Chuyên trang chia sẻ kiến thức AI, Deeplearnig, MachineLearning, An ninh an toàn thông tin

Thứ Hai, 19 tháng 4, 2021

Nmap - Thực hành

Nmap (Network Mapper) là một công cụ quét, theo dõi và đánh giá bảo mật một hệ thống mạng được phát triển bởi Gordon Lyon (hay còn được biết đến với tên gọi Fyodor Vaskovich). Nmap là phần mềm mã nguồn mở miễn phí, ban đầu chỉ được phát triển trên nền tảng Linux sau đó được phát triển trên nhiều nền tảng khác nhau như Windows, Solari, Mac OS… và phát triển thêm phiên bản giao diện người dùng (zenmap). Tải vệ tại đây

Các chức năng của Nmap:

- Phát hiện host trong mạng

- Liệt kê các cổng đang mở trên một host

- Xác định các dịch vụ chạy trên các cổng đang mở cùng với phần mềm và phiên bản đang dùng

- Xác đinh hệ điều hành của thiết bị

- Chạy các kịch bản đặc biệt

Sử dụng nmap:

- Xác định mục tiêu: Việc đầu tiên khi sử dụng nmap là xác định mục tiêu cần quét, mục tiêu có thể là 1 domain, 1 IP, 1 dải địa chỉ IP, 1 danh sách (file) các IP và domain

Một số ví dụ quét Nmap


- Phát hiện các host trong mạng (host discovery): Đối với mục tiêu là 1 dải mạng với hàng nghìn host, việc quét hàng nghìn cổng trên mỗi host sẽ tốn rất nhiều thời gian vì vậy việc xác định các host đang chạy sẽ rút ngắn thời gian trong quá trình quét. Nmap sử dụng một số kĩ thuật sau để thực hiện host discovery:

o   TCP SYN Ping:–PS <port list>

o   TCP ACK Ping: –PA <port list>

o    UDP Ping: –PU <port list>

o   ARP Ping (sử dụng trong mạng LAN): -PR

o   ICMP type 8 (echo request): -PE

o   o ICMP type 13 (timestamp request): -PP

o   o ICMP type 17(Address mask request): -PA

Các kỹ thuật quét cổng.

o   TCP SYN scan (-sS): nmap gửi một gói tin TCP-SYN tới 1 cổng của mục tiêu. Nếu nhận được ACK_SYN thì cổng đó đang ở trạng thái open TCP connect scan (-sT): Kỹ thuật này cho kết quả tương tự như TCP SYN scan, nếu nhận được ACK-SYN nmap sẽ gửi gói tin ACK để hoàn tất quá trình bắt tay 3 bước.

o   UDP scan (-sU): nmap gửi gói tin UDP tới 1 cổng của mục tiêu nếu nhận được gói tin ICMP port unreachable error (type 3, code 3) thì cổng đó ở trạng thái close. Nếu nhận được ICMP unreachable errors (type 3, codes 1, 2, 9, 10, or 13) thì cổng đó ở trạng thái filtered. Nếu không nhận được gì thì cổng ở trạng thái open|filtered. Nếu nhận được gói tin UDP thì cổng đó ở trạng thái open.

o   TCP ACK scan (-sA): Kỹ thuật này không dùng để kiểm tra trạng thái của các cổng mà để kiểm tra cấu hình của firewall (cổng nào bị firewall chặn, cổng nào không). Trong này gói tin ACK sẽ được gửi nếu nhận được RST thì cổng đó không bị chặn (unfiltered) nếu không nhận được trả lời hoặc ICMP type 3, code 1, 2, 3, 9, 10, 13 thì cổng đó bị firewall chặn (filtered).

o   Ngoài ra nmap còn có 1 số tùy chọn với các kỹ thuật khác nâng cao (-sY,-sM, -sO, -sZ, -sI)

Xác đinh dịch vụ, phiên bản, hệ điều hành. Mặc định sau khi quét các cổng, nmap sẽ xác định dịch vụ đang chạy trên các cổng dựa vào file nmap-services (các cổng mặc định của từng service) tuy nhiên một số server cấu hình các dịch vụ không chạy trên các cổng mặc định. Để xác định rõ cổng nào chạy dịch vụ nào nmap sử dụng tùy chọn –sV. Với tùy chọn này nmap sẽ xác định được dịch vụ và phiên bản phần mềm chạy trên từng cổng dựa vào banner khi kết nối với cổng đó.

@tronghungt31

 

1 nhận xét: