Data wykonania

Transkrypt

1 Grupa ćwicz. 4 Nr ćwicz./ wersja 4 / 1 Grupa lab. 8 Zespół. Temat ćwiczenia. Rodzina protokołów TCP/IP Imiona i nazwiska. Michał Warzocha, Mateusz Wawrzyniak 4 Data wykonania Data odbioru Ocena i uwagi Sprzęt: Komputery w labolatorium 402 Oprogramowanie: Nmap - Program nmap jest typowym skanerem portów (sprawdza otwarte porty TCP i UDP) umożliwia identyfikację usług oraz identyfikację systemu operacyjnego skanowanego hosta (na podstawie charakterystycznych cech pakietu jak TTL czy numery sekwencji) Cel ćwiczenia: Celem ćwiczenia jest opis i charakterystyka poszczególnych typów skanowań Schemat ćwiczenia: 1. Uruchomienie programu nmap z zadanymi parametrami skanowania. 2. Wykonanie skanowania oraz monitorowanie postępu. 3. Opracowanie wyników. Seria testów Podsieć lub hosty Typ skanowania /24 UDP /24 OS /24 TCP SYN Skanowanie Skanowanie komputera lub hosta pozwala nam określić: - czy dany komputer jest aktywny, - określić listę usług na nim dostępnych, - poznać rodzaj i wersję sytemu operacyjnego, na którym pracuje host, Bardziej zaawansowane techniki pozwalają także na: - poznanie topologii sieci w której pracuje host, - poznanie ilości komputerów dostępnych w sieci, - odszukanie istniejących zapór ogniowych. Skanowanie UDP Skanowanie UDP jest aktywowane za pomocą opcji -su. Może być łączone z innymi typami skanowania TCP, takimi jak SYN (-ss), dla sprawdzenia obu protokołów w jednym przebiegu. Skanowanie UDP polega na wysyłaniu pustych (bez danych) nagłówków protokołu UDP do każdego portu docelowego. Jeśli w odpowiedzi zostanie zwrócony komunikat ICMP port uchreachable (typ 3, kod 3), port jest uznawany za zamknięty. Inne typy komunikatów ICMP unreachable (typ 3, kody 1, 2, 9, 10 lub 13) oznaczają, że port jest filtrowany. Czasami w odpowiedzi zwrócony zostanie pakiet UDP, co oznacza, że porty jest otwarty. Jeśli pomimo powtarzania transmisji nie zostanie uzyskana żadna odpowiedź, port zostaje zaklasyfikowany jako otwarty filtrowany. Oznacza Strona 1

2 to, że port może być otwarty lub filtr pakietów blokuje do niego dostęp. Wykorzystanie skanowania wersji usług (-sv) może pomóc w odróżnieniu portów na prawdę otwartych od filtrowanych. Największym wyzwaniem przy skanowaniu UDP jest przeprowadzenie go odpowiednio szybko. Otwarte filtrowane porty rzadko wysyłają jakąkolwiek odpowiedź, zmuszając Nmapa do oczekiwania na odpowiedź i ponawiania transmisji na wypadek zagubienia pakietów. Zamknięte porty są często jeszcze większym problemem. Zwykle wysyłają pakiet ICMP port unreachable, jednak w odróżnieniu od pakietów z flagą RST znanych ze skanowania SYN czy connect, wiele hostów domyślnie limituje szybkość wysyłania pakietów ICMP port unreachable. Przykładami mogą być systemy Linux i Solaris. Kernel Linuxa w wersji limituje ilość pakietów o niedostępności portów do jednego na sekundę (w net/ipv4/icmp.c). Nmap potrafi wykrywać limitowanie odpowiedzi i zwalnia odpowiednio proces skanowania dla uniknięcia zaśmiecania sieci niepotrzebnymi pakietami, które i tak nie zostaną wykorzystane. 1. Wykonaliśmy skanowanie numer 1 używając komendy nmap vv su /24 >testy/test1.txt NR ALL OPEN CLOSED NAME PORTU netbios-ns netbios-dgm Isakmp sae-urn Unknown Upnp Sip Ntp Rpcbind Unknown microsoft-ds Ipp Zeroconf xdmcp nfs snmp omad dhcps dhcpc tftp mdbs_daemon unknown iad applix unknown unknown unknown unknown Strona 2

3 Skanowanie OS Skanowanie to pozwala na wykrycie listy protokołów IP (TCP, ICMP, IGMP itp), które są dostępne na danym hoście. Technicznie nie jest to skanowanie portów, ponieważ sprawdza kolejne numery protokołów, a nie kolejne porty TCP czy UDP. Opcja ta nadal używa parametru -p do wybrania numerów protokołów do sprawdzenia, w formacie analogicznym do listy portów. Z tego powodu metoda ta została zaklasyfikowana jako skanowanie portów. Skanowanie protokołów działa w sposób podobny do skanowania UDP, jednak zamiast iteracji po kolejnych numerach portu, w nagłówkach pakietów zmienia się 8-mio bitowy numer protokołu. Nagłówki są przeważnie puste, nie zawierają żadnych danych ani nawet poprawnego dla danego protokołu nagłówka. Trzema wyjątkami są TCP, UDP i ICMP. Poprawne nagłówki dla tych protokołów są konieczne, ponieważ niektóre systemy nie będą ich potrafiły wysłać oraz dlatego, że Nmap posiada już odpowiednie funkcje do ich tworzenia. Zamiast obserwować komunikaty ICMP unreachable, skanowanie protokołów nie polega na komunikatach ICMP protocol unreachable. Jeśli Nmap otrzyma jakąkolwiek odpowiedź w jakimkolwiek protokole, ustala stan protokołu jako otwarty. Otrzymanie komunikatu ICMP protocol unreachable (typ 3, kod 2) powoduje oznaczenie protokołu jako zamknięty. Inne komuniakty ICMP protocol Strona 3

4 unreachable (typ 3, kody 1, 3, 9, 10 lub 13) powodują oznaczenie protokołu jako filtrowany (oraz równocześnie potwierdzają, że protokół ICMP jest również otwarty). Jeśli nie uzyskano odpowiedzi, protokół jest oznaczany jako otwarty filtrowany. 2. Wykonaliśmy skanowanie numer 1 używając komendy nmap vv O /24 >testy/test2.txt NR PORTU ALL OPEN CLOSED NAME http ssh ms-term-serv ftp rpcbind smtp https pop domain auth telnet pop3s vnc sun-answerbook unknown klogin kshell submission font-service lockd pptp Strona 4

5 System operacyjny Ilość Nierozpoznany 17 Sun Solaris Linux 2.6.X 2.4.X 2 Microsoft Windows 7 Cisco embedded 1 SMC embadded 1 PheeNet embadded 1 ASUS embadded 1 Skanowanie TCP Skanowanie TCP Connect() jest wybierane domyślne, jeśli SYN nie jest dostępne. Ma to miejsce kiedy użytkownik nie posiada uprawnień do wysyłania pakietów raw lub podczas skanowania sieci IPv6. Zamiast wysyłać pakiety raw, jak to ma miejsce przy innych typach skanowania, Nmap prosi system operacyjny o zestawienie połączenia z badanym hostem za pomocą wywołania funkcji systemowej connect(). Jest to taki sam wysoki poziom wywołań systemowych, z jakich korzystają przeglądarki internetowe, oprogramowanie Peer2Peer czy inne programy korzystające z połączeń sieciowych. Jest to część interfejsu programistycznego znanego jako Berkeley Sockets API. Zamiast odczytywać odpowiedzi za pomocą odwołań niskopoziomowych prosto z sieci, Nmap wykorzystuje ten sam wysokopoziomowy interfejs do otrzymania informacji o stanie operacji dla każdej próby połączenia oddzielnie. TCP (connect scan) jest to najbardziej podstawowa forma skanowania TCP; polega na połączeniu z wybranym portem i przeprowadzeniu pełnego trójstronnego powitania (SYN, SYN/ACK i ACK); jeżeli port nasłuchuje połączenie powiedzie się, w przeciwnym razie port nie jest dostępny; metoda ta jest łatwa do wykrycia ponieważ w logach celu znajdować się będzie Strona 5

6 wiele informacji o błędach spowodowanych przez połączenia z usługami, które są następnie od razu przerywane; W celu połączenia TCP nie potrzebne są uprawnienia root'a. 3. Wykonaliśmy skanowanie numer 1 używając komendy nmap vv st /24 >testy/test3.txt NR ALL OPEN CLOSED NAME PORTU microsoft-ds netbios-ssn http ssh msrpc ms-term-serv https ftp vnc flexlm ipp vnc flexlm unknown complex-link mysql telnet NFS-or-IIS UPNP unknown x printer rpcbind pop domain http-proxy http-alt auth unknown unknown netsaint IIS unknown unknown unknown unknown unknown jetdirect Strona 6

7 Strona 7

8 Skanowanie SYN TCP SYN ta technika jest często nazywana skanowaniem półotwartym (half-open scanning) ponieważ nie jest nawiązywane pełne połączenie TCP, lecz do wybranego portu przesyłany jest pakiet SYN tak jak w przypadku prawdziwego połączenia i następuje oczekiwanie na odpowiedź; Jeśli port odpowie sygnałem SYN/ACK to oznacza, że port nasłuchuje; natomiast odpowiedź RST/ACK oznacza zazwyczaj, że port nie nasłuchuje; Komputer przeprowadzający skanowanie przesyła następnie sygnał RST/ACK, dzięki czemu połączenie nie jest nawiązane i może nie zostać odnotowane w logach celu. Do zbudowania pakietu SYN niezbędne są uprawnienia root'a. Skanowanie SYN jest domyślną i najpopularniejszą metodą skanowania. Jest to spowodowane tym, że może być przeprowadzone szybko, możliwe jest skanowanie tysięcy portów na sekundę w szybkich sieciach nie chronionych systemami zaporowymi. Skanowanie SYN jest relatywnie dyskretne i niewidoczne, ponieważ nigdy nie otwiera połączeń do końca. Działa to dobrze w stosunku do wszystkich stosów zgodnych z TCP, w przeciwieństwie do udziwnionych, dla których Nmap ma tryby FIN/Null/Xmas, Maimon i Idle. SYN pozwala na przejrzyste i wiarygodne rozróżnienie stanów portu pomiędzy otwartym, zamkniętym i filtrowanym. 4. Wykonaliśmy skanowanie numer 1 używając komendy nmap vv ss >testy/test4.txt NR PORTU ALL OPEN CLOSED NAME ssh http https telnet ftp netbios-ssn microsoft-ds jetdirect printer smtp ipp sip http-proxy NFS-or-IIS domain rpcbind mysql Strona 8

9 Wnioski 1. Skanowanie UDP Dla skanowania UDP wszystkie porty są open filtered. Nie mamy więc jednoznacznej odpowiedzi, czy port jest otwarty, pomimo powtarzania transmisji. Oznacza to, że port może być otwarty lub filtr pakietów blokuje do niego dostęp. Najpopularniejsze porty w tym skanowaniu to porty systemu netbios, który zapewnia podstawowy interfejs łączenia aplikacji z innymi komputerami oraz współdzielenie danych. Porty 137 oraz 138 są używane przez systemy Windows do komunikacji wewnątrz sieci. Niestety na tych portach rozprzestrzeniają się wewnątrz sieci wirusy oraz backdory. Istnieje także możliwość dokonania ataku np. poprzez zafałszowanie nagłówka pakietu i podszycie się pod jeden z komputerów w danym otoczeniu sieciowym. Większość administratorów sieci blokuje te porty w celu ograniczenia ataków, podobnie czynią firewalle. Port 5355 który został otwarty na wielu komputerach uznawany jest za niebezpieczny i wykorzystywany do przeprowadzania zdalnych ataków. Bazuje on na DNS (domain name system) oraz wskazuje na przewagę systemu Windows. Po przeprowadzonym skanowaniu UDP /24 jesteśmy w stanie wywnioskować, iż najpopularniejszym systemem operacyjnym jest Microsoft Windows. Strona 9

10 2. Skanowanie OS Skanowanie sieci /24 programem nmap nie określiło nam jednoznacznie użytkowanych systemów operacyjnych. Nmap nie rozpoznał wszystkich systemów operacyjnych np. z powodu utraconych pakietów. Nie jesteśmy w stanie w 100% wskazać jaki system operacyjny działał w 17 nierozpoznanych przez nmap komputerów. Wnioskujemy na podstawie przeprowadzonego skanowania iż systemy rodziny Microsoft Windows pracują na 7 rozpoznanych maszynach. 3. Skanowanie TCP Skanowanie sieci /24 programem nmap pozwoliło nam na wskazanie, że najczęściej występującym systemem jest system Microsoft Windows. Port 445 jednoznacznie wskazuje na przewagę systemu Windows. Port 80 czyli protokół komunikacji przeglądarki z www uplasował się na 3 miejscu. Miejsce niżej zajmuje pozycje ssh czyli port 22 odpowiadający za szyfrowane łączenie się ze zdalnymi komputerami. Usługa ftp pozwala na przesyłanie plików na serwer i jest otwarta na 4 komputerach. 4. Skanowanie SYN Najpopularniejszymi usługami dla tego skanowania są ssh, http, https, ftp. Są to usługi odpowiadające głównie za transfer danych. Na podstawie tych usług nie jesteśmy w stanie określić, z jakim system operacyjnym mamy do czynienia, ponieważ te protokoły są używane w każdym systemie. Plik oraz zdjęcia potwierdzające autentyczność skanowań są zawarte pod adresem Strona 10