Бесплатный электронный учебник по защите информации компьютера в интернет |
|
служба Компьютерная
помощь |
Идентификация запущенных TCP- и UDP-служб |
Антивирусная защита компьютера. Вызов мастера на дом в Кириши |
|
|||||
|
Идентификация запущенных TCP- и UDP-служб Использование хорошей утилиты сканирования портов
— важнейший этап сбора информации об исследуемой сети. Хотя для этих
целей существует много различных программ, ориентированных как на
платформу UNIX, так и на платформу Windows NT, мы ограничимся рассмотрением
лишь самых популярных и проверенных временем сканеров. strobe Утилита strobe — это общепризнанный и популярный TCP-сканер портов, написанный Джулианом Ассанжем (Julian Assange) (ftp://ftp.FreeBSD.org/pub/ FreeBSD/ports/distfiles/strobe-l.06.tgz). Она стала известной уже довольно давно и, вне всякого сомнения, считается одной из самых быстрых и надежных утилит этого класса. К основным возможностям утилиты strobe относится оптимизация системных и сетевых ресурсов, а также сканирование исследуемой системы с максимальной эффективностью. Помимо высокой эффективности, утилита strobe версии 1.04 и выше может собирать идентификационные маркеры (если, конечно, они имеются), связанные с каждым проверяемым портом. Эта информация может оказаться полезной при определении операционной системы, а также запущенных на компьютере службах. Подробнее процесс сбора маркеров (banner grabbing) будет рассматриваться в главе 3. |
||||
[tsunami] strobe 192.168.1.10 udp_scan Для UDP-сканирования, которого не выполняет strobe,
можно воспользоваться утилитой udp_scan, которая изначально входила
в пакет SATAN (Security Administrator Tool for Analyzing Networks),
написанный Дэном Фармером (Dan Farmer) и Вайетсом Венема (Wietse Venema)
в 1995 году. Хотя сам пакет SATAN несколько устарел, входящие в его
состав утилиты по-прежнему можно использовать. Кроме того, по адресу
http://wwdsilx.wwdsi.com можно получить новую версию пакета SATAN,
которая теперь называется SAINT. Несмотря на наличие множества других
утилит UDP-сканирования, мы пришли к выводу, что udp_scan — одна из
самых надежных утилит, позволяющая получать достоверные результаты.
Правда, необходимо сказать также о том, что, несмотря на высокую надежность
утилиты udp_scan, у нее имеется и один существенный недостаток. Эта
утилита не может противостоять контратаке какого-либо из пакетов IDS,
который осведомлен о методах, используемых в пакете SATAN для сканирования
портов. Таким образом, если сканирование необходимо выполнить более
скрытно, поишите какое-нибудь другое средство. Обычно с помощью утилиты
udp_scan проверяются порты с номерами, меньшими 1024, а также некоторые
определенные порты с большими номерами. ;tsunami] udp_scan 192.168.1.1 1-1024 netcat Еще одной прекрасной утилитой является netcat (или
nc), написанная Хоббитом (Hobbit, hobbit@avian.org). Эта утилита может
выполнять так много различных задач, что была названа нами "швейцарским
армейским ножом". Помимо остальных возможностей, о которых мы
еще не раз будем говорить на протяжении всей книги, утилита nc позволяет
применять основные методы TCP- и UDP-сканирования. Степенью детализации
выводимых данных можно управлять с помощью параметров -v и -vv, которые
включают, соответственно, режимы подробного и очень подробного отображения
результатов. Параметр -z применяется для включения режима нулевого
ввода-вывода (zero mode I/O), используемого для сканировании портов,
а параметр -..2 позволяет задать для каждого соединения интервал ожидания.
По умолчанию утилита пс выполняет TCP-сканирование, а для UDP-сканирования
необходимо использовать параметр -и (как показано во втором примере).
tsunami] nc -v -z -w2 192.168.1.1 1-140 nmap Рассмотрев простейшие средства сканирования портов,
давайте перейдем к обсуждению возможностей безусловного лидера этой
категории — утилиты nmap. Данная утилита, разработанная Федором (Fyodor)
(http://www.insecure.org/nmap), обладает не только базовыми возможностями
TCP- и UDP-сканирования, но и поддерживает все остальные упоминавшиеся
выше методы. Очень редко можно найти утилиту, которая предоставляла
бы столь богатый набор возможностей в одном пакете. Итак, запустим
утилиту и посмотрим, какие возможности она предоставляет. [tsunami]# nmap -h [tsunar.i]# ranap -sF 192.168.1.0/24 -oN outfile Если выводимые данные нужно сохранить в файле, в котором в качестве разделителей используются символы табуляции (например, чтобы впоследствии программно анализировать полученную информацию), используйте параметр -оМ. В любом случае при сканировании сети, скорее всего, будет получено очень много информации, поэтому имеет смысл сохранить результаты в любом из форматов. В некоторых случаях целесообразно сохранять их сразу в обоих форматах, используя как параметр -ON, так и -оM. Предположим, что после сбора предварительных данных о сети организации мы пришли к выводу, что в качестве основного брандмауэра в ней используется простое устройство, выполняющее фильтрацию пакетов. В этом случае можно воспользоваться параметром -f утилиты nmap, чтобы включить режим фрагментации пакетов. Очевидно, что это приведет к отделению заголовков TCP-пакетов от самих пакетов, что затруднит для устройств управления доступом или систем IDS возможность выявления попытки сканирования. В большинстве случаев современные устройства фильтрации пакетов и брандмауэры прикладного уровня, прежде чем осуществлять анализ пакетов IP, помещают все фрагменты в очередь. Однако при использовании более старых моделей устройств управления доступом или устройств, в которых соответствующие функции были отключены для повышения производительности, дефрагментация не выполняется и пакеты передаются дальше во внутреннюю сеть в том виде, в котором они поступают. Если архитектура системы безопасности исследуемой сети и ее узлов была хорошо продумана, то эта система без особого труда выявит сканирование, осуществляемое с помощью приведенных выше примеров. Для таких случаев утилита nmap предоставляет дополнительные возможности маскирования, предназначенные для заполнения системных журналов исследуемого узла избыточной информацией. Данный режим включается с помощью параметра -D. Главная идея данного подхода состоит в том, чтобы во время выполнения реального сканирования создать видимость одновременного сканирования из других указанных в командной строке адресов. Для того чтобы воспрепятствовать такому сканированию, системе безопасности исследуемого узла придется проверить все записи, чтобы выяснить, какие из полученных IP-адресов источников сканирования являются реальными, а какие — фиктивными. При использовании данного метода нужно удостовериться в том, что IP-адреса, выступающие в качестве маскировочных, принадлежат реальным узлам, которые в момент сканирования подключены к Internet. В противном случае исследуемая система будет не в состоянии обработать все сообщения SYN, в результате чего возникнет условие DoS. [tsunami] nmap -sS 192.168.1.1 -D 10.1.1.1 Еще одним полезным методом является сканирование с целью идентификации запущенных процессов (подробнее о нем говорится в RFC 1413, http://www.ieff.org/rfc/rfcl413.txt). Этот тип сканирования, называемый ident-сканированием, предназначен для определения пользователя путем установления TCP-соединения с портом 113. Очень часто в ответ приходит сообщение, содержащее идентификатор владельца процесса, связанного с данным портом. Однако этот метод годится лишь для исследования систем UNIX. [tsunami] nmap -I 192.168.1.10 Последний метод, на котором мы остановимся, называется сканированием с прорывом по FTP (FTP bounce scanning). Этот метод впервые был описан Хоббитом (Hobbit). В своей статье, опубликованной в электронном бюллетене Bugtraq в 1995 году, он осветил некоторые скрытые недостатки протокола FTP (RFC 959, http://www.ietf.org/rfc/rfc0959.txt). Кратко данный метод можно описать как скрытное подключение через FTP-сервер, используя поддержку proxy-серверов, реализованную на этом FTP-сервере. Как отмечает Хоббит в вышеупомянутой статье, прорыв по FTP "можно использовать практически для неотслеживаемой отправки электронной почты и сообщений в группы новостей, взлома серверов различных сетей, заполнения диска, попыток прорыва через брандмауэры и другой вредоносной деятельности, которая при этом может оставаться практически незамеченной". Добавим, что с помощью прорыва по FTP можно сканировать порты, чтобы скрыть свой адрес, и, что еще более важно, обходить устройства управления доступом. Конечно, утилита nmap поддерживает и этот режим сканирования (параметр -b). Однако для его выполнения необходимо соблюдение нескольких условий. Во-первых, на FTP-сервере должен быть каталог, доступный для чтения/записи со стороны любого пользователя, например /incoming. Во-вторых, FTP-сервер должен принять от утилиты nmap заведомо неправильную информацию о порте с помощью команды PORT. Хотя этот метод очень эффективен для проникновения через устройства управления доступом, а также для сокрытия своего адреса, у него есть один существенный недостаток — слишком низкая скорость работы. Кроме того, многие современные FTP-серверы просто запрещают выполнение таких операций. Однако применение различных средств для сканирования портов — это только половина задачи. Теперь нужно разобраться с тем, как проанализировать данные, полученные с помощью каждой из утилит. Независимо от применяемого средства, необходимо идентифицировать открытые порты, поскольку их перечень позволит определить операционную систему удаленного узла. Например, если на узле открыты порты 135 и 139, то, скорее всего, этот узел работает под управлением операционной системы Windows NT. Обычно Windows NT опрашивает порты 135 и 139, тогда как Windows 95/98 — лишь порт 139. Например, изучив результаты, полученные во время работы утилиты strobe, которая рассматривалась выше в этой главе, можно заключить, что исследовавшийся в рассматриваемом примере узел работает под управлением операционной системы из семейства UNIX. Данный вывод можно сделать на основании того, что на исследуемом узле открыты порты с номерами 111 (portmapper), 512-514 (службы Berkley R), 2049 (NFS), а также порты с номерами 3277Х, что характерно именно для систем семейства UNIX. Более того, можно также предположить, что данная операционная система относится к семейству Solaris — именно этой системе присуще использование служб RPC вместе с портам из этого диапазона. Нужно подчеркнуть, что это лишь предположения, поскольку в действительности установленная операционная система, если с ее настройкой поработал опытный администратор безопасности, может лишь "выдавать себя" за Solaris, а в действительности не иметь с ней ничего общего. Итак, после завершения TCP- и (или) UDP-сканирования портов уже можно выдвинуть предположения о типе операционной системы, работающей на исследуемом узле, и, следовательно, о том, как можно проникнуть на этот узел. Например, если на сервере Windows NT открыт порт 139, то такой узел подвергается очень высокой степени риска. Подробнее о скрытых недостатках системы защиты Windows NT, а также о том, как с помощью порта 139 можно проникнуть в систему, в которой не приняты адекватные контрмеры для защиты этого порта, рассказывается в главе 5. Рассматривавшаяся в качестве примера система UNIX, скорее всего, также подвергается большому риску, поскольку выявленные нами работающие службы предоставляют в распоряжение удачливого взломщика очень большие возможности. Например, использование служб удаленного вызова процедур (RPC — Remote Procedure Call) и поддержки сетевой файловой системы (NFS — Network File System) являются двумя основными методами проникновения через систему защиты сервера UNIX (подробнее см. главу 8). С другой стороны, если служба RPC не находится в режиме ожидания запросов, то проникнуть через ее систему защиты практически невозможно. Именно поэтому так важно помнить, что чем больше служб работает на компьютере, тем большему риску он подвергается. |
|||||
|
|
|||
|