Professional Documents
Culture Documents
เลขที่ 7
จงตอบคำถามต่อไปนี้
1. What was the IP address of Mr. X’s scanner?
ตอบ 10.42.42.253 เพราะ Mr. X ใช้เครื่องในการสแกนหา ip ต่างๆ ดังนั้นจึงควรเป็นเครื่อง(ip address)ทีม่ ี
packet มากที่สุด เพราะ ต้องส่งไปยังหลายๆเครื่อง
2. For the FIRST port scan that Mr. X conducted, what type of port scan was it? (Note: the
scan consisted of many thousands of packets.)
ตอบ TCP Connect โดย เราจะใช้คำสัง tcp.flags.ack ==1 && tcp.flags.syn ==1 เพื่อตรวจสอบการเชื่อมต่อ
ของ port โดยจะ ack และ syn ที่ส่งไปและตอบกลับมาในครั้งที่ 1 เพื่อตรวจสอบหาการเชื่อมต่อ
นนร.ณัฐนันท์ กุลจรัส ชั้นปีที่ 5 ตอน ซบ. เลขที่ 7
6. What TCP ports were open on the Windows system? (Please list the decimal numbers
from lowest to highest.)
ตอบ port 135 และ port 139 เนื่องจากเราทราบว่า 10.42.42.50 เป็น Windows system (จากข้อ 5 ) ดังนั้น
เราจึงมาดู port ที่ถูกสแกน ใน ip 10.42.42.50 จะพบว่า port 135 และ 139 มีการตอบกลับที่เยอะ(เกิน 10
packet ) จึงเป็นที่น่าสงสัย และให้เราทำนายได้ว่า Windows system นี้น่าจะเปิด port 135 และ139 นั่นเอง
นนร.ณัฐนันท์ กุลจรัส ชั้นปีที่ 5 ตอน ซบ. เลขที่ 7
7. You don't have to answer this, but you get super bonus points if you do): What was the
name of the tool Mr. X used to port scan? How can you tell? Can you reconstruct the out-
put from the tool, roughly the way Mr. X would have seen it?
ตอบ nmap เพราะ จากการสังเกต พบว่ามีการถูก ping ไปยังหลายๆ port ในเครือข่าย คาดการว่าเป็นการ
สแกน port ซึ่งมีหลักการทำงานคล้าย tools ที่ชื่อว่า nmap