LU.NET.UA - Захист інформації в інтернеті

:: Меню ::

Головна
Введення

Частина I.
Вивчення мети

1. Попередній збір даних
2. Сканування
3. Інвентаризація

Частина II.
Уразливість систем

4. Уразливість Windows 95/98/me
5. Уразливість Windows NT
6. Уразливість Windows 2000

Частина III.
Уразливість мереж

9. Уразливість видалених з'єднань, РВХ, Voicemail і віртуальних приватних мереж
10. Мережеві пристрої
11. Брандмауери
12. Атаки DOS

   Частина IV.
Уразливість програмного забезпечення

13. Вади засобів видаленого управління
14. Розширені методи
15. Уразливість в Web
16. Атаки на користувачів Internet
 Братани
Карта сайту
Добавити у вибране

:: Друзі ::

--

:: Статистика ::

 

 

 

 

 


Пасивне дослідження стека

Основні принципи пасивного дослідження стека аналогічні концепціям, лежачим в основі його активного дослідження. Проте в даному випадку замість передачі пакетів для визначення використовуваної операційної системи зломщик здійснює моніторинг мережевого трафіку. Таким чином, спостерігаючи за мережевим трафіком між різними комп'ютерами, можна визначити тип і версію видаленої операційної системи. Великі дослідження в цій області були проведені Ланцом Спітзнером (Lance Spitzner). На їх основі була написана книга, яку можна знайти за адресою http://www.enteract.com/~lspitz/finger.html. Крім того, за адресою http://www.subterrain.net/projects/siphon можна також знайти утиліту siphon, призначену для пасивного дослідження портів і ідентифікації операційної системи. Тепер познайомимося з тим, як же виконується пасивне дослідження стека.

Параметри, використовувані для пасивного дослідження стека


Для визначення типу і версії операційної системи можна використовувати найрізноманітніші ознаки. Проте зараз ми обмежимося розглядом лише декількох атрибутів, пов'язаних з сеансом мережевої взаємодії за допомогою протоколу Tcp/ip.

  •  атрибутів TTL (Time-to-live — час життя). Чи встановлює операційна система значення TTL для витікаючих пакетів?
  •  Windows Size (розмір вікна). Який розмір вікна використовується?
  •  DF (Don't Fragment — біт фрагментації). Чи встановлюється операційною системою ознака DF?
  •  TOS (Type-of-service — тип служби). Чи встановлюється операційною системою значення TOS. Якщо так, то яке?
Проаналізувавши кожен з атрибутів і порівнявши отримані результати із значеннями з наявної бази даних, можна визначити видалену операційну систему. Оскільки цей метод не гарантує отримання правильної відповіді на основі кожного з атрибутів окремо, для отримання надійніших результатів атрибути можна комбінувати. Саме такий підхід і використовується утилітою siphon.
От як працює описаний метод. Якщо за допомогою утиліти telnet встановити видалене з'єднання між вузлами 192 .168 .1.10 і 192 .168 .1.11, то з використанням утиліти siphon можна визначити тип видаленої операційної системи.
[shadow]# telnet 192.168.1.11
За допомогою нашої улюбленої утиліти snort можна частково проглянути пакети, передавані в процесі мережевої взаємодії.

06/04-11:23:48.297976 192.168.1.11:23 -> 192.168.1.10:2295
TCP Ttl:255 Tos:oxo 10:58934 DF
**S***a* Seq: Oxd3b709a4 Ack: Oxbe09b2b7 Win: 0x2798
TCP Options => NOP NOP TS: 9688775 9682347 NOP WS: 0 MSS: 1460

При цьому видно, що згадувані вище атрибути приймають наступні значення:
  •  Ttl= 255
  •  Розмір вікна = 2798
  •  Битий DF = Yes A TOS = 0
Тепер звернемося до бази даних утиліти siphon — файлу osprints.conf: 

[shadow]f grep -i Solaris osprints.conf
# Window:ttl:df:operating System DF = 1 for ON, 0 for OFF.
2328:255:l:solaris 2.6 - 2.7
2238:255:l:solaris 2.6 - 2.7
2400:255:l:solaris 2.6 - 2.7
2798:255:l:solaris 2.6 - 2.7
Fe88:255:l:solaris 2.6 - 2.7
87co:255:l:solaris 2.6 - 2.7
Fafo:255:0:solaris 2.6 - 2.7
Ffff:255:1:solaris 2.6-2.7

З приведеного фрагмента видно, що в четвертому записі містяться ті ж значення, які були отримані з використанням утиліти snort. Таким чином, за допомогою утиліти siphon можна точно визначити досліджувану операційну систему. 

[crush]# siphon -v -i xl0 -о fingerprint.out
Running on: 'crush' running FREEBSD 4.0-release on а(n) i386
Using Device: xlo
Host Port . TTL DF Operating System 192.168.1.11 23 255 ON Solaris 2.6 - 2.7

Отже, як видалена була визначена система Solaris 2.6. І це .не викликало особливих проблем.
Пасивне дослідження стека зломщик може використовувати для вибору потенційних жертв. Для цього досить постежити за відповідним Web-узлом і проаналізувати мережевий трафік або скористатися утилітою siphon. Не дивлячись на те що описаний метод є достатньо ефективним, він все ж таки має деякі обмеження. По-перше, в додатках, що генерують свої власні пакети (наприклад, шпар), не застосовуються ті ж ознаки, що і самою операційною системою. Тому отримані результати можуть виявитися неточними. По-друге, на видаленому вузлі можна без проблем змінити атрибути з'єднання. 

Solaris: ndd -set /dev/ip ip_def_ttl 'число'
Linux: echo 'число' > /proc/sys/net/ipv4/ip_default_ttl
NT:
Hkey_local_machine\system\currentcontrolset\
Services\tcpip\parameters

Контрзаходи: захист від пасивного визначення операційної системи


Для захисту від пасивного визначення операційної системи можна використовувати прийоми, описані в розділі "Контрзаходу: Захист Від Визначення Операційної Системи".




:: Реклама ::

>Страница статей


:: Посилання ::

-


:: Рекомендуємо ::

-


 

 

 

 


Copyright © Klab-F 2008