Quét ICMP
Bản chất của quá trình này là gửi một gói ICMP Echo Request đến máy chủ đang muốn tấn công
Việc quét này rất hữu ích để định vị các thiết bị hoạt động hoặc xác định hệ thống có tường lửa hay không
Ping Sweep
Ping Sweep được sử dụng để xác định các máy chủ còn “sống” từ một loạt các địa chỉ IP bằng cách gửi các gói ICMP Echo Request đến tất cả các IP đó. Nếu một máy chủ còn “sống” nó sẽ trả lại một gói tin ICMP Reply.
2.2.3.2 Kiểm tra các cổng mở
Kiểm tra các cổng đang mở là bước thứ hai trong tiến trình quét. Port scanning là phương pháp được sử dụng để kiểm tra các cổng đang mở. Quá trình quét bao gồm việc thăm dò mỗi cổng trên máy chủ để xác định các cổng đang mở. Thông thường Ports scanning có giá trị hơn một quá trình quét ping về máy chủ và các lỗ hổng trên hệ thống.
Để thực hiện quét port máy khách phải thực hiện thiết lập kết nối với máy bị tấn công qua giao thức TCP sử dụng cơ chế bắt tay 3 bước.
1. Máy tính A khởi tạo một kết nối đến máy bị tấn công bằng một gói tin với cờ SYN
2. Máy bị tấn công sẽ trả lời bằng một gói tin với cờ SYN và ACK 3. Cuối cùng, máy khách sẽ gởi lại cho máy chủ một gói tin ACK
Nếu 3 bước trên được hoàn thành mà không có biến chứng thì sau đó một kết nối TCP sẽ được thiết lập
Bởi vì TCP là một giao thức hướng kết nối, một quy trình để thiết lập kết nối (three-way handshake), khởi động lại một kết nối không thành công và kết thúc một kết nối là một phần của giao thức. Những giao thức dùng để thông báo được gọi là
Flags. TCP chứa các flasg như ACK, RST, SYN, URG, PSH và FIN. Danh sách dưới
đây xác định các chức năng của các cờ TCP:
SYN (Synchronize): Khởi tạo kết nối giữa các máy
ACK (Acknowledge): Thiết lập kết nối giữa các máy
PSH (Push): Hệ thống chuyển tiếp dữ liệu đệm.
URG (Urgent): Dữ liệu trong các gói phải được sử lý nhanh chóng.
FIN (Finish): Hoàn tất giao tiếp, không truyền thêm.
RST (Reset): Thiết lập lại kết nối.
Các kĩ thuật quét :
XMAS: XMAS scans gửi một gói với cờ FIN,URG, và PSH được thiết lập.
Nếu cổng mở, không đáp lại; nếu đóng mục tiêu gửi lại gói RST/ACK. XMAS scan chỉ làm việc trên hệ thống máy đích theo RFC 793 của TCP/IP và không chống lại bất cứ version nào của Windows.
FIN: FIN scan tương tự XMAS scan nhưng gửi gói dữ liệu chỉ với cờ FIN
được thiết lập. FIN scan nhận trả lời và có giới hạn giống như XMAS scan.
NULL: NULL scan cũng tương tự như XMAS và FIN trong giới hạn và trả
lời, nhưng nó chỉ gửi một packet mà không có flag set.
IDLE: IDLE scan sử dụng địa chỉ IP giả mạo để gửi một gói SYN đến mục
tiêu. Phụ thuộc vào trả lời, cổng có thể được xác định là mở hoặc đóng. IDLE scans xác định phản ứng quét cổng bằng cách theo dõi số thứ tự IP header.
Các biện pháp phòng chống
Biện pháp phòng chống là quá trình hoặc bộ công cụ được sử dụng bởi các quản trị viên an ninh mạng để phát hiện và có thể ngăn chặn port-scanning các máy chủ trên mạng của họ. Danh sách các biện pháp đối phó cần được thực hiện để ngăn chặn một hacker thu thập thông tin từ quá trình quét cổng: Kiến trúc an ninh thích hợp, chẳng hạn như thực hiện các IDS và tường lửa
nên được đi chung.
Hacker chân chính sử dụng công cụ của họ thiết lập để kiểm tra việc Scanning, thực hiện các biện pháp đối phó. Khi tường lửa được đặt ra, công cụ port-scanning nên được chạy cho các máy chủ trên mạng để cho phép tường lửa phát hiện chính xác và dừng các hoạt động của port-scanning. Tường lửa có thể phát hiện các hoạt động thăm dò được gửi bởi các công cụ
port-scanning. Các tường lửa nên tiến hành lấy trạng thái kiểm tra (stateful inspections). Có nghĩa là nó sẽ kiểm tra không chỉ các tiêu đề TCP mà cả dữ liệu của gói tin để xác định liệu được phép đi qua tường lửa.
Network IDS nên được sử dụng để phát hiện các phương pháp dò tìm hệ điều hành được sử dụng bởi một số công cụ hacker phổ biến như Nmap. Chỉ có các cổng cần thiết nên được giữ ở trạng thái mở. Phần còn lại sẽ
được lọc hoặc bị chặn.
Các nhân viên của tổ chức sử dụng các hệ thống cần được đào tạo thích hợp nhận thức về an ninh mạng. Cũng nên biết chính sách bảo mật khác nhau mà họ đang cần làm theo.