Способы исследования сети или «ловля на живца»
Хороший администратор решит проблему безопасности до ее обнаружения и смягчит удар в случае, если атаку не остановить в нужный момент. Давайте постараемся предположить, с чего начнет хакер, врываясь на нашу «территорию».
Прежде всего – это разветка, т.е. в нашем случае банальное зондирование с помощью подручных средств (с некоторыми многие из нас сталкивались, но прошу не относиться скептически, а дочитать до конца – есть интересные моменты), которое в некотором случае дает кое-какую информацию. Далее подробно.
Этот пост, как бы дополнение к «Iptables правила блокировки запросов ping и traceroute«, также он содержательней и не смотря на то, что темы пересекаются, надеюсь, это поможет лучше овладеть ситуацией и прикрыть возможные пути взлома системы.
И так, зондирование (исследование) сети – это процесс выявления целей в данной сети по конкретным IP-адресам. Если компьютер подключен к сети (в том числе к Internet), то он ответит на запрос, выполненный с помощью утилиты ping. Это позволяет хакерам получить список работающих компьютеров, подключенных к Internet, а затем выбрать, какой из них можно атаковать.
Есть два метода зондирования компьютеров: зондирование с помощью утилиты ping (используя ICMP-пакеты), а также зондирование эхо-порта (порт 7). Для выполнения зондирования разработаны несколько программ. Поскольку все они похожи друг на друга, рассмотрим только два самых интересных средства: fping и nmap.
Зондирование сети с помощью утилиты ping
При использовании UNIX-команды ping адресату отправляется ICMP-сообщение ECHO REQUEST (эхо-запрос), и если этот компьютер работает и подключен к сети, он ответит ICMP-сообщением ECHO REPLY (эхо-ответ).
PING target (192.168.2.10) from 10.13.12.6 : 56(84) bytes of data.
64 bytes from target (192.168.2.10): icmp_seq=0 ttl=255 time=2.3 ms
64 bytes from target (192.168.2.10): icmp_seq=l ttl=255 time=2.3 ms
64 bytes from target (192.168.2.10) : icmp_seq=2 ttl=255 time=2.3 ms
— — — target ping statistics — — —
3 packets transmitted, 3 packets received, 0% packet loss
round-trip min/avg/max — 2.3/2.3/2.3 ms
В данном случае мы видим, что выбранные в качестве цели компьютеры работают и подключены к сети. Кроме того, можно оценить качество соединения между двумя компьютерами — если пакеты будут потеряны, то возникнут пробелы в порядковых номерах пакетов (icmp_seq), a также не будет совпадать общее количество отосланных и принятых ping-сообщений.
Зондирование эхо-порта
Еще один тип зондирования (хотя этот термин в данном случае не совсем корректен) — отправка UDP или TCP-пакетов на эхо-порт компьютера (порт 7 или echo). Отправка любых данных на этот порт вызывает обратный эхо-ответ, означающий, что данный компьютер работает и подключен к сети.
Connected to target.example.com.
Escape character is ‘^J’
Pack my box with five dozen liquor jugs.
Pack my box with five dozen liquor jugs.
Fping
Средство fping является усовершенствованной утилитой зондирования сети. Вместо отправки одного ICMP-пакета и ожидания ответа на этот пакет, она позволяет отправить сразу набор пакетов, а затем обрабатывает ответы в порядке их поступления. Это делает процесс зондирования более динамичным, чем при отправке одиночных последовательных запросов ping.
Для отправки ping-запросов утилита fping позволяет просто перечислить имена всех компьютеров или все IP-адреса в командной строке или задать этот список в отдельном файле. Например, чтобы прозондировать все компьютеры, перечисленные в файле «machinelist», необходимо выполнить следующую команду:
Когда нужно просканировать всю сеть (например, сеть 192.168.10.Х), необходимо задать список всех IP-адресов этой сети. Используя команду perl, сделать это достаточно просто.
192.168.10.10
192.168.10.6
192.168.10.15
Зондирование с помощью nmap
Программа nmap является полнофункциональным средством сканирования, о котором я писал ранее (Сетевые сканеры). В состав nmap входит встроенная возможность зондирования. Для этого после опции -sP достаточно указать интересующие IP-адреса или сети.
Starting Nmap V. 3.00 (www.insecure.org/Nmap/)
Host (192.168.10.0) seems to be a subnet broadcast address (returned 3 extra pings).
Host kristen (192.168.10.6) appears to be up.
Host richard (192.168.10.10) appears to be up.
Host brandt (192.168.10.15) appears to be up.
Host nancy (192.168.10.29) appears to be up.
Nmap run completed — 256 IP addresses (4 hosts up) scanned in 154 seconds
При зондировании с помощью nmap и опции -sP, кроме обычных IСМР эхо-запросов, отправляется TCP-пакет АСК на порт 80 (HTTP) сканируемого компьютера. Это позволяет выявить работающий компьютер на основе полученного (в ответ на ACK) пакета RST, даже если ICMP-ответ будет заблокирован.
В вышеприведенном листинге для назначения зондируемых компьютеров мы использовали адрес 192.168.10.0/24. Этим мы определили, что необходимо выполнить зондирование с 24-битовой маской подсети (другими словами, зондирование всей сети класса С). Другие способы назначения компьютеров с помощью nmap ниже.
Диапазоны адресов – 192.168.10.0-255, 10.10.0-255.0-255
Формат CIDR – 192.168.10.0/24, 10.10.0.0/16, hostname.example.com/25
Меры противодействия зондированию сети
Чтобы предотвратить возможность зондирования сети с помощью ping, следует установить фильтр (например, с помощью программы ipchains или iptables) для приема входящих пакетов ECHO REQUESTS (и отправки исходящих пакетов ECHO REPLY) только с определенных узлов. Правильным будет разрешение использования ping для компьютеров локальной сети и запрещение их вызова по Internet.
Кроме того, желательно отключить службу echo. Для этого в файле /etс/inetd.conf
следует найти и закомментировать следующие строки (добавив в начале каждой строки символ #):
echo dgrara udp wait root internal
Чтобы изменения вступили в силу, следует послать демону inetd сигнал SIGHUP с помощью команды kill all -HUP inetd.
Если запущен демон xinetd, то удалите файл /etc/xinetd.d/echo или установите значение параметра disable = yes в разделе описания службы, как это показано ниже.
{
disable = yes
type = INTERNAL
socket_type = stream
…
В настоящее время порт echo не предоставляет никаких возможностей, которые бы не обеспечивались другими средствами. В прошлом служба echo, иногда совместно с chargen, использовалась для проведения атак отказа в обслуживании. Лучше всего отключить все неиспользуемые службы, предоставляемые суперсервером inetd или xinetd.
К сожалению, не существует способов противодействия выявлению работающих компьютеров с помощью сканирования открытых портов. Спецификация протокола IP накладывает очень жесткие требования по отношению к отправке ответов на конкретные запросы. Блокирование ответов может привести к нарушению работы протокола и возникновению проблем с хостом или всей сетью.
________________________________________
Актуальные журнальные ключи для антивирусов (см. journalkey.narod.ru) Dr.Web, Касперский, ESET NOD32, Panda.
Твитнуть
Ловля на живца )
Не понятно, где тут живец, по-моему все очень стандартно. Живец, в моейм понимании, — это когда заманивают?
Павел:
Возможно, не совсем понятное название, но смысл есть.
В данном случае живец — это ICMP-сообщение ECHO REQUEST в варианте с «пинг» и «юдп», «тсп»-пакеты в случае с эхо-портом, в ответ на которые мы в результате получем информацию… а дальше сами судите, живец или нет..)
Запутано как то всё описано, нужно разбираться.
Только хакер еще должен в эту сеть проникнуть 😉
Как он это сделает? Тот же Wi-Fi к примеру сейчас очень хорошо защищен, WPA2 это тебе не WEP, который любой школьник взломать может.
zusicks438:
взломайте пожалуйста WEP и пришлите подробное описание если это так легко, как у вас на словах…)
Ну сканировать, как я понял довольно просто, но вот сам хак провернуть… это врядли будеть столь-же легко.
Владимир:
Безусловно не легко. Много факторов нужно учесть, иметь заготовки, знания и т.д. и т.п.
Как говориться, тяжело в учении — легко в бою…)
И написно тяжеловато и сделать все эти манипуляции будет совсем не легко
Где найти ipchains
от хакера, который знает свое дело врядли можно уберечься
разве что сделать удар, как сказал автор, более мягким — смягчить.
Так что просто осторожно следите за контентом на сайте.
Ну это еще вопрос кто есть кто.
Для того чтобы быть живцом нужно владеть очень сильной интуицией, а так это еще не повод для того чтобы всех подмитать в одну копилку.