Báo cáo quản trị hệ thống mạng với công cụ Nmap

 Ngày nay,với sự phát triển không ngừng của mạng internet,làm cho việc liên lạc trên thế giới trở nên dễ dàng hơn,thì đồng thời cũng xuất hiện ngày càng nhiều những mối nguy hiểm,kẻ xấu

TÌM HIỂU VỀ NMAP

GVHD : ThS.Vũ Trí Dũng

Sinh viên thực hiện :

       Nguyễn Văn Hanh -07520096

Lê Văn Đông - 07520088

Tô Thái Nghĩa -07520436

 Phần 1 Giới thiệu sơ lược NMAP

 Phần 2 Tìm hiểu chi tiết về NMAP

       1.  NMAP là gì………

       2.  Các chức năng chính :………

       3.  So sánh các công cụ mạng………

       4.  Lời khuyên :………

   Phần 3. Kết luận………

 Phần 4. Tài liệu tham khảo………

 Ngày nay,với sự phát triển không ngừng của mạng internet,làm cho việc liên lạc trên thế giới trở nên dễ dàng hơn,thì đồng thời cũng xuất hiện ngày càng nhiều những mối nguy hiểm,kẻ xấu,hacker muốn phá hoại ,ăn cắp, chiếm đoạt tài nguyên hệ thống của chúng ta.Vì vậy cần phải kết hợp các chức năng sẵn có trong hệ điều hành với những tools hỗ trợ thêm bên ngoài 

 Chúng ta ai cũng biết có rất nhiều công cụ được sử dụng để Scan port,các dịch vụ ,hệ điều hành đang  chạy trên 1 server từ xa nào đó. Vậy tại sao ta lại nên chọn Nmap ? Nó có những ưu điểm gì vượt trội nào so với công cụ khác  ? Cách thức hoạt động ra sao ?Hiệu quả như thế nào ?

1. Giới thiệu về công cụ quản lý mạng NMAP

• NMAP = Network Exploration Tool And Security Scanner (Network

mapper).

• Đúng như tên gọi ,nó là 1 công cụ Scan hàng  đầu.Nó Scan tất  cả những  

gì  có thể Scan  được  trên  Network . NMAP là công cụ quét cực nhanh và mạnh. Có thể quét trên mạng diện rộng và đặc biệt tốt đối  với mạng đơn 

lẻ. NMAP giúp bạn xem những dịch vụ nào đang chạy trên server (services / ports,  webserver , ftpserver , pop3,.),server đang dùng hệ điều hành gì,  loại tường lửa mà server sử  dụng,và rất nhiều tính năngkhác

2 Các chức năng chính :

Cấu trúc lệnh : nmap  [Scan Type(s)]  [Options]

 a) 1 số lệnh( Scan Type ) thường thao tác:

*-sA  ACK  scan   :  Gửi đi các gói tin TCP chỉ bật cờ ACK, chờ phản hồi từ server .Kỹ thuật này được sử dụng để thu thập các thông tin về hệ thống từ bên ngoài  Firewall. Đặc biệt nó có thể xác định xem các Firewall có phải 

là 1 Firewall theo đúng nghĩa hay chỉ là 1 bộ lọc Packet SYN từ bên ngoài. 

Kỹ thuật này có thể send những ACK Packet dến những Port được  chỉ rõ

* -sW  Window size scan :Gửi các gói tin TCP chỉ bật cờ ACK, chờ thông tin phản hồi vàphán đoán trạng thái của cổng dựa vào giá trị Window Size của gói tin trả về. Ở một số hệ thống, gói tin trả về từ  các cổng mở thì 

Window Size sẽ có giá trị dương( > 0), còn các cổng đóng thì Window 

Size có giá trị bằng 0

a) 1 số lệnh( Scan Type ) thường thao tác:

*-sT  TCP connect Scan:   Đây là 1 kiểu quét đơn giản nhất của quá trình quét giao thức TCP  Kết nối gọi hệ thống đó,hệ điều hành của bạn cung cấp được sủ dụng để mở 1 kết nối tới 1 số port trên hệ thống.Nếu Port đang ở trạng thái lắng nghe,thì kết nối sẽ  thành công  .1 lợi thế mạnh mẽ của kĩ thuật này là không cần bất cứ những đặc quyền cao cấp mào cả. 

* -sS TCP SYN Scan:  Đây là kĩ thuật quét gần như cách quét "half-open". Trong trường hợp bạn không thể mở 1 kết nối  TCP đầy đủ. Bạn gửi  SYN Packet, trong khi  nếu bạn muốn mở 1 kết nối thực tế và bạn đang đợi  1 sự reply. 1 SYH|ACK chỉ ra  port  đang lắng nghe. 1RST biểu thị ở trạng thái không lắng nghe. Nếu SYN|ACK nhận được,1 RST được gửi xuống sẽ 

     kết nối.Bắt lỗi  dạng này là bạn cần phải có nhiều đặc quyền để xây dựng những gói SYN

a) 1 số lệnh( Scan Type ) thường thao tác:

* -sU UDP Scan:  Kỹ thuật này sử dụng để xác định xem Port UDP nào đang open trên host. Nmap sẽ send UDP Packet có dung lượng 0 byte tới mỗi Port mục tiêu. Nếu chúng ta nhận được  thông báo không thể  Connect đến  Port ICMP, sau đó Port bị đóng. Giả thiết  rằng nó mở (Port). Chúng  

thường được dùng cho lỗ hổng  Rpcbind trên  OS Solaris. Hoặc 1 số  

Backdoor như Back Orifice  được Config trên Port UDP của OS Windows. 

* -sR RPC Scan:  Kỹ thuật này sẽ làm lấy tất cả các  Port UDP/TCP đang 

Open  sau  đó  làm flood chúng với chương trình Sun RPC, vô hiệu hóa những lệnh để xác định xem có phải là Port RPC  hay không. …

a) 1 số lệnh( Scan Type ) thường thao tác:

* -sP Ping scanning:  Kỹ thuật này dùng khi bạn chỉ muốn biết có bao nhiêu host đang onlie trên 1 mạng nào đó. Nmap có thể làm điều này bs8ng2 cách send gói ICMP yêu cầu đến các IP address  trên mạng. Tuy nhiên cũng có 1 

số Host có thể chặn các ICMP Packet reply. Như vậy nmap send Packet TCP ack đến port 80 Nếu chúng ta  có  1 RST trở lại,có nghĩa là hostđó 

đang  Online

* -sF -sX -sN Stealth FIN, Xmas Tree, or Null scan modes:  khi không đủ các đặc quyền để sử dụng kĩ thuật SYN Scan. 1 vài  Firewall và bộ lọc Packet giám sát các SYN để hạn chế tới các Port, và những chương trình như 

SYNlogger và Counrtey . Lợi thế là nó có thể Scan xuyên qua các Firewall 

và bộ lọc Packet mà ít bị ngăn cản. 

b) Một số option thông dụng của Nmap:

c) Ví dụ :Bây giờ sử dụng NMAP để thu thập thông tin về vnepxress.net

này như : tracerouter , pc người dùng, các port nào mở , port nào đóng,hệ 

điều hành là gì . . Kết nối từ người truy cập vào trang  vnexpress  qua 

những đường nào ?

2 Đánh giá ,so sánh các công cụ

a.) Điểm mạnh

. Ngoài các phương pháp scan có sẵn, Nmap v5.21 còn có thêm khả năng cho phépngười  dùng tùy biến một cách linh hoạt 8 bit TCP flag. Các 

phương pháp quét có sẵn của Nmap  đều có những dấu vết nhất  định và từ đây người quản trị hệ thống hình thành nên các rules cho hệ  thống phát hiện xâm nhập.  Chính vì lý do này mà các nhà phát triển Nmap đưa thêm 

Nmap-Axence NetTool Pro (ANT)

NetWatch: cho phép bạn giám sát và quản lí một host trong thời gian dài, nó dùng ICMP để kiểm tra hosts và lưu lại dữ lại để có thể phân tích về sau, chức năng này cho phép ta phân tích dựa vào biểu đồ

Nmap-Axence NetTool Pro (ANT) –Nmap :

Trace: kiểm tra kết nối giữa bạn và host từ xa nếu gặp sự cố, nó chạy không 

ổn định bằng nmap, có nhiều host nó không trace được

Scan Network: có thể quét toàn mạng mình đang sử dụng, nhưng nó chỉ show vài thông tin, ports, services, không chi tiết

Scan host :chức năng này xem được các service đang mở, port open của host nhưng không chi tiết bằng Nmap

ANT chạy không ổn định bằng Nmap, ANT hay bị treo khi bạn chạy hai hay nhiều tác vụ cùng lúc. Nmap có thể né tránh tường lửa, filter tốt hơn so với ANT. ANT khi gặp trường hợp bị chặn bởi tường lửa bạn phải add nó vào danh sách cho phép truy cập của tường lửa. 

SuperScan4 :

Nmap có thể né tránh filter cũng như tường lửa, còn SuperScan4 thì không thể vượt qua tường lửa. Do đó chỉ nên dùng SuperScan4 để quét 

b) Điểm yếu

• Nmap  khá nặng  và yêu cầu phải  có thêm wincap hỗ trợ , có quá nhiều 

thông số Scan type, option mà cần phải có sự hiểu biết ,và kiến thức chuyên môn vững vàng thì mới có thể phân tích ,hiểu hết được các gói tin Scan 

được . 

• Trong khi đó ta có thể sử dụng cùng một chức năng đó trên Axence 

NetTools Pro,Superscan một cách dễ dàng nhưng chiếm ít tài nguyên 

• ANT có chức năng WinTools: có thể xem chi tiết các thông số máy tính của bạn hay một host từ xa: services list, disk information, process list … chức năng này có thể xem thông tin chi tiết về một host hơn Nmap

• Nmap vẫn gặp khó khăn trong việc phân biệt các hệ điều hành của 

Microsoft.Nó có thể dự đoán 95% server chạy hệ điều hành Microsoft 

Windows  2003 server 

     Bandwidth: một chức năng của ANT (nmap không có ) cũng khá chi tiết để xem bandwidth của một host với nhều thông số rõ ràng sẽ giúp bạn trong việc phân tích,cột chỉ bandwidth, hàng chỉ time, ngoài ra có thể xem các packet gửi nhận

4 Lời khuyên :

Nmap chính là công cụ quét nhanh ,và hiệu quả  nên được sử dụng để giám sát, theo dõi ,nắm bắt tình hình chung  để tránh những sự cố đáng tiếc sẽ xảy ra… khi quản trị mạng 

 Tìm hiểu thật kĩ các thông số Scan Type ,option thêm của nó để có thể hiểu 

rõ và nắm bắt hết các chức năng ,phát huy toàn bộ khả năng độc đáo,mạnh 

mẽ của Nmap 

Chúng ta nên mua  Nmap có bản quyền và cập nhật phiên bản mới nhất từ các nhà phát triển chương trình nhằm khắc phục những điểm yếu của công 

cụ này và được hỗ trợ chi tiết hơn

Tùy vào mục đích ,trường hợp cụ thể,và cân nhắc rõ ràng ưu nhược điểm của các tools để sử dụng phù hợp nhất 

Phần 3 Kết luận

Nmap chính  là 1 công cụ thông dụng ưu tiên hàng đầu, nó có khả năng Scan đầy đủ, chính  xác, quét cực nhanh và mạnh. Có thể quét trên mạng diện rộng và đặc biệt tốt đối  với mạng đơn lẻ. NMAP giúp bạn xem những dịch vụ nào đang chạy trên server (services / ports,  webserver , ftpserver , pop3, ),server đang dùng hệ điều hành gì,loại tường lửa mà server sử  

dụng, và rất nhiều tính năng khác. 

Chúng ta có thể thấy phiên bản mới này đã được trang bị thêm rất nhiều tính năng mới, thân thiện, cho phép người sử dụng có thể tùy biến linh hoạt hơn. Một điều không thể không  nhắc  tới là tốc độ và hiệu năng  của Nmap cũng đã được cải thiện rất nhiều. 

Phần 4 Tài liệu tham khảo

Tác giả : Gordon “Fyodor” Lyon , sách :    “Nmap Network Scanning : The

Official Nmap Project Guide to NetworkDiscovery and SecurityScanning”, 

xem ngày 18/11/2010, <

http://www.amazon.com/Nmap-Network-Scanning-Official-Discovery/dp/0979958717

>

Download và sử dụng Nmap tại trang chủ : <http://nmap.org/>

Phần mềm Axence NetTools Pro: bản có thể tải, đăng kí ,xem hướng dẫn để nhận code activity và sử dụng free

      < http://www.axencesoftware.com/index.php?action=NTPro>

THANKS FOR LISTENING !