Syn Scan là gì
Scanning Trong bước đầu tiên của tiến trình tấn công các hacker thường tiến hành quét mạng mà chúng ta sẽ gọi bằng thuật ngữ scanning để kiểm tra các cổng đang mở hay những dịch vụ mà mục tiêu đang sử dụng. Bên cạnh đó scanning còn cho biết các thông tin quan trọng như hệ điều hành đang sử dụng hay hệ thống máy chủ mà trang web đang dùng là IIS, Apache Scanning bao gồm các thao tác để xác định các host (máy trạm) và những port (cổng) đang hoạt động hay những dịch vụ đang chạy trên hệ thống của mục tiêu cần tấn công và khai thác. Đây là một trong những bước quan trọng của tiến trình thu thập thông tin thông minh (intelligence gathering) mà các hacker sử dụng để lập sơ đồ của các tổ chức hay mạng mục tiêu. Trong tiến trình scanning những kẻ tấn công sẽ gởi các gói tin TCP/IP đến mục tiêu như Hình 3.1 và phân tích các kết quả trả về nhằm xác định các thông tin giá trị mà họ quan tâm. Các kiểu Scanning Có ba dạng scanning khác nhau đó là Port Scanning, Vulnerability Scanning và Network Scanning. Network Scanning : Quá trình này dùng để xác định các máy đang hoạt động trên hệ thống mạng thường được các hacker, chuyên gia bảo mật hay những quản trị hệ thống thực hiện Port Scanning : Kẻ tấn công sẽ gởi một loạt các thông điệp đến mục tiêu nhằm xác định các cổng đang mở, và thông qua các cổng này họ sẽ biết được có những dịch vụ nào đang chạy trên máy tính mục tiêu. Một trong các ứng dụng port scanning phổ biên là Nmap. Vulnerability Scanning : Là quá trình quét lỗi nhằm xác định ra các lỗ hổng bảo mật hay những điểm yếu mà thường gọi là các điểm nhạy cảm của các ứng dụng hay máy chủ, máy trạm đê từ đó đưa ra các phương án tấn công thích hợp. Tiến trình quét lỗi có thể xác định được các bản cập nhật hệ thống bị thiếu, hay những lỗi hệ thống chưa được vá các chuyên gia bảo mật cũng thường tiến hành vulnerability scanning trong công tác bảo vệ hệ thống mạng của mình. Network Scan: ICMP Scanning: Hacker sẽ gởi các tín hiệu ICMP ECHO Request đến mục tiêu (host) và nếu một host đang tồn tại nghĩa là đang hoạt động thì sẽ phản hồi lại thông qua ICMP ECHO Reply. Tuy nhiên, quá trình này có thể thất bại nếu như giao thức ICMP bị chặn bởi firewall. VD: nmap -sP -v 192.168.1.10 Ping 192.168.1.10 Ping Sweep: Ping tới nhiều máy một lúc nmap -sP 192.168.73.1-20 Sử dụng Tool Advanced IP Scanner Port Scan: Scan Open Port với trọng tâm sẽ là TCP SCAN, gói tin TCP có tổng cộng 16bit dành cho Source. Port và 16 bit dành cho Destination Port. Tổng số Port cần Scan sẽ là 2^16-1=65535 Port. Cấu tạo gói tin TCP và các flag + SYN Flag SYN trong gói tin TCP dùng để bắt đầu một giao tiếp TCP + FIN Flag FIN trong gói tin TCP dùng để kết thúc một kết nối TCP + ACK Flag ACK dùng để xác nhận một kết nối TCP + RST Flag RST dùng để từ chối một kết nối TCP (VD: Server không mở port 80 mà có request tới). + PSH (Push) : Yêu cầu xử lý các dữ liệu trong bộ nhớ đệm ngay lập tức. + URG: Tín hiệu khẩn, có mức ưu tiên cao nhất. Khi nhận được dữ liệucùng cờ này thì phải xử lý ngay. URH Flag PSH/URG sử dụng để thiết lập độ ưu tiên cho gói tin TCP, 3 bước bắt đầu và 4 bước kết thúc một giao tiếp TCP - Client muốn kết nối tới một Port nào đó trên Server gói tin đầu tiên client gửi tới Server là gói SYN. Gói tin này với Source Port là ngẫu nhiên và Destination Port là port cần kết nối, Flag SYN được bật, và là gói không chứa dữ liệu. - Khi Server nhận được gói SYN trên Port đang hoạt động, Server sẽ gửi lại một gói tin phản hồi với hai Flag được bật là SYN/ACK. - Client gửi lại gói tin ACK để xác nhận kết nối và giao tiếp bắt đầu được thực hiện. Sau ba gói tin này là các gói tin có chứa dữ liệu. - Client muốn kết thúc giao tiếp TCP này, Client sẽ gửi gói tin với hai Flag được bật là FIN/ACK. - Server nhận được gói tin này sẽ gửi lại gói tin ACK để xác nhận đã nhận được gói tin - Server gửi tiếp gói tin với Flag FIN/ACK được bật - Client gửi lại xác nhận bằng gói tin ACK và quá trình kết nối giữa Client và Server kết thúc ! Mỗi phiên kết nối TCP sẽ có 7 gói tin không có chứa dữ liệu Các dạng TCP Scan TCP Scan Gói tin gửi đi Gói tin nhận về Đưa ra kết luận Ghi chú SYN Scan: gửi cờ SYN tới port cần Scan. Nếu nhận được SYN/ACKà Port Open ,RSTà Port Close. Đây là phương thức scan phổ biến nhất. và nhanh nhất, nhưng phải thực hiện với quyền root TCP Connect: ScanThực hiện cả 3 bước kết nối TCP và Hoàn thành cả ba bướcàPort Open nếu Không hoànthànhàPort Close. Đây là phương thức scanchính xác nhất nhưng tốnthời gian nhất. Ko cần root nhưng để lại log Null Scan Gói tin no Flag Không có tínhiệu trả lờiàPort Open ,nếu RSTàPort Close. Đây là phương thức scan thiếu chính xác FIN Scan: FIN tới port cần scan nếu Không có tín hiệu trả lờiàPort Open và RSTà Port Close Khi chưa có kết nối đã gửi gói tin FIN tới server sẽ không trả lời dù port đó đang open XMAS Scan FIN/URG/PSH Không có tínhiệu trả lờiPort Open và RST Port Close .Dạng scan này tương tự như NULL hay FIN SCAN là những dạng scan có kết quả thiếu chính xác Passive Scan Không gửi gói tin,thực hiện Sniffervà đưa ra phân tíchdựa trên việc bắt gói tin trên mạng. Thấy giao tiếp port nàothì Port Open Toàn bộ các phương thức scan bên trên đều là Active Scan, đưa ra kết quả nhanh chóng nhưng lại gây ảnh hưởng tới hệ thống mạng và không thể hoạt động 24/7. Decoy Scan Decoy Scan là một kỹ thuật thực hiện một IP Spoofing (giả mạo). Mục đích nhằm ấn địa chỉ thực sự của kẻ tấn công (scanner). Ta xét ví dụ sau. [root@localhost ~]# nmap -sS 192.168.1.22 -D 1.2.3.4, 5.6.7.8 IDLE Scan Idel Scan là một kỹ thuật phức tạp cho phép ẩn hoàn toàn kẻ tấn công. trong Scan này sẽ có 3 thành phần: 1 là kẻ tấn công, một Zombie (một máy bị kẻ tấn công lợi dụng) và một là mục tiêu cần quét cổng. Điều kiện là máy Zombie không thực hiện các hoạt động khác ngoại trừ việc giao tiếp với Kẻ tấn công. Idle Scan Open Port Idle scan of a closed port Idle scan of a filtered port Nói tới Scan Open Port chúng ta sẽ thường dùng nhất là phương thức SYN SCAN Sử dụng tool để scan: Tool Advanced Port Scanner NMAP: Mạc định nếu scan ko chỉ ra option thì # nmap 192.168.0.1 Đối với câu lệnh này, một số tùy chọn đã được mặc định. Câu lệnh trên sẽ tương đương với: R: truy vấn đến DNS server để thực hiện reverse DNS name lookup. Tùy chọn này được sử dụng khi mục tiêu là một server. Chúng ta thường dùng -n để bỏ -R đi cho nhanh -sS: SYN scanning Decoy ScanDecoy Scan là một kỹ thuật thực hiện một IP Spoofing (giả mạo). Mục đích nhằm ấn địa chỉ thực sự của kẻ tấn công (scanner). Ta xét ví dụ sau. [root@localhost ~]# nmap -sS 192.168.1.22 -D 1.2.3.4, 5.6.7.8 (-D chỉ ra ip giả) IDLE Scan: Nmap -sS -sI bkacad.com hust.edu.vn
hping3 -A -p 443 -c 3 192.168.73.141 nếu có RST (flags=R) thì ko có Firewall filter scan SYN: hping3 S p 80 c 3 bkacad.com Hoặc để scan nhiều port cùng lúc, chúng ta sử dụng thêm options scan như sau: hping3 -S --scan 80,53,143 112.213.95.85
Sử dụng máy BT 5R3 và lệnh: hping3 10.0.0.12 -1 -d 65000 -i u1 -V -n với [+] hping3 : tên tool Scan lỗ hổng bảo mật: Metasploit Dùng các code trong github hoặc exploit-db.com Dùng GIF Dùng Nessus: Hướng dẫn cài nessus vào www.tenable.com down nessus cho Debian cài: dpkg -i "tên gói" start service: /etc/init.d/nessusd start vào nessus: http://127.0.0.1/8834 -->Get start: User:? pass:? Ðang ký: vào trang chon ban Nessus Home: dang ký thông tin: tên, Email... Vào Mail lấy code và register OK! Nmap 192.168.1.10 Nmap -p 80 192.168.1.10 Nmap -A 192.168.1.10 Nmap -sA -p 80 192.168.1.10 |