Носов В.В. "Технології аудиту інформаційних систем"
Лекція 5. Виявлення комп'ютерів, підключених до Internet
Навчальні питання
1. Міжмережевий протокол управляючих повідомлень ICMP
2. Виявлення комп'ютерів, підключених до Internet
Час: 2 акад. г.
Література
-
http://www.soslan.ru.
-
Мак-Клар Стюарт, Скрембрей Джоел, Курц Джордж. Секреты хакеров. Безопасность сетей – готовые решения. :Пер. с англ. – М.: Издательский дом "Вильямс", 2002. с. 53 – 86.
Вступ
Если процесс предварительного сбора данных можно сравнить со скрытым наблюдением, цель которого — добыть как можно больше информации, не выдавая себя, то зондирование и сканирование — это "разведка боем". Цель зондирования и сканирования — выявить открытые "окна" и "двери". В предварительно собранной информации содержатся сведения об адресах подсетей и отдельных компьютеров, полученных с помощью запросов whois и переноса зоны. Информация, собранная на этом этапе, очень ценна для взломщика, поскольку содержит такие данные, как имена и фамилии сотрудников, номера телефонов, диапазоны IP-адресов, адреса DNS-серверов и почтовых серверов. Теперь можно приступать к выявлению тех компьютеров, которые подключены к сети и достижимы из Internet. Для этого будут использоваться разнообразные средства и приемы, такие как
-
ping-запросы,
-
сканирование портов
-
и различные методы, позволяющие автоматизировать выполнение этих задач.
Необходимо отметить, что факт наличия IP-адреса в перенесенной зоне еще не означает, что к соответствующему узлу можно получить доступ через Internet. Необходимо проверить каждый конкретный компьютер в отдельности и выяснить, подключен ли он к Internet и имеются ли на нем порты, находящиеся в состоянии ожидания запросов. Встречаются немало неправильно настроенных DNS-серверов, которые предоставляют всем желающим адреса обслуживаемых ими частных сетей (например, 10.10.10.0). Поскольку такие адреса не маршрутизируются в Internet, вы понапрасну будете тратить время, пытаясь связаться с ними. Более подробная информация о том, какие адреса являются маршрутизируемыми, приведена в документе RFC 1918 (http://www.ietf.org/rfc/rfcl918.txt).
Теперь давайте перейдем ко второму этапу сбора информации — зондированию и сканированию. В этой лекции рассмотрим только зондирование.
-
Міжмережевий протокол управляючих повідомлень icmp
ICMP (англ. Internet Control Message Protocol — межсетевой протокол управляющих сообщений) — сетевой протокол, входящий в стек протоколов TCP/IP. В основном ICMP используется для передачи сообщений об ошибках и других исключительных ситуациях, возникших при передаче данных. Также на ICMP возлагаются некоторые сервисные функции.
ICMP сообщения передаются внутри IP датаграмм.
Рис. 1 Инкапсуляция ICMP сообщений в IP датаграмме
Протокол ICMP описан в RFC 792 (с дополнениями в RFC 950) и является стандартом Интернета (входит в стандарт STD 5 вместе с IP). Хотя формально ICMP использует IP (ICMP пакеты инкапсулируются в IP пакеты), он является неотъемлемой частью IP и обязателен при реализации стека TCP/IP. Текущая версия ICMP для IPv4 называется ICMPv4. В IPv6 существует аналогичный протокол ICMPv6.
Протокол ICMP не делает протокол IP средством надёжной доставки сообщений. Для этих целей существует TCP.
ICMP сообщения (тип 12) генерируются при нахождении ошибок в заголовке IP пакета (за исключением самих ICMP пакетов, дабы не привести к бесконечно растущему потоку ICMP сообщений об ICMP сообщениях).
ICMP сообщения (тип 3) генерируются маршрутизатором при отсутствии маршрута к адресату.
Утилита ping, служащая для проверки возможности доставки IP пакетов использует ICMP сообщения с типом 8 (эхо-запрос) и 0 (эхо-ответ).
Утилита traceroute, отображающая путь следования IP пакетов, использует ICMP сообщения с типом 11.
ICMP сообщения с типом 5 используются маршрутизаторами для обновления записей в таблице маршрутизации отправителя.
ICMP сообщения с типом 4 используются получателем (или промежуточным маршрутизатором) для управления скоростью отправки сообщений отправителем.
Формат ICMP-пакета
|
Бит |
0 ‑ 7 |
8 ‑ 15 |
16 ‑ 31 |
|
0 |
Тип |
Код |
Контрольная сумма |
|
32 |
Содержание сообщения (зависит от значений полей «Код» и «Тип») |
||
Типы сообщений ICMP
В табл.1 приведены возможные типы ICMP сообщений, как они определяются полями типа (type) и кода (code).
Последние две колонки на рисунке указывают, является ли ICMP сообщение запросом (query) или сообщением об ошибке (error). Подобное разделение необходимо, потому что сообщения об ошибках ICMP иногда обрабатываются специальным образом. Например, ICMP сообщение об ошибке никогда не генерируется в ответ на ICMP сообщение об ошибке. (Если не придерживаться этого правила, то ошибка будет генерироваться на ошибку до бесконечности.)
Когда посылается ICMP сообщение об ошибке, оно всегда содержит IP заголовок и первые 8 байт IP датаграммы, которая вызвала генерацию ICMP ошибки. Это позволяет принимающему ICMP модулю установить соответствие между полученным сообщением, одним из конкретных протоколов (TCP или UDP из поля протоколов в IP заголовке) и с одним из конкретных пользовательских процессов (с помощью номера порта TCP или UDP, который содержится в TCP или UDP заголовке в первых 8 байтах IP датаграммы).
Сообщение об ошибке ICMP никогда не генерируется в ответ на:
-
ICMP сообщение об ошибке. (ICMP сообщение об ошибке, однако, может быть сгенерировано в ответ на ICMP запрос.)
-
Датаграмму, направляющуюся на широковещательный IP адрес или групповой адрес IP.
-
Датаграмму, которая посылается широковещательным запросом на канальном уровне.
-
Фрагмент, который не является первым.
-
Датаграмму, адрес источника которой не указывает на конкретный хост. Это означает, что адрес источника не может быть нулевым, loopback адресом, широковещательным или групповым адресом.
Таблица 1. Типы сообщений ICMP
|
тип |
код |
Описание |
запрос |
ошибка |
|
0 |
0 |
эхо-отклик (отклик-Ping) |
+ |
|
|
3 |
|
назначение недоступно: |
|
|
|
|
0 |
сеть недоступна - network unreachable |
|
+ |
|
|
1 |
хост недоступен - host unreachable |
|
+ |
|
|
2 |
протокол недоступен - protocol unreachable |
|
+ |
|
|
3 |
порт недоступен - port unreachable |
|
+ |
|
|
4 |
необходима фрагментация, однако установлен бит “не фрагментировать”- fragmentation needed but don’t-fragment bit set |
|
+ |
|
|
5 |
не работает маршрутизация от источника - source route failed |
|
+ |
|
|
6 |
неизвестна сеть назначения - destination network unknown |
|
+ |
|
|
7 |
неизвестен хост назначения - destination host unknown |
|
+ |
|
|
8 |
хост источник изолирован - source host isolated |
|
+ |
|
|
9 |
сеть назначения закрыта администратором - destination network administrativrly prohibited |
|
+ |
|
|
10 |
хост назначения закрыт администратором - destination host administrativrly prohibited |
|
+ |
|
|
11 |
сеть недоступна для TOS - network unreachable for TOS |
|
+ |
|
|
12 |
хост недоступен для TOS - host unreachable for TOS |
|
+ |
|
|
13 |
связь административно закрыта путем фильтрации - communication administratively prohibited by filtering |
|
+ |
|
|
14 |
нарушено старшинство для хоста - host precedence violation |
|
+ |
|
|
15 |
старшинство разъединено - precedence cutoff in effect |
|
+ |
|
4 |
0 |
подавление источника (элементарное управление потоком данных) - source quench |
|
+ |
|
5 |
|
перенаправление - redirect |
|
|
|
|
0 |
перенаправление в сеть - redirect for network |
|
+ |
|
|
1 |
перенаправление в хост - redirect for host |
|
+ |
|
|
2 |
перенаправление для типа сервиса и сети - redirect for type-of-service and network |
|
+ |
|
|
3 |
перенаправление для типа сервиса и хоста - redirect for type-of-service and host |
|
+ |
|
8 |
0 |
эхо запрос - echo request (Ping запрос) |
+ |
|
|
9 |
0 |
объявление маршрутизатора - router advertisement |
+ |
|
|
10 |
0 |
запрос к маршрутизатору - router solicitation |
+ |
|
|
11 |
|
время истекло - time exceeded: |
|
|
|
|
0 |
время жизни стало равным 0 в процессе передачи - time-to-live equals 0 during transit (Traceroute) |
|
+ |
|
|
1 |
время жизни стало равным 0 в процессе повторной сборки - time-to-live equals 0 during reassembly |
|
+ |
|
12 |
|
проблемы с параметрами - parameter problem: |
|
|
|
|
0 |
неверный IP заголовок - IP header bad |
|
+ |
|
|
1 |
отсутствует необходимая опция - required option missing |
|
+ |
|
13 |
0 |
запрос временной марки - timestamp request |
+ |
|
|
14 |
0 |
отклик с временной маркой - timestamp reply |
+ |
|
|
15 |
0 |
информационный запрос - information request |
+ |
|
|
16 |
0 |
информационный отклик - information reply |
+ |
|
|
17 |
0 |
запрос маски адреса - address mask request |
+ |
|
|
18 |
0 |
отклик с маской адреса - address mask reply |
+ |
|