книги хакеры / Trabelsi_Setevye-ataki-i-zashchita_RuLit_Me_676546

6.1 Введение

Каждый злоумышленник изучает целевую среду до эксплойта. Атакующий собирает некоторую предварительную информацию, такую как количество систем, конфигурации систем и используемых операционных систем (ОС). Вся собранная информация дает четкое представление об окружающей среде, которая является целевой. Поэтому, ретроспективно, для организации чрезвычайно важно знать, какую информацию злоумышленник может получить о себе, и защитить ее, чтобы свести к минимуму потенциальную потерю этой важной информации.

Злоумышленники используют различные инструменты для получения информации о целевой среде; некоторые перечислены здесь:

1.Социальная информация о доменных именах, сведениях о владельце домена и контактной информации, такой как имена, номера телефонов, почтовые адреса и адреса электронной почты. Инструменты Whois и Nslookup позволяют собирать такую информацию.

2.Инструменты для пинга активных хостов позволяют идентифицировать их.

151

3.Инструменты сканирования портов, такие как Nmap, Nessus и NetScanTools Pro, позволяют идентифицировать открытые порты на целевых хостах.

4.Сканеры Nmap, NetScanTools Pro, Xprobe2 и GFI LANguard являются одними из инструментов, позволяющих идентифицировать удаленные ОС.

5.Команда Traceroute и инструмент VisualRoute являются примерами инструментов, которые позволяют отображать целевые сети.

Вэтой главе мы рассмотрим некоторые из вышеперечисленных инструментов и рассмотрим, как системы и сети могут быть защищены от разведывательного трафика. В практических упражнениях обсуждаются четыре распространенных действия по разведке, а именно: поиск IP-адреса, сканирование порта TCP, идентификация удаленной ОС и трассировка.

Вупражнениях используются следующие аппаратные устройства и программные средства:

*Беспроводное устройство Juniper Networks SSG20 *: устройство обнаружения вторжений

*CommView Tool †: инструмент для мониторинга и анализа сети

(сниффер)

*Advanced Port Scanner‡: инструмент сканирования портов

*Advanced IP Scanner§: IP-сканер

*NetScanTools Pro¶: инструмент для исследования сети и сканер безопасности

*Nmap**: инструмент для исследования сети и сканер безопасности.

*VisualRoute††: Инструмент трассировки

*http://www.juniper.net

† http://www.tamos.com

‡ http://www.radmin.com § http://www.radmin.com

¶ http://www.netscantools.com *http://www.nmap.org

†http://www.visualroute.com

6.2 Лабораторная работа 6.1: поиск IP-адресов

6.2.1 Результат

Цель этого упражнения состоит в том, чтобы учащиеся научились выполнять и обнаруживать сканирование IP-адресов.

6.2.2 Описание

Сканирование IP-адресов состоит из сканирования диапазона IPадресов с помощью пинг-пакетов ICMP в поисках активных устройств. То есть каждому целевому IP-адресу отправляются эхо-запросы ICMP- эхо-запросов. Пакеты эхо-ответа ICMP позволяют обнаруживать активные устройства и собирать информацию о них. Обычно он используется в сочетании со сканированием портов для полного учета каждого IP-адреса.

6.2.3 Experiment

Чтобы определить, как генерировать и обнаруживать атаку с развертыванием IP-адреса, проводится эксперимент с использованием устройства Juniper Networks, как примера устройства обнаружения, и Advanced Port Scanner как инструмента для генерации атак с разверткой IP-адреса. Ниже приведено описание и этапы эксперимента. В этом эксперименте используется та же сетевая архитектура, которая описана в практическом упражнении по Land-атаке в главе 5 (лабораторная работа 5.1).

Эксперимент состоит из следующих этапов:

Шаг 1: Настройте сетевые интерфейсы на устройстве Juniper

Networks.

Шаг 2: Установите политики безопасности (правила фильтрации).

Шаг 3: Включите защиту от очистки IP-адреса. Шаг 4: Выполните поиск IP-адреса.

Шаг 5: Сниффинг сгенерированного трафика.

Шаг 6: Просмотр результатов в файле журнала устройства

Juniper Networks.

6.2.3.1 Шаг 3. Включите защиту от очистки IP-адресов

Чтобы включить защиту от сканирования IP-адреса на устройстве Juniper Networks, выполните следующие действия:

*Войдите в интерфейс WebUI устройства Juniper Networks.

*Выберите Screening и установите следующие параметры, как показано на следующем снимке экрана.

* Установите Zone в Untrust, потому что трафик IPадреса будет генерироваться из ненадежной зоны.

−−Выберите параметр защиты IP-адреса.

−−Установите пороговые значения: в устройстве Juniper происходит сканирование IP-адреса, когда один IP-адрес источника отправляет десять пакетов ICMP различным хостам в течение определенного интервала. Устройство безопасности внутренне регистрирует количество ICMPпакетов по разным адресам из одного удаленного источника. Если удаленный хост отправляет трафик ICMP на десять адресов с использованием настроек по умолчанию, то через 0,005 секунды (5000 микросекунд)

6.2.3.2 Шаг 4. Выполните очистку IP-адреса

На хосте злоумышленника для сканирования IP-адресов используется инструмент Advanced IP Scanner. Например, на следующем снимке экрана показаны живые и мертвые хосты.

6.2.3.3 Шаг 5: Сниффинг сгенерированного трафика

На хосте злоумышленника можно использовать сниффер для захвата генерируемого трафика. Используя сниффер CommView, на следующем снимке экрана показано, что хост злоумышленника (192.168.1.133) выполняет сканирование IP-адресов, отправляя пакеты эхо-запроса ICMP на диапазон IP-адресов (192.168.2.1–192.168.2.254).

6.2.3.4 Шаг 6: Просмотр результатов в файле журнала устройства Juniper Networks

На следующем снимке экрана показано содержимое журнала событий на устройстве Juniper Networks после обнаружения трафика IP-адреса.

6.3 Лабораторная работа 6.2: сканирование портов TCP

6.3.1 Результат

Цель этого практического упражнения - научить студентов выполнять и обнаруживать сканирование портов TCP.

Сканирование TCP-порта - это популярная методика разведки, используемая злоумышленниками для обнаружения служб, которые можно взломать. Все системы, подключенные к сети, запускают службы, которые прослушивают общеизвестные и не очень известные порты. Сканирование портов помогает злоумышленнику определить, какие порты доступны (т.е. какая служба может прослушивать порт). По сути, сканирование портов состоит из отправки сообщения на каждый порт, по одному за раз. Тип полученного ответа указывает, используется ли порт, и поэтому может быть дополнительно исследован на наличие слабых мест.

Существует несколько различных способов выполнения фактического сканирования портов путем установки различных флагов TCP (Transmission Control Protocol) или отправки различных типов пакетов TCP. Сканирование портов в основном обнаруживает открытые порты. Например, сканирование SYN сообщит сканерам портов, какие порты прослушивают, а какие нет, в зависимости от типа генерируемого ответа. Сканирование FIN будет генерировать ответ от закрытых портов, но открытые и прослушивающие порты не будут отправлять ответ, поэтому сканер портов сможет определить, какие порты открыты, а какие нет.

Программное обеспечение для сканирования портов в своем наиболее простом состоянии просто отправляет запрос на последовательное подключение к целевому компьютеру на каждом порту и записывает, какие порты отреагировали или кажутся открытыми для более глубокого исследования.

Если сканирование порта выполняется злонамеренно, злоумышленник, как правило, предпочитает остаться незамеченным. Приложения сетевой безопасности могут быть настроены на оповещение администраторов, если запросы на соединение обнаруживаются в широком диапазоне портов с одного хоста. Чтобы обойти это, злоумышленник может выполнить сканирование портов в стробоскопическом или скрытом режиме. Стробирование ограничивает порты меньшим целевым набором, а не общим сканированием всех 65 536 портов. Скрытое сканирование использует методы, чтобы замедлить сканирование. Сканируя порты в течение гораздо более длительного периода времени, злоумышленник снижает вероятность того, что цель вызовет предупреждение.

Чтобы поэкспериментировать с тем, как выполнить и обнаружить атаку сканирования портов, проводится эксперимент с использованием расширенного сканера портов в качестве сканера портов и устройства Juniper Networks в качестве устройства обнаружения. В этом эксперименте используется та же архитектура сети, которая описана в практическом упражнении по наземной атаке в главе 5 (лабораторная работа 5.1).

Эксперимент состоит из следующих этапов:

Шаг 1: Настройте сетевые интерфейсы на устройстве Juniper

Networks.

Шаг 2: Установите политики безопасности (правила фильтрации).

Шаг 3: Включите защиту от сканирования портов TCP. Шаг 4: Выполните сканирование порта TCP.

Шаг 5: нюхать сгенерированный трафик.

Шаг 6: Просмотр результатов в файле журнала устройства

Juniper Networks.

Шаги 1 и 2 аналогичны тем, которые описаны в эксперименте практического упражнения по Land-атаке в главе 5 (лабораторная работа 5.1).

6.3.3.1 Включить защиту от сканирования портов

Чтобы включить защиту от сканирования портов в устройстве Juniper Networks, выполните следующие действия:

*Войдите в интерфейс WebUI устройства Juniper Networks.

*Выберите «Screening» и установите следующие параметры, как показано на следующем скриншоте:

−−Установите для зоны значение «Недоверять», поскольку

трафик сканирования портов будет генерироваться из ненадежной зоны.

6.3.3.2 Шаг 4. Выполните сканирование портов TCP

На хосте злоумышленника средство Advanced Port Scanner используется для сканирования портов TCP на хосте жертвы (192.168.2.4). На следующем снимке экрана показаны идентифицированные открытые и закрытые порты TCP в целевой системе.

6.3.3.3 Шаг 5: Сниффинг сгенерированного трафика

На хосте злоумышленника можно использовать сниффер для захвата сгенерированного трафика. Например, с помощью сниффера CommView на следующем снимке экрана показано, что хост атаки (192.168.1.133) выполняет сканирование портов TCP на хосте vic-tim (192.168.2.4).