Trong bước đầu tiên của tiến trình tấn công các hacker thường tiến hành quét mạng mà chúng ta sẽ gọi bằng thuật ngữ scanning để kiểm tra các cổng đang mở hay những dịch vụ mà mục tiêu đang sử dụng. Bên cạnh đó scanning còn cho biết các thông tin quan trọng như hệ điều hành đang sử dụng hay hệ thống máy chủ mà trang web đang dùng là IIS, Apache …

Scanning bao gồm các thao tác để xác định các host (máy trạm) và những port (cổng) đang hoạt động hay những dịch vụ đang chạy trên hệ thống của mục tiêu cần tấn công và khai thác. Đây là một trong những bước quan trọng của tiến trình thu thập thông tin thông minh (intelligence gathering) mà các hacker sử dụng để lập sơ đồ của các tổ chức hay mạng mục tiêu. Trong tiến trình scanning những kẻ tấn công sẽ gởi các gói tin TCP/IP đến mục tiêu như hình bên dưới và phân tích các kết quả trả về nhằm xác định các thông tin giá trị mà họ quan tâm.

Các Kiểu Scanning

Có ba dạng scanning khác nhau đó là Port Scanning, Vulnerability Scanning và Network Scanning.

  • Port Scanning : Kẻ tấn công sẽ gởi một loạt các thông điệp đến mục tiêu nhằm xác định các cổng đang mở, và thông qua các cổng này họ sẽ biết được có những dịch vụ nào đang chạy trên máy tính mục tiêu. Một trong các ứng dụng port scanning phổ biến là Nmap.
  • Vulnerability Scanning : Là quá trình quét lỗi nhằm xác định ra các lỗ hổng bảo mật hay những điểm yếu mà thường gọi là các điểm “nhạy cảm” của các ứng dụng hay máy chủ, máy trạm đê từ đó đưa ra các phương án tấn công thích hợp. Tiến trình quét lỗi có thể xác định được các bản cập nhật hệ thống bị thiếu, hay những lỗi hệ thống chưa được vá các chuyên gia bảo mật cũng thường tiến hành vulnerability scanning trong công tác bảo vệ hệ thống mạng của mình.
  • Network Scanning : Quá trình này dùng để xác định các máy đang hoạt động trên hệ thống mạng thường được các hacker, chuyên gia bảo mật hay những quản trị hệ thống thực hiện.

Quy Trình Scanning Của CEH

Kiểm Tra Các Hệ Thống Đang Hoạt Động

Để kiểm tra tình trạng hoạt động của hệ thống các hacker có thể sử dụng nhiều công cụ và những hình thức khác nhau để thu được kết qua mong muốn như ICMP Scanning hay Ping Sweep.

  • ICMP Scanning

Hacker sẽ gởi các tín hiệu ICMP ECHO Request đến mục tiêu (host) và nếu một host đang tồn tại nghĩa là đang hoạt động thì sẽ phản hồi lại thông qua ICMP ECHO Reply như hình. Tuy nhiên, quá trình này có thể thất bại nếu như giao thức ICMP bị chặn bởi firewall.

Kết quả của ICMP Scanning thực hiện bằng công cụ Nmap

Trong hình minh họa trên hacker từ máy 192.168.168.3 sẽ tiến hành ICMP Scanning bằng công cụ Nmap để gởi các tín hiệu ICMP ECHO Request thông qua tùy chọn –sP đến mục tiêu có địa chỉ 192.168.168.5 và các bạn có thể thất kết quả trả về cho biết mục tiêu có địa chỉ 192.168.168.5 đang hoạt động với các thông số phần cứng như địa chỉ MAC, nhà sản xuất.

  • Ping Sweep

Trong ví dụ trên chúng ta sử dụng ICMP Scanning để xác định tình trạng hoạt động của một máy trạm, nếu như các bạn muốn kiểm tra trên một dãy các địa chỉ IP thì Ping Sweep là giải pháp thích hợp thông qua hình thức gởi các tín hiệu ICMP ECHO Request đến nhiều máy tính cùng lúc như hình để nhận các kết quả trả về thích hợp.

Sau đây là kết quả của Ping Sweep với Nmap :

Theo hình trên thì chúng ta thấy kết quả trả về khá chi tiết với các máy tính có địa chỉ IP 192.168.168.1, 192.168.168.2, 192.168.168.4 và 192.168.168.6 đang hoạt động.

  • Phòng Chống Ping Sweep

Hầu hết các hệ thống IDS – Instruction Detect System (hệ thống phát hiện xâm nhập trái phép) đều có thể nhận biết được dạng tấn công Ping Sweep và gởi cảnh báo về cho quản trị hệ thống mạng. IDS có thể là những thiết bị phần cứng của Cisco 4250/4235 Appliance Sensor, Juniper Networks Intrusion Detection với các dòng IDP75, IDP250 hay các ứng dụng IDS phần mềm nguồn mở như SNORT hoạt động dưới cả hai dạng Network-base IDS và Host-based IDS. Ngoài ra, phần lớn các firewalll và proxy server được cấu hình để chặn ICMP mặc định, giúp phòng chống Ping Sweep hiệu quả.

(còn tiếp)