Chia Sẽ Kinh Nghiệm Về IT



Tìm Kiếm Với Google
-


Gởi Ðề Tài Mới  Gửi trả lời
 
Công Cụ Xếp Bài
Tuổi 28-08-2009, 04:02 PM   #1
hoctinhoc
Guest
 
Trả Lời: n/a
Giới thiệu IDLE Scan
Giới thiệu IDLE Scan

Mỗi IP packet được gửi trên mạng có một số duy nhất được gọi là fragment identification (gọi là IPID). Kỹ thuật thuật scan IDLE dựa vào đặc điểm của IPID này mà xác định một cổng đóng hay mở. Và lợi dụng một máy thứ 3 làm trung gian để thực hiện.

Vậy kỹ thuật IDLE Scan được thực hiện như thế nào ? Các bước thực hiện IDLE Scan làm sao ?
Nhắc lại phương thức kết nối TCP
Như seamoun đã giới thiệu và demo ở phần TCP với kết nối đầy đủ thì một cổng được gọi "open" khi một client gửi đến đích với SYN packet trên cổng thích hợp. Nếu cổng đó mở thì nó sẽ gửi trở lại với packet SYN/ACK và nếu cổng đó đóng nó sẽ gửi lại RST.

Giả sử ta có một máy chủ abc.com và đích mà hacker cần scan là server.com.
Bước 1: Hacker thực hiện một kết nối SYN/ACK packet đến abc.com và quan sát IPID
Và hiển nhiên máy chủ abc.com sẽ gửi lại RST packet và ta cũng biết được IPID . Ví dụ IPID cho trường hợp này là 33668.

Bước 2: Sau đó hacker sẽ thực hiện gửi packet đến server.com với địa chỉ IP giả là máy chủ abc.com. Và hiển nhiên máy chủ server.com sẽ gửi lại cho máy chủ abc.com
với SYN/ACK được bật và máy chủ abc.com sẽ gửi RST packet trong trường hợp server.com mở cổng mà hacker đang cần kiểm tra. Giả sử trong trường hợp này cổng mở thì khi abc.com gửi RST packet đi thì nó sẽ tăng IPID lên 1. Vậy lúc này IPID có giá trị 33669. Và sẽ không tăng IPID nếu như cổng cần kiểm tra đóng.

Bước 3: Hacker thực hiện gửi SYN/ACK đến abc.com và kiểm tra thử IPID lúc này là bao nhiêu. Nếu như IPID mới bằng IPID cũ + 2 tức là cổng đó mở và ngược
lại thì cổng cần kiểm tra đó đóng.

Mô hình minh họa
Bước 1: Thăm dò IPID
Kẻ tấn công ---- >gửi packet (SYN/ACK) --------------------------> abc.com
Kẻ tấn công <--- gửi packet (RST. Giả sử có IPID=33668)< --------abc.com

Bước 2: Thực hiện gửi packet đến đích cần kiểm tra port với IP nguồn giả địa chỉ abc.com
Kẻ tấn công ----> gửi packet (SYN có địa chỉ IP nguồn là abc.com và cổng cần kiểm tra) ---> server.com
Trường hợp cổng mở nó thực hiện như sau:
abc.com <---- gửi packet (SYN/ACK)<----------------------------------------------------------- server.com
abc.com -----> gửi packet (RST có IPID=33669)----------------------------------------------->server.com
Trường hợp cổng đóng nó thực hiện như sau
abc.com <---- gửi packet (RST)-------------------------------------------------------------------server.com

Bước 3: Thăm dò lại IPID
Trong trường hợp cổng cần kiểm tra là mở thì
Kẻ tấn công ---> gửi packet (SYN/ACK)---------------------------->abc.com
Kẻ tấn công <---- gửi packet (RST có IPID=33670)-----------------abc.com
Trong trường hợp cổng cần kiểm tra đóng thì số IPID chỉ tăng lên 1

Kết luận: Cốt lõi của IDLE Scan tức là dựa vào sự quan sát IPID mà tăng không ngẫu nhiên để kết luận cổng đóng hay mở

Demo IDLE Scan
Đối với IDLE Scan trong nmap thì ta sử dụng tùy chọn : sI và lựa chọn một máy thứ 3 để làm trung gian như đã đề cập ở trên.
Mặc định thì chương trình scan nối với máy trung gian trên port 80, các bạn có thể sửa đổi chúng bằng cách sử dụng <ip>:<chỉ định port>.
Trong demo máy chạy nmap để thực hiện scan có IP là : 192.168.1.6, máy trung gian có địa chỉ IP: 192.168.1.2, máy cần quét cổng (máy đích) có địa chỉ IP là 192.168.1.8.

Giả sử cần kiểm tra port 7799 có mở hay không ? Thực hiện lệnh sau: nmap.exe -sI 192.168.1.2 192.168.1.8 -p 7799
Mặc định thì nmap sẽ nối đến máy trung gian port 80, có thể thay đổi cổng như sau: nmap.exe -sI 192.168.1.2:456 192.168.1.8 -p 7799.

Trong đoạn demo các bạn sẽ thấy nmap sẽ gửi nhiều SYN/ACK, mục đích của nó chỉ là kiểm tra xem thử IPID có tăng tuần tự hay không ? Do vậy để nhiều packet các bạn khó theo dõi nên seamoun đã tách ra những packet liên quan để các bạn dễ nhìn.

Theo: hvaonline


www.quantrinet.com
  Trả lời ngay kèm theo trích dẫn này
Gửi trả lời


Công Cụ
Xếp Bài

Quyền Hạn Của Bạn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Hình Cảm xúc đang Mở
[IMG] đang Mở
Mã HTML đang Tắt




Bây giờ là 02:40 PM. Giờ GMT +7



Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.