p align="justify"> проведення сканування портів з певною часовою затримкою. Так, наприклад, для того щоб не викликати підозр, атакующійі можуть сканувати лише по кілька портів на день;
сканування хостів від імені помилкових хостів шляхом підміни реальної IP-адреси відправника.
Використання всіх перерахованих вище способів маскування направлено на ускладнення процесу виявлення спроб сканування засобами захисту АС.
Після визначення списку відкритих портів дії порушника можуть бути спрямовані на ідентифікацію прикладних сервісів, які на них запущені. Для цього, як правило, застосовується метод збору та аналізу заголовків відповідей (banners) на надіслані запити. У таких заголовках може міститися інформація про тип і версії прикладного ПЗ, який прослуховував сканований порт, і, в деяких випадках, інформація про ОС і апаратній платформі вузла. Текст заголовка можна отримати за допомогою стандартних утиліт типу В«telnetВ». Так, наприклад, на рис. 1.14 наведено приклад заголовка, який був отриманий у відповідь на спробу встановити з'єднання з хостом В«ftp.netscape.comВ» по 21 порту за допомогою telnet. p align="justify"> На основі інформації, показаної на рис. 1.14, можна визначити, що на 21-му порте сканируемого хоста запущений FTP-сервер, що функціонує під управлінням ОС Sun Solaris. p align="justify"> В даний час в мережі Інтернет існує велика кількість програмних утиліт, що дозволяють провести сканування портів та ідентифікацію мережевих сервісів АС за допомогою розглянутих вище методів. Найбільш поширеними програмами цього типу є В«strobeВ», В«netcatВ», В«portscanВ» і В«пmарВ». p align="justify"> Крім сканування портів на етапі рекогносцировки порушник також може вчиняти дії, спрямовані на збір інформації про тип ОС, встановленої на вузлах системи. Для визначення типу ОС може бути використаний розглянутий вище метод збору та аналізу заголовків, що повертаються мережевими службами. У тих випадках, коли не представляється можливим визначити тип ОС на основі отриманих заголовків, може бути використаний інший метод, який заснований на тому факті, що різні системи по-різному реалізують вимоги стандартів RFC, в яких визначені правила взаємодії на основі різних мережевих протоколів. Таким чином, при формуванні одних і тих же мережевих запитів різні ОС у відповідь відправляють відмінні один від одного дані, на основі яких можна з великою часткою ймовірності визначити характеристики використовуваної ОС. Даний метод в деяких випадках також дозволяє визначити тип апаратної платформи, на основі якої функціонує та чи інша ОС. Нижче наводиться опис методів, які можуть бути використані для ідентифікації типу ОС з урахуванням різних реалізацій стека TCP/IP:
Метод В«FIN ProbeВ», який має на увазі посилку Сканируемое хосту TCP-пакета з встановленим прапором FIN. Згідно специфікації RFC 793 вузли не повинні відповідати на такі повідомлення, проте деяк...