Để Trở Thành Chuyên Gia Bảo Mật (Module3 – P1) Scanning Network

Scanning Network

1. Định Nghĩa Các Kiểu Scanning.
2. Quy Trình Scanning.
3. Kiểm Tra Các Hệ Thống Đang Hoạt Động Và Những Cổng Mở.
4. Nắm Vững Các Kỹ Thuật Quét Mạng.
5. Các Công Cụ Thường Dùng Trong Quá Trình Quét Mạng.
6. Banner Grabbing Và OS Fingerpringting
7. Chuẩn Bị Proxy.
8. Phòng Chống Kiểu Tấn Công Quét Mạng.

Trong bước đầu tiên của tiến trình tấn công các hacker thường tiến hành quét mạng mà chúng ta sẽ gọi bằng thuật ngữ scanning để kiểm tra các cổng đang mở hay những dịch vụ mà mục tiêu đang sử dụng. Bên cạnh đó scanning còn cho biết các thông tin quan trọng như hệ điều hành đang sử dụng hay hệ thống máy chủ mà trang web đang dùng là IIS, Apache …
Scanning bao gồm các thao tác để xác định các host (máy trạm) và những port (cổng) đang hoạt động hay những dịch vụ đang chạy trên hệ thống của mục tiêu cần tấn công và khai thác. Đây là một trong những bước quan trọng của tiến trình thu thập thông tin thông minh (intelligence gathering) mà các hacker sử dụng để lập sơ đồ của các tổ chức hay mạng mục tiêu. Trong tiến trình scanning những kẻ tấn công sẽ gởi các gói tin TCP/IP đến mục tiêu
I: Các Kiểu Scanning
Có ba dạng scanning khác nhau đó là Port Scanning, Vulnerability Scanning và Network Scanning.

1. Port Scanning : Kẻ tấn công sẽ gởi một loạt các thông điệp đến mục tiêu nhằm xác định các cổng đang mở, và thông qua các cổng này họ sẽ biết được có những dịch vụ nào đang chạy trên máy tính mục tiêu. Một trong các ứng dụng port scanning phổ biên là Nmap.
2. Vulnerability Scanning : Là quá trình quét lỗi nhằm xác định ra các lỗ hổng bảo mật hay những điểm yếu mà thường gọi là các điểm “nhạy cảm” của các ứng dụng hay máy chủ, máy trạm đê từ đó đưa ra các phương án tấn công thích hợp. Tiến trình quét lỗi có thể xác định được các bản cập nhật hệ thống bị thiếu, hay những lỗi hệ thống chưa được vá các chuyên gia bảo mật cũng thường tiến hành vulnerability scanning trong công tác bảo vệ hệ thống mạng của mình.
3. Network Scanning : Quá trình này dùng để xác định các máy đang hoạt động trên hệ thống mạng thường được các hacker, chuyên gia bảo mật hay những quản trị hệ thống thực hiện

II: Quy Trình Scanning

Kiểm Tra Các Hệ Thống Đang Hoạt Động
Để kiểm tra tình trạng hoạt động của hệ thống các hacker có thể sử dụng nhiều công cụ và những hình thức khác nhau để thu được kết qua mong muốn như Scanning hay Ping Sweep.

• ICMP Scanning Hacker sẽ gởi các tín hiệu ICMP ECHO Request đến mục tiêu (host) và nếu một host đang tồn tại nghĩa là đang hoạt động thì sẽ phản hồi lại thông qua ICMP ECHO Reply.  Tuy nhiên, quá trình này có thể thất bại nếu như giao thức ICMP bị chặn bởi firewall.
• Ping Sweep Trong ví dụ trên chúng ta sử dụng ICMP Scanning để xác định tình trạng hoạt động của một máy trạm, nếu như các bạn muốn kiểm tra trên một dãy các địa chỉ IP thì Ping Sweep là giải pháp thích hợp thông qua hình thức gởi các tín hiệu ICMP ECHO Request đến nhiều máy tính cùng lúc để nhận các kết quả trả về thích hợp.

III: Xác Định Những Cổng Mở Và Dịch Vụ Đang Hoạt Động

Các cổng (hay port) đang mở có nghĩa là các dịch vụ liên quan đến những cổng này đang hoạt động và thông qua kết quả đó hacker sẽ xác định phương án tấn công thích hợp với những dịch vụ. Để có thể nắm vững kỹ thuật này các bạn cần hiểu rõ quá trình bắt tay 3 bước hay thường được gọi là Three-Way Handshake khi các máy tính sử dụng giao thức truyền thông TCP tại tầng vận chuyển
Sau đây là một số tín hiệu (còn gọi là các cờ) được dùng trong các quá trình khởi tạo phiên làm việc.

• SYN (Synchronize) : Dùng khi khởi tạo kết nối giữa hai máy.
• ACK (Acknowledgement) : Dùng để gởi thông báo chấp nhận khi nhận được tín hiệu từ máy gởi.
• PSH (Push) : Yêu cầu xử lý các dữ liệu trong bộ nhớ đệm ngay lập tức.
• RST (Reset) : Yêu cầu reset lại kết nối, các bạn lưu ý là khi nhận được tín hiệu này cũng có nghĩa là mục tiêu hay máy tính đang không hoạt động (Offline)
• FIN (Finish) : Yêu cầu kết thúc liên kết
• URG (Urgent) : Tín hiệu khẩn, có mức ưu tiên cao nhất. Khi nhận được dữ liệu cùng cờ này thì phải xử lý ngay

Phòng Chống Port-Scan

Để phòng chống tấn công quét cổng các hệ thống cần triển khai firewall và thiết lập các chính sách ngăn chặn những tín hiệu dò tìm hay khởi tạo kết nối không hợp lệ. Che dấu các cổng mở như hệ thống tường lữa TMG Firewall có chức năng hidden port. Đặc biệt chỉ mở các cổng cần thiết cho quá trình vận hành, đối với các dịch vụ không hoạt động hãy đóng những cổng liên quan.

Nmap

Chương trình quét cổng được đề cập nhiều nhất trong CEH là Nmap, đây là ứng dụng miễn phí có khả năng mạnh mẽ trong việc quét cổng, ping sweep, xác định dịch vụ, hệ điều hành. Nmap chạy được trên nền Windows hay Linux, Unix và có thể tiến hành quét cùng lúc nhiều máy tính. Nmap có thể tìm kiếm các cổng mở và những cổng được che dấu với các chức năng lọc. Ví dụ khi firewall chặn các ứng dụng quét cổng thông thường bằng cách ngắt những tín hiệu hồi đáp trong quá trình three-way handshake, hay ngăn ngừa việc tiếp nhận tín hiệu trên nhiều cổng trong thời gian ngắn thì nmap vẫn có thể vượt qua bằng phương pháp half-path scan hay tiến hành quét các cổng với thời gian cách xa nhau
Sau đây là một phương pháp quét mạng với Nmap mà các bạn cần ghi nhớ :

• TCP connect : Hacker khởi tạo kết nối TCP đầy đủ với mục tiêu.
• XMAS tree scan : Kiểm tra các dịch vụ TCP bằng cách gởi các gói tin XMAS-tree (các gói tin được đặc cờ FIN, URG và PSH.
• SYN stealth scan : Còn được gọi là half-open scanning. Hacker hởi các gói tin SYN và nhận gói tin đáp ứng SYN-ACK từ server. Trong trường hợp này máy tính của hacker và server không thiết lập kết nối TCP đầy đủ nên được gọi là stealth.
• Null scan : Đây là phương pháp quét mạng nâng cao và có thể vượt qua cờ chế dò tìm của firewall. Null scan chỉ hoạt động trên các hệ thống Unix với tất cả các cờ được tắt.
• Windows scan : Tương tự như ACK scan và có thể phát hiển các cổng mở.
• ACK scan : Được dùng để dò tìm các quy tắt của firewall, dạng này chỉ hoạt động trên hệ thống UNIX.

Ngoài ra, Nmap còn có nhiều tùy chọn thích hợp với những nhu cầu quét cổng hay dò tìm dịch vụ khác nhau như trong danh sách sau :

SYN, STEALTH,XMAS, NULL, ADLE, và FIN Scan

• SYN : SYN hoặc stealth scan cũng được gọi là haft-open scan vì nó không thực hiện đầy đủ quy trình bắt tay ba bước của TCP (three-way hanshake Hacker gửi gói tin SYN đến đích, nếu nhận lại một SYN/ACK, sau đó nó giả định các mục tiêu sẽ hoàn thành việc kết nối và các cổng đang lắng nghe. Nếu nó nhận một 1 RST từ mục tiêu, nó giả định cổng không hoạt động hay bị đóng. SYN stealth scan là ít bị phát hiện hơn bởi các hệ thống IDS.
• XMAS: XMAS scan gửi một gói với cờ FIN,URG, và PSH được thiết lập. Nếu cổng mở, không đáp lại; nếu đóng mục tiêu gửi lại gói RST/ACK. XMAS scan chỉ làm việc trên hệ thống máy đích theo RFC 793 của TCP/IP. FIN: FIN scan tương tự XMAS scan nhưng gửi gói dữ liệu chỉ với cờ FIN được thiết lập.
• NULL: NULL scan cũng tương tự như XMAS và FIN trong giới hạn và trả lời, nhưng nó chỉ gửi một packet mà không có thiết lập cờ.
• IDLE: IDLE scan sử dụng địa chỉ IP giả mạo để gửi một gói SYN đến mục tiêu. Phụ thuộc vào trả lời, cổng có thể được xác định là mở hoặc đóng. IDLE scan xác định phản ứng quét cổng bằng cách theo dõi số thứ tự IP header.

IV: Banner Grabing và Operating System Fingerprint

Banner Grabbing và OS Fingerprint – cũng có thể định nghĩa là Fingerprinting TCP/IP stack – là bước thứ 4 trong phương pháp quét của CEH. Quá trình fingerprinting cho phép hacker xác định vùng đặc biệt dế bị tổn thương của mục tiêu trên mạng. Banner grabbing là quá trình tạo kết nối và đọc biểu ngữ được gửi trả lời bởi ứng dụng. Nhiều server (mail, web, ftp…) sẽ trả lời đến một kết nối telnet với tên và version của software. Hacker có thể tìm thấy nhiều mối liên hệ giữa hệ điều hành và phần mềm ứng dụng. Ví dụ, Microsoft Exchange e-mail server chỉ cài được trên HĐH Windows. OS Fingerprint là kỹ thuật xác định thông tin hệ điều hành chạy trên host đích. Có hai phương thức để thực hiện OS Fingerprint như sau:

1. Active stack fingerprinting là hình thức phổ biến nhất của fingerprinting. Nó bao gồm việc gửi dữ liệu đến hệ thống để xem cách hệ thống trả lời. Nó dựa trên thực tế là các nhà cung cấp hệ điều hành thực hiện các TCP stack khác nhau, và khác nhau dựa trên hệ điều hành. Các phản ứng này sau đó được so sánh với cơ sở dữ liệu để xác định hệ điều hành. Active stack fingerprinting bị phát hiện bởi vì nó cố gắng nhiều lần để kết nối với hệ thống mục tiêu
2. Passive stack fingerprinting thì “tàng hình” hơn và bao gồm sự kiểm tra lưu lượng trên mạng để xác định hệ điều hành. Nó sử dụng kỹ thuật Sniffing thay vì kỹ thuật Scanning. Passive stack fingerprinting thường không phát hiện ra bởi IDS hoặc hệ thống bảo mật khác nhưng ít chính xác hơn Active fingerprinting.

Đối phó với thu thập thông tin hệ điều hành

Thay đổi thông tin hệ điều hành trong phần banner header của webserver. Với Apache bạn có thể load module có tên là mod_headers lên, và chỉnh sửa cấu hình trong file httpd.conf Header set Server “New Server Name” Với IIS bạn có thể sử dụng các tool như IIS lockdown Tool, ServerMask. Cả hai công cụ này đều có chức năng thay đổi banner header của server hoặc khóa hẳn luôn, không hiển thị cho người dùng.

V: Triển Khai Proxy Server Để Tấn Công

Chuẩn bị máy chủ proxy là bước cuối cùng trong tiến trình quét mạng của CEH. Một proxy server là một máy tính hoạt động trung gian giữa hacker và máy tính đích. Sử dụng một proxy server có thể cho phép hacker trở thành vô danh trên mạng. Hacker trước tiên kết nối tới máy proxy server rồi yêu cầu kết nối tới máy đích thông qua kết nối có sẵn đến proxy. Cơ bản, proxy yêu cầu truy cập đến mục tiêu mà không phải là máy tính của hacker. Điều này làm hacker lướt web vô danh hoặc ẩn trong cuộc tấn công.

Công Cụ

1. SocksChain là công cụ cung cấp cho hacker khả năng tấn công thông qua một chuỗi proxy servers. Mục đích chính của việc này là ẩn IP thực và do đó sự phát hiện sẽ ở mức thấp nhất. Khi một hacker làm việc thông qua vài proxy servers trong series, thì khó khăn hơn nhiều để xác định vị trí hacker. Theo dõi địa chỉ IP của kẻ tấn công thông qua các bản ghi của máy chủ proxy là một số công việc phức tạp và tẻ nhạt. nếu một trong các tập tin đăng nhập của proxy server bị mất hoặc không đầy đủ, dây chuyền bị hỏng, và addess IP củahacker vẫn còn vô danh.
2. SSL Proxy là proxy trong suốt được sử dụng để chuyển đổi giữa hai hệ thống, một được mã hóa, và một không có mã hóa nào. Bạn sử dụng SSL Proxy trong các trường hợp sau: Tấn công vào một hệ thống có cài đặt dịch vụ SSL

Khai Thác Những Thông Tin Của Vượt Qua IDS.

Sử dụng SSL Proxy để tạo đường hầm (tunnel) kết nối đến hệ thống đích, chạy ngang qua một IDS, nơi mà có thể bị chặn đứng trong cuộc tấn công.

Công Cụ

SSL Proxy cũng chính là tên công cụ dòng lệnh cho phép chúng ta tạo một SSL Proxy Tunnel, phục vụ cho cuộc tấn công sắp tới.  Ngoài ra, ta có thể tạo các kết nối tunnel với SSH. Trong các chương sau chúng tôi sẽ trình bày một bài thực hành về tình huống này

VI: Kỹ Thuật Anonymously

Anonymously (còn gọi là ân danh) là dịch vụ lướt web vô danh sử dụng một website mà hoạt động như một proxy server cho web client. Phần mềm ẩn danh đầu tiên phát triển bởi Anonymizer.com; nó được tạo ra năm 1997 bởi Lance Cottrell. Dịch vụ Anonymizers loại bỏ tất cả thông tin xác định từ máy tính người dùng trong khi họ lướt web trên Internet, theo cách đó đảm bảo sự riêng tư của người sử dụng. Để vào một website ẩn danh, hacker vào địa chỉ website qua phần mềm ẩn danh, và phần mềm ẩn danh tạo yêu cầu chọn trang web. Tất cả các trang web yêu cầu được chuyển tiếp qua các trang web ẩn danh, khó theo dõi các yêu cầu từ trang web.

Công Cụ

Vài trang web sau đây sẽ giúp chúng ta giả danh trong việc truy cập web

http://www.primedius.com
http://www.browzar.com
http://www.rorrify.com

VII: Kỹ Thuật HTTP TUNNELING

Một phương pháp phổ biến của vòng qua tường lửa hoặc IDS là một tạo một đường hầm (như SMTP) thông qua một giao thức cho phép (như HTTP). Hầu hết các IDS và tường lửa hoạt động như một proxy giữa máy tính của khách hàng và Internet, và chỉ cho phép truy cập với những host được định nghĩa là được phép. Hầu hết các công ty cho phép HTTP giao thông bởi vì nó thường truy cập web lành tính. Tuy nhiên, hacker có thể tạo ra một đường hầm bằng giao thức HTTP để truy cập vào mạng bên trong với giao thức không được phép.
HTTP Tunneling không hẳn là chỉ dành cho hacker. Bạn có thể áp dụng nó để tạo ra một hệ thống kết nối hai chi nhánh an toàn bằng giao thức HTTP. Trong hình 4.12 là một ví dụ về việc kết nối hai chi nhánh để trao đổi dữ liệu qua giao thức FTP, trong khi giao thức này bị chặn bởi tường lửa. Bằng cách này, client có thể kết nối về máy chủ FTP để lấy dữ liệu thông qua HTTP Tunneling

Công Cụ

HTTPort, Tunneld, và BackStealth là tất cả công cụ để đi qua đường hầm thông qua HTTP. Chúng cho phép bỏ qua một proxy của HTTP, mà khóa những phương pháp truy cập Internet nhất định. Những công cụ này cho phép các ứng dụng như Email, IRC, ICQ, AIM, FTP… các phần mềm nguy hiểm được sử dụng từ phía sau một proxy HTTP.
Kỹ Thuật Giả Mạo IP (Spoofing IP)
Một hacker có thể giả mạo địa chỉ IP khi quét máy hệ thống để hạn chế thấp nhất khả năng bị phát hiện. Khi nạn nhân (Victim) gửi trả lời về địa chỉ IP, nó sẽ không gửi đến địa chỉ giả mạo được. Một nhược điểm của giả mạo IP là một phiên TCP không thể hoàn
thành được, do không thể gửi hồi đáp ACK.

• Source routing cho phép kẻ tấn công chỉ định việc định tuyến một gói tin có thông qua Internet. Điều này cũng có thể giảm thiểu cơ hội phát hiện bằng cách bỏ qua IDS và tường lửa. Source routing được cài đặt trong giao thức TCP/IP với hai hình thức:
• Loose Source routing (LSR): Routing không chính xác. Người gửi gửi một danh sách ip trong đó bao gồm ip của mình.
  Strict Source routing (SSR): Routing chính xác. Người gửi chỉ ra một phần của đường dẫn để chuyển gói tin. Gói tin trả lời sẽ đi qua đường dẫn đó.

Các Biện Pháp Đối Phó Với Scanning

Trong phần trên, chúng ta cũng được giới thiệu vài phương pháp đối phó với các kỹ thuật của Scanning. Tuy nhiên, các bạn cần lưu ý một số điểm chính để đối phó với Scanning sau đây :

• Firewall là một phần quan trọng của mạng. Như bạn thấy trong bài, các công cụ scan đều khó lòng vượt qua khỏi firewall.
• Hệ thống phát hiện xâm nhập (IDS) cũng là một phần không thể thiếu khi triển khai mạng, muốn chống lại việc scanning. Hệ thống này chỉ có khả năng phát hiện quá trình scan mà không thể chặn quá trình scan được.
• Chỉ nên mở những port cần thiết, và đóng những port không cần để tránh attacker lợi dụng.
• Những thông tin nhạy cảm không nên đưa ra internet. Ví dụ như thông tin về hệ điều hành, phiên bản phần mềm đang dùng…