Wednesday, October 17th, 2018

Профилирование операционной системы (Часть 3)

Published on Февраль 4, 2009 by   ·   Комментариев нет

Если вы хотите ознакомиться с остальными частями этой статьи, пожалуйста, прочитайте:

Во второй части этой статьи мы остановились на том, что опробовали те же самые тестовые критерии SYN, RST и ACK пакетов для операционной системы Windows XP Pro. Вернувшийся стимул, а точнее отсутствие такового, был точно такой же, как и в случае с операционной системой Windows 2000 Pro box. В этой третьей части статьи мы попытаемся запустить этот тест для операционной системы Windows 2003 Standard. После этого мы займемся другим методом идентификации операционной системы Windows или Win32 (Windows NT/2000/XP/2003) operating system.

Продолжим

Итак, теперь мы пошлем пакет SYN packet на компьютер с операционной системой W2K Standard на его TCP порт 135. Синтаксис, используемый в Hping, выглядит следующим образом:


Hping –S 192.168.1.106 –p 135 –c 1

В результате этого будет послан SYN пакет, что задается ключом “-S” в команде, на IP адрес “192.168.1.106” на TCP порт 135, что задается ключом “-p 135”, и наконец, ключ “-c 1” означает, что будет послан только один пакет. Возможность посылки точного количества пакетов – это одна из очень удобных возможностей Hping на мой взгляд. Это дает возможность специалисту быть незаметным и внедряться в сетевой трафик (network traffic) при выполнении тестов. Ниже показан пакет SYN/ACK, который вернулся от компьютера с операционной системой W2K3, а также ответ ноутбука на этот пакет. Давайте на это посмотрим.


16:21:27.062500 IP (tos 0x0, ttl 128, id 6801, offset 0, flags [DF], proto: TCP
(6), length: 44) 192.168.1.106.135 > 192.168.1.101.2607: S, cksum 0xbbd6 (correct), 4185246458:4185246458(0) ack 575040370 win 64320 <mss 1460>
0x0000:  4500 002c 1a91 4000 8006 5c1b c0a8 016a  E..,..@...\....j
0x0010:  c0a8 0165 0087 0a2f f975 cafa 2246 6b72  ...e.../.u.."Fkr
0x0020:  6012 fb40 bbd6 0000 0204 05b4            `..@........

Из пакета, представленного выше, мы видим, что компьютер с операционной системой W2K3 отвечает со своего порта 135 пакетом SYN/ACK ноутбуку. Это служба, слушающая по порту 135. Подчеркнутые секции “S” и “ack” сообщают вам, что это пакет SYN/ACK, что также сообщает подчеркнутая мной цифра “12”. Это шестнадцатиричное значение “12” преобразуется в десятичное значение 18 и означает, что в полях SYN и ACK установлены флаги в заголовке TCP header.


16:21:27.062500 IP (tos 0x0, ttl  64, id 3, offset 0, flags [DF], proto: TCP (6), length: 40) 192.168.1.101.2607 > 192.168.1.106.135: R, cksum 0x9352 (correct),575040370:575040370(0) win 0
0x0000:  4500 0028 0003 4000 4006 b6ad c0a8 0165  E..(..@.@......e
0x0010:  c0a8 016a 0a2f 0087 2246 6b72 0000 0000  ...j./.."Fkr....
0x0020:  5004 0000 9352 0000 0000 0000 0000       P....R........

Теперь мы видим то, что ноутбук посылает обратно на компьютер с операционной системой W2K3 пакет RST. Для чего он это делает? Мы же послали с него пакет SYN на компьютер с операционной системой W2K3, который в свою очередь правильно ответил пакетом SYN/ACK. Пакет RST – это ничто иное, как попытка инициировать трехстороннее TCP/IP рукопожатие. Все, что мы послали – это пакет SYN packet. Не было соответствующего ACK на W2K3 пакет SYN/ACK, отсюда и появляется пакет RST. В общем, то что мы увидели – это типичное сканирование SYN пакетом. Наконец, обратите внимание, что пара портов 135 и 2607 остается неизменной на протяжении всей сессии между двумя компьютерами. Именно так и должно быть. Порты должны измениться, после завершения сессии, и после новой попытки взаимодействия.

Теперь ради краткости я скажу, что компьютер с операционной системой W2K3 ответил точно также на пакет RST и на ACK, как и компьютеры с операционными системами W2K и XP Pro. На пакет RST не было ответа, а в ответ на пакет ACK был получен пакет RST. Итак, в общем компьютеры с операционными системами W2K, XP и W2K3 все ответили одинаково на стимул. Не было обнаружено различий. Т.к. тестирование было не долгим, то мы не обнаружили ничего, согласно чему их можно было отличить друг от друга. Но это не означает, что мы не найдем некоторых различий, если применим творческий подход. После этого я предложу вам попробовать применить этот самый творческий подход. Мы попробуем другой метод идентификации компьютера на платформе Win32. Для этого мы пошлем серию пакетов на компьютер, чтобы увидеть, что идентификатор IP identifier (IP ID) предсказуемо увеличиваются. В случае с Win32 он увеличивается на один. Давайте посмотрим.


Hping –S 192.168.1.106 –p 135 –c 3

Теперь мы можем увидеть из пакетов, показанных ниже, что номера IP ID number в самом деле предсказуемо увеличиваются. Эта странность впервые была замечена создателем Hping по имени Сальваторе Санфиллипо (Salvatore Sanfillipo), о которой он сообщил компании Microsoft. До сегодняшнего дня компания Microsoft еще не исправила это. Эта предсказуемость очень полезна при выполнении, так называемого “blind side scanning” (слепое сканирование).


16:37:03.203125 IP (tos 0x0, ttl 128, <strong>id 6810</strong>, offset 0, flags [DF], proto: TCP
(6), length: 44) 192.168.1.106.135 &gt; 192.168.1.101.2715: S, cksum 0x63ff (corre
t), 1400886649:1400886649(0) ack 872893588 win 64320 &lt;mss 1460&gt;
        0x0000:  4500 002c 1a9a 4000 8006 5c12 c0a8 016a  E..,..@...\....j
        0x0010:  c0a8 0165 0087 0a9b 537f d579 3407 4c94  ...e....S..y4.L.
        0x0020:  6012 fb40 63ff 0000 0204 05b4            `..@c.......
16:37:04.218750 IP (tos 0x0, ttl 128, <strong>id 6811</strong>, offset 0, flags [DF], proto: TCP
(6), length: 44) 192.168.1.106.135 &gt; 192.168.1.101.2716: S, cksum 0xccb5 (corre
t), 4098910578:4098910578(0) ack 18735612 win 64320 &lt;mss 1460&gt;
        0x0000:  4500 002c 1a9b 4000 8006 5c11 c0a8 016a  E..,..@...\....j
        0x0010:  c0a8 0165 0087 0a9c f450 6972 011d e1fc  ...e.....Pir....
        0x0020:  6012 fb40 ccb5 0000 0204 05b4            `..@........
16:37:05.218750 IP (tos 0x0, ttl 128, <strong>id 6812</strong>, offset 0, flags [DF], proto: TCP
(6), length: 44) 192.168.1.106.135 &gt; 192.168.1.101.2717: S, cksum 0x1341 (corre
t), 600269850:600269850(0) ack 1314661395 win 64320 &lt;mss 1460&gt;
        0x0000:  4500 002c 1a9c 4000 8006 5c10 c0a8 016a  E..,..@...\....j
        0x0010:  c0a8 0165 0087 0a9d 23c7 641a 4e5c 2413  ...e....#.d.N\$.
        0x0020:  6012 fb40 1341 0000 0204 05b4            `..@.A......

Итак, мы увидели, что эти значения IP ID определенно увеличиваются в предсказуемом порядке. Пожалуйста, обратите внимание, что я не вставил SYN пакеты от ноутбука, которые привели к формированию этих пакетов SYN/ACK.

Резюме

Итак, чему мы научились за это время? Мы увидели, что, применив немного творчества к разбору пакета и некоторую информацию, полученную из Интернет по ссылке, приведенной в первой части этой статьи, мы можем достаточно точно угадать, с какой операционной системой мы имеем дело. Именно под этим я понимаю архитектурное профилирование (architectural profiling). Операционная система Windows, и особенно, варианты Win32, по умолчанию имеют значение ttl равное 128, а также другие особые метрики стэка TCP/IP stack. Благодаря использованию этих метрик, вы можете сказать, что перед вам операционная система Win32, а не операционная система SPARC, которая имеет меньшее значение ttl равное 64, и не любая другая. В четвертой части этой статьи мы продолжим заниматься профилированием компьютера (host profiling). Вы сможете увидеть, что можно получить из NBTSTAT, а также, как прочитать эту информацию. Знание того, как понимать результаты работы NBTSTAT, может очень сильно помочь вам, если вы работаете тестировщиком. Нет большой пользы от атаки на компьютер с уязвимостью в коде IIS 5, если это всего лишь простая рабочая станция. На этом я заканчиваю свою статью. До новых встреч.

Источник www.windowsecurity.com


Смотрите также:

Tags: ,

Readers Comments (Комментариев нет)




Да человек я, человек! =)

Exchange 2007

Проведение мониторинга Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 3)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Проведение мониторинга Exchange 2007 с помощью диспетчера System ... [+]

Практическое рассмотрение перехода с Exchange 2003 на Exchange 2007 (часть 1)

Введение В этой статье из нескольких частей я хочу показать вам процесс, который недавно использовал для перехода с существующей среды Exchange 2003 ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 2)

Если вы пропустили первую часть этой серии, пожалуйста, прочтите ее по ссылке Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (Часть ... [+]

Мониторинг Exchange 2007 с помощью диспетчера System Center Operations Manager 2007 (часть 2)

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Мониторинг Exchange 2007 с помощью диспетчера System Center Operations ... [+]

Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 5)

Если вы пропустили предыдущие части этой серии статей, перейдите по ссылкам: Подробное рассмотрение подготовки Active Directory для Exchange 2007 (часть 1) ... [+]

Установка и настройка Exchange 2007 из командной строки (Часть 3)

If you missed the previous parts in this article series please read: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование инструмента Exchange Server Remote Connectivity Analyzer Tool (часть 1)

Инструмент ExRCA Текущий выпуск инструмента предоставляется только в целях тестирования и оснащен 5 опциями: Тест подключения Outlook 2007 Autodiscover Тест подключения Outlook 2003 RPC ... [+]

Развертывание сервера Exchange 2007 Edge Transport (часть 5)

Если вы хотите прочитать предыдущие части этой серии статей, перейдите по ссылкам: Развертывание сервера Exchange 2007 Edge Transport (часть 1) Развертывание ... [+]

Установка и настройка Exchange 2007 из командной строки (часть 2)

Если вы пропустили первую статью данного цикла, пожалуйста, перейдите по ссылке: Exchange 2007 Install and Configuration from the command line (Part ... [+]

Использование интегрированных сценариев Using Exchange Server 2007 – часть 2: генерирование отчетов агента Transport AntiSpam Agent

Если вы пропустили предыдущую часть этой серии статей, перейдите по ссылке Использование интегрированных сценариев Using Exchange Server 2007 – часть ... [+]