Профилирование операционной системы (часть 2)

Опубликовано: 11 Апреля, 2023

  • Профилирование операционной системы (часть 4)

Профилирование операционной системы, часть II

Мы остановились в первой части, увидев, что компьютер отправит обратно, как только вы отправите ему пакет SYN. Как мы уже видели, ответный пакет SYN/ACK может быть весьма показательным. Это предполагает, что вы можете найти открытый порт на компьютере, с которым вы пытаетесь это сделать. В случае с компьютером из первой статьи мы отправили пакет на TCP-порт 135. Как правило, этот порт в корпоративной среде закрыт брандмауэром или просто закрыт на пограничном маршрутизаторе.

Что мы сейчас сделаем, так это отправим несколько пакетов на этот компьютер. Теперь мы изменим те, которые мы отправляем, чтобы увидеть, есть ли что-то еще интересное в ответе или его отсутствии. Два пакета, которые мы отправим, будут пакетом RST и пакетом ACK. На этой ноте вернемся к поставленной задаче.

Отправка неожиданного стимула

Весь смысл отправки компьютеру, в данном случае Windows 2000 Professional, какого-то неожиданного стимула, состоит в том, чтобы посмотреть, как он отреагирует. Синтаксис, используемый для Hping в этом случае, следующий.

Вышеприведенный синтаксис для Hping отправит только один пакет RST на TCP-порт 135 на тестовом компьютере с Windows 2000 Professional. Что этот пакет получил взамен? Давайте посмотрим ниже.




Что ж, как мы видим, мой ноутбук с Hping на нем (IP 192.168.1.101) отправил пакет RST на 192.168.1.105 через свой TCP-порт 135. Однако никакого ответа от Windows 2000 Professional не было. По сути, компьютер просто игнорировал это. Интересно. Итак, теперь мы знаем, что W2K Pro будет просто игнорировать любые RST-пакеты, отправленные ему через прослушиваемый сервисный порт. Хорошо, теперь есть над чем работать. Давайте теперь попробуем отправить пакет ACK на прослушиваемый порт. Ниже приведен синтаксис, используемый для Hping.

Из приведенных ниже двух пакетов видно, что на этот раз коробка W2K Pro действительно ответила.







Теперь в самом верхнем пакете мы видим, как мой ноутбук (IP 192.168.1.101) отправляет пакет ACK на блок W2K Pro через TCP-порт 135. Я подчеркнул «ack», а также «10», видя это шестнадцатеричное значение. представляет флаг ACK, установленный в поле флагов заголовка TCP. В пакете прямо над нами мы видим, что коробка W2K Pro отвечает на отправленный ему пакет ACK. В этом случае он отправляет обратно пакет RST. Не RST/ACK, а просто RST. Другими словами, он сбрасывает (RST) соединение, уничтожая его, если хотите. Не то, чтобы он был настроен в первую очередь через правильное трехстороннее рукопожатие TCP, но, тем не менее, RST был выпущен. Именно так был настроен стек TCP/IP для коробок W2K Pro.

Этот простой RST — еще одна крупица информации, которую нужно спрятать, поскольку она помогает нам профилировать коробку W2K Pro. Вы также заметите, что я подчеркнул часть «победа 0». Это указывает на то, что W2K Pro говорит другому компьютеру (моему ноутбуку) не отправлять какую-либо информацию, поскольку он имеет размер 0 байт для своего приемного буфера, также известного как: размер выигрыша. Так что полезно также знать, что стек W2K Pro TCP/IP ведет себя так, как должен. Опять же, это еще одна крупица информации, которую нужно спрятать.

На Windows XP Pro

Таким образом, мы смогли получить некоторые результаты для W2K Pro и того, как он реагирует на пакеты SYN, RST и ACK, отправленные службе прослушивания. Теперь мы отправим тот же набор пакетов на компьютер с Windows XP Pro. Цель этого состоит в том, чтобы увидеть, ведет ли себя стек TCP/IP XP Pro иначе, чем стек W2K Pro. Если это произойдет, это будет полезным способом отличить W2K Pro от XP Pro.

Для краткости я не буду включать пакеты, отправленные и полученные с моего ноутбука и коробки XP Pro. Достаточно сказать, что коробка XP Pro действовала точно так же, как и коробка W2K Pro. В частности, он ответил SYN/ACK на SYN, проигнорировал отправленный ему RST-пакет и отправил RST, когда получил ACK. Таким образом, не было никакой разницы между ответами стеков TCP/IP W2K Pro и XP Pro, которая помогла бы нам провести различие между ними, используя этот набор критериев тестирования.

То, что мы имеем до сих пор, является довольно хорошим признаком того, что мы имеем дело с двумя окнами Windows из-за ttl 128. Размер выигрыша не помог, поскольку он соответствовал ранее отмеченным нормам, как видно из гиперссылки, которую я предоставил в первой части. Хотя я не знаю этого окончательно, большой размер выигрыша, вероятно, связан с тем, что оба устройства находятся в одном и том же сегменте сети. Не погуглив какое-то время, я просто создал сценарий быстрого тестирования. Я отправил SYN-пакет на свой веб-сайт (www.bridonsecurity.com) через порт 80. Веб-сайт ответил размером выигрыша 5840. Теперь это имеет гораздо больше смысла и соответствует тому, что мы знаем о Windows. Мой веб-сайт размещен компанией во внешней сети.

Заворачивать

На этом я закончу статью и продолжу третью часть, отправив те же тестовые критерии в Windows 2003 Standard, чтобы посмотреть, как она отреагирует. После этого мы рассмотрим профилирование информации о хосте через nbtstat. Хотя многие люди слышали о нем, многие все еще не знают, какую информацию он может предоставить и как он это делает. Об этом будет рассказано в третьей части. Тогда увидимся!

  • Профилирование операционной системы (часть 4)
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023