Выявление целей

Разведка.

Разведка (в нашем понимании) - несанкционированное выявление параметров ИС, ее точек уязвимости или получение конфиденциальной информации. Информация, полученная в результате атак разведки, может затем использоваться для проведения атак другого типа или для хищения важных данных.

Рассмотрим наиболее распространенные виды разведывательных атак.

Выявление целей включает: определение имен доменов и IP-адресов узлов (серверов, маршрутизаторов и т.д.), выявление списка доступных сервисов или какой-либо иной инф. об этом узле.

Каким же образом производится выявление целей?

Сетевые команды и утилиты. Для разведки можно использовать сетевые команды, доступные в UNIX и Windows, это ping (посылает Internet Control Message Protocol- пакеты), finger (показывает информацию о пользователях в системе), rusers (показывает, кто из пользователей работает на удаленной системе на данный момент), nslookup (интерактивное общение с DNS-серверами), dig (позволяет обращаться к DNS-серверам), telnet (команда для связи с другими узлами), nmap (утилита для исследования сети – сканер, позволяет определить открытые порты на узле, т.е. сервисы, которые на нем запущены), а также другие команды и утилиты, обеспечивающие информацию о сети и ее узлах.

Как видим, даже в стандартной поставке операционных систем есть немало команд для выявления узлов, запущенных на них сервисов и структуры сети.

Разведка ping. Эта команда генерирует для конкретного узла (или по широковещательному адресу) сообщение ICMP Echo Request. Узел должен ответить соответствующим набором сообщений ICMP.

Хотя для сбора информации о сети и ее узлах можно использовать саму команду ping, были разработаны утилиты разведки ping, автоматизирующие выявление узлов внутри сети. Такие утилиты просматривают диапазон IP-адресов и используются для того, чтобы построить карту сети.

Во многие реализации ping встроена возможность послать так называемый Flood ping, при включении которого пакеты могут посылаться с очень большой частотой, что может затруднить работу узлов сети, маршрутизаторов или даже привести к «падению» сервисов на узле. Сделана эта возможность для благих целей (изучения сетевой производительности), но может использоваться для атаки. ping –f <host> (запускается только в режиме супер-юзера). Об этом речь пойдет, когда будем рассматривать угрозы блокирования сервиса.

Сканирование портов.

После выявления интересующего узла хакер может выполнить сканирование портов. Утилита сканирования портов проверяет заданный диапазон портов TCP или UDP с целью выявления доступных сетевых службы типа Telnet, FTP, HTTP или RCP. Такое сканирование может быть общим, когда проверяется диапазон портов (напр. порты с номерами 1-1023), или специальным, когда внимание концентрируется на определенных портах, чтобы выявить, например, инф. об операционной системе.

После выявления интересующих портов противник может приступить к проведению атаки против конкретного порта. Например, если хакер выяснит, что на данном узле доступна служба SMTP, он может послать соответствующие команды SMTP с целью получения доп. информации или несанкционированного доступа. Если хакер обнаружит, что на данном узле доступна служба DNS, он может попытаться получить доступ к записям HINFO службы DNS (необяз.поле с информацией об ОС и аппаратной части узла).

Сканеры портов могут исследовать открытые порты недостаточно защищенных пользователей. Существует большое количество легкодоступных (в том числе бесплатно распространяемых) сканеров.

Методы противодействия:

- отключение ответа на команды ping, finger, rusers и т.д.

- отключение невостребованных сервисов на серверах и маршрутизаторах

- использование системы обнаружения вторжений для выявления сканирования портов

Следующий вид разведывательных атак:

Перехват пакетов.

Перехв. пакетов (сбор информации) является методом пассивного наблюдения за сетевым трафиком с помощью некоторого устройства или утилиты. Цель перехвата – выявление структуры потока данных для последующего анализа, а также с целью кражи информации. Синонимами понятия перехват являются сетевое слежение и анализ пакетов.

Типичным способом перехвата сообщений является захват TCP/IP пакетов и декодирование их содержимого с помощью анализатора протокола.

С помощью перехвата пакетов сетевые наруш-ли могут выяснять имена и пароли пользователей, извлечь из пакета такие данные, как номер кред. карты или другую частную инф-ю.

Методы противодействия:

- ограничение физического доступа к сетевому оборудованию, исключающее возможность размещения анализаторов протокола в подходящих точка сети

- использование коммутаторов для разбиения сети на сегменты (VLANы), с целью предотвращения захвата всего сетевого трафика с одной рабочей станции

- принятие мер, гарантирующих невозможность несанкционированного доступа к хостам и размещения утилит захвата пакетов.

- использование программ проверки целостности систем и выявления файлов, размещенных без разрешения

- использование на важных узлах сети интерфейсных плат, которые нельзя переключить в беспорядочный (promiscuous - беспорядочный, неразборчивый) режим работы (объяснить, что это за режим)

- применение шифрования данных для защиты содержимого пакетов при передаче через незащищенные сети

Дата добавления: 2014-01-07; Просмотров: 322; Нарушение авторских прав?; Мы поможем в написании вашей работы!