Quản trị hệ thống mạng Tìm hiểu chi tiết về NMAP

Vì vậy việc sử dụng thêm các tools, chương trình tiện ích của hãng thứ ba là điều rấtcần thiết nhằm làm tăng hiệu quả sử dụng và tối ưu hóa trong công việc,dễ dàng nắm bắtthông tin, dự b

KHOA MẠNG MÁY TÍNH & TRUYỀN THÔNG



Báo cáo môn học: QUẢN TRỊ HỆ THỐNG MẠNG

Giáo viên hướng dẫn: Sinh viên thực hiện:

ThS Vũ Trí Dũng 1 Nguyễn Văn Hanh - 07520096

2 Lê Văn Đông - 07520088

3 Tô Thái Nghĩa - 07520436

Mục lục

Phần 1 Giới thiệu tổng quan về quản trị mạng………3

Phần 2 Giới thiệu sơ lược về công cụ NMAP 4

Phần 3 Tìm hiểu chi tiết về NMAP 5

1 NMAP là gì? .… 5

2 Các chức năng chính của Nmap 6

3 Đánh giá, so sánh các công cụ… … 14

4 Lời khuyên……… …… 18

Phần 4 Kết luận……….………….20

Phần 5 Tài liệu tham khảo……… 21

hần lớn công việc hàng ngày của một người quản trị, bảo mật hệ thốngmạng là cấu hình các đối tượng Active Directory, domain, quản lí các server,setup phần mềm máy tính và các thiết lập dịch vụ khác trên hệ thống, cài đặt các phầncứng, phần mềm mới ,duy trì tốt mọi hoạt động và rất nhiều các tác vụ khác qua việc sửdụng các công cụ được tích hợp sẵn với hệ điều hành máy chủ

Đối với môi trường làm việc có số lượng máy tính lớn thì khối lượng công việc củangười quản trị hệ thống mạng sẽ tăng lên tới một con số khổng lồ,khó khăn hơn

Vì vậy việc sử dụng thêm các tools, chương trình tiện ích của hãng thứ ba là điều rấtcần thiết nhằm làm tăng hiệu quả sử dụng và tối ưu hóa trong công việc,dễ dàng nắm bắtthông tin, dự báo tình hình hoạt động để tránh những rủi ro, thất thoát về database của 1 hệthống mạng công ty,ngân hàng …

PHẦN 2: GIỚI THIỆU SƠ LƯỢC CÔNG CỤ NMAP

Ngày nay, với sự phát triển không ngừng của mạng internet, làm cho việc liên lạc trênthế giới trở nên dễ dàng hơn, thì đồng thời cũng xuất hiện ngày càng nhiều những mốinguy hiểm: kẻ xấu, hacker muốn phá hoại, ăn cắp, chiếm đoạt tài nguyên hệ thống quantrọng của chúng ta.

Chính vì vậy, tầm quan trọng của việc kết hợp các tiện ích tích hợp sẵn và sử dụng cáccông cụ network đối với việc quản trị và bảo mật 1 hệ thống mạng là rất lớn và cần thiết,giúp chúng ta dễ dàng hơn trong việc kiểm soát mọi vấn đề xảy ra.Trong khuôn khổ bàiviết này nhóm chúng tôi xin trình bày chi tiết về việc tìm hiểu, cài đặt, sử dụng, phân tíchcác đặc điểm chính về chức năng, cách thức hoạt động của NMAP

Chúng ta ai cũng biết có rất nhiều công cụ được sử dụng để Scan port, các dịch vụ ,hệđiều hành đang chạy trên 1 server từ xa nào đó Vậy tại sao ta lại nên chọn Nmap? Nó cónhững ưu điểm gì vượt trội nào so với công cụ khác? Cách thức hoạt động ra sao ?

Chúng tôi sẽ hướng dẫn chi tiết từng phần cụ thể :

1 Giới thiệu về công cụ Nmap

2 Các chức năng ,cách thức vận hành ,đặc tính ưu việt của nó

3 Đánh giá, so sánh công cụ khác có cùng chức năng tương tự

4 Tóm lược và lời khuyên về việc sử dụng Nmap hiệu quả nhất

PHẦN 3: TÌM HIỂU CHI TIẾT VỀ NMAP

1 Nmap là gì?

NMAP (Network mapper)= Network Exploration Tool And Security Scanner

là công cụ dùng để scan (quét) mạng hàng đầu Nó scan tất cả những gì có thể scan được trên hệ thống mạng (“Nmap Network Scanning”, trang 4).

NMAP là công cụ quét cực nhanh và mạnh Có thể quét trên mạng diện rộng và đặcbiệt tốt đối với mạng đơn lẻ NMAP giúp bạn xem những dịch vụ nào đang chạy trênserver (services / ports, webserver , ftpserver , pop3, ), server đang dùng hệ điều hành gì,loại tường lửa mà server sử dụng và rất nhiều tính năng khác Nói chung, NMAP có thể hỗ

trợ hầu hết các kỹ thuật quét phổ biến như : ICMP (ping aweep),IP protocol , Null scan , TCP SYN (half open)

NMAP được đánh giá là công cụ hàng đầu cực kì quan trọng của các Hacker cũng

như các nhà quản trị mạng trên toàn thế giới hiện nay (“Nmap Network Scanning”,trang 5)

Giao diện COSOLE chính trong DOS :

Hay ta có thể sử dụng 1 phiên bản khác của NMAP v5.21 cũng khá hay với GUI đểviệc quan sát, và quản lí trở nên dễ dàng hơn

Giao diện GUI ban đầu :

2 Các chức năng, cách thức vận hành Nmap

Theo thông tin từ Insecure.org, trong phiên bản Nmap v5.21 có một số tính năng nổi bật, mới bổ sung thêm rất nhiều tùy chọn, linh hoạt hơn với người dùng

Cấu trúc lệnh : nmap [Scan Type(s)] [Options]

a) Một số lệnh ( Scan Type ) thường sử dụng:

-sA ACK scan : Gửi đi các gói tin TCP chỉ bật cờ ACK, chờ phản hồi từ server

Kỹ thuật này được sử dụng để thu thập các thông tin về hệ thống từ bên ngoàiFirewall Đặc biệt nó có thể xác định xem các Firewall có phải là 1 Firewall theo

đúng nghĩa hay chỉ là 1 bộ lọc Packet SYN từ bên ngoài Và có thể gửi những ACKPacket dến những Port được chỉ rõ Nếu 1 RST trở lại thì điều đó có nghĩa là cácPort đó không có chức năng lọc SYN Packet, và ngược lại

hồi và phán đoán trạng thái của cổng dựa vào giá trị Window Size của gói tin trả

về Ở một số hệ thống, gói tin trả về từ các cổng mở thì Window Size sẽ có giá trịdương( > 0), còn các cổng đóng thì Window Size có giá trị bằng 0.Kỹ thuật nàytương tự như ACK Scan Chỉ có điều bạn dùng để phát hiện được những Port mởvới bộ lọc, cũng như không mở với bộ lọc

-sT TCP connect Scan : Đây là 1 kiểu quét đơn giản nhất của quá trình quét giao

thức TCP Kết nối gọi hệ thống đó, hệ điều hành của bạn cung cấp được sủ dụng

để mở 1 kết nối tới 1 số port trên hệ thống Nếu Port đang ở trạng thái lắng nghe,thì kết nối sẽ thành công Một lợi thế mạnh mẽ của kĩ thuật này là không cần bất

cứ những đặc quyền cao cấp nào cả Mỗi người dùng Unix có thể tự do sử dụng kĩthuật này Nó có thể dễ dàng phát triển được những mục tiêu và cho ta biết tìnhtrạng kết nối và thông báo những lỗi sai về dịch vụ kết nối

-sS TCP SYN Scan : Đây là kĩ thuật quét gần như cách quét "half-open"

Trong trường hợp bạn không thể mở 1 kết nối TCP đầy đủ Bạn gửi SYN Packet,trong khi nếu bạn muốn mở 1 kết nối thực tế và bạn đang đợi 1 sự reply 1 SYH|ACK chỉ ra port đang lắng nghe 1RST biểu thị ở trạng thái không lắng nghe Nếu

SYN|ACK nhận được,1 RST được gửi xuống sẽ kết nối Bắt lỗi dạng này là bạncần phải có nhiều đặc quyền để xây dựng những gói SYN.

trên host Nmap sẽ send UDP Packet có dung lượng 0 byte tới mỗi Port mục tiêu.Nếu chúng ta nhận được thông báo không thể Connect đến Port ICMP, sau đóPort bị đóng Giả thiết rằng nó mở (Port) Chúng thường được dùng cho lỗ hổngRpcbind trên OS Solaris Hoặc 1 số Backdoor như Back Orifice được Config trênPort UDP của OS Windows

-sR RPC Scan : Kỹ thuật này sẽ làm lấy tất cả các Port UDP/TCP đang open sau

đó làm flood chúng với chương trình Sun RPC, vô hiệu hóa những lệnh để xácđịnh xem có phải là Port RPC hay không

-sP Ping scanning : Kỹ thuật này dùng khi bạn chỉ muốn biết có bao nhiêu hostđang online trên 1 mạng nào đó Nmap có thể làm điều này bằng cách send góiICMP yêu cầu đến các IP address trên mạng Tuy nhiên cũng có 1 số Host có thểchặn các ICMP Packet reply Như vậy Nmap có thể send Packet TCP ack đến port

80 Nếu chúng ta có 1 RST trở lại, có nghĩa là host đó đang online

-sF -sX -sN Stealth FIN, Xmas Tree, or Null scan modes: khi không đủ các đặc

quyền để sử dụng kĩ thuật SYN Scan 1 vài Firewall và bộ lọc Packet giám sát cácSYN để hạn chế tới các Port, và những chương trình như SYNlogger và Counrtey Lợi thế là nó có thể scan xuyên qua các Firewall và bộ lọc Packet mà ít bị ngăn cản

Kỹ thuật này không dễ scan được trên các hệt thống Windows (95, 97, 98, 98Se,

Me, NT, 2000) mà thường dùng trên hệ thống của Cisco, Unix, HP-UX, Irix,

b) Một số option thông dụng của NMAP:

 -O: sử dụng TCP/IP fingerprinting đoán hệ điều hành từ xa

 -P: các cổng để quét Ví dụ : '1-1024,1080, 6666, 31337'.

 -F: chĩ quét các cổng liệt kê trong nmap-services.

 -P0: không ping hosts

 Ddecoy_host1,decoy2[, ]: scan ẩn sử dụng nhiều mồi nhử

 -T <Paranoid|Sneaky|Polite|Normal|Aggressive|Insane > chính sách thởi gian tổng.

 -n/-R: không dùng DNS phân giải.

 -oN/-oM: xuất ra bình thường

 -iL: lấy mục tiêu từ file.

 -S /-e: xác định địa chỉ nguồn hoặc giao diện mạng.

c) Ví dụ : Bây giờ sử dụng NMAP để thu thập thông tin về trang báo

http://vnepxress.net

 Từ màn hình Dos gõ lệnh : nmap -A – PA vnexpress.net

 Với giao diện GUI: ta gõ địa chỉ vào ô Target.

Chúng ta thấy từ hình ảnh trên , đã show 1 vài thông tin cơ bản của trang này

như : tracerouter , pc người dùng, các port nào mở, port nào đóng, hệ điều hành là gì…

Kết nối từ người truy cập vào trang Vnexpress.net qua những đường nào ?

Topology cho thấy sơ đồ chi tiết ,trực quan các host mà ta đã đi qua để tới 1 đích cụ thể :

Ngoài ra bạn có thể tùy chọn những dạng profile khác nhau tùy vào mục đích dụng:

3 Đánh giá, so sánh các công cụ scan mạng

a.) Điểm M ạnh

Ngoài các phương pháp scan có sẵn, Nmap v5.21 còn có thêm khả năng cho phépngười dùng tùy biến một cách linh hoạt 8 bit TCP flag Các phương pháp quét có sẵn củaNmap đều có những dấu vết nhất định và từ đây người quản trị hệ thống hình thành nêncác rules cho hệ thống phát hiện xâm nhập Chính vì lý do này mà các nhà phát triểnNmap đưa thêm tùy chọn –scanflags cho phép bạn có thể sáng tạo ra những phương phápquét cổng mới cho mình (http://insecure.org/Nmap,xem 15/11/2010)

Các chương trình Scan tương tự khác có cùng 1 số chức năng như: Axence NetToolPro (ANT), hay Supperscan, ta chỉ có thể show một vài thông tin cơ bản, không chi tiết,khó quan sát và không thể đáp ứng yêu cầu Scan phức tạp của hệ thông mạng lớn

 Axence NetTool Pro (ANT):

 Supperscan

Nmap vượt trội hơn hẳn ,nó có thể kiểm tra kết nối giữa bạn và host từ xa nếu gặp sự

cố bất ngờ,né tránh filter cũng như Firewall, còn ANT, SuperScan4 thì không Do đó chỉ nên dùng SuperScan4 ,ANT để quét khi cùng mạng hoặc không có tường lửa

Nmap có nhiều phiên bản cho các nền tảng OS khác nhau: Windows, Linux,

MacOS… phù hợp cho nhiều đối tượng người dùng Còn SuperScan, ANT chỉ bó hẹp riêng cho người dùng Windows OS

NMAP có Port scan engine được viết lại ,cải tiến hoàn toàn, quá trình quét diễn ra

nhanh hơn và tốn ít bộ nhớ hơn ( “Network mapper”, trang 11,xem ngày 18/11/2010).

IP Protocol scan là một kiểu quét mới, cho phép bạn xác định host đích hỗ trợ những giao thức nào (TCP, UDP, ICMP ) Về bản chất đây không phải là kỹ thuật quét cổng, vì giá trị mà bạn cần xác định ở đây là danh sách các giao thức - một trường nằm trong IP

Header có tên gọi là “Protocol Value “

V

í dụ: Nmap -sO 203.162.1.169

Do option -sO được chỉ định, Nmap sẽ sử dụng 1 danh sách Protocol Value – Protocol

Name được lưu trong file Nmap-protocols

Sau khi sử dụng Nmap để quét các cổng đang mở trên host đích, Nmap có thể dựa cơ

sở dữ liệu về các dịch vụ Nmap-services để phán đoán xem cổng đang mở tương ứng với

dịch vụ nào Các bạn có thể tìm thấy file Nmap-services (trong cùng thư mục với file

Nmap.exe) với dấu hiệu nhận dạng của 2200 loại dịch vụ Theo Fyodor hiện nay Nmap có

3,153 dấu hiệu nhận dạng trên tổng số 381 giao thức

b) Điểm Yếu

Chương trình yêu cầu phải có thêm wincap hỗ trợ, có quá nhiều thông số Scan type,Option mà cần phải có sự hiểu biết và kiến thức chuyên môn vững vàng thì mới có thểphân tích ,hiểu hết được các gói tin Scan được Trong khi đó, với ANT và Superscan cócấu trúc, giao diện đơn giản, thông số ít nên dễ phân tích hơn, chiếm ít tài nguyên hơn

Khi quét, Nmap sẽ tiến hành nhận diện các cổng đang mở và dịch vụ tương ứng.Nmap vẫn gặp khó khăn trong việc phân biệt các hệ điều hành của Microsoft.Nó có thể dựđoán 95% server chạy hệ điều hành Microsoft Windows 2003 server, tuy nhiên nó vẫnkhông phân biệt được đó là bản SP1 hay SP2 ( “Network mapper”, trang 19).

Một số người cho rằng chức năng đánh lừa IDS không nên đưa vào Nmap bởi vì nó cóthể bị attacker lợi dụng để làm việc xấu.(http://insecure.org/Nmap,xem 15/11/2010)Chức năng đánh lừa IDS của Nmap hỗ trợ khá nhiều tùy chọn

Ví dụ: Nmap –e eth0 –P0 –S 203.162.0.181–g 1234 –ttl 123 –badsum 203.162.1.169

 –e eth0: dùng interface có tên là eth0

 -P0: không cần gửi các gói tin ICMP echo request để thăm dò host

203.162.1.169

 –S 203.162.0.181: giả mạo địa chỉ IP nguồn là 203.162.0.181

 ttl 123: ấn định giá trị TTL trong IP Header là 123

 badsum: nó có thể làm sai lệch giá trị của TCP Checksum tức là làm mất

tính toàn vẹn của gói tin TCP

Việc gửi các gói tin đi với mục đích qua mặt giúp attacker có thể kiểm tra đươc cáchthức xử lí của IDS với các gói tin này thông qua đó có thể hình dung ra được quy tắc màtrong IDS được sử dụng (“Nmap Network Scanning”, trang 15)

4 Lời khuyên

Khi chúng ta quản trị 1 network với quy mô khá lớn, công việc sẽ trở nên phức tạp hơn, có quá nhiều port,dịch vụ khi chạy trên máy chủ theo thời gian sẽ xuất hiện 1 số lỗ hỗng nguy hiểm khó nhận thấy ngay, mà hacker có thể lợi dụng để xâm nhập Lúc này, Nmap chính là công cụ quét nhanh, và hiệu quả nên được sử dụng để giám sát, theo dõi, nắm bắt tình hình chung để tránh những sự cố đáng tiếc sẽ xảy ra.

Tìm hiểu thật kĩ các thông số Scan Type, Option thêm của nó để có thể hiểu rõ và nắm bắt hết các chức năng, phát huy toàn bộ khả năng độc đáo, mạnh mẽ của Nmap

Bảng thống kê so sánh tốc độ và bộ nhớ sự dụng của Nmap.

(http://insecure.org/Nmap, phần đánh giá hiệu năng sử dụng Nmap ,xem ngày

18/11/2010)

Vì vậy, chúng ta có thể thấy phiên bản mới này đã được trang bị thêm rất nhiều tính năngmới, thân thiện, cho phép người sử dụng có thể tùy biến linh hoạt hơn Một điều không thểkhông nhắc tới là tốc độ và hiệu năng của Nmap cũng đã được cải thiện rất nhiều

Do đó chúng ta hãy tìm hiểu và sử dụng phiên bản Nmap mới nhất để quản trị hệthống của mình 1 cách tối ưu ,tránh những rủi ro tiềm ẩn từ mạng internet

Chức năng đánh lừa IDS thật sự nguy hiểm và đó là một thách thức cho những ngườibảo vệ hệ thống Một khi ta đã biết là attacker sẽ sử dụng các thủ thuật để đánh lừa IDScủa mình thì chính chúng ta sẽ phải phòng thủ cẩn thận, có rules quản lí chặt chẽ hơn tránh

bị lợi dụng xâm nhập trái phép

PHẦN 4: KẾT LUẬN

Duy trì cho hệ thống mạng máy chủ luôn chạy ổn định và hiệu quả ,tránh được nhữngrủi ro tấn công từ hacker internet là công việc chính của người quản trị.Ngoài nhữngcông cụ tích hợp sẵn trong các phiên bản hệ điều hành ,chúng ta nên kết hợp thêm toolsbên ngoài,hỗ trợ tốt hơn

Nmap chính là 1 công cụ thông dụng ưu tiên hàng đầu,nó có khả năng Scan đầy đủ, chính xác, quét cực nhanh và mạnh Có thể quét trên mạng diện rộng và đặc biệt tốt đối với mạng đơn lẻ NMAP giúp bạn xem những dịch vụ nào đang chạy trên server (services /ports, webserver , ftpserver , pop3, ), server đang dùng hệ điều hành gì,loại tường lửa mà server sử dụng và rất nhiều tính năng Scan khác

Chúng ta nên sử dụng Nmap như 1 công cụ theo dõi, giám sát, nắm bắt tình hìnhchung trong network, phạm vi mà ta quản lý để tránh những nguy cơ từ bên ngoài… tuyệtđối không sử dụng nó để khai thác, thăm dò ,phá hoại người khác với mục đích xấu.

PHẦN 5: TÀI LIỆU THAM KHẢO

Trong báo cáo này ,chúng tôi đã tham khảo và tổng hợp ,trích từ rất rất nhiều nguồn :

o Tổng quan về NMAP , “Network mapper”, xem vào ngày 15/11/2010 ,tại :

o Cách thức vận hành NMAP, xem 18/11/2010 ,<http://securityfocus.com/Nmap >

o Tác giả : Gordon “Fyodor” Lyon ,“Nmap Network Scanning : The Official Nmap Project Guide to Network Discovery and Security Scanning”,xem ngày 18/11/2010