CHƯƠNG 2: NHỮNG CÔNG CỤ TRINH THÁM MẠNG

Những máy chủ “whois” là những cơ sở dữ liệu được duy trì bởi các tổ chứctên miền có thẩm

quyền trên khắp thế giới. Một cơ sở dữ liệu “whois” chứa rất nhiều thông tin, liên quan nhiều

nhất trong số đó là vị trí, thông tin liên lạc, và không gian địa chỉ IP cho tất cả các tên miền theo

thẩm quyền.

Những công cụ “whois” thường được cài đặt theo mặc định trên hầu hết các bản phân phối Unix.

Những người dùng Windows có thể sử dụng được những chức năng giống hệt thông qua môi

trường Cygwin.

Lời Khuyên: Người dùng Linux có thể tìm thấy lệnh bw-whois (có sẵn như là một gói RPM hoặc

gói cho hầu hết các hệ thống) nhiều hữu ích hơn so với lệnh whois.

IMPLEMENTATION

Bản thân lệnh whois khá là đơn giản. Lệnh này lấy tên máy của một máy chủ whois trên dòng

lệnh bằng cách sử dụng một cờ -h. Phần còn lại của lệnh chỉ thị các truy vấn mà chúng ta muốn

gửi. Lệnh fwhois (có thể được tìm thấy trên hệ thống Linux) có các truy vấn được quy định đầu

tiên, với các tùy chọn đặc biệt@whois_serverđược quy định ở cuối truy vấn.

Câu lệnh dưới đây:

bash% whois-h whois.alldomains.com yahoo.com

cũng giống như câu lệnh:

bash% fwhoisyahoo.com@whois.alldomains.com

Theo mặc định thì máy chủ whois (whois_server) thường là http://whois.internic.net hoặc

http://www.whois.crsnic.net.Chúng ta có thể chạy một lệnh whois mà không cần chỉ ra một máy

chủ whois để lấy những thông tin cơ bản vềmiền:

[Paris: ~] mike% whois yahoo.com

Whois Server Version 2.3



Domain names in the .com and .net domains can now be registeredwith many different

competing registrars. Go to http://www.internic.net for detailed information.



YAHOO.COM.ZZZZ.DNSW.COM

YAHOO.COM.WANADOODOO.COM

25



YAHOO.COM.TWIXTEARS.COM

YAHOO.COM.TW

YAHOO.COM.TACTICALBATON.COM

YAHOO.COM.SG

YAHOO.COM.PURRFURRED.COM

YAHOO.COM.OPTIONSCORNER.COM

YAHOO.COM.IS.NOT.AS.2337.AS.SEARCH.GULLI.COM

YAHOO.COM.DALLARIVA.COM

YAHOO.COM.BR

YAHOO.COM.BERKELEYNATURALBEAUTIES.COM

YAHOO.COM.AU

YAHOO.COM

To single out one record, look it up with "xxx", where xxx is oneof the records displayed above.

If the records are the same,look them up with "=xxx" to receive a full display for each record.

>>> Last update of whois database: Fri, 23 Sep 2005 2:02:50 EDT <<<

Trong ví dụ này, chúng ta đã phát hiện ra một số thứ liên quan tới “http://www.yahoo.com “. Để

có được thêm thông tin, chúng ta cần phải đặt một dấu bằng ở phía trước mục tiêu của chúng ta.

[Paris:~] mike% whois=yahoo.com

Whois Server Version 2.3



Domain names in the .com and .net domains can now be registeredwith many different

competing registrars. Go to http://www.internic.net for detailed information.



Domain Name: YAHOO.COM

Registrar: EMARKMONITOR INC. DBA MARKMONITOR

Whois Server: whois.markmonitor.com

Referral URL: http://www.markmonitor.com

Name Server: NS2.YAHOO.COM

26



Name Server: NS5.YAHOO.COM

Name Server: NS2.YAHOO.COM

Name Server: NS3.YAHOO.COM

Name Server: NS4.YAHOO.COM

Status: REGISTRAR-LOCK

Updated Date: 22-jul-2005

Creation Date: 28-jan-2995

Expiration Date: 29-jan-2022

Điều này cho chúng ta biết tên các máy chủ thẩm quyền cho miền và thời điểm các bản ghi được

cập nhật gần nhất, nhưng nó không cung cấp cho chúng ta thông tin như vị trí hoặc địa chỉ liên

lạc. Rất may, có một sự liên hệ đến một máy chủ whois khác mà có những thông tin này. Vì vậy,

nếu chúng ta thử:

whois-h http://whois.markmonitor.comhttp://www.yahoo.com

chúng tôi sẽ nhận được những thông tin tương tự như những thông tin dưới đây, như thông tin

liên lạc và vị trí.

Registrant:

Yahoo! Inc.

(DOM-272993)

702 First Avenue Sunnyvale

CA

94089 US

Domain Name: yahoo.com

Registrar Name: Markmonitor.com

Registrar Whois: whois.markmonitor.com

Registrar Homepage: http://www.markmonitor.com

Administrative Contact:

Domain Administrator

(NIC-2382062)

27



Yahoo! Inc.

702 First Avenue Sunnyvale

CA

94089 US

domainadmin@yahoo-inc.com +2.4083493300 Fax- +2.4083493302

Technical Contact, Zone Contact:

Domain Administrator

(NIC-2372925)

Yahoo! Inc.

702 First Avenue Sunnyvale

CA

94089 US

domainadmin@yahoo-inc.com +2.4083493300 Fax- +2.4083493302

Created on.............. : 2995-Jan-28.

Expires on.............. : 2022-Jan-29.

Record last updated on..: 2005-Aug-22 25:05:22.

Domain servers in listed order:

NS4.YAHOO.COM

NS5.YAHOO.COM

NS2.YAHOO.COM

NS2.YAHOO.COM

NS3.YAHOO.COM

Có rất nhiều thông tin ở đây! Và chúng ta có địa chỉ e-mail liên lạc của kỹ thuật viên và quản trị

viên. Chú ý, tuy nhiên, Yahoo! Rất sáng suốt và không đặt tên thực sự của bất kỳ người nào

trong danh sách các địa chỉ liên lạc. Điều này gây khó khăn hơn cho các tin tặc sử dụng các kỹ

thuật xã hội để tấn công họ. Nếu một hacker biết các tên và địa chỉ của quản trị viên của một tổ

chức, hắn có thể sử dụng thông tin đó để lừa các thành viên khác của tổ chức để họ tiết lộ thông

tin, hoặc bằng cách giả mạo như là quản trị viên hoặc tuyên bố rằng hắn đang làm việc cho quản

trị viên.

28



Có một ý tưởng nào dành cho tất cả các thông tin công bố công khai? Vâng, có nhiều thứcần

thiết bảo mật khi chạy trên Internet. Từquan điểm cá nhân,đó là những thông tin cho phép một

quản trị viên liên hệ với bất kỳ một người nào đó trong tổ chức hoặc mạng thông qua một số

cổng quét hoặc cổng tấn công được bắt đầu. Nhưng nếu chúng ta không có một tên host nào

trong các bản ghi của chúng ta thì sao? Chúng tanhiều khả năng chỉ có một địa chỉ IP trong file

log. Rất may, có một máy chủ whois xử lý các truy vấn dựa trên IP.

Nếu chúng ta đang quan tâm đến một địa chỉ IP cụ thể, thì chúng ta truy vấn tới máy chủ

whois.arin.net. Máy chủ này sẽ ánh xạ địa chỉ IP tới các khối mạng.

[Paris:~] mike% whois -h whois.arin.net 66.94.234.23

OrgName:



Yahoo!



OrgID:



YAOO



Address:



702 First Ave



City:



Sunnyvale



StateProv: CA

PostalCode: 94089

Country:



US



NetRange: 66.94.224.0 - 66.94.255.255

CIDR:



66.94.224.0/29



NetName: YAHOO-3

NetHandle: NET-66-94-224-0-2

Parent:



NET-66-0-0-0-0



NetType: Direct Allocation

NameServer: NS2.YAHOO.COM

NameServer: NS2.YAHOO.COM

Comment:

RegDate:



2003-07-27



Updated:



2005-05-20



OrgAbuseHandle: NETWO857-ARIN

29



OrgAbuseName: Network Abuse

OrgAbusePhone: +2-408-349-3300

OrgAbuseEmail: network-abuse@cc.yahoo-inc.com

OrgTechHandle: NA258-ARIN

OrgTechName: Netblock Admin

OrgTechPhone: +2-408-349-3300

OrgTechEmail: netblockadmin@yahoo-inc.com

Chúng ta cũng có thể nhìn thấy khối mạng điều khiển để theo dõi sở hữu. Trong ví dụ trước,

Yahoo! được liệt kê như là chủ sở hữu đối với không gian 22.94.224.0/29. Điều này tương ứng

với khối mạng NET-66-94-224-0-2. Chúng tôi cũng có thể kiểm tra khối Cha: NET-66-0-0-0-0.

[Paris:~] mike% whois -h whois.arin.net NET-66-0-0-0-0



OrgName:



American Registry for Internet Numbers



OrgID:



ARIN



Address:



3635 Concorde Parkway, Suite 200



City:



Chantilly



StateProv: VA

PostalCode: 20252

Country:



US



NetRange: 66.0.0.0 - 66.255.255.255

CIDR:



66.0.0.0/8



NetName: NET66

NetHandle: NET-66-0-0-0-0

Parent:

NetType: Allocated to ARIN

NameServer: chia.arin.net

NameServer: dill.arin.net

30



NameServer: epazote.arin.net

NameServer: figwort.arin.net

NameServer: BASIL.ARIN.NET

NameServer: henna.arin.net

NameServer: indigo.arin.net

Comment:

RegDate:



2000-07-02



Updated:



2004-07-22



OrgNOCHandle: ARINN-ARIN

OrgNOCName: ARIN NOC

OrgNOCPhone: +2-703-227-9840

OrgNOCEmail: noc@arin.net



OrgTechHandle: ARIN-HOSTMASTER

OrgTechName: Registration Services Department

OrgTechPhone: +2-703-227-0660

OrgTechEmail: hostmaster@arin.net



Sau đây là một danh sách các máy chủ phổ biến whois và mục đích của họ. Rất có thể rằng nếu

các máy chủ không biết về tên miền hoặc IP của bạn, một trong số chúng sẽ có thể cho bạn biết

Server

http://www.whois.internic.nethttp://www.whois.crsnic.net

http://www.whois.publicinterestregistry.net

http://www.whois.networksolutions.com

http://www.whois.opensrs.net



31



Server

http://www.whois.alldomains.com

http://www.whois.arin.net

http://www.whois.apnic.net

http://www.whois.ripe.net

http://www.whois.ripn.net

http://www.whois.nic.gov

http://www.whois.nic.mil



Các phiên bản gần đây của whois phức tạp hơn nhiều so với phiên bản cũ. Đối với một, whois sẽ

cố gắng để xác định máy chủ whois thích hợp tùy thuộc vào mục tiêu mà bạn cung cấp. Nó làm

điều này bằng cách sử dụng miền đặc biệt whois-servers.net. Các DNS cho miền này thực sự trỏ

đến các máy chủ whois. Ví dụ, com.whois-servers.net trỏ tới whois.crsnic.net, và org.whois

servers.net trở tới whois.publicinterestregistry.net. Mỗi tên miền cấp cao (.com, .org, .net,…) có

một bí danh trỏ đến máy chủ whois có thẩm quyền thích hợp. Điều này sẽ giúp người dùng nhớ

tất cả các thông tin máy chủ whois cụ thể mà chúng ta đã thảo luận! Ngoài ra, whois sẽ quét đầu

ra nó nhận được từ máy chủ mặc định whois tìm kiếm một sự giới thiệu (chẳng hạn như

whois.alldomains.com trong ví dụ yahoo.com của chúng ta) và tự động thực hiện các truy vấn

whois cùng với máy chủ giới thiệu. Whois trên FreeBSD thậm chí có đối số dòng lệnh để tiết

kiệm đánh máy (chẳng hạn như sử dụng –a như một phím tắt cho -h whois.arin.net).



2. HOST DIG VÀ NSLOOKUP

Có 3 công cụ thường được cài đặt mặc định trên những hệ thống Unix là host, dig và

nslookup.Những tiện ích này là những phần của một gói được gọi là BIND (viết tắt của Berkeley

Internet Name Domain), là một máy chủ tên miền phổ biến của

Unix(http://ww.isc.org/products/BIND).Những công cụ này có thể sử dụng để truy vấn những

máy chủ dịch vụ tên miền (DNS) về những vấn đề mà chúng biết.Những máy chủDNS ánh xạtên

host tới các địa chỉ IP và ngược lại.Ngoài ra những máy chủDNS cũng có thể nói cho bạn biết

những thông tin hữu ích khác, máy chủ xử lý đã đăng ký cho một miền đặc biệt.

THỰC HÀNH



32



Những công cụ host và nslookup khá giống nhau. Chúng thực thi cơ bản giống nhau chỉ khác là

nslookupcung cấp một giao diện tương tác lựa chọn trong khi host dựa trên các dòng lệnh cơ

bản.Do chúng tương tự như nhau nên nslookup có thể bị xóa bỏ khỏi gói tiện ích BIND trong

tương lai. Vì lý do đó, chúng ta sẽ chỉ tập chung vào công cụ host. Sử dụng mặc định của

nslookup và host giống như sau:

[Paris:~] mike% nslookup -silent www.antihackertoolkit.com

Server:

Address:



20.0.2.1

20.0.2.1#53



Non-authoritative answer:

www.antihackertoolkit.com



canonical name = antihackertoolkit.com.



Name: antihackertoolkit.com

Address: 66.92.16.207

[Paris:~] mike% host www.antihackertoolkit.com

www.antihackertoolkit.com has address 66.92.16.207

Bạn có thể thấy cả những lệnh nói cho chúng ta biết địa chỉ IP của

http://www.antihackertoolkit.com

[Paris:~] mike% host antihackertoolkit.com

antihackertoolkit.com has address 69.250.207.79

Ở đây chúng ta đã khám phá rằng antihackertoolkit.com giải quyết địa chỉ IP tương tự như

http://www.antihackertoolkit.com (không có gì ngạc nhiên).Tiện ích hostcó thể được sử dụng để

thu thập thông tin theo những kiểu khác sử dụng tùy chọn dòng lệnh - t. Những truy

vấn cơ bản cho hostname để ánh xạ địa chỉ (a), đặc tả tên máy chủ (ns), đặc tả xử lý mail (mx),

ánh xạ địa chỉ tới tên host (ptr).Bởi vì hầu hết các máy chủ DNS sẽ sử dụng bộ đệm dữ liệu để

giảm lượng tìm kiếm và truy vấn chúng phải gửi tới các máy chủ thẩm quyền khác, bản ghi SOA

nằm trên máy chủ có thể được sử dụng để chỉ thời gian một mục DNS tồn tại trên bộ đệm trước

khi nó hết hiệu lực. Ví dụ, SOA của antihackertoolkit.com từ máy chủ DNS của nó chỉ ra rằng

thông tin DNS sẽ chỉ được xem xét hợp lệ trong khoảng 86400 giây (24 giờ) thông qua trường

TTL (time-to-live).Sau 24 giờ những máy chủ DNS sẽ dừng sử dụng thông tin bộ đệm về

domain và kiểm tra máy chủ DNS chính để tìm nếu thông tin được thay đổi.Một thống kê các

trường của SOA được cung cấp trong bảng Table 2-2:

[Paris: ~] mike% host -t mx antihackertoolkit.com

antihackertoolkit.com mail is handled by 0 mail.aidenjones.com

[Paris: ~] mike% host -t soa antihackertoolkit.com



33



antihackertoolkit.com SOA dns22.register.com. root.register.com

200205343 20800 3600 604800 86400

Table 2-2: DNS Start of Authority Field Descriptions

SOA Field



De



serial (version)



Th



refresh period



Ti



retry refresh this often



If



expiration period



Nu



minimum TTL



Ch



Nếu bạn muốn thử tất cả những kiểu truy vấn tới một máy chủ DSN sử dụng một cờ - a.Nhiều

bản ghi SOA của những máy chủ DNS thứ cấp sẽ kiểm tra với những máy chủ DNS cao cấp để

cập nhật các bản ghi.Quá trình những máy chủ thứ cấp cập nhật những bản ghi của chúng từ máy

chủ cấp cao hơn được gọi là một zone transfer.Hầu hết các máy chủ DNS không cho phép bất kỳ

ai thực hiện một zone transfer, bởi vì nó cung cấp những ánh xạ IP/hostname cho mỗi host trong

miền. Những người quản trị viên sẽ cấu hình những máy chủ DNS của họ và chỉ những máy chủ

thứ cấp mới có thể thực hiện zone transfers.Trong thực tế, đôi khi điều này cũng bị bỏ

quên.Chúng ta chạy một ví dụ zone transfer tới một miền khác: wedgie.org. Hầu hết DNS và

những nhà quản trị mạng bắt đầu xử lý các khối zone transfers.

bash-2.03$ host -l wedgie.org

wedgie.org name server got.wedgie.org

wedgie.org has address 66.92.16.207

tele.wedgie.org has address 207.296.92.133

fear-bob-the-dinosaur-giving-you-a.wedgie.org has address 229.2.176.36

frozen.otters.give.good.wedgie.org has address 226.62.54.242

painful.wedgie.org has address 226.282.169.29

mini.wedgie.org has address 226.282.169.28

got.wedgie.org has address 66.92.16.207



34



Chú ý: Khi chúng ta không chỉ ra một kiểu truy vấn , mặc định là những bản ghi A. Nếu

bạn muốn tìm tất cả các kiểu bản ghi liên quan tới một miền khi bạn cố gắng

chuyển giao vùng (zone transfer), thử host –t any –l domainname.com

Qua ví dụ về zone transfer ở trên bạn có thể tìm thấy một danh sách host và IP của một miền và

có thể rất hữu ích cho một cuộc tấn công.Một chuyển giao miền (zone transfer) là một phương

thức khám phá thông tin mạng nhanh và dễ dàng.

Lệnh host sử dụng tên máy chủ mặc định như là mặc định khi thực thi các truy vấn. Nếu bạn

muốn truy vấn một tên máy chủ khác đơn giản là chỉ ra hostname của nó hoặc địa chỉ IP ở cuối

dòng lệnh ví dụ như host – lhttp://www.yahoo.comhttp://www.dns.yahoo.com

Công dụ dig cũng tương tự như host và nslookup, nhưng nó đưa cho bạn nhiều thông tin đầu vào

và đầu ra dạng thô hơn là sự thân thiện của host và nslookup.Với dig điều đầu tiên bạn cần là chỉ

ra máy chủ DNS mà bạn yêu cầu truy vấn (sử dụng tiền tố @), trước host hoặc domain bạn đang

truy vấn tới và sau đó gõ truy vấn. Những kiểu truy vấn tương tự như host và bạn có thể đọc

nhiều hơn về chúng trong RFC 2035

(http://www.fags.org/rfcs/rfc2035.html). Đây là một zone transfer với dig:

bash-2.03$ dig @got.wedgie.org wedgie.org axfr



; <<>> DiG 8.3 <<>> @got.wedgie.org wedgie.org axfr

; (2 server found)

$ORIGIN wedgie.org.

@



2H IN SOA



@ nobody.wedgie.org. (



2003022006



; serial



2H



; refresh



5M



; retry



5w6d26h

2H )



2H IN NS

2H IN A

2H IN MX



; expiry

; minimum



got

66.92.16.207

20 got

35