DEMO IDLE SCAN BẰNG NMAP

3/14/2018 1
Chuẩn bị

Bài Lab sử dụng công cụ Zenmap trên kalilinux. Các máy tính là
máy ảo cài trên Vmware Workstation

- Máy Attacker có IP: 192.168.101.128

- Máy Zombie có IP: 192.168.1.131

- Máy Target có IP: 192.168.1.132

- Idle Scan port 80 máy Target

3/14/2018 2
Trình tự các bước thực hiện

Bước 1: Mở cửa sổ Teminal trên Kalilinux nhập lệnh ifconfig để kiểm tra địa chỉ IP
của máy Kalilinux (máy Attacker)

3/14/2018 3
Trình tự các bước thực hiện

Bước 2: Chạy Wireshark (máy Wireshark cài trên máy thật) và bắt các gói tin
TCP trên interface mà máy ảo Kalilinux làm việc với các máy ảo khác (thường
là interface có tên Vmware Virtual Ethernet Adaptor for VMnet8)

3/14/2018 4
Trình tự các bước thực hiện

Bước 3: Chạy Zenmap trên kalilinux: Từ cửa sổ Kalilinux chọn Applications –

Information Gathering - Zenmap

3/14/2018 5
Trình tự các bước thực hiện
Bước 4: Trong cửa sổ Zenmap tại dòng Command, nhập dòng lệnh:

nmap –sI 192.101.131 –p 80 -Pn 192.168.101.132

Sau đó chọn nút Scan. Kết quả xuất hiện như sau:

3/14/2018 6
Phân tích các bản tin
Bước 2: Giả địa chỉ IP của Zombie

- Attacker (192.168.101.128) gửi gói SYN (gói 31) đến port 80 máy Target
(192.168.101.132) với địa chỉ gửi là của máy Zombie (192.168.101.131)

Bước 3: Thăm dò lại IPID

- Attacker (192.168.101.128) gửi gói SYN, ACK (gói 35) đến máy Zombie
(192.168.101.131) để thăm dò lại IPID
- Zombie cũng trả lại một gói RST (gói 36)

3/14/2018 8
Phân tích các bản tin
Bước 3: Thăm dò lại IPID

- Mở nội dung gói RST (gói 36) có IPID=151

3/14/2018 9
Kết luận
IPID của gói RST tăng lên 1 (150 thành 151) nên port 80 closed.

Giải thích:
❖ Vì khi Attacker giả địa chỉ IP của Zombie để gửi gói SYN đến port 80 của máy
Target. Do port này closed nên Target gửi trả lại máy Zombie gói RST, ACK (gói 34)
và máy Zombie không gửi lại gói RST do đó IPID vẫn là 150.

❖ Khi Attacker gửi lại gói SYN, ACK đến máy Zombie để thăm dò lại IPID thì Zombie
gửi lại gói RST và IPID trong gói này tăng lên một tức là bằng 151.

Tiếp tực thực hiện IDLE Scan port 135 máy Target

3/14/2018 10
- Trong cửa sổ Zenmap tại dòng Command, nhập dòng lệnh:

nmap –sI 192.101.131 –p 135 -Pn 192.168.101.132

Sau đó chọn nút Scan. Kết quả xuất hiện như sau:

3/14/2018 11
Phân tích các bản tin
Bước 1: Thăm dò IPID

- Attacker (192.168.101.128) gửi gói SYN, ACK (gói 31) đến máy Zombie
(192.168.101.131) để thăm dò IPID
- Do Zombie nhận một gói unsolicited SYN|ACK nên trả lại một gói RST (gói 32)

- Target mở nội dung gói RST (gói 32) để ghi nhận giá trị IPID. Kết quả có IPID=894

3/14/2018 12
Phân tích các bản tin
Bước 2: Giả địa chỉ IP của Zombie

- Attacker (192.168.101.128) gửi gói SYN (gói 33) đến port 80 máy Target
(192.168.101.132) với địa chỉ gửi là của máy Zombie (192.168.101.131)

Bước 3: Thăm dò lại IPID

- Attacker (192.168.101.128) gửi gói SYN, ACK (gói 36) đến máy Zombie
(192.168.101.131) để thăm dò lại IPID
- Zombie cũng trả lại một gói RST (gói 37)

3/14/2018 13
Phân tích các bản tin
Bước 3: Thăm dò lại IPID

- Mở nội dung gói RST (gói 37) có IPID=896

3/14/2018 14
Kết luận
IPID của gói RST tăng lên 2 (894 thành 896) nên port 135 open.

Giải thích:
❖ Vì khi Attacker giả địa chỉ IP của Zombie để gửi gói SYN đến port 135 của máy
Target. Do port này open nên Target gửi trả lại máy Zombie gói SYN, ACK (gói 34)
và máy Zombie gửi lại gói RST (gói 35) có IPID tăng lên 1 (bằng 895)

❖ Khi Attacker gửi lại gói SYN, ACK đến máy Zombie để thăm dò lại IPID thì Zombie
gửi lại gói RST và IPID trong gói này tăng thêm lên một nữa tức là bằng 896. So
với IPID theo dõi là tăng lên 2.
3/14/2018 15