Scanning Network
Module 3
Mục Tiêu của
Module
bản
phiên
thông
thuật lấy
-Định
nghĩa và các loại
quét.
-Hiểu biết
phương
pháp
của
thống hệ
các
quét
CEH.
-Kiểm tra hệ
thống
và
cổng
mở
các
-Hiểu biết
các
kỹ
của hệ
thuật
-Một số
công
quét cụ để thực hiện quá
-Hiểu kĩ HĐH của 1 hệ - Dựng biểu đồ phát hiện được lỗi các host. - Chuẩn bị - Hiểu biết các Quét - thống mục thử - Quét
trình
quét
tin về mục tiêu. thống mạng sau khi đã các proxy. cách ẩn danh. biện pháp phòng chống tiêu. nghiệm.
Quét
và
Mạng Hệ điều hành
Địa cổng
IP và trên
chỉ mở chủ
các máy
Dịch vụ đang trên máy chạy kiến hệ (cid:31)(cid:31)trúc thống
các xác quy định trình địa chỉ các host, cổng,
thông
chỉ mạng các thành phần của việc thu thập - Quét hay các Quét là - tấn công cá nhân của tổ chức, sơ
dùng mạng để trên vụ dịch một trong tạo ra một hồ để tin cho mục tiêu cần tấn
kẻ công
Các
Loại Quét Mạng
là mạng xác định
các hoặc
một thủ để các máy hoạt độngtrên mạng mục đánh hổng là tự động định xác của hệ mặt có mạng của máy tính. cho tấn công an ninh mạng tin nhắn Một loạt các được gửi bởi một người đột nhập gắng nào đó cố một máy tính để vào các dịch hiểu về tìm vụ Quét quá hóa các thống trong Quét tục chủ hoặc đích giá
lỗ trình chủ động hổng lỗ tính máy một mạng
Phương
pháp
quét
mạng
Kiểm tra cổng các mở
Kiểm tra thống hệ thông Lấy tin phiên bản HĐH
Quét hổng lỗ bảo Dựng biểu đồ thống hệ Chuẩn bị proxy mật mạng
Kiểm Tra Hệ
Thống
–
Quét
ICMP
trình này là gửi một ICMP Echo Request đến máy chủ đang muốn
rất hữu ích để định vị các thiết bị hoạt động hoặc xác định hệ thống có
này - Bản chất của quá tấn công - Việc tường quét lửa
hay không
dụng để
xác
định
các máy chủ
“sống”
từ
các
địa chỉ
được sử bằng cách gửi còn
một loạt các tin ICMP Reply
gói
Sweep Ping IP các IP đó. Nếu một máy chủ
lại một
trả
còn ICMP Echo Request đến tất cả gói ” “sống nó
sẽ
Một Số
Công
Cụ
Ping Sweep
Một Số
Công
Cụ
Ping Sweep
Phương
pháp
quét
mạng
Kiểm tra cổng các mở
Kiểm tra thống hệ thông Lấy tin phiên bản HĐH
Quét hổng lỗ bảo Dựng biểu đồ thống hệ Chuẩn bị proxy mật mạng
Cơ
Chế
Bắt
Tay
3 Bước
đến
một gói tin với cờ
sử tay bắt chế dụng
một
chủ
tin
gói
Máy với cờ
gởi
lại cho
sẽ SYN Cuối cùng, máy chủ
trả và máy một
Máy tính máy chủ SYN
thành
không có
hoàn sau đó
sẽ ACK. Nếu ba bước trên được một mà biến chứng, kết nối TCP được thiết lập giữa máy khách
máy chủ
và
để TCP bước ba cơ máy và thiết lập kết nối giữa máy chủ khách A khởi tạo một kết nối bằng lời bằng ACK khách gói tin
Cờ
Giao
Tiếp TCP
Được sử
dụng
để
bắt
chỉ
đầu một kết nối giữa
Dùng ưu
để tiên
các
máy tính
gói lí
tin được trước
xử
Thông kết xa
báo thúc
Được sử xác nhận được một gói tin
thống từ tin
để dụng đã nhận
hệ cho việc truyền
Được sử
dụng
để
thiết lập
Được sử gửi tất cả
dụng để liệu dữ
thống cầu hệ yêu đệm ngay lập tức
lại một kết nối
Tùy
chỉnh
các
cờ
TCP
trong
gói
tin
Là các dòng lệnh gói tin cho giao để
tạo các thức TCP/IP
Công cụ kiểm toán bảo mật, kiểm tra tường
mạng lưới
chạy trên Nó lửa và cả
dụng
ngôn
Hping
TLC,
công
linux
ngữ với ping 2
hai hệ điều hành windows và một kịch bản sử dòng lệnh tương thích 3 là cụ
Màn
Hình
Làm
Việc của
Hping
3
Một Số
Lệnh
Hping
Quét
SYN trên cổng 80
hping3 -8 50-56 –s 10.0.0.25 -v URG trên
ICMP ping Hping3 –1 10.0.0.25
hping3 –F –p -U 10.0.0.25 –p 80
Quét ACK trên cổng FIN, PUSH và 80 cổng Quét 80 Hping3 –A 10.0.0.25 –p 80
Quét toàn bộ cho máy UDP trên cổng
Quét 80 hing3 -2 10.0.0.25 –p 80 mạng trực tiếp chủ hping3 –1 10.0.0.x –rand-dest -I eth0
thu thập số ban tự đầu Chặn tất cả http truy
thứ hing3 10.0.0.25 –Q 139 -s
cập các hping3 –9 HTTP -I eth0
Các
Kĩ
Thuật Quét
Kết Nối TCP / Mở
Quét
Đầy
Đủ
được mở
Phát TCP khi hiện kết nối bằng
hoàn thành việc bắt tay ba một cổng bước. và
- cách - Quét kết nối TCP thiết lập một kết nối nối bằng cách gửi một bóc gói tin chỗ đầy đủ RST
Quét
Tàng
Hình
(Quét
Mở
Một Nửa)
sử các quy dụng kỹ qua để
Kẻ lửa, thuật tấn công cơ chế đăng nhập , và ẩn
bỏ tàng hình quét mạng lưới giao thông mình như tắc tường thường thông
Máy nhất
khách cho
gói trên
gửi một chủ
SYN cổng
duy thích
hợp
1
Nếu cổng về trả chủ
ra, SYN
máy
trả
lời với một gói
sau đó máy / ACK
xa là
trong tình
2
Nếu máy chủ RST, trạng
được mở một gói gửi
các gói tin
RST
từ
để khách sẽ khởi đầu trước khi kết nối có thể
3
Máy đóng được thiết lập
sau đó các cổng cửa đóng
4
các
cho
tcp gói URG, ACK, các HĐH
không
Nó
Scan -Xmas gửi một sẽ thiết bị ở xa với các cờ RST, SYN FIN. cờ và - việc với làm FIN Scan chỉ Tcp/IP phát RFC 793. theo triển việc với bất kì phiên làm sẽ - Microsoft Windows bản hiện hành của
tcp
các
cho
FIN
triển
không
Nó
Scan - gói gửi một sẽ thiết bị ở xa FIN. với các cờ - FIN Scan chỉ việc với làm Tcp/IP phát theo - làm sẽ bản hiện hành của
các HĐH RFC 793. việc với bất kì phiên Microsoft Windows
làm
FIN Scan chỉ
việc với các HĐH
triển
RFC 793.
không
Nó
theo
- Tcp/IP phát làm sẽ - bản hiện hành của
việc với bất kì phiên Microsoft Windows
lắng nghe trên
luôn
tính
máy
RST
cổng tcp 80 trên cổng được Cổng nghe lắng
bị
trên cổng.
Internet
mở một cổng (thành lập
cho đến một phần
và
- Máy chủ chẳng hạn như web chủ máy và chủ mail trên cổng 25. coi là mở dụng ứng nếu một nghe - xác định xem Một cách để là SYN tin gói gửi một đó. phiên đến cổng ) - nhận máy tính Các gói SYN /ACK đã nếu cổng nhận)
-Một máy nhận được một gói SYN/ACK không được yêu cầu sẽ lời với một trả RST. không được qua. bỏ yêu cầu sẽ - Mỗi gói tin trên mạng IP nhận dạng. có một số quét phương pháp là -Nó cổng tcp phép gửi giả các gói tin mạo thông qua công cụ máy tính Hping. Nmap mềm như
gửi lại một được sẽ yêu cầu xác (phiên đóng.
IDLE Scan: Bước 1
zombie để
1. 2.
một số
tìm nhận dạng
gói
3. 4.
tính
xuất IP ID
máy đều có một số mỗi khi một máy chủ tin RST, tiết lộ gói tin RST từ
IP ID số (IP ID), là tin IP. gửi IP ID. trích zombie để
máy
Gởi gói tin SYN/ACK đến gói Mỗi mạng tin trên có lên tăng và số 4 chữ gởi lại một Zombie sẽ gói các tích Phân
IDLE Scan: Bước
2.1 (Mở
Cổng)
giả (port 80)
máy tính mục tiêu zombie của chỉ
Gửi gói tin SYN đến mạo địa
IP
IDLE Scan: Bước
2.1 (Đóng
Cổng)
zombie nếu cổng
sẽ gởi đóng nhưng
Máy tính mục tiêu zombie sẽ không gói gởi bất cứ điều gì trở tin RST đến lại
IDLE Scan: Bước 3
Thăm dò lại IP ID của zombie
1, do
IPID tăng đó cổng
1 từ thêm 80 phải bước được mở
là
quét
Đây không phải thực sự
này
chỉ đơn giản tạo và IP
hoặc
quét một danh sách các
không cần ping hoặc
mà
thể
hữu ích, và được dùng
quét DNS cũng
Kiểu in ra tên chúng. cổng phân giải tên miền Việc sẽ được thực hiện
chúng
–P cert.org/24
Nmap
- port, khi gói icmp không chứa port cố đinh - Nhưng trong một vài trường hợp nó có để quyết định thiết bị đầu cuối nào trên mạng đang được bật bằng cách ping tới tất cả - 152.148.0.0/16
SYN/FIN Sử
Quét một phương pháp
Dụng mớinhưng
không phải là quét
đó
IP các phương
trước
Gói Các sửa đổi của gói bộ để
-nó pháp -phần đầu TCPđược chia ra thành các gói dữ phát tin không thể hiện nhiều liệu
để các dùng
lọc quét
gói tin có ý định
bắt
thống
UDP sẽ
thực hiện cơ không bước TCP cho việc
chế scan
ICMP.
để được gửi phản hồi với truy cập cổng phần mềm gián điệp, trojan, và dụng
sử
không thể độc hại
khác
tin nhiều các
-nếu một gói tin cổng, hệ mở nhắn - ứng cổng
-Ở đây tay ba UDP - Hệ thông
được mở
không khi nào
thống báo
dụng UDP
phản hồi lại một cổng
Inverse TCP Flag Scanning (Quét
Đảo Ngược Cờ
TCP)
các gói tin
TCP
gửi
thăm dò phản ứng
với cờ có
(FIN/URG/PSH) hoặc gói nếu máyđ ích
gởi
không tin
tấn công cờ, Nếu máy đích có
không có
khác nhau còn mở cổng
Kẻ có RST/ACK
nghĩa là cổng
đóng cửa
TCP nghĩa là
tấn công
gửi một gói tin
với số
tự
ngẫu
nhiên,
không
phản ứng
có
ACK hiện tại của
thứ firewal) và
nghĩa là cổng
Kẻ cổng nghĩa là không phải là
thăm dò thái
RST
phản ứng
có
được lọc (trạng lọc
Sử dụng đầy đủ các gói tin IP
Giả công mạo và
địa chỉ theo dõi của bạn IP phản hồi từ
xâm
nguồn sử dụng định tuyến (nếu có khi tấn máy chủ thể)
Kết nối với máy chủ vào động
các các
bị máy cuộc tấn công
nhập khởi
proxy hoặc nhiễm trojanđể
lý
các Xác định chính xác loại tin nhắn ICMP phân và đáp mảnh xa từ ứng bởi
được xử các máy chủ
là
phần mềm
thăm dò
mạng.
cho
mã nguồn mở dụng sử
quản lí lịch vụ. của dịch
quản trị mạng có tấn công
thể thể
dụng
sử
- Nmap miễn phí Các - việc kiểm tra mạng, cho nmap hoặc thời gian hoạt động nâng cấp dịch vụ, giám sát máy chủ trình - Những kẻ xuất để nmap có
các thông tin như:
trích
Các
dịch
vụ
máy hoạt trên
Các chủ động
ứng và bản)
mạng
(tên dụng phiên Các
HĐH(và bản phiên
loại gói tin
HĐH)
Các
Biện
Pháp
Phòng
Chống
quy
và
Sử
chỉnh
tập rule
Cấu hình tắc IDS các chặn
dụng để
tường lửa phát hiện và để thiết bị thăm dò
các
cổng
tùy khóa
mạng
không Chặn cần thiết trên tường lửa
Che
giấu cảm khỏi
thông tin nhạy công chúng
Các
Phòng
Chống
Biện
Pháp
mại
đang
Lọc
bên
lửa thương :
các gói
các trong
được cài đặt
gói và bên
đã
chính
tin ICMP cả không ngoài ICMP truy cập tại các bộ cho định tuyến và tường lửa
đảm bảo rằng dụng, mới nhất vụ dịch giả tắc chống nghĩamột định được
đều
vụ
cách không
được sử
fastmode trongmôi
Nếu một bức tường được sử gói 1. các quy 2. các mạo xác 3. dịch dụng lửa - l
trường
kiểm tra tường
định
Biết được cấu hình
việc các cơ chế
và cổng bằng gởi
các
mạng mình thăm dò ICMP để
Đảm bảo rằng tuyến và lọc bằng qua cổng riêng
dụng thuật
cổng
không bỏ sử cách hoặc kỹ
thể
TCP và với dãy địa chỉ
truy cập của tin gói các quét UDP đối IP của bạn
định tuyến cụ
War Dialing gồm
công
dụng
bao đến việc sử của một kết
chương trình
dụng Sử số xác định các cụ điện thoại và có tạo một kết thể nối với một
vào
để
mục tiêu
modem
modem nhập thống
hợp với một thâm để các hệ dựa trên
ty Các công kiểm không kết cổng các điện thoại ở firewall lửa và máy với modem kèm theo
modem
soát nối như tường tính
làm việc bằng Nó một dụng cách sử danh sách và tên mật khẩu người biến dùng phổ được xác định gắng cố trước được quyền truy thống hệ cập vào
Nó
không
quan
của bạn mạnh
mạnh
như
đã mạng “cửa sau” bạn vẫn mở
được bảo vệ rộng
Không
của tin
Làm bạn tiết lộ
đến hệ
“cửa trước” trọng nếu như nào thế modem thông họ
biết có truy cập thống
với
của bạn
có
của
Modem của bạn uỷ mẫn cảm với một cuộc wardialer
nhập với
sản xuất
quyền đột
Làm modem mật khẩu mặc định
nhà
không tra
thường tổ
Bạn kiểm
cho
một người nào đó trong tổ chức của bạn gắn thêm một mạng của bạn modem
xuyên chức của
trong bạn
Biện
Pháp
Phòng
Chống
War Dialing
Phát
an ninh sách Tiến hành trinh sát thủ mạng của bạn công triển và thực hiện các chính
Sử một
điện thoại trong dụng vùng thống khác PBX nội bộ
từ hệ của bạn
các cấu hình trả
Kiểm tra lời tự động Ghi lại tất cả thành nhập các công modem của trên bạn lần đăng thất bại và
ngay trị nối,
cho
Sandtrap có thể hiện phát và War Dialing thông báo người quản cho kết gọi, http gởi web cách qua máy chủ bằng thông
Kiểm tra thống hệ Lấy thông tin phiên bản HĐH Kiểm tra cổng các mở
Quét hổng lỗ bảo Chuẩn bị proxy mật biểu Dựng hệ đồ thống mạng
pháp để xác định hệ điều hành chạy thống mục tiêu. Có
OS fingerprinting phương loại hai trên hệ thụ động.
tin thụ động
gói tin thủ các HĐH và
công chờ
được gởi phản các
thông sniffing để
là nắm bắt
kỹ các
tin đi ra từ
thống
lại phản
được liệu dữ
s o để
hồi với một cơ sở
để
hệ gói tin bị phân tích
OS
hệ điều hành các khác
khác sắp xếp và
hệ điều hành do sự trong
từ sẽ cách
-Lấy thuật gói - Các được tin - Nó biệt cách
bắt sau đó lấy thông cũng dựa trên sự cách trong lời của HĐH trả
-Các cho hồi trở - Các sánh xác định ứng - Phản khác nhau đổi thay TCP/IP
nhau sắp xếp
OS fingerprinting : chủ động và
Đây là kĩ chủ máy http để tin của server
thuật thăm thông thông lời
xác dò qua phần mào đầu của định gói
các tin trả
để dụng
- định phiên máy
xác Id Serve sử ngữ, model, và ngôn bản của phần mềm web của bất kì chủ web nào trang
bổ để
Bạn có thể sung thêm lấy
muốn thử cầu yêu các tin thông
hệ
hoạt trang và
Netcraft thống chủ máy netblock báo động phục vụ
bảng khởi để
động báo cáo web, của một với cùng web, owner, nếu có, một kể lần từ kết quả cáo cùng cuối tính máy trang web các
Lấy thông tin phiên bản HĐH
Quét hổng lỗ bảo Chuẩn bị proxy mật biểu Dựng hệ đồ thống mạng
Lấy thông tin phiên bản HĐH
Quét hổng lỗ bảo Chuẩn bị proxy mật biểu Dựng hệ đồ thống mạng
Lấy thông tin phiên bản HĐH
Quét hổng lỗ bảo Chuẩn bị proxy mật biểu Dựng hệ đồ thống mạng
Lấy thông tin phiên bản HĐH
Quét hổng lỗ bảo Chuẩn bị proxy mật biểu Dựng hệ đồ thống mạng