Отслеживание пути прохождения пакетов
Хакеру пригодится информация о месторасположении интересующего его компьютера как по отношению к расположению в Internet, так и физического размещения. Для проведения более эффективной атаки отказа в обслуживании (DoS) хакеру желательно получить права суперпользователя на машинах, расположенных близко к цели атаки. Если хакер хочет взломать компьютер, который он планирует использовать в дальнейшем для проведения новых атак, он предпочитает найти машину с быстрым доступом в Internet.
Утилита traceroute
Утилита traceroute используется для отслеживания маршрута прохождения пакетов по сети до места назначения. Ее работа основана на отправке UDP-пакетов (на удаленные порты в диапазоне от 33435 до 33524) с установленным полем TTL (время жизни) и ожидании ICMP-ответов «time exceeded» («время истекло») на отправленные пакеты. Поле TTL определяет, сколько маршрутизаторов может пройти пакет до того, как он будет отброшен, и на адрес источника будет отправлено соответствующее уведомление. Поэтому, отправляя пакет со значением TTL, равным 1, можно получить адрес первого маршрутизатора на пути следования пакета, со значением 2 — адрес второго маршрутизатора и тд.
Рассмотрим пример выполнения команды traceroute для прослеживания маршрута передачи пакетов от машины хакера до цели атаки:
traceroute target.example.com 1 cracker-firewall.hack_er.edu (192.168.2.1) 2.892 ms 2.803 ms 2.746 ms 2 cracker-gateway.hack_er.edu (171.678.90.1) 3.881 ms 3.789 ms 3.686 ms 3 tl-p3.isp_net.net (171.678.1.186) 3.779 ms 3.806 ms 3.623 ms 4 t3-p3.isp_net.net (171.678.1.110) 26.767 ms 12.297 ms 14.101 ms 5 sl-bb20-jp.phone_com.net (171.572.1.36) 9.444 ms 12.483 ms 20.579 ms 6 sl-gwl3-sea.phone_com.net (198.292.10.2) 12.179 ms 16.209 ms 13.084 ms 7 sj-28.cable_com,com (172.18.3.85) 6.842 ms 10.206 ms 20.131 ms 8 172.19.10.28 (172.19.10.28) 33.346 ms 26.674 ms 23.739 ms 9 chicago-dl.fast_net.org (144.298.3.157) 27.176 ms 16.056 ms 11.519 ms 10 chi-cust-02.fast_net.org (144.298.9.214) 51.638 ms 49.019 ms 48.973 ms 11 chi-01-dnet-Tl.fast_net.org (144.298.18.42) 57.561 ms 88.786 ms 46.046 ms 12 cisco.example.com (254.192.1.20) 158.888 ms 161.422 ms 160.884 ms 13 throwmedown.example.com (254.192.1.29) 168.650 ms 183.821 ms 173.287 ms 14 target.example.com (254.192.1.88) 122.819 ms 87.835 ms 104.117 ms |
Хакер получил следующую информацию:
- Провайдер интересующего компьютера. Для доступа в Internet цель атаки использует fast_net.org. Взлом данного сервера облегчит задачу взлома других компьютеров, обслуживаемых FastNet. Проверяя систему защиты FastNet, хакер может определить, имеет ли он дело с установленной системой обнаружения вторжений или может смело выполнять атакующие действия.
- Место расположения выбранной цели. Из имен узлов chi-cust-02 и chi-01-dnet-T1 следует вывод, что компьютер находится в Чикаго. Для многих маршрутизаторов Internet используются трехбуквенные коды аэропортов городов в качестве части имени хоста. Например, по имени 01-tl-lax-fast_net.net можно предположить, что маршрутизатор находится где-то возле LAX (Los Angeles). В дальнейшем хакер может использовать другие средства для проверки этого предположения.
- Пропускная способность линии подключения интересующего компьютера. По всей видимости, на хосте chi-01-dnet-Tl.fast_net.org установлено сетевое оборудование для подключения компьютера example.com к провайдеру fast_net.org. Поскольку в доменном имени присутствует строка «Т1″, то можно предположить, что для связи используется линия Т1 (пропускная способность 1,5 Мбит/с).
- Сетевое оборудование выбранной цели. При прохождении пакетов используется маршрутизатор Cisco (cisco.example.com), а также, по всей вероятности, брандмауэр (throwmedown.example.com). Любой человек, хорошо знакомый с коммерческими брандмауэрами, по такому имени хоста может предположить, что это брандмауэр Gauntlet (на английском языке gauntlet — перчатка, throw down — бросать). Всем известно выражение «бросить перчатку», не так ли? Большинство пользователей Internet не отличаются оригинальностью.
Использование mtr
Программа mtr была создана Мэтом Кимбаллом (Matt Kimball) и представляет собой улучшенную версию traceroute. Вместо UDP-пакетов она отправляет последовательные ICMP эхо-запросы с увеличивающимися значениями поля TTL для обнаружения сетевого оборудования, которое блокирует UDP-пакеты, но не блокирует ICMP-пакеты. Программа выполняет непосредственное зондирование каждого узла между источником и пунктом назначения пакетов, что позволяет оценить качество соединения по наихудшему, наилучшему и среднему (за 1 мин.) времени прохождения пакетов. Рассмотрим результат выполнения программы mtr по отношению к передаче пакетов по приведенному выше маршруту:
Matt's traceroute [v0.48] Packets Pings Hostname %Loss Rev Snt Last Best Avg Worst crackec-firewall.hack_er.edu 0% 29 29 2 2 2 3 cracker-gateway.hack_er.edu 0% 29 29 3 3 4 13 tl-p3.isp_net.net 0% 29 29 4 3 7 78 t3-p3.isp_net.net 0% 29 29 4 3 12 34 sl-bb20-jp.phone_com.net 0% 29 29 5 4 10 45 sl-gwl3-sea.phone_com.net 0% 29 29 9 4 5 27 sj-28.cable_com.coni 0% 29 29 14 9 11 33 172.19.10.28 0% 29 29 15 12 15 23 chicago-dl.fast_net.org 0% 29 29 15 12 16 25 cbi-cust-02.fast_net.org 0% 29 29 24 23 30 58 Cisco.example.com 0% 29 29 124 124 132 160 throwmedown.example.com 0% 28 29 166 158 165 187 target.example.com 0% 29 29 159 159 166 185 |
Меры противодействия отслеживания маршрута передачи пакетов
Обе программы прослеживания маршрута передачи пакетов зависят от получения обратных ICMP-ответов о превышении времени жизни пакетов (при достижении конечного пункта назначения возвращается ответ Port Unreachable — «порт недостижим»). Хотя у системного администратора нет возможности изменить настройки сетевого оборудования, установленного на пути следования пакетов (в Internet), но с помощью правил фильтрации пакетов, осуществляемой программами ipchains/iptables, можно заблокировать отправку ответных сообщений на собственном оборудовании.
Еще одним методом противодействия является запрет (DENY), а не отклонение (REJECT) UDP-пакетов, получаемых на порты, стандартно использующиеся traceroute (33435 — 33524), а также запрет (DENY) всех ICMP-пакетов ECHO REQUEST (эхо-ответ). Таким образом, будут заблокированы как прием компьютером опрашивающих пакетов, так и возможность отправки эхо-ответов.
Итог можно подвести следующий — не нужно присваивать своим хостам имена, по которым можно было бы понять их предназначение или производителя сетевого оборудования. Примерами неудачных названий могут послужить: router, firewall и Webserver.
Твитнуть
Согласен, иногда и такая инфа полезна при взломе.
Отличные программки! Особенно вторая! Может сильно помочь при отслеживании неполадок в сети.
Спасибо, будем бдительны!
по сути это одно и то же, разница лишь количестве опций traceroute, а так они обе работаю с icmp