21/02/11 4 27438 Трассировка сети

Отслеживание пути прохождения пакетов

Хакеру пригодится информация о месторасположении интересующего его компьютера как по отношению к расположению в Internet, так и физического размещения. Для проведения более эффективной атаки отказа в обслуживании (DoS) хакеру желательно получить права суперпользователя на машинах, расположенных близко к цели атаки. Если хакер хочет взломать компьютер, который он планирует использовать в дальнейшем для проведения новых атак, он предпочитает найти машину с быстрым доступом в Internet.

Утилита traceroute

Утилита traceroute используется для отслеживания маршрута прохождения пакетов по сети до места назначения. Ее работа основана на отправке UDP-пакетов (на удаленные порты в диапазоне от 33435 до 33524) с установленным полем TTL (время жизни) и ожидании ICMP-ответов «time exceeded» («время истекло») на отправленные пакеты. Поле TTL определяет, сколько маршрутизаторов может пройти пакет до того, как он будет отброшен, и на адрес источника будет отправлено соответствующее уведомление. Поэтому, отправляя пакет со значением TTL, равным 1, можно получить адрес первого маршрутизатора на пути следования пакета, со значением 2 — адрес второго маршрутизатора и тд.

Рассмотрим пример выполнения команды traceroute для прослеживания маршрута передачи пакетов от машины хакера до цели атаки:

traceroute target.example.com
1 cracker-firewall.hack_er.edu  (192.168.2.1)     2.892 ms     2.803 ms      2.746 ms
2 cracker-gateway.hack_er.edu   (171.678.90.1)    3.881 ms     3.789 ms      3.686 ms
3 tl-p3.isp_net.net             (171.678.1.186)   3.779 ms     3.806 ms      3.623 ms
4 t3-p3.isp_net.net             (171.678.1.110)   26.767 ms    12.297 ms     14.101 ms
5 sl-bb20-jp.phone_com.net   	(171.572.1.36)    9.444 ms     12.483 ms     20.579 ms
6 sl-gwl3-sea.phone_com.net     (198.292.10.2)    12.179 ms    16.209 ms     13.084 ms
7 sj-28.cable_com,com           (172.18.3.85) 	  6.842 ms     10.206 ms     20.131 ms
8 172.19.10.28                  (172.19.10.28)    33.346 ms    26.674 ms     23.739 ms
9 chicago-dl.fast_net.org   	(144.298.3.157)   27.176 ms    16.056 ms     11.519 ms
10 chi-cust-02.fast_net.org     (144.298.9.214)   51.638 ms    49.019 ms     48.973 ms
11 chi-01-dnet-Tl.fast_net.org  (144.298.18.42)   57.561 ms    88.786 ms     46.046 ms
12 cisco.example.com            (254.192.1.20)    158.888 ms   161.422 ms    160.884 ms
13 throwmedown.example.com      (254.192.1.29)    168.650 ms   183.821 ms    173.287 ms
14 target.example.com           (254.192.1.88)    122.819 ms   87.835 ms     104.117 ms

Хакер получил следующую информацию:

Провайдер интересующего компьютера. Для доступа в Internet цель атаки использует fast_net.org. Взлом данного сервера облегчит задачу взлома других компьютеров, обслуживаемых FastNet. Проверяя систему защиты FastNet, хакер может определить, имеет ли он дело с установленной системой обнаружения вторжений или может смело выполнять атакующие действия.

Место расположения выбранной цели. Из имен узлов chi-cust-02 и chi-01-dnet-T1 следует вывод, что компьютер находится в Чикаго. Для многих маршрутизаторов Internet используются трехбуквенные коды аэропортов городов в качестве части имени хоста. Например, по имени 01-tl-lax-fast_net.net можно предположить, что маршрутизатор находится где-то возле LAX (Los Angeles). В дальнейшем хакер может использовать другие средства для проверки этого предположения.

Пропускная способность линии подключения интересующего компьютера. По всей видимости, на хосте chi-01-dnet-Tl.fast_net.org установлено сетевое оборудование для подключения компьютера example.com к провайдеру fast_net.org. Поскольку в доменном имени присутствует строка «Т1″, то можно предположить, что для связи используется линия Т1 (пропускная способность 1,5 Мбит/с).

Сетевое оборудование выбранной цели. При прохождении пакетов используется маршрутизатор Cisco (cisco.example.com), а также, по всей вероятности, брандмауэр (throwmedown.example.com). Любой человек, хорошо знакомый с коммерческими брандмауэрами, по такому имени хоста может предположить, что это брандмауэр Gauntlet (на английском языке gauntlet — перчатка, throw down — бросать). Всем известно выражение «бросить перчатку», не так ли? Большинство пользователей Internet не отличаются оригинальностью.

Использование mtr

Программа mtr была создана Мэтом Кимбаллом (Matt Kimball) и представляет собой улучшенную версию traceroute. Вместо UDP-пакетов она отправляет последовательные ICMP эхо-запросы с увеличивающимися значениями поля TTL для обнаружения сетевого оборудования, которое блокирует UDP-пакеты, но не блокирует ICMP-пакеты. Программа выполняет непосредственное зондирование каждого узла между источником и пунктом назначения пакетов, что позволяет оценить качество соединения по наихудшему, наилучшему и среднему (за 1 мин.) времени прохождения пакетов. Рассмотрим результат выполнения программы mtr по отношению к передаче пакетов по приведенному выше маршруту:

Matt's  traceroute     [v0.48]	Packets
Pings
Hostname		           %Loss Rev Snt Last Best Avg Worst
crackec-firewall.hack_er.edu         0%  29  29  2    2    2   3
cracker-gateway.hack_er.edu          0%  29  29  3    3    4   13
tl-p3.isp_net.net                    0%  29  29  4    3    7   78
t3-p3.isp_net.net                    0%  29  29  4    3    12  34
sl-bb20-jp.phone_com.net             0%  29  29  5    4    10  45
sl-gwl3-sea.phone_com.net            0%  29  29  9    4	   5   27
sj-28.cable_com.coni                 0%  29  29  14   9    11  33
172.19.10.28                         0%  29  29  15   12   15  23
chicago-dl.fast_net.org              0%  29  29  15   12   16  25
cbi-cust-02.fast_net.org             0%  29  29  24   23   30  58
Cisco.example.com                    0%  29  29  124  124  132 160
throwmedown.example.com              0%  28  29  166  158  165 187
target.example.com                   0%  29  29  159  159  166 185

Меры противодействия отслеживания маршрута передачи пакетов

Обе программы прослеживания маршрута передачи пакетов зависят от получения обратных ICMP-ответов о превышении времени жизни пакетов (при достижении конечного пункта назначения возвращается ответ Port Unreachable — «порт недостижим»). Хотя у системного администратора нет возможности изменить настройки сетевого оборудования, установленного на пути следования пакетов (в Internet), но с помощью правил фильтрации пакетов, осуществляемой программами ipchains/iptables, можно заблокировать отправку ответных сообщений на собственном оборудовании.

Еще одним методом противодействия является запрет (DENY), а не отклонение (REJECT) UDP-пакетов, получаемых на порты, стандартно использующиеся traceroute (33435 — 33524), а также запрет (DENY) всех ICMP-пакетов ECHO REQUEST (эхо-ответ). Таким образом, будут заблокированы как прием компьютером опрашивающих пакетов, так и возможность отправки эхо-ответов.

Итог можно подвести следующий — не нужно присваивать своим хостам имена, по которым можно было бы понять их предназначение или производителя сетевого оборудования. Примерами неудачных названий могут послужить: router, firewall и Webserver.

Читать еще...

Интерактивная доска NewLine Truboard R5-800E - описание и характеристики Что можно подарить на год отношений парню DNSSEC или как защитить DNS сервер от атак Перспективы развития 4G (LTE) в Украине Куда лучше инвестировать свободные деньги?Как выбрать хостинг для Интернет-магазина?

4 комментария на «“Отслеживание пути прохождения пакетов”»

hawk:

21 Февраль 2011 в 11:49

Согласен, иногда и такая инфа полезна при взломе.

Ответить
CelNet:

23 Февраль 2011 в 14:02

Отличные программки! Особенно вторая! Может сильно помочь при отслеживании неполадок в сети.

Ответить
Seoonly:

26 Февраль 2011 в 10:17

Спасибо, будем бдительны!

Ответить
Аноним:

6 Март 2011 в 9:53

по сути это одно и то же, разница лишь количестве опций traceroute, а так они обе работаю с icmp

Ответить