Điều tra NTP (NTP Enumeration)
Giao thức thời gian mạng (NTP)
NTP (Network Time Protocol) được sử dụng trong mạng để đồng bộ hóa đồng hồ trên máy chủ và thiết bị mạng. NTP là một giao thức quan trọng, như dịch vụ thư mục, thiết bị mạng và máy chủ dựa trên cài đặt đồng hồ cho mục đích đăng nhập và ghi nhật ký để lưu giữ hồ sơ các sự kiện.
NTP giúp các sự kiện tương quan bởi các bản ghi hệ thống thời gian được nhận bởi các máy chủ Syslog. NTP sử dụng cổng UDP 123 và toàn bộ giao tiếp của nó dựa trên thời gian quốc tế (UTC).
NTP sử dụng thuật ngữ được gọi là tầng để mô tả khoảng cách giữa máy chủ NTP và thiết bị. Nó giống như số TTL làm giảm mỗi hop một gói đi qua. Stratum (mỗi tầng) bắt đầu từ một, tăng theo từng hop. Ví dụ, nếu chúng ta thấy số tầng là 10 trên bộ định tuyến cục bộ, có nghĩa là máy chủ NTP cách 9 bước nhảy.
Bảo vệ NTP cũng là một khía cạnh quan trọng vì kẻ tấn công có thể thay đổi thời gian ở vị trí đầu tiên để đánh lừa các nhóm pháp y điều tra và tương quan các sự kiện để tìm nguyên nhân gốc rễ của cuộc tấn công.
Xác thực NTP (NTP Authentication)
NTP phiên bản 3 (NTP v3) và các phiên bản sau này hỗ trợ kỹ thuật xác thực mật mã giữa các đồng nghiệp NTP. Xác thực này có thể được sử dụng để giảm thiểu một cuộc tấn công.
Ba lệnh được sử dụng trên trình chủ và trình khách NTP là:
Router(config)# ntp authenticate
Router(config)# ntp authentication-key key-number md5 key-value
Router(config)# ntp trusted-key key-numberNếu không có cấu hình xác thực NTP, thông tin về thời gian mạng vẫn trao đổi giữa máy chủ và máy khách, nhưng sự khác biệt là các máy khách NTP này không xác thực máy chủ NTP dưới dạng nguồn bảo mật như máy chủ NTP hợp lệ bị hỏng và máy chủ NTP giả mạo vượt qua máy chủ NTP thực.
Điều tra NTP (NTP Enumeration)
Một khía cạnh quan trọng khác của việc thu thập thông tin là thời điểm cụ thể sự kiện xảy ra. Những kẻ tấn công có thể cố gắng thay đổi cài đặt dấu thời gian của bộ định tuyến hoặc có thể giới thiệu máy chủ NTP thô trong mạng để đánh lừa các nhóm pháp y. Ở bản NTP v3, nó có hỗ trợ cho xác thực với máy chủ NTP trước khi xem xét thời gian của mình để được xác thực.
Có thể thu thập thông tin từ NTP bằng các công cụ khác nhau như lệnh NTP, Nmap và một kịch bản NSE. Trong quá trình điều tra NTP, kẻ tấn công tạo ra các truy vấn tới máy chủ NTP để trích xuất thông tin có giá trị từ phản hồi như:
- Thông tin máy chủ được kết nối với máy chủ NTP
- Địa chỉ IP của khách hàng, tên máy, thông tin hệ điều hành
- Thông tin mạng như IP nội bộ phụ thuộc vào việc triển khai máy chủ NTP, tức là nếu máy chủ NTP được triển khai trong DMZ
Lệnh điều tra NTP (NTP Enumeration Commands)
ntpdc được sử dụng để truy vấn ntpd daemon về trạng thái hiện hành và các thay đổi yêu cầu trong trạng thái.
root@kali: ntpdc [-<flag> [<val>] | --<name> [{=| }<val>] ]... [host...]Lệnh ntpdc có thể được sử dụng với các tùy chọn sau:
ntptrace là một kịch bản Perl, sử dụng ntpq để theo chuỗi các máy chủ NTP từ một máy chủ đã cho trở về nguồn thời gian chính. ntptrace yêu cầu thực hiện giao thức kiểm soát và giám sát NTP được chỉ định trong RFC 1305 và cho phép các gói NTP Mode 6 hoạt động bình thường.
ntpq là một dòng lệnh tiện ích được sử dụng để truy vấn máy chủ NTP. Các ntpq được sử dụng để màn hình NTP daemon ntpd hoạt động & xác định hiệu suất. Nó sử dụng các định dạng tin nhắn điều khiển chuẩn của chế độ NTP 6.
Lệnh ntpq có thể được sử dụng với các tùy chọn sau:
Công cụ Điều tra NTP (NTP Enumeration Tools)
- Nmap
- NTP server Scanner
- Wireshark
- NTPQuery
Điều tra SMTP (SMTP Enumeration)
Giao thức chuyển thư đơn giản (SMTP)
SMTP Enumeration là một cách khác để trích xuất thông tin về đích bằng cách sử dụng SMTP (Simple Mail Transfer Protocol). Giao thức SMTP đảm bảo giao tiếp thư giữa các máy chủ Email và người nhận qua cổng 25. SMTP là một trong những giao thức TCP/IP phổ biến được sử dụng rộng rãi bởi hầu hết các máy chủ email hiện được định nghĩa trong RFC 821.
Kỹ thuật điều tra SMTP (SMTP Enumeration Technique)
Sau đây là một số lệnh SMTP có thể được sử dụng để điều tra. Các phản hồi của máy chủ SMTP cho các lệnh này như VRFY, RCPT TO và EXPN là khác nhau. Bằng cách kiểm tra và so sánh các phản hồi cho người dùng hợp lệ và không hợp lệ thông qua tương tác với máy chủ SMTP qua telnet, người dùng hợp lệ có thể được xác định.
Công cụ Điều tra SMTP (SMTP Enumeration Tool)
- NetScan Tool Pro
- SMTP–user-enum
- Telnet
Điều tra chuyển vùng DNS bằng NSLookup (DNS Zone Transfer Enumeration Using NSLookup)
Trong quá trình điều tra thông qua chuyển vùng DNS, kẻ tấn công tìm thấy cổng TCP của mục tiêu là 53, vì cổng TCP 53 được sử dụng bởi DNS và chuyển vùng sử dụng cổng này theo mặc định. Sử dụng kỹ thuật quét cổng, bạn có thể tìm thấy nếu cổng đang mở.
Chuyển vùng DNS (DNS Zone Transfer)
Chuyển vùng DNS là quá trình chuyển một bản sao DNS chứa các bản ghi cơ sở dữ liệu đến một máy chủ DNS khác. Quá trình chuyển vùng DNS cung cấp hỗ trợ cho việc giải quyết các truy vấn, vì nhiều máy chủ DNS có thể trả lời các truy vấn.
Hãy chú ý một kịch bản trong đó cả máy chủ DNS chính và phụ đều phản hồi các truy vấn. Máy chủ DNS phụ sẽ sao chép bản ghi DNS để cập nhật thông tin trong cơ sở dữ liệu của nó.
Chuyển vùng DNS bằng lệnh nslookup:
- Truy cập CMD và nhập nslookup
- Cmd sẽ chuyển dấu nhắc lệnh thành biểu tượng ” > “
- Nhập tên DNS Server hoặc địa chỉ DNS Server và Enter
- Nhập
set type=anyvà Enter. Nó sẽ nhận lại các bản records từ DNS server - Nhập
ls -d <Domain>sẽ hiển thị thông tin từ domain mục tiêu (nếu được cho phép)
- Nếu không được cho phép sẽ có thông báo từ chối request
- Linux hỗ trợ lệnh dig, ở terminal máy Linux nhập
dig <domain.com> axfr
Cách phòng chống Điều tra (Enumeration Countermeasures)
- Sử dụng kỹ thuật bảo mật nâng cao
- Cải tiến phần mềm bảo mật
- Cập nhật phiên bản của giao thức
- Chính sách bảo mật tốt
- Mật khẩu đa dạng và khó đoán
- Giao tiếp mã hóa mạnh mẽ giữa máy khách và máy chủ
- Vô hiệu hóa các cổng không cần thiết
- Giao thức, chia sẻ và dịch vụ kích hoạt mặc định
