Phân tích một tấn công (Phần 1) - 22/12/2007 11h:3
Don Parker
Loạt bài này sẽ dựa trên một lỗ hổng hệ thống mạng. Những gì sẽ giới thiệu trong
bài đã là một tấn công thực sự, bắt đầu từ thăm dò đến liệt kê, khai thác dịch vụ
mạng và kết thúc các chiến lược khai thác gửi thông báo. Tất cả các bước này sẽ
được quan sát ở mức gói dữ liệu, và sau đó sẽ được giải thích một cách cụ thể. Có
thể quan sát và hiểu được một tấn công ở mức gói dữ liệu là một điều cực kỳ quan
trọng cho cả các quản trị viên hệ thống (sys admin) và các nhân viên bảo mật mạng.
Đầu ra của các tường lửa, Hệ thống phát hiện xâm phạm (IDS) và các thiết bị bảo mật
khác sẽ luôn luôn được sử dụng để có thể xem được lưu lượng mạng thực sự. Nếu bạn
không hiểu những gì đang nhìn thấy tại mức gói dữ liệu thì tất cả những công nghệ bảo
mật mạng mà bạn có sẽ trở thành vô nghĩa.
Các công cụ được sử dụng cho việc mô phỏng một tấn công mạng là:
• Nmap
• IPEye
• Tcpdump
• Metasploit Framework
• Netcat
• SolarWinds TFTP Server
• Tftp client
• FU Rootkit
Bước thiết lập
Có rất nhiều hành động quét trên Internet ngày nay, không đề cập đến hành động của
worm và các dạng malware khác như virus. Tất cả chúng sẽ chỉ như tạp nhiễu vô hại
với các mạng máy tính được bảo vệ tốt. Những gì chúng ta nên xem xét là một người
đang chủ tâm nhắm đến một mạng máy tính. Bài này sẽ thừa nhận rằng kẻ tấn công đã
tấn công vào nạn nhân của hắn và đã thực hiện các nghiên cứu trước như tìm ra địa chỉ
IP và các địa chỉ mạng của nạn nhân. Kẻ tấn công này có thể cũng đã cố gắng khai thác
thông tin như các địa chỉ email có liên quan đến mạng đó. Kiểu thông tin này là rất
quan trọng trong trường hợp kẻ tấn công đã tìm nhưng không có cách nào vào mạng
sau khi đã thực hiện các hành động quét, liệt kê và giả mạo nó. Các địa chỉ email mà

khi chúng ta đang tìm hiểu về việc cho phép một chương trình thực hiện công việc cho
chúng ta. Với lưu ý đó, chúng ta hãy xem xét đến dấu vết gói Nmap và tìm ra một số
thông tin nào đó về mạng nạn nhân.
10:52:59.062500 IP (tos 0x0, ttl 43, id 8853, offset 0, flags
[none], proto: ICMP (1), length: 28) 192.168.111.17 > 192.168.111.23:
ICMP echo request seq 38214, length 8
0x0000: 4500 001c 2295 0000 2b01 0dd3 c0a8 6f11 E..."...+.....o.
0x0010: c0a8 6f17 0800 315a 315f 9546 ..o...1Z1_.F
10:52:59.078125 IP (tos 0x0, ttl 128, id 396, offset 0, flags [none],
proto: ICMP (1), length: 28) 192.168.111.23 > 192.168.111.17: ICMP
echo reply seq 38214, length 8
0x0000: 4500 001c 018c 0000 8001 d9db c0a8 6f17 E.............o.
0x0010: c0a8 6f11 0000 395a 315f 9546 0000 0000 ..o...9Z1_.F....
0x0020: 0000 0000 0000 0000 0000 0000 0000 ..............
Thể hiện trong hai gói dữ liệu ở trên là loạt mở từ Nmap. Những gì nó thực hiện là gửi
một yêu cầu ICMP echo đến mạng nạn nhân. Bạn sẽ thấy rằng nó không được trang bị
tại một cổng nào đó, bởi vì ICMP không sử dụng các cổng, nhưng lại được quản lý bởi
bộ thông báo lỗi ICMP xây dựng bên trong ngăn xếp giao thức TCP/IP. Gói ICMP này
cũng được dán nhãn bằng một số duy nhất, trong trường hợp này là 38214 để giúp ngăn
xếp TCP/IP có thể kiểm tra được lưu lượng trả về, và liên kết nó với gói ICMP trước
đó đã gửi. Gói tin ngay trên là đáp trả từ một mạng nạn nhân, trong biểu mẫu của một
đáp trả (reply) ICMP echo. Cũng tính đến cả số chuỗi 38214. Chính vì vậy hacker biết
được rằng có một máy tính hoặc một mạng đằng sau địa chỉ IP đó.
Chuỗi gói ICMP đang mở này là lý do tại sao Nmap có một ký hiệu IDS cho nó. Tùy
chọn khám phá ICMP host có thể bị vô hiệu hóa trong Nmap nếu muốn. Loại thông tin
gì có thể được thu lượm thông qua kết quả của gói trả lời ICMP echo từ mạng nạn
nhân? Trong thực tế ở đây không có nhiều thông tin giúp chúng ta nắm được về mạng.
Mặc dù vậy vẫn có thể sử dụng những đòn sơ bộ tại những chỗ liên quan đến hệ điều
hành. Thời gian để cư trú một trường và giá trị bên cạnh nó được đánh dấu tô đậm
trong gói trên. Giá trị 128 cho thấy một sự thật rằng máy tính này có thể là một máy