Анализ взлома от А до Я (Часть 1)
- Анализ взлома от А до Я (Часть 2)
Эта серия статей будет основана на взломе сетевой системы. Что мы рассмотрим, так это сам взлом, от этапа разведки до перечисления, эксплуатации сетевых служб и заканчивая стратегиями пост-эксплуатации. Затем все эти шаги будут рассмотрены на уровне пакетов, а затем объяснены. Возможность просмотра и понимания атаки на уровне пакетов критически важна как для системных администраторов (системных администраторов), так и для сотрудников службы безопасности сети. Выходные данные брандмауэров, систем обнаружения вторжений (IDS) и других устройств безопасности всегда, в свою очередь, заставят вас взглянуть на реальный сетевой трафик. Если вы не понимаете, на что смотрите, на уровне пакетов, то все имеющиеся у вас технологии сетевой безопасности совершенно бесполезны. Затем следует, как написать подпись Snort на основе трафика атаки.
Инструменты, используемые для этой имитации сетевой атаки:
- Nmap
- IPEye
- TCPdump
- Метасплоит Фреймворк
- Netcat
- TFTP-сервер SolarWinds
- Tftp-клиент
- FU руткит
Установка сцены
Сегодня в Интернете нет недостатка во враждебном сканировании, не говоря уже о червях и других формах вредоносных программ, таких как вирусы. Все это составляет много белого шума для хорошо защищенной компьютерной сети. То, что мы рассмотрим, — это человек, преднамеренно нацелившийся на компьютерную сеть. Для целей этой статьи мы будем предполагать, что хакер уже определился со своей жертвой и провел предварительное исследование, например, выяснив IP-адрес или адреса сети жертвы. Возможно, он также пытался найти другие подобные крупицы информации, такие как адреса электронной почты, связанные с этой сетью. Этот тип информации имеет решающее значение на случай, если хакер обнаружит, что пути в сеть нет после сканирования, профилирования и перечисления. Адреса электронной почты, которые он мог собрать, могут быть полезны для организации атаки на стороне клиента, с помощью которой он попытается заманить пользователя на вредоносный веб-сайт по ссылке в электронном письме. Подробнее об этом типе атаки в следующей серии статей.
На шоу
Теперь мы рассмотрим действия потенциального хакера, когда он занимается сканированием, профилированием и перечислением сети жертвы. Первым инструментом, который использует хакер, является Nmap. Хотя у Nmap есть довольно много сигнатур IDS, это все еще довольно полезный инструмент, и он активно используется.
фигура 1
По синтаксису, используемому хакером на снимке экрана, видно, что он намеренно выбирает порты 21 и 80, поскольку у него есть несколько эксплойтов, которые он может использовать через Metasploit Framework. Не только это, но и эти две системные службы и протоколы, которые он понимает довольно хорошо. Также показано, что он использует сканирование SYN, которое также является наиболее распространенным типом сканирования портов. Это связано с тем, что если служба, использующая TCP, прослушивает порт, который сканируется пакетом SYN, то она отправит обратно пакет SYN/ACK. Этот пакет SYN/ACK указывает, что служба действительно прослушивает его и ожидает соединения. То же самое нельзя сказать о службах на основе UDP, таких как DNS (DNS также использует TCP, хотя в основном использует UDP для большей части своих транзакций).
Перечисленный ниже синтаксис представляет собой вывод, который Nmap извлекает из отправленных им пакетов, но, если быть более точным, из пакетов, которые он получает в результате только что выполненного сканирования SYN. Мы видим, что, по-видимому, предлагаются как FTP, так и HTTP-сервисы. Нас на самом деле не интересует MAC-адрес, поэтому мы его проигнорируем. Хотя такие инструменты, как Nmap, нечасто ошибаются, всегда полезно проверить вашу информацию на уровне пакетов, чтобы убедиться в ее точности. Не только это, но и просмотр обратных пакетов из сети-жертвы, из которых мы будем собирать информацию о хосте, службе и архитектуре.
Давайте сверимся с пакетами
На сегодняшний день существует несколько программ, которые будут принимать пакеты по сети и извлекать для вас такую информацию, как тип операционной системы, информация об архитектуре, например: x86 или SPARC и так далее. Это на самом деле не так уж и весело, и, что более важно, мы ничему не учимся, позволяя программе делать работу за нас. На этой заметке давайте взглянем на трассировку пакетов Nmap и получим некоторую информацию о сети жертвы.
В двух вышеприведенных пакетах показан вступительный залп от Nmap. Что он делает, так это отправляет эхо-запрос ICMP в сеть жертвы. Вы заметите, что он не нацелен на конкретный порт, поскольку ICMP не использует порты, а скорее обрабатывается обработчиком сообщений об ошибках ICMP, встроенным в стек протоколов TCP/IP. Этот ICMP-пакет также помечается уникальным номером, в данном случае 38214, чтобы помочь стеку TCP/IP отслеживать возвращаемый трафик и связывать его с более ранним отправленным ICMP-пакетом. Пакет прямо над нами — это ответ из сети-жертвы в форме эхо-ответа ICMP. Также обратите внимание, что он имеет порядковый номер 38214. Таким образом, хакер знает, что за этим IP-адресом действительно находится компьютер или компьютерная сеть.
Эта открывающая последовательность пакетов ICMP является причиной того, что Nmap имеет для нее сигнатуру IDS. При желании эту опцию обнаружения узлов ICMP можно отключить в Nmap. Какого рода информацию можно получить из результирующего пакета эхо-ответа ICMP из сети-жертвы? На самом деле нет тонны информации, которая помогла бы нам профилировать сеть. Хотя мы можем сделать предварительный обзор того, что представляет собой семейство операционных систем. Поле time to live и значение рядом с ним выделены в пакете выше. Значение 128 указывает на вероятность того, что этот компьютер, вероятно, является компьютером с Microsoft Windows. Хотя это значение ttl не является окончательным ответом на вопрос, что такое операционная система, мы надеемся, что оно будет подтверждено последующими пакетами, которые мы рассмотрим.
Заворачивать
До сих пор в этой части мы видели, как злонамеренный хакер сканировал сеть на наличие двух определенных портов с помощью Nmap. На данный момент он установил, что компьютер или компьютерная сеть находится по этому IP-адресу. Во второй части мы закончим изучение нашей трассировки пакетов и извлечем оставшиеся части профилирующей информации. Тогда увидимся.
- Анализ взлома от А до Я (Часть 2)