HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA CƠNG NGHỆ THÔNG TIN I BÁO CÁO KẾT THÚC HỌC PHẦN AN TOÀN MẠNG Chủ đề: ZMap Giảng viên hướng dẫn: TS Đặng Minh Tuấn Sinh viên thực hiện: Phạm Tuấn Hiệp Mã sinh viên: B18DCAT079 Mã mơn học: INT1482 Nhóm Mã lớp: D18-007 Hà Nội, 12/2021 MỤC LỤC DANH SÁCH CÁC THUẬT NGỮ TIẾNG NƯỚC NGOÀI VÀ VIẾT TẮT .4 DANH MỤC HÌNH VẼ LỜI CẢM ƠN LỜI MỞ ĐẦU CHƯƠNG I: GIỚI THIỆU CHUNG .8 Nguyên tắc truyền thông TCP 1.1 Cấu tạo gói tin TCP 1.2 Quá trình phiên làm việc TCP với Server Internet Scanning .9 2.1 Giới thiệu Internet Scanning 2.2 Mục đích Internet Scanning .9 2.3 Tình trạng Internet Scanning 10 2.4 Phạm vi Scan 10 2.5 Một số kiểu Scanning thông dụng .10 Nguyên tắc quét cổng hệ thống .11 2.1 TCP Scan 11 2.2 UDP Scan 14 Giới thiệu công cụ rà quét ZMap 14 CHƯƠNG II: HƯỚNG DẪN CÀI ĐẶT VÀ SỬ DỤNG ZMAP 16 Hướng dẫn cài đặt 16 Hướng dẫn sử dụng 17 CHƯƠNG III: CÁC BÀI LAB, KỊCH BẢN DEMO 20 Thực rà quét với ví dụ 20 1.1 Quét Internet để tìm máy chủ TCP/80 xuất stdout 20 1.2 Tìm HTTP Servers với tốc độ quét 10Mb/s .21 1.3 Quét subnets cổng TCP/80 21 1.4 Quét địa 14.46.101.40 129.76.63.19 .22 Thực quét mạng LAN 22 CHƯƠNG IV: SO SÁNH, ĐÁNH GIÁ, KẾT LUẬN 24 So sánh ZMap với Nmap .24 2 Kết luận 29 CHƯƠNG V: TÀI LIỆU THAM KHẢO 30 DANH SÁCH CÁC THUẬT NGỮ TIẾNG NƯỚC NGOÀI VÀ VIẾT TẮT Connection-oriented: Hướng kết nối Fullduplex: Truyền nhận liệu lúc Sequencing: Cơ chế đánh số gói tin Acknowledgement: Cơ chế báo nhận TCP (Transmission Control Protocol): Giao thức điều khiển truyền vận UDP (User Datagram Protocol): Giao thức liệu người dùng IP: Giao thức Liên mạng (Internet Protocol) ICMP: Giao thức điều khiển thông điệp Internet (Internet Control Message Protocol) IGMP: Giao thức quản lý nhóm (Internet Internet group management protocol) FTP: Giao thức chuyển tập tin (File Transfer Protocol) XML: Ngôn ngữ đánh dấu mở rộng (Extensible Markup Language) NSE: Công cụ tập lệnh Nmap (Nmap Script Engine) ARP: Giao thức tìm địa (Address Resolution Protocol) TTL: Thời gian sống (Time To Live) SMTP: Giao thức truyền tải thư tín đơn giản (Simple Mail Transfer Protocol) HTTP: Giao thức truyền tải siêu văn (HyperText Transfer Protocol ) Port: Cổng DANH MỤC HÌNH VẼ Hình 1-1: Cấu tạo gói tin TCP Hình 1-2: TCP SYN Scan 11 Hình 1-3: FIN Scan .12 Hình 1-4: NULL Scan 12 Hình 1-5: XMAS Scan 12 Hình 1-6: TCP Connect Scan 13 Hình 1-7: TCP ACK Scan .13 Hình 1-8: Cấu tạo gói tin UDP 14 Hình1-9: Logo ZMap 14 Hình 1-10: Kiến trúc ZMap 15 Hình 2-1: Cài đặt ZMap Kali Linux .16 Hình 2-2: Hướng dẫn sử dụng ZMap 18 Hình 2-2: Hướng dẫn sử dụng ZMap (tiếp theo) 19 Hình 3-1: Kết quét máy chủ TCP/80 xuất stdout 20 Hình 3-2: Kết tìm HTTP Servers với tốc độ quét 10Mb/s 21 Hình 3-3: Quá trình quét subnets cổng TCP/80 21 Hình 3-4: Cảnh báo mát gói tin ZMap .21 Hình 3-5: Kết quét địa 14.46.101.40 129.76.63.19 .22 Hình 3-6: Kết quét mạng LAN chưa chỉnh sửa tệp blacklist.conf 22 Hình 3-7: Tệp blacklist.conf mặc định 22 Hình 3-8: Tệp blacklist.conf chỉnh sửa 23 Hình 3-9: Kết quét mạng LAN .23 Hình 4-1: So sánh ZMap Nmap 24 Hình 4-2: Thời gian SYN đến SYN-ACK 25 Hình 4-3: Top 10 Certificate Authorities 27 Hình 4-4: HTTPS Adoption 28 Hình 4-5: Top 10 TCP ports 28 LỜI CẢM ƠN Đầu tiên, em xin gửi lời cảm ơn chân thành đến Học viện Cơng nghệ Bưu viễn thơng đưa mơn học An Tồn Mạng vào chương trình dạy Đặc biệt em xin gửi lời cảm ơn Thầy Đặng Minh Tuấn hướng dẫn truyền đạt kiến thức cho em suốt thời gian học vừa qua Thầy giúp em hiểu tầm quan trọng mơn An Tồn Mạng cách áp dụng vào thực tiễn chuyên ngành Bên cạnh thầy cịn dạy thêm nhiều kiến thức khác ngồi lề, có ích cho tất ngành trường Mơn học giúp em có thêm kiến thức chun mơn chuyên ngành mà em học kiến thức việc làm báo cáo tốt nghiệp điều cần thiết sinh viên năm cuối em Lời cuối cùng, em xin kính chúc thầy khỏe mạnh, thành công hạnh phúc! Hà Nội, ngày 22 tháng 12 năm 2021 SINH VIÊN Phạm Tuấn Hiệp LỜI MỞ ĐẦU Trong thời đại ngày nay, vai trị Cơng nghệ thơng tin Internet ngày quan trọng Điều kéo theo phần lớn ngành kinh tế phụ thuộc vào máy vi tính Chính vậy, nhiều ý đồ phá hoại nhắm vào hệ thống không loại trừ khả đối thủ cạnh tranh Do đó, để đảm bảo máy tính hoạt động trơn tru liên tục địi hỏi hệ thống phải trang bị cơng cụ, biện pháp phòng thủ, hệ thống cảnh báo bảo mật nhằm chống lại tin tặc Chúng ta biết hacker có loại hacker mũ trắng hacker, mũ đen, hacker, mũ đen tay tinh quái thông minh vô Họ không giỏi khả lập trình mà cịn giỏi mạng, giao thức mạng Họ lợi dụng lỗi nhỏ khai thác từ công hệ thống máy chủ gây thiệt hại lớn doanh nghiệp lớn, tập đồn lớn hay ngân hàng Quả thật thiệt hại hacker gây lớn, ảnh hưởng nghiêm trọng đến người dùng máy tính Vì nhằm chống lại hacker mũ đen, hacker mũ trắng không ngừng nâng cao kiến thức nhạy bén, cẩn thận, tư sáng tạo không ngừng nhằm ngăn chặn bảo vệ người dùng máy tính, tạo nơi người dùng tin cậy, thông tin tài khoản, kế hoạch, dự án họ hoàn toàn bảo mật tuyệt đối Và dù hacker mũ đen hay hacker mũ trắng thứ mà báo cáo em đề cập đến công cụ đắc lực giúp chuyên gia bảo mật hay tin tặc thực mục đích Đó công cụ ZMap ZMap công cụ mã nguồn mở thiết kế để quét dịch vụ mạng phạm vi rộng ZMap qt tồn dãy địa IPv4 khoảng thời gian ngắn Cơng cụ sử dụng nhiều mục đích khác như: tìm nhanh IP bị nhiễm mã độc, lỗ hổng bảo mật; đánh giá, liệt kê thiết bị mạng sử dụng… CHƯƠNG I: GIỚI THIỆU CHUNG Nguyên tắc truyền thông TCP 1.1 Cấu tạo gói tin TCP TCP Là giao thức hướng kết nối (connection-oriented) nghĩa muốn truyền liệu phải thiết lập kết nối trước Kết nối TCP hỗ trợ chế fullduplex (truyền nhận liệu lúc) Ngồi ra, cịn cung cấp chế đánh số gói tin (sequencing): để ráp gói tin cho điểm nhận, cung cấp chế báo nhận (Acknowledgement) đặc biệt phục hồi liệu không may bị đường truyền Hình 1-1: Cấu tạo gói tin TCP Ở ta để ý tới thiết lập Flag gói tin TCP nhằm mục đích sử dụng để Scan Port: − Thông số SYN để yêu cầu kết nối hai máy tính − Thơng số ACK để trả lời kết nối hai máy bắt đầu thực − Thông số FIN để kết thúc q trình kết nối hai máy − Thơng số RST từ Server để nói cho Client biết giao tiếp bị cấm (không thể sử dụng) − Thông số PSH sử dụng kết hợp với thông số URG − Thông số URG sử dụng để thiết lập độ ưu tiên cho gói tin Tồn thơng số gói tin thể Nếu gói tin TCP không thiết lập thông số này, thơng số thực bits phần Flag 1.2 Quá trình phiên làm việc TCP với Server Khi Client muốn thực kết nối TCP với Server: Bước 1: Host A gửi cho B gói tin có cờ SYN bật lên Bước 2: Host B nhận gói tin B gửi lại gói tin có cờ SYN bật lên, kèm theo cờ ACK (để xác nhận) Bước 3: Sau kết nối thiết lập A gởi tin để đáp ứng nhu cầu B Và có cờ ACK bật lên gói tin bước dùng để báo nhận cho gói tin bước Khi Client muốn kết thúc phiên làm việc với Server: Bước 1: Client gửi đến Server gói tin FIN ACK Bước 2: Server gửi lại cho Client gói tin ACK Bước 3: Server lại gửi cho Client gói FIN ACK Bước 4: Client gửi lại cho Server gói ACK q trình ngắt kết nối Server Client thực Internet Scanning 2.1 Giới thiệu Internet Scanning Internet Scanning kỹ thuật mạnh mẽ sử dụng nhà nghiên cứu để nghiên cứu đo lường Internet sử dụng hacker với mục đích tìm kiếm lỗ hổng khai thác chúng với ý đồ xấu Mục đích việc Scanning the Internet thu thập thông tin cần thiết để phục vụ cho việc nghiên cứu người vận hành mạng hay phục vụ cho mục đích công hacker Những thông tin thu thập việc Scanning the Internet dịch vụ chạy Internet, thông tin hệ điều hành máy chủ, cổng mở Internet với dịch vụ tương ứng, host chạy Internet, 2.2 Mục đích Internet Scanning Internet Scanning giúp ta thu thập thơng tin có internet có hai lý để thực Scanning Thứ để tìm kiếm lỗ hổng để khai thác nghiên cứu an ninh Thứ hai thống kê, để cung cấp nhìn tổng quan vấn đề Internet Ngoài ra, nhiều tổ chức tiến hành dự án mà Scanning khơng dùng để nghiên cứu không dùng để khai thác lỗ hổng mà sử dụng để khám phá, trinh sát phục vụ hoạt động quân Ví dụ: Khi lỗ hổng công bố Internet Sử dụng Internet Scanning giúp ta thống kê host bị dính lỗ hổng, host vá lỗi hay dịch vụ host bị dính lỗi 2.3 Tình trạng Internet Scanning Theo thống kê, gần 80% lượng quét nhắm tới 1% không gian địa IPV4 Trước Scanning the Internet với số lượng địa IP lớn trình chậm chạp tốn nhiều công sức Chẳng hạn, năm 2010 Electronic Frontier Foundation tiến hành quét để thu thập liệu việc sử dụng mã hóa trực tuyến Q trình qt kéo dài tháng Tuy nhiên vài năm vừa qua với đời hai công cụ quét tốc độ cao ZMap Masscan tác động không nhỏ đến Internet Scanning Thời gian quét giảm đáng kể từ vài tuần xuống vài tiếng Tiến chức quét tốc độ cao làm thay đổi cảnh quan an ninh, làm cho kẻ cơng hồn thành việc Scanning với quy mô lớn vài Nhưng ngược lại, khả quét nhanh chóng tiết kiệm chi phí mở hội hấp dẫn cho ngành nghiên cứu Internet 2.4 Phạm vi Scan Horizontal scan: Mơ tả q trình qt cổng nhiều địa IP Một ví dụ điển hình Horizontal scan qt tồn khơng gian địa IPV4 cổng Horizontal scan thường sử dụng kẻ công để phát cổng mở số lượng lớn máy chủ qua khai thác lỗ hổng ứng dụng lắng nghe cổng Hoặc cách quét sử dụng để quét kiểm tra an ninh Chẳng hạn việc thống kê phân bố lỗ hổng có internet Vertical scan: Mô tả chức quét nhiều cổng địa IP Ví dụ qt tồn cổng thông dụng máy chủ Quét chủ yếu để phát lỗ hổng hệ thống Block scan: Phạm vi quét kết hợp hai kiểu quét – quét nhiều cổng nhiều địa khác Đối với khối lớn khả mở rộng hạn chế Trên thực tế ta quét số lượng nhỏ cổng thông dụng không quét toàn cổng máy chủ Quét thích hợp với chuyên gia nghiên cứu an ninh mạng tồn cầu kẻ cơng nhằm vào nhiều lỗ hổng khác Trong viết ta chủ yếu nghiên cứu loại Horizontal scan dịch vụ thường nhắm đến thực Scanning the Internet quy mô lớn 2.5 Một số kiểu Scanning thông dụng 2.5.1 Port scanning Port scanning trình kết nối cổng (TCP UDP) internet nhằm xác định xem dịch vụ chạy trạng thái nghe Xác định cổng nghe công việc quan trọng nhằm xác định loại hình hệ thống ứng dụng sử dụng Mỗi dịch vụ hay ứng dụng máy tính kết hợp với số cổng thông dụng 10 CHƯƠNG II: HƯỚNG DẪN CÀI ĐẶT VÀ SỬ DỤNG ZMAP Hướng dẫn cài đặt ZMap hoạt động GNU / Linux, MacOS BSD Có thể cài đặt phiên ổn định (v2.1.1) hầu hết trình quản lý gói hệ điều hành: Fedora 19+ or EPEL 6+: sudo yum install zmap Debian 8+ or Ubuntu 14.04+: sudo apt install zmap Gentoo: sudo emerge zmap MacOS (using Homebrew): brew install zmap Arch Linux: sudo pacman -S zmap Kali Linux: sudo apt-get install zmap Hình 2-1: Cài đặt ZMap Kali Linux Các phiên ZMap cập nhật tại: git://github.com/zmap/zmap.git 16 Hướng dẫn sử dụng Trong viết em demo cách sử dụng ZMap Kali Linux Ví dụ sau ta quét ngẫu nhiên 1000 địa ip cổng 80 với tốc độ gửi tin 10Mbps Kết quét lưu file result.zmap Khi trình quét bắt đầu, Zmap hiển thị cập nhật trạng thái quét sau giây Trạng thái bao gồm có: thời gian qt cịn lại, số gói tin gửi đi, số gói tin nhận về, lượt truy cập Kết quét ghi lại file result.zmap: Sau tham số sử dụng phổ biến tiến hành quét với zmap: Tùy chọn chung: -p, target-port: Số cổng TCP để quét (Ví dụ: 80) -o, output-file: File lưu kết quét -b, blacklist-file: Khi quét Zmap không quét địa nằm danh sách Tùy chọn quét: -n, max-targets: Số mục tiêu cần qt -N, max-results: Thốt khỏi q trình qt sau nhận số kết nhập vào tham số -r, rate: Thiết lập tốc độ gửi gói tin -B, bandwidth: Thiết lập tốc độ gửi bit/s Tùy chọn mạng: -s, source-port: Các gói liệu gửi từ cổng 17 -S, source-Ip: Các gói liệu gửi từ địa IP Có thể hay nhiều địa IP -G, gateway-Mac: Địa Gateway để gửi gói tin đến -i, interface: Giao diện mạng sử dụng Tùy chọn kiểu quét: list-probe-modules: Danh sách module thăm dị (Ví dụ: tcp_synscan) -M, probe-module: Chọn kiểu module thăm dò Mặc định tcp_synscan Tùy chọn bổ sung: -C, config: Đọc tập tin cấu hình -q, quiet: Khơng hiển thị cập nhật trạng thái trình quét -g, summary: cấu hình In tóm tắt kết vào cuối trình quét -v, verbosity: mức độ chi tiết log -h, help: trợ giúp -V, version: phiên Hình 2-2: Hướng dẫn sử dụng ZMap 18 Hình 2-2: Hướng dẫn sử dụng ZMap (tiếp theo) 19 CHƯƠNG III: CÁC BÀI LAB, KỊCH BẢN DEMO Thực rà quét với ví dụ 1.1 Quét Internet để tìm máy chủ TCP/80 xuất stdout Cú pháp: zmap -p 80 Hình 3-1: Kết quét máy chủ TCP/80 xuất stdout ZMap quét toàn máy chủ TCP / 80 Internet, vậy, trình quét nhiều thời gian 20 1.2 Tìm HTTP Servers với tốc độ quét 10Mb/s Cú pháp: zmap -N -B 10M -p 80 Hình 3-2: Kết tìm HTTP Servers với tốc độ quét 10Mb/s 1.3 Quét subnets cổng TCP/80 Cú pháp: zmap -p 80 14.0.0.0/8 192.148.0.0/16 -o output-module=default ZMap sử dụng danh sách đen mặc định /etc/zmap/blacklist.conf Theo mặc định, danh sách đen loại trừ mạng có phạm vi cục (ví dụ: 10.0.0.0/8, 127.0.0.1/8 192.168.0.0/16) Nếu bạn cố gắng quét mạng cục bộ, bạn thay đổi danh sách đen mặc định cách chỉnh sửa cấu hình ZMap mặc định /etc/zmap/zmap.conf Hình 3-3: Quá trình quét subnets cổng TCP/80 ZMap đưa cảnh báo gói tin gửi bị mát Hình 3-4: Cảnh báo mát gói tin ZMap 21 1.4 Quét địa 14.46.101.40 129.76.63.19 Cú pháp: zmap -p 80 14.46.101.40 129.76.63.19 Hình 3-5: Kết quét địa 14.46.101.40 129.76.63.19 Thực quét mạng LAN Cú pháp: sudo zmap -p 80 10.0.2.15 -o LANresults.csv Hình 3-6: Kết quét mạng LAN chưa chỉnh sửa tệp blacklist.conf Như thấy trên, Zmap từ chối quét mạng cục - theo mặc định - Zmap đưa vào danh sách đen tất địa IP riêng Chúng ta khắc phục điều cách cần mở tệp blacklist.conf trình soạn thảo văn chỉnh sửa địa IP mà muốn quét Danh sách đen Zmap ở: sudo mousepad /etc/zmap/blacklist.conf Hình 3-7: Tệp blacklist.conf mặc định 22 Xóa IP riêng mạng bạn khỏi blacklist.conf (trong trường hợp tơi, tơi xóa dịng 14 tệp mặc định) Hình 3-8: Tệp blacklist.conf chỉnh sửa Bây giờ, thử quét lại mạng LAN sudo zmap -p 80 192.168.0.0/16 -o LANresults.csv Hình 3-9: Kết quét mạng LAN 23 CHƯƠNG IV: SO SÁNH, ĐÁNH GIÁ, KẾT LUẬN So sánh ZMap với Nmap Nhà phát triển thực số thử nghiệm để so sánh ZMap với Nmap ứng dụng quét Internet, tập trung vào vùng phủ sóng thời gian qua để hồn thành q trình qt Nmap ZMap tối ưu hóa cho mục đích khác Nmap công cụ đa năng, linh hoạt cao thường sử dụng để thăm dò số lượng lớn cổng mở số lượng máy chủ nhỏ hơn, ZMap tối ưu hóa để thăm dị cổng số lượng mục tiêu lớn Nhà phát triển ZMap chọn so sánh hai nghiên cứu bảo mật gần sử dụng Nmap cho khảo sát Internet diện rộng vì, giống ZMap, Nmap hoạt động từ bên không gian người dùng Linux Nhà phát triển ZMap thử nghiệm nhiều cài đặt Nmap khác để tìm cấu hình hợp lý để so sánh Tất thực quét TCP SYN cổng 443 (-Ss -p 443) Nmap cung cấp số giá trị mặc định gọi mẫu thời gian, với mẫu mạnh số (được gắn nhãn " insane"), trình quét toàn Internet năm để hoàn thành Để làm cho Nmap quét nhanh cấu hình thử nghiệm mình, nhà phát triển ZMap bắt đầu với mẫu “insane” (-T5), tính phát máy chủ bị vơ hiệu hóa độ phân giải DNS (-Pn n) đặt tốc độ gói tối thiểu cao ( tốc độ 10000 ) Mẫu "insane" thử lại thăm dò lần sau thời gian chờ; nhà phát triển ZMap thử nghiệm thêm cấu hình Nmap thứ hai với tính thử lại bị tắt ( max-retries 0) Nhà phát triển ZMap sử dụng ZMap để chọn mẫu ngẫu nhiên gồm triệu địa IP quét chúng để tìm máy chủ nghe cổng 443 với Nmap hai cấu hình mơ tả với ZMap cấu hình mặc định cấu hình thứ hai gửi hai đầu dò SYN đến máy chủ (-P 2) Nhà phát triển ZMap lặp lại trình 10 thử nghiệm khoảng thời gian 12 báo cáo mức trung bình Hình 4-1 Hình 4-1: So sánh ZMap Nmap Kết cho thấy ZMap quét nhanh nhiều so với Nmap tìm thấy nhiều máy chủ lắng nghe so với cấu hình Nmap Các khoảng thời gian báo cáo cho ZMap bao gồm thời gian gửi thăm dò gửi độ trễ cố định giây sau trình gửi hồn tất, ZMap chờ phản hồi trễ Suy rộng thời gian cần thiết để quét tồn Internet, cấu hình ZMap thử nghiệm nhanh hoàn thành nhanh khoảng 1300 lần so với cấu hình Nmap nhanh 24 Để tìm hiểu lý ZMap đạt độ phủ cao Nmap, nhà phát triển khảo sát mẫu ngẫu nhiên gồm 4,3 triệu địa cổng TCP 80 đo độ trễ việc gửi SYN nhận SYN-ACK từ máy chủ đáp ứng Hình 4-2 cho thấy CDF kết Thời gian tối đa 450 giây số máy chủ phải 63 giây để phản hồi, thời gian dành cho TCP cố gắng kết nối hết thời gian Linux 99% máy chủ phản hồi vòng 500 giây làm vòng khoảng giây 99,9% máy chủ phản hồi vịng 8,16 giây Hình 4-2: Thời gian SYN đến SYN-ACK Vì mã nhận ZMap khơng có trạng thái mã gửi, SYN-ACK hợp lệ quay lại lúc trước q trình qt hồn tất ghi lại dạng máy chủ lắng nghe Để đảm bảo mức độ phủ sóng cao, cài đặt ZMap mặc định kết hợp độ trễ giây theo kinh nghiệm sau đầu dò cuối gửi trước trình nhận kết thúc Ngược lại, Nmap trì thời gian chờ cho đầu dị Trong mẫu thời gian “insane” Nmap mà nhà phát triển thử nghiệm, thời gian chờ ban đầu 250 mili giây, theo thời gian 85% máy chủ đáp ứng thử nghiệm nhà phát triển phản hồi Trong trình quét, thời gian chờ Nmap tăng lên 300 mili giây, tức 93,2% phản hồi Do đó, nhà phát triển mong đợi lần quét Nmap thăm dò đơn với giá trị thời gian để xem 85–93% máy chủ mà ZMap tìm thấy, gần giống với giá trị quan sát 82,5% Với mặc định "insane" Nmap, cố gắng gửi thăm dị thứ hai sau thời gian chờ Phản hồi cho SYN thứ hai coi hợp lệ hết lần thứ hai, đó, điều có hiệu tăng thời gian chờ tổng thể lên 500–600 mili 25 giây, thời điểm nhà phát triển nhận 98,2–98,5% phản hồi Các phản hồi bổ sung tạo SYN thứ hai Nhà phát triển quan sát thấy trình qt Nmap đầu dị tìm thấy 99,1% số lượng máy chủ mà trình quét ZMap đầu dị tìm thấy Ứng dụng ý nghĩa bảo mật ZMap Khả quét không gian địa IPv4 vòng chưa đầy mở loạt khả nghiên cứu mới, bao gồm khả có khả hiển thị vào hệ thống phân tán không rõ ràng trước đây, hiểu việc áp dụng giao thức độ phân giải phát tượng bảo mật truy cập với quan điểm toàn cầu Tuy nhiên, quét tốc độ cao tiềm ẩn ứng dụng độc hại, chẳng hạn tìm cơng máy chủ dễ bị công hàng loạt Hơn nữa, nhiều nhà phát triển có định kiến trước Internet q lớn để thống kê đầy đủ, thực tế quét tốc độ cao phá vỡ mơ hình bảo mật có, chẳng hạn dẫn đến việc phát dịch vụ trước cho giấu kỹ Trong phần này, sử dụng ZMap để khám phá số ứng dụng 2.1 Khả quét vào hệ thống phân tán Quét mạng tốc độ cao cung cấp cho nhà nghiên cứu khả có quan điểm thời gian thực hệ thống phân tán khơng rõ ràng Internet Ví dụ: thương mại điện tử giao dịch web an toàn phụ thuộc vào chứng TLS đáng tin cậy trình duyệt Tuy nhiên, có giám sát tổ chức phát hành chứng (CA) đáng tin cậy trình duyệt chứng cấp Hầu hết CA không xuất danh sách chứng mà họ ký, ủy quyền cho CA trung gian, nên khơng biết nhóm thực thể có khả kỹ thuật để ký chứng trình duyệt tin cậy vào thời điểm Để khám phá tiềm này, sử dụng ZMap trình tìm nạp chứng tùy chỉnh để tiến hành quét thường xuyên năm qua thực phân tích chứng cao cấp chứng CA Từ tháng năm 2012 đến tháng năm 2013, thực 1,81 tỷ lượt bắt tay TLS, cuối thu thập 33,6 triệu chứng X.509 nhất, có 6,2 triệu chứng trình duyệt tin cậy Chúng tơi tìm thấy xử lý trung bình 220.000 chứng mới, 15.300 chứng tin cậy trình duyệt 1,2 chứng CA lần quét Trong lần quét gần nhất, xác định 1.832 chứng ký đáng tin cậy trình duyệt từ 683 tổ chức 57 quốc gia Chúng quan sát thấy tổng cộng 3.744 chứng ký riêng biệt trình duyệt tin cậy Bảng cho thấy CA sung mãn theo chứng cấp 26 Hình 4-3: Top 10 Certificate Authorities Khả hiển thị diện rộng hành vi CA giúp xác định vấn đề bảo mật Chúng tơi tìm thấy hai trường hợp chứng CA cấp sai Trong trường hợp đầu tiên, tìm thấy chứng CA vơ tình cấp cho nhà cung cấp dịch vụ chuyển tuyến Thổ Nhĩ Kỳ Chứng này, C = TR, ST = ANKARA, L = ANKARA, O = EGO, OU = EGO BILGI ISLEM, CN = * EGO.GOV.TR, sau Google tìm thấy sau sử dụng để ký chứng ký tự đại diện Google kể từ bị thu hồi đưa vào danh sách đen trình duyệt web thơng thường Trong trường hợp thứ hai, chúng tơi tìm thấy khoảng 1.300 chứng CA bị Chính phủ Hàn Quốc cấp sai cho tổ chức phủ tài trợ trường học thư viện Mặc dù chứng cấp quyền ký chứng bổ sung, hạn chế độ dài chứng CA ông bà ngăn tổ chức ký chứng Chúng không bao gồm chứng tiếng Hàn tổng số CA chúng khơng thể ký chứng hợp lệ trình duyệt thiết lập 2.2 Theo dõi giao thức áp dụng Các nhà nghiên cứu trước cố gắng tìm hiểu việc áp dụng giao thức mới, cạn kiệt địa chỉ, cấu hình sai phổ biến lỗ hổng thơng qua q trình qt tích cực Trong nhiều trường hợp, phân tích thực mẫu ngẫu nhiên không gian địa IPv4 khó thực qt tồn diện Trong trường hợp quét toàn bộ, chúng hoàn thành khoảng thời gian dài thông qua song song lớn nhà cung cấp đám mây ZMap giảm thiểu rào cản gia nhập cho phép nhà nghiên cứu thực nghiên cứu cách 27 toàn diện kịp thời, cuối cho phép phép đo có độ phân giải cao nhiều so với trước Hình 4-4: HTTPS Adoption Hình 4-5: Top 10 TCP ports 28 Để minh họa cho ứng dụng này, theo dõi việc áp dụng HTTPS 158 lần quét toàn Internet năm qua Đáng ý, nhận thấy mức tăng 23% việc sử dụng HTTPS số triệu trang web hàng đầu Alexa số lượng chứng trình duyệt tin cậy tăng 10,9% Trong giai đoạn này, Khảo sát Web Netcraft thấy số lượng trang web HTTP tăng 2,2%, quan sát thấy gia tăng 8,5% trang web sử dụng HTTPS Chúng tơi vẽ xu hướng Hình 4-4 Chúng tơi có khả hiển thị tức thời việc triển khai nhiều giao thức cách thực nhiều lần quét ZMaps cổng khác Chúng quét 0,05% mẫu không gian địa IPv4 cổng TCP 9175 để xác định phần trăm máy chủ nghe cổng Thử nghiệm yêu cầu số lượng gói tin tương đương với lần quét toàn Internet cổng, chúng tơi hồn thành vòng chưa đầy ngày cách sử dụng ZMap Hình 4-5 cho thấy 10 cổng mở hàng đầu mà quan sát Kết luận Chúng ta sống thời kỳ lịch sử Internet: mạng văn phịng điển hình trở nên đủ nhanh để qt tồn khơng gian địa IPv4, IPv6 (với không gian địa lớn nhiều) chưa triển khai rộng rãi Để giúp nhà nghiên cứu tận dụng tối đa hội này, ZMap phát triển thành công cụ quét mạng cấu trúc đặc biệt để thực khảo sát tồn diện, nhanh chóng Internet ZMap thử nghiệm cho thấy có khả quét không gian địa IPv4 công cộng cổng vòng 45 phút, mức 97% so với mức tối đa lý thuyết tốc độ cho gigabit Ethernet với phạm vi phủ sóng ước tính 98% máy chủ có sẵn công khai Nhà phát triển khám phá ứng dụng bảo mật quét tốc độ cao, bao gồm khả theo dõi việc áp dụng giao thức mạng Internet diện rộng để có nhìn sâu sắc kịp thời hệ thống phân tán không rõ ràng hệ sinh thái tổ chức phát hành chứng Nhà phát triển quét tốc độ cao cung cấp vectơ công mà nhà phát triển phải xem xét bảo vệ hệ thống, bao gồm khả phát dịch vụ ẩn, khả theo dõi người dùng địa IP nguy lây nhiễm máy chủ dễ bị công vòng vài phút khám phá lỗ hổng bảo mật 29 CHƯƠNG V: TÀI LIỆU THAM KHẢO [1] Internet Scanning công cụ thường sử dụng (https://whitehat.vn/threads/internet-scanning-va-cac-cong-cu-thuong-su-dung.7009/) [2] Installing and Building ZMap (https://github.com/zmap/zmap/blob/main/INSTALL.md) [3] ZMap: Fast Internet-Wide Scanning and its Security Applications (https://zmap.io/paper.pdf) 30 ... pháp: zmap -p 80 14.46.101.40 129.76.63.19 Hình 3-5: Kết quét địa 14.46.101.40 129.76.63.19 Thực quét mạng LAN Cú pháp: sudo zmap -p 80 10.0.2.15 -o LANresults.csv Hình 3-6: Kết quét mạng LAN chưa... chỉnh sửa Bây giờ, thử quét lại mạng LAN sudo zmap -p 80 192.168.0.0/16 -o LANresults.csv Hình 3-9: Kết quét mạng LAN 23 CHƯƠNG IV: SO SÁNH, ĐÁNH GIÁ, KẾT LUẬN So sánh ZMap với Nmap Nhà phát triển... dò SYN đến máy chủ (-P 2) Nhà phát triển ZMap lặp lại trình 10 thử nghiệm khoảng thời gian 12 báo cáo mức trung bình Hình 4-1 Hình 4-1: So sánh ZMap Nmap Kết cho thấy ZMap quét nhanh nhiều so với