Metdy i techniki reknesansu Jak już pwiedzian, pierwszym krkiem realizwanym przez ewentualneg napastnika jest zbieranie infrmacji celu przyszłeg ataku. Fazę tę mżna nazwad reknesansem. Pzwala na agresrm na utwrzenie pełneg lub częściweg prfilu jej zabezpiecze. Jest t chyba najbardziej pracchłnny element badania zabezpiecze. C mże zidentyfikwad agresr? nazwę dmeny, blki sieci, adresy IP kmputerów siągalnych pprzez usługi działające na zidentyfikwanych kmputerach, architekturę i zainstalwany system peracyjny, mechanizmy kntrli dstępu, systemy wykrywania intruzów i zapry sieciwe, używane prtkły, numery linii telefnicznych, mechanizmy autryzacji dla zdalneg dstępu. Krk 1, t przeszukiwanie gólnie dstępnych źródeł, takich jak: strny www, artykuły i infrmacje praswe, listy dyskusyjne, serwisy wyszukiwawcze. Wiele infrmacji mżna czasami znaleźd w kmentarzach w kdzie źródłwym strny www. Częst mżna tam znaleźd: infrmacje lkalizacji, pwiązane firmy i jednstki rganizacyjne, infrmacje przejęciach i fuzjach, numery telefnów, adresy kntaktwe i adresy e-mail, infrmacje plityce prywatnści i zabezpiecze, łącza d innych serwerów pwiązanych z rganizacją. D identyfikacji nazw dmen i sieci związanych z daną rganizacją mżna wykrzystywad bazy danych whis. Większśd infrmacji ptrzebnych agresrm mżna uzyskad pprzez zapytania: rejestratra, rganizację, dmenę, sied, kntakt. Niektóre bardziej znane serwisy whis, t:
www.allwhis.cm www.arin.net - American Registry fr Internet Numbers www.samspade.rg - SamSpade www.apnic.net - Asia-Pacific Netwrk Infrmatin Center www.ripe.net - Reseaux IP Eurpeens www.dns.pl - Naukwa i Akademicka Sied Kmputerwa Przeciwdziałanie plega przede wszystkim na usunięciu wszystkich infrmacji, które mgłyby pmóc w zdbyciu dstępu d naszej sieci. Wart zajrzed d RFC 2196 - Site Security Handbk. W klejnym krku pwinna mied miejsce Kntrla serwerów DNS. Jednym z najpważniejszych błędów jakie mże ppełnid administratr systemu, jest umżliwienie nieautryzwanym użytkwnikm na dknanie przesłania strefy serwera DNS. Takie przesłanie umżliwia serwerwi zapaswemu uaktualnienie swjej bazy i jest n dla nich niezbędne. Niektóre serwery udstępniają kpię strefy każdemu, kt nią pprsi. Pważny prblem występuje wtedy, gdy rganizacja nie używa DNS d segregwania infrmacji na wewnętrzne i zewnętrzne. Udstępnienie infrmacji wewnętrznych adresach IP mżna prównad d udstępnienia pełneg planu sieci wewnętrznej. Mżna d teg wykrzystad prgram nslkup. W sieci mżna znaleźd również inne narzędzia umżliwiające przeprwadzenie takieg badania. W rekrdach HINFO mżemy znaleźd pis platfrmy prgramw sprzętwej. Niekiedy będzie tam również infrmacja, że są t systemy testwe (zwykle słab zabezpieczne). Rekrdy MX kreślają serwery pcztwe. Przeciwdziałanie plega na umżliwieniu przesyłania infrmacji strefie jedynie autryzwanym serwerm. Infrmacje tym mżna znaleźd w dkumentacji kreślnych serwerów. Ddatkw należy rzdzielid serwery DNS na wewnętrzne i zewnętrzne. Klejny krk t tzw. badanie sieci. W tym krku następuje próba kreślenia tplgii sieci raz ptencjalnych ścieżek dstępu d nich. Mżna użyd prgramu tracerute (UNIX) lubtracert (Windws). Są również pdbne prgramy udstępniające interfejs graficzny, np. Visual Rute lub Ne Trace. Narzędzia te umżliwiają pznanie ścieżki pknywanej przez pakiet w drdze d kmputera dcelweg. Przeciwdziałanie plega na zastswaniu dpwiednieg systemu wykrywania włama, blkująceg mówine żądania. Mżna sknfigurwad graniczne rutery tak aby graniczały ruch pakietów ICMP i UDP d knkretnych kmputerów. 3. Techniki skanwania W tej chwili technika skanwania budzi w wielu śrdwiskach zastrzeżenia c d jej legalnści. Pniżej przytaczam fragment wiadmści umieszcznej na witrynie CERT Plska. Pd kniec rku 2000, jeden z lkalnych sądów w Stanach Zjedncznych uznał, że skanwanie prtów kmputerwych nie jest niezgdne z prawem, pd warunkiem czywiście że nie wyrządza szkdy. Sąd przychylił się d głsu brny i uznał, że czas spędzny na rzpatrywaniu przypadku skanwania sieci, czy kmputera, nie mże byd wzięty pd uwagę przy kreśleniu pniesinych strat finanswych. Strata mże byd uznana tylk wtedy jeśli następuje naruszenie integralnści i dstępnści sieci. "Jest t dbra decyzja dla naukwców związanych z bezpieczestwem teleinfrmatycznym" - stwierdził brca skarżneg. Decyzja wydaje się byd kntrwersyjna. Wszelkie klasyfikacje przypadków naruszenie bezpieczestwa teleinfrmatyczneg zawierają przypadek skanwania sieci, czy pjedynczeg kmputera. Oczywiście, rzadk kiedy dchdzi w wyniku sameg skanwania d naruszenia bezpieczestwa, chciaż nie jest t wykluczne. Jest t jednak niezaprzeczalnie spsób na zebranie infrmacji, która w rezultacie mże psłużyd d dknania zasadniczeg włamania. C więcej - t właśnie włamanie mże nie zstad wykryte właśnie dzięki wcześniejszemu skanwaniu. Wątpliwe jest również kreślenie tej decyzji jak krzystnej dla naukwców. Pważni naukwcy teg typu eksperymenty dknują w labratriach. 3.1. Cele skanwania Skanwanie jest pwszechnie stswaną metdą zdalneg wykrywania kmputerów i usług udstępnianych przez te kmputery. Metda ta plega na próbkwaniu aktywnści badaneg kmputera, pprzez wysyłanie d nieg specjalnie spreparwanych pakietów i czekiwaniu na dpwiedź. P debraniu dpwiedzi przystępujemy d jej interpretacji. Niekiedy również brak dpwiedzi niesie dla skanująceg infrmację dnśnie aktywnści badaneg kmputera lub usługi.
Skanwanie pełni rlę wywiadu, który dstarcza infrmacji zdarzeniach i urządzeniach w sieci. Pzwala stwierdzid, które urządzenia i serwisy sieciwe działają, a które nie - c niejednkrtnie jest infrmacją równie isttną. Mżna zdalnie kreślid czy dany kmputer jest aktywny, rzpznad uruchmine na nim serwisy raz system peracyjny. Skanwanie mże pmóc również w rzpznaniu tplgii sieci i knfiguracji urządze dstępwych (np.: list kntrli dstępu, tablic rutwania). Jest n wykrzystywane przez administratrów d rzwiązywania prblemów z siecią, jak również przez intruzów w celach rzpznawczych. 3.2. Skanwanie ICMP Najprstszą, najczęściej stswaną ale i craz mniej skuteczną metdą skanwania jest wysłanie pakietu ICMP ech request, czyli ppularneg pinga. Na tej pdstawie mżna stwierdzid czy dcelwe urządzenie jest siągalne. Brak dpwiedzi nie świadczy jednak tym, że kmputer nie jest niesiągalny. Pwdów braku dpwiedzi mże byd wiele: zapra gniwa filtrująca pakiety ICMP, wyłączny serwis na dcelwym kmputerze i wiele innych. Na rys. 1 przedstawin przykładwy raprt uzyskiwany z prgramu skanująceg, a na rys. 2, braz ruchu sieciweg związaneg z tym rdzajem skanwania. Rys. 1. Raprt skanera wysyłająceg pakiety ICMP ech request Rys. 2. Ruch sieciwy pdczas skanwania pakietami ICMP ech request Zdarza się, że na maszynie filtrującej ruch blkwane są wyłącznie pakiety ICMP Ech Request/Replay. W takim przypadku mżna próbwad wysyład pakiety Timestamp Request (ICMP - typ 13) alb Address Mask Request (ICMP - typ 17). Są t zapytania kntrlne ICMP, na które dcelwy kmputer mże dpwiedzied. W pierwszym przypadku będzie t aktualny czas bwiązujący na zdalnej maszynie. Drugi przypadek t sytuacja, w której bezdyskwa stacja rbcza pbiera maskę pdsieci w czasie startu. Kmunikaty te mżna wysład wykrzystując narzędzia takie jak icmpush raz icmpquery. W trakcie bada wykrzystan własny prgram autra. Na rys. 3 i 4 przedstawin raprty prgramu skanująceg. Na rys. 5 i 6 mżna zbaczyd braz ruchu sieciweg związaneg z bydwma metdami skanwania. Pdczas skanwania przy pmcy pakietów ICMP Address Mask Request nie uzyskan dpwiedzi ani d systemów Windws ani d systemu Linux.
Rys. 3. Raprt skanera wysyłająceg pakiety ICMP Timestamp Request Rys. 4. Ruch sieciwy pdczas skanwania pakietami ICMP Timestamp Request Rys. 5. Raprt skanera wysyłająceg pakiety ICMP Address Mask Request Rys. 6. Ruch sieciwy pdczas skanwania pakietami ICMP Address Mask Request Mżna również wysyład pakiety ICMP na adres rzgłszeniwy sieci. Pakiety takie będą jednak prawdpdbnie ignrwane przez dbirców pracujących z systemami Windws. Pwdem jest mżliwśd nadużycia, którą wykrzystuje jeden ze znanych ataków DS- SMURF). Wyniki takieg skanwania przedstawin na rys. 8 i 9. Skanwanie przeprwadzn w sieci, której tplgię przedstawin na rys. 7.
Rys. 7. Tplgia sieci wykrzystanej w skanwaniu pakietami rzgłszeniwymi Rys. 8. Raprt skanera wysyłająceg pakiety ICMP ech request na adres rzgłszeniwy Rys. 9. Ruch sieciwy pdczas skanwania pakietami ICMP ech request wysyłanymi na adres rzgłszeniwy Pdczas eksperymentu, zgdnie z czekiwaniami, systemy Windws nie dpwiedziały na wysłane pakiety. Systemy Linuks, raz ruter zgłsiły swją becnśd wysyłając dpwiedzi d skanera. Na rys.9 nie widad pakietów dpwiedzi wysyłanych przez system 192.168.0.104 d sameg siebie. Wynika t ze spsbu funkcjnwania snifera. 3.3. Skanwanie TCP Pewne cechy prtkłu TCP sprawiają, że jest n bardziej przydatny d skanwania niż np. prtkół UDP. Niektóre techniki skanwania, w tym skanwanie z ukryciem tżsamści skanująceg, wykrzystują cechę zrientwania na płączenia (cnnectin-riented) prtkłu TCP. W skanwaniu ważne mże byd również śledzenie numerów sekwencyjnych raz dpwiedzi systemu p trzymaniu pakietu TCP z włącznymi kreślnymi flagami. Z reguły stswane są pakiety nie zawierające danych, gdyż ważny jest fakt, czy zdalny system dpwiedział, a nie zawartśd pla danych pakietu. Pewne techniki wykrzystują fragmentację pakietów w warstwie sieciwej, które pzwalają ukryd nagłówek TCP w kilku pakietach IP utrudniając detekcję skanwania. Skanwanie płączeniwe Najprstszą techniką skanwania prtów z wykrzystaniem TCP jest metda płączeniwa (TCP cnnect). Nazwa jej pchdzi d systemwej funkcji cnnect(), która służy d nawiązania pełneg płączenia ze zdalnym prtem. Jeśli w fazie nawiązywania płączenia serwer dpwie
pakietem z flagami SYN/ACK znaczy t, że prt jest twarty w trybie nasłuchu. Pakiet z flagami RST/ACK indykuje zamknięty prt. Skanwanie kczy wysłanie pakietu z flagą RST. Wadą tej metdy jest łatwśd jej wykrycia i zablkwania. Zalety t szybkśd raz mżliwśd wyknania w przez każdeg użytkwnika. Rys. 10. Raprt skanera nmap wykrywająceg twarte prty 445 i 135 (metda płączeniwa) Rys.11. Ruch sieciwy pdczas wykrywania przez skaner nmap twartych prtów 445 i 135 (metda płączeniwa) Rys. 12. Raprt skanera nmap wykrywająceg zamknięte prty 21 i 25 (metda płączeniwa) Rys.13. Ruch sieciwy pdczas wykrywania przez skaner nmap zamkniętych prtów 21 i 25 (metda płączeniwa)
Skanwanie półtwarte Nietrudn zabserwwad, że system dcelwy dstarcza infrmacji statusie prtu już w trakcie trwania prcesu nawiązywania płączenia p nadesłaniu dpwiedzi na pakiet SYN. Spstrzeżenie t wykrzystuje technika półtwarcia. Plega na na wysłaniu pakietu RST zaraz p trzymaniu w drugiej fazie płączenia pakietu SYN/ACK lub RST/ACK. Sweg czasu zaletą tej metdy była jej utrudnina wykrywalnśd c znalazł swój wyraz w pierwtnej nazwie (TCP SYN stealth).. Teraz nie jest t już prawdą. Technika ta zbliżna jest d ataku DS SYN Fld. Dlateg też jest częst wykrywana przez systemy IDS lub dfiltrwywana na bramkach dstępwych. Wadą tej metdy jest kniecznśd psiadania uprawnie superużytkwnika w systemie Linux. Ptrzebne są bwiem uprawnienia d twrzenia tzw. gniazd surwych (raw scket) - zastrzeżne dla administratra. Detekcja prtów zamkniętych przebiega tak sam jak w metdzie płączeniwej. Rys. 14. Raprt skanera nmap wykrywająceg twarte prty 445 i 135 (metda półtwarta) Rys.15. Ruch sieciwy pdczas wykrywania przez skaner nmap twartych prtów 445 i 135 (metda półtwarta) Techniki specjalne TCP Pdbnie jak w przypadku skanwania półtwarteg, stswanie technik kreślanych mianem specjalnych miał na celu utrudnienie wykrycia faktu skanwania. Obecnie większśd z nich należy d pdstawweg zbiru zdarze wykrywanych przez systemy detekcji intruzów. Wszystkie techniki przedstawine w niniejszym punkcie wykrzystują pdstawwą zasadę zapisaną w RFC 793 kreślającą, że system pwinien dpwiedzied pakietem RST na każdy pakiet niezgdny z klejnścią nawiązywania płączenia TCP, jeżeli jest n kierwany d prtu zamknięteg. Wbec teg skanwanie będzie plegał na wysyłaniu pakietów z ustawiną flagą FIN, z flagami SYN/ACK (drugi etap nawiązywania płączenia), z wszystkimi ustawinymi flagami (pakiet XMAS), bez ustawinych flag (pakiet NULL). Detekcję prtu zamknięteg systemu Linux przy pmcy technik specjalnych pkazan na rys. 16 i 17. Obrazy uzyskane pdczas detekcji prtu twarteg mżna zbaczyd na rys. 18 i 19. W tym przypadku, jak mżna zauważyd, nie jest wysyłana żadna dpwiedź przez system skanwany. Niektóre systemy (np.: Windws) są na tą technikę dprne, gdyż zwracają pakiet RST również w przypadku skanwania prtu twarteg. Taki przypadek dla prtu twarteg pkazan na rys. 20 i 21. Detekcji pddan prt 445 systemu Windws 2000. Jest n twarty, c mżna stwierdzid np. na pdstawie brazów zamieszcznych na rys. 14 i 15. Prgram nmapbłędnie rzpznaje stan prtów. Wynika t z dpwiedzi uzyskanych d systemu badaneg. Przebieg detekcji prtu zamknięteg przebiega według reguły przedstawinej pwyżej.
Rys. 16. Raprt skanera nmap dknująceg detekcji zamknięteg prtu systemu Linux pprzez zastswanie technik specjalnych (FIN, XMAS, NULL) Rys.17. Ruch sieciwy pdczas detekcji przez skaner nmap zamknięteg prtu systemu Linux pprzez zastswanie technik specjalnych (FIN, XMAS, NULL) Rys. 18. Raprt skanera nmap dknująceg detekcji twarteg prtu systemu Linux pprzez zastswanie technik specjalnych (FIN, XMAS, NULL) Rys.19. Ruch sieciwy pdczas detekcji przez skaner nmap twarteg prtu systemu Linux pprzez zastswanie technik specjalnych (FIN, XMAS, NULL)
Rys. 20. Błędny raprt skanera nmap dknująceg badania faktycznie twarteg prtu systemu Windws pprzez zastswanie technik specjalnych (FIN, XMAS, NULL) Rys.21. Ruch sieciwy pdczas badania przez skaner nmap twarteg prtu systemu Windws pprzez zastswanie technik specjalnych (FIN, XMAS, NULL) W sytuacjach przedstawinych wyżej należałby bardziej zagłębid się w szczegóły implementacyjne stsów TCP/IP pszczególnych systemów peracyjnych. Niekiedy da się wówczas zabserwwad pewne prawidłwści, które mżna wykrzystad pdczas interpretwania wyników skanwania prtów. Plegają ne na analizie pla kreślająceg wielkśd kna raz pla TTL (time t live) trzymaneg pakietu RST. Niektóre systemy peracyjne, w przypadku prtów zamkniętych zwracają pakiet RST z ustawinym plem TTL na wartśd wyższą niż dla prtów twartych. Sprawdzanie wielkści kna jest pdbną techniką. W przypadku pkazanym na rys. 22 badanie plegał na wysyłaniu pakietów SYN/ACK d systemu OpenBSD przy pmcy prgramuhwing. W zwracanych (zaznacznych) pakietach RST wielkśd kna różna d zera znacza twarty prt. Jest t prawdą np. dla systemów z rdziny BSD (FreeBSD, OpenBSD) raz niektórych systemów Unix (AIX, HP-UX), chd pjawiły się łaty w ich statnich wersjach. W przykładzie pkazanym na rys. 22 ple TTL nie zdradza stanu prtu. Natmiast dbre rezultaty daje analiza wielkści kna. Rys.22. Detekcja twartych prtów 21 i 23 systemu OpenBSD pprzez analizę wartści pla WINDOW w dbieranych pakietach RST Jak widad z załącznych przykładów pprawna interpretacja wyników uzyskanych przy pmcy pisanej metdy wymaga wiedzy dnśnie systemu peracyjneg zainstalwaneg na skanwanym kmputerze. Dlateg też z reguły trzeba najpierw ustalid jeg rdzaj. 3.4. Skanwanie UDP W przypadku bezpłączeniweg prtkłu UDP reakcja zdalneg systemu mże byd dwjaka. Aktywny system w mmencie trzymania datagramu UDP na zamknięty prt pwinien wysład kmunikat ICMP Destinatin Unreachable (typ 3) a dkładniej mówiąc ICMP Prt Unreachable (typ 3, kd 3). Przypadek taki zstał przedstawiny na rys. 23 i 24.W przeciwnym przypadku, gdy prt jest twarty, nie należy się spdziewad dpwiedzi, gdyż w przypadku UDP nie występuje ptwierdzanie debrania pakietu. Taka sytuację mżna zbaczyd na rys. 25 i 2.
Czasami mżna uzyskad dpwiedź z prtu twarteg, gdy serwer usługi ulkwanej w tym prcie próbuje dpwiedzied na dmniemane żądanie. Zależed t będzie przede wszystkim d spsbu budwania pakietu skanująceg. Rys. 23. Raprt skanera nmap dknująceg detekcji zamknięteg prtu 25 UDP Rys.24. Ruch sieciwy pdczas detekcji przez skaner nmap zamknięteg prtu 25 UDP Rys. 25. Raprt skanera nmap dknująceg detekcji twarteg prtu 445 UDP Rys.26. Ruch sieciwy pdczas detekcji przez skaner nmap twarteg prtu 445 UDP Jeżeli skanującemu zależy na zbadaniu siągalnści kmputera a nie prtu, t technika skanwania UDP również mże znaleźd zastswanie. Odpwiedź ICMP Prt Unreachable (typ 3, kd 3) świadczy siągalnści badaneg węzła. Pdbnie, z zastrzeżeniem uwag sfrmułwanych niżej, mżna by był interpretwad brak dpwiedzi. Niesiągalnśd węzła sygnalizwana mże byd przez statni przed badanym węzłem ruter, zwróceniem kmunikatu ICMP Destinatin Unreachable (typ 3, kd 1). Technika skanwania przy pmcy prtkłu UDP nie należy d najskuteczniejszych ze względu na fakt, że wiele bramek (ściany gniwe, rutery brzegwe) dfiltrwuje datagramy UDP skierwane na inne prty niż 53 (DNS). Datagramy UDP są łatw wykrywalne, ze względu na ich
małą ppularnśd. Duża liczba systemów nie dpwiada prawidłw na datagramy UDP, inne mają wprwadzne graniczenia, np. c d ilści i częstści generwanych pakietów ICMP. Częste jest także filtrwanie pakietów ICMP przez zapry gniwe raz rutery. Dlateg brak dpwiedzi na datagram UDP niczym nie świadczy. Niestety duża częśd dstępnych aktualnie skanerów brak dpwiedzi jednznacznie interpretuje jak wykrycie prtu twarteg, c czywiście nie jest prawidłwym działaniem. 3.5. Inne techniki skanwania Mapwanie dwrtne Metdą wykrywania kmputerów funkcjnujących w sieci mże byd wysyłanie pakietów z ustawiną flagą RST, tzw. inverse mapping. Metda ta wykrzystywana jest z reguły d pznania tplgii sieci - stwierdzenia, czy dany kmputer istnieje czy nie. W typwym przypadku ruter p trzymaniu pakietu skierwaneg d hsta, który nie istnieje, wygeneruje kmunikat ICMP hst unreachable lub ICMP time exceeded. Dzieje się tak pnieważ ruter najpierw wyśle d pdsieci zapytanie ARP adres MAC kmputera zadanym adresie, a kiedy nie trzyma dpwiedzi, zwróci kmunikat błędzie. D rutera mżna wysład dwlny pakiet, ale jeśli będzie n typwy (np.: ping - ICMP ech request lub SYN/ACK) t prawdpdbnie zstanie zapisany w lgach. Jeśli natmiast będzie t pakiet z ustawiną flagą RST i lswym numerem ACK t istnieje duże prawdpdbiestw, że zstanie zignrwany przez systemy chrny, a wygeneruje kmunikat interesujący sbę, która przeprwadza rzpznanie. Sytuacja taka dpwiada zdarzeniu, kiedy zdalny system zamyka płączenie z hstem z chrninej sieci - nie ma więc pwdów by takieg pakietu nie przyjąd. Dpóki zapry gniwe lub inne prgramy chrnne nie będą śledzid wszystkich twartych płącze, skanwanie takie będzie skuteczne. Metda ta pzwala jedynie stwierdzid, czy dany kmputer nie jest aktywny. Brak dpwiedzi mże znaczad aktywnśd hsta, chd równie prawdpdbne jest t, że ruter nie wygenerwał kmunikatu ICMP, kmunikat się zgubił, lub wysłany przez skanwaneg pakiet zstał dfiltrwany w drdze pwrtnej. Mapwanie dwrtne z pdszywaniem się Odmianą pwyższej metdy jest tzw. spfed inverse mapping, czyli skanwanie z ukryciem tżsamści (adresu) skanująceg. Plega t na wykrzystaniu d skanwania jeszcze jedneg kmputera. Załóżmy, że kmputerem skanującym jest A, kmputerem pmcniczym B, a skanwaniu pdlega kmputer C. Ważne jest by wszystkie pakiety wysyłane z kmputera B przechdziły przez A. W praktyce znacza t, że A i B muszą znajdwad się w jednym segmencie sieci. Rys.27. Tplgia sieci wymagana d przeprwadzenia skanwania metdą mapwania dwrtneg z pdszywaniem się Teraz pstąpid mżna dwjak: Wysyład d kmputera B pakiety z włączną flagą ACK i sfałszwanym adresem źródłwym wskazującym na C. Kmputer B dpwie na takie pakiety segmentami RST skierwanymi d hsta C. Pnieważ skanujący kmputer A znajduje się p drdze d hsta B, będzie n w stanie wychwycid dpwiedź C na pakiety RST. Aby nie zstawid śladu w lgach na kmputerze B mżna d razu wysyład pakiety RST ze sfałszwanym adresem źródła (wskazującym na B) d kmputera C. Jeśli bramka wyśle kmunikat ICMP wskazujący na brak hsta C, t skanujący kmputer A zbaczy g. Ujemną strną takieg pstępwania jest brak pewnści pełnej annimwści, bwiem pdrbine pakiety zawierają pewne cechy identyfikujące knkretny system peracyjny. Metda idle scan
Metda idle scan zależna jest d implementacji stsu TCP/IP knkretneg systemu peracyjneg. Wykrzystuje na wcześniej pisaną technikę skanwania SYN - czyli nawiązywania płączenia TCP. Różnica plega na wykrzystaniu trzecieg kmputera jak źródła pakietów, c pzwala na ukrycie przed skanwanym własneg adresu. Aby skrzystad z tej techniki trzeba zlkalizwad w sieci kmputer, który nie wysyła i nie dbiera żadnych pakietów, tzw: hst niemy (dumb). Scenariusz prcesu skanwania zakłada udział trzech kmputerów: A - hst skanujący, B - hst niemy, C - hst skanwany, czyli cel. Rys.28. Tplgia sieci wykrzystanej d zaprezentwania skanwania metdą idle scan Technika ta wykrzystuje fakt, że wiele systemów peracyjnych umieszcza jak zawartśd pla IP ID w nagłówku pakietu IP, liczby generwane w klejnści rsnącej, różniące się stałą wartśd. System Micrsft NT zwiększa t ple stpniw wartśd 256, Linux 1. Niektóre systemy (np. OpenBSD) lsują te wartści, przez c nie mżna ich wykrzystad jak niemych hstów w tej metdzie. Skanwanie zaczyna kmputer A d wysyłania d kmputera B pakietów ICMP Ech Request. W dbieranych pakietach ICMP Ech Reply analizwane są wartści pla IP ID. Wartści te pwinny rsnąd w spsób regularny. Oznacza t, że kmputer B nie wysyłał żadnych pakietów pza tymi, które stanwiły dpwiedź na pakiety przychdzące z kmputera A. Przykład sekwencji takich dpwiedzi przedstawin na rys. 29.
Rys.29. Odpwiedzi generwane przez hst niemy Równlegle z wysyłaniem i dbieraniem pakietów ICMP, kmputer A wysyła d kmputera C na badany prt pakiet SYN (pierwsza faza nawiązywania płączenia TCP), ze sfałszwanym adresem nadawcy wskazującym na kmputer B. Kmputer C dpwie na taki pakiet w spsób zdefiniwany w RFC: Pakietem SYN/ACK jeśli prt jest twarty w trybie nasłuchu. Na taki pakiet hst B, który nic nie wie płączeniu dpwie pakietem RST. Oznacza t, że w pakietach wysyłanych przez kmputer B d kmputera A, regularny d tej pry przyrst wartści pla ID IP zstanie zakłócny. Pakietem RST/ACK jeśli dcelwy prt na kmputerze C jest zamknięty. Kmputer B zignruje taki pakiet i zakłócenia regularnści przyrstu pla ID IP nie będzie. Wysyłanie przez skanująceg pakietów SYN, klejn d prtów 79, 80, 81 kmputera skanwaneg zaprezentwan na rys. 30. Rys. 30. Raprt skanera hping2 dknująceg badania prtów 79 Na kmputerze A przez cały czas analizwane pwinny byd zmiany w plu IP ID pakietów przychdzących z hsta B. Jeśli nastąpił zakłócenie regularnści znacza t, że kmputer B dpwiedział pakietem RST na płączenie z kmputera C zdradzając przez t, że badany prt jest twarty. Taki przypadek zaznaczn na rys. 31. Ruch pmiędzy kmputerem niemym a skanwanym przedstawin na rys. 32.
Rys. 31. Zakłócenie regularnści w wartściach pla IP ID sygnalizujące prt twarty Rys. 32. Ruch pmiędzy kmputerem niemym (192.168.0.101) a skanwanym (192.168.0.106) Technika ta w czywisty spsób wymaga niemeg hsta, by zminimalizwad prawdpdbiestw fałszyweg rzpznania. Fałszywe rzpznanie mże wystąpid wówczas, gdy kmputer uważany za niemy nagle rzpcznie kmunikację z jakimś innym hstem, któreg skanujący nie brał pd uwagę. Generwanie większej liczby sfałszwanych pakietów d kmputera C mże byd metdą również zmniejszenia prawdpdbiestwa ppełnienia pmyłki. Skanwanie t mże wykrzystywad inne metdy nawiązywania płączenia niż SYN, np.: inverse mapping mijając ewentualne systemy IDS lub inne prgramy wyspecjalizwane w wykrywaniu skanwania. Metda FTP bunce Metdą na ukrywanie tżsamści skanująceg jest wykrzystanie techniki FTP Bunce Scanning. Wykrzystuje na serwer FTP jak punkt pśredniczący - prxy. Metda ta psługuje się właściwścią prtkłu FTP kreślną przez RFC959, plegającą na tym, że serwer FTP mże wysład dane d inneg kmputera niż źródłwy czyli ten. z któreg nawiązan płączenie. Właściwśd ta kreśla się mianem FXP. Jest na blkwana w wielu serwerach dmyślnie, inne w góle jej nie psiadają. Czasami mżna zdefiniwad, którzy użytkwnicy serwera mgą krzystad z tej funkcji. Mżna na przykład pzwalad na takie transfery z kreślneg źródła, lub zabrnid krzystania z tej funkcji użytkwnikwi annimwemu (annymus). D skanwania wykrzystana zstaje kmenda PORT kreślająca prt dcelwy raz adres IP pd który należy wysyład dane. Od teg mmentu wyniki wszystkich plece wydanych serwerwi FTP przesłane zstaną d kmputera skanwaneg. Natmiast raprty dtyczące realizacji przesyłania danych kierwane są d skanująceg. Jeśli wyspecyfikwany prt na kmputerze skanwanym jest twarty, t serwer FTP zwróci przeprwadzającemu skanwanie kmunikat 150 i 226. W przeciwnym wypadku pjawi się kmunikat 425 Can't build data cnnectin: Cnnectin refused. Największą zaletą tej metdy jest annimwśd (nie licząc lgów serwera FTP). Osba skanująca nie musi też psiadad uprawnie superużytkwnika. Główną wadą tej metdy jest jej pwlnśd. Na rys.33 przedstawin tplgię sieci wykrzystanej d przeprwadzenia pisywaneg skanwania. Serwer FTP zainstalwany zstał na kmputerze adresie 192.168.0.101. Skanwanie przeprwadzan z kmputera adresie 192.168.0.104. Celem skanwania był kmputer adresie 192.18.0.106.
Rys.33. Tplgia sieci zastswana d przeprwadzenia skanwania FTP bunce Na rys. 34 zbaczyd mżna raprt uzyskiwany p strnie skanująceg. D skanwania wykrzystan standardwy prgram telnet. Skanwaniu pdlegały prty 79 82. Na rys. 35 przedstawin braz ruchu sieciweg pdczas testwania twarteg prtu 80, na rys. 36 - braz ruchu pdczas testwania zamknięteg prtu 79, a na rys. 37 - braz ruchu pdczas inicjwania sesji FTP pmiędzy skanującym a serwerem FTP. Ddatkw na rys. 38 zamieszczn fragment lgu serwera FTP, w którym mżna zauważyd zapisy dtyczące przeprwadzneg skanwania. Rys.34. Raprt p strnie skanująceg
Rys. 35. Ruch sieciwy pdczas detekcji twarteg prtu 80 TCP Rys.36. Ruch sieciwy pdczas detekcji zamknięteg prtu 79 TCP Rys.37. Ruch sieciwy pdczas inicjwania sesji FTP Rys.38. Fragment zawartści lgu serwera FTP z raprtem dtyczącym przeprwadzneg skanwania 3.6. Ukrywanie skanwania Istnieje szereg metd ukrywania faktu skanwania prtów wybranych kmputerów. P pierwsze mżna użyd tych technik skanwania, które nie zstawiają śladu w standardwych lgach systemu. Drugą przeszkdą są specjalistyczne systemy w tym IDS, które są wyczulne na teg typu działania. Wykrzystują ne algrytmy, które stwierdzają, czy wykryta działalnśd jest skanwaniem czy zwykłym ruchem sieciwym. Znajmśd tych algrytmów pzwala je minąd.
Skanwanie prtów w lswej klejnści - niektóre systemy IDS wykrywają sekwencyjne płączenia z jedneg adresu źródłweg z klejnymi prtami. Wystarczy wprwadzid lswśd przy wybrze prtów d skanwania by minąd t zabezpieczenie. Na rys. 39 przedstawin przykład ruchu sieciweg w czasie skanwania płączeniweg z lswaniem klejnści skanwanych prtów. Rys.39. Ruch sieciwy pdczas skanwania płączeniweg z lswą klejnścią prtów Pwlne skanwanie - system IDS lub dwlny inny stwierdzi próbę skanwania systemu jeśli wykryje klejne płączenia z jedneg adresu na różnych prtach w kreślnym czasie, np.: za skanwanie uważana mże byd próba nawiązania 5 płącze na różne prty z jedneg adresu w czasie 3 sekund. Wiedza tym pzwala ustalid skanwanie na 5 płącze w czasie 4 sekund by uniknąd wykrycia. W przypadku nieznanych ustawie mżna skanwanie spwlnid d kilku pakietów na dzie. Fragmentacja pakietów - częśd istniejących systemów IDS nie składa fragmentwanych pakietów bądź t w bawie przed atakiem DS bądź nie psiadają takiej funkcji. Dkument RFC791 kreśla minimalny rzmiar fragmentwaneg pakietu na 8 ktetów, czyli znacznie mniej niż nagłówek TCP + IP, przez c flagi TCP mgą znajdwad się w innym fragmencie niż nagłówek. Nie widząc całeg pakietu system nie jest w stanie pprawnie g rzpznad. Rzwiązaniem prblemu jest sknfigurwanie bramki (zapry gniwej lub rutera) tak, by składał w całśd wszystkie fragmentwane pakiety. Odwrócenie uwagi - technika ta plega na stwrzeniu liczneg strumienia skanujących pakietów ze sfałszwanymi adresami nadawcy. Wśród zalewu pakietów c jakiś czas znajdwad będzie się adres prawdziweg hsta inicjująceg skanwanie. Jeg wychwycenie w mrzu innych pakietów jest jednak bardz trudne i pracchłnne. Skanwanie takie mżna zidentyfikwad badając wartśd pla TTL. Jeśli wszystkie pakiety psiadają jednakwą wartśd znaczy t, że z dużym prawdpdbiestwem wysłane zstały z jedneg miejsca. Na rys. 40 przedstawin przykład zalewu pakietów, mająceg na celu ukrycie faktu skanwania. Rys.40. Ruch sieciwy pdczas zalewu pakietów ukrywająceg skanwanie
Fałszwanie adresu nadawcy - metda ta mże stanwid rzwinięcie pmysłu przedstawineg pwyżej. W tym przypadku kmputer skanujący fałszuje wszystkie adresy nadawcy dbając jedynie t, by przynajmniej jeden z fałszwanych adresów znajdwał się w jeg pdsieci. Dzięki temu hst skanujący jest w stanie sniffwad pakiety zwrtne nie zdradzając swjeg adresu. Ruch sieciwy jest bardz pdbny d przedstawineg na rys. 40. Skanwanie rzprszne - rzprszne skrdynwane skanwanie mże byd wykrzystane w płączeniu z pwlnym skanwaniem w celu wyknania praktycznie niewykrywalneg skanwania w rzsądnym czasie. Technika ta spr zalet, jednak wymaga wcześniejszych przygtwa i znacznych zasbów. 2. Zjawisk sniffingu Sniffing czyli węszenie jest zagrżeniem biernym. Plega na dczytywaniu danych przez węzeł, dla któreg nie były ne przeznaczne. Mżliwśd taka jest dstępna w wielu urządzeniach (np. analizatr sieci). Urządzenia wykrzystujące sniffing są pżyteczne i knieczne. Mgą byd jednak wykrzystywane w złych zamiarach. Np. d przechwytywania haseł, dczytywania pczty, dczytywania przesyłanych rekrdów baz danych. Częst węszenie stanwi etap wstępny przed przystąpieniem d ataku aktywneg. Wszystkie interfejsy sieciwe w segmencie sieci mają dstęp d wszystkich transmitwanych w nich danych. Każdy interfejs pwinien mied inny adres. Istnieje też przynajmniej jeden adres rzgłszeniwy (bradcast) dpwiadający wszystkim interfejsm. Nrmalnie, interfejs reaguje tylk na pakiety, które w plu adreswym mają jeg adres, lub adres rzgłszeniwy. Sniffer przełącza interfejs w tryb pdsłuchu, dzięki czemu interfejs mże analizwad każdy pakiet w danym segmencie sieci. Jest t bardz przydatne narzędzie w rękach administratra, służące d ustalania przyczyn nieprawidłweg działania sieci. Mżna ustalid udział pszczególnych prtkłów w ruchu sieciwym, udział pszczególnych hstów w generwaniu i dbieraniu pakietów. Oprgramwanie umżliwiające sniffing jest w tej chwili łatw dstępne w Internecie. Oznacza t, że mgą z nieg krzystad również ptencjalni intruzi. Sniffing danych z sieci prwadzi d utraty tajnści pewnych infrmacji, które pwinny zstad tajne. Pwszechnie stswane praktyki bejmują m.in.: Przechwytywanie haseł. Przechwytywanie numerów knt finanswych (np. kart kredytwych). Przechwytywanie danych prywatnych (np. zawartych w pczcie elektrnicznej). Analizę ruchu sieciweg. Grmadzenie danych z usług finger,, whis, nslkup, DNS. Grmadzenie danych SNMP. 3. Techniki wykrywania sniferów Wiele systemów peracyjnych udstępnia mechanizm pzwalający stwierdzid, czy interfejs sieciwy pracuje w trybie bezładnym. W systemie Linux mżna t stwierdzid przy pmcy plecenia ifcnfig. Gdy interfejs pracuje w tym trybie, t w sekcji atrybutów pjawi się słw PROMISC. Należy jednak zwrócid uwagę, że jeżeli atakujący przejmie kntrlę nad kmputerem, t mże pdłżyd zastępcze plecenie ifcnfig, które nie będzie sygnalizwał trybu bezładneg. W Windws mżna wykrzystad prgram PrmiscDetect. Częśd prgramów, mnitrujących sied przeprwadza dwrtne przeszukiwanie DNS w mmencie generwania raprtów wyjściwych. Ma t na celu kreślenie nazw kmputerów znanych adresach. Generwany jest w ten spsób ddatkwy ruch w sieci związany z DNS. Mżliwe jest wbec teg mnitrwanie sieci w pszukiwaniu kmputerów, które przeprwadzają dużą liczbę wyszukiwa DNS. Jednak czywiście mże t byd działanie przypadkwe i nie dnajdziemy pdsłuchująceg kmputera. Prstszym spsbem byłby utwrzenie fałszyweg płączenia z adresem, który nie ma żadneg związku z lkalna siecią. Mżna wówczas mnitrwad sied w pszukiwaniu zapyta DNS, które próbują rzwiązad sfałszwany adres, c autmatycznie zdradzi pdsłuchującą maszynę. Klejną techniką jest badanie różnic w późnieniu dpwiedzi na wysyłane pakiety ICMP Ech Request (ping). Na wstępie należy sprawdzid kmputer przez próbkwanie czasów dpwiedzi. Ptem należy wygenerwad w sieci duży ruch tak spreparwany, aby zaintereswad ptencjalneg snifera. W kcu czas późnienia jest próbkwany pnwnie w celu prównania, czy zmienił się znacząc. Jednym z prblemów tej metdy jest fakt, że mgą wystąpid późnienia pnieważ medium transmisyjne będzie mcn bciążne i wzrśnie liczba klizji. Czasem w detekcji interfejsu pracująceg w trybie bezładnym mże pmóc błąd sterwnika. Odkryt, że w ppularnym sterwniku ethernetwym Linuxa, gdy kmputer pracwał w trybie bezładnym, system peracyjny nie był w stanie przeprwadzad sprawdze adresów MAC. Zamiast teg, sprawdzenie był przeprwadzane na pzimie prtkłu IP. W nrmalnej sytuacji, pakiety z bcym adresem MAC
zstałyby drzucne na pzimie sprzętwym. W trybie bezładnym tak się nie dzieje. Mżna więc kreślid, czy kmputer pracuje w trybie bezładnym przez wysłanie d niej pakietu ICMP Ech Request z pprawnym adresem IP i niepprawnym MAC. Jeżeli nadejdzie dpwiedź, t znacza pracę w trybie bezładnym. Pdbnie mżna wysyład zapytania ARP nie na adres rzgłszeniwy, lecz na adres pdejrzaneg sniffing kmputera. Jeżeli dpwie, t znacza pracę w trybie bezładnym. Metda rutingu źródłweg plega na wypełnieniu w nagłówku IP pla tej pcji. Mżna t wykrzystad d wykrywania sniferów pracujących w innych segmentach sieci. Wymagane jest utwrzenie pakietu ICMP Ech Request d pdejrzaneg kmputera ze wskazaniem trasy typu lsesurce w celu wymuszenia jeg przekierwania przez inny kmputer znajdujący się w tym samym segmencie. Kmputer ten pwinien mied jednak wyłączny ruting. Jeśli pjawi się dpwiedź, prawdpdbnie znacza t, że pdejrzany przechwycił pakiet, pnieważ nie mógł g trzymad z teg rutera. Wart również sprawdzid ple TTL, aby upewnid się czy pakiet pwrócił z pwdu sniffingu. Jeżeli kmputer wskazany jak ruter miałby włączny ruting, t ple TTL wskaże, czy cel dpwiedział z przekierwania czy też bezpśredni. Klejna metda, metda destry działa w śrdwisku nie tylk sieci lkalnej. Metda plega na tym, że instaluje się klienta i serwer a następnie klient lguje się d serwera za pmcą Telnetu, POP, IMAP lub inneg dwlneg jawneg prtkłu. Serwer jest całkwicie wirtualny, t znaczy, że nie musi mied żadnych knt. Kiedy atakujący przechwyci dane uwierzytelniające, z pewnścią spróbuje je wkrótce wykrzystad d zalgwania się. Standardwe IDS mgą zstad sknfigurwane na wyłapywanie takich przypadków. 1. C t jest enumeracja? Enumeracją nazywamy prces wyszukiwania pprawnych knt użytkwników lub źle zabezpiecznych zasbów współdzielnych. Enumercja jest techniką inwazyjną. Wiąże się z aktywnymi płączeniami i ukierunkwanymi zapytaniami. Większśd infrmacji zbieranych w ten spsób wydaje się zwykle błaha. Mgą ne byd jednak bardz grźne. P zdbyciu pprawnej nazwy użytkwnika lub zasbu, tylk kwestią czasu pzstaje mment, w którym intruz zdbędzie dpwiednie hasł lub znajdzie lukę związaną z prtkłem udstępniania zasbu. D głównych rdzajów zbieranych infrmacji należą: zasby sieciwe i ich udstępnianie, użytkwnicy i grupy, aplikacje i etykiety. Techniki enumeracji są najczęściej charakterystyczne dla knkretneg systemu peracyjneg. Stswanie mechanizmów chrnnych pzwalających na ukrywanie infrmacji rdzaju zainstalwaneg systemu peracyjneg utrudnia również stswanie dpwiednich technik enumeracji. 2. Enumeracja Windws 2.1. NetBIOS Od pczątku sweg istnienia Windws NT/W2K pstrzegany jest jak system rzdający darmwe infrmacje wszystkim ciekawskim. Wynika t z wykrzystywania prtkłów przesyłania danych CIFS/SMB (Cmmn Internet File System/ Server Message Blck) i NetBIOS. D zbierania infrmacji wykrzystywany jest częst pakiet Windws NT Resurce Kit, zwany z teg pwdu Windws NT Hacking Kit. Zawiera n klekcję narzędzi, które są bardz pmcne dla administratra systemu, ale mgą byd również wykrzystane przez agresrów d zdbywania cennych infrmacji. Wymienine pprzedni prtkły wykrzystują prty 135 139, raz 445 w Windws 2000. Pierwszym krkiem pdczas zdalneg krzystania z tych interfejsów jest utwrzenie nieautryzwaneg płączenia z systemem. Używa się w tym celu tzw. plecenia pustej sesji, np: net use \\192.168.1.2\IPC$ "" /user:"" Pwduje t płączenie z ukrytym zasbem kmunikacyjnym IPC$ jak annimwy użytkwnik z pustym hasłem. Zasób ten jest używany d kmunikacji między prceswej i z racji swjeg przeznaczenia umżliwia zewnętrznym prcesm utwrzenie annimweg płączenia. P stwrzeniu takiej annimwej sesji, tester nie będzie miał c prawda praw dstępu d zasbów, ale będzie mógł zidentyfikwad udstępnine zasby i użytkwników na testwanym kmputerze. Większśd technik krzysta z tej charakterystycznej luki w zabezpieczeniach.
Nazwy NetBIOS w standardwej pstaci mają długśd 16 znaków. Ostatni 16 znak kreśla rdzaj zasbu lub usługę związaną z nazwą. Niektóre przyrstki NetBIOS przedstawin w tabeli na Rys. 1. Na Rys. 2 4 pkazan przykłady enumeracji systemu Windws z wykrzystaniem różnych prgramów. Rys. 1. Przyrstki NetBIOS Rys. 2. Enumeracja przy pmcy prgramu NBTSTAT Rys. 3. Enumeracja przy pmcy prgramu SRVCHECK