ĐẠI HỌC QUỐC GIA TP.HCM TRƯỜNG ĐẠI HỌC CÔNG NGHỆ THÔNG TIN KHOA MẠNG MÁY TÍNH & TRUYỀN THÔNG  Báo cáo môn học: QUẢN TRỊ HỆ THỐNG MẠNG Giáo viên hướng dẫn: Sinh viên thực hiện: ThS Vũ Trí Dũng Nguyễn Văn Hanh - 07520096 Lê Văn Đông - 07520088 Tô Thái Nghĩa - 07520436 TP.HCM 122010 Báo cáo QUẢN TRỊ HỆ THỐNG MẠNG Tìm hiểu NMAP Mục lục Phần Giới thiệu tổng quan quản trị mạng………3 Phần Giới thiệu sơ lược công cụ NMAP Phần Tìm hiểu chi tiết NMAP NMAP gì? .… Các chức Nmap Đánh giá, so sánh công cụ… … 14 Lời khuyên…………………… …… 18 Phần Kết luận………………………….………….20 Phần Tài liệu tham khảo………………………… 21 Nhóm 26 Trang Báo cáo QUẢN TRỊ HỆ THỐNG MẠNG Tìm hiểu NMAP PHẦN : GIỚI THIỆU TỔNG QUAN VỀ QUẢN TRỊ HỆ THỐNG MẠNG hần lớn công việc hàng ngày người quản trị, bảo mật hệ thống mạng cấu hình đối tượng Active Directory, domain, quản lí server, setup phần mềm máy tính thiết lập dịch vụ khác hệ thống, cài đặt phần cứng, phần mềm ,duy trì tốt hoạt động nhiều tác vụ khác qua việc sử dụng công cụ tích hợp sẵn với hệ điều hành máy chủ Đối với môi trường làm việc có số lượng máy tính lớn khối lượng công việc người quản trị hệ thống mạng tăng lên tới số khổng lồ,khó khăn Vì việc sử dụng thêm tools, chương trình tiện ích hãng thứ ba điều cần thiết nhằm làm tăng hiệu sử dụng tối ưu hóa công việc,dễ dàng nắm bắt thông tin, dự báo tình hình hoạt động để tránh rủi ro, thất thoát database hệ thống mạng công ty,ngân hàng … PHẦN 2: GIỚI THIỆU SƠ LƯỢC CÔNG CỤ NMAP Nhóm 26 Trang Báo cáo QUẢN TRỊ HỆ THỐNG MẠNG Tìm hiểu NMAP Ngày nay, với phát triển không ngừng mạng internet, làm cho việc liên lạc giới trở nên dễ dàng hơn, đồng thời xuất ngày nhiều mối nguy hiểm: kẻ xấu, hacker muốn phá hoại, ăn cắp, chiếm đoạt tài nguyên hệ thống quan trọng Chính vậy, tầm quan trọng việc kết hợp tiện ích tích hợp sẵn sử dụng công cụ network việc quản trị bảo mật hệ thống mạng lớn cần thiết, giúp dễ dàng việc kiểm soát vấn đề xảy ra.Trong khuôn khổ viết nhóm xin trình bày chi tiết việc tìm hiểu, cài đặt, sử dụng, phân tích đặc điểm chức năng, cách thức hoạt động NMAP Chúng ta biết có nhiều công cụ sử dụng để Scan port, dịch vụ ,hệ điều hành chạy server từ xa Vậy ta lại nên chọn Nmap? Nó có ưu điểm vượt trội so với công cụ khác? Cách thức hoạt động ? Chúng hướng dẫn chi tiết phần cụ thể : Giới thiệu công cụ Nmap Các chức ,cách thức vận hành ,đặc tính ưu việt Đánh giá, so sánh công cụ khác có chức tương tự Tóm lược lời khuyên việc sử dụng Nmap hiệu PHẦN 3: TÌM HIỂU CHI TIẾT VỀ NMAP Nmap gì? Nhóm 26 Trang Báo cáo QUẢN TRỊ HỆ THỐNG MẠNG Tìm hiểu NMAP NMAP (Network mapper)= Network Exploration Tool And Security Scanner công cụ dùng để scan (quét) mạng hàng đầu Nó scan tất scan hệ thống mạng (“Nmap Network Scanning”, trang 4) NMAP công cụ quét cực nhanh mạnh Có thể quét mạng diện rộng đặc biệt tốt mạng đơn lẻ NMAP giúp bạn xem dịch vụ chạy server (services / ports, webserver , ftpserver , pop3, ), server dùng hệ điều hành gì, loại tường lửa mà server sử dụng nhiều tính khác Nói chung, NMAP hỗ trợ hầu hết kỹ thuật quét phổ biến : ICMP (ping aweep),IP protocol , Null scan , TCP SYN (half open) NMAP đánh giá công cụ hàng đầu quan trọng Hacker nhà quản trị mạng toàn giới (“Nmap Network Scanning”,trang 5) Giao diện COSOLE DOS : Hay ta sử dụng phiên khác NMAP v5.21 hay với GUI để việc quan sát, quản lí trở nên dễ dàng Giao diện GUI ban đầu : Nhóm 26 Trang Báo cáo QUẢN TRỊ HỆ THỐNG MẠNG Tìm hiểu NMAP Các chức năng, cách thức vận hành Nmap Theo thông tin từ Insecure.org, phiên Nmap v5.21 có số tính bật, bổ sung thêm nhiều tùy chọn, linh hoạt với người dùng Cấu trúc lệnh : nmap [Scan Type(s)] [Options] a) Một số lệnh ( Scan Type ) thường sử dụng: • -sA ACK scan: Gửi gói tin TCP bật cờ ACK, chờ phản hồi từ server Kỹ thuật sử dụng để thu thập thông tin hệ thống từ bên Firewall Đặc biệt xác định xem Firewall có phải Firewall theo Nhóm 26 Trang Báo cáo QUẢN TRỊ HỆ THỐNG MẠNG Tìm hiểu NMAP nghĩa lọc Packet SYN từ bên Và gửi ACK Packet dến Port rõ Nếu RST trở lại điều có nghĩa Port chức lọc SYN Packet, ngược lại • -sW Window size scan: Gửi gói tin TCP bật cờ ACK, chờ thông tin phản hồi phán đoán trạng thái cổng dựa vào giá trị Window Size gói tin trả Ở số hệ thống, gói tin trả từ cổng mở Window Size có giá trị dương( > 0), cổng đóng Window Size có giá trị 0.Kỹ thuật tương tự ACK Scan Chỉ có điều bạn dùng để phát Port mở với lọc, không mở với lọc • -sT TCP connect Scan: Đây kiểu quét đơn giản trình quét giao thức TCP Kết nối gọi hệ thống đó, hệ điều hành bạn cung cấp sủ dụng để mở kết nối tới số port hệ thống Nếu Port trạng thái lắng nghe, kết nối thành công Một lợi mạnh mẽ kĩ thuật không cần đặc quyền cao cấp Mỗi người dùng Unix tự sử dụng kĩ thuật Nó dễ dàng phát triển mục tiêu cho ta biết tình trạng kết nối thông báo lỗi sai dịch vụ kết nối • -sS TCP SYN Scan: Đây kĩ thuật quét gần cách quét "half-open" Trong trường hợp bạn mở kết nối TCP đầy đủ Bạn gửi SYN Packet, bạn muốn mở kết nối thực tế bạn đợi reply SYH| ACK port lắng nghe 1RST biểu thị trạng thái không lắng nghe Nếu Nhóm 26 Trang Báo cáo QUẢN TRỊ HỆ THỐNG MẠNG Tìm hiểu NMAP SYN|ACK nhận được,1 RST gửi xuống kết nối Bắt lỗi dạng bạn cần phải có nhiều đặc quyền để xây dựng gói SYN • -sU UDP Scan: Kỹ thuật sử dụng để xác định xem Port UDP open host Nmap send UDP Packet có dung lượng byte tới Port mục tiêu Nếu nhận thông báo Connect đến Port ICMP, sau Port bị đóng Giả thiết mở (Port) Chúng thường dùng cho lỗ hổng Rpcbind OS Solaris Hoặc số Backdoor Back Orifice Config Port UDP OS Windows • -sR RPC Scan: Kỹ thuật làm lấy tất Port UDP/TCP open sau làm flood chúng với chương trình Sun RPC, vô hiệu hóa lệnh để xác định xem có phải Port RPC hay không • -sP Ping scanning: Kỹ thuật dùng bạn muốn biết có host online mạng Nmap làm điều cách send gói ICMP yêu cầu đến IP address mạng Tuy nhiên có số Host chặn ICMP Packet reply Như Nmap send Packet TCP ack đến port 80 Nếu có RST trở lại, có nghĩa host online • -sF -sX -sN Stealth FIN, Xmas Tree, or Null scan modes: không đủ đặc quyền để sử dụng kĩ thuật SYN Scan vài Firewall lọc Packet giám sát SYN để hạn chế tới Port, chương trình SYNlogger Counrtey Lợi scan xuyên qua Firewall lọc Packet mà bị ngăn cản Kỹ thuật không dễ scan hệt thống Windows (95, 97, 98, 98Se, Me, NT, 2000) mà thường dùng hệ thống Cisco, Unix, HP-UX, Irix, Nhóm 26 Trang Báo cáo QUẢN TRỊ HỆ THỐNG MẠNG Tìm hiểu NMAP b) Một số option thông dụng NMAP: • -O: sử dụng TCP/IP fingerprinting đoán hệ điều hành từ xa • -P: cổng để quét Ví dụ : '1-1024,1080, 6666, 31337' • -F: chĩ quét cổng liệt kê nmap-services • -P0: không ping hosts • Ddecoy_host1,decoy2[, ]: scan ẩn sử dụng nhiều mồi nhử • -T sách thởi gian tổng • -n/-R: không dùng DNS phân giải • -oN/-oM: xuất bình thường • -iL: lấy mục tiêu từ file Nhóm 26 Trang Báo cáo QUẢN TRỊ HỆ THỐNG MẠNG • Tìm hiểu NMAP -S /-e: xác định địa nguồn giao diện mạng c) Ví dụ : Bây sử dụng NMAP để thu thập thông tin trang báo http://vnepxress.net  Từ hình Dos gõ lệnh : nmap -A – PA vnexpress.net  Với giao diện GUI: ta gõ địa vào ô Target Nhóm 26 Trang 10 Báo cáo QUẢN TRỊ HỆ THỐNG MẠNG Tìm hiểu NMAP Chúng ta thấy từ hình ảnh , show vài thông tin trang : tracerouter , pc người dùng, port mở, port đóng, hệ điều hành gì… Kết nối từ người truy cập vào trang Vnexpress.net qua đường ? Nhóm 26 Trang 11 Báo cáo QUẢN TRỊ HỆ THỐNG MẠNG Tìm hiểu NMAP Topology cho thấy sơ đồ chi tiết ,trực quan host mà ta qua để tới đích cụ thể : Nhóm 26 Trang 12 Báo cáo QUẢN TRỊ HỆ THỐNG MẠNG Tìm hiểu NMAP Ngoài bạn tùy chọn dạng profile khác tùy vào mục đích dụng: Nhóm 26 Trang 13 Báo cáo QUẢN TRỊ HỆ THỐNG MẠNG Nhóm 26 Tìm hiểu NMAP Trang 14 Báo cáo QUẢN TRỊ HỆ THỐNG MẠNG Tìm hiểu NMAP Đánh giá, so sánh công cụ scan mạng a.) Điểm Mạnh Ngoài phương pháp scan có sẵn, Nmap v5.21 có thêm khả cho phép người dùng tùy biến cách linh hoạt bit TCP flag Các phương pháp quét có sẵn Nmap có dấu vết định từ người quản trị hệ thống hình thành nên rules cho hệ thống phát xâm nhập Chính lý mà nhà phát triển Nmap đưa thêm tùy chọn –scanflags cho phép bạn sáng tạo phương pháp quét cổng cho (http://insecure.org/Nmap,xem 15/11/2010) Các chương trình Scan tương tự khác có số chức như: Axence NetTool Pro (ANT), hay Supperscan, ta show vài thông tin bản, không chi tiết, khó quan sát đáp ứng yêu cầu Scan phức tạp hệ thông mạng lớn Nhóm 26 Trang 15 Báo cáo QUẢN TRỊ HỆ THỐNG MẠNG Tìm hiểu NMAP  Axence NetTool Pro (ANT):  Supperscan Nhóm 26 Trang 16 Báo cáo QUẢN TRỊ HỆ THỐNG MẠNG Tìm hiểu NMAP Nmap vượt trội hẳn ,nó kiểm tra kết nối bạn host từ xa gặp cố bất ngờ,né tránh filter Firewall, ANT, SuperScan4 không Do nên dùng SuperScan4 ,ANT để quét mạng tường lửa Nmap có nhiều phiên cho tảng OS khác nhau: Windows, Linux, MacOS… phù hợp cho nhiều đối tượng người dùng Còn SuperScan, ANT bó hẹp riêng cho người dùng Windows OS NMAP có Port scan engine viết lại ,cải tiến hoàn toàn, trình quét diễn nhanh tốn nhớ ( “Network mapper”, trang 11,xem ngày 18/11/2010) IP Protocol scan kiểu quét mới, cho phép bạn xác định host đích hỗ trợ giao thức (TCP, UDP, ICMP ) Về chất kỹ thuật quét cổng, giá trị mà bạn cần xác định danh sách giao thức - trường nằm IP Header có tên gọi “Protocol Value “ Ví dụ: Nmap -sO 203.162.1.169 Do option -sO định, Nmap sử dụng danh sách Protocol Value – Protocol Name lưu file Nmap-protocols Nhóm 26 Trang 17 Báo cáo QUẢN TRỊ HỆ THỐNG MẠNG Tìm hiểu NMAP Sau sử dụng Nmap để quét cổng mở host đích, Nmap dựa sở liệu dịch vụ Nmap-services để phán đoán xem cổng mở tương ứng với dịch vụ Các bạn tìm thấy file Nmap-services (trong thư mục với file Nmap.exe) với dấu hiệu nhận dạng 2200 loại dịch vụ Theo Fyodor Nmap có 3,153 dấu hiệu nhận dạng tổng số 381 giao thức (http://www.insecure.org/Nmap/vscan/vscan-fileformat.html, xem ngày 15/11/2010 ) b) Điểm Yếu Chương trình yêu cầu phải có thêm wincap hỗ trợ, có nhiều thông số Scan type, Option mà cần phải có hiểu biết kiến thức chuyên môn vững vàng phân tích ,hiểu hết gói tin Scan Trong đó, với ANT Superscan có cấu trúc, giao diện đơn giản, thông số nên dễ phân tích hơn, chiếm tài nguyên Nhóm 26 Trang 18 Báo cáo QUẢN TRỊ HỆ THỐNG MẠNG Tìm hiểu NMAP Khi quét, Nmap tiến hành nhận diện cổng mở dịch vụ tương ứng Nmap gặp khó khăn việc phân biệt hệ điều hành Microsoft.Nó dự đoán 95% server chạy hệ điều hành Microsoft Windows 2003 server, nhiên không phân biệt SP1 hay SP2 ( “Network mapper”, trang 19) Một số người cho chức đánh lừa IDS không nên đưa vào Nmap bị attacker lợi dụng để làm việc xấu.(http://insecure.org/Nmap,xem 15/11/2010) Chức đánh lừa IDS Nmap hỗ trợ nhiều tùy chọn Ví dụ: Nmap –e eth0 –P0 –S 203.162.0.181–g 1234 –ttl 123 –badsum 203.162.1.169 • –e eth0: dùng interface có tên eth0 • -P0: không cần gửi gói tin ICMP echo request để thăm dò host 203.162.1.169 • Nhóm 26 –S 203.162.0.181: giả mạo địa IP nguồn 203.162.0.181 Trang 19 Báo cáo QUẢN TRỊ HỆ THỐNG MẠNG • ttl 123: ấn định giá trị TTL IP Header 123 • badsum: Tìm hiểu NMAP làm sai lệch giá trị TCP Checksum tức làm tính toàn vẹn gói tin TCP Việc gửi gói tin với mục đích qua mặt giúp attacker kiểm tra đươc cách thức xử lí IDS với gói tin thông qua hình dung quy tắc mà IDS sử dụng (“Nmap Network Scanning”, trang 15) Lời khuyên Khi quản trị network với quy mô lớn, công việc trở nên phức tạp hơn, có nhiều port,dịch vụ chạy máy chủ theo thời gian xuất số lỗ hỗng nguy hiểm khó nhận thấy ngay, mà hacker lợi dụng để xâm nhập Lúc này, Nmap công cụ quét nhanh, hiệu nên sử dụng để giám sát, theo dõi, nắm bắt tình hình chung để tránh cố đáng tiếc xảy Tìm hiểu thật kĩ thông số Scan Type, Option thêm để hiểu rõ nắm bắt hết chức năng, phát huy toàn khả độc đáo, mạnh mẽ Nmap Bảng thống kê so sánh tốc độ nhớ dụng Nmap Nhóm 26 Trang 20 Báo cáo QUẢN TRỊ HỆ THỐNG MẠNG Tìm hiểu NMAP (http://insecure.org/Nmap, phần đánh giá hiệu sử dụng Nmap ,xem ngày 18/11/2010) Vì vậy, thấy phiên trang bị thêm nhiều tính mới, thân thiện, cho phép người sử dụng tùy biến linh hoạt Một điều không nhắc tới tốc độ hiệu Nmap cải thiện nhiều Do tìm hiểu sử dụng phiên Nmap để quản trị hệ thống cách tối ưu ,tránh rủi ro tiềm ẩn từ mạng internet Chức đánh lừa IDS thật nguy hiểm thách thức cho người bảo vệ hệ thống Một ta biết attacker sử dụng thủ thuật để đánh lừa IDS phải phòng thủ cẩn thận, có rules quản lí chặt chẽ tránh bị lợi dụng xâm nhập trái phép PHẦN 4: KẾT LUẬN Duy trì cho hệ thống mạng máy chủ chạy ổn định hiệu ,tránh rủi ro công từ hacker internet công việc người quản trị.Ngoài công cụ tích hợp sẵn phiên hệ điều hành ,chúng ta nên kết hợp thêm tools bên ngoài,hỗ trợ tốt Nmap công cụ thông dụng ưu tiên hàng đầu,nó có khả Scan đầy đủ, xác, quét cực nhanh mạnh Có thể quét mạng diện rộng đặc biệt tốt mạng đơn lẻ NMAP giúp bạn xem dịch vụ chạy server (services / ports, webserver , ftpserver , pop3, ), server dùng hệ điều hành gì,loại tường lửa mà server sử dụng nhiều tính Scan khác Nhóm 26 Trang 21 Báo cáo QUẢN TRỊ HỆ THỐNG MẠNG Tìm hiểu NMAP Chúng ta nên sử dụng Nmap công cụ theo dõi, giám sát, nắm bắt tình hình chung network, phạm vi mà ta quản lý để tránh nguy từ bên ngoài… tuyệt đối không sử dụng để khai thác, thăm dò ,phá hoại người khác với mục đích xấu PHẦN 5: TÀI LIỆU THAM KHẢO Trong báo cáo ,chúng tham khảo tổng hợp ,trích từ rất nhiều nguồn : o Tổng quan NMAP , “Network mapper”, xem vào ngày 15/11/2010 ,tại : o Cách thức vận hành NMAP, xem 18/11/2010 , o Tác giả : Gordon “Fyodor” Lyon ,“Nmap Network Scanning : The Official Nmap Project Guide to Network Discovery and Security Scanning”,xem ngày 18/11/2010 Ngoài ra, có đọc thêm ,và tìm hiểu số tài liệu tham khảo hay như: Nhóm 26 Trang 22 Báo cáo QUẢN TRỊ HỆ THỐNG MẠNG Tìm hiểu NMAP o Sysmantec ,2010, NMAP,ver.5.21, network tool for window o Mọi thông tin NMAP, xem 18/11/2010 tham khảo: o Xem hướng dẫn chi tiết “Tổng quan công cụ Nmap”, xem 18/11/2010, : o Tài liệu tìm hiểu: “Nmap network security scanner man page” xem 18/11/2010, o Secrets of Network Cartography: A Comprehensive Guide to Nmap ,xem 18/11/2010 : Nhóm 26 Trang 23 ... cáo QUẢN TRỊ HỆ THỐNG MẠNG Tìm hiểu NMAP Mục lục Phần Giới thiệu tổng quan quản trị mạng ……3 Phần Giới thiệu sơ lược công cụ NMAP Phần Tìm hiểu chi tiết NMAP NMAP gì? .… Các chức Nmap. .. Nhóm 26 Trang Báo cáo QUẢN TRỊ HỆ THỐNG MẠNG Tìm hiểu NMAP PHẦN : GIỚI THIỆU TỔNG QUAN VỀ QUẢN TRỊ HỆ THỐNG MẠNG hần lớn công việc hàng ngày người quản trị, bảo mật hệ thống mạng cấu hình đối tượng... tạp hệ thông mạng lớn Nhóm 26 Trang 15 Báo cáo QUẢN TRỊ HỆ THỐNG MẠNG Tìm hiểu NMAP  Axence NetTool Pro (ANT):  Supperscan Nhóm 26 Trang 16 Báo cáo QUẢN TRỊ HỆ THỐNG MẠNG Tìm hiểu NMAP Nmap