Scanning Techniques là gì?

Scanning là một bước thiết yếu khác, cần thiết và nó đề cập đến gói kỹ thuật và thủ tục được sử dụng để xác định máy chủ, cổng và các dịch vụ khác nhau trong mạng. Scanning mạng là một trong những thành phần của cơ chế thu thập thông tin và thu thập thông tin tình báo mà kẻ tấn công sử dụng để tạo ra một kịch bản tổng quan về tổ chức mục tiêu (tổ chức mục tiêu: nghĩa là nhóm người hoặc tổ chức rơi vào tầm ngắm của Tin tặc).

Các bài viết liên quan:

• Tấn công bẻ khóa wifi chuẩn WEP
• Danh sách các pakage R
• Công cụ Information Gathering của kali linux
• Các bước hack hệ thống ? hacking? Ethical hacking
• Information Gathering – Fingerprint Web Application

Tính năng Scanning lỗ hổng bảo mật được thực hiện bởi pen-testers để phát hiện khả năng bị tấn công an ninh mạng. Kỹ thuật này khiến tin tặc xác định được các lỗ hổng như bản vá bị thiếu, dịch vụ không cần thiết, xác thực yếu hoặc thuật toán mã hóa yếu. Vì vậy, một người kiểm tra bút và hacker có đạo đức liệt kê tất cả những lỗ hổng như vậy được tìm thấy trong mạng của một tổ chức.

Scanning có ba loại:

• Scanning mạng
• Scanning cổng
• Scanning lỗ hổng bảo mật

Mục tiêu của Network Scanning

• Để khám phá máy chủ / máy tính trực tiếp, địa chỉ IP và các cổng đang mở của nạn nhân.
• Để khám phá các dịch vụ đang chạy trên máy chủ.
• Để khám phá Hệ điều hành và kiến ​​trúc hệ thống của mục tiêu.
• Để khám phá và xử lý các lỗ hổng trong Máy chủ trực tiếp.

Phương pháp Scanning

• Tin tặc và Pen-testers kiểm tra hệ thống Trực tiếp.
• Kiểm tra các cổng đang mở (Kỹ thuật này được gọi là Scanning cổng, sẽ được thảo luận bên dưới)
• Scanning ngoài IDS (Hệ thống phát hiện xâm nhập)
• Banner Grabbing: là phương pháp thu thập thông tin liên quan đến hệ thống được nhắm mục tiêu trên mạng và các dịch vụ chạy trên các cổng mở của nó. Telnet và ID Serve là những công cụ được sử dụng chủ yếu để thực hiện một cuộc tấn công lấy Banner. Thông tin này có thể được sử dụng bởi những kẻ xâm nhập / tin tặc để mô tả danh sách các hành vi khai thác có thể áp dụng.
• Scanning lỗ hổng bảo mật
• Chuẩn bị proxy

Port Scanning

Đây là một kỹ thuật thông thường được sử dụng bởi những người kiểm tra thâm nhập và tin tặc để tìm kiếm các cánh cửa mở mà từ đó tin tặc có thể truy cập vào hệ thống của bất kỳ tổ chức nào. Trong quá trình Scanning này, tin tặc cần tìm ra các máy chủ lưu trữ trực tiếp, tường lửa được cài đặt, hệ điều hành được sử dụng, các thiết bị khác nhau được gắn vào hệ thống và cấu trúc liên kết của tổ chức được nhắm mục tiêu. Sau khi Hacker tìm nạp địa chỉ IP của tổ chức nạn nhân bằng cách Scanning các cổng TCP và UDP, Hacker sẽ lập bản đồ mạng của tổ chức này dưới sự nắm bắt của anh ta / cô ta. Amap là một công cụ để thực hiện Scanning cổng.

TCP/IP handshake

Trước khi chuyển sang các kỹ thuật Scanning, chúng ta phải hiểu quy trình bắt tay 3 chiều TCP / IP. Theo thuật ngữ máy tính, bắt tay có nghĩa là quá trình tự động được sử dụng để thiết lập các thông số động của kênh giao tiếp giữa hai thực thể bằng cách sử dụng một số giao thức. Ở đây, TCP (Transmission Control Protocol) và IP (Internet Protocol) là hai giao thức được sử dụng để bắt tay giữa máy khách và máy chủ. Ở đây trước tiên, máy khách gửi một gói đồng bộ hóa để thiết lập kết nối, và máy chủ lắng nghe và phản hồi bằng một gói syn / ack cho máy khách. Máy khách phản hồi lại máy chủ bằng cách gửi một gói tin ack. Ở đây SYN biểu thị đồng bộ hóa, được sử dụng để khởi tạo các kết nối giữa máy khách và máy chủ trong các gói. ACK biểu thị xác nhận, được sử dụng để thiết lập kết nối giữa hai máy chủ.

Các kỹ thuật Scanning được sử dụng chủ yếu:

• SYNScan: SYN Scanning hoặc ẩn không hoàn thành kỹ thuật bắt tay ba chiều TCP. Một hacker sẽ gửi một gói SYN cho nạn nhân và nếu một khung SYN / ACK được nhận lại, thì mục tiêu sẽ hoàn tất kết nối và cổng ở vị trí để lắng nghe. Nếu một RST được truy xuất từ ​​đích, nó được giả định rằng cổng đã đóng hoặc không được kích hoạt. Tính năng Scanning ẩn SYN có lợi vì một số hệ thống IDS ghi lại quá trình này như một cuộc tấn công hoặc nỗ lực kết nối.
• XMASScan: Scanning XMAS gửi một gói tin chứa các cờ URG (khẩn cấp), FIN (kết thúc) và PSH (đẩy). Nếu có một cổng mở, sẽ không có phản hồi; nhưng mục tiêu phản hồi bằng một gói RST / ACK nếu cổng bị đóng. (RST = đặt lại).
• Scanning FIN: Scanning FIN tương tự như Scanning XMAS ngoại trừ việc nó gửi một gói chỉ có cờ FIN (kết thúc) và không có cờ URG hoặc PSH. Scanning FIN nhận được cùng một phản hồi và có những hạn chế giống như Scanning XMAS.
• IDLEScan: Scanning IDLE sử dụng IP giả mạo / lừa bịp để gửi gói SYN đến đích bằng cách xác định phản hồi Scanning cổng và số thứ tự tiêu đề IP. Tùy thuộc vào phản hồi của quá trình Scanning, cổng được xác định, là mở hay đóng.
• Scanning cờ TCP ngược: Tại đây, kẻ tấn công gửi các gói thăm dò TCP có cờ TCP (FIN, URG PSH) hoặc không có cờ. Nếu không có phản hồi, nó chỉ ra rằng cổng đang mở và RST có nghĩa là nó đã đóng.
• ACK Flag Probe Scan: Tại đây, kẻ tấn công gửi các gói thăm dò TCP trong đó cờ ACK được đặt cho một thiết bị từ xa, phân tích thông tin tiêu đề (trường TTL và WINDOW). Gói RST cho biết cổng đang mở hay đóng. Quá trình Scanning này cũng được sử dụng để kiểm tra hệ thống lọc của mục tiêu / nạn nhân.

Vulnerability Scanning

Đó là việc chủ động xác định các lỗ hổng của hệ thống trong mạng một cách tự động để xác định xem hệ thống có thể bị khai thác hoặc bị đe dọa hay không. Tôi trường hợp này, máy tính phải đã kết nối internet.

Công cụ và cách sử dụng

Nếu một hacker muốn thực hiện Scanning ICMP (Internet Control Message Protocol), nó có thể được thực hiện theo cách thủ công. Các bước là:

• Mở hệ điều hành Windows
• Nhấn kết hợp các nút Win + R (Run)
• Trong Run, nhập- cmd
• Gõ lệnh: ping IP Address hoặc gõ: ping DomainName

Các công cụ có thể được sử dụng để Scanning mạng và cổng là:

• Nmap: trích xuất thông tin như máy chủ trực tiếp trên mạng, dịch vụ, loại bộ lọc gói / tường lửa, hệ điều hành và phiên bản hệ điều hành.
• Angry IP Scanner: Scanning các hệ thống có sẵn trong một phạm vi đầu vào nhất định.
• Hping2 / Hping3: là các công cụ tạo gói tin dòng lệnh và Scanning mạng được sử dụng cho các giao thức TCP / IP.
• Superscan: là một công cụ mạnh mẽ khác được phát triển bởi Mcafee, là một trình Scanning cổng TCP, cũng được sử dụng để ping.
• ZenMap: là một công cụ giao diện người dùng đồ họa (GUI) rất mạnh mẽ khác để phát hiện loại hệ điều hành, phiên bản hệ điều hành, Scanning ping, Scanning cổng, v.v.
• Net Scan Tool Suite Pack: là một tập hợp các loại công cụ khác nhau có thể thực hiện Scanning cổng, làm tràn ngập, trình duyệt web, bán lẻ hàng loạt; và Công cụ này là phiên bản dùng thử, nhưng các phiên bản trả phí cũng có sẵn.
• Wireshark và Omnipeak là hai công cụ mạnh mẽ và nổi tiếng lắng nghe lưu lượng mạng và hoạt động như bộ phân tích mạng.
• Tên của các công cụ PC nổi tiếng khác là Advanced Port Scanner, Net Tools, MegaPing, CurrPorts, PRTG Network Monitor, SoftPerfect Network Scanner, Network Inventory Explorer, v.v.
• Có rất nhiều trình Scanning khác được cung cấp miễn phí và có sẵn trong hệ điều hành Kali Linux.
• Các công cụ và phần mềm được sử dụng trên điện thoại di động làm máy Scanning bao gồm các tên như Máy Scanning mạng Umit, Fing, Máy Scanning mạng IP, Phân tích mạng PortDroid, Máy Scanning Panm IP, Máy Scanning lỗ hổng Nessus, Máy Scanning Shadow Sec, v.v.

Định cấu hình tường lửa và IDS để phát hiện và chặn scanning.

Sử dụng các quy tắc tùy chỉnh để khóa mạng và chặn các cổng không mong muốn.

Chạy các công cụ Scanning cổng để xác định xem tường lửa có phát hiện chính xác các hoạt động Scanning cổng hay không.

Các chuyên gia bảo mật nên đảm bảo cấu hình phù hợp của trình chống Scanning và quy tắc chống giả mạo.

Các chuyên gia bảo mật của một tổ chức cũng phải đảm bảo rằng IDS, bộ định tuyến và chương trình cơ sở tường lửa được cập nhật lên bản phát hành mới nhất của họ.