Мрежа counterspionage открие двете сканиращи устройства и пристанища

"умни" електромери за NB-ИН със технологии
Huawei обяви първата в света "интелигентна" м, базирани на технологията теснолентова Интернет на нещата, разработен в сътрудничество с JANZ CE ...







AccuSine активни филтри от Schneider Electric
Schneider Electric, днес обяви пускането на българския пазар AccuSine активен филтър серия се използват за подобряване на качеството на ...

Какво е предимството на всички флаш масиви?
Смята се, че при измерването на ефективността на акцент съхранение на входно-изходни операции (IOPS): повече от тях, толкова по-висок ...

SDN - не само еволюционен етап в развитието на съхранение
Миналата година, много от производителите обявиха освобождаването на софтуер за съхранение на определено платформи (SDN). Това не е просто една еволюционна стъпка, и още един кръг от ...

Необходимо условие за победа в сегмента на сървъра на малкия и среден бизнес - широка гама от продукти
сървър на пазара на малкия и среден бизнес е разделен на множество тесни ниши с конкретните им очаквания за производителност, функционалност и ...

Алексей Lukatsky,
Заместник-технически директор на научни и инженерни център "Infosec"
[email protected]

Ако искате да си купите списание "BYTE / България", първото нещо, което правя - го търси магазин, павилион или тава, която продава на това издание. Да го кажем научно, трябва да извърши Целта на процеса за идентификация (търсене) (магазин), която дава възможност за решаване на проблема (влезте придобиване). Също така, с атаки срещу информационни системи: първото нещо, което прави един нарушител - тя избира жертва и да събира подробна информация за него. Този етап се нарича събиране на информация (събиране на информация). Това е ефективността на нападателя на този етап - ключ към успешна атака. Първата цел на нападението е избран, и събира информация за него (OS, услуги, конфигурация и т.н.). Тогава идентифицирани най-уязвимите точки на целевата система, въздействието на което може да доведе до желания резултат.

В първия етап на нарушител се опитва да идентифицира всички канали, чрез които целта на атаката си взаимодейства с други възли. Това не само ще изберете вида на атаката, но и източник на неговото прилагане. Например, нападнати единица комуникира с две сървъри, работещи UNIX и Windows NT. С един сървър възел има на жертвата доверие отношения, а от друга - не. От този, чрез който сървъра ще атакува това зависи от нещо, което ще бъде използвано атака, каква е ползата да го въведе и т.н. След това, в зависимост от информацията, получена и желания резултат е избран атака, която дава най-голям ефект. Например, SYN Flood, Teardrop, UDP бомба и т.н. за функциониране нарушение възел и да проникне домакин и да открадне информация - PHF-скрипт да открадне пароли, дистанционно избор на паролата и т.н. Едва след събирането на повече информация за жертвата идва на втория етап - изпълнението на избраната атаката.

Процесът на събиране на информация се състои от следните стъпки:
  • учебната среда на жертвата и топологията на мрежата;
  • определяне на вида и версията на операционната система на нападнати сайта, достъпни чрез мрежата и други услуги и т.н.

В тази статия ще се спра на само три действия, че нападателят се изпълни първи. Тази идентификация на атакуваните обекти, техните мрежови услуги и операционни системи.

идентификация на единиците

За идентифициране на възела (откриване домакин), обикновено с помощта на пинг полезност (или подобна програма) прати ECHO_REQUEST ICMP команда протокол. ECHO_REPLY съобщение реакция показва, че сайтът е на разположение. Това е най-простият и най-често използваният метод за идентификация на единиците, които се използват от всички (не само начинаещи) нападатели. Има програми, като fping или Nmap, които автоматизират и ускоряване на процеса на идентификация в паралел с голям брой възли. Този метод е опасен, защото стандартните исканията единица ECHO_REQUEST заключващи средства. За това е необходимо да се приложи анализ на мрежовия трафик означава, защитни стени и системи за откриване на проникване.

възли Откриване на сканиране (фрагмент Tcpdump лог)

Конвенционалните достъпни в Интернет скенери сайтове, което води до появата на точно такава поредица от събития, тъй като постоянно са се провери всеки възел дейност в дадена мрежа. По-сложни скенери (например, Nmap) променят стандартната последователност на възлите и избирателните може произволно да избере от предварително зададен списък.

възли Откриване на сканиране (фрагмент Tcpdump лог)

Друго изпълнение на единици за сканиране, усложнява неговото откриване, - увеличаване на интервала от време, през който сканиране. Обикновено възли скенери са изпращане на запитвания на 5 - 10 пристанища в секунда. Въпреки това, ако стойността на времето на промяната по подразбиране, много защитни стени пропускат този вид действия.







възли Откриване на сканиране (фрагмент Tcpdump лог)

Можете да направите проста - не открива такива действия, както и да им се забрани, както и много мрежови устройства и програми, които блокират ICMP-пакети, а не да ги преминат към вътрешната мрежа (или, обратно, не пропускайте). Например, MS Proxy Server 2.0 не позволява преминаването на пакети чрез ICMP. В резултат на това, атакуващият не може ефективно да идентифицират възли, монтирани за прокси сървър (прокси). От друга страна, ICMP пакет-Lock, казва нападателят на "първа линия на защита" - рутери, защитни стени и т.н.

Има и други методи за идентификация на възли в мрежата, например, използването на "смесен" мрежова карта режим (безразборен), която ви позволява да се идентифицират различните възли в мрежата сегмент, или DNS разузнаване, което ни позволява да се идентифицират корпоративна мрежа точки, използвайки името на услугата. Но разглеждането на тези техники и методи за тяхното откриване е извън обхвата на тази статия.

Наименование на услугата или пристанище сканиране

Идентификация на обслужване (откриване на услуги), обикновено се извършва чрез откриване на откритите пристанища (сканиране на портове). Тези пристанища често са свързани с услуги на базата на TCP или UDP протоколи. Например, един отворен порт 80 предполага съществуването на пристанището на уеб-сървър 25 - на SMTP мейл-сървър 31 337-то - на сървъра троянски кон BackOrifice, 12345 или 12346 ти - на сървъра троянски кон NetBus и т.н. За идентифициране на услугата и сканирането порт да използвате различни програми, като Nmap или netcat.

Избирането на целта за атака, атакуващият определя управлението на нейните услуги и отворени портове, които ще идентифицират потенциални уязвимости на домакин на жертва, и да конкретизират броя на възможните атаки. Портовете се използват за сканиране на различни програми, различно прилагане на механизма. Повечето прости програми (например, Haktek) просто се опитват да се установи нормална връзка до пристанището, като се започне с първия и завършва с това, определено от потребителя.

Порт сканиране чрез Haktek програма (фрагмент
Tcpdump вестник)

Порт сканиране (-sT) с помощта на Nmap полезност (фрагмент
Tcpdump вестник)

FIN-порт сканиране чрез Nmap полезност (фрагмент
Snort дневник)

Трябва да се отбележи, че защитните стени трябва да обърне внимание на всички пакети, които не отговарят на стандартите за пример RFC неописан или забранени комбинации от флагове. Това е принцип, установен в механизма за сканиране скрит, тъй като често е мрежови инструмент само анализират "право" от гледна точка на RFC пакети, не забелязвайки всичкия останал трафик. Така например, в RFC 793 описва как системата трябва да реагира на различни нормални TCP-пакети. Но ... в този документ (и други) не се описва как системата трябва да реагира на неверни TCP-пакети; в резултат на различни устройства и операционни системи реагират по различен начин на пакети от незаконни комбинации от TCP-знамена. Що се отнася до TCP-пакети могат да се срещнат Six Flags: SYN, ACK, FIN, RST, PSH, Urg. Забранени комбинации са както следва.
  • SYN + FIN - са две взаимно изключващи се флаг (задава първото съединение, а вторият завърши си), така че те не могат да се срещнат. Тази комбинация се използва често различни скенери, като вече споменатите Nmap. Много системи за безопасност преди една година не може да открие този тип сканиране. Сега ситуацията се е променила към по-добро, много от тези системи се наблюдава комбинация от флагове. Но добавяне на друг флаг на комбинацията (например, SYN + FIN + PSH, SYN + FIN + RST, SYN + FIN + RST + PSH) отново води до факта, че посредством определен за защита на мрежата не откриват такива опити от неоторизирани лица. Анализаторите наричат ​​тези комбинации "Модела елха" ( "Коледна елха Модела").

"Образец Коледна елха" (Snort дневник откъс)

  • TCP-пакети никога не трябва да имат само един FIN флаг. Обикновено един комплект FIN флаг показва, FIN-сканиране;
  • TCP-пакети трябва да имат най-малко един флаг, но не и на перката и SYN (ако това не е първият пакет от съединението);
  • ако пакетът не е TCP-ACK флаг е установен и пакета - не за пръв път при установяване на връзка (трикратното ръкостискане), а след това пакетът определено е необичайно, тъй като във всеки ACK флаг TCP-пакет трябва да присъстват;
  • В допълнение към тези комбинации се считат за подозрителни RST + FIN, SYN + RST.

    Съмнителните комбинации на флагове в TCP-пакетна глава (Tcpdump списание фрагмент)

    Примамка-порт сканиране използване Nmap полезност (фрагмент
    Tcpdump вестник)

    Идентифициране на операционната система

    Познаването на вида на операционната система може допълнително да ограничите броя на потенциалните атаки, които могат да бъдат приложени срещу избраната жертва. Основният механизъм на дистанционно откриване OS (откриване OS) - анализ на изпълнението TCP / IP-стек. Във всяка операционна система в собствената си стак осъществява TCP / IP протокол, който позволява използването на специални изисквания и отговорите на тях, за да се определи коя операционна система е инсталирана на домакина.

    Други, по-малко ефективни и много ограничен начин за идентифициране на операционната система - анализ на мрежови услуги, намиращи се в предишната стъпка. Така например, отваряне на 139-та порта води до извода, че на отдалечения хост се изпълнява Windows. За определяне на операционната система, можете да използвате програми като Nmap и Queso.

    откриване дистанционно OS използване Queso полезност

    Мрежа counterspionage открие двете сканиращи устройства и пристанища
    хлорид
    Демонстрация на Chloride Trinergy
    За първи път в България на компанията Chloride Рус проведе демонстрация на непрекъсваеми токозахранващи системи Chloride Trinergy®, както и UPS Chloride 80-NET ™, NXC и NX за своите партньори и клиенти.

    MFP Panasonic DP-MB545RU с възможност за отпечатване в A3 формат
    Искате ли да се подобри ефективността на офиса? Така ще помогнете на новата MFP #Panasonic DP-MB545RU. Апаратът осигурява

    Adaptec от PMC
    RAID контролер Adaptec Серия 5г с автономно захранване защита на кеша
    Находчивите мрежовите администратори да знаят, че участието в работата на кеша на RAID контролер предлага значителни подобрения в производителността ...

    хлорид
    Трифазен UPS Chloride 200-1200 кВт: Trinergy
    Trinergy - ново решение на пазара на UPS за първи път с динамичен режим на работа, скалируемост до 9,6 MW и ефективност до 99%. Уникалното съчетание на ...