Một trong các chương trình quét port nhanh và phổ biến nhất là : nmap Mục tiêu của người tấn công:
• tìm các port mở
• xác định các tunnel bí mật
Chúng ta có thể nhận dạng việc quét cổng bằng cách đặt máy “nghe” trên máy chủ cần bảo vệ để theo dõi.
Hình 3.3-2: A port scan shows multiple connection attempts on various ports. Như trên hình có thể nhận ra rằng có những kết nối rất đáng nghi ngờ giữa máy 10.100.25.14 (local machine) và máy 10.100.18.12 (remote computer).
Nhưng đặc biệt là những cổng nhạy cảm như telnet (22), microsoft-ds, FTP (21), và SMTP (25) những cổng này được gửi số lượng gói tin lớn hơn vì đây là những cổng có khả năng xâm nhập cao do lỗi của những ứng dụng sử dụng cổng này. Các gói tin đó có thể là các đoạn mã khai thác.
Blaster Worm (Sâu Blaster)
Hiện tượng: Máy tính phía client hiển thị của sổ thông báo shutdown máy trong
vòng 60s. Các thông báo này xuất hiện liên tục.
Thông tin chúng ta có:
• máy tính client đã cài chương trình diệt virus mới nhất tại thời điểm đó
Tiến hành:
Cài đặt Wireshark trên máy có virus.
Phân tích:
Màn hình Wireshark đã thể hiện các hành vi có nguy hại đến máy tính của virus Blaster, được thể hiện bằng màu đỏ, đen.
Hình 3.3-9: We shouldn’t see this level of network activity with only the timer running on this machine.
Một trong các kinh nghiệm để phát hiện virus là xem dữ liệu các gói tin ở dạng thô (raw), rất có thể sẽ có những thông tin hữu ích.
Hình 3.3-10: No useful information can be discerned from packet 1. Sau khi tìm một số gói tin thì thấy có gói tin mang lại thông tin hữu ích.
Hình 3.3-11, chúng ta thấy có địa chỉ trỏ đến thư mục C:\WINNT\System32. Thư mục này là một trong những thư mục quan trong nhất của hệ điều hành Windows.
Hình 3.3-11: The reference to C:\WINNT\System32 means something might be accessing our system files.
Tiếp tục tìm thông tin theo cách trên, phát hiện ra tên chương trình của sâu Blaster như ở hình 3.3-12.
Hình 3.3-12: Packet 4 shows a reference to msblast.exe.
Khi đã xác định được ví trí file của virus ta sẽ có nhiều cách giải quyết theo các mục đích khác nhau. Đối với người dùng thông thường thì tắt tiến trình có tên đó sau đó xóa các file virus đó đi…
2. Các lệnh kiểm tra mạng và phần mềm WireShark.
2.1. Lệnh Ping.
Ping (Packet Internet Grouper) là lệnh kiểm tra cấp độ kết nối với máy tính khác bằng cách gửi các gói tin ICMP (Echo request) và nhận lại các gói tin hồi đáp tương ứng. Ping là 1 lệnh căn bản của TCP/IP sử dụng để dò lỗi kết nối, tính với tới, sự phân giải tên miền.
Ping là một trong số những lệnh thường được sử dụng và biết đến. Ping cho phép người sử dụng ping đến một địa chỉ IP mạng khác.
Cú pháp lệnh Ping:
Ping ip/host [-t] [-a] [-n Count] [-l Size] [-f] [-i TTL] [-v TOS] [-r Count] [- sCount]
Trong đó:
ip: Địa chỉ IP của máy cần kiểm tra; host là tên của máy tính cần kiểm tra. Người ta có thể sử dụng địa chỉ IP hoặc tên của máy tính.
Tham số -t: Liên tục gửi Echo Request Messages cho đến khi ngừng kết nối. Để gián đoạn và trình bày thống kê, nhấn CTRL- Break. Để kết thúc ping, nhấn CTRL-C.
Tham số -a: Nếu Ping đến một địa chỉ IP thành công Ping sẽ trả lại host name tương ứng.
Tham số -n Count: Chỉ định số Echo Request Messages được gửi. Tham số -l Size: Chỉ định độ dài của trường Data trong Echo Request
Messages được gửi. Mặc định là 32 byte , tối đa là 65527.
Tham số -f : chỉ định Echo Request Messages gửi sẽ không có cờ hiệu phân mảnh trong IP header. Echo Request Messages sẽ không được phân mảnh bởi cả router trên đường dẫn đến đích.Tham số này hữu ích cho việc kiểm tra các vấn đề về đơn vị truyền đạt tham số.Hình dưới minh họa sự khác biệt khi có hay không có tham số f trong lệnh ping với lần lượt 2 gói tin có kích cỡ lớn và bé.
Ping 203.162.4.190 -t thì màn hình hiên lên và chạy một hàng thông số có khi thông số là:
- Request time out.
- có khi chạy hiện lên thông số là Sestination host unreachable
- có khi máy chạy báo thông số là Reply from 203.162.4.190 bytes =32 time - 150ms TTl 124.
+ Hoạt động dựa trên nền tảng bộ giao thức TCP/IP, lệnh "Ping" được xem như là lệnh dùng kiểm tra độ thông suốt của đường truyền, với 1 chương
vv.. Thì một quản trị mạng chuyên nghiệp có thể theo dõi được tình trạng thông suốt mạng. Lệnh "Ping" được dùng trên cả Windows, Linux, MAC. + Các thông số nhìn thấy trong Commanline của Windows với giá trị mô tả lại như sau:
*Request time out: thực hiện gữi gói thành công nhưng không nhận được gói phản hồi.
*Destination host unreachable: đích đến không tồn tại hoặc đang cô lập. *Reply from 203.162.4.190 byte=32 time <1ms TTL 124: Gữi gói đến địa chỉ IP: 203.162.4.190 với độ dài gói 32 byte, thời gian phản hồi dưới 1 mili giây TTL(time to life-vòng đời gói) 124. Phản ánh trạng thái gói gữi và tín hiệu phản hồi.
+ Ngoài ra lệnh "Ping" còn xem như là cách nhanh chóng để biết địa chỉ IP thực của một Website ngoài Internet.
+ Lệnh Ping thực hiện gữi 1 gói tin bằng giao thức ICMP thông qua Port Number 7 TCP/UDP
-i TTL : Giá trị của trường TTL trong IP header của Echo Request Messages gửi.Mỗi host có 1 giá trị TTL mặc định riêng, đối với WinXP là 128byte còn linux là 64byte, giá trị tối đa là 255
Trên đây là minh họa ping đến kma vơi TTL lần lượt là 128 (mặc đinh của Win) và 100. Ở đây dùng ethereal để thấy rõ sự khác biệt. 80 ở hệ 16 đổi ra hệ 10 là 128 tương tự 64 hệ 16 đổi ra hệ 10 là 100
v TOS: Chỉ định giá trị kiểu của trường dịch vụ TOS(Type Of Service) trong IP Header của Echo Request messages gửi.TOS nằm từ bit thứ 4 ->7 trong byte thứ 2 của IP Header. Mặc định là 0. TOS nhận giá trị số thập phân từ 0 đến 255.
-r Count: Chỉ ra số các R để lại vết trên Record Route Option trong IP Header .Mọi hop trên đường đi đều để lại một vết trên Record Route.Nếu ping thành công thì Count sẽ lớn hơn hoặc bằng số hop giữa nguồn và đích. Count có thể nhận giá trị từ 1->9.
- s Count : Chỉ định giá trị Internet Timestamp trong IP Header được sử dụng để ghi thời gian đến của gói tin Echo Request messages và Echo Reply message tương ứng khi qua mỗi hop. Count mang giá trị từ 1-> 4.
-j hostlist: Chỉ định các trung gian cho Echo Request Message. Trên định tuyến này các đích trung gian có thể cách nhau qua 1 hay nhiều router. Số lớn nhất của các địa chỉ hay tên trong hostlist là 9 . hostlist là 1 loạt 1 series các địa chỉ ip ngăn cách bởi dấu cách.
-k hostlist : tương tự như tham số -j nhưng các tram trung gian bắt buộc phải với tới trực tiếp nhau.
-w timeout: Tham số này đưa ra thời gian (Mili giây) để đợi Echo Reply message tương ứng với mỗi Echo Request message .Nếu Echo Reply message không nhận được thì sẽ thông báo lỗi “Request timed out ” trên dislay. Timeout được mặc định là 4000 (4s).
2.2.Telnet. a.Giới thiệu:
- Telnet là một chương trình cho phép kết nối và đăng nhập vào một máy tính ở xa (trong LAN, internet). Khi kết nối thành công, máy tính của sẽ thực hiện
Có thể dùng máy tính của mình để truy cập thông tin, thực thi các chương trình và sử dụng một số tài nguyên khác trên máy tính ở xa.
- TELNET (viết tắt của TELecommunication NETwork cũng có thể là
TErminal NETwork hay TELetype NETwork) là một giao thức mạng (network protocol) được dùng trên các kết nối với Internet hoặc các kết nối tại mạng máy tính cục bộ LAN. Tài liệu của IETF, STD 8, (còn được gọi là RFC 854 và RFC 855) có nói rằng:
Mục đích của giao thức TELNET là cung cấp một phương tiện truyền thông chung chung, có tính lưỡng truyền, dùng độ rộng 8 bit, định hướng byte. TELNET thường được dùng để cung cấp những phiên giao dịch đăng nhập, giữa các máy trên mạng Internet, dùng dòng lệnh có tính định hướng người dùng. Tên của nó có nguồn gốc từ hai chữ tiếng Anh "telephone network" (mạng điện thoại), vì chương trình phần mềm được thiết kế, tạo cảm giác như một thiết bị cuối được gắn vào một máy tính khác.
Đối với sự mở rộng của giao thức, chữ "telnet" còn ám chỉ đến một chương trình ứng dụng, phần người dùng của giao thức - hay còn gọi là trình khách (clients). Trong bao nhiêu năm qua, TELNET vốn được cài đặt sẵn trong hầu hết các hệ điều hành Unix, song với sự tiến triển gần đây của mình, SSH (Secure Shell) trở nên một giao thức có ưu thế hơn trong việc truy cập từ xa, cho các máy dùng hệ điều hành có nền tảng là Unix. SSH cũng được cài đặt sẵn cho hầu hết các loại máy vi tính. Trên rất nhiều hệ thống, chương trình ứng dụng "telnet" còn được dùng trong những phiên giao dịch tương tác TCP ở dạng sơ đẳng (interactive raw-TCP sessions), và còn được dùng để thông nối với những dịch vụ trên các máy chủ POP3, mà không cần đến những trình khách chuyên dụng. Cụm từ tiếng Anh "to telnet" còn được dùng như là một động từ, có nghĩa là "thành lập" hoặc "sử dụng", một kết nối dùng giao thức TELNET, như trong câu "To change your password, telnet to the server and run the passwd command" - (Để đổi mật khẩu của mình, telnet vào máy chủ và
chạy dòng lệnh passwd).
Cụm từ trên còn có nghĩa là kết nối, theo thể thức mới, với Telnet Bulletin Board Systems - Hệ thống bảng tin Telnet - (mà một thời chỉ dùng kết nối quay số (dialup), trong những năm giữa 1980 và 1990), là kết nối cho phép sử dụng TCP/IP, cho những người còn luyến tiếc nó, cũng như hỗ trợ tất cả các giao thức nổi tiếng và các giao thức thường được dùng trên mạng Internet hiện nay, như là một bộ máy chủ, đa giao thức, toàn năng.
- TELNET là một giao thức khách-chủ (client-server protocol), dựa trên nền TCP, và phần khách (người dùng) thường kết nối vào cổng 23 với một máy chủ, nơi cung cấp chương trình ứng dụng thi hành các dịch vụ. Người ta cũng có thể sử dụng chương trình ứng dụng TELNET, để thiết lập một kết nối TCP tương tác của giao thức, và đồng thời còn có thể dùng nó để định nghĩa những thực thi mở rộng. Rất nhiều mở rộng của giao thức đã hoàn thành và một số những thực thi trong đó đã được chấp nhận là tiêu chuẩn của Internet. Tài liệu số 27 đến 32 của IETF STD định nghĩa những mở rộng của TELNET (phần đông trong số đó là những cái đang được dùng rất phổ biến). Trong số những mở rộng còn lại, những cái có tác dụng nhất, rất có thể là những cái vốn là những dự thảo tiêu chuẩn, lại là những cái đang trên đà trở thành tiêu chuẩn của IETF