Kiểm tra mạng cục bộ bằng Nmap và Wireshark Đây là một trong những cách hiệu quả nhất để hiểu điều gì thực sự đang xảy ra trong cơ sở hạ tầng của bạn, phát hiện các dịch vụ bị phơi nhiễm quá mức và xem thông tin nào mà kẻ tấn công có thể nhìn thấy nếu chúng xâm nhập vào phân đoạn mạng của bạn. Đây là hai công cụ đã được khẳng định, được cả quản trị viên và chuyên gia kiểm thử xâm nhập sử dụng rộng rãi. Khi được kết hợp hiệu quả, chúng cho phép bạn chuyển từ việc chỉ xem ảnh chụp nhanh các cổng đang mở sang phân tích chi tiết từng gói dữ liệu đang được truyền tải.
Trong bài viết này, chúng ta sẽ cùng nhau... Mọi thứ bạn cần để thiết lập một cuộc kiểm toán hoàn chỉnh Từ mạng cục bộ: từ các khái niệm về quét cổng, cờ TCP và các loại quét trong Nmap, đến việc lọc nâng cao với Wireshark để phát hiện các cuộc quét này và chơi trò mèo vờn chuột với các kỹ thuật né tránh. Bạn cũng sẽ thấy các ví dụ về môi trường giảng dạy với máy ảo, các bài tập thực hành điển hình (quét ping, quét SYN, quét NULL, MITM với Bettercap), và một số công cụ bổ sung khác hỗ trợ Nmap và Wireshark.
Quét cổng là gì và tại sao nó lại quan trọng trong quá trình kiểm toán?
Quét cổng Đây là một quy trình tự động gửi các gói dữ liệu đến tất cả hoặc một số trong số 65.535 cổng TCP/UDP trên một hoặc nhiều máy tính để xem cổng nào phản hồi và phản hồi như thế nào. Từ những phản hồi này, chúng ta có thể suy ra dịch vụ nào đang hoạt động, hệ điều hành nào có thể đang chạy, và thậm chí cả việc có tường lửa nào đang lọc dữ liệu hay không.
Đối với kẻ tấn công, việc quét cổng hiệu quả là cách để... Xác định các “điểm xâm nhập” và điểm yếu.Điều này bao gồm các dịch vụ được cấu hình sai, các phiên bản lỗi thời với các lỗ hổng đã biết, hoặc các giao thức mở như Telnet, FTP hoặc HTTP. Đối với quản trị viên hoặc kiểm toán viên, cùng một quá trình quét sẽ cho thấy những gì đang bị phơi bày, những gì cần được tắt và những gì cần được bảo vệ tốt hơn.
Điều quan trọng là phải làm rõ rằng Việc mở nhiều cổng hơn mức cần thiết là một ý tưởng không hay.Nhiều bộ định tuyến, máy chủ hoặc ứng dụng có thể để các cổng mở "chỉ vì lý do nào đó", hoặc vì ai đó đã mở chúng để thử nghiệm và không ai đóng chúng lại. Quét mạng của chính bạn bằng Nmap giúp bạn có được danh sách chính xác về những gì có thể truy cập được từ bên trong hoặc bên ngoài.
Ngoài việc kiểm kê, điều quan trọng là Sử dụng tường lửa và hệ thống phát hiện xâm nhập. Các bộ lọc này sẽ lọc các truy cập không mong muốn và ghi lại các nỗ lực kết nối đáng ngờ. Và tất nhiên, hãy luôn cập nhật hệ thống, bộ định tuyến và dịch vụ để giảm thiểu tác động của bất kỳ cổng nào mà vì lý do kinh doanh, bạn bắt buộc phải giữ mở.
Nmap là gì và nó có thể làm gì trên mạng cục bộ?
Nmap (Trình lập bản đồ mạng) Đây là một tiện ích mã nguồn mở miễn phí được thiết kế để phát hiện các thiết bị trên mạng, phân tích các cổng mà chúng đang mở và các dịch vụ nào đang hoạt động ngầm. Nó chạy thông qua dòng lệnh trên Linux, Windows và macOS, và có giao diện đồ họa tùy chọn gọi là Zenmap.
Với Nmap, bạn có thể Phát hiện các máy chủ cả trên mạng cục bộ và trên Internet.: máy tính, bộ định tuyến, bộ chuyển mạch, thiết bị IoT, máy chủ, v.v. Ngoài việc liệt kê các cổng đang mở hoặc bị chặn, nó còn có thể cố gắng xác định hệ điều hành, phiên bản của các dịch vụ và khởi chạy các tập lệnh bảo mật (NSE) để tự động hóa việc kiểm thử xâm nhập.
Một trong những tính năng quan trọng nhất của nó là hỗ trợ cho các loại quét khác nhauNó hỗ trợ TCP (SYN, connect, FIN, NULL, Xmas…), UDP, ICMP và một số phương thức nâng cao hơn nhằm mục đích vượt qua một số tường lửa. Nó cũng cho phép làm việc với IPv4 và IPv6, và quét các máy chủ đơn lẻ, dải IP hoặc toàn bộ mạng con.
Một trong những điểm mạnh của Nmap là... Nó cho phép quét một lượng lớn mục tiêu. Nó hoạt động khá hiệu quả. Nó có thể kiểm soát mức độ mạnh mẽ, tốc độ truyền gói dữ liệu và mức độ song song. Điều này hữu ích cho cả việc kiểm toán mạng doanh nghiệp theo kế hoạch và cho các mô phỏng trong phòng thí nghiệm giảng dạy.
Trạng thái cổng và loại quét trong Nmap
Khi Nmap hoàn tất quá trình quétNó phân loại mỗi cảng vào một trong số các trạng thái quan trọng cần hiểu, bởi vì việc giải thích chúng là nền tảng cho cuộc kiểm toán:
- mởCó một ứng dụng đang chấp nhận kết nối trên cổng đó (TCP hoặc UDP). Đây là một điểm yếu dễ bị tấn công.
- đóng cửaCổng đang phản hồi, nhưng không có dịch vụ nào đang lắng nghe. Máy chủ vẫn hoạt động, nhưng cổng cụ thể đó không cung cấp bất kỳ lưu lượng truy cập nào. Lý tưởng nhất là nên chặn nó bằng tường lửa.
- đã lọcTường lửa hoặc bộ lọc ngăn Nmap xác định xem nó đang mở hay đóng (không có câu trả lời rõ ràng).
- mở|đã lọcKhông thể biết liệu nó đang mở hay bị lọc, điều này thường xảy ra trong một số kiểu quét UDP hoặc TCP đặc biệt (FIN, NULL, Xmas).
- đóng|đã lọcTrạng thái không rõ ràng được sử dụng trong các kỹ thuật rất đặc thù như quét IP rảnh rỗi.
Trong một cuộc kiểm toán thực tế, chúng ta thường bắt đầu với... Quét nhanh các cổng phổ biến nhất Để có được bức ảnh đầu tiên:
nmap 192.168.1.2
Nếu chúng ta muốn dốc toàn lực, điều đó hoàn toàn có thể. Quét bắt buộc tất cả 65.535 cổng Từ máy chủ:
nmap -p 1-65535 192.168.1.2
Việc giới hạn phạm vi xuống các cổng hoặc khối cụ thể mà chúng ta quan tâm cũng rất phổ biến. Ví dụ: từ 20 đến 200:
nmap -p 20-200 192.168.1.2
Ngoài việc hiển thị trạng thái cổng, Nmap còn cho phép bạn thực hiện các thao tác khác như sau: phát hiện hệ điều hành và phiên bản dịch vụ Chỉ với một lệnh duy nhất, nhưng sẽ tạo ra âm thanh lớn hơn một chút:
nmap -A -v 192.168.1.2
Việc nhận diện hệ điều hành này không hoàn hảo, nhưng nhìn chung khá chính xác. Trong thế giới Linux, việc xác định chính xác kiểu máy và phiên bản cụ thể lại là một câu chuyện hoàn toàn khác.
Các cờ TCP, các loại quét và cách phát hiện chúng.
Nmap tận dụng các cờ TCP khác nhau. (SYN, ACK, FIN, RST, PSH, URG…) được sử dụng để thực hiện các cuộc quét ít nhiều mang tính bí mật. Ví dụ, trong các cuộc thi kiểu CTF, việc sử dụng quét SYN "bí mật" là khá phổ biến. Trong môi trường phòng thủ, việc nhận biết các mẫu này trong nhật ký hoặc Wireshark rất hữu ích.
Để hiểu được kết quả chụp chiếu, bạn cần nắm rõ các yếu tố sau: Quá trình bắt tay TCP cổ điểnSYN → SYN/ACK → ACK. Từ đó, có thể chơi các biến thể gửi hoặc không gửi các cờ nhất định và ngắt kết nối bằng lệnh RESET thay vì kết thúc chu kỳ bình thường.
Nhiều giải thích gán giá trị số cho các cờ TCP để chúng có thể được cộng lại và lọc. Ví dụ:
| Đầu giường | lòng can đảm |
|---|---|
| SYN | 1 |
| SYN/ACK | 2 |
| ACK | 4 |
| DỮ LIỆU | 8 |
| FIN | 16 |
| Đặt lại | 32 |
Với phương pháp mã hóa này, ví dụ, người ta có thể sử dụng trường này trong Wireshark. tcp.completeness và lọc theo tổng số cờ xuất hiện trong một luồng cụ thể để xác định các mẫu quét.
Quá trình bắt tay TCP đầy đủ (quét kết nối)
Trong quá trình quét "toàn diện" bằng Nmap (còn được gọi là...) Quét kết nối TCP, Lựa chọn -sT), máy khách thiết lập toàn bộ kết nối với máy chủ: SYN → SYN/ACK → ACK và, sau khi trao đổi một số lưu lượng, nó đóng kết nối bằng lệnh RESET hoặc lệnh FIN thông thường.
Nếu bạn ghi lại chuỗi này trong Wireshark và cộng tổng các giá trị cờ theo bảng trên (ví dụ: SYN + SYN/ACK + ACK + RESET), bạn có thể lọc bằng cách sử dụng tcp.completeness = 39 Xác định vị trí các kết nối đã được thiết lập và bị ngắt hoàn toàn.
Loại quét này dễ phát hiện nhất vì... Nó để lại dấu vết trong nhật ký dịch vụ. (web, FTP, Telnet, IMAP, v.v.) và trong các tệp nhật ký hệ thống. Trong một phòng thí nghiệm điển hình, nếu bạn đang chạy rsyslog, bạn sẽ thấy các thông báo trong /var/log/syslog, /var/log/auth.log, /var/log/daemon.log và các dịch vụ tương tự khi Nmap hoàn tất quá trình bắt tay với các dịch vụ như... in.fingerd, inetd, telnetd, ftpd, dovecot o postfix/smtpd.
Quét “bí mật” SYN
El Quét SYN hoặc quét "bí mật" (tùy chọn -sSĐây là một trong những phương pháp được sử dụng phổ biến nhất vì nó nhanh và về nguyên tắc, ít gây chú ý hơn. Ở đây, Nmap gửi tín hiệu SYN. Nếu cổng mở, máy chủ sẽ phản hồi bằng SYN/ACK, và thay vì trả lời bằng ACK để hoàn tất kết nối, trình quét sẽ ngắt kết nối bằng RESET.
Theo quan điểm của Wireshark, trình tự điển hình của một cổng mở sẽ là: SYN → SYN/ACK → RST, có tổng số cờ theo sơ đồ trước đó là (1 + 2 + 32) = 35. Lọc theo giá trị đó của tcp.completeness Có thể xác định được các kết nối trông giống như các cuộc quét SYN mà không có quá trình bắt tay hoàn chỉnh.
Ở cấp độ nhật ký ứng dụng, phương pháp này kín đáo hơn vì Hầu hết các dịch vụ đều không ghi nhận được phiên hoạt động.Tuy nhiên, nếu hệ thống có các quy tắc tường lửa ghi nhật ký các gói SYN khởi tạo kết nối, thì các mục ghi lại nỗ lực kết nối sẽ xuất hiện.
Quét NULL và các kiểu quét "kỳ lạ" khác
Một kỹ thuật kinh điển khác là Quét NULL (tùy chọn -sN), trong đó Nmap gửi các gói TCP mà không có bất kỳ cờ nào được kích hoạt. Mặc dù nghe có vẻ lạ, nhưng một số ngăn xếp TCP phản ứng khác nhau với các cổng mở hoặc đóng, cho phép Nmap suy ra trạng thái của cổng.
Trong quá trình quét NULL, Nếu cổng bị đóng, nó thường trả về tín hiệu RST.Nếu cổng đang mở hoặc bị lọc, nó có thể không phản hồi. Để phát hiện điều này bằng Wireshark, bạn có thể sử dụng bộ lọc trên... tcp.flags và chỉ giữ lại những phân đoạn có tất cả các cờ được đặt về 0.
Tương tự như vậy, chúng ta có các phương pháp quét như sau: Quét Giáng sinh (FIN + PSH + URG), quá trình quét FIN hoặc các tổ hợp tương tự, cố gắng khai thác những điểm khác biệt của tiêu chuẩn TCP hoặc các triển khai cụ thể để phát hiện các cổng mà không tuân theo các mô hình bắt tay thông thường.
Kiểm soát kích thước cửa sổ như một gợi ý của Nmap
Một tính năng khác có thể được sử dụng để phát hiện các cuộc quét là... Kích thước cửa sổ TCPKích thước cửa sổ là lượng dữ liệu mà máy chủ thông báo nó có thể nhận được. Một số phiên bản Nmap sử dụng các giá trị cố định cho một số loại quét.
Ví dụ, trong một lần quét SYN tiêu chuẩn của Nmap, người ta thường thấy... Gói tin SYN có kích thước cửa sổ là 1024 byte.Trong khi đó, ở các kết nối "bình thường" của một hệ thống cụ thể, các giá trị khác nhau được sử dụng (chẳng hạn như 64240 hoặc 65535, tùy thuộc vào hệ điều hành và cấu hình).
Trong Wireshark, bạn có thể áp dụng bộ lọc như sau: tcp.window_size == 1024 Kết hợp với một số cờ nhất định để xác định các mẫu đáng ngờ. Là một kẻ tấn công hoặc chuyên gia kiểm thử xâm nhập, Nmap cho phép bạn sửa đổi hành vi này bằng các tham số như... --win để tránh để lại dấu ấn quá rõ ràng.
Phát hiện và phân tích các bản quét Wireshark và các cổng "bất thường".
Wireshark Đây là bộ phân tích giao thức xuất sắc nhất. Trong lĩnh vực an ninh mạng, nó thu thập các gói dữ liệu, giải mã chúng từng lớp một (Ethernet, IP, TCP/UDP, HTTP, TLS, v.v.) và cho phép bạn áp dụng các bộ lọc rất chi tiết để chỉ giữ lại lưu lượng truy cập mà bạn muốn điều tra.
Một cách rất thiết thực để phát hiện các cuộc quét là lọc theo hoạt động tại các cảng bất thườngNếu bạn có một máy chủ web hợp lệ, việc thấy lưu lượng truy cập đến cổng 80 hoặc 443 là điều bình thường. Điều bất thường là việc thấy nhiều lượt truy cập đến các cổng ngẫu nhiên như 1234, 31337 hoặc 4444.
Trong mạng lưới doanh nghiệp, bạn có thể lập danh sách Các cổng “đáng ngờ” liên quan đến các phần mềm độc hại hoặc các công cụ tấn công thường dùng, và lọc trong Wireshark theo các cổng đó để xem có bất kỳ hoạt động dò tìm hoặc kết nối bất ngờ nào không. Điều này có thể được hỗ trợ bởi các bảng tính công khai tổng hợp các cổng liên quan đến phần mềm độc hại và các khung khai thác.
Từ góc độ phòng thủ, Wireshark cũng cho phép Hãy xem các loại quét Nmap khác nhau hoạt động như thế nào. Bạn nên tự mình thực hiện việc này trong phòng thí nghiệm để học cách nhận biết chúng: số lượng gói tin trên mỗi cổng, cờ hiệu, thời gian giữa các gói tin, phản hồi của hệ thống, v.v.
Kết hợp các bộ lọc như tcp.completeness, tcp.flagsSố lượng các cổng khác nhau được truy cập trong thời gian ngắn và kích thước cửa sổ cho phép bạn xây dựng các quy tắc thủ công hoặc lấy cảm hứng cho các quy tắc IDS/IPS.
Thí nghiệm điển hình: quét bằng Nmap và thu thập dữ liệu bằng Wireshark.
Trong nhiều môi trường giáo dục, môi trường mạng ảo hóa với VirtualBox Để thực hành quét và phân tích lưu lượng truy cập mà không gặp rủi ro. Một ví dụ điển hình bao gồm ba máy GNU/Linux trên mạng nội bộ: interno1 (192.168.100.11) interno2 (192.168.100.22) y observador (192.168.100.33), mỗi thiết bị đều có địa chỉ MAC cố định.
Các dịch vụ được để chạy mặc định trên những máy này thường rất nhiều: Apache 2, Telnet, SSH, FTP, Finger, MySQL, SMTP (Postfix), POP3 và IMAP (Dovecot), DNS (BIND)… lý tưởng cho một công cụ quét như Nmap để tìm kiếm một số lượng lớn cổng.
Bước đầu tiên trong phòng thí nghiệm đó thường là Bật rsyslog trên internal1 để ghi lại mọi thứ xảy ra: nó được kích hoạt bằng systemctl enable rsyslog y systemctl start rsyslogDo đó, các tệp nhật ký bắt đầu đầy lên. /var/log như syslog, auth.log, daemon.log o kernel.log.
Từ máy quan sát, một quét ping Sử dụng Nmap để tìm ra các thiết bị đang hoạt động trên mạng 192.168.100.0/24:
nmap -sP 192.168.100.0/24
Sau khi xác định được các máy chủ đang hoạt động (ngoại trừ chính người quan sát), các bản quét thuộc loại này sẽ được thực hiện. Kết nối TCP Kiểm tra từng cổng để xem cổng nào đang mở và dịch vụ nào đang chạy:
nmap -sT -v -T4 192.168.100.11
nmap -sT -v -T4 192.168.100.22
Sau đó, quá trình này được lặp lại với internal1 cộng thêm phát hiện hệ điều hành và phiên bản các dịch vụ:
nmap -sT -O -sV -T4 192.168.100.11
Tiếp theo, nhật ký của interno1 được tham khảo, ví dụ như bằng cách sử dụng lệnh sau: tail -200 /var/log/syslog | lessđể kiểm tra Những hình ảnh quét đó được ghi lại như thế nào? trong các tiến trình nền và dịch vụ khác nhau, và đánh giá cao dấu vết để lại bởi quá trình quét kết nối TCP.
So sánh các phương pháp quét gây tiếng ồn và "lén lút" với tường lửa và nhật ký hệ thống.
Để thấy rõ sự khác biệt về dấu vết giữa các kỹ thuật Nmap khác nhau, trong cùng một phòng thí nghiệm đó... quy tắc iptables trên internal1 ghi lại mọi nỗ lực khởi tạo kết nối TCP (gói SYN với trạng thái NEW) bằng một tiền tố dễ nhận biết:
iptables -A INPUT -i enp0s3 -p tcp \
--tcp-flags SYN SYN -m state --state NEW \
-j LOG --log-prefix "INICIO CONEXION:"
Trong khi tập tin đang được giám sát /var/log/syslog với tail -fTừ phía người quan sát, ba lần quét khác nhau được kiểm tra so với nội bộ1:
- Quét kết nối TCP (
-sTTạo các mục “BẮT ĐẦU KẾT NỐI:” và ghi lại nhật ký các dịch vụ hoàn tất quá trình bắt tay. - Quét SYN (
-sSNó tạo ra các mục “START CONNECTION:”, nhưng hầu hết các dịch vụ không ghi lại phiên kết nối vì quá trình kết nối chưa hoàn tất. - Quét NULL (
-sNNó không kích hoạt cờ SYN, do đó không khớp với quy tắc tường lửa. Tiền tố này không xuất hiện trong nhật ký., khiến nó trở nên kín đáo hơn theo quy định cụ thể đó.
Sự so sánh này giúp chúng ta hiểu rằng Không phải tất cả các loại quét đều được phát hiện bằng cùng một quy tắc. Và với tư cách là người phòng thủ, chúng ta phải vượt ra ngoài phạm vi "chỉ sử dụng SYN" nếu muốn phát hiện thêm những nỗ lực ngụy trang khác.
Từ quét mạng đến tấn công MITM: Bettercap, Wireshark và các dịch vụ mã hóa
Trong phần thứ hai của bài thực hành, máy quan sát được sử dụng để Thực hiện các cuộc tấn công đầu độc ARP và MITM. Sử dụng Bettercap rồi phân tích lưu lượng truy cập đã thu thập bằng Wireshark hoặc chính module đó. net.sniff Dữ liệu này đến từ Bettercap. Mục tiêu là so sánh mức độ rủi ro của các giao thức không mã hóa (Telnet, HTTP) so với các giao thức mã hóa thay thế (SSH, HTTPS).
Trước đó, tính năng hỗ trợ SSL đã được bật trong Apache trên interno2, tạo ra một giấy chứng nhận tự ký với make-ssl-cert để /etc/apache2/ssl/apache.pem, cấu hình default-ssl.conf Để sử dụng tệp đó làm chứng chỉ và khóa, hãy kích hoạt mô-đun SSL bằng cách sử dụng lệnh sau: a2enmod ssl và trang web SSL mặc định với a2ensite default-sslvà khởi động lại Apache.
Bước kiểm tra đầu tiên được thực hiện tshark trong observer Trong khi đó, các phiên Telnet và HTTP được mở từ internal1 đến internal2 bằng cách lắng nghe trên giao diện mạng nội bộ. Vì không có tấn công trung gian (man-in-the-middle attack), lưu lượng truy cập chảy trực tiếp giữa internal1 và internal2, và tshark hầu như không phát hiện thấy luồng dữ liệu này. Điều này chứng tỏ rằng, nếu không có các thủ thuật bổ sung, máy chủ thứ ba trên cùng mạng không phải lúc nào cũng nhìn thấy lưu lượng truy cập từ bên ngoài.
Nếu bạn xem lại bảng ARP cho internal1 và internal2 (arp -n), người ta quan sát thấy mỗi bên liên kết địa chỉ IP của bên kia với địa chỉ MAC thực của họ, trong khi người quan sát chỉ có địa chỉ IP và địa chỉ MAC của họ, mà không có sự can thiệp nào.
Ngộ độc ARP và thu giữ giao thông
Bước tiếp theo là khởi động Bettercap ở chế độ quan sát và kích hoạt các mô-đun. net.recon y net.probe Mục đích là để phát hiện các thiết bị trên mạng và xác minh rằng 192.168.100.11, 192.168.100.22 và 192.168.100.33 xuất hiện cùng với địa chỉ MAC tương ứng của chúng. Giao diện web của Bettercap có thể được kích hoạt tùy chọn, mặc dù điều này không cần thiết cho mục đích thực tế.
Song song đó, nó lại được khởi động. tshark trong observer Để xem các khung ARP nào đang xuất hiện. Các mục tiêu của mô-đun được cấu hình từ bảng điều khiển Bettercap. arp.spoof (nội bộ1 và nội bộ2) và cuộc tấn công được kích hoạt bằng:
set arp.spoof.internal true
set arp.spoof.targets 192.168.100.11,192.168.100.22
arp.spoof on
Đến lúc đó, Bettercap bắt đầu gửi phản hồi ARP sai Đảm bảo với mỗi máy rằng địa chỉ IP của máy chủ khác (internal1 hoặc internal2) tương ứng với địa chỉ MAC của máy quan sát. Có tính đến Câu hỏi 1Các thông báo ARP được gửi đi về cơ bản là các phản hồi "miễn phí" (không được yêu cầu) nhằm cập nhật bộ nhớ đệm ARP của nạn nhân. Kết quả là, trong bảng ARP của internal1 và internal2, địa chỉ IP của máy tính kia bắt đầu trỏ đến địa chỉ MAC 08:00:27:33:33:33 (của máy quan sát), biến nó thành một cuộc tấn công trung gian (man-in-the-middle).
So sánh Telnet, SSH, HTTP và HTTPS trong điều kiện tấn công MITM (Man-in-the-Middle).
Khi chế độ MITM được kích hoạt, mô-đun sẽ được sử dụng. net.sniff từ Bettercap Để ghi lại lưu lượng truy cập giữa internal1 và internal2 vào các tệp .pcap khác nhau tùy thuộc vào dịch vụ đang được kiểm tra, loại trừ ARP bằng bộ lọc:
set net.sniff.filter "not arp"
set net.sniff.output /tmp/telnet.pcap
net.sniff on
Trong khi đó, từ internal1, một phiên Telnet được mở đến internal2 với tên người dùng “username” và mật khẩu “username”, các tệp được liệt kê và phiên kết thúc. Tệp /tmp/telnet.pcap Sau đó, dữ liệu được phân tích bằng Wireshark, và kết quả rất dễ thấy. thông tin xác thực và lệnh dưới dạng văn bản thuần túy theo luồng TCP tương ứng.
Thí nghiệm được lặp lại bằng SSH, lưu lại trong /tmp/ssh.pcapVà lần này, mặc dù quá trình thiết lập kết nối SSH và trao đổi khóa có thể được quan sát thấy, Thông tin tên người dùng và mật khẩu đã được mã hóa.Không thể xem thông tin xác thực trong Wireshark, chỉ có thể xem các khung dữ liệu đã mã hóa.
Điều tương tự cũng áp dụng cho HTTP so với HTTPS: với việc xuất dữ liệu bằng net.sniff sang /tmp/http.pcap, điều hướng bằng Lynx hoặc trình duyệt đồ họa hướng tới http://interno2.ssi.net Nó giữ nguyên các yêu cầu và phản hồi HTTP hoàn toàn có thể đọc được (tiêu đề, cookie, tham số, v.v.). Tuy nhiên, khi lặp lại với https://interno2.ssi.net và phân tích /tmp/https.pcapNgười ta nhận thấy rằng Quá trình bắt tay TLS (ClientHello, ServerHello, chứng chỉ, v.v.) và sau đó chỉ lưu lượng truy cập được mã hóa có nhãn TLS 1.3.
Với bộ lọc trong tay, bạn có thể tập trung ánh nhìn vào... tls Trong Wireshark, hãy theo dõi luồng TCP tương ứng và xác minh rằng, mặc dù tất cả lưu lượng truy cập đều đi qua máy chủ tấn công, không có quyền truy cập vào nội dung văn bản gốc trừ khi anh ta tìm cách phá vỡ hoặc lạm dụng hệ thống mã hóa bằng cách nào đó.
Tùy chỉnh, Nmap NSE và tích hợp với các giải pháp khác.
Một trong những lý do khiến Nmap vẫn mạnh mẽ cho đến ngày nay là mức độ bảo mật cao của nó. tùy biến và tự động hóaỞ cấp độ dòng lệnh, hầu hết mọi thứ đều có thể cấu hình: cổng cụ thể, thời gian chờ, số lần thử lại, mức độ song song, mức độ ẩn danh (các cấu hình T0 đến T5), phân mảnh gói tin, địa chỉ IP và MAC nguồn giả mạo, v.v.
Ngoài ra có Công cụ lập trình kịch bản Nmap (NSE)Hệ sinh thái các tập lệnh này cho phép bạn làm được nhiều hơn là chỉ kiểm tra "cổng mở/đóng". Có các tập lệnh để tấn công vét cạn SSH hoặc FTP, phát hiện cấu hình không an toàn, kiểm tra các lỗ hổng đã biết, lấy banner chi tiết, kiểm tra máy chủ web, Samba, DNS, và nhiều hơn nữa.
Ví dụ, để thực hiện tấn công vét cạn (brute-force attack) vào cổng SSH 22 của một máy chủ cụ thể bằng cách sử dụng hai từ điển, bạn có thể dùng:
nmap -p 22 --script ssh-brute --script-args userdb=usuarios.txt,passdb=claves.txt,ssh-brute.timeout=4s 99.99.99.99
Tương tự, để kiểm tra xem máy chủ FTP có cho phép truy cập ẩn danh hay tấn công dò mật khẩu hay không, có các tập lệnh như... ftp-anon o ftp-brute. Chúng được phóng đi theo dạng xích nối với nhau. -sV -sC hoặc riêng lẻ tùy theo trường hợp.
Một lợi thế khác là Nmap tích hợp rất tốt với các công cụ khác. Kết quả có thể được lưu ở nhiều định dạng (văn bản thuần túy, XML, định dạng hỗ trợ grep, kết hợp với...) -oA) và sau đó cung cấp dữ liệu cho các quá trình xử lý tiếp theo, bảng điều khiển hoặc thậm chí các công cụ như Metasploit, hệ thống kiểm kê hoặc công cụ phân tích tương quan sự kiện.
Ở cấp độ doanh nghiệp, việc triển khai Nmap như một phần của chương trình bảo mật bao gồm việc xác định... chính sách sử dụng, lập kế hoạch quét, phân tích kết quả và cập nhật liên tụcViệc chỉ quét một lần rồi cất vào ngăn kéo không mấy hữu ích; bạn cần phải lặp lại, so sánh và hành động dựa trên những phát hiện đó.
Tóm lại, việc sử dụng Nmap và Wireshark để kiểm tra mạng cục bộ, kết hợp với các công cụ khác, cung cấp một bức tranh rất đầy đủ về cách các dịch vụ hoạt động, những gì thực sự bị lộ và những thông tin mà kẻ tấn công có thể xem hoặc thao túng, cho thấy rõ lý do tại sao nên đầu tư vào mã hóa (SSH, HTTPS), đóng các cổng không cần thiết, cấu hình tường lửa tốt và liên tục giám sát nhật ký và lưu lượng mạng.