Rețeaua counterspionage detecta ambele unități de scanare și porturi

metri „inteligente“ de energie electrică pentru tehnologiile NB-IO
Huawei a anunțat primul din lume „inteligente“ metru bazat pe tehnologia Internet în bandă îngustă a obiectelor, dezvoltat în colaborare cu JANZ CE ...







Filtre AccuSine active din Schneider Electric
Prin Schneider Electric a anunțat română AccuSine piață seria filtru activ utilizat pentru a îmbunătăți calitatea ...

Care este avantajul de matrice all-flash?
Se consideră că, în măsurarea performanței accent pe operațiunile de stocare de intrare-ieșire (IOPS): mai mult decât ei, cu atat mai mare ...

SDN - nu doar un pas evolutiv în dezvoltarea de stocare
Anul trecut, mulți producători au anunțat lansarea de platforme definite prin software de stocare (SDN). Aceasta nu este doar un pas evolutiv, și o altă rundă de ...

O condiție necesară pentru victoria în segmentul de server al SMB - un portofoliu larg de produse
piață server pentru afaceri mici și mijlocii este împărțit într-o multitudine de nișe înguste, cu așteptările lor specifice de performanță, funcționalitate și ...

Alexei Lukatsky,
Director tehnic adjunct al Centrului Științific și Inginerie „INFOSEC“
[email protected]

Dacă doriți să cumpere revista „BYTE / Romania“, primul lucru pe care îl faci - este în căutarea unui magazin, chioșc sau o tavă, care vinde această ediție. Pentru a pune punct de vedere științific, desfășurați obiectivul procesului de identificare (căutare) (magazin), care permite pentru a rezolva problema (log achiziție). De asemenea, cu atacuri asupra sistemelor informatice: primul lucru care face ca un intrus - ea alege o victimă și să adune informații detaliate cu privire la aceasta. Această etapă se numește colectarea de informații (colectarea de informații). Este eficiența atacatorului în acest stadiu - cheia pentru un atac de succes. Primul gol al atacului este ales, și colectează informații cu privire la aceasta (sistem de operare, servicii, configurare, etc). Apoi au identificat punctele cele mai vulnerabile ale sistemului vizat, impactul care poate duce la rezultatul dorit.

În prima etapă un intrus încearcă să identifice toate canalele prin care ținta atacului interacționează cu alte noduri. Acest lucru nu va alege doar tipul de atac, dar, de asemenea, sursa de punerea sa în aplicare. De exemplu, unitatea atacat comunică cu două servere care rulează UNIX și Windows NT. Cu un singur nod server are relații de încredere pentru victime, iar pe de altă parte - nr. Din faptul că, prin care serverul va ataca aceasta depinde de ceva ce atac va fi folosit, ceea ce utilitate va pune în aplicare, etc. Apoi, în funcție de informațiile obținute și rezultatul dorit este atacul selectat care oferă cel mai mare efect. De exemplu, un SYN Flood, Teardrop, UDP Bombă etc pentru funcționarea nod încălcare și să penetreze gazda și să fure informații - fișier PHF-script pentru a fura parolele, selectarea la distanță a parolei, etc. Numai după colectarea de informații despre victima vine etapa a doua - punerea în aplicare a atacului selectat.

Procesul de colectare a informațiilor cuprinde următoarele etape:
  • mediu al victimei și topologia rețelei de învățare;
  • determinarea tipului și versiunea sistemului de operare a site-ului atacat, disponibile în rețea și alte servicii, etc.

În acest articol se va concentra pe doar trei acțiuni pe care atacatorul executat pentru prima dată. Această identificare a site-urilor atacate, serviciile lor de rețea și sisteme de operare.

identificarea unităților

Pentru identificarea nodului (detecție gazdă), de obicei, folosind utilitarul ping (sau un program similar) a trimis comanda protocol ECHO_REQUEST ICMP. mesaj de răspuns ECHO_REPLY indică faptul că site-ul este disponibil. Acesta este cel mai simplu și cel mai frecvent utilizate metoda unităților de identificare, care este utilizat de către toate (nu doar începători) atacatori. Există programe, cum ar fping sau Nmap, care să automatizeze și să accelereze procesul de identificare în paralel un număr mare de noduri. Această metodă este periculoasă, deoarece standard cererile unitate ECHO_REQUEST blocare mijloace. Pentru aceasta este necesar să se aplice analiza traficului înseamnă, firewall-uri și sisteme de detectare a intruziunilor.

Detectarea nodurilor de scanare (fragment tcpdump log)

scanere site-uri convenționale disponibile pe Internet, care duc la apariția unor astfel doar o serie de evenimente, deoarece acestea au în mod constant verifica fiecare activitate nod în rețeaua țintă. scanere mai sofisticate (de exemplu, Nmap) modifica secvența standard a nodurilor și sondare le poate selecta în mod aleatoriu dintr-o listă predefinită.

Detectarea nodurilor de scanare (fragment tcpdump log)

O altă variantă de realizare a unităților de scanare, complicând detectarea sa, - o creștere a intervalului de timp în care scanarea. De obicei, nodurile scanere trimit interogări la 5 - 10 porturi pe secundă. Cu toate acestea, în cazul în care valoarea în timp a schimbării implicit, mai multe firewall-uri dor de acest tip de acțiune.







Detectarea nodurilor de scanare (fragment tcpdump log)

Puteți face simplu - nu detectează astfel de acțiuni și să le interzică, așa cum fac multe dispozitive de rețea și programe care blochează ICMP-pachete și nu le trece la rețeaua internă (sau, dimpotrivă, nu rata). De exemplu, MS Proxy Server 2.0 nu permite trecerea pachetelor prin ICMP. Ca urmare, un atacator nu poate identifica în mod eficient nodurile instalate pentru serverul proxy (proxy). Pe de altă parte, ICMP de pachete de-Lock spune ca atacatorul a unei „prima linie de apărare“ - routere, firewall-uri, etc.

Există și alte metode de identificare a nodurilor din rețea, de exemplu, utilizarea cardului de rețea modul (promiscuu) „mixt“, care vă permite să identifice diferite noduri în segmentul de rețea, sau inteligenta DNS, care ne permite să identificăm nodurile de rețea ale companiei utilizând numele serviciului. Dar luarea în considerare a acestor tehnici și metode pentru detectarea lor este dincolo de domeniul de aplicare al acestui articol.

Identificarea serviciului sau port de scanare

Identificarea serviciului (detectare serviciu), se realizează de obicei prin detectarea porturile deschise (scanare port). Aceste porturi sunt adesea asociate cu servicii bazate pe TCP sau UDP. De exemplu, un port deschis 80 presupune existența portului Web-server 25 - SMTP e-mail-server de 31337 mii - server de cal troian BackOrifice, 12345 sau 12346-lea - server de cal troian NetBus etc. Pentru a identifica serviciul și scanarea portului pot folosi diverse programe, cum ar fi Nmap sau Netcat.

Selectarea ținta de atac, atacatorul determină care rulează pe serviciile sale și porturile deschise, care vor identifica potențialele vulnerabilități pe gazda victimă, și de a restrânge numărul de atacuri posibile. Porturile sunt utilizate pentru a scana diferite programe, punerea în aplicare diferită a mecanismului. Cele mai multe programe simple (de exemplu, Haktek) doar încearcă să stabilească o conexiune normală la portul, începând cu primul și terminând cu cel specificat de utilizator.

Port de scanare utilizând programul Haktek (fragment
Tcpdump Journal)

scanare Port (-st) folosind utilitarul Nmap (fragment
Tcpdump Journal)

FIN-port de scanare folosind utilitarul Nmap (fragment
log Snort)

Trebuie remarcat faptul că firewall-urile trebuie să acorde o atenție la orice pachete care nu îndeplinesc standardele de exemplu RFC combinații nedescrise sau interzise de steaguri. Acesta este principiul prevăzut în mecanismul de scanare ascunsă, deoarece este de multe ori instrumente de rețea analizează doar „dreptul“ în ceea ce privește pachetele RFC, fără să observe celelalte tipuri de trafic. De exemplu, în RFC 793 descrie modul în care sistemul ar trebui să reacționeze la diferite TCP-pachete normale. Dar ... în acest document (și altele) nu a descris modul în care sistemul ar trebui să reacționeze la incorecte TCP-pachete; ca urmare a unei varietăți de dispozitive și sisteme de operare răspund diferit la pachete de combinații ilicite ale TCP-steaguri. În ceea ce privește TCP-pachetele pot întâlni Six Flags: SYN, ACK, FIN, RST, PSH, URG. combinații interzise sunt după cum urmează.
  • SYN + FIN - sunt două pavilion exclud reciproc (stabilește primul compus, iar al doilea completează lui), astfel încât acestea nu se pot întâlni împreună. Această combinație este adesea folosită o varietate de scanere, cum ar fi Nmap deja menționată. Multe sisteme de siguranță cu un an în urmă, nu a putut detecta acest tip de scanare. Acum situația sa schimbat în bine, multe dintre aceste sisteme de monitorizare o combinație de steaguri. Dar, adăugând un alt pavilion la combinația (de exemplu, SYN + FIN + PSH, SYN + FIN + RST, SYN + FIN + RST + PSH) din nou, conduce la faptul că mijloacele de securitate anumită rețea nu detectează astfel de tentative neautorizate. Analiștii numesc aceste combinații de "model de pom de Craciun" ( "Christmas Tree model").

"Model Christmas Tree" (Snort log extras)

  • TCP-pachetele nu ar trebui să aibă doar un singur steag FIN. De obicei, un steag set FIN indică FIN-scan;
  • TCP-pachetele trebuie să aibă cel puțin un steag, dar nu FIN și SYN (dacă nu este primul pachet din compusul);
  • în cazul în care pachetul nu este TCP ACK-flag este setat și pachetul - nu mai întâi la stabilirea unei conexiuni (cu trei căi strângere de mână), atunci pachetul este cu siguranță anormală, deoarece în orice pavilion ACK TCP-pachet trebuie să fie prezent;
  • în plus față de aceste combinații sunt considerate suspecte RST + FIN, SYN + RST.

    combinații suspecte ale stegulețe în antetul TCP-pachet (fragment revista tcpdump)

    scanare Decoy port folosind utilitarul Nmap (fragment
    Tcpdump Journal)

    Identificarea sistemului de operare

    Cunoașterea tipului de sistem de operare poate restrânge și mai mult în jos numărul de atacuri potențiale care pot fi puse în aplicare împotriva victimei alese. Mecanismul principal de detectare a sistemului de operare de la distanță (detecție OS) - analiza de implementare TCP / IP-stack. În fiecare sistem de operare în său / protocolul IP stiva propriu implementat TCP, care permite utilizarea unor cereri speciale și răspunsurile la acestea pentru a determina ce sistem de operare este instalat pe gazdă.

    Altele, mai puțin eficiente și foarte limitate mod de a identifica sistemul de operare - analiza a serviciilor de rețea găsite în etapa anterioară. De exemplu, deschide portul conduce la 139 concluzia că gazda de la distanță se execută Windows. Pentru a determina sistemul de operare, puteți utiliza programe cum ar fi Nmap și Queso.

    detectare OS la distanță folosind utilitarul Queso

    Rețeaua counterspionage detecta ambele unități de scanare și porturi
    clorură
    Demonstrarea Chloride Trinergy
    Pentru prima dată în România, compania Chloride Rus a efectuat o demonstrație de sisteme de alimentare neîntreruptibile clorură de Trinergy®, precum și UPS de clorură de 80-NET ™, NXC și NX pentru partenerii și clienții săi.

    MFP Panasonic DP-MB545RU cu capacitatea de a imprima în format A3
    Doriți să îmbunătățească eficiența biroului? Tu va ajuta noul MFP #Panasonic DP-MB545RU. Aparatul oferă

    Adaptec de PMC
    RAID-controler Adaptec Seria 5Z cu protecție cache-POWERED SELF
    administratorii de rețea iscusiți știu că implicarea în activitatea cache RAID-controler oferă beneficii semnificative de performanță ...

    clorură
    Trei faze Chloride UPS 200-1200 kW: Trinergy
    Trinergy - o nouă soluție pe piața UPS pentru prima dată, cu un mod dinamic de operare, scalabilitate de până la 9,6 MW și o eficiență de până la 99%. Combinația unică de ...