Home » » Menganalisis Serangan (Bahagian 2)

Menganalisis Serangan (Bahagian 2)

Menganalisis Serangan (Bahagian 2)Menganalisis Serangan (Bahagian 1)

Don Parker

Kami menunjukkan kepada anda dalam bahagian satu maklumat yang boleh diperhatikan semasa membuka jujukan paket yang dihantar oleh Nmap. Urutan yang dihantar bermula dengan respons gema ICMP untuk menentukan sama ada komputer atau rangkaian telah diberikan alamat IP.

Selain itu, kita juga boleh meneka bahawa rangkaian komputer yang diserang ialah rangkaian berasaskan Windows dengan melihat ttl dalam paket tindak balas gema ICMP yang dihantar semula. Apa yang perlu dilakukan sekarang ialah meneruskan pemerhatian paket yang tinggal dalam pengimbas Nmap, dan mengetahui maklumat yang tinggal untuk dapat mengetahui profil rangkaian mangsa.

teruskan

10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 > 192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1.....o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^...^
0x0020: 5010 0800 fd46 0000 P....F..

10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 > 192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(..........o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$...^...^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P...h.........

Kedua-dua paket di atas datang selepas paket ICMP yang kami perhatikan dalam bahagian 1. Nmap menghantar paket ACK ke rangkaian mangsa IP 192.168.111.23 pada port 80. Sebagai maklumat palsu, kami tidak mendapat gambaran keseluruhan di sini. Ia hanya dilihat bahawa paket ACK yang diterima daripada penyerang adalah paket RST sebagai tindak balas, kerana ACK ini tidak dijangka. Ia pada asasnya bukan sebahagian daripada sambungan yang telah ditubuhkan sebelum ini. Kami masih mempunyai ttl sebanyak 128 sepadan dengan ttl yang diperhatikan sebelum ini.

10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 3072
0x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q...o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o.....w.......
0x0020: 5002 0c00 37ce 0000 P...7...

10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 > 192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o.....ds}Dw...
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `...OX........

10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n........o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o.....w...w...
0x0020: 5004 0000 ca50 0000 P....P..

Berikutan pertukaran paket ACK dan RST, kita dapat melihat bahawa paket SYN sebenar telah dihantar daripada penggodam ke rangkaian mangsa, seperti yang dibuktikan dalam paket dengan huruf tebal S. Ini membolehkan kita menyimpulkan bahawa paket SYN/ACK akan datang semula dari rangkaian mangsa pada portnya 21. Pertukaran ini kemudiannya ditamatkan oleh paket RST yang dihantar semula ke rangkaian penggodam. Ketiga-tiga paket ini kini mengandungi banyak maklumat tentang pemalsuan itu.

Kami juga mempunyai ttl 128 dari mesin mangsa, tetapi juga win64240. Walaupun nilai ini tidak disenaraikan, ia sememangnya saiz yang saya lihat banyak kali sebelum ini daripada Win32 (versi 32-bit Microsoft Windows seperti Win NT, 2K, XP, dan 2K3). Satu lagi had komputer Windows ialah ia tidak dapat diramalkan dalam bilangan ID IP. Dalam kes ini, kami hanya mempunyai satu nilai ID IP. Kami memerlukan sekurang-kurangnya satu nilai lagi sebelum kami boleh dengan yakin mengatakan bahawa komputer ini ialah komputer Microsoft Windows. Ambil perhatian bahawa, lihat paket yang tinggal dari imbasan Nmap.

10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(....;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o....Pw.......
0x0020: 5002 1000 3393 0000 P...3...

10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 > 192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw...
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `...y.........

10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o........o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o....Pw...w...
0x0020: 5004 0000 ca15 0000 P.......

Maklumat pertama yang dilihat oleh penggodam adalah untuk melihat sama ada nombor ID IP meningkat kepada 399. IP DI ini sememangnya 399 seperti yang dapat kita perhatikan di tengah-tengah paket. Dengan maklumat ini, penggodam agak yakin komputer mangsa yang diserangnya ialah Windows NT, 2K, XP, atau 2K3. Juga diperhatikan dalam jujukan paket ini ialah port 80 pada rangkaian mangsa nampaknya mempunyai perkhidmatan, seperti yang dibuktikan oleh paket SYN/ACK, paket SYN/ACK ditentukan dengan memeriksa medan bendera dalam pengepala TCP, dalam kes ini nilai hex yang digariskan ialah 12 atau 18 dalam perpuluhan. Nilai ini boleh dikesan dengan menambahkan nilai bendera SYN 2 pada nilai bendera ACK 16.

Penghitungan

Sebaik sahaja penggodam mengetahui bahawa kedua-dua port 21 dan 80 terbuka kepada perusahaan, dia akan memasuki keadaan penghitungan. Apa yang dia perlu tahu sekarang ialah jenis pelayan web yang sedang mendengar sambungan. Tidak ada gunanya penggodam ini menggunakan kelemahan Apache pada pelayan web IIS. Dengan itu, penyerang akan membuka sesi cmd.exe dan mengetahui jenis rangkaian.

C:\>nc.exe 192.168.111.23 80
GET slslslls
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87

The parameter is incorrect.

C:\>

Kita boleh melihat jenis rangkaian yang ditandakan di atas atau sintaks nc.exe yang jenis penggodam dalam alamat IP mangsa serta port 80. Setelah masuk, penggodam akan menaip dalam HTTP kaedah GET diikuti dengan beberapa ayat yang tidak betul dari segi tatabahasa. Tindakan ini boleh menyebabkan pelayan web rangkaian mangsa menghantar semula maklumat kepada sistemnya apabila ia tidak memahami permintaan itu. Itulah sebabnya mereka secara semula jadi menyenaraikan maklumat yang diperlukan oleh penggodam. Penggodam kini boleh melihat bahawa dia berada dalam Microsoft IIS 5.0. Berita yang lebih baik kerana penggodam mempunyai beberapa eksploitasi untuk versi ini.

Kesimpulan

Dengan melakukan imbasan rangkaian mangsa menggunakan Nmap, penggodam kemudiannya boleh menerima satu siri paket data penting. Di dalam paket data ini, seperti yang telah kita lihat, penuh dengan maklumat untuk penggodam mengeksploitasi kelemahan dalam seni bina, sistem pengendalian, jenis rangkaian dan jenis pelayan.

Pendek kata, dengan cara ini, penggodam boleh mendapatkan maklumat penting tentang hos, seni bina dan perkhidmatan yang disediakan. Dengan maklumat ini di tangan, penggodam boleh melancarkan serangan ke atas pelayan web rangkaian mangsa. Dalam bahagian berikut kami akan memperkenalkan lebih lanjut tentang serangan yang boleh digunakan oleh penggodam untuk menyerang pengguna dalam kes ini.

Menganalisis Serangan (Bahagian 2)Menganalisis Serangan (Bahagian 3)

Tags: #serangan siber #penggodam
Sign up and earn $1000 a day ⋙

Leave a Comment

Menganalisis Serangan (Bahagian 3)

Menganalisis Serangan (Bahagian 3)

Dalam bahagian 2 siri ini, kami telah meninggalkan semua maklumat yang diperlukan untuk serangan ke atas rangkaian mangsa.

Menganalisis Serangan (Bahagian 1)

Menganalisis Serangan (Bahagian 1)

Siri ini akan berdasarkan kerentanan rangkaian. Apa yang akan diperkenalkan dalam artikel itu adalah serangan sebenar, bermula dari peninjauan hingga penghitungan, eksploitasi perkhidmatan rangkaian dan berakhir dengan strategi eksploitasi pemberitahuan. Semua langkah ini akan diperhatikan pada peringkat paket data, dan kemudian dijelaskan secara terperinci.

7 Tweak Teknologi Mudah Yang Meningkatkan Kualiti Hidup Anda Secara Dramatik

7 Tweak Teknologi Mudah Yang Meningkatkan Kualiti Hidup Anda Secara Dramatik

Mewujudkan hubungan yang sihat dengan teknologi boleh kelihatan menakutkan, tetapi perubahan kecil sering membuat perbezaan yang besar.

8 Perkara Yang Anda Tidak Tahu Boleh Anda Lakukan dalam Apl Galeri Samsung

8 Perkara Yang Anda Tidak Tahu Boleh Anda Lakukan dalam Apl Galeri Samsung

Apl Galeri Samsung lebih berkebolehan daripada yang anda fikirkan, tetapi itu mungkin tidak jelas dengan serta-merta.

Telefon pintar boleh lipat Microsoft tidak akan mempunyai lipatan

Telefon pintar boleh lipat Microsoft tidak akan mempunyai lipatan

Microsoft dikatakan semakin hampir untuk melancarkan telefon pintar boleh lipat pertamanya apabila ia diberikan paten untuk telefon boleh lipat dengan keupayaan untuk melipat 360 darjah tetapi tanpa menimbulkan kedutan pada skrin pada 1 Oktober.

Google menguji tanda semak biru dalam carian

Google menguji tanda semak biru dalam carian

Google sedang menguji ciri pengesahan baharu melalui tanda semak biru dalam carian. Ciri ini akan membantu pengguna mengelak daripada mengklik pada pautan tapak web palsu atau penipuan.

Membezakan Microsoft 365 dan Office 2024

Membezakan Microsoft 365 dan Office 2024

Pada pandangan pertama, Microsoft 365 dan Office 2024 mungkin kelihatan sangat serupa, kerana kedua-duanya memberi anda akses kepada aplikasi Microsoft yang popular dan digunakan secara meluas.

Kod Elemental Dungeons Terkini dan Cara Memasukkan Kod

Kod Elemental Dungeons Terkini dan Cara Memasukkan Kod

Kod Elemental Dungeons ialah bentuk ganjaran yang diperlukan untuk pemain. Seperti mana-mana permainan dalam talian lain di Roblox, pemain boleh menerima bantuan ini sebagai pertukaran wang atau barangan lain.

Bagaimana untuk mengulangi bar tajuk jadual dalam Word

Bagaimana untuk mengulangi bar tajuk jadual dalam Word

Apabila anda mencetak dokumen Word, cipta jadual dalam Word, mengulangi tajuk dalam Word membantu kami menjejak tajuk dengan lebih mudah, membaca tajuk dokumen dengan lancar merentas halaman yang berbeza, terutamanya dengan tajuk yang panjang.

Cara membuat mesej animasi pada iMessage iOS 18

Cara membuat mesej animasi pada iMessage iOS 18

iOS 18 iMessage baharu dikemas kini dengan mesej animasi, kesan teks dengan banyak pilihan untuk digunakan untuk mesej yang anda hantar.

Mengapa babi adalah musuh ular?

Mengapa babi adalah musuh ular?

Terdapat fakta menarik tentang babi yang tidak semua orang tahu: babi dianggap musuh ular, kerana apabila kedua-dua haiwan ini bertemu, kebanyakan ular akan menjadi makanan untuk babi.

Berapakah jarak dari Bumi ke Musytari - planet terbesar dalam Sistem Suria?

Berapakah jarak dari Bumi ke Musytari - planet terbesar dalam Sistem Suria?

Berapakah jarak dari Bumi ke Musytari? Jika anda tidak tahu, artikel ini akan memberitahu anda sejauh mana Musytari dari Bumi.

Temui jeneral meta musim S1 2023 Lien Quan Mobile

Temui jeneral meta musim S1 2023 Lien Quan Mobile

Jeneral manakah yang keluar daripada meta Mobile Alliance? Jom explore sekarang

Graves DTCL musim 7.5: Item standard, skuad Graves Loi Long

Graves DTCL musim 7.5: Item standard, skuad Graves Loi Long

Graves DTCL dari musim 1, musim 3 dan musim 6 semuanya berharga 1 emas dan nampaknya cuma juara tambahan untuk merangsang klan, peranan utama dalam early game masih digunakan tetapi tidak banyak. Setakat DTCL musim 7.5, Graves telah melonjakkan harganya kepada 4 emas dan pastinya merupakan pembawa yang sangat diperlukan jika anda memutuskan untuk bermain Thunder Dragon atau Gunner.

Cara menggunakan bunyi aplikasi berasingan pada Samsung

Cara menggunakan bunyi aplikasi berasingan pada Samsung

Dengan telefon Samsung, anda harus menggunakan ciri bunyi apl yang berasingan. Contohnya, anda boleh memainkan Apple Music dan telefon anda akan menghalakan audio melalui pembesar suara kereta anda.

Petikan yang baik tentang kerja, status yang baik tentang kerja memberi inspirasi kepada anda untuk mencapai kejayaan

Petikan yang baik tentang kerja, status yang baik tentang kerja memberi inspirasi kepada anda untuk mencapai kejayaan

Terdapat banyak status yang baik tentang kerja di Internet. Artikel ini akan meringkaskan untuk anda status pekerjaan yang baik dan bermakna.

Kapsyen ulang tahun perkahwinan, status ulang tahun perkahwinan yang bermakna dan manis

Kapsyen ulang tahun perkahwinan, status ulang tahun perkahwinan yang bermakna dan manis

Apakah kapsyen ulang tahun perkahwinan yang baik dan bermakna? Artikel itu akan meringkaskan untuk anda kapsyen ulang tahun yang ringkas dan padat yang boleh membuatkan pasangan anda ingat selama-lamanya.