 Quét đầu dò cờ ack cũng có thể được sử dụng để kiểm tra hệ thống lọc của mục tiêu.

 Kẻ tấn công gửi một gói thăm dò ack với số thứ tự ngẫu nhiên, không có phản hồi nào có nghĩa
là cổng được lọc (có tường lửa trạng thái) và phản hồi RST có nghĩa là cổng không được lọc.

Quét cờ ACK ( giải thi ́ch thêm )

 Một kỹ thuật lén lút được sử dụng để xác định các cổng TCP mở. Trong kỹ thuật này, một gói
TCP có cờ ACK ON được gửi đến máy chủ từ xa và sau đó thông tin tiêu đề của các gói RST được
gửi bởi máy chủ từ xa được phân tích. Sử dụng kỹ thuật này, người ta có thể khai thác các lỗ
hổng tiềm năng của ngăn xếp TCP / IP có nguồn gốc BSD. Kỹ thuật này cho kết quả tốt khi được
sử dụng với các hệ điều hành và nền tảng nhất định. Quét ACK có thể được thực hiện theo hai
cách:
 Ananlysis trường TTL
 Phân tích trường WINDOW
 Sử dụng giá trị TTL, người ta có thể xác định số lượng hệ thống mà gói TCP đi qua. Bạn có thể
 gửi gói thăm dò ACK với số thứ tự ngẫu nhiên: không có phản hồi nào có nghĩa là cổng được lọc
(hiện có tường lửa đầy đủ) và phản hồi RST có nghĩa là cổng không được lọc,
 nmap -sA -P0 10.10.0.25
 Bắt đầu nmap 5.21 (http://nmap.org) lúc 2010-05-16 12:15 EST
 Tất cả 529 cổng được quét vào ngày 10.10.0.25 là: được lọc
IDLE/IPID HEADER SCANNING
1.Hầu hết các máy chủ mạng lắng nghe trên các cổng TCP, chẳng hạn như máy chủ web trên cổng 80 và
máy chủ thư trên cổng 25. Cổng được coi là "mở" nếu một ứng dụng đang nghe trên cổng

2.Một cách để xác định xem một cổng có mở hay không là gửi gói "SYN" (thiết lập phiên) tới cổng

3.Máy đích sẽ gửi lại gói "SYN | ACK (xác nhận yêu cầu phiên) nếu cổng mở và gói" RST "(RESET) nếu
cổng đóng.

4.Một máy nhận được gói SYN | ACK không được yêu cầu sẽ phản hồi với RST. Một RST không được yêu
cầu sẽ bị bỏ qua.

5. Mỗi gói IP trên Internet đều có số "nhận dạng phân đoạn" (IP ID).

6.Hệ điều hành tăng ID IP cho mỗi gói được gửi, do đó, việc kiểm tra ID IP cung cấp cho kẻ tấn công số
lượng gói được gửi kể từ lần thăm dò cuối cùng

́ thêm )
Quét IDLE ( giải thich
 Quét IDLE là phương pháp quét cổng TCP mà bạn có thể sử dụng để gửi địa chỉ nguồn giả mạo
đến máy tính để tìm hiểu những dịch vụ nào khả dụng và cung cấp quét mù hoàn toàn máy chủ
từ xa. Điều này được thực hiện bằng cách mạo danh một máy tính khác. Không có gói nào được
gửi từ địa chỉ IP của bạn; thay vào đó, một máy chủ khác được sử dụng, thường được gọi là
"zombie" để quét máy chủ từ xa và xác định các cổng mở. Điều này được thực hiện bằng cách
mong đợi số thứ tự của máy chủ zombie và nếu máy chủ từ xa kiểm tra IP của bên quét, IP của
máy zombie sẽ hiển thị.
 Understanding TCP/IP
 Nguồn: http://nmap.org
 Quét IDLE là một phương pháp quét cổng tinh vi. Bạn không cần phải là chuyên gia TCP / IP để
hiểu nó. Bạn cần hiểu các sự kiện cơ bản sau:
 Hầu hết các máy chủ mạng lắng nghe trên các cổng TCP, chẳng hạn như máy chủ web trên cổng
80 và máy chủ thư trên cổng 25. Một cổng được coi là "mở" nếu một ứng dụng đang nghe trên
cổng; nếu không thì nó bị đóng.
 Để xác định xem một cổng có được mở hay không, hãy gửi gói "SYN" của cơ sở phiên tới cổng.
Máy đích đáp ứng với gói xác nhận yêu cầu phiên "SYN | ACK" nếu cổng được mở và gói "RST"
đặt lại nếu cổng bị đóng.
 Một máy nhận được gói SYN | ACK không được yêu cầu đáp ứng với RST. Một RST không mong
muốn được bỏ qua.
 Mỗi gói IP trên Internet đều có số "nhận dạng phân đoạn". Nhiều hệ điều hành chỉ cần tăng số
này cho mỗi gói chúng gửi. Vì vậy, việc thăm dò số này có thể cho kẻ tấn công biết có bao nhiêu
gói đã được gửi kể từ lần thăm dò cuối cùng.
Từ những thực tế này, có thể quét một mạng mục tiêu trong khi giả mạo danh tính của bạn để nó trông
giống như một cỗ máy "zombie" vô tội đã thực hiện quét.

IDLE SCAN: STEP 1

1.Gửi gói SYN + ACK đến máy zombie để thăm dò số IPID của nó.

2.Mỗi gói IP trên Internet đều có số nhận dạng phân đoạn (IPID), tăng lên mỗi khi máy chủ gửi gói IP.

3.zombie không mong đợi gói SYN + ACK sẽ gửi gói RST, tiết lộ IPID.

4.Phân tích RST từ máy zombie để trích xuất IPID

(Giải thi ́ch thêm)

Chọn số "Zombie" và thăm dò cho Số nhận dạng IP hiện tại (IPID) Trong bước đầu tiên, bạn có thể gửi
gói "SYN" của thiết lập phiên hoặc đầu dò IPID để xác định xem một cổng được mở hay đóng. Nếu cổng
được mở, "zombie" sẽ phản hồi với gói xác nhận yêu cầu phiên "SYN | ACK" có chứa IPID của máy chủ từ
xa. Nếu cổng bị đóng, nó sẽ gửi gói "RST" đặt lại. Mỗi gói IP trên Internet đều có số "nhận dạng phân
đoạn", được tăng thêm một cho mỗi lần truyền gói. Trong sơ đồ trên, zombie phản ứng với IPID =
31337.

IDLE SCAN: STEP 2 và 3

Bước 2

 Gửi gói SYN đến máy đích (cổng 80) giả mạo địa chỉ IP của "zombie".
 Nếu cổng được mở, mục tiêu sẽ gửi Gói SYN / ACK cho zombie và trong phản ứng, zombie sẽ gửi
RST đến mục tiêu.
 Nếu cổng bị đóng, mục tiêu sẽ gửi RST tới "zom bie" nhưng zombie sẽ không gửi lại bất cứ thứ
gì.
IDLE Scan: Step 2 and 3
Idle Scan: Bướ c 2

 Gửi SYN gói vào đích máy (cổng 80) spoofing the IP address of the "zombie".
 If the port is open, the target will send SYN + Packet ACK to các zombie và trong câu trả lời được
gửi cho RST to the target.
 Nếu cổng được đóng, đích được gửi lại RST vào "zombie" nhưng zombie sẽ không gửi lại
anything.

Idle Scan : Bước 3

UDP SCANNING

Cổng UDP mở

 Không có bắt tay TCP ba chiều để quét UDP.

 Hệ thống không thể đáp ứng với một thông báo khi cổng này mở.
Cổng UDP đã đóng

 Nếu một gói UDP được gửi đến cổng đóng, thì hệ thống phản hồi với tin nhắn không thể truy
cập cổng ICMP.
 Phần mềm gián điệp, Trojan và các ứng dụng độc hại khác sử dụng cổng UDP

Quét UDP ( giải thi ́ch thêm )

 Cổng UDP Raw ICMP Quét không thể truy cập

 Máy quét cổng UDP sử dụng giao thức UDP thay vì TCP và có thể khó khăn hơn so với quét TCP.
Bạn có thể gửi một gói, nhưng bạn không thể xác định rằng máy chủ còn sống hay đã chết hoặc
được lọc. Tuy nhiên, có một ICMP mà bạn có thể sử dụng để xác định xem các cổng được mở
hay đóng. Nếu bạn gửi gói UDP đến một cổng mà không có ứng dụng nào bị ràng buộc với nó,
ngăn xếp IP sẽ trả về gói không thể truy cập của cổng ICMP. Nếu bất kỳ cổng nào trả về lỗi ICMP,
thì nó sẽ bị đóng, trong khi các cổng không trả lời được mở hoặc được lọc bởi tường lửa.
 Điều này xảy ra bởi vì các cổng mở không phải gửi xác nhận để đáp ứng với đầu dò và các cổng
đóng thậm chí không được yêu cầu gửi gói lỗi.
Gói UDP

 Nguồn: http://nmap.org
 Khi bạn gửi gói đến một cổng UDP đã đóng, hầu hết các máy chủ đều gửi lỗi
ICMP_PORT_UNREACH. Vì vậy, bạn có thể tìm ra nếu một cổng KHÔNG mở. Cả các gói UDP và
lỗi ICMP đều không được đảm bảo, vì vậy các máy quét UDP thuộc loại này cũng phải thực hiện
việc truyền lại các gói có vẻ bị mất. Máy quét UDP giải thích lưu lượng bị mất là cổng mở.
 Ngoài ra, kỹ thuật quét này còn chậm do giới hạn tốc độ thông báo lỗi ICMP là bù cho các máy
áp dụng RFC 1812 phần 4.3.2.8. Một máy chủ từ xa sẽ cần truy cập vào ổ cắm ICMP thô để phân
biệt đóng với các cổng không thể truy cập.

Quét UDP RECVFROM () và WRITE ()

 Trong khi người dùng không root có thể đọc trực tiếp các lỗi không thể truy cập cổng; Linux
thông báo cho bạn một cách gián tiếp khi họ nhận được tin nhắn.
 Thí dụ
 Ví dụ, một lệnh write () thứ hai đến một cổng đóng thường sẽ thất bại. Rất nhiều máy quét,
chẳng hạn như Netcat và Pluvial pscan.c do recvfrom () trên các ổ cắm UDP không chặn, thường
trả về EAGAIN ("Thử lại", errno 13) nếu lỗi ICMP chưa được nhận và ECONNREFUSED ("Kết nối
đã từ chối, "errno 111), nếu có. Đây là kỹ thuật được sử dụng để xác định các cổng mở khi người
dùng không phải root sử dụng -u (UDP). Người dùng root cũng có thể sử dụng các tùy chọn -I
(quét UDP lamer) để buộc điều này.

Lợi thế:

Quá trình quét UDP ít chính thức hơn đối với một cổng mở, do không có chi phí bắt tay TCP. Tuy nhiên,
nếu ICMP đang phản hồi với mỗi cổng không khả dụng, số lượng tổng số khung có thể vượt quá quét
TCP. Các hệ điều hành dựa trên Microsoft thường không thực hiện bất kỳ loại giới hạn tốc độ ICMP nào,
vì vậy quá trình quét này hoạt động rất hiệu quả trên các thiết bị chạy trên Windows.

Bất lợi:

Quét UDP chỉ cung cấp thông tin cổng. Nếu cần thêm thông tin phiên bản, quá trình quét phải được bổ
sung bằng quét phát hiện phiên bản (-sV) hoặc tùy chọn lấy dấu vân tay của hệ điều hành (-0). Quét UDP
yêu cầu quyền truy cập đặc quyền, vì vậy tùy chọn quét này chỉ khả dụng trên các hệ thống có quyền
người dùng phù hợp. Hầu hết các mạng có lưu lượng TCP lớn; kết quả là hiệu quả của việc quét UDP bị
mất. Quá trình quét UDP sẽ xác định vị trí các cổng mở này và cung cấp cho người quản lý bảo mật
thông tin có giá trị có thể được sử dụng để xác định các cuộc xâm lược này mà kẻ tấn công đạt được
trên các cổng UDP mở do ứng dụng phần mềm gián điệp, ngựa Trojan và phần mềm độc hại khác.
Decoy Scan
 Decoy Scan là một kỹ thuật thực hiện một IP Spoofing (giả mạo). Mục đích nhằm ẩn địa chỉ thực
sự của kẻ tấn công (scanner).
 xét ví dụ sau.
 nmap -sS -D 192.168.101.132,192.168.101.133 192.168.101.131
 Sau tham số “-D” là các giá trị IP cụ thể, với mỗi cổng khi scan mục tiêu sẽ nhận đồng thời 3 gói
tin (một từ kẻ tấn công, một từ IP: 192.168.101.132, và một từ IP: 192.168.101.133) (IP:
 192.168.101.131 là IP Target). Kết quả là mục tiêu sẽ phản hồi với cả 3 địa chỉ IP và có sẽ nghĩ
rằng cả 3 IP đang scan mình. Tuy nhiên, khi ta tăng giá trị IP lên hàng trăm IP thì việc tìm ra kẻ
tấn công thực sự là rất khó khăn.

POST SCANNING COUNTERMEASURES

1.Định cấu hình quy tắc tường lửa và IDS để phát hiện và chặn đầu dò

2.Chạy các công cụ quét cổng chống lại các máy chủ trên mạng để xác định xem tường lửa có phát hiện
đúng hoạt động quét cổng hay không.
3.Đảm bảo rằng cơ chế được sử dụng để định tuyến và lọc tại các bộ định tuyến và tường lửa tương ứng
không thể được bỏ qua bằng cách sử dụng các cổng nguồn hoặc phương pháp định tuyến nguồn cụ thể

4. Đảm bảo rằng bộ định tuyến, IDS và phần mềm tường lửa được cập nhật lên các bản phát hành mới
nhất của chúng

5.Sử dụng quy tắc tùy chỉnh được đặt để khóa mạng và chặn các cổng không mong muốn tại tường lửa

6.Lọc tất cả các tin nhắn ICMP (tức là các loại tin nhắn ICMP gửi đến và các tin nhắn không thể truy cập
ICMP loại 3 bên ngoài) tại tường lửa và bộ định tuyến

7.Thực hiện quét TCP và UDP cùng với các đầu dò ICMP đối với không gian địa chỉ IP của tổ chức của bạn
để kiểm tra cấu hình mạng và các cổng có sẵn của nó

8.Đảm bảo rằng các quy tắc chống quét và chống giả mạo được định cấu hình
́ thêm )
Các biện pháp đối phó quét cổng ( giải thich

Như đã thảo luận trước đây, quét cổng cung cấp rất nhiều thông tin hữu ích như địa chỉ IP, tên máy chủ,
cổng mở, v.v. cho kẻ tấn công. Các cổng mở đặc biệt cung cấp một phương tiện dễ dàng cho kẻ tấn công
đột nhập vào bảo mật. Nhưng không có gì phải lo lắng, như bạn

có thể bảo mật hệ thống hoặc mạng của bạn khỏi việc quét cổng bằng cách áp dụng các biện pháp đối
phó sau:

Tường lửa phải đủ tốt để phát hiện các đầu dò mà kẻ tấn công gửi để quét mạng. Vì vậy, tường lửa nên
tiến hành kiểm tra trạng thái nếu nó có một bộ quy tắc cụ thể. Một số tường lửa làm một công việc tốt
hơn so với những người khác trong việc phát hiện quét tàng hình. Nhiều tường lửa có các tùy chọn cụ
thể để phát hiện quét SYN, trong khi những người khác hoàn toàn bỏ qua quét FIN.

Các hệ thống phát hiện xâm nhập mạng nên phát hiện phương pháp phát hiện HĐH được sử dụng bởi
các công cụ như Nmap, v.v. Snort (http: //.snort.org) là một công nghệ phát hiện và ngăn chặn xâm nhập
có thể giúp ích rất nhiều, chủ yếu là vì chữ ký thường có sẵn từ các tác giả công cộng.

Chỉ các cổng cần thiết phải được giữ mở; phần còn lại của các cổng nên được lọc vì kẻ xâm nhập sẽ cố
gắng xâm nhập qua bất kỳ cổng mở nào. Điều này có thể được thực hiện với bộ quy tắc tùy chỉnh. Lọc
các loại tin nhắn ICMP gửi đến và tất cả các tin nhắn không thể truy cập ICMP loại 3 gửi đi tại các bộ định
tuyến biên và tường lửa.

Đảm bảo rằng các cơ chế định tuyến và lọc không thể được bỏ qua bằng cách sử dụng các cổng nguồn
cụ thể hoặc các kỹ thuật định tuyến nguồn.

Kiểm tra không gian địa chỉ IP của riêng bạn bằng cách sử dụng quét cổng TCP và UDP cũng như ICMP
Probes để xác định cấu hình mạng và các cổng có thể truy cập.

Nếu tường lửa thương mại đang được sử dụng, thì hãy đảm bảo rằng tường lửa được vá bằng các bản
cập nhật mới nhất, quy tắc chống giả mạo đã được xác định chính xác và dịch vụ fastmode không được
sử dụng trong môi trường Checkpoint Firewall-1

3.2.3 Scanning Beyond IDS

IDS Evasion Techniques

1.Sử dụng các gói IP bị phân mảnh

2.Giả mạo địa chỉ IP của bạn khi khởi chạy các cuộc tấn công và đánh hơi phản hồi từ máy chủ

3.Use source routing (if possible)

4.Kết nối với máy chủ proxy hoặc máy trojan bị xâm nhập để khởi động các cuộc tấn công
́ thêm )
Kỹ thuật Evasion IDS ( giải thich

 Hầu hết các kỹ thuật trốn tránh IDS dựa vào việc sử dụng các gói thăm dò phân mảnh được lắp
lại khi chúng đến máy chủ đích. Trốn tránh IDS cũng có thể xảy ra với việc sử dụng các máy chủ
giả mạo giả mạo khởi chạy các đầu dò quét mạng.
 Sử dụng các gói IP bị phân mảnh
 Kẻ tấn công sử dụng các phương pháp phân mảnh khác nhau để trốn tránh IDS. Các cuộc tấn
công này tương tự như nối phiên. Với sự trợ giúp của Fragroute, tất cả các gói thăm dò chảy từ
máy chủ hoặc mạng của bạn có thể bị phân mảnh. Nó cũng có thể được thực hiện với sự trợ
giúp của máy quét cổng với tính năng phân mảnh như Nmap. Điều này được thực hiện bởi vì
hầu hết các cảm biến IDS không xử lý được khối lượng lớn các gói bị phân mảnh, vì điều này liên
quan đến mức tiêu thụ CPU và bộ nhớ lớn hơn ở cấp độ cảm biến mạng.
 Sử dụng định tuyến nguồn (nếu có thể)
 Định tuyến nguồn là một kỹ thuật trong đó người gửi gói có thể chỉ định tuyến mà gói sẽ đi qua
mạng. Giả định rằng nguồn của gói biết về bố cục của mạng và có thể chỉ định đường dẫn tốt
nhất cho gói.

SYN/FIN Scanning Using IP Fragments

 Nó không phải là một phương pháp quét mới mà là sửa đổi các phương thức trước đó.
 Tiêu đề TCP được chia thành nhiều gói để các bộ lọc gói không thể phát hiện ra các gói có ý định
làm gì.
( giải thi ́ch thêm )

 Quét SYN / FIN bằng cách sử dụng các đoạn IP là một sửa đổi của các phương pháp quét trước
đó; các gói thăm dò được phân mảnh hơn nữa. Phương pháp này ra đời để tránh dương tính giả
từ các lần quét khác, do một thiết bị lọc gói có trên máy đích. Bạn phải chia tiêu đề TCP thành
nhiều gói thay vì chỉ gửi gói thăm dò để tránh các bộ lọc gói. Mỗi tiêu đề TCP phải bao gồm cổng
nguồn và cổng đích cho gói đầu tiên trong bất kỳ lần truyền nào: (8 octet, 64 bit) và các cờ được
khởi tạo ở phần tiếp theo, cho phép máy chủ từ xa lắp lại gói khi nhận được thông qua mô-đun
giao thức Internet nhận ra các gói dữ liệu bị phân mảnh với sự trợ giúp của các giá trị tương
đương của trường về giao thức, nguồn, đích và nhận dạng.
 Gói rời rạc
Tiêu đề TCP, sau khi chia thành các đoạn nhỏ, được truyền qua mạng. Nhưng, đôi khi bạn có thể
quan sát các kết quả không thể đoán trước, chẳng hạn như phân mảnh dữ liệu trong tiêu đề IP
sau khi lắp lại IP ở phía máy chủ. Một số máy chủ có thể không có khả năng phân tích cú pháp và
tập hợp lại các gói bị phân mảnh và do đó có thể gây ra sự cố, khởi động lại hoặc thậm chí kết
xuất giám sát thiết bị mạng.
 Tường lửa
Một số tường lửa có thể có các bộ quy tắc chặn hàng đợi phân mảnh IP trong kernel (như tùy
chọn CONFIG_IP_ALWAYS_DEFRAG trong nhân Linux), mặc dù điều này không được triển khai
rộng rãi do ảnh hưởng xấu đến hiệu suất. Do một số hệ thống phát hiện xâm nhập sử dụng các
phương pháp dựa trên chữ ký để chỉ ra các nỗ lực quét dựa trên IP và / hoặc các tiêu đề TCP, sự
phân mảnh thường có thể tránh được kiểu lọc và phát hiện gói này. Có khả năng xảy ra sự cố
mạng trên mạng đích.

3.2.4 Banner Grabbing

  Banner Grabbing ngữ hoặc lấy dấu vân tay của hệ điều hành là phương pháp để xác định hệ điều
hành đang chạy trên hệ thống đích từ xa. Có hai loại biểu ngữ lấy: chủ động và thụ động.
 Xác định HĐH được sử dụng trên máy chủ đích cho phép kẻ tấn công tìm ra các lỗ hổng mà hệ
thống sở hữu và các khai thác có thể hoạt động trên hệ thống để tiếp tục thực hiện các cuộc tấn
công bổ sung.

Active Banner Grabbing

 Các gói được chế tạo đặc biệt được gửi đến hệ điều hành từ xa và phản hồi được ghi nhận
 Các phản hồi sau đó được so sánh với cơ sở dữ liệu để xác định HĐH
 Phản hồi từ các hệ điều hành khác nhau khác nhau do sự khác biệt trong triển khai ngăn xếp TCP
/ IP

Passive Banner Grabbing

 Banner grabbing lấy từ các thông báo lỗi:

Thông báo lỗi cung cấp thông tin như loại máy chủ, loại HĐH và công cụ SSL được sử dụng bởi hệ
thống từ xa đích.
 Đánh hơi lưu lượng mạng:
Việc bắt và phân tích các gói từ mục tiêu cho phép kẻ tấn công xác định HĐH được sử dụng bởi
hệ thống từ xa
 Banner grabbing lấy từ phần mở rộng trang:
Tìm kiếm một tiện ích mở rộng trong URL có thể giúp xác định phiên bản ứng dụng.
Ví dụ: .aspx => Máy chủ IIS và nền tảng Windows

Banner grabbing bằng Nmap

 Banner grabber đơn giản kết nối với cổng TCP đang mở và in ra bất cứ thứ gì được gửi bởi dịch
vụ nghe trong vòng năm giây.
 Banner sẽ được rút ngắn để phù hợp với một dòng duy nhất, nhưng một dòng bổ sung có thể
được in cho mỗi lần tăng mức độ chi tiết được yêu cầu trên dòng lệnh.
 Gõ lệnh sau sẽ tìm nạp banner cho mọi cổng mở trong PC từ xa.
nmap -sV --script = banner 192.168.101.131
 Từ ảnh chụp màn hình, bạn có thể đọc các dịch vụ và phiên bản của chúng cho các cổng mở
được lấy bởi NMAP Script để lấy biểu ngữ cho mục tiêu 192.168.101.131
----------------------------------------------------------------------------------------

Lệnh sau sẽ lấy biểu banner cho cổng được chọn, tức là 80 cho dịch vụ và phiên bản http.

nmap -Pn -p 80 -sV –script=banner vnexpress.net

Kết quả là nó sẽ làm câm http-server-header: FPT web_hcm_133_14

Banner grabbing bằng Curl

 Curl –I được sử dụng cho phần đầu để chỉ hiển thị thông tin tài liệu; gõ lệnh sau để lấy banner
HTTP của PC từ xa.
curl -s -I vnexpress.net | grep -e “Server: “
 Kết quả là nó sẽ dump http-server-header: FPT web_hcm_133_14

Dùng Curl –help để xem ý nghĩa các tham số.

Banner grabbing bằng Dmitry

 DMitry (Công cụ thu thập thông tin Deepmagic) là một Ứng dụng dòng lệnh UNIX / (GNU) Linux
được mã hóa bằng C.
 DMitry có khả năng thu thập càng nhiều thông tin càng tốt về một máy chủ. Chức năng cơ sở có
thể thu thập các tên miền phụ, địa chỉ email, thông tin thời gian hoạt động, quét cổng tcp, tra
cứu whois, v.v.
 Dmitry –b được sử dụng để lấy banner cho tất cả các cổng mở; Gõ lệnh sau để lấy banner SSH
của PC từ xa.
- dmitry -b 192.168.1.131
 Từ ảnh chụp màn hình, bạn có thể thấy nó đã hiển thị biểu ngữ cho cổng mở 23, 135 và 139.
 Bằng cách này, Attacker có thể lấy các dịch vụ và phiên bản của chúng cho các cổng mở trên PC
từ xa.
Banner Grabbing Tools

ID Serve

 Phục vụ ID được sử dụng để xác định nhãn hiệu, kiểu máy và phiên bản của bất kỳ phần mềm
máy chủ của trang web nào.
 Nó cũng được sử dụng để xác định các máy chủ internet không phải HTTP (không phải web) như
FTP, SMTP, POP, TIN, v.v.

Netcraft

 Netcraf báo cáo hệ điều hành của

trang web, máy chủ web và chủ sở
hữu netblock cùng với, nếu có, chế
độ xem đồ họa về thời gian kể từ
lần khởi động lại cuối cùng cho
mỗi máy tính phục vụ trang web.
Các biện pháp đối phó Grabbing Banner :

Vô hiệu hóa hoặc thay đổi biểu ngữ

1. Hiển thị các biểu ngữ sai để đánh lạc hướng những kẻ tấn công.

2. Tắt các dịch vụ không cần thiết trên máy chủ mạng để hạn chế tiết lộ thông tin.

3. Sử dụng các công cụ serverMask (http://www.port80software.com) để vô hiệu hóa hoặc thay đổi
thông tin banner.

4. Apache 2.x với mô-đun mod_headers - sử dụng một lệnh trong httpd. conf file để thay đổi thông tin
biểu ngữ Tiêu đề đặt Máy chủ "Tên máy chủ mới".

5. Thay đổi dòng ServerSignature thành ServerSignature Off trong httpd. tập tin conf.

Ẩn phần mở rộng tệp từ các trang web

1.Phần mở rộng tệp tiết lộ thông tin về công nghệ máy chủ cơ bản mà kẻ tấn công có thể sử dụng để
khởi chạy các cuộc tấn công

2.Ẩn phần mở rộng tệp để che giấu công nghệ web

3.Thay đổi ánh xạ ứng dụng, chẳng hạn như .asp bằng .htm hoặc .foo, v.v. để ngụy trang danh tính của
các máy chủ

4.Người dùng Apache có thể sử dụng các chỉ thị mod_negotiation

5.Người dùng IIS sử dụng các công cụ như PageXchanger để quản lý các phần mở rộng tệp