Защита от хакеров корпоративных сетей - стр. 50
>Escape character is “^]”.
>HEAD / HTTP/1.0
>HTTP/1.1 200 OK
>Date: Wed, 05 Dec 2001 11:25:13 GMT
>Server: Apache/1.3.22 (Unix)
>Last-Modified: Wed, 28 Nov 2001 22:03:44 GMT
>ETag: “30438-44f-3c055f40”
>Accept-Ranges: bytes
>Content-Length: 1103
>Connection: close
>Content-Type: text/html
>Connection closed by foreign host.
Кроме этих вариантов, злоумышленники при анализе протоколов используют и другие. Один из них – анализ ответов в IP-протоколе. Атака основана на уже упомянутой идее, но реализуется на более низком уровне. Автоматизированный инструментарий типа Network Mapper или Nmap предоставляет удобные средства для сбора информации о системе, на которую готовится нападение, включая общедоступные порты системы и установленную на ней операционную систему. Посмотрите на результаты сканирования Nmap:
>elliptic@ellipse:~$ nmap -sS -O parabola.cipherpunks.com
>Starting nmap V. 2.54BETA22 (www.insecure.org/nmap/)
>Interesting ports on parabola.cipherpunks.com (192.168.1.2):
>(The 1533 ports scanned but not shown below are in state:
>closed)
>Port State Service
>21/tcp open ftp
>22/tcp open ssh
>25/tcp open smtp
>53/tcp open domain
>80/tcp open http
>Remote operating system guess: Solaris 2.6 – 2.7
>Uptime 5.873 days (since Thu Nov 29 08:03:04 2001)
>Nmap run completed – 1 IP address (1 host up) scanned in 67 seconds
Во-первых, давайте выясним смысл флажков, использованных для сканирования системы parabola. Флаг sS используется при SYN-сканировании для исследования полуоткрытых соединений с целью определения открытых портов хоста. O флаг указывает Nmap на необходимость идентификации операционной системы, если это возможно, на основе ранее выявленных и сохраненных в базе данных особенностей реакции систем на сканирование. Как вы можете видеть, Nmap смог идентифицировать все открытые порты системы и достаточно точно определить операционную систему системы parabola (на самом деле это была операционная система Solaris 7, выполняющаяся на платформе Sparc).
Приведенные примеры показывают пути утечки информации, которые помогли злоумышленнику собрать обширные сведения о сети при подготовке к нападению.
Примечание
Один примечательный проект, связанный с утечкой информации, – исследование протокола ICMP (протокол управляющих сообщений в сети Internet), проводимое Офиром Аркином (Ofir Arkin). На его сайте www.sys-security.com размещено несколько html-страниц, на которых обсуждаются методы использования ICMP для сбора важной информации. Две страницы, озаглавленные «Identifying ICMP Hackery Tools Used In The Wild Today» («Современный инструментарий дикого хакера для идентификации ICMP») и «ICMP Usage In Scanning» («Использование ICMP для сканирования»), доступны на