• Категории
  • Подписка
  • Разместить статью
17/09/10 13 3765 Зондирование сети
-

Способы исследования сети или «ловля на живца»

Хороший администратор решит проблему безопасности до ее обнаружения и смягчит удар в случае, если атаку не остановить в нужный момент. Давайте постараемся предположить, с чего начнет хакер, врываясь на нашу «территорию».

Прежде всего – это разветка, т.е. в нашем случае банальное зондирование с помощью подручных средств (с некоторыми многие из нас сталкивались, но прошу не относиться скептически, а дочитать до конца – есть интересные моменты), которое в некотором случае дает кое-какую информацию. Далее подробно.

Этот пост, как бы дополнение к «Iptables правила блокировки запросов ping и traceroute«, также он содержательней и не смотря на то, что темы пересекаются, надеюсь, это поможет лучше овладеть ситуацией и прикрыть возможные пути взлома системы.

И так, зондирование (исследование) сети – это процесс выявления целей в данной сети по конкретным IP-адресам. Если компьютер подключен к сети (в том числе к Internet), то он от­ветит на запрос, выполненный с помощью утилиты ping. Это позволяет хакерам получить список работающих компьютеров, подключенных к Internet, а затем выбрать, какой из них можно атаковать.

Есть два метода зондирования компьютеров: зондирование с помощью утилиты ping (используя ICMP-пакеты), а также зондирование эхо-порта (порт 7). Для выполнения зонди­рования разработаны несколько программ. Поскольку все они похожи друг на друга, рассмот­рим только два самых интересных средства: fping и nmap.

Зондирование сети с помощью утилиты ping

При использовании UNIX-команды ping адресату отправляется ICMP-сообщение ECHO REQUEST (эхо-запрос), и если этот компьютер работает и подключен к сети, он ответит ICMP-сообщением ECHO REPLY (эхо-ответ).

crackerbox$ ping -с 3 target

PING target   (192.168.2.10)  from 10.13.12.6   :   56(84)   bytes  of data.

64 bytes from target (192.168.2.10): icmp_seq=0 ttl=255 time=2.3 ms

64 bytes from target (192.168.2.10):   icmp_seq=l ttl=255 time=2.3 ms

64 bytes from target (192.168.2.10) : icmp_seq=2  ttl=255 time=2.3 ms

— — — target  ping statistics — — —

3 packets   transmitted,   3 packets   received,   0%  packet  loss

round-trip min/avg/max — 2.3/2.3/2.3 ms

В данном случае мы видим, что выбранные в качестве цели компьютеры работают и подклю­чены к сети. Кроме того, можно оценить качество соединения между двумя компьютерами — ес­ли пакеты будут потеряны, то возникнут пробелы в порядковых номерах пакетов (icmp_seq), a также не будет совпадать общее количество отосланных и принятых ping-сообщений.

Зондирование эхо-порта

Еще один тип зондирования (хотя этот термин в данном случае не совсем корректен) — от­правка UDP или TCP-пакетов на эхо-порт компьютера (порт 7 или echo). Отправка любых данных на этот порт вызывает обратный эхо-ответ, означающий, что данный компьютер рабо­тает и подключен к сети.

crackerbox$   telnet target.example.com echo

Connected  to  target.example.com.

Escape  character  is ‘^J’

Pack my box with five dozen liquor jugs.

Pack my box with five dozen liquor jugs.

Fping

Средство fping является усовершенствованной утилитой зондирования сети. Вместо от­правки одного ICMP-пакета и ожидания ответа на этот пакет, она позволяет отправить сразу набор пакетов, а затем обрабатывает ответы в порядке их поступления. Это делает процесс зон­дирования более динамичным, чем при отправке одиночных последовательных запросов ping.

Для отправки ping-запросов утилита fping позволяет просто перечислить имена всех компьютеров или все IP-адреса в командной строке или задать этот список в отдельном файле. Например, чтобы прозондировать все компьютеры, перечисленные в файле «machinelist», необходимо выполнить следующую команду:

crackerbox# fping —a < machinelist

Когда нужно просканировать всю сеть (например, сеть 192.168.10.Х), необходимо задать список всех IP-адресов этой сети. Используя команду perl, сделать это достаточно просто.

crackerbox# perl -o ‘for (1..254) {print «192.16S.10.$_\n»}’ | \ fping -a -q 2>/dev/null

192.168.10.10

192.168.10.6

192.168.10.15

Зондирование с помощью nmap

Программа nmap является полнофункциональным средством сканирования, о котором я писал ранее (Сетевые сканеры). В состав nmap входит встроенная возможность зонди­рования. Для этого после опции -sP достаточно указать интересующие IP-адреса или сети.

crackerbox# nmap —sP 192.168.10.0/24

Starting Nmap V.   3.00  (www.insecure.org/Nmap/)

Host (192.168.10.0) seems to be a subnet broadcast address (returned 3 extra pings).

Host kristen (192.168.10.6) appears to be up.

Host richard (192.168.10.10) appears to be up.

Host brandt (192.168.10.15) appears to be up.

Host nancy (192.168.10.29) appears to be up.

Nmap run completed — 256 IP addresses (4 hosts up) scanned in 154 seconds

При зондировании с помощью nmap и опции -sP, кроме обычных IСМР эхо-запросов, от­правляется TCP-пакет АСК на порт 80 (HTTP) сканируемого компьютера. Это позволяет вы­явить работающий компьютер на основе полученного (в ответ на ACK) пакета RST, даже если ICMP-ответ будет заблокирован.

В вышеприведенном листинге для назначения зондируемых компьютеров мы использова­ли адрес 192.168.10.0/24. Этим мы определили, что необходимо выполнить зондирование с 24-битовой маской подсети (другими словами, зондирование всей сети класса С). Другие способы назначения компьютеров с помощью nmap ниже.

Универсальные символы – 192.168.10.*, 10.10.*.*

Диапазоны адресов – 192.168.10.0-255, 10.10.0-255.0-255

Формат CIDR – 192.168.10.0/24, 10.10.0.0/16, hostname.example.com/25

Меры противодействия зондированию сети

Чтобы предотвратить возможность зондирования сети с помощью ping, следует установить фильтр (например, с помощью программы ipchains или iptables) для приема входящих пакетов ECHO REQUESTS (и отправки исходящих пакетов ECHO REPLY) только с определен­ных узлов. Правильным будет разрешение использования ping для компьютеров локальной сети и запрещение их вызова по Internet.

Кроме того, желательно отключить службу echo. Для этого в файле /etс/inetd.conf
следует найти и закомментировать следующие строки (добавив в начале каждой строки символ #):

echo       stream tcp    nowait root     internal

echo       dgrara udp   wait     root     internal

Чтобы изменения вступили в силу, следует послать демону inetd сигнал SIGHUP с помо­щью команды kill  all  -HUP inetd.

Если запущен демон xinetd, то удалите файл /etc/xinetd.d/echo или установите зна­чение параметра disable = yes в разделе описания службы, как это показано ниже.

service echo

{

disable              =  yes

type                   =   INTERNAL

socket_type       =   stream

В настоящее время порт echo не предоставляет никаких возможностей, которые бы не обеспечивались другими средствами. В прошлом служба echo, иногда совместно с chargen, использовалась для проведения атак отказа в обслуживании. Лучше всего отключить все неис­пользуемые службы, предоставляемые суперсервером inetd или xinetd.

К сожалению, не существует способов противодействия выявлению работающих компью­теров с помощью сканирования открытых портов. Спецификация протокола IP накладывает очень жесткие требования по отношению к отправке ответов на конкретные запросы. Блокиро­вание ответов может привести к нарушению работы протокола и возникновению проблем с хостом или всей сетью.

________________________________________

Актуальные журнальные ключи для антивирусов (см. journalkey.narod.ru) Dr.Web, Касперский, ESET NOD32, Panda.


13 комментариев на «“Способы исследования сети или «ловля на живца»”»

  1. Днепропетровск:

    Ловля на живца )

  2. Павел:

    Не понятно, где тут живец, по-моему все очень стандартно. Живец, в моейм понимании, — это когда заманивают?

    • Бодя:

      Павел:
      Возможно, не совсем понятное название, но смысл есть.
      В данном случае живец — это ICMP-сообщение ECHO REQUEST в варианте с «пинг» и «юдп», «тсп»-пакеты в случае с эхо-портом, в ответ на которые мы в результате получем информацию… а дальше сами судите, живец или нет..)

  3. Запутано как то всё описано, нужно разбираться.

  4. zusicks438:

    Только хакер еще должен в эту сеть проникнуть 😉

    Как он это сделает? Тот же Wi-Fi к примеру сейчас очень хорошо защищен, WPA2 это тебе не WEP, который любой школьник взломать может.

  5. Ну сканировать, как я понял довольно просто, но вот сам хак провернуть… это врядли будеть столь-же легко.

    • Бодя:

      Владимир:
      Безусловно не легко. Много факторов нужно учесть, иметь заготовки, знания и т.д. и т.п.
      Как говориться, тяжело в учении — легко в бою…)

  6. dblmok:

    И написно тяжеловато и сделать все эти манипуляции будет совсем не легко

  7. Волжанка:

    Где найти ipchains

  8. podvezu:

    от хакера, который знает свое дело врядли можно уберечься
    разве что сделать удар, как сказал автор, более мягким — смягчить.
    Так что просто осторожно следите за контентом на сайте.

  9. Алексей:

    Ну это еще вопрос кто есть кто.

  10. Алексей:

    Для того чтобы быть живцом нужно владеть очень сильной интуицией, а так это еще не повод для того чтобы всех подмитать в одну копилку.

Добавить комментарий

Яндекс.Метрика