3B

Quét mạng (Scanning) là gì?

Tập hợp các thủ tục nhằm xác định host, port và dịch vụ trong mạng.

Quét mạng đóng vai trò gì đối với kẻ tấn công?

Là một thành phần của quá trình thu thập thông tin nhằm tạo hồ sơ về tổ chức mục tiêu.

Quét mạng có thể cung cấp những loại thông tin chính nào?

Địa chỉ IP và cổng mở của host đang hoạt động; hệ điều hành và kiến trúc hệ thống; dịch vụ đang chạy trên host.

Ba loại quét chính được slide nêu là gì?

Port Scanning; Vulnerability Scanning; Network Scanning.

Port Scanning là gì?

Một chuỗi thông điệp được gửi nhằm tìm hiểu các dịch vụ mạng của máy tính; mỗi thông điệp gắn với một số cổng nổi tiếng.

Vulnerability Scanning là gì?

Quá trình tự động chủ động xác định các lỗ hổng của hệ thống máy tính trong mạng.

Network Scanning là gì?

Thủ tục xác định các host đang hoạt động trên mạng để tấn công hoặc đánh giá an ninh mạng.

Các bước của phương pháp quét mạng theo slide là gì?

Kiểm tra hệ thống đang hoạt động; kiểm tra cổng mở; thu thập banner; quét lỗ hổng; vẽ lược đồ mạng; chuẩn bị proxy.

ICMP Ping Scan hoạt động như thế nào?

Gửi ICMP Echo Request tới host; nếu host hoạt động, host trả về ICMP Echo Reply.

ICMP Ping Scan được dùng để làm gì?

Xác định thiết bị đang hoạt động hoặc xác định ICMP có đi qua firewall hay không.

Ping Sweep là gì?

Gửi ICMP Echo Request tới nhiều host trong một dải địa chỉ IP để xác định các host đang hoạt động.

Kẻ tấn công sử dụng Ping Sweep để làm gì?

Tạo danh sách các hệ thống đang hoạt động trong mạng.

Các công cụ Ping Sweep được slide nêu là gì?

Colasoft Ping Tool; SolarWinds Standard Edition; Utility Ping; Visual Ping Tester; Ping Scanner Pro; Ultra Ping Pro; PingInfoView; PacketTrap pt360.

TCP sử dụng Three-Way Handshake để làm gì?

Thiết lập kết nối giữa server và client.

Bước đầu tiên của TCP Three-Way Handshake là gì?

Client gửi gói SYN tới server để khởi tạo kết nối.

Bước thứ hai của TCP Three-Way Handshake là gì?

Server phản hồi bằng gói có cả cờ SYN và ACK.

Bước thứ ba của TCP Three-Way Handshake là gì?

Client phản hồi server bằng một gói ACK.

Khi ba bước Three-Way Handshake hoàn tất thì điều gì xảy ra?

Một kết nối TCP được thiết lập giữa client và server.

Cờ SYN trong TCP có chức năng gì?

Khởi tạo kết nối giữa các host.

Cờ ACK trong TCP có chức năng gì?

Xác nhận đã nhận một gói tin.

Cờ PSH trong TCP có chức năng gì?

Yêu cầu hệ thống nhận gửi ngay toàn bộ dữ liệu đang được lưu đệm.

Cờ URG trong TCP có chức năng gì?

Cho biết dữ liệu trong gói cần được xử lý ngay lập tức.

Cờ FIN trong TCP có chức năng gì?

Thông báo cho hệ thống từ xa rằng sẽ không còn dữ liệu được truyền.

Cờ RST trong TCP có chức năng gì?

Đặt lại một kết nối.

Hping2 và Hping3 là gì?

Công cụ dòng lệnh tạo gói tin cho giao thức TCP/IP.

Hping2 và Hping3 được dùng cho mục đích gì?

Kiểm tra an ninh và kiểm thử firewall, mạng.

Hping2 và Hping3 chạy trên những hệ điều hành nào?

Windows và Linux.

Hping3 có quan hệ như thế nào với Hping2?

Hping3 là công cụ dòng lệnh viết bằng ngôn ngữ TCL và tương thích với Hping2.

Các kỹ thuật quét cổng được slide liệt kê là gì?

TCP Connect Scan; Stealth Scan; SYN/ACK/FIN Scan; Xmas Scan; NULL Scan; IDLE Scan; Inverse Mapping Scan.

TCP Connect Scan phát hiện cổng mở bằng cách nào?

Hoàn thành TCP Three-Way Handshake.

TCP Connect Scan kết thúc kết nối bằng cách nào?

Sau khi thiết lập kết nối đầy đủ, gửi một gói RST để hủy kết nối.

Stealth Scan còn được gọi là gì?

Half-open Scan.

Mục đích của Stealth Scan là gì?

Vượt qua quy tắc firewall và cơ chế ghi log; che giấu hoạt động như lưu lượng mạng thông thường.

Trong Stealth Scan, client gửi gói nào đầu tiên?

Một gói SYN tới cổng thích hợp của server.

Trong Stealth Scan, phản hồi nào cho biết cổng mở?

Server trả về gói SYN/ACK.

Trong Stealth Scan, phản hồi nào cho biết cổng đóng?

Server trả về gói RST.

Trong Stealth Scan, client làm gì sau khi nhận SYN/ACK?

Gửi gói RST để đóng kết nối trước khi kết nối được thiết lập hoàn chỉnh.

Xmas Scan gửi gói TCP với các cờ nào được bật?

FIN; URG; PSH.

Trong Xmas Scan, kết quả nào biểu thị cổng mở và cổng đóng?

Không phản hồi biểu thị cổng mở; phản hồi RST biểu thị cổng đóng.

Xmas Scan chỉ hoạt động với hệ thống TCP/IP tuân theo tiêu chuẩn nào?

RFC 793.

Xmas Scan có hoạt động trên các phiên bản Microsoft Windows hiện tại không?

Không.

FIN Scan gửi gói TCP với cờ nào được bật?

Chỉ bật cờ FIN.

Trong FIN Scan, kết quả nào biểu thị cổng mở và cổng đóng?

Không phản hồi biểu thị cổng mở; phản hồi RST/ACK biểu thị cổng đóng.

FIN Scan chỉ hoạt động với hệ thống TCP/IP tuân theo tiêu chuẩn nào?

RFC 793.

FIN Scan có hoạt động trên các phiên bản Microsoft Windows hiện tại không?

Không.

NULL Scan gửi gói TCP với trạng thái cờ như thế nào?

Không bật bất kỳ cờ TCP nào.

Trong NULL Scan, kết quả nào biểu thị cổng mở và cổng đóng?

Không phản hồi biểu thị cổng mở; phản hồi RST/ACK biểu thị cổng đóng.

NULL Scan chỉ hoạt động với hệ thống TCP/IP tuân theo tiêu chuẩn nào?

RFC 793.

NULL Scan có hoạt động trên các phiên bản Microsoft Windows hiện tại không?

Không.

SYN/FIN Scanning Using IP Fragments có phải là một phương pháp quét hoàn toàn mới không?

Không; đây là sự sửa đổi của các phương pháp trước đó.

SYN/FIN Scanning Using IP Fragments chia TCP header thành nhiều gói nhằm mục đích gì?

Làm cho bộ lọc gói không thể phát hiện ý định của các gói.

UDP Scan có sử dụng TCP Three-Way Handshake không?

Không.

Trong UDP Scan, dấu hiệu nào cho biết cổng UDP có thể đang mở?

Hệ thống không phản hồi.

Trong UDP Scan, dấu hiệu nào cho biết cổng UDP đóng?

Nhận thông báo ICMP Port Unreachable.

Inverse TCP Flag Scanning gửi các loại gói thăm dò nào?

Gói có các cờ FIN, URG hoặc PSH; hoặc gói không bật cờ.

Trong Inverse TCP Flag Scanning, kết quả nào biểu thị cổng mở và cổng đóng?

Không phản hồi biểu thị cổng mở; phản hồi RST/ACK biểu thị cổng đóng.

ACK Flag Scanning gửi loại gói nào?

Gói thăm dò ACK với số sequence ngẫu nhiên.

Trong ACK Flag Scanning, không có phản hồi biểu thị điều gì?

Cổng bị lọc và có stateful firewall.

Trong ACK Flag Scanning, phản hồi RST biểu thị điều gì?

Cổng không bị lọc.

Nmap là gì?

Công cụ mã nguồn mở miễn phí dùng để khám phá mạng.

Quản trị viên mạng sử dụng Nmap cho những mục đích nào?

Kiểm kê mạng; quản lý lịch trình nâng cấp dịch vụ; giám sát thời gian hoạt động của host hoặc dịch vụ.

Kẻ tấn công có thể dùng Nmap để thu thập những thông tin nào?

Host đang hoạt động; dịch vụ và phiên bản; hệ điều hành; loại bộ lọc gói hoặc firewall.

Các công cụ quét khác được slide nêu là gì?

NetScanTools Pro; Global Network Inventory Scanner; AWPSP UDP Scanner; Net Tools Suite Pack; AWPTA; Advanced Port Scanner; MegaPing; Netifera; Network Inventory Explorer.

Biện pháp đối phó quét cổng tại firewall là gì?

Chặn các cổng không cần thiết tại firewall.

Firewall và IDS nên được cấu hình như thế nào để chống quét?

Cấu hình các quy tắc để phát hiện và chặn gói thăm dò.

Biện pháp dùng bộ quy tắc tùy chỉnh để chống quét là gì?

Dùng custom rule set để khóa chặt mạng.

Biện pháp nào giúp giảm thông tin mà hoạt động quét có thể thu được?

Ẩn thông tin nhạy cảm khỏi tầm nhìn công khai.

LANsurveyor được dùng để làm gì?

Tự động phát hiện mạng và tạo lược đồ mạng toàn diện, dễ xem.

LANsurveyor có thể thực hiện những chức năng nào liên quan đến cấu trúc mạng?

Tự động phát hiện và vẽ topology; tạo lược đồ trong Microsoft Visio; phát hiện thiết bị mới và thay đổi topology.

LANsurveyor có thể hỗ trợ quản lý những nội dung nào?

Quản lý kiểm kê tài sản phần cứng và phần mềm; hỗ trợ đáp ứng yêu cầu tuân thủ.

Các công cụ vẽ lược đồ mạng được slide nêu là gì?

LANState; Insightix Visibility; FriendlyPinger; Ipsonar; CartoReso; Lan-Secure Switch Center; HP OpenView Network Node Manager; NetMapper.

Proxy Server là gì?

Một máy tính mạng đóng vai trò trung gian để kết nối với các máy tính khác.

Proxy có thể bảo vệ mạng cục bộ như thế nào?

Hoạt động như firewall để bảo vệ mạng cục bộ khỏi truy cập bên ngoài.

Proxy hoạt động như một IP Address Multiplexer như thế nào?

Cho phép nhiều máy tính kết nối Internet chỉ bằng một địa chỉ IP.

Proxy chuyên dụng có thể lọc loại nội dung nào?

Nội dung không mong muốn như quảng cáo hoặc tài liệu không phù hợp.

Proxy có thể hỗ trợ người dùng Internet như thế nào?

Cho phép lướt web ẩn danh.

Kẻ tấn công sử dụng Proxy để che giấu điều gì?

Che giấu địa chỉ IP nguồn để có thể tấn công mà không dễ bị truy vết pháp lý.

Kẻ tấn công có thể dùng Proxy để tạo dấu vết giả như thế nào?

Xuất hiện trong log của server nạn nhân với địa chỉ nguồn giả là địa chỉ của Proxy.

Kẻ tấn công sử dụng Proxy để truy cập tài nguyên bị giới hạn như thế nào?

Truy cập từ xa các intranet và tài nguyên website vốn bị giới hạn.

Proxy có thể được dùng để chuyển hướng yêu cầu tấn công như thế nào?

Chặn các yêu cầu của kẻ tấn công và truyền tới một đích thứ ba, khiến nạn nhân chỉ thấy địa chỉ Proxy.

Vì sao kẻ tấn công sử dụng nhiều Proxy Server?

Làm cho quản trị viên khó truy tìm nguồn thật của cuộc tấn công.

Proxifier là gì?

Chương trình cho phép ứng dụng mạng không hỗ trợ Proxy hoạt động qua HTTPS, SOCKS Proxy hoặc chuỗi Proxy.

HTTP Tunneling cho phép thực hiện điều gì?

Thực hiện nhiều tác vụ Internet bất chấp các giới hạn do firewall áp đặt.

HTTP Tunneling truyền dữ liệu qua giao thức và cổng nào?

HTTP, cổng 80.

Khi firewall chỉ cho phép cổng 80 và 443, HTTP Tunneling có thể hỗ trợ kết nối FTP như thế nào?

Đóng gói các gói FTP bên trong giao thức HTTP để truyền qua firewall.

Các công cụ Proxy được slide nêu là gì?

Proxy Commander; GProxy; Protoport Proxy Chain; Proxy+; FastProxySwitch; ProxyFinder; ProxyFinder Enterprise; Proxy-Pro Professional GateKeeper.

Anonymizer là gì?

Công cụ loại bỏ thông tin nhận dạng khỏi máy tính người dùng khi người dùng truy cập Internet.

Anonymizer làm cho hoạt động trên Internet có đặc điểm gì?

Không thể bị truy vết.

Anonymizer cho phép vượt qua điều gì?

Website bị kiểm duyệt hoặc giới hạn nội dung trên Internet.

Các lý do sử dụng Anonymizer được slide nêu là gì?

Bảo đảm quyền riêng tư và ẩn danh; vượt IDS và firewall; chống tấn công trực tuyến; truy cập nội dung bị chính phủ giới hạn.

Các công cụ Anonymizer được slide nêu là gì?

Mowser; Anonymous Web Surfing Tool; Hide Your IP Address; JAP Anonymity and Privacy; Anonymizer; The Cloak; IDsecure; Guardster.

IP Spoofing là gì?

Thủ tục thay đổi địa chỉ IP của kẻ tấn công để xuất hiện như một người khác.

Khi nạn nhân phản hồi địa chỉ IP giả thì phản hồi đi đâu?

Đi tới địa chỉ bị giả mạo, không đi tới địa chỉ thật của kẻ tấn công.

Có thể hoàn thành TCP Three-Way Handshake bằng cách giả mạo địa chỉ IP không?

Không; không thể mở thành công kết nối TCP bằng địa chỉ IP giả.

Direct TTL Probes phát hiện IP Spoofing như thế nào?

Gửi gói tới host được khai báo; nếu TTL trong phản hồi khác TTL của gói đang kiểm tra thì đó là gói giả mạo.

Direct TTL Probes hoạt động hiệu quả khi nào?

Khi kẻ tấn công ở subnet khác.

Kỹ thuật IP Identification Number phát hiện IP Spoofing như thế nào?

Nếu IP ID trong phản hồi không phải giá trị kế tiếp của gói đang kiểm tra thì đó là gói giả mạo.

Kỹ thuật IP Identification Number có thể hoạt động khi kẻ tấn công ở đâu?

Ngay cả khi kẻ tấn công ở cùng subnet.

TCP Flow Control Method phát hiện gói giả mạo dựa trên điều gì?

Kẻ gửi gói giả không nhận ACK của mục tiêu và không phản hồi bằng SYN/ACK.

Dấu hiệu gói có thể bị giả mạo theo TCP Flow Control Method là gì?

Nguồn vẫn tiếp tục gửi sau khi initial window size đã cạn.