Tài liệu Bảo mật mạng - Chương 5: Scanning - Lưu Anh Kiệt
Quét (Scanning) là một bước tiếp theo trong tiến trình tấn công hệ thống. Gia đoạn này
giúp chúng ta xác định được nhiều thông tin của mục tiêu cần tấn công. Chương trước, bạn
đã tìm hiểu các vấn đề về Footprinting và Social Engineering, là công việc liên quan đến
con người. Có nghĩa là chúng ta đã tiến hành thu thập thông tin về tổ chức mà chúng ta tấn
công, như vị trí địa lý, thói quen sinh hoạt của nhân viên Đến phần này, Scanning, chúng
ta sẽ làm việc với máy móc. Tức là sau khi chúng ta tìm được vài thông tin có liên quan
đến máy tính cần tấn công, công đoạn tiếp theo là thu thập thông tin về máy tính đó. Những
thông tin cần thu thập như tên máy (computer name), địa chỉ ip, cấu hình máy tính, hệ điều
hành, dịch vụ đang chạy, port đang mở Những thông tin này sẽ giúp cho hacker có kế
hoạch tấn công hợp lý, cũng như việc chọn kỹ thuật tấn công nào. Quét giúp định vị hệ
thống còn hoạt động trên mạng hay không. Một hacker chân chính sử dụng cách này đề
tìm kiếm thông tin của hệ thống đích.
n những máy chủ dễ bị tổn thương. Công cụ quản lý mạng có thể hỗ trợ bước này. các công cụ như vậy thường được sử dụng để quản lý các thiết bị mạng nhưng có thể quay lưng lại với các quản trị viên bảo mật bởi các hacker có gan. SolarWinds Toolset, Queso, Harris Stat, và Cheops là các công cụ quản lý mạng sử dụng nhận biết hệ điều hành, lập bảng đồ, sơ đồ mạng, danh sách các dịch vụ đang chạy trên mạng, quét cổng thông thường và hơn nữa. Những công cụ này vẽ toàn bộ mạng trong giao diện GUI gồm routers, servers, hosts và firewalls. Hầu hết các công cụ này để có thể tìm ra IP, host names, services, hệ điều hành, và thông tin version. Hình 5.7: Giao diện làm việc của phần mềm LanState Netcraft và HTTrack là công cụ ghi dấu một hệ điều hành. Cả hai sử dụng để xác định hệ điều hành và số phiên bản phần mềm web-server. o Netcraft là website mà định kỳ thực hiện các cuộc thăm dò web server để xác định phiên bản hệ điều hành và phiên bản phần mềm web-server. Netcraft có thể cung cấp thông tin hữu ích cho hacker có thể sử dụng phát hiện những tổn thưởng trên phần mềm web server. Ngoài ra, Netcraft có thanh công cụ anti-phishing (chống lừa đảo) và công cụ xác nhận web-server, bạn có thể sử dụng để đảm bảo rằng đang sử web-server thật, không phải giả. o HTTrack sắp xếp cấu trúc liên kết tương đối, ban đầu của các trang web. Bạn mở một trang của website được nhân đôi trong trình duyệt,và sau đó bạn có thể duyệt các trang web từ liên kết để liên kết như thể bạn đang xem nó trực tuyến. HTTrack cũng có thể cập nhật một trang web hiện có được nhân đôi và phục hồi download bị gián đoạn. 3.5. Triển khai Proxy Server để tấn công Chuẩn bị máy chủ proxy là bước cuối cùng trong phương pháp quét CEH. Một proxy server là một máy tính hoạt động trung gian giữa hacker và máy tính đích. Sử dụng một proxy server có thể cho phép hacker trở thành vô danh trên mạng. Hacker trước tiên kết nối tới máy proxy server rồi yêu cầu kết nối tới máy đích thông qua kết nối có sẵn đến proxy. Cơ bản, proxy yêu cầu truy cập đến mục tiêu mà không phải là máy tính của hacker. Điều này làm hacker lướt web vô danh hoặc ẩn trong cuộc tấn công. Hình 5.8: Mô hình tấn công của attacker Trong hình 4.8 là mô hình tấn công được các attacker áp dụng. Trong đó, tấn công trực tiếp (1) ít được sử dụng nhất, vì nguy cơ bị phát hiện rất cao. Hai phương pháp còn lại lại thông qua một proxy (2) và qua hàng loạt các máy tính trung gian (3) được áp dụng nhiều hơn. Tuy nhiên cách thứ 3 thì khó triển khai hơn, và thường áp dụng cho một cuộc tấn công trên quy mô lớn. Bạn có thể dễ dàng tìm thấy các proxy server miễn phí này trên mạng. Với từ khóa “free proxy server” trên google bạn có thể tìm thấy nhiều trang web cung cấp tính năng này. Hacking Tool SocksChain là công cụ cung cấp cho hacker khả năng tấn công thông qua một chuỗi proxy servers. Mục đích chính của việc này là ẩn IP thực và do đó sự phát hiện sẽ ở mức thấp nhất. Khi một hacker làm việc thông qua vài proxy servers trong series, thì khó khăn hơn nhiều để xác định vị trí hacker. Theo dõi địa chỉ IP của kẻ tấn công thông qua các bản ghi của máy chủ proxy là một số công việc phức tạp và tẻ nhạt. nếu một trong các tập tin đăng nhập của proxy server bị mất hoặc không đầy đủ, dây chuyền bị hỏng, và addess IP củahacker vẫn còn vô danh. SSL Proxy SSL Proxy là proxy trong suốt được sử dụng để chuyển đổi giữa hai hệ thống, một được mã hóa, và một không có mã hóa nào. Bạn sử dụng SSL Proxy trong các trường hợp sau: Tấn công vào một hệ thống có cài đặt dịch vụ SSL Khai thác những thông tin của một hệ thống thông qua IDS. Sử dụng SSL Proxy để tạo đường hầm (tunnel) kết nối đến hệ thống đích, chạy ngang qua một IDS, nơi mà có thể bị chặn đứng trong cuộc tấn công. Hình 5.9: Mô hình sử dụng SSL Proxy để thực hiện tấn công Hacking Tool SSL Proxy cũng chính là tên công cụ dòng lệnh cho phép chúng ta tạo một SSL Proxy Tunnel, phục vụ cho cuộc tấn công sắp tới. Trong hình bên dưới là hướng dẫn cơ bản dòng lệnh chúng ta sử dụng khi đã cài SSL Proxy. Hình 5.10: Hướng dẫn sử dụng SSL Proxy 4. Kỹ thuật Anonymously Anonymously (tạm gọi là ân danh) là dịch vụ cố gắng lướt web vô danh sử dụng một website mà hoạt động như một proxy server cho web client. Phần mềm ẩn danh đầu tiên phát triển bởi Anonymizer.com; nó được tạo ra năm 1997 bởi Lance Cottrell. Dịch vụ Anonymizers loại bỏ tất cả thông tin xác định từ máy tính người dùng trong khi họ lướt web trên Internet, theo cách đó đảm bảo sự riêng tư của người sử dụng. Để vào một website ẩn danh, hacker vào địa chỉ website qua phần mềm ẩn danh, và phần mềm ẩn danh tạo yêu cầu chọn trang web. Tất cả các trang web yêu cầu được chuyển tiếp qua các trang web ẩn danh, khó theo dõi các yêu cầu từ trang web. Trong hình 4.11 là một vi dụ, khi bạn muốn truy cập vào website www.target.com nhưng lại bị cấm bởi các chính sách bảo mật của web server. Bạn thực hiện truy cập bằng cách thông qua một trang web giúp bạn ẩn danh là www.proxify.com Hình 5.11: Ví dụ truy cập web thông qua Anonymizers Hacking Tool Vài trang web sau đây sẽ giúp chúng ta giả danh trong việc truy cập web 5. Kỹ thuật HTTP TUNNELING Một phương pháp phổ biến của vòng qua tường lửa hoặc IDS là một tạo một đường hầm (như SMTP) thông qua một giao thức cho phép (như HTTP). Hầu hết các IDS và tường lửa hoạt động như một proxy giữa máy tính của khách hàng và Internet, và chỉ cho phép truy cập với những host được định nghĩa là được phép. Hầu hết các công ty cho phép HTTP giao thông bởi vì nó thường truy cập web lành tính. Tuy nhiên, hacker có thể tạo ra một đường hầm bằng giao thức HTTP để truy cập vào mạng bên trong với giao thức không được phép. HTTP Tunneling không hẳn là chỉ dành cho hacker. Bạn có thể áp dụng nó để tạo ra một hệ thống kết nối hai chi nhánh an toàn bằng giao thức HTTP. Trong hình 4.12 là một ví dụ về việc kết nối hai chi nhánh để trao đổi dữ liệu qua giao thức FTP, trong khi giao thức này bị chặn bởi tường lửa. Bằng cách này, client có thể kết nối về máy chủ FTP để lấy dữ liệu thông qua HTTP Tunneling. Hình 5.12: Client kết nối về FTP thông qua HTTP Tunneling Hacking Tool HTTPort, Tunneld, và BackStealth là tất cả công cụ để đi qua đường hầm thông qua HTTP. Chúng cho phép bỏ qua một proxy của HTTP, mà khóa những phương pháp truy cập Internet nhất định. Những công cụ này cho phép các ứng dụng như Email, IRC, ICQ, AIM, FTP các phần mềm nguy hiểm được sử dụng từ phía sau một proxy HTTP. 6. Kỹ thuật giả mạo IP (Spoofing IP) Một hacker có thể giả mạo địa chỉ IP khi quét máy hệ thống để hạn chế thấp nhất khả năng bị phát hiện. Khi nạn nhân (Victim) gửi trả lời về địa chỉ IP, nó sẽ không gửi đến địa chỉ giả mạo được. Một nhược điểm của giả mạo IP là một phiên TCP không thể hoàn thành được, do không thể gửi hồi đáp ACK. Source routing cho phép kẻ tấn công chỉ định việc định tuyến một gói tin có thông qua Internet. Điều này cũng có thể giảm thiểu cơ hội phát hiện bằng cách bỏ qua IDS và tường lửa. Source routing được cài đặt trong giao thức TCP/IP với hai hình thức: Loose Source routing (LSR): Routing không chính xác. Người gửi gửi một danh sách ip trong đó bao gồm ip của mình. Strict Source routing (SSR): Routing chính xác. Người gửi chỉ ra một phần của đường dẫn để chuyển gói tin. Gói tin trả lời sẽ đi qua đường dẫn đó. Source routing sử dụng trường địa chỉ của gói tin IP Header lên đến 39-byte tức là sẽ có tối đa 8 địa chỉ ip được thêm vào trường đỉa chỉ. Khi đó máy gửi sẽ gửi qua một loạt ip giả, trong số đó có ip thật của kẽ tấn công. Hình 5.13: Quá trình tấn công giả địa chỉ ip Hình 4.13 là một ví dụ vể quá trình giả IP. Bạn nhận thấy gói tin giả mạo có địa chỉ người gửi (from address) là 10.0.0.5 và gửi gói tin đến 10.0.0.25 Khi máy tính 10.0.0.25 gửi trả lời thì nó chuyển đến máy 10.0.0.5, mà đây không phải là máy tính của hacker. Chống lại việc giả IP Để phát hiện giả mạo địa chỉ IP, bạn có thể so sánh thời gian sống (TTL) các giá trị:TTL của kẻ tấn công sẽ khác với TTL của địa chỉ giả mạo. Hình 5.14: Phát hiện giả mạo ip 7. Các biện pháp đối phó với Scanning Trong bài viết, chúng ta cũng được giới thiệu vài phương pháp đối phó với các kỹ thuật của Scanning. Tuy nhiên, tôi muốn nói thêm với các bạn vài vấn để nữa để đối phó với Scanning. Firewall là một phần quan trọng của mạng. Như bạn thấy trong bài, các công cụ scan đều khó lòng vượt qua khỏi firewall. Hệ thống phát hiện xâm nhập (IDS) cũng là một phần không thể thiếu khi triển khai mạng, muốn chống lại việc scanning. Hệ thống này chỉ có khả năng phát hiện quá trình scan mà không thể chặn quá trình scan được. Chỉ nên mở những port cần thiết, và đóng những port không cần để tránh attacker lợi dụng. Những thông tin nhạy cảm không nên đưa ra internet. Ví dụ như thông tin về hệ điều hành, phiên bản phần mềm đang dùng 8. Tổng Kết Trong chương này bạn cần nắm rõ các vấn đề như sau: Có ba loại scanning chính là Port, network, and vulnerability scanning Làm sao để biết được một hệ thống còn sống hay không. Sử dụng ICMP để Ping Sweep như thế nào. Tìm hiểu về công cụ scanning port nổi tiếng là NMAP. Sự khác biệt của các loại scanning trong gia đình TCP như: TCP connect, SYN, NULL, IDLE, FIN, and XMAS và khi nào sử dụng loại nào. Tìm hiểu về quy trình bắt tay ba bước TCP. Điều này giúp chúng ta tấn công giảm độ rũi ro bị phát hiện. Hệ thống IDS, IPS được dùng để chống lại scanning. War dialing là gì? Nó được sử dụng trong tấn công vào hệ thống dial-in. Kỹ thuật fingerprinting có hai loại Active và Passive, Nó được dùng để thu thập thông tin hệ điều hành. Kỹ thuật anonymously để lướt web vô danh và cơ chế HTTP Tunneling cùng kỹ thuật IP Spoofing là những kỹ thuật giúp chúng ta ân danh trong hoạt động tấn công. Sử dụng nó giúp tránh bị phát hiện.
File đính kèm:
- tai_lieu_bao_mat_mang_chuong_5_scanning_luu_anh_kiet.pdf