nmap Рассмотрев простейшие средства сканирования портов, давайте перейдем к обсуждению возможностей безусловного лидера этой категории - утилиты nmap. Эта тулза, разработанная Федором (Fyodor) (http://www.insecure.org/nmap), обладает не только лишь основными возможностями TCP- и UDP-сканирования, но еще и поддерживает все иные упоминавшиеся выше методы. Весьма нечасто есть утилиту, которая предоставляла бы настолько богатый набор возможностей в одном пакете. Итак, запустим утилиту и посмотрим, какие возможности она предоставляет.
[tsunami]# nmap -h nmap V. 2.53 Использование: nmap [Тип(ы) сканирования] [Параметры] <Список узлов или подсетей> Некоторые стандартные типы сканирования (При использовании параметров, отмеченных символом '*', требуются привилегии root) -sT TCP-сканирование подключением (устанавливается по умолчанию) * -sS TCP-сканирование с помощью сообщений SYN (среди всех методов TCP-сканирования является наилучшим) * -sU UDP-сканирование -sP ping-прослушивание (выполняется поиск всех достижимых узлов) * -sF,-sX,-sN сканирование с помощью сообщений FIN, по методу "рождественской елки" и нуль-сканирование, соответственно (рекомендуется использовать только опытным пользователям) -SR/-I сканирование с использованием демона RPC/identd (применяется совместно с другими типами сканирования) Некоторые стандартные параметры (являются необязательными, могут комбинироваться друг с другом): * -О режим изучения пакетов TCP/IP с целью определения типа удаленной операционной системы -р <диапазон> — диапазон портов, которые будут сканироваться. Пример диапазона: '1-1024,1080,6666,31337' -F Выполняется сканирование портов, перечисленных в файле /etc/services -v Режим вывода подробной информации. Рекомендуется всегда использовать этот параметр. Для включения режима вывода очень подробной информации используйте параметр -vv -РО Отключение проверки активности узла с помощью утилиты ping (применяется для сканирования таких узлов, как www.microsoft.com и аналогичных) * -Ddecoy_hostl,decoy2[,...] Скрытое сканирование с указанием нескольких ложных адресов узлов -Т Принятая политика ожидания отклика от удаленного узла -n/-R Никогда не выполнять разрешение имен DNS/ Всегда выполнять [по умолчанию: имена разрешаются при необходимости] -oN/-oM Вывести результаты сканирования в файл в удобочитаемом/машинном формате -iL Взять IP-адреса или имена узлов из файла . Для использования стандартного потока ввода stdin укажите '-' * -S /-e позволяет указать исходный IP-адрес или устройство --переход в интерактивный режим (затем для получения справки нужно нажать клавишу h) [tsunami] nmap -sS 192.168.1.1 Starting nmap V. 2.53 by fyodor@insecure.org Interesting ports on (192.168.1.11): (The 1504 ports scanned but not shown below are in state: closed) Port State Protocol Service 21 open tcp ftp 25 open tcp smtp 42 open tcp nameserver 53 open tcp domain 79 open tcp finger 80 open tcp http 81 open tcp hosts2-ns 106 open tcp popSpw 110 open tcp pop-3 135 open tcp loc-srv 139 open tcp netbios-ssn 443 open tcp https
Кроме вышеуказанных, тулза nmap предоставляет и иные полезные вероятности, заслуживающие детального обсуждения. Так, в приведенном выше примере мы ис-ПОЛЬЗОЕИЛИ характеристики командной строки, при которых производилось сканирование одного узла. Хотя тулза nmap с такой же легкостью позволяет сканировать и всю сеть. Как просто заметить, nmap поддерживает описания диапазонов адресов в нотации CIDR (Classless Inter-Domain Routing - бесклассовая маршрутизация доменных имен Internet), описанной в RFC 1519 (http://www.ietf.org/rfc/rfcl519.txt). В этом формате весьма просто задавать диапазоны адресов вида 192.168.1.1-192.168.1.254. Полученную информацию возможно сохранить в обыкновенном текстовом файле при помощи параметра -о. При указании параметра -On результаты будут сохранены в удобочитаемом формате. [tsunar.i]# ranap -Sf 192.168.1.0/24 -On outfile Если выводимые данные стоит сохранить в файле, в коем в роли разделителей применяются знаки табуляции (к примеру, чтоб впоследствии программно анализировать полученную информацию), используйте параметр -Ом. Так или иначе при сканировании сети, вероятнее всего, станет получено немало информации, потому обладает смысл сохранить результаты в любом из форматов. В нескольких ситуациях целесообразно сохранять их немедленно в обоих форматах, используя как параметр -ON, так и -Оm. Допустим, что после сбора предварительных данных о сети организации мы пришли к выводу, что в роли основного брандмауэра в ней используется простое изобретение, выполняющее фильтрацию пакетов. В этом случае возможно воспользоваться параметром -f утилиты nmap, чтоб включить режим фрагментации пакетов. Понятно, что это приведет к отделению заголовков TCP-пакетов от самих пакетов, что затруднит для устройств управления доступом или систем IDS возможность выявления попытки сканирования. В большей части случаев нынешние конструкции фильтрации пакетов и брандмауэры прикладного уровня, до того как производить разбор пакетов АЙПИ, помещают все фрагменты в очередь. Хотя при применении более старых моделей устройств управления доступом или устройств, в которых соответствующие функции были отключены для повышения производительности, дефрагментация не выполняется и пакеты передаются далее во внутреннюю сеть в том виде, в коем они поступают. Если архитектура системы защищенности исследуемой сети и ее узлов была неплохо продумана, то эта система без особого усилий обнаружит сканирование, осуществляемое при помощи приведенных выше примеров. Для этих случаев тулза nmap предоставляет дополнительные вероятности маскирования, предназначенные для заполнения системных журналов исследуемого узла излишней информацией. Данный режим включается при помощи параметра -D. Морда идея данного подхода заключается в том, чтоб в ходе исполнения реального сканирования сделать видимость одновременного сканирования из иных указанных в командной строке адресов. Для того чтоб воспрепятствовать такому сканированию, системе защищенности исследуемого узла будет нужно уточнить все регистрации, чтоб узнать, какие из полученных АЙПИ-адресов источников сканирования являются реальными, а какие - фиктивными. При применении данного способа стоит убедиться в том, что АЙПИ-адреса, выступающие в роли маскировочных, принадлежат реальным узлам, которые в миг сканирования подключены к Internet. Иначе исследуемая система станет не в состоянии обработать все сообщения SYN, после чего возникнет условие DOS.
[tsunami] nmap -sS 192.168.1.1 -D 10.1.1.1 www.target_web.com,ME -p25,139,443 Starting nmap V. 2.53 by fyodor@insecure.org Interesting ports on (192.168.1.1): Port State ' Protocol Service 25 open tcp smtp 443 open tcp https Nmap run completed -- 1 IP address (1 host up) scanned in 1 second В приведенном примере параметры, введенные в командной строке утилиты nmap, обеспечивают сканирование в режиме, затрудняющем обнаружение реального адреса сканирующего узла. Еще одним полезным методом является сканирование с целью идентификации запущенных процессов (подробнее о нем говорится в RFC 1413, http://www.ieff.org/rfc/rfcl413.txt). Этот тип сканирования, называемый ident-сканированием, предназначен для определения пользователя путем установления TCP-соединения с портом 113. Очень часто в ответ приходит сообщение, содержащее идентификатор владельца процесса, связанного с данным портом. Однако этот метод годится лишь для исследования систем UNIX.
[tsunami] nmap -I 192.168.1.10 Starting nmap V. 2.53 by fyodor@insecure.org Port State Protocol Service Owner 22 open tcp ssh root 25 open tcp smtp root 80 open tcp http root 110 open tcp pop-3 root 113 open tcp auth root 6000 open tcp Xll root
В приведенном выше фрагменте показано, как идентифицируются хозяева всех обнаруженных процессов. Опытный читатель должен обратить внимание на то, что Web-сервак принадлежит не пользователю nobody, как это должно быть согласно с элементарными правилами обеспечения безопасности, а пользователю root, что является вопиющим нарушением. Выполнив идентификацию процессов и установив такой любопытный факт, возможно заключить, что хакер, которому удастся проникнуть ч/з систему защиты Web-сервера, приобреет полный контроль над данным компьютером. Последний способ, на коем мы остановимся, именуется сканированием с прорывом по ФТП (ФТП bounce scanning). Этот способ в первый раз был описан Хоббитом (Hobbit). В собственной статье, опубликованной в электронном бюллетене Bugtraq в 1995 г., он осветил кое-какие скрытые недочеты протокола ФТП (RFC 959, http://www.ietf.org/rfc/rfc0959.txt). Коротко данный способ возможно описать как скрытное подключение ч/з ФТП-сервак, применяя поддержку proxy-серверов, реализованную на этом ФТП-сервере. Как подчеркивает Хоббит в вышеупомянутой статье, прорыв по ФТП "возможно применять почти для неотслеживаемой отправки электронной почты и сообщений в группы вестей, взлома серверов разных сетей, заполнения диска, попыток прорыва ч/з брандмауэры и иной вредоносной деятельности, которая при этом может оставаться почти незамеченной". Добавим, что при помощи прорыва по ФТП возможно сканировать порты, чтоб скрыть собственный адрес, и, что еще более важно, обходить устройства управления доступом. Естественно, тулза nmap поддерживает и этот режим сканирования (параметр -b). Хотя для его исполнения требуется соблюдение некоторого количества условий. В первую очередь, на ФТП-сервере должен быть каталог, доступный для чтения/записи с позиции любого юзера, к примеру /incoming. Во-вторых, ФТП-сервак должен взять от программы nmap заведомо неправильную информацию о порте при помощи команды PORT. Впрочем этот способ весьма эффективен для проникновения ч/з устройства управления доступом, и для сокрытия собственного адреса, у него есть 1 значительный недостаток - чересчур низкая скорость работы. Помимо того, многие современные ФТП-серверы просто запрещают исполнение подобных операций. Хотя использование разных средств для сканирования портов - лишь 1/2 задачи. Сейчас необходимо разобраться с тем, как проанализировать данные, полученные при помощи любой из утилит. Независимо от применяемого средства, требуется идентифицировать открытые порты, так как их список даст возможность определить операционную систему удаленного узла. К примеру, если на узле открыты порты 135 и 139, то, вероятнее всего, этот узел работает под управлением операционной системы Винда NT. Как правило Винда NT опрашивает порты 135 и 139, при том, что Винда 95/98 - только порт 139. К примеру, изучив результаты, полученные в ходе работы программы strobe, которая рассматривалась выше в этой главе, возможно заключить, что исследовавшийся в рассматриваемом примере узел работает под управлением операционной системы из семейства UNIX. Данный вывод возможно сделать на основании того, что на исследуемом узле открыты порты с номерами 111 (portmapper), 512-514 (службы Berkley R), 2049 (NFS), и порты с номерами 3277х, что характерно именно для систем семейства UNIX. К тому же, возможно к тому же предположить, что эта ос относится к семейству Solaris - этой системе присуще применение служб RPC вместе с портам из этого диапазона. Необходимо отметить, что это только предположения, так как фактически установленная ос, если с ее настройкой поработал опытный администратор безопасности, может только "выдавать себя" за Solaris, а фактически не иметь с ней ничего общего. Итак, после окончания TCP- и (или) UDP-сканирования портов уже возможно выдвинуть предположения о типе операционной системы, работающей на исследуемом узле, и, следовательно, о том, как возможно проникнуть на этот узел. К примеру, если на сервере Винда NT открыт порт 139, то подобный узел подвергается весьма высокой степени риска. Точнее о скрытых недостатках системы защиты Винда NT, и о том, как при помощи порта 139 возможно проникнуть в систему, в которой не приняты адекватные контрмеры для защиты этого порта, рассказывается в главе 5. Рассматривавшаяся в качестве примера система UNIX, вероятнее всего, тоже подвергается большому риску, так как выявленные нами работающие службы предоставляют в распоряжение удачливого взломщика весьма крупные возможности. К примеру, применение служб удаленного вызова процедур (RPC - Remote Procedure Call) и помощи сетевой файловой системы (NFS - Network File System) являются 2-мя главными методами проникновения ч/з систему защиты сервера UNIX (точнее см. главу 8). В то же время, если служба RPC не располагается в режиме ожидания запросов, то проникнуть ч/з ее систему защиты почти нереально. Потому так не стоит забывать, что чем более служб работает на компьютере, тем большему риску он подвергается.
Главная 