Trong phần này mình sẽ giới thiệu về một số vấn đề sau:
- Giới thiệu Ping Sweep.
- Công cụ Ping Sweep trên Linux.
- Công cụ Ping Sweep trên Windows.
- Phân tích gói tin.
Giới thiệu về Ping Sweep
Ping Sweep hay Ping Scan là kỹ thuật cho phép kẻ thứ 3 có thể xác định được hệ thống có đang "sống" hay không. Bản chất của quá trình này là gửi một ICMP Echo Request đến máy chủ mà kẻ thứ 3 đang muốn tấn công và mong đợi một ICMP Reply. Trong phần này mình sẽ sử dụng 2 công cụ để thực hiện Ping Sweep là fping và Solarwinds.
Công cụ fping
Fping là một công cụ bảo mật được phát triển trên hệ điều hành nhân Linux, là bộ công cụ có nhiều công dụng mạnh mẽ, trong đó có Ping Sweep. Có thể sử dụng fping để thực hiện kỹ thuật Ping Sweep bằng lệnh sau:
$ fping -g 192.168.58.0/24
192.168.58.1 is alive
192.168.58.101 is alive
192.168.58.102 is alive
ICMP Host Unreachable from 192.168.58.101 for ICMP Echo sent to 192.168.58.2
ICMP Host Unreachable from 192.168.58.101 for ICMP Echo sent to 192.168.58.3
ICMP Host Unreachable from 192.168.58.101 for ICMP Echo sent to 192.168.58.4
ICMP Host Unreachable from 192.168.58.101 for ICMP Echo sent to 192.168.58.5
ICMP Host Unreachable from 192.168.58.101 for ICMP Echo sent to 192.168.58.6
ICMP Host Unreachable from 192.168.58.101 for ICMP Echo sent to 192.168.58.7
ICMP Host Unreachable from 192.168.58.101 for ICMP Echo sent to 192.168.58.8
ICMP Host Unreachable from 192.168.58.101 for ICMP Echo sent to 192.168.58.9
ICMP Host Unreachable from 192.168.58.101 for ICMP Echo sent to 192.168.58.10
ICMP Host Unreachable from 192.168.58.101 for ICMP Echo sent to 192.168.58.11
ICMP Host Unreachable from 192.168.58.101 for ICMP Echo sent to 192.168.58.12
ICMP Host Unreachable from 192.168.58.101 for ICMP Echo sent to 192.168.58.13
ICMP Host Unreachable from 192.168.58.101 for ICMP Echo sent to 192.168.58.14
ICMP Host Unreachable from 192.168.58.101 for ICMP Echo sent to 192.168.58.15
ICMP Host Unreachable from 192.168.58.101 for ICMP Echo sent to 192.168.58.16
Command 2.1: fping trả về 3 host đang up trong vùng mạng.
Công cụ Solarwinds
Solarwinds là bộ công cụ được phát triển cho hệ điều hành Windows, cần thiết cho công việc của một kỹ sư quản trị mạng để có thể thực hiện được việc giám sát hoạt động cũng như tư vấn hoạt động của hệ thống mạng. Bộ công cụ bao gồm các giải pháp tốt nhất để bạn có thể thực hiện việc quản trị mạng một cách chính xác và đơn giản nhất.
Chức năng Ping Sweep trong Solarwinds:
- Bước 1: Chọn tab Network Discovery
- Bước 2: Chọn Ping Sweep
- Bước 3: Chỉnh các tùy chọn để tiến hành Ping Sweep. Trong đó:
+ Starting IP Address: là địa chỉ IP bắt đầu để quét ping.
+ Ending IP Address: là địa chỉ IP cuối cùng khi quét ping.
+ Scan For:
All IPs: hiển thị toàn bộ IP
Responding IPs: chỉ hiển thị các IP có kết quả trả về (đang sống)
Non-Responding IPs: chỉ hiển thị các IP không có kết quả trả về (đang chết)
- Bước 4: Bấm Scan
Hình 3.1: Chức năng Ping Sweep trong Solarwinds.
Phân tích gói tin
Sử dụng công cụ wireshark để bắt các gói tin trên card mạng trên Ubuntu Server.
Hình 4.1: Sử dung Ping Sweep để quét toàn bộ vùng mạng.
Có thể thấy được phần nào cách hoạt động của kỹ thuật Ping Sweep khi phân tích các gói tin phía trên.
Trước tiên, máy của bên thứ 3 sẽ liên tục gửi các gói tin qua giao thức ARP thông qua Broadcast đến toàn bộ các máy trong mạng LAN. Ở gói tin đầu tiên, máy sẽ hỏi toàn bộ vùng rằng "Who has 192.168.58.2?", nếu địa chỉ IP đó sống thì sẽ trả về địa chỉ 192.168.58.101 với "Tell 192.168.58.101".
Sau khi nhận được gói tin trả về thì bên thứ 3 sẽ sử dụng giao thức ICMP để xác định địa chỉ IP của host 192.168.58.1 có thực sự sống không.
Hình 4.2: Sử dung gói tin DNS để kiểm tra host.
Ngoài ra, Solarwinds còn cho phép phân tích và phát hiện thêm DNS của địa chỉ IP đó.
Qua quá trình phân tích trên, có thể hiểu được phần nào quá trình hoạt động của kỹ thuật Ping Sweep cũng như sự khác nhau giữa Ping Sweep trên fping và Solarwinds.