ЛЕКЦИЯ №3. Сканирование сетей осуществляется злоумышленником на предварительном этапе атаки и позволяет злоумышленнику провести необходимый сбор информации (уязвимость

ТЕМА 3. СКАНИРОВАНИЕ СЕТЕЙ ЦЕЛИ И ПРЕДНАЗНАЧЕНИЯ. ЗАЩИТА ОТ СКАНИРОВАНИЯ. СНИФЕРЫ.

Сканирование сетей осуществляется злоумышленником на предварительном этапе атаки и позволяет злоумышленнику провести необходимый сбор информации (уязвимость системы).

Сетевое сканирование используется как злоумышленником, так и администратором сети, в целях, чтобы определить работу системы.

Для защиты от сетевого сканирования необходимо применять подходы, позволяющие скрыть внутреннюю структуру сети (использовать межсетевые экраны и системы обнаружения атак СОА). Таким образом, для защиты от рассмотренных выше атак используют МЭ, виртуальные частные сети VPN, стойкие протоколы аутентификации.

СИСТЕМА ОБНАРУЖЕНИЯ АТАК. АНАЛИЗ ЖУРНАЛА БЕЗОПАСНОСТИ (АУДИТА) КОМПЬЮТЕРНЫХ СИСТЕМ.

Сканирование IP-адресов. Производится путем специальных программ, которые работают с ICMP протоколом. По этому протоколу отправляется эхо-запрос по указанному IP-адресу, если приходит ответ эхо-ответ, значит, данный узел присутствует в сети. Обмениваясь ICMP пакетами с каким-либо узлом сети можно получить куда более ценную информацию о сети, нежели констатация факта, что данный узел подключен к сети. МЭ позволяют отключать эхо-ответ по протоколу ICMP. Если обмен данными по ICMP протоколу заблокирован, используется метод сканирование портов.

Сканирование портов. Этот метод основан на попытке пробного подключения к портам TCP и UDP с целью определения запущенных служб и соответствующих им портов. Определение портов, находящихся в режиме ожидания позволяет определить тип используемой ОС, а также запущенные на компьютере приложения.

Существует несколько видов сканирования портов:

1) TCP-сканирование подключением

2) TCP-сканирование сообщениями SYN

3) TCP NULL-сканирование

4) TCP-сканирование с помощью сообщения ACK

5) UDP-сканирование

1) заключается в попытке подключения по TCP-протоколу к нужному порту с прохождением полной процедуры согласования соединения.

2) заключается в том, что полного подключения к порту не происходит, а к порту посылается сообщение SYN и если в ответ приходит ответ SYN/ACK, то данный порт находится в режиме прослушивания. Данный метод является более скрытым, чем предыдущий.

3) осуществляется отправка пакетов с отключенными флагами. Исследуемый узел в ответ должен отправить сообщение, которое будет говорить о том, какие порты закрыты.

4) осуществляется отправка сообщений ACK, которые позволяют устанавливать набор правил используемых брандмауэр.

5) заключается в отправке сообщений, пакетов по протоколу UDP. Если в ответ поступает сообщение, что порт недоступен, значит, он закрыт и наоборот. UDP-протокол достаточно ненадежен и процесс UDP-сканирования очень медленный, поэтому к этому сканированию прибегают редко.

Защита от сканирования портов достигается правильной настройки брандмауэра и МЭ. Необходимо закрыть все неиспользованные порты, а на используемые наложить правило «использовать с разрешения пользователя».

Дата добавления: 2014-01-07; Просмотров: 268; Нарушение авторских прав?; Мы поможем в написании вашей работы!