Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:

ТПАСБ / Лекции / pdf / lec5

.pdf
Скачиваний:
77
Добавлен:
24.02.2016
Размер:
494.51 Кб
Скачать

Носов В.В. "Технології аудиту інформаційних систем"

Лекція 5. Виявлення комп'ютерів, підключених до Internet

Навчальні питання

1.Міжмережевий протокол управляючих повідомлень ICMP

2.Виявлення комп'ютерів, підключених до Internet

Час: 2 акад. г.

Література

1.http://www.soslan.ru.

2.Мак-Клар Стюарт, Скрембрей Джоел, Курц Джордж. Секреты хакеров. Безопасность сетей – готовые решения. :Пер. с англ. – М.: Издательский дом

"Вильямс", 2002. с. 53 – 86.

Вступ

Если процесс предварительного сбора данных можно сравнить со скрытым наблюдением, цель которого — добыть как можно больше информации, не выдавая себя, то зондирование и сканирование — это "разведка боем". Цель зондирования и

сканирования — выявить открытые "окна" и "двери". В предварительно собранной информации содержатся сведения об адресах подсетей и отдельных компьютеров,

полученных с помощью запросов whois и переноса зоны. Информация, собранная на

этом этапе, очень ценна для взломщика, поскольку содержит такие данные, как имена и фамилии сотрудников, номера телефонов, диапазоны IP-адресов, адреса DNS-серверов

и почтовых серверов. Теперь можно приступать к выявлению тех компьютеров, которые

подключены к сети и достижимы из Internet. Для этого будут использоваться разнообразные средства и приемы, такие как

ping-запросы,

сканирование портов

и различные методы, позволяющие автоматизировать выполнение этих задач.

Необходимо отметить, что факт наличия IP-адреса в перенесенной зоне еще не означает, что к соответствующему узлу можно получить доступ через Internet.

Необходимо проверить каждый конкретный компьютер в отдельности и выяснить,

подключен ли он к Internet и имеются ли на нем порты, находящиеся в состоянии ожидания запросов. Встречаются немало неправильно настроенных DNS-серверов,

которые предоставляют всем желающим адреса обслуживаемых ими частных сетей

(например, 10.10.10.0). Поскольку такие адреса не маршрутизируются в Internet, вы понапрасну будете тратить время, пытаясь связаться с ними. Более подробная информация о том, какие адреса являются маршрутизируемыми, приведена в документе

RFC 1918 (http://www.ietf.org/rfc/rfcl918.txt).

Теперь давайте перейдем ко второму этапу сбора информации — зондированию и сканированию. В этой лекции рассмотрим только зондирование.

1. Міжмережевий протокол управляючих повідомлень ICMP

ICMP (англ. Internet Control Message Protocol — межсетевой протокол управляющих сообщений) — сетевой протокол, входящий в стек протоколов TCP/IP. В основном ICMP используется для передачи сообщений об ошибках и других исключительных ситуациях, возникших при передаче данных. Также на ICMP возлагаются некоторые сервисные функции.

ICMP сообщения передаются внутри IP датаграмм.

Рис. 1 Инкапсуляция ICMP сообщений в IP датаграмме

1

Носов В.В. "Технології аудиту інформаційних систем"

Протокол ICMP описан в RFC 792 (с дополнениями в RFC 950) и является стандартом Интернета (входит в стандарт STD 5 вместе с IP). Хотя формально ICMP использует IP (ICMP пакеты инкапсулируются в IP пакеты), он является неотъемлемой частью IP и обязателен при реализации стека TCP/IP. Текущая версия ICMP для IPv4 называется ICMPv4. В IPv6 существует аналогичный протокол ICMPv6.

Протокол ICMP не делает протокол IP средством надёжной доставки сообщений. Для этих целей существует TCP.

ICMP сообщения (тип 12) генерируются при нахождении ошибок в заголовке IP пакета (за исключением самих ICMP пакетов, дабы не привести к бесконечно растущему потоку ICMP сообщений об ICMP сообщениях).

ICMP сообщения (тип 3) генерируются маршрутизатором при отсутствии маршрута к адресату.

Утилита ping, служащая для проверки возможности доставки IP пакетов использует ICMP сообщения с типом 8 (эхо-запрос) и 0 (эхо-ответ).

Утилита traceroute, отображающая путь следования IP пакетов, использует ICMP сообщения с типом 11.

ICMP сообщения с типом 5 используются маршрутизаторами для обновления записей в таблице маршрутизации отправителя.

ICMP сообщения с типом 4 используются получателем (или промежуточным маршрутизатором) для управления скоростью отправки сообщений отправителем.

Формат ICMP-пакета

Бит

0 - 7

8 - 15

16 - 31

0

Тип

Код

Контрольная сумма

32

Содержание сообщения (зависит от значений полей «Код» и «Тип»)

Типы сообщений ICMP

В табл.1 приведены возможные типы ICMP сообщений, как они определяются полями типа

(type) и кода (code).

Последние две колонки на рисунке указывают, является ли ICMP сообщение запросом (query) или сообщением об ошибке (error). Подобное разделение необходимо, потому что сообщения об ошибках ICMP иногда обрабатываются специальным образом. Например, ICMP сообщение об ошибке никогда не генерируется в ответ на ICMP сообщение об ошибке. (Если не придерживаться этого правила, то ошибка будет генерироваться на ошибку до бесконечности.)

Когда посылается ICMP сообщение об ошибке, оно всегда содержит IP заголовок и первые 8 байт IP датаграммы, которая вызвала генерацию ICMP ошибки. Это позволяет принимающему ICMP модулю установить соответствие между полученным сообщением, одним из конкретных протоколов (TCP или UDP из поля протоколов в IP заголовке) и с одним из конкретных пользовательских процессов (с помощью номера порта TCP или UDP, который содержится в TCP или UDP заголовке в первых 8 байтах IP датаграммы).

Сообщение об ошибке ICMP никогда не генерируется в ответ на:

1.ICMP сообщение об ошибке. (ICMP сообщение об ошибке, однако, может быть сгенерировано в ответ на ICMP запрос.)

2.Датаграмму, направляющуюся на широковещательный IP адрес или групповой адрес IP.

3.Датаграмму, которая посылается широковещательным запросом на канальном уровне.

4.Фрагмент, который не является первым.

5.Датаграмму, адрес источника которой не указывает на конкретный хост. Это означает, что адрес источника не может быть нулевым, loopback адресом, широковещательным или групповым адресом.

 

 

 

Таблица 1. Типы сообщений ICMP

тип

код

Описание

 

запрос

ошибка

 

 

 

 

 

 

 

 

0

0

эхо-отклик (отклик-Ping)

 

+

 

 

 

 

 

 

 

 

 

2

Носов В.В. "Технології аудиту інформаційних систем"

3

 

назначение недоступно:

 

 

 

 

 

 

 

 

0

сеть недоступна - network unreachable

 

+

 

 

 

 

 

 

1

хост недоступен - host unreachable

 

+

 

 

 

 

 

 

2

протокол недоступен - protocol unreachable

 

+

 

 

 

 

 

 

3

порт недоступен - port unreachable

 

+

 

 

 

 

 

 

4

необходима фрагментация, однако установлен бит не

 

+

 

 

фрагментировать”- fragmentation needed but don’t-fragment

 

 

 

 

bit set

 

 

 

5

не работает маршрутизация от источника - source route failed

 

+

 

 

 

 

 

 

6

неизвестна сеть назначения - destination network unknown

 

+

 

 

 

 

 

 

7

неизвестен хост назначения - destination host unknown

 

+

 

 

 

 

 

 

8

хост источник изолирован - source host isolated

 

+

 

 

 

 

 

 

9

сеть назначения закрыта администратором - destination

 

+

 

 

network administrativrly prohibited

 

 

 

10

хост назначения закрыт администратором - destination host

 

+

 

 

administrativrly prohibited

 

 

 

11

сеть недоступна для TOS - network unreachable for TOS

 

+

 

 

 

 

 

 

12

хост недоступен для TOS - host unreachable for TOS

 

+

 

 

 

 

 

 

13

связь административно закрыта путем фильтрации -

 

+

 

 

communication administratively prohibited by filtering

 

 

 

14

нарушено старшинство для хоста - host precedence violation

 

+

 

 

 

 

 

 

15

старшинство разъединено - precedence cutoff in effect

 

+

 

 

 

 

 

4

0

подавление источника (элементарное управление потоком

 

+

 

 

данных) - source quench

 

 

 

 

 

 

 

5

 

перенаправление - redirect

 

 

 

 

 

 

 

 

0

перенаправление в сеть - redirect for network

 

+

 

 

 

 

 

 

1

перенаправление в хост - redirect for host

 

+

 

 

 

 

 

 

2

перенаправление для типа сервиса и сети - redirect for type-

 

+

 

 

of-service and network

 

 

 

3

перенаправление для типа сервиса и хоста - redirect for type-

 

+

 

 

of-service and host

 

 

 

 

 

 

 

8

0

эхо запрос - echo request (Ping запрос)

+

 

 

 

 

 

 

9

0

объявление маршрутизатора - router advertisement

+

 

 

 

 

 

 

10

0

запрос к маршрутизатору - router solicitation

+

 

 

 

 

 

 

3

Носов В.В. "Технології аудиту інформаційних систем"

11

 

время истекло - time exceeded:

 

 

 

 

 

 

 

 

0

время жизни стало равным 0 в процессе передачи - time-to-

 

+

 

 

live equals 0 during transit (Traceroute)

 

 

 

 

 

 

 

 

1

время жизни стало равным 0 в процессе повторной сборки -

 

+

 

 

time-to-live equals 0 during reassembly

 

 

 

 

 

 

 

12

 

проблемы с параметрами - parameter problem:

 

 

 

 

 

 

 

 

0

неверный IP заголовок - IP header bad

 

+

 

 

 

 

 

 

1

отсутствует необходимая опция - required option missing

 

+

 

 

 

 

 

13

0

запрос временной марки - timestamp request

+

 

 

 

 

 

 

14

0

отклик с временной маркой - timestamp reply

+

 

 

 

 

 

 

15

0

информационный запрос - information request

+

 

 

 

 

 

 

16

0

информационный отклик - information reply

+

 

 

 

 

 

 

17

0

запрос маски адреса - address mask request

+

 

 

 

 

 

 

18

0

отклик с маской адреса - address mask reply

+

 

 

 

 

 

 

 

 

 

 

 

2. Виявлення комп'ютерів, підключених до Internet

Одним из основных этапов в определении структуры сети является ее автоматизированное зондирование с помощью утилиты ping по диапазону IP-адресов или адресам подсетей. Цель такого зондирования — определить, имеется ли у

отдельных компьютеров подключение к Internet.

Утилита ping отправляет пакеты ICMP ECHO (тип 8) указанному компьютеру и

ожидает ответного пакета ICMP ECHO_REPLY (тип 0). Получение такого ответа говорит о том, что компьютер в данный момент подключен к Internet. Хотя при некоторой настойчивости с помощью утилиты ping можно определить количество постоянно подключенных к Internet компьютеров в небольшой и даже средней сети, ручной перебор

сетевых адресов будет малоэффективен, если необходимо обследовать корпоративную

сеть крупной организации. Для сканирования сети класса А (рис. 1) может потребоваться слишком много времени. Для повышения эффективности сканирования необходимо

познакомиться с различными способами выявления компьютеров, подключенных к

Internet.

4

Носов В.В. "Технології аудиту інформаційних систем"

Рис. 1. Классы IP-адресов

Для выполнения ping-запросов можно воспользоваться любым из многочисленных

средств, разработанных как для системы UNIX, так и для Windows NT. В мире UNIX одним из самых надежных и проверенных средств такого зондирования является

утилита fping (http://packetstorm.securify.com/Exploit_Code_Archive/- fping.tar.gz). В отличие от других подобных утилит, которые перед переходом к тестированию следующего компьютера ожидают ответа на ранее посланный запрос, утилита fping рассылает все запросы одновременно, а затем ожидает ответа сразу от всех узлов. Именно поэтому утилита fping обеспечивает гораздо более высокую скорость зондирования большого диапазона IP-адресов, чем обычная утилита ping.

Утилиту fping можно использовать двумя способами:

передав в стандартный входной поток перечень IP-адресов,

считав эти адреса из предварительно созданного текстового файла.

Втаком файле каждый IP-адрес помещается в отдельную строку.

[root@andLinux]# fping -g 92.49.203.1/24 92.49.203.10 is alive

92.49.203.35 is alive 92.49.203.12 is alive 92.49.203.43 is alive 92.49.203.60 is alive 92.49.203.65 is alive

Для чтения IP-адресов из файла можно воспользоваться параметром -f утилиты fping.

[tsunami]$ fping -f in.txt

192.168.1.254 is alive 192.168.1.227 is alive 192.168.1.224 is alive

………….

192.168.1.3 is alive 192.168.1.2 is alive 192.168.1.1 is alive 192.168.1.190 is alive

Параметр утилиты fping предназначен для включения режима, в котором выводится информация обо всех активных в данный момент компьютерах сети. Если нужно, утилита может выводить и информацию об именах узлов. Этот режим

включается с помощью параметра -d. Параметр лучше всего использовать в сценариях оболочки, а параметр -d — при исследовании сети на предмет поиска определенных узлов. Среди других параметров необходимо упомянуть -f, который

позволяет вводить адреса из заранее подготовленного файла, а также -h, с помощью

5

Носов В.В. "Технології аудиту інформаційних систем"

которого можно получить перечень всех параметров утилиты и режимов их использования.

Еще одной утилитой является утилита nmap, созданная Федором (Fyodor) (www.insecure.org/nmap). Более подробно эта утилита будет рассматриваться ниже,

однако будет нелишним упомянуть, что, кроме всех остальных возможностей, данная

утилита также позволяет выполнить зондирование узлов сети. Для включения

соответствующего режима необходимо указать параметр -sP.

[tsunami] nmap -sP 192.168.1.0/24

Starting nmap V. 2.53 by fyodor@insecure.org (www.insecure.org/nmap/ )

Host

(192.168.1.0)

seems to be a subnet broadcast

address

(returned 3

extra pings).

Host

(192.168.1.1) appears to be up.

Host

(192.168.1.10) appears to be up.

Host

(192.168.1.11) appears to be up.

Host

(192.168.1.15) appears to be up.

Host

(192.168.1.20) appears to be up.

Host

(192.168.1.50) appears to be up.

Host

(192.168.1.101)

appears to be up.

Host

(192.168.1.102)

appears to be up.

Host

(192.168.1.255)

seems to be a subnet broadcast

address

(returned 3

extra pings).

Nmap run completed —

256

IP addresses (10 hosts up) scanned in 21 seconds

Существует версия nmap и под Windows.

Имеется также бесплатная утилита Finger (http://www.nmrc.org/files/snt/).

Эта утилита является одной из самых быстрых в своем классе. Как и fping, утилита Finger одновременно рассылает несколько ICMP-пакетов ECHO, а затем ожидает поступления ответов. Кроме того, Finger позволяет также получать имена узлов и

сохранять результаты своей работы в файле. Такой же скоростью, как и Finger, обладает коммерческий продукт Ping Sweep, предлагаемый компанией SolarWinds

(www.solarwinds.net). Поразительная скорость работы Ping Sweep объясняется тем, что данная программа позволяет устанавливать время задержки между передаваемыми пакетами (delay time). Установив это значение равным 0 или 1, можно просканировать

всю сеть класса С, и получить имена ее узлов менее чем за 7 секунд. Однако при

использовании этих средств соблюдайте осторожность, поскольку в этом случае можно значительно снизить пропускную способность какого-нибудь низкоскоростного канала, например, канала ISDN с пропускной способностью 128 Кбит/с или Frame Relay (не говоря уже о спутниковом или инфракрасном канале).

Среди других утилит Windows, предназначенных для зондирования сети, можно

отметить

WS_Ping Pro Pack (www.ipswitch.com) NetscanTools (www.nwpsw.com).

Хотя возможностей этих утилит вполне достаточно для зондирования небольших

сетей, они значительно медленнее Pinger и Ping Sweep. Кроме того, не забывайте, что

утилиты с графическим интерфейсом, несмотря на удобство их использования, лишают вас возможности их применения в сценариях и автоматизированных процедурах.

Возможно, вы хотите спросить, как поступать, если исследуемый узел блокирует сообщения ICMP? Хороший вопрос. Такой подход зачастую применяется на тех узлах, администраторы которых заботятся о безопасности и блокируют пакеты ICMP на пограничном маршрутизаторе или брандмауэре. Однако, несмотря на блокировку пакетов ICMP, существуют дополнительные средства и методы, позволяющие определить, подключен ли такой узел к сети или нет. Вместе с тем необходимо отметить, что все эти средства оказываются не такими точными и эффективными, как обычные утилиты семейства ping.

6

Носов В.В. "Технології аудиту інформаційних систем"

В тех случаях, когда обмен данными по протоколу ICMP заблокирован, в первую очередь, применяется метод сканирования портов (port scanning), который более

подробно рассмотрен ниже. Просканировав стандартные порты каждого потенциального IP-адреса сети, можно определить, какие узлы подключены к сети. Если порт открыт

(opened mode) или находится в режиме ожидания (listening mode), значит, по данному адресу находится подключенный к Internet узел сети. Недостатками этого метода являются большие временные затраты и некоторая неопределенность результата (если

по какому-то адресу не удалось обнаружить ни одного порта, то это еще не означает, что соответствующий узел не подключен к Internet). Одной из утилит, которые можно

использовать для сканирования портов, является nmap. Как уже упоминалось, с

помощью этой утилиты можно проводить ICMP-зондирование, однако этим перечень ее

возможностей далеко не исчерпывается.

В частности, эта утилита позволяет выполнять так называемое TCP-зондирование

сканированием (TCP ping scan). Данный режим включается с помощью параметра -РТ и

указания номера порта, например 80. Выбор порта с номером 80 обусловлен тем, что в

подавляющем большинстве случаев именно он используется узлами сети для обмена данными через пограничные маршрутизаторы или брандмауэры с компьютерами,

расположенными в так называемой демилитаризованной зоне (DMZ — demilitarized zone). При использовании указанного параметра утилита рассылает узлам исследуемой

сети пакеты АСК, а затем ожидает поступления пакетов RST, что свидетельствует о том, что узел подключен к Internet.

[tsunami]

nmap -sP -PT80 192.168.1.0/24

TCP probe port is 80

 

Starting nmap V.

2.53

appears to be up.

Host

(192.168.1.0)

Host

(192.168.1.1)

appears to be up.

Host shadow

(192.168.1.10) appears to be up.

Host

(192.168.1.11)

appears to be up.

Host

(192.168.1.15)

appears to be up.

Host

(192.168.1.20)

appears to be up.

Host

(192.168.1.50)

appears to be up.

Host

(192.168.1.101)

appears to be up.

Host

(192.168.1.102)

appears to be up.

Host

(192.168.1.255)

appears to be up.

Nmap run completed

(10 hosts up) scanned in 5 seconds

Как видно из приведенного выше листинга, этот метод определения подключенных

к Internet узлов очень эффективен, даже если на них блокируется передача пакетов ICMP. С помощью утилиты nmap имеет смысл провести несколько подобных проверок,

тестируя такие стандартные порты, как SMTP (25), POP (110), AUTH (113), IMAP (143)

или другие порты, которые, по вашим сведениям, могут быть уникальными на каком-

либо компьютере исследуемой сети.

Еще одной утилитой, специально предназначенной для TCP-зондирования, является утилита hping (http://www.kyuzz.org/antirez/). По возможностям она

даже превосходит утилиту nmap. Утилита hping позволяет пользователям управлять параметрами пакета TCP, что может обеспечить проникновение отправляемых пакетов

даже через некоторые устройства управления доступом. Так, установив порт назначения с помощью параметра , можно обойти некоторые устройства управления доступом

точно так же, как это было сделано с применением утилиты traceroute.

[root@andLinux]# hping3 -help usage: hping3 host [options]

-h

--help

show this help

-v

--version

show version

-c

--count

packet count

-i

--interval

wait (uX for X microseconds, for example -i u1000)

 

--fast

alias for -i u10000 (10 packets for second)

 

--faster

alias for -i u1000 (100 packets for second)

7

8

 

 

Носов В.В. "Технології аудиту інформаційних систем"

-n

--flood

sent packets as fast as possible. Don't show replies.

--numeric

numeric output

 

-q

--quiet

quiet

 

-I

--interface interface name (otherwise default routing interface)

-V

--verbose

verbose mode

 

-D

--debug

debugging info

(default to dst port)

-z

--bind

bind ctrl+z to ttl

-Z

--unbind

unbind ctrl+z

 

Mode

--beep

beep for every matching packet received

 

TCP

 

default mode

 

-0

--rawip

RAW IP mode

 

-1

--icmp

ICMP mode

 

-2

--udp

UDP mode

 

-8

--scan

SCAN mode.

 

-9

--listen

Example: hping --scan 1-30,70-90 -S www.target.host

listen mode

 

IP

--spoof

spoof source address

 

-a

 

--rand-dest

random destionation address mode. see the man.

--rand-source

random source address mode. see the man.

-t

--ttl

ttl (default 64)

 

-N

--id

id (default random)

 

-W

--winid

use win* id byte ordering

(to estimate host traffic)

-r

--rel

relativize id field

-f

--frag

split packets in more frag.

(may pass weak acl)

-x

--morefrag

set more fragments flag

 

-y

--dontfrag

set dont fragment flag

 

-g

--fragoff

set the fragment offset

 

-m

--mtu

set virtual mtu, implies --frag if packet size > mtu

-o

--tos

type of service (default 0x00), try --tos help

-G

--rroute

includes RECORD_ROUTE option and display the route buffer

--lsrr

loose source routing and record route

--ssrr

strict source routing and record route

-H

--ipproto

set the IP protocol field, only in RAW IP mode

ICMP

--icmptype

icmp type (default echo request)

-C

-K

--icmpcode

icmp code (default 0)

 

 

--force-icmp

send all icmp types (default send only supported types)

 

--icmp-gw

set gateway address for ICMP redirect (default 0.0.0.0)

 

--icmp-ts

Alias for --icmp --icmptype 13 (ICMP timestamp)

 

--icmp-addr

Alias for --icmp --icmptype 17 (ICMP address subnet mask)

 

--icmp-help

display help for others icmp options

UDP/TCP

base source port

(default random)

-s

--baseport

-p

--destport

[+][+]<port> destination port(default 0) ctrl+z inc/dec

-k

--keep

keep still source port

 

-w

--win

winsize (default 64)

(instead of tcphdrlen / 4)

-O

--tcpoff

set fake tcp data offset

-Q

--seqnum

shows only tcp sequence number

-b

--badcksum

(try to) send packets with a bad IP checksum

 

 

many systems will fix the IP checksum sending the packet

-M

--setseq

so you'll get bad UDP/TCP checksum instead.

set TCP sequence number

 

-L

--setack

set TCP ack

 

-F

--fin

set FIN flag

 

-S

--syn

set SYN flag

 

-R

--rst

set RST flag

 

-P

--push

set PUSH flag

 

-A

--ack

set ACK flag

 

-U

--urg

set URG flag

 

-X

--xmas

set X unused flag (0x40)

 

-Y

--ymas

set Y unused flag (0x80)

 

--tcpexitcode

use last tcp->th_flags as exit code

--tcp-timestamp

enable the TCP timestamp option to guess the HZ/uptime

 

 

 

Носов В.В. "Технології аудиту інформаційних систем"

Common

--data

data size

(default is 0)

-d

-E

--file

data from file

 

-e

--sign

add 'signature'

 

-j

--dump

dump packets in hex

 

-J

--print

dump printable characters

 

-B

--safe

enable 'safe' protocol

 

-u

--end

tell you when --file reached EOF and prevent rewind

-T

--traceroute

traceroute mode

(implies --bind and --ttl 1)

--tr-stop

Exit when receive the first not ICMP in traceroute mode

--tr-keep-ttl

Keep the source TTL fixed, useful to monitor just one hop

--tr-no-rtt

Don't calculate/show RTT information in traceroute mode

ARS packet description (new, unstable)

--apd-send

Send the packet described with APD (see docs/APD.txt)

Поэтому утилита hping (hping3) может с успехом служить не только для ТСР-

зондирования, но и "для преодоления преград" некоторых устройств управления

доступом, благодаря возможности фрагментации пакетов.

[tsunami] hping 192.168.1.2 -S -p 80 -f

HPING 192.168.1.2 (eth0 192.168.1.2): S set, 40 data bytes

60 bytes from 192.168.1.2: ,flags=SA seq=0 ttl=124 id=17501 win=0 time=46.5 60 bytes from 192.168.1.2: flags=SA seq=l ttl=124 id=18013 win=0 time=169.1

В некоторых случаях простые устройства управления доступом не могут корректно

обрабатывать фрагментированные пакеты, что позволяет им проходить через такие устройства и достигать интересующего взломщика адреса. Обратите внимание, что в

случае, когда порт открыт, возвращаются флаги TCP SYN (s) и АСК (А). Утилиту hping очень легко использовать в сценариях оболочки с параметром счетчика пакетов - cN, где N — это количество пакетов, которые нужно отправить в Internet, прежде чем переходить к выполнению следующей команды сценария. Хотя данный метод и не обладает такой скоростью, как описанные выше методы ICMP-зондирования, в

некоторых случаях только он может помочь выяснить конфигурацию сети.

Последним из средств зондирования рассмотрим утилиту icmpenum, написанную Симплом Номадом (Simple Nomad) (http://www.nmrc.org/files/sunix/- icmpenum-1.1.1.tgz). Эту утилиту удобно использовать для определения архитектуры

сети. Утилита icmpenum позволяет быстро выявить подключенные к сети компьютеры, передавая стандартные ICMP-пакеты ECHO, а также ICMP-запросы TIME STAMP REQUEST и INFO. Если входные пакеты ECHO не пропускаются пограничным маршрутизатором или брандмауэром, то подключенные узлы можно по-прежнему идентифицировать с помощью альтернативных пакетов ICMP.

[shadow] icmpenum -i2 -с 192.168.1.0

192.168.1.1 is up 192.168.1.10 is up

192.168.1.11 is up 192.168.1.15 is up 192.168.1.20 is up 192.168.1.103 is up

В приведенном примере сеть класса С (192.168.1.0) была протестирована с

использованием ICMP-запроса TIME STAMP REQUEST. Однако реальная мощь утилиты icmpenum заключается в возможности идентификации узлов с помощью ложных пакетов, что позволяет избежать обнаружения злоумышленника. Это возможно благодаря тому, что утилита icmpenum позволяет генерировать ложные пакеты с

использованием параметра -s и пассивно ожидать отклика при указании параметра . Подводя итог, можно отметить, что IСМРили TCP-зондирование позволяет точно

установить, какие компьютеры сети подключены к Internet. Так, в рассматриваемом

примере мы установили, что из 255 потенциальных адресов сети класса С к Internet подключены лишь несколько компьютеров. Выявленные узлы становятся предметом первоочередного внимания в дальнейших исследованиях. Таким образом, мы значительно сузили область поиска, что позволяет сэкономить время и силы для более

эффективных действий.

9

Носов В.В. "Технології аудиту інформаційних систем"

Контрмеры: защита от зондирования сети

Поскольку зондирование сети в лучшем случае может вызывать раздражение, то

очень важно выявлять все попытки таких действий. В зависимости от принятой в организации политики обеспечения безопасности можно также заблокировать

прохождение пакетов, передаваемых при ping-зондировании.

Выявление факта зондирования

Как уже говорилось, ICMP- и TCP-зондирование является общепринятым методом исследования сети перед непосредственной попыткой проникновения в сеть. Поэтому выявление факта зондирования очень важно с точки зрения возможности получения информации о потенциальном месте проникновения и источнике угрозы. Один из

основных методов выявления зондирования состоит в использовании сетевой

программы выявления вторжений, такой как snort (http://snort.org).

Что касается защиты на уровне отдельного узла, для этого можно с успехом

применять утилиты UNIX, которые позволяют выявлять и регистрировать попытки зондирования. Если, просматривая файл журнала, созданный такой утилитой, вы

обнаружите массированные ICMP-запросы ECHO, исходящие из одной и той же сети или

от одного и того же узла, это, скорее всего, означает, что вашу сеть кто-то исследует. На такие факты необходимо обращать самое пристальное внимание, так как после

изучения сети обычно предпринимается реальная попытка проникновения.

К сожалению, найти аналогичные утилиты для платформы Windows достаточно сложно. Одним из немногих бесплатных или условно-бесплатных пакетов, заслуживающих внимания, является Genius, краткую информацию о котором можно найти по адресу http://www.indiesoft.com/. Эта программа не позволяет регистрировать попытки ping-зондирования, а предназначена лишь для выявления TCP-

сканирования определенного порта. Среди коммерческих пакетов аналогичного назначения можно отметить BlacklCE от компании Network ICE

(www.networkice.com). Этот программный продукт позволяет не только обнаруживать факты ping-зондирования и сканирования портов, но и решать многие другие задачи. В табл. 1 перечислены некоторые дополнительные утилиты, которые могут значительно облегчить выявление попыток зондирования вашей сети.

 

Таблица 1. Некоторые утилиты UNIX, предназначенные для защиты от

 

зондирования на уровне узла

Программа

Ресурс

 

Scanlogd

http://www.openwall.com/scanlogd

 

Courtney 1.3

http://packetstorm.security.com/UNIX/audit/courtney-

 

 

1.3.tar.Z

Ippl 1.4.10

http://pltplp.net/ippl/

 

Protolog 1.0.8

http://packetstorm.securify.com/UNlX/loggers/protolog-

 

 

1.0.8.tar.gz

Предотвращение зондирования

Если обнаружение факта зондирования имеет столь большое значение, то что

тогда говорить о предупреждении таких попыток! Рекомендуем очень внимательно оценить, насколько важен для вашей организации обмен данными по протоколу ICMP

между узлами вашей сети и Internet. Имеется много разнообразных типов сообщений ICMP, ECHO и ECHO REPLY — лишь два из них. В большинстве случаев нет никакой необходимости разрешать обмен данными между узлами сети и Internet с использованием всех имеющихся типов сообщений. Практически все современные брандмауэры обладают возможностью отфильтровывать пакеты ICMP, поэтому

единственная причина, по которой они могут проходить во внутреннюю сеть,— та или

иная производственная необходимость. Даже если вы твердо убеждены в том, что

10

Соседние файлы в папке pdf