Posts

  • Home -
  • news -
  • Ping hacking tool мөн үү?
research
  • 10/02
  • 2018

Ping hacking tool мөн үү?

Ping програм бол үндсэн зорилго сүлжээний орчинд 2 талын төгсгөлийн төхөөрөмжүүдийн хооронд холболт байгаа эсэхийг шалгадаг хяналт шалгалтын зорилгоор ашигладаг. Энэ удаад энэ сэдвээс илүүтэйгээр инженерийн нарийн техникийн мэдээллийг оруулж өгөхийг хичээлээ.

Ping 8.8.8.8 командыг та ажиллуулаад дараах үр дүн гарсан гэж үзье. Энэ гаралтын үр дүнд энгийн байдлаар бид Google серверийн нийтийн домайн нэрийн системрүү хандалт хийсэн байна. Хандалт мэдээж амжилттай болсон гэсэн үр дүн гарчээ.

Илгээсэн өгөгдлийг Wireshark гэдэг пакет анализ хийдэг хэрэгсэл дээр задлан шилжилбэл нийт 74 байтын урттай өгөгдөл сүлжээгээр дамжигдсан байна. Үүнээс Фраймын толгой мэдээлэл 14 байт, АЙПИ толгой мэдээлэл 20 байт, ICMP толгой мэдээлэл 8 байт, Дата буюу бидний гаралтын үр дүн нь 32 байтын хэмжээтэй дамжигдсан байгааг та дараах үр дүнгээс харж болно.

Нэгтгэн дүгнэвэл: 74 byte= frame header(14) + IP header(20) + ICMP header(8) + Data (32) болжээ.

Одоо бид интернет орж байна гэж ойлгож болно.

Гаралтын үр дүнд Time болон TTL гэсэн утгууд байна. Эдгээр утгуудыг нарийн судалбал.

Time талбар: Тухайн өгөгдөл илгээгчийн компьютерээс интернет орчинд байгаа серверлүү дата илгээгдэх хугацаа болон хүлээн авах хоёр хугацааны нийлбэр утга дүрслэгдсэн байна. Өөрөөр хэлбэл үүний сүлжээний орчинд хугацааны хоцрогдол гэж нэрлэдэг. Хугацаа нь яагаад өөр өөр байна гэж үү?

Энэ нь олон хүчин зүйлээс хамааралтай байж болно:

  • Танай үйлдлийн систем дата илгээх үед завгүй байсан байж болно.
  • Танай дотоод сүлжээнд ачаалалтай байсан байж болно.
  • Интернет үйлчилгээ үзүүлэгч байгуулагын ачаалал ихтэй байсан байж болно.
  • Интернет үйлчилгээ үзүүлэгч байгууллага чинь ачааллыг тэнцвэржүүлэх шийдэл /Load Balancer/ ашигласан байж болно.
  • Интернет орчин дох хүлээн авагч сервер завгүй байсан байж болно гэх мэт олон хамааралтай шалтгаанаас болоод өөр өөр байж болно.

Миний дамжуулалт тийм ч хурдан биш бас удаан биш дундаж гэж дүгнэж болохоор байна. Энэ тестийг wifi орчинд хийсэн.

TTL талбар:  Энэ талбарыг бид IP толгой мэдээлэл дотор байдаг үндсэн талбарын нэг юм. Энэ талбарын зорилго нь интернет орчинд замчлалын төгсгөлгүй дамжуулалт хийгдэхээс сэргийлсэн утга гэж ойлгож болно.

Хэрхэн ажилладаг вэ гэж үү?

Сүлжээний замчлагч төхөөрөмжөөр /Router/ нэг удаадаа чиглүүлэгдэн дамжигдах үед тухайн утга нь анх үүсгэгдэн илгээгдсэн утгаас нэг нэгээр хорогдох байдлаар тэг хүртэл явна. Хэрэв энэ утга нь тэг болбол тухайн замчлагч төхөөрөмж нь тухайн пакетыг цааш нь илгээхгүйгээр утгах үүрэгтэй. Ингэснээр интернет орчинд төгсгөлгүй дамжуулалт хийгдэх буюу Routing looping-с сэргийлэх боломжтой гэсэн үндсэн үүрэгтэй.

За тэгвэл 43 гэж яаж гарч ирсэн вэ? Гэдэг асуултанд та хариулах гээд үз.

Та дээрх асуултанд хариулах үед дараах шинжилгээг хийж байя.

PC---->ICMP Echo request----> 8.8.8.8 серверлүү дамжуулагдсан. Тухайн дамжуулагдах үеийн пакетийг задлан шинжилбээс Time to Live талбарт утга 128 гэсэн утга байна. Энэ утга ямар үйлдлийн системтэй төхөөрөмж дээрээс илгээсэн гэдгээс хамаараад өөр өөр утгатай байж болно.

Жишээлбэл: Тухайн үйлдлийн системээс хамааран өөр өөр TTL утга ашигладаг. Жишээ нь windows 10 үйлдлийн систем TTL утгыг 128 сонгодог.

Та энэ хүснэгтийг мэдсэн бол одоо яагаад TTL=43 вэ гэдэг асуултанд хариулах боломжтой болсон. Яагаад гэжүү Google-н нийтийн Домайн нэрийн сервер нь дээрх хүснэгтийн 64 гэсэн үйлдлийн систем ашигладаг болж таарлаа. Ерөнхийд нь бол Виндовс үйлдлийн систем ашигладаггүй Linux/Unix төст үйлдлийн систем ашигладаг гэсэн үг. Үйлдлийн систем нь 64 юм бол надаа 43 гэж харагдаж байгаа нь ямар учиртай юм бэ гэжүү?

Дүгнэлт: Google DNS сервер Linux/Unix төст үйлдлийн системтэй.

Дээрх бүгдийг нэгтгэвэл: таны өгөгдөл илгээсэн төхөөрөмжөөс Google-н сервер хүрэхэд дунд нь нийт 21 төхөөрөмж байна гэдгийг хэлж байна. Хэдэн төхөөрөмж байгааг өөр командаар буюу tracert (Windows), traceroute (Linux төст үйлдлийн систем) дээр шалгадаг.

WooooW ямар их дамжуулалт вэ? Яагаад гэдгийг бид мэдэхгүй магадгүй Google-н Сүлжээний Админ нь тайлбарлах байх гэхдээ бид 22 ширхэг төхөөрөмж дамжиж google орж байна.

Та энд яагаад “* Request timed out.” болсон байгаан гэж сонирхож магадгүй. Учир нь ХАКЕРУУД сүлжээний орчинд Firewall төхөөрөмж байгаа эсэхийг шинжилт хийхэд хялбар аргуудын нэг нь Traceroute хийдэг. Тэгэхээр үр дүнд нь Firewall гэдэг төхөөрөмж 13 дахь сүлжээний төхөөрөмж дээр байна.

Дүгнэлт: Google-н DNS сервер нь Firewall төхөөрөмжөөр хамгаалагдсан байна.

Ping командын Виндовс үйлдлийн систем дээр нэмэлт боломжууд.

Өргөн ашигладаг талбаруудыг тайлбарлавал.

-t             Энэ бол тухайн дамжуулалтыг зогсоох хүртэл тасралтгүй холболтын хүсэлт шидэх боломжтой. Виндовс үйлдлийн систем нь Default-р 4н хүсэлт илгээдэг.

-a            Энэ бол илгээж байгаа IP хаягны домайн нэрийг харахыг хүсвэл ашиглана.

-n            Нийт хэдэн удаа илгээх хүсэлтийн тоог зааж өгнө.

-l             Нэг удаа илгээх хүсэлтийн датаны хэмжээг нарын зааж өгнө. Default 32 байт хэмжээтэй.

-f             Сүлжээний орчинд өгөгдөл илгээхэд өгөгдөлийн хэмжээ нь ямар байна гэдгээс хамаарч автоматаар олон жижиг хэсэг болгон хуваан илгээдэг. Энэ боломж нь тухайн дата-г хуваахгүйгээр хүлээн авагч хүртэл илгээж чадах датаны хэмжээг тодорхойлдог. Сүлжээний орчиндахь MTU буюу нэг удаа илгээх сүлжээний хэмжээний хэмжээг хэмжихэд ашиглаж болно. Энэ нь илүү систем админ хүмүүст хэрэгтэй.

Ping –a 8.8.8.8 болон Ping 8.8.8.8 хоёрын ялгаа.

Don’t fragment утга болон Датаны хэмжээг тодорхойлсон утгын жишээ авч үзье.

Ping –f –l 1453 8.8.8.8 илгээхэд энэ дата илгээгдэх боломжгүй та хувааж илгээнэ үү гэсэх хариу ирсэн байна.

Ping –f –l 1452 8.8.8.8 илгээхэд энэ дата илгээгдэх дата хуваагдахгүйгээр Google-н DNS серверлүү илгээгдэж чадна гэж ойлгож болно.

Ping аюулгүй байдал дээрх хэрэглээ:

Жирийн рing илгээх професийг бид хост хооронд холболт байгаа эсэхээр шалгадаг гэж бид дээр дурьдсан. Харин Аюулгүй байдал талаас нь авч үзвэл Ping бол тухайн хост сүлжээн байгаа эсэхийг тодорхойлоход авч үзэж болдог. Хакинг хийх хамгийн анхны үе шат дээр target буюу хохирогчийнхоо талаар мэдээлэл цуглуулах үе шат гэж байдаг. Энэ үе шат нь дотроо Active болон Passive шинжилгээний үе шаттай. Үүнээс ping командыг ашиглах нь Active буюу тухайн хоструу идэвхтэй хандалт хийн тухайн хохирогч сүлжээнд идэвхтэй байгаа эсэхийг шалгадаг.

Үйлдлийн систем дээрх ping нь тухайн сүлжээнд ямар ямар IP хаягтай хэрэглэгч нар байгааг бүгдийг илрүүлэхэд нэг нэгээр нь хийхэд хүндрэлтэй байдаг тул Ping Sweep аргыг ашигладаг. Энэ нь нэмэлт scanning багажаар нэгэн зэрэг олон хостуудруу ping хүсэлт илгээснээр сүлжээнд байгаа идэвхтэй IP хаягуудыг хялбархан илрүүлэх боломжтой.

Жишээ нь Nmap бол Виндовс болон Линукс дээрх ажилладаг шилдэг шинжилгээний хэрэгслүүдийн нэг. Nmap –sn 192.168.1.0/24 сүлжээнээс хайхад нийт 10 хаяг идэвхтэй гэж гарч ирсэн байна.

Nmap шинжилгээний хэрэгсэл нь маш ухаалаг. Жишээ нь сүлжээнд халдлагыг илрүүлэх төхөөрөмж дээр ICMP протоколоор нь илрүүлнэ гэсэн дүрэм тодорхойлсон бол. Nmap –sn 192.168.1.0/24, Nmap –sP 192.168.1.0/24 командууд нь ICMP протоколоор биш, ARP протоколоор ping хийдэг.

Хайлтын үед wireshark дээр гаралтыг авч үзвэл. 192.168.1.9 гэсэн хоструу ARP хүсэлтийг илгээсэн байна. Энэ нь халдлагыг илрүүлэх SNORT систем дээр ICMP протоколоор нь дараах жишээ шиг дүрэм бичигдсэн тохиолдолд анхааруулга өгч халдлагыг илрүүлж чадахгүй.

alert icmp any any -> 192.168.1.105 any (msg: "NMAP ping sweep Scan"; dsize:0;sid:10000004; rev: 1; )

Host is up, “received arp-response” энэ мессеж нь хэрхэн тухайн хостыг сүлжээнд идэвхтэй байгаа эсэхийг илрүүлсэн аргыг хэлж байна.

Дүгнэлт: NMAP бол ухаалаг хакинг хэрэгсэл. NMAP ашиглаж хэрхэн сүлжээнд манай хохирогчид байгаа эсэхийг хайх арга техник болон NMAP цаана байдаг нууцыг CEH сургалтаас та авах боломжтой.

Нэгтгэл:

Ping-р та дараах зүйлсийг мэдэх боломжтой.

  • Хост хооронд холболт байгаа эсэхийг мэдэж болно.
  • Хост хоорондын холболтын хугацааг мэдэж болно.
  • Хохирогчийн үйлдлийн системийг илрүүлэх боломжтой.
  • Хост хооронд хэдэн рутер байгааг илрүүлэх боломжтой.
  • Сүлжээнд байгаа идэвхтэй хостуудыг илрүүлхэд ашигладаг.
  • Сүлжээнд байгаа олон хостуудыг богино хугацаанд илрүүлэх боломжтой.

Та илүү дэлгэрэнгүй мэдэхийг хүсвэл Certified Ethical Hacker сургалтаас бусад протокол болон хакинг аргуудын талаар суралцах боломжтой.