|
Етап 2. Інвентаризація мережі
Першим кроком в процесі інвентаризації мережі (network enumeration) є ідентифікація імен доменів і мереж, пов'язаних з конкретною організацією. Доменні імена є адресою компанії в Internet і є Internet-эквивалентами назви компанії, наприклад
Aaaapainting.com або moetavern.com.
Для того, щоб визначити такі доменні імена і приступити до виявлення даних про підключених до них мережам, необхідно звернутися до відповідних засобів Internet. Багато корисної інформації можна почерпнути, наприклад, із спеціальних баз даних. До кінця 1999 року компанія Network Solutions мала монополію на реєстрацію імен доменів
(com, net, edu і org) і відповідна інформація містилася на її спеціальних серверах. Проте в даний час існує безліч інших акредитованих компаній, які можуть виконувати ті ж функції
(http://www.internic.net/alpha.html). Якщо в процесі пошуку необхідної інформації потрібно звернутися до такої компанії-реєстратора, то в цей процес мають бути залучені також і все нові організації (див. розділ "Реєстраційний Запит").
Передбачена безліч різних методів генерації запитів whois до баз даних (таблиця. 1.2). Незалежно від того, який з них ви виберете, отримана інформація буде практично одній і тій же. При пошуку імен доменів, відмінних від com, net, edu або org, необхідно звертатися і до інших серверів, перерахованих в таблиці. 1.3. Ще одним корисним ресурсом, особливо при пошуку за межами США, є сервер
www.allwhois.com. У мережі Internet інформація, що надається ним, є якнайповнішою.
Таблиця 1. 2. Істочнйки інформації
і методи пошуку за допомогою команди whois
Механізм
|
Ресурси
|
Платформа
|
Web-интерфейс
|
http://www.networksolutions.com
http ://www.arin.net
|
Будь-яка платформа з Web-клиентом
|
Клієнт whois
|
whois входить в комплект постачання більшості версій UNIX. Крім того, є утиліта fwhois, розроблена Крісом Капуччио (Chris Cappuccio, ccappucg santef e . edu)
|
UNIX
|
WS Ping Propack
|
http : //www.ipswitch.com
|
Windows 95/NT/2000
|
Sam Spade
|
http : //www.samspade.org/ssw
|
Windows 95/NT/2000
|
Sam Spade, Web-интерфейс
|
http : //www.samspade.org/
|
Будь-яка платформа з Web-клиентом
|
Засоби Netscan
|
http://www .nwspsw.com/
|
Windows 95/NT/2000
|
Xwhois
|
http://www.oxygene.500mhz.net/whois/
|
UNIX з X Window і набором засобів графічного інтерфейсу Gtk+
|
Таблиця
1.3. Бази даних, що містять відомості про військові,
урядові і
міжнародні домени
Сервер whois
|
Адреса
|
IP-адреса, використовувані в Европе
|
http://whois.ripe.net
|
IP-адреса тихоокеанського регіону Азії
|
http : //whois.apnic.net
|
Військові відомства США
|
http://whois.nic.mil
|
Урядові установи США
|
http ://whois.nic.gov
|
Різні види запитів дозволяють отримати різну інформацію. Нижче перераховані типи запитів, з якими в переважній більшості випадків до служб whois звертаються хакери, плануючі спробу проникнення в мережу організації.
- Реєстраційний. Відображає специфічну
реєстраційну інформацію і відповідні сервери whois.
- Організаційний. Відображає всю інформацію,
що має відношення до організації із заданою назвою.
- Доменний. Відображає всю інформацію,
пов'язану із заданим доменом.
- Мережевий. Відображає всю інформацію,
пов'язану із заданою мережею або окремою IP-адресом.
- Контактний. Відображає всю інформацію про задану особу, як правило, що є адміністратором мережі.
Реєстраційний запит
З появою спільно використовуваної системи реєстрації (тобто декількох компаній-реєстраторів) для отримання списку доменів і відповідної реєстраційної інформації, пов'язаної з даною організацією, необхідно звернутися до
сервера whois.crsnic.net . Слід визначити компанію-регистратор і, таким чином, базу даних, до якої можна буде поводитися з подальшими запитами на отримання докладніших даних. В даному випадку як цільова використовуватиметься компанія Acme Networks, а запит виконуватиметься з командної оболонки системи UNIX (Red Hat 6.2). У використовуваній версії команди whois за допомогою параметра @ можна задати альтернативну базу даних. У деяких системах з ряду BSD (наприклад, OPENBSD або FREEBSD) для цього можна скористатися параметром -а. Для отримання докладнішої інформації про використання клієнта whois для генерації запитів скористайтеся командою man whois.
При виконанні пошуку корисно використовувати символи-заповнювачі, оскільки в цьому випадку можна отримати додаткову інформацію. Якщо після рядка acme в запиті використовується символ ".", то буде отриманий список всіх доменів, імена яких починаються з рядка acme, а не всі домени, імена яких в точності містять цей рядок. Крім того, при формуванні розширених запитів за консультацією можна звернутися за адресою
http: //www.networksolutions.com/help/whoishelp.html . Керуючись приведеними в цьому документі радами, запит можна згенерувати точніше.
[bash]$ whois "acme."@whois.crsnic.net
[whois.crsnic.net] Whois Server Version 1.1
Domain names in the .com, .net, and .org domains can now be registered
with many different competing registrars.
Go to http://www.internic.net for detailed information.
ACMETRAVEL.COM
ACMETECH.COM
ACMES.COM
ACMERACE.NET
ACMEINC.COM
ACMECOSMETICS.COM
ACME.ORG
ACME.NET
ACME.COM
ACME-INC.COM
Якщо про домен acme. net необхідно отримати додаткову інформацію, то пошук можна продовжити і визначити компанію-регистратор.
[bash]$ whois "acme.net"@whois.crsnic.net
Whois Server Version 1.1
Domain names in the .com, .net, and .org domains can now be registered
with many different competing registrars.
Go to http://www.internic.net for detailed information.
Domain Name: ACME.NET
Registrar: NETWORK SOLUTIONS, INC.
Whois Server: whois.networksolutions.com
Referral URL: www.networksolutions.com
Name Server-: Dns1 .ACME .NET
Name Server: Dns2.ACME.NET
З отриманих результатів видно, що для даної організації компанією-реєстратором є Network Solutions, що є достатньо звичайним для будь-якої організації, зареєстрованої до введення в дію нової системи реєстрації. Надалі подальші запити мають бути адресовані відповідній компанії-реєстраторові, оскільки саме на її сервері міститься необхідна інформація.
Організаційний запит
Після ідентифікації компанії-реєстратора можна приступати до формування організаційного запиту. Такий тип запиту дозволяє виконати пошук компанії-реєстратора для всіх екземплярів імен даної організації. Він набагато ширший, ніж просто пошук імені домена. Організаційний запит повинен містити ключове слово name і бути відправлений компанії Network
Solutions.
[bash]$ whois "
name Acme Networks"@whois.networksolutions.com
Acme Networks (NAUTILUS-AZ-DOM) NAUTILUS-NJ.COM
Acme Networks (Windows4-dom) WINDOWS.NET
Acme Networks (BURNER-DOM) BURNER.COM
Acme Networks (Acme2-dom) ACME.NET
Acme Networks (RIGHTBABE-DOM) RIGHTBABE.COM
Acme Networks (Arts2-dom) ARTS.ORG
Acme Networks (HR-DEVELOPMENT-DOM) HR-DEVELOPMENT.COM
Acme Networks (NTSOURCE-DOM) NTSOURCE.COM
Acme Networks (LOCALNUMBER-DOM) LOCALNUMBER.NET
Acme Networks (Localnumbers2-dom) LOCALNUMBERS.NET
Acme Networks (Y2man-dom) Y2man.COM
Acme Networks (Y2man2-dom) Y2man.NET
Acme Networks for Christ Hospital (CHOSPITAL-DOM) CHOSPITAL.ORG
З отриманого списку видно, що до компанії Acme Networks має відношення багато доменів. Проте поки неясно, чи представляють вони реальні мережі або ж зареєстровані для майбутнього використання або для зашиті торгових марок. Для отримання відповідей на ці питання необхідно продовжити дослідження, поки не будуть виявлені реальні мережі.
Для великої організації в результаті організаційного запиту можна отримати сотні і навіть тисячі записів. Раніше, коли спеммінг (spamming) був не так популярний, можна було отримати всю реєстраційну базу домена .com компанії Network Solutions. Проте в даний час сервери цієї компанії настроєні так, щоб обмежувати результат першими 50 записами.
Доменний запит
Проаналізувавши результати організаційного запиту, приходимо до висновку, що найбільш вірогідним кандидатом для вивчення є домен Acme.net, оскільки він представляє саму компанію Acme Networks (природно, всі реальні імена і адреси були змінені).
[bash]$ whois acme.net@whois.networksolutions.com
[whois.networksolutions.com]
Registrant:
Acme Networks (Acme2-dom)
li Town Center Ave. Einstein, AZ 21098
Domain Name: ACME.NET
Administrative Contact, Technical Contact, Zone Contact:
Boyd, Woody [Network Engineer] (Wb9201) woody@acme.NET
201-555-9011
(201) 555-3338 (FAX) 201-555-1212
Record last updated on 13-Sep-95.
Record created on 30-May-95.
Database last updated on 14-Apr-99 13:20:47 EOT.
Domain servers in listed order:
DNS.ACME.NET 10.10.10.1
Dns2.ACME.NET 10.10.10.2
Подібний запит дозволяє отримати наступну інформацію.
- Організація, що зареєструвала домен
(Registrant).
- Ім'я домена (Domain Name).
- Ім'я, прізвище, поштова адреса, телефон і
адреса електронної пошти адміністратора домена (Administrative Contact).
- Дата створення і оновлення запису.
- Імена і адреси первинного і вторинних серверів DNS.
Тепер
прийшов час проявити здібності детектива. Для того, щоб проаналізувати отриману інформацію і витягувати з неї щось корисне, необхідно мати певні знання. Зазвичай ми називаємо такого роду інформацію "нюансами", оскільки вона уточнює відомості, що є у розпорядженні зломщика, і дозволяє здійснити більш сфокусовану атаку. Давайте докладніше розглянемо приведені в прикладі дані.
Перевіривши інформацію про
організацію, що зареєструвала домен, можна зробити вивід том, чи дійсно домен належить об'єкту, що цікавить нас. Допустимо, нам відомо, що компанія Acme Networks знаходиться в штаті Арізона. На підставі цієї інформації можна зробити вивід про те, що отримані відомості мають відношення до збираних даних. Не забувайте, що місцезнаходження організації, що зареєструвала домен, необов'язково збігається з фізичним розташуванням об'єкту. Багато організацій мають розподілені мережі, кожна з яких самостійно підключена до Internet. Проте при цьому вони можуть бути зареєстровані як один об'єкт. Тому проаналізуйте отримані відомості і встановите, чи має відношення реєстратор домена до організації, що цікавить вас. Доменне ім'я, яке ми отримали, збігається з ім'ям, яке ми використовували в запиті, тому в даному випадку ми не дізналися нічого нового.
Дані адміністратора домена — це дуже важлива інформація, оскільки з їх допомогою можна дізнатися ім'я людини, відповідальної за підключення до Internet або роботи брандмауера. Крім того, в них містяться номери телефонів і факсів. Якщо ви плануєте зробити спробу проникнення в мережу з використанням засобів видаленого доступу, ця інформація буде для вас дуже важлива. Досить набудувати програму автопрозвона (wardialer) на отримані номери, і це буде хорошим початком процесу ідентифікації потенційних номерів модемних з'єднань. Крім того, зломщики часто використовують інформацію про адміністратора, щоб вивідати відомості про систему ні у чого непідозрюючих користувачів. Наприклад, зломщик може відправити користувачеві дезинформуюче електронне повідомлення від імені адміністратора, вказавши як зворотного свою адресу, а не адресу адміністратора. Просто дивно, як багато користувачів слухняно міняють свій пароль на будь-якій, який їм вкаже такий "адміністратор", грунтуючись лише на припущенні, що повідомлення прийшло із служби технічної підтримки.
Дати створення і модифікації запису говорять про те, наскільки отримана інформація відповідає дійсності. Якщо запис був створений п'ять років тому і з тих пір не оновлювалася, швидше за все, що, як мінімум, її частина (наприклад, відомості про адміністратора) вже застаріла.
У останньому фрагменті містяться відомості про сервери DNS, обслуговуючі даний домен. Перший сервер є первинним, а другий і все подальші — вторинними. Ця інформація пізніше знадобиться для вивчення серверів DNS, про що ми поговоримо нижче в цьому розділі. Крім того, можна спробувати отримати інформацію про мережу, використовуючи як початкові дані мережевого запиту адреси серверів
DNS.
За
допомогою директиви server, застосованою до запису HST, інформація про яку отримана із запиту whois, можна встановити інші домени, що обслуговуються заданим DNS-сервером. Для цього необхідно виконати наступні дії.
1. Виконаєте доменний запит, як описувалося вищим.
2. Знайдіть в отриманих результатах відомості про перший сервер DNS.
3. Введіть запит whois для цього сервера DNS:
whois "HOST 10.10.10.l"@whois.networksolutions.com
4. Серед отриманих результатів знайдіть запис HST для цього сервера DNS.
5. Виконаєте запит whois з директивою server:
whois "SERVER Ns9999-hst"@whois.networksolutions.com
Мережевий запит
Для
ідентифікації мереж, що асоціюються з конкретним доменом, може використовуватися база даних ARIN (American Registry for Internet Numbers). У ній містяться конкретні діапазони адрес, якими володіє дана організація. Згенерувати такий запит дуже важливо, оскільки він дозволить визначити, чи дійсно конкретна адреса належить заданій організації, а не відноситься до іншої організації, наприклад провайдерові послуг Internet.
У даному прикладі ми спробуємо визначити всі мережі, належні компанії Acme Networks. Запит до бази даних ARIN є дуже зручним, оскільки при цьому не накладається обмеження на отримання перших п'ятдесяти записів, реалізоване компанією Network Solutions. Звернете увагу, що в рядку запиту фігурує символ заповнення ". ".
[bash]$ whois "Acme Net."@whois.arin.net
[whois.arin.net]
Acme Networks (ASN-XXXX) XXXX 99999
Acme Networks (NETBLK) 10.10.10.0 - 10.20.129.255
З використанням певної адреси (10.10.10.0) можна сформувати більш спеціалізований запит.
[bash]$ whois 10.10.10.08whois.arin.net
[whois.arin.net]
Major ISP USA (Netblk-mi-05blk) Mi-05blk
10.10.0.0 - 10.30.255.255
ACME NETWORKS, INC. (Netblk-mi-10-10-10)
Cw-10-10-10 10.10.10.0 - 10.20.129.255
База
даних ARIN надає зручний Web-ориентированный механізм обробки запитів, показаний на мал. 1.4. Повертаючись до отриманих результатів, можна укласти, що мережа компанії Acme Networks, що цікавить нас, адресується головним провайдером Major IPS USA як мережа класу А (повний виклад основ протоколу Tcp/ip можна знайти в книзі Річарда Стівенса (Richard Stevens) Tcp/ip Illustrated, Volume 1). Таким чином, можна укласти, що ця мережа і є внутрішньою мережею компанії Acme Networks.
Мал. 1.4. Одін з найпростіших методів пошуку інформації в базі даних ARIN полягає у використанні інтерфейсу її Web-узла
Контактний запит
Оскільки технічний
службовець, чиї дані вказані в реєстраційних даних, може займатися адмініструванням декількох організацій, має сенс звернутися до бази whois з контактним запитом по призначеному для користувача дескриптору бази даних. В даному випадку скористаємося дескриптором Wb9201, отриманим в попередньому доменному запиті. Таким чином можна виявити домен, про існування якого ви навіть не підозрюєте.
[bash]$ whois "HANDLE Wb9201"@whois.networksolutions.com
Boyd, Woody [Network Engineer] (Wb9201) woody@acme.NET
BIG ENTERPRISES
11 TOWN CENTER AVE
EINSTEIN,
AZ 20198 201-555-1212
(201)
555-1212 (FAX) 201-555-1212
Можна також спробувати пошукати записи, що містять частину адреси @Acme.net, і отримати список всіх адрес електронної пошти даного домена. Скорочено ми приведемо лише частину отриманих даних.
[bash]$ whois "@acme.net"@whois.internic.net
Smith, Janet (Js9999) jsmith@acme.NET (201)555-9211 (FAX)
(201)555-3643
Benson, Bob (Bb9999) bob@acme.NET (201)555-0988
Manual, Eric(Em9999) ericm@acme.NET (201)555-8484 (FAX)
(201)555-8485
Bixon, Rob (Rb9999) rbixonsacme.NET (201)555-8072
Контрзаходи: забезпечення безпеки загальнодоступних баз даних
Велика частина
інформації, що зберігається в описаних базах даних, відкрита для вільного доступу. Коли організація має намір зареєструвати власний домен, вона зобов'язана надати контактну інформацію, відомості про виділених їй блоці мережевих адрес і серверах DNS. Проте для того, щоб ускладнити завдання зломщикам, необхідно дотримуватися певних принципів забезпечення безпеки.
Дуже типовою є ситуація, коли
адміністратор, що давно звільнився з організації, як і раніше може змінити реєстраційну інформацію про цю організацію. Тому перш за все потрібно постійно стежити за тим, щоб інформація, що зберігається в цій базі даних, була точною. При першій же необхідності оновлюйте адміністративні, технічні і фінансові контактні дані. Більш того, продумайте, як забезпечити себе від можливого використання зловмисниками номерів телефонів, вказаних в контактних даних (наприклад, зломщик може скористатися цими номерами для автопрозвона). Якщо це можливо, скористайтеся номерами безкоштовних телефонів (toll-free) або номерами, які не використовуються у вашій організації. Нам доводилося зустрічатися з організаціями, які указували як адміністратора вигадану особу, що, без умовно, може опинитися західніше для зловмисника. Якщо будь-який співробітник організації знає, що у разі отримання електронного повідомлення або дзвінка від імені людини, що представляється адміністратором з вказаним в реєстраційних даних вигаданим ім'ям, він повинен негайно повідомити про це службу безпеці — це, безумовно, утруднить завдання зломщика.
Ще одна потенційна небезпека, пов'язана з реєстрацією доменів, полягає в тому, що деякі компанії-реєстратори дозволяють оновлювати реєстраційні дані. Наприклад, в даний час компанія Network Solutions дозволяє автоматично змінювати доменну інформацію через Internet. При цьому особа, що зареєструвала домен, аутентіфіцируєтся одним з наступних трьох способів: по вмісту поля FROM електронної пошти, за допомогою пароля і за допомогою алгоритму шифрування Pretty Good Privacy (PGP). На жаль, за умовчанням використовується метод перевірки вмісту поля FROM, який (неймовірно, але факт!) і вибирають багато адміністраторів мереж при реєстрації своїх доменів. Природно, ні про яку безпеку при такому підході говорити не доводиться. Будь-який зловмисник може скористатися електронною адресою адміністратора і змінити інформацію про домен. (Така ситуація отримала назву "Доменного піратства" (domain hijacking).) Саме це і відбулося з компанією AOL 16 жовтня 1998 року, про що розповідалося в газеті Washington Post. Хтось видав себе за службовця AOL і змінив доменну інформацію AOL так, щоб всі запити до їх серверів відправлялися в домен autonete.net. Звичайно, компанія AOL швидко відновила працездатність серверів, проте цей випадок дуже яскраво демонструє, наскільки деколи крихким може бути все, що пов'язане з Internet. Тому важливо вибрати якесь надійніше рішення, захистивши реєстраційні дані за допомогою пароля або PGP. Більш того, необхідно, щоб зміна адміністративних або технічних контактних даних виконувалася з використанням механізму аутентифікації за допомогою форми Contact Form вузла Network Solutions.
|
