Port scanning là quá trình xác định cổng TCP/IP mở và có sẵn trên một hệ thống. Công cụ Port scanning cho phép một hacker tìm hiểu về các dịch vụ có sẵn trên một hệ thống nhất định. Mỗi dịch vụ hay ứng dụng máy tính được kết hợp với một số cổng thông dụng. Ví dụ, một công cụ quét đó là xác định cổng 80 mở cho một web sever đang chạy trên đó. Hacker cần phải biết rõ với số cổng thông dụng.
2.2.2. Network Scanning
Network scanning là một quy trình để xác định máy chủ đang hoạt động trên mạng, hoặc để tấn công chúng hoặc là đánh giá an ninh mạng. Máy chủ được xác định bởi IP cá nhân của chúng. Các công cụ network-scanning cố gắng xác định tất cả các máy chủ trực tiếp hoặc trả lời trên mạng và địa chỉ IP tương ứng của chúng.
2.2.3. Vulnerability scanning
Vulnerability scanning là quá trình chủ động xác định các lỗ hổng của hệ thống máy tính trên mạng. Thông thường, một máy quét lỗ hổng đầu tiên xác định các hệ điều hành và số phiên bản, bao gồm các gói dịch vụ có thể được cài đặt. Sau đó, máy quét lỗ hổng xác định các điểm yếu, lỗ hổng trong hệ điều hành.Trong giai đoạn tấn công sau đó, một hacker có thể khai thác những điểm yếu để đạt được quyền truy cập vào hệ thống.
Một hệ thống phát hiện xâm nhập (IDS) hay một mạng an ninh tinh vi chuyên nghiệp với các công cụ thích hợp có thể phát hiện các hoạt động port-scanning. Các công cụ dò quét cổng TCP/IP tìm kiếm các cổng mở và địa chỉ IP, và lỗ hổng thường có thể bị phát hiện, vì các máy quét phải tương tác với hệ thống đích trên mạng.
2.3. Các phương pháp Scanning
Hình 14. Các phương pháp Scanning
2.3.1. Kiểm tra hệ thống. Quét ICMP Quét ICMP
Bản chất của quá trình này là gửi một gói ICMP Echo Request đến máy chủ đang muốn tấn công
Việc quét này rất hữu ích để định vị các thiết bị hoạt động hoặc xác định hệ thống có tường lửa hay không
Ping Sweep
Ping Sweep được sử dụng để xác định các máy chủ còn “sống” từ một loạt các địa chỉ IP bằng cách gửi các gói ICMP Echo Request đến tất cả các IP đó. Nếu một máy chủ còn “sống” nó sẽ trả lại một gói tin ICMP Reply.
2.3.2. Kiểm tra các cổng mở
Kiểm tra các cổng đang mở là bước thứ hai trong tiến trình quét. Port scanning là phương pháp được sử dụng để kiểm tra các cổng đang mở. Quá trình quét bao gồm việc thăm dò mỗi cổng trên máy chủ để xác định các cổng đang mở. Thông thường Ports scanning có giá trị hơn một quá trình quét ping về máy chủ và các lỗ hổng trên
Để thực hiện quét port máy khách phải thực hiện thiết lập kết nối với máy bị tấn công qua giao thức TCP sử dụng cơ chế bắt tay 3 bước.
Hình 15. Cơ chế bắt tay ba bước
1. Máy tính A khởi tạo một kết nối đến máy bị tấn công bằng một gói tin với cờ SYN
2. Máy bị tấn công sẽ trả lời bằng một gói tin với cờ SYN và ACK 3. Cuối cùng, máy khách sẽ gởi lại cho máy chủ một gói tin ACK
Nếu 3 bước trên được hoàn thành mà không có biến chứng thì sau đó một kết nối TCP sẽ được thiết lập
Bởi vì TCP là một giao thức hướng kết nối, một quy trình để thiết lập kết nối (three-way handshake), khởi động lại một kết nối không thành công và kết thúc một kết nối là một phần của giao thức. Những giao thức dùng để thông báo được gọi là
Flags. TCP chứa các flasg như ACK, RST, SYN, URG, PSH và FIN. Danh sách dưới đây xác định các chức năng của các cờ TCP:
SYN (Synchronize): Khởi tạo kết nối giữa các máy ACK (acknowledge): Thiết lập kết nối giữa các máy.
PSH (Push): Hệ thống chuyển tiếp dữ liệu đệm.
RST (Reset): Thiết lập lại kết nối. + Các kĩ thuật quét :
XMAS: XMAS scans gửi một gói với cờ FIN,URG, và PSH được thiết lập. Nếu cổng mở, không đáp lại; nếu đóng mục tiêu gửi lại gói RST/ACK. XMAS scan chỉ làm việc trên hệ thống máy đích theo RFC 793 của TCP/IP và không chống lại bất cứ version nào của Windows.
FIN: FIN scan tương tự XMAS scan nhưng gửi gói dữ liệu chỉ với cờ FIN được thiết lập. FIN scan nhận trả lời và có giới hạn giống như XMAS scan.
NULL: NULL scan cũng tương tự như XMAS và FIN trong giới hạn và trả lời, nhưng nó chỉ gửi một packet mà không có flag set.
IDLE: IDLE scan sử dụng địa chỉ IP giả mạo để gửi một gói SYN đến mục tiêu. Phụ thuộc vào trả lời, cổng có thể được xác định là mở hoặc đóng. IDLE scans xác định phản ứng quét cổng bằng cách theo dõi số thứ tự IP header.
+ Các biện pháp phòng chống
Biện pháp phòng chống là quá trình hoặc bộ công cụ được sử dụng bởi các quản trị viên an ninh mạng để phát hiện và có thể ngăn chặn port-scanning các máy chủ trên mạng của họ. Danh sách các biện pháp đối phó cần được thực hiện để ngăn chặn một hacker thu thập thông tin từ quá trình quét cổng:
Kiến trúc an ninh thích hợp, chẳng hạn như thực hiện các IDS và tường lửa nên được đi chung.
Hacker chân chính sử dụng công cụ của họ thiết lập để kiểm tra việc Scanning, thực hiện các biện pháp đối phó. Khi tường lửa được đặt ra, công cụ port-scanning nên được chạy cho các máy chủ trên mạng để cho phép tường lửa phát hiện chính xác và dừng các hoạt động của port-scanning.
Tường lửa có thể phát hiện các hoạt động thăm dò được gửi bởi các công cụ port-scanning. Các tường lửa nên tiến hành lấy trạng thái kiểm tra (stateful inspections). Có nghĩa là nó sẽ kiểm tra không chỉ các tiêu đề TCP mà cả dữ liệu
của gói tin để xác định liệu được phép đi qua tường lửa.
Network IDS nên được sử dụng để phát hiện các phương pháp dò tìm hệ điều hành được sử dụng bởi một số công cụ hacker phổ biến như Nmap.
Các nhân viên của tổ chức sử dụng các hệ thống cần được đào tạo thích hợp nhận thức về an ninh mạng. Cũng nên biết chính sách bảo mật khác nhau mà họ đang cần làm theo.