ифікувати вузли корпоративної мережі за допомогою звернення до сервера служби імен.
Ідентифікація сервісів, як правило, здійснюється шляхом виявлення відкритих портів (port scanning). Такі порти дуже часто пов'язані з сервісами, заснованими на протоколах TCP або UDP. Наприклад:
відкритий 80-й порт увазі наявність Web-сервера,
25-й порт - поштового SMTP-сервера,
31 337-й - серверної частини троянського коня BackOrifice,
12345-й або 12 346-й - серверної частини троянського коня NetBus і т.д.
Для ідентифікації сервісів і сканування портів можуть бути використані різні програми, в т.ч. і вільно поширювані. Наприклад, nmap або netcat.
Основний механізм віддаленого визначення ОС - аналіз відповідей на запити, що враховують різні реалізації TCP/IP-стека в різних операційних системах. У кожній ОС по-своєму реалізований стек протоколів TCP/IP, що дозволяє за допомогою спеціальних запитів і відповідей на них визначити, яка ОС встановлена ??на віддаленому вузлі.
Інший, менш ефективний і вкрай обмежений, спосіб ідентифікації ОС вузлів - аналіз мережевих сервісів, виявлених на попередньому етапі. Наприклад, відкритий 139-й порт дозволяє зробити висновок, що віддалений вузол, найімовірніше, працює під управлінням ОС сімейства Windows. Для визначення ОС можуть бути використані різні програми. Наприклад, nmap або queso.
Передостаннім кроком на етапі збору інформації про атакується вузлі є визначення його ролі, наприклад, виконанні функцій брандмауера або Web-сервера. Виконується цей крок на основі вже зібраної інформації про?? ктівная сервісах, імена вузлів, топології мережі тощо Наприклад, відкритий 80-й порт може вказувати на наявність Web-сервера, блокування ICMP-пакета вказує на потенційну наявність брандмауера, а DNS-ім'я вузла proxy.domain або fw.domain говорить сама за себе.
Останній крок - пошук вразливостей. На цьому кроці зловмисник за допомогою різних автоматизованих засобів або вручну визначає уразливості, які можуть бути використані для реалізації атаки. В якості таких автоматизованих засобів можуть бути використані ShadowSecurityScanner, nmap, Retina і т.д.
. 2 Реалізація атаки
З цього моменту починається спроба доступу до атакованого вузлу. При цьому доступ може бути як безпосередній, тобто проникнення на вузол, так і опосередкований, наприклад, при реалізації атаки типу відмова в обслуговуванні raquo ;. Реалізація атак у разі безпосереднього доступу також може бути розділена на два етапи:
· проникнення;
· встановлення контролю.
Проникнення на увазі під собою подолання засобів захисту периметра (наприклад, міжмережевого екрану). Реалізовуватися це може бути різними шляхами. Наприклад, використання уразливості сервісу комп'ютера, наглядача назовні або шляхом передачі ворожого змісту електронною поштою (макровіруси) або через аплети Java. Такий зміст може використовувати так звані тунелі в межсетевом екрані (не плутати з тунелями VPN), через які потім і проникає зловмисник. До цього ж етапу можна віднести підбір пароля адміністратора чи іншого користувача за допомогою спеціалізованої утиліти (наприклад, L0phtCrack або Crack).
Після проникнення зловмисник встановлює контроль над атакується вузлом. Це може бути здійснено шляхом впровадження програми типу троянський кінь (наприклад, NetBus або BackOrifice). Після установки контролю над потрібним вузлом і замітання слідів, зловмисник може здійснювати всі необхідні несанкціоновані дії дистанційно без відома власника атакованого комп'ютера. При цьому встановлення контролю над вузлом корпоративної мережі має зберігатися і після перезавантаження операційної системи. Це може бути реалізовано шляхом заміни одного з завантажувальних файлів або вставка посилання на ворожий код у файли автозавантаження або системний реєстр. Відомий випадок, коли зловмисник зміг перепрограмувати EEPROM мережевої карти і навіть після переустановлення ОС він зміг повторно реалізувати несанкціоновані дії. Більш простий модифікацією цього прикладу є впровадження необхідного коду або фрагмента в сценарій мережевий завантаження (наприклад, для ОС Novell Netware).
Необхідно відзначити, що зловмисник на другому етапі може переслідувати дві мети. По-перше, отримання несанкціонованого доступу до самого вузлу і міститься на ньому інформації. По-друге, отримання несанкціонованого доступу до вузла для здійснення подальших атак на інші вузли. Перша мета, як правило, здійснюється тільки після реалізації другої. Тобто, спочатку зловмисник створює собі базу для подальших атак і тільки після цього проникає на інші...
