[CEH Tiếng Việt] Module 2 – Phần 6: Network footprinting

Bước tiếp theo sau DNS Footprinting là Network Footprinting để thu thập thông tin liên quan đến mạng của mục tiêu như phạm vi, các giá trị TTL, … Thông tin này sẽ giúp ta tạo bản đồ (map) của mạng mục tiêu, xác định network range, phân tích đường đi của mạng,…

Xác định Network Range

Cơ quan Internet Assigned Numbers Authority (IANA) đã dành ba khối của không gian địa chỉ IP cho mạng nội bộ: 10.0.0.0 – 10.255.255.255 (10.0.0.0/8), 172.16.0.0 – 172.31.255.255 (172.16.0.0/12) và 192.168.0.0 – 192.168.255.255 (192.168.0.0/16). Sử dụng range này, attacker có thể lấy được thông tin về kiến trúc mạng, những máy nào trong mạng đang hoạt động, có thể biết được mô hình mạng, thiết bị kiểm soát truy cập.

Để xác định network range của mạng mục tiêu, nhập IP public vào công cụ ARIN Whois. Ví dụ cần tra cứu 207.46.232.182.

Kết quả tìm được network range là 207.46.0.0 – 207.46.255.255.

Traceroute

Route là con đường mà gói mạng đi qua giữa nguồn và đích. Route tracing là một quá trình xác định đường dẫn và máy chủ nằm giữa nguồn và đích. Định tuyến theo dõi mạng cung cấp thông tin quan trọng như địa chỉ IP của máy chủ nằm giữa nguồn và đích, cho phép bạn lập bản đồ cấu trúc liên kết mạng của tổ chức. Traceroute có thể được sử dụng để trích xuất thông tin về cấu trúc liên kết mạng, bộ định tuyến đáng tin cậy, vị trí tường lửa, v.v.

Giới thiệu về Traceroute

Công cụ traceroute được tích hợp sẵn vào hầu hết các hệ điều hành hiện nay. Nó có thể dùng để theo dõi lộ trình di chuyển của gói tin trong mạng, có thể áp dụng trong việc ngăn chặn tấn công Man-in-the-middle hoặc các loại tấn công khác.

Traceroute sử dụng giao thức ICMP và trường Time-to-Live (TTL) trên header của gói tin để xác định đường đi đến mạng đích.

Traceroute có thể theo dõi số lượng bộ định tuyến mà các gói đi qua, thời gian khứ hồi (thời gian chuyển tiếp giữa hai bộ định tuyến), tên của bộ định tuyến và liên kết mạng của chúng. Giá trị TTL cho biết số lượng bộ định tuyến tối đa mà một gói tin có thể đi qua. Mỗi bộ định tuyến xử lý một gói sẽ giảm trường TTL trong ICMP header đi một đơn vị. Khi số lượng đạt đến 0, bộ định tuyến loại bỏ gói và truyền thông báo lỗi ICMP trở về.

Traceroute Analysis

Sau khi thực hiện traceroute một vài lần, attacker sẽ xác định được vị trí của một hop trong mạng đích.

traceroute 1.10.10.20 second to last hop is 1.10.10.1
traceroute 1.10.20.10 third to last hop is 1.10.10.1
traceroute 1.10.20.10 second to last hop is 1.10.10.50
traceroute 1.10.20.15 third to last hop is 1.10.10.1
traceroute 1.10.20.15 second to last hop is 1.10.10.50

Bằng cách phân tích kết quả trên, attacker có thể đoán được mô hình mạng như bên dưới.

Traceroute Tools

Một số công cụ Traceroute tools như Path Analyzer Pro, VisualRoute, Traceroute NG, PingPlotter.

Path Analyzer Pro

Path Analyzer Pro có thể kiểm tra hiệu suất, DNS, Whois của mạng. Attacker sử dụng công cụ này để thu thập những thông tin như hop number, IP address tại các hop, hostname, ASN, percentage loss, độ trễ, độ trễ trung bình của mỗi hop.

Các bạn tải phần mềm về máy, phần mềm này cho phép các bạn 10 ngày dùng thử (trial).

Các bạn đóng cửa sổ này lại và chúng ta có thể sử dụng tiếp. Trong khung bên trái của cửa sổ Path Analyzer Pro, một số mục trong Standard Options được để mặc định. Các bạn chọn vào radio ICMP trong Protocol của Standard Options và Smart trong Length of packet của Advanced Probe Details.

Nếu có firewall, hãy tắt firewall để thực hiện. Trong mục Advanced Tracing Details các bạn chọn Stop on control messages (ICMP) trong mục Advanced Tracing Details.

Nhập hostname vào mục Target, ví dụ như www.google.com, chọn Timed Trace và bấm Trace. Sau khi hoàn thành, kết quả sẽ hiển thị ở tab Report và sẽ tự động vẽ Line chart cho chúng ta quan sát trực quan hơn.

Bấm vào tab Synopsis sẽ hiển thị kết quả tóm tắt:

Bấm vào tab Chart:

Tương tự các bạn có thể xem thông tin ở các tab Geo, Log, Stats, Export để có thêm nhiều thông tin.

VisualRoute

VisualRoute cũng dùng để xác định vị trí địa lý của router, server và các thiết bị IP khác trong mạng đích.

Bài tiếp theo chúng ta sẽ tìm hiểu về các công cụ footprinting nổi tiếng khác như Recon-ng, Maltego, OSRFramework, FOCA hay BillCipher.