việc với bất kì phiên bản hiện hành của Microsoft Windows
Trang 22- FIN Scan chỉ làm việc với các HĐH Tcp/IP phát triển theo RFC 793.
- Nó sẽ không làm việc với bất kì phiên bản hiện hành của Microsoft Windows
Trang 23- Máy chủ luôn lắng nghe trên cổng tcp chẳng hạn như máy chủ web trên cổng 80
và máy chủ mail trên cổng 25 Cổng được coi là mở nếu một ứng dụng lắng nghe nghe trên cổng.
- Một máy tính nhận được một gói SYN/ACK không được yêu cầu sẽ trả lời với một RST RST không được yêu cầu sẽ bị bỏ qua.
- Mỗi gói tin IP trên mạng Internet
có một số nhận dạng.
- Nó là phương pháp quét cổng tcp cho phép gửi các gói tin giả mạo đến một máy tính thông qua công cụ phần mềm như Nmap và Hping.
Trang 24IDLE Scan: Bước 1
1 Gởi gói tin SYN/ACK đến máy zombie để tìm số IP ID
2 Mỗi gói tin trên mạng đều có một số nhận dạng (IP ID), là một số
có 4 chữ số và tăng lên mỗi khi một máy chủ gửi gói tin IP.
3 Zombie sẽ gởi lại một gói tin RST, tiết lộ IP ID.
4 Phân tích các gói tin RST từ máy tính zombie để trích xuất IP ID
Trang 25IDLE Scan: Bước 2.1 (Mở Cổng)Gửi gói tin SYN đến máy tính mục tiêu (port 80) giả mạo địa
chỉ IP của zombie
Trang 26IDLE Scan: Bước 2.1 (Đóng Cổng)
Máy tính mục tiêu sẽ gởi gói tin RST đến zombie nếu cổng đóng nhưngzombie sẽ không gởi bất cứ điều gì trở lại
Trang 27IDLE Scan: Bước 3Thăm dò lại IP ID của zombie
IPID tăng thêm 1 từ bước 1, do
đó cổng 80 phải được mở
Trang 28- Đây không phải thực sự là quét port, khi gói icmp không chứa port cố đinh
- Nhưng trong một vài trường hợp
nó có thể hữu ích, và được dùng
để quyết định thiết bị đầu cuối nào trên mạng đang được bật bằng cách ping tới tất cả chúng
- Nmap –P cert.org/24 152.148.0.0/16
Kiểu quét này chỉ đơn giản tạo và
in ra một danh sách các IP hoặc tên mà không cần ping hoặc quét cổng chúng.
Việc phân giải tên miền DNS cũng
sẽ được thực hiện
Trang 29Quét SYN/FIN Sử Dụng Các Gói IP
-nó không phải là một phương pháp quét mớinhưng sửa đổi của các phương pháp trước đó
-phần đầu TCP được chia ra thành nhiều gói tin để các bộ lọc gói tin không thể phát hiện các gói dữ liệu có ý định dùng để quét
Trang 30- Ở đây không thực hiện cơ chế bắt tay ba bước TCP cho việc scan UDP
- Hệ thống không phản hồi lại một thông báo nào khi cổng được mở
- nếu một gói tin UDP được gửi để
mở cổng, hệ thống sẽ phản hồi với tin nhắn không thể truy cập cổng ICMP.
- phần mềm gián điệp, trojan, và nhiều ứng dụng độc hại khác sử dụng các cổng UDP
Trang 31Inverse TCP Flag Scanning (Quét Đảo Ngược Cờ TCP)
Kẻ tấn công gửi các gói tin TCP thăm dò với cờ TCP khác nhau (FIN/URG/PSH) hoặc không
có cờ, Nếu máy đích không có phản ứng có nghĩa là cổng mở còn nếu máy đích gởi gói tin RST/ACK có nghĩa là cổng đóng cửa
Trang 32Kẻ tấn công gửi một gói tin thăm dò ACK với số thứ tự ngẫu nhiên, không phản ứng có nghĩa là cổng được lọc (trạng thái hiện tại của firewal) và RST phản ứng có nghĩa là cổng không phải là lọc
Trang 33Sử dụng đầy đủ các gói tin IP
Giả mạo địa chỉ IP của bạn khi tấn công và theo dõi phản hồi từ máy chủ
sử dụng nguồn định tuyến (nếu có thể)
Kết nối với máy chủ proxy hoặc xâm nhập vào các máy bị nhiễm trojan để khởi động các cuộc tấn công
Trang 34Xác định chính xác các loại tin nhắn ICMP phân mảnh được xử lý và đáp ứng bởi các máy chủ từ xa
Trang 35- Nmap là phần mềm mã nguồn mở miễn phí cho thăm dò mạng.
- Các quản trị mạng có thể sử dụng nmap cho việc kiểm tra mạng, quản lí lịch trình nâng cấp dịch vụ, giám sát máy chủ hoặc thời gian hoạt động của dịch vụ.
- Những kẻ tấn công có thể sử dụng nmap để trích xuất các thông tin như:
Các máy chủ hoạt động trên mạng
Các dịch vụ (tên ứng dụng và phiên bản)
Các loại gói tin
HĐH(và phiên bản HĐH)
Trang 41Cấu hình tường lửa và quy tắc IDS để phát hiện và chặn các thiết bị thăm dò Chặn các cổng không
cần thiết trên tường lửa
Trang 42Các Biện Pháp Phòng Chống
Lọc các gói tin ICMP bên
trong và cả các gói ICMP bên ngoài không
cho truy cập tại các bộ
định tuyến và tường lửa
Đảm bảo rằng việc định tuyến và các cơ chế lọc không bỏ qua bằng cách sử dụng cổng riêng hoặc kỹ thuật định tuyến cụ thể
Biết được cấu hình mạng và cổng truy cập của mình bằng gởi các gói tin thăm dò ICMP để quét các cổng TCP và UDP đối với dãy địa chỉ IP của bạn
Nếu một bức tường lửa thương mại đang được sử dụng, đảm bảo rằng :
1 các gói dịch vụ mới nhất được cài đặt
2 các quy tắc chống giả mạo đã được định nghĩamột cách chính xác
3 dịch vụ fastmode đều không được sử dụng trongmôi trường kiểm tra tường lửa - l
Trang 43War Dialing bao gồm đến việc sử dụng của một chương trình kết hợp với một modem để thâm nhập vào các hệ thống dựa trên modem
Các công ty không kiểm soát các cổng kết nối điện thoại như firewall ở tường lửa và máy tính với modem kèm theo
Sử dụng công
cụ xác định các số điện thoại và có thể tạo một kết nối với một modem mục tiêu
Nó làm việc bằng cách sử dụng một danh sách tên và mật khẩu người dùng phổ biến được xác định trước để cố gắng được quyền truy cập vào hệ thống
Trang 44Nó không quan trọng “cửa trước” mạng của bạn mạnh đã được bảo vệ mạnh như
thế nào nếu như “cửa sau” bạn vẫn mở rộng
Làm modem của bạn tiết lộ thông tin với
Modem của bạn uỷ quyền mẫn cảm với một cuộc đột nhập với wardialer
Trang 47Biện Pháp Phòng Chống War Dialing
Phát triển và thực hiện cácchính sách an ninh
Sử dụng điện thoại trong
Trang 48Sandtrap có thể phát hiệnWar Dialing và thông báo ngay cho người quản trị bằng cách gọi, kết nối, thông qua http gởicho máy chủ web
Trang 49Kiểm tra
hệ thống
Kiểm tracác cổngmở
Lấy thôngtin phiênbản HĐH
Chuẩn bịproxy
Dựng biểu
đồ hệthốngmạng
Quét lỗhổng bảomật
Trang 50OS fingerprinting phương pháp để xác định hệ điều hành chạy trên hệ thống mục tiêu Có
hai loại OS fingerprinting : chủ động và thụ động
- Các gói tin thủ công được gởi cho các HĐH và chờ các phản hồi trở lại
sánh với một cơ sở dữ liệu để xác định hệ điều hành
- Phản ứng từ các hệ điều hành khác nhau sẽ khác nhau do sự thay đổi cách sắp xếp trong TCP/IP
- Lấy thông tin thụ động là kỹ thuật sniffing để nắm bắt các gói tin đi ra từ hệ thống
- Các gói tin bị bắt sau đó được phân tích để lấy thông tin OS
- Nó cũng dựa trên sự khác biệt trong cách sắp xếp và cách trả lời của HĐH
Trang 51Đây là kĩ thuật thăm dò máy chủ http để xác định các thông tin của server
thông qua phần mào đầu của gói tin trả lời
Trang 52- Id Serve sử dụng để xác
định ngôn ngữ, model, và
phiên bản của phần mềm
máy chủ web của bất kì
trang web nào
Trang 53Bạn có thể muốn thử bổ
sung thêm các yêu cầu để
lấy thông tin
Trang 54Netcraft báo cáo hoạt động hệ thống của một trang web, máy chủ web, và cùng với netblock owner, nếu có, một bảng báo cáo kết quả kể từ lần khởi động máy tính cuối cùng
để phục vụ các trang web
Trang 59Lấy thôngtin phiênbản HĐH
Quét lỗhổng bảomật
Dựng biểu
đồ hệthốngmạngChuẩn bị
proxy
Trang 65Lấy thôngtin phiênbản HĐH
Quét lỗhổng bảomật
Dựng biểu
đồ hệthốngmạngChuẩn bị
proxy
Trang 69Lấy thôngtin phiênbản HĐH
Quét lỗhổng bảomật
Dựng biểu
đồ hệthốngmạngChuẩn bị
proxy
Trang 105Lấy thôngtin phiênbản HĐH
Quét lỗhổng bảomật
Dựng biểu
đồ hệthốngmạngChuẩn bị
proxy