| |
Исследование перед взломом Часть l
INTRO
C чего начинается грамотный взлом? Правильно, со сбора информации о жертве.
Одним из этапов сбора инофрмации сбора данных является изучение структуры
сети, а одним из этапов изучения сети является автоматизированное прослушивание
с помощью небезызвестной для тебя утилиты ping. по диапазону IP-адресов.
Цель такого прослушивания – определение, имеется ли у отдельных компьютеров
подключение к Internet.
Работа ping
Как же работает эта утилита? Все очень просто: она отправляет ICMP-пакеты
(echo) на ip-адрес и ожидает ответа от этого компьютера (echo_reply). Если
ответ получен, значит комп поджключен к сети.
Прослушивание с помощью ping
Для выполнения ping-прослушивания есть куча средств, как для Windows, так
и для *nix. Итак, начнем с *nix
*nix прослушивание
Из огромного количества ping-утилит очень большое распространение получила
утилита fping (http ftp://ftp.neic.nsk.su/pub/OpenBSD/2.9/packages/alpha/fping-1.20.tgz).
Она и есть самое надежное и проверенное временами средство. Чем же она так
себя зарекомендовала? Помнишь, Horrific как-то писал про сканер, что он
должен посылать запросы сразу на несколько портов и ожидать от них ответа,
что ускоряло работу. Так вот fping работает по такому же принципу. Утилита
не ждет ответа от компа, а сразу посылает еще запросы. Таким образом скорость
у этой утилиты велика. Ну теперь передем к практике.
Неплохо было бы записать все ip-шники компов, которые надо прослушивать,
в отдельный файл. Например записываем в файл ip.txt строки. Запомни, каждый
адрес должен занимать одну строку:
212.58.193.0
212.58.193.1
212.58.193.2
…
212.58.193.255
Теперь пускаем в ход нашу прогу:
[cscript]$ fping –f ip.txt
212.58.193.0 is alive
212.58.193.1 is alive
212.58.193.2 is alive
Теперь немного о параметрах программы.
Параметром –f мы дали программе команду считывать ip-адреса из файла, имя
котрого написали далее. Есть еще параметр –а с помощью которого можно включить
режим, в котором выводится инфа об активных на данный момент компьютерах
в сети. Если нам нужна информация об именах узлов, то пишем параметр –d.
О всех параметрах можно узнать указав параметр –h.
Есть еще масса утилит для ping-прослушивания под *nix… Очень распространена
утилита nmap, но она более всеохватывающая, хотя и не плохо выполняет прослушивание.
Win-прослушивание
Видоузятников тоже не обошли вниманием. Тут тоже не мало утилит подобного
рода. Расскажу немного о pinger’e от команды Rhino9 (http://www.nmrc.org/files/snt/).
Почему именно эту утилиту я взял? Потому что она, как и предыдущая *nix-овская
является одной из самых быстрых в своем классе. Работает она также как и
fping. Задаем начальный ip и конечный, задаем timeout и жмем Ping. После
прослушивания можно сохранить результат.
Еще одна ping утилита – PingSweep от SolarWinds. У нее еще выше скорость,
чем у ping от Rhino9. Объясняется это тем, что программа дает установить
время задержки между передаваемыми пакетами. Для быстроты прослушивания
можно установить задержку 0. Теперь попробуй с какой скоростью будет идти
ping.
Среди других утилит хорошей мощью обладают ping в таких программах как NetScanTools
и ShadowScan.
TCP-прослушивание
Но как известно не все админи – лохи :) Администратор может без проблем
блокировать сообщения ICMP. Как же быть тогда? Существуют и дополнительные
средства прослушивания, но по сравнению с ping они не так эффективны. Например
можно выявлять компы, подключенные к сети, с помощью сканера портов. Но
сам понимаешь, сканировать каждый ip это глупо.
Вернемся к nmap. Эта утилита не ограничивается ping’ом и сканером портов.
У нее есть такой полезный режим как TCP ping scan, т.е. прослушивание методом
сканирования. Этот режим включается параметром –pt и указанием порта. Порт
обычно выбирают 80, т.к. в подавляющем большинстве случаев именно этот порт
используется в сети для обмена данными через пограничные маршруты. При работе
утилита рассылает всем узлам сети пакеты ACK, а затем ожидает пакета RST.
Если пакет поступил, значит узел подключен к Internet.
Идем дальше. Есть специальные утилиты для TCP-прослушивания. Например *nix-овая
утилита hping. Ее большой плюс состоит в том, что она может «протиснуть»
пакет даже через некоторые устройства блокирования. Поэтому hping может
слдужить не только для TCP-прослушивания, но и предоления блокираторов.
Каждый отдельный пакет и все пакеты в целом могут дать ясную картину об
используемых брандмауэрах.
ИТОГО
Отметим, что ICMP- и TCP-прослушивание позволяет нам точно понять какие
компьютеры подключены к Internet. Выявление подключенных узлов является
строением каркаса для взлома, который будет необходим в дальнейшем. Прослушиванием
мы значительно сужаем круг поиска, что позволяет сэкономить время и силы.
Защита от прослушивания
Выше мы поняли, что прослушивание является полезным действием перед взломом.
Значит от него надо и уметь защититься. А защита – блокирование прохода
пакетов.
Но неплохо бы и уметь выявлять факт прослушивания. Для *nix-ов есть немалое
количество утилит для выявления прослушивания. А вот с Woindows проблемы.
Разве что я бы отметил пакет Genius, который блокирует TCP-сканирование,
но понятно, что эта защита не существенна. Еще одним пакетом является BlackIce
(http://eng.uzsci.net/download/BlackIce/blackice21.zip). Эта программа позволяет
выявить факт прослушивания, сканирования портов и т.п.
С иксами проще. Я не буду рассказывать про эти утилиты, потому что это уже
другая история… Главное в моей статье был рассказ о прослушивании, я думаю
все было понятно.
Scanlogd [http://www.openwall.com/scanlogd]
Courtney 1.3 [ftp://ftp.neic.nsk.su/pub/OpenBSD/2.9/packages/alpha/courtney-1.3.tgz]
Ippl 1.4.10 [http://pltplp.net/ippl]
Protolog 1.0.8 [http://jim.westa.ru/files/Linuxprog/linux/protolog-1.0.8.tar.gz]
Хочу заметить, что ссылки время от времени умирают :)
|
