Upload
anh-tuan-pham
View
1.115
Download
607
Embed Size (px)
DESCRIPTION
Hping3 tool
Citation preview
Giới thiệu hping tool
-Tool: Hping2 or Hping3
- OS: Linux
-Dowload: http://www.hping.org
-Cài đặt:
- Trên linux: ubuntu, backtrack
apt-get install hping
- trên backtrack đã hỗ trợ hping không cần cài
- Có thể cài gói trực tiếp :
hping-20051105.tar.gz
Nội dung
Giới thiệu hping tool
Các lựa chọn
Ý nghĩa dòng lệnh
Hạn chế
Demo
Giới thiệu hping tool
Hping là command-line hướng kết nối
TCP/IP. Ngoài gửi các yêu cầu ICMP
echo. Nó còn hỗ trợ các giao thức TCP,
UDP, ICMP, chế độ traceroute
Hping <option> <target>
Giới thiệu hping tool
Port Scanning
- TCP SYN Scan
Vidu:Hping2 –S 192.168.16.222 –p 80 –c 1
- TCP ACK Scan
Thực hiện thiết lập cờ ACK trong các gói tin thăm dò
- Các kiểu scan khác
Giới thiệu hping tool
ICMP Ping (-1)
Icmp loai 13 (timestamp) : yêu cầu thời gian trên hệ
thống, xem múi thời gian tại vụ trí của hệ thống –C
13
Icmp loại 17 (address mask request) netmask của
thẻ mạng có thể xác định rõ tất cả các mạng cấp
dưới đang được sử dụng –C 17
TCP Ping (-S)
UDP Ping (-2)
Scan mode –scan (-8)
Các option
Kiểm tra ICMP
Hping2 -1 target
Traceroute sử dụng ICMP. Giống với tracert trong
windows và linux sử dụng các gói icmp tăng mỗi lần
một giá trị TTL của nó
Hping2 –traceroute –V -1 target
Traceroute xác định cổng để xem nơi gói tin của bạn bị
chặn.
Hping2 –traceroute –V –S –p 80 0daysecurity.com
Các option
Kiểu khác của port scanning. Chúng ta sẽ thử FIN scan.
Trong kết nối TCP cờ FIN flag được sử dụng bắt đầu
một kết nối thường xuyên. Nếu chúng ta không nhận
được trả lời thì cổng đó mở. Thôngthường tường lửa sẽ
gửi một gói tin RST ACK để báo hiệu rằng cổng đó
đóng
Hping2 -c 1 –V –p 80 –F 0daysecurity.com
ACK Scan. Có thể được sử dụng để xem nếu một host
còn sống (khi ping bị chặn). Điều này sẽ gửi phản hồi
RST trở lại nếu cổng được mở.
Hping2 -c 1 –V –p 80 –A 0daysecurity.com
Các option
Xmas Scan: thiết lập thứ tự số 0 và thiết lập URG + PSH
+ cờ FIN trong gói tin. Cổng đóng nếu các thiết bị mục
tiêu gửi gói tin TCP RST. Cổng mở nếu target loại bỏ
quét TCP Xmas, gửi không trả lời.
Hping2 –c 1 –V –p 80 –M 0 0daysecurity.com
Null Scan: thiết lập là 0, không có cờ flag thiết lập trong
gói tin. Nếu TCP port đóng, thiết bị gửi gói tin TCP RST
reply. Nếu TCP port mở, mục tiêu loại bỏ quét TCP
NULL , gửi không trả lời.
Hping2 -c 1 –V –p 80 –Y 0daysecurity.com
Ý nghĩa dòng lệnh
len=46 ip=192.168.1.1 flags=RA DF seq=0 ttl=255 id=0 win=0
rtt=0.4 ms
Len:Kích cỡ, bằng bytes của data có được từ data link layer
Ip:Địa chỉ ip nguồn
Flags:The TCP flags: R for RESET, S for SYN, A for ACK, F for
FIN, P for PUSH, U for URGENT
DF:Nếu sự trả lời bao hàm cả DF, IP Header có "don't fragment"
được đặt
seq :Số lượng gói thu được sử dụng nguồn chuyển cho TCP/UDP
packets hoặc sequence field cho ICMP packet.
Id:lĩnh vực IP ID
Win:kích thước cửa sổ TCP
Ý nghĩa dòng lệnh
Rtt:Thời gian khứ hồi tính bằng mili-giây
Nếu bạn chạy hping sử dụng "-V" +"dòng lệnh", nó sẽ trình bày về
gói bổ xung. Chẳng hạn:
len=46 ip=192.168.1.1 flags=RA DF seq=0 ttl=255 id=0 win=0
rtt=0.4 ms tos=0 iplen=40 seq=0 ack=1223672061 sum=e61d
urp=0
Tos:Kiểu dịch vụ trong IP Header
Iplen:IP total len field
seq and ack:Sự nối tiếp những số 32bit và sự ghi nhận trong IP
Header
Sum:Tổng kiểm tra IP Header
urp:Giá trị khẩn cấp trong TCP
Hạn chế
Không thể dùng được script để phát hiện
điểm yếu
Không có giao diện cho hệ điều hành
window.
Các option cũng tương tự như trong nmap.
Demo Kết hợp nmap và wireshack để phân tích gói tin
Demo
attacker sẽ gửi đến zombie gói SYN/ACK
và chờ gói RST, attacker ghi nhận lại IPID
Demo
attacker dùng IP zombie (giả IP) gửi packet SYN đến
target cần quét port. Nếu target mở port sẽ gửi trả lại
zombie SYN/ACK. Zombie nhận packet SYN/ACK lần
2 cũng sẽ trả lời với RST nhưng giá trị IPID tăng 1
Demo
attacker gửi lại SYN/ACK đến zombie. Nếu IPID tăng
nghĩa là port target mở, còn không nghĩa là trước đó
zombie nhận RST từ target->port đóng
1.Từ packet 65 đến 73 là quá trình nmap khảo sát trước IPID của
zombie. Nmaps gửi liên tục SYN/ACK và chờ RST để ghi lại IPID. IPID
tăng.
hinh2
hinh3
Từ packet 77 đén 84 Nmap giả lập Targer mở port, nó dùng IP Targer
thử xem IPID có vẫn tiếp tục tăng nếu trả Target gửi SYN/ACK.
hinh4
hinh5
hinh6
3.Packet 85,86 là để kiểm tra lại sau khi giả lập Targer mở port. Nmap gửi
SYN/ACK. IPID lúc này là 5362
hinh7
4.Sau khi kiểm tra mọi thứ hoạt động tốt, nmap bắt đầu SYN Targer với IP
của zombie: packet 88 đến 90. Do mở port nên Target trả lời SYN/ACK cho
zombie (packet 89), zombie trả lời RST và IPID tăng 5369 (packet 90)
hinh8
hinh9
5. Packet 91, 92 nmap kiểm tra lại IPID: 5365 = kết luận port mở.