Если вы хотите прочитать следующую часть этой статьи, то пройдите по этой ссылке Подробный анализ незаконного получения доступа к компьютерным данным (Часть 2).
Эта серия статей будет основываться на нарушении работы сетевой системы. Мы рассмотрим непосредственно сам незаконный доступ к данным, начиная со стадии рекогносцировки и до самого перечисления, эксплуатации сетевого сервиса, и закончим послеэксплутационными стратегиями. Все эти шаги будут рассмотрены, а потом и объяснены, на уровне пакетов. Для системных администраторов и персонала сетевой безопасности будет очень важно иметь возможность предвидеть и понимать всю серьезность атаки на уровень пакетов. Выход брандмауэров, Система Обнаружения Несанкционированного доступа (Intrusion Detection Systems — IDS) и другие устройства обеспечения безопасности всегда покажут вам сетевой трафик. Если вы не понимаете, на что смотрите в уровне пакетов, то тогда все технологии сетевой безопасности, которые у вас есть – просто бесполезны. Потом мы рассмотрим, как написать сигнатуру, основанную на трафике вторжения.
Устройства, используемые для этой моделированной сетевой атаки:
Сейчас в Интернете отсутствует нехватка во враждебном сканировании, часто встречается распространение различных форм вирусов. Все это приводит к белым шумам для хорошо защищенных компьютерных сетей. Первое, чему нам стоит уделить внимание – это персональное сознательное сосредоточение на компьютерной сети. Для достижения обоих целей, поставленных в этой статье, мы предположим, что хакер уже выбрал себе цель и сделал самые первые поиски, такие как выяснение IP адреса или адресов нужной сети. Этот вид информации очень важен, если хакер после сканирования, определения параметров (профиляции) и завершения ее нумерации не нашел путей в сеть. Адреса электронной почты, которые он сумел добыть, будут очень полезны для создания электронного письма с ссылкой на зловредный веб-сайт, по которой должен будет пройти пользователь. Более подробно об этом виде атаки – в следующих частях статьи.
Теперь мы рассмотрим действия потенциального хакера во время проведения им сканирования, определения параметров и нумерации сети. Первым устройством, которым пользуется хакер, является Nmap. Хотя у Nmap для этого есть всего несколько IDS сигнатур, он все еще является очень полезным устройством и постоянно используется.
Рисунок 1
Через синтекс, используемый хакером, на скриншоте мы можем видеть, что он намерено выбрал порты 21 и 80, так как у него есть несколько эксплойтов, которые он может использовать через интегрированную среду Metasploit. Не только это, но еще и два системных сервиса и протоколы, которые он отлично знает. Также видно, что он использует SYN сканирование, которое является самым общим видом сканирования портов. Это происходит если сервис, использующий TCP, ожидает в порте, который просканирован с помощью SYN пакета, а после назад будет отправлен SYN/ACK пакет. Этот SYN/ACK пакет показывает, что сервер и правда ожидает соединения. То же самое нельзя сказать о UDP, базирующемся на таких сервисах, как DNS (DNS также использует TCP, хотя чаще — UDP для обработки запросов).
Представленный ниже синтекс является выходом, который Nmap тщательно выбирает из пакетов, которые он отправил, но для большей аккуратности – из пакетов, которые он получил в качестве результата только что завершившегося SYN сканирования. Мы можем видеть, что предложены FTP и HTTP сервисы. Никакого интереса для нас не представляет MAC адрес, поэтому мы его проигнорируем. Хотя такие устройства как Nmap нечасто ошибаются, было бы неплохо проверять вашу информацию в уровне пакетов, чтобы убедиться в ее подлинности. Нужно просматривать вернувшиеся от пострадавшей сети пакеты, из которых мы получим хост-узлы, сервис и архитектурную информацию.
Сегодня существует несколько программ, которые достают пакеты из провода и получают информацию — тип операционной системы, информацию о структуре, например: x86 или SPARC и так далее. Это еще не самое смешное, не менее важно, что мы изучаем что-то путем разрешения программе делать для нас работу. Поэтому давайте рассмотрим отслеживание Nmap пакета и получим информацию о сети жертвы.
10:52:59.062500 IP (tos 0x0, ttl 43, id 8853, offset 0, flags [none], proto: ICMP (1), length: 28) 192.168.111.17 >
192.168.111.23: ICMP echo reply seq 38214, length 8
0x0000: 4500 001c 2295 0000 2b01 0dd3 c0a8 6f11 E…»…+…..o.
0x0010: c0a8 6f17 0800 315a 315f 9546 ..o…1Z1_.F
10:52:59.078125 IP (tos 0x0, ttl 128, id 396, offset 0, flags [none], proto: ICMP (1), length: 28) 192.168.111.23 >
192.168.111.17: ICMP echo reply seq 38214, length 8
0x0000: 4500 001c 018c 0000 8001 d9db c0a8 6f17 E………….o.
0x0010: c0a8 6f11 0000 395a 315f 9546 0000 0000 ..o…9Z1_.F….
0x0020: 0000 0000 0000 0000 0000 0000 0000 …………..
На приведенных выше двух пакетах показан открывающий порядок для Nmap. Он отправляет ICMP обратный ответ в сеть жертвы. Обратите внимание, что он не направлен в заданный порт, ICMP не использует порты, но управляется устройством неверных сообщений ICMP, которое встроено в набор TCP/IP протокола. Этот ICMP пакет также имеет уникальный номер, в данном случае 38214, с целью поддержания трека обратного трафика TCP/IP набором, и снабжает его более ранним ICMP пакетом. Пакет над нами – это ответ от сети жертвы в виде ICMP обратного ответа. Обратите внимание, что он также содержит номер 38214. Поэтому хакер и знает, что за IP адресом существует компьютер или компьютерная сеть.
Поэтому у Nmap и есть IDS сигнатура – для этого открывающего ICMP пакета. По вашему желанию эта ICMP опция открытия хост узлов может быть отключена в Nmap. Что за информация может быть получена через пакет результирующего ICMP обратного ответа от сети жертвы? На самом деле нет информации, которая помогла бы нам определить параметры сети. Хотя мы можем предпринять предварительную попытку с целью определения вида операционной системы. В выше приведенном пакете выделены время жизни поля и его значение. Значение 128 указывает на вероятность того, что этот компьютер оснащен Microsoft Windows. Пока это ttl значение не является окончательным ответом на вопрос – что из себя представляет операционная система, оно будет успешно подтверждено пакетами, с которыми мы еще ознакомимся.
В этой статье мы познакомились с тем, как хакер сканирует сеть по двум определенным портам, используя для этого Nmap. Он убеждается, что компьютер или компьютерная сеть принадлежать этому IP адресу. Во второй части мы закончим обучение работе с трассировкой пакета и получим оставшуюся часть информации о параметрах. Увидимся.
Источник www.windowsecurity.com