- •Содержание
- •Глава I компьютерные сети 5
- •Глава II технологии защиты информации 36
- •Введение
- •Глава I компьютерные сети
- •Локальные сети
- •Практическая работа
- •Ipconfig /all
- •Глобальная сеть Интернет
- •Практическая работа
- •Глава II технологии защиты информации Основные понятия
- •Угрозы информационной безопасности
- •Организационно-правовая защита информации
- •Инженерно-техническая защита информации
- •Программные и программно-аппаратные технологии информационной безопасности
- •Практическая работа
- •Введение в криптографию
- •Практическая работа
- •Вредоносные программы. Компьютерные вирусы. Программные закладки
- •Практическая работа
- •1.Userinit.Exe
- •2.Services.Exe
- •3.Lsass.Exe
- •4.Winlogon
- •5.Csrss.Exe
- •6.Smss.Exe
- •Список литературы
Практическая работа
Программа: windump
Сетевой анализатор(network sniffer), позволяет прослушивать пакеты определенного сегмента сети на наличие некоторых шаблонов; исправлять определенные проблемы и выявлять подозрительную активность; могут контролировать широковещательный трафик и выявлять порты-«зеркала» используемые недругами для контроля других портов.
Формат запуска:
Windump Опции Выражение
Требует установки драйвера WinPcap_3_1.exe. Часто используемые опции:
-D ‑ Показать имеющиеся интерфейсы.
-i ИмяИнтерфейса ‑ Перехват на указанном интерфейсе.
-n ‑ Не использовать DNS.
-X ‑ Выводить содержимое пакетов.
-s Число ‑ Захватывать указанное число байт в пакете (68).
-e ‑ Выводить информацию о канальном уровне.
-w Файл ‑ Записывать кадры в файл.
-r Файл ‑ Взять кадры из файла.
Выражение используется для выделения необходимого трафика, можно указывать MAC-адреса, IP адреса, порты, а так же другие параметры пакетов или кадров. Операнды в выражении объединяются с помощью ключевых слов not, or или and.
Примеры
host1.1.1.1 ‑ Перехватывать любые пакеты от или к хосту 1.1.1.1.
host1.1.1.1and port25 ‑ Перехватывать любые пакеты от или к хосту 1.1.1.1 на или с порта 25.
src host1.1.1.1and dst 80 ‑ Перехватывать любые пакеты от хоста 1.1.1.1 на любой хост с портом 80.
not host 1.1.1.1 and (port 25 or port 110) ‑ Перехватывать любые пакеты с портом 25 или 110, кроме пакетов для или от хоста 1.1.1.1.
not etherhost ff:ff:ff:ff:ff:ff andnot etherhost 01:80:c2:00:00:00 ‑ Перехватывать любые кадры кроме тех которые имеют указанные MAC.
Вывод на экран производиться в следующем формате (для TCP):
DstIP> SrcIP: Flags Data-seqno Ask Window Urgent <Options>
Flags
Комбинация флагов S (SYNC), F (FIN), P (PUHS), R (RST).
Data-seqno
Относительный начальный, относительный конечный номера байтов потока в данном пакете.
Ask
Ожидаемый относительный начальный байт в следующем пакете в обратном направлении.
Windows
Размер принимающего буфера для потока в обратном направлении.
Urgent
Указывает, что в пакете имеются данные Urgent.
Option
Перечисляет TCP-опции в пакете.
Примеры
windump-n-ieth1 host 4.4.4.4 ‑ Показать пакеты от или к 4.4.4.4
windump-n -ieth1-X host 2.2.2.2 and port 23 ‑ Показать пакеты и их содержимое от или к 2.2.2.2 порт 23
windump-n -i eth1 dst net 2.2.2.0 mask 255.255.255.0 and src 1.1.1.1 ‑ Показать пакеты направленные в сеть 2.2.2.2/24 от хоста 1.1.1.1
windump-n -i eth1 -e host3.3.3.3 ‑ Показать кадры от или к адресу 3.3.3.3(с информацией канального уровня).
windump-n -i eth1-wpacket.log-s 0 host3.3.3.3 ‑ Записать все пакеты целиком от или к адресу 3.3.3.3 в файл packet.log
Задание
Запустить командную строку и выяснить имена интерфейсов с помощью команды:
windump -D
На интерфейсе ethernet запустить перехват всего трафика (выход производиться комбинацией [Ctrl+C]):
windump-n -i Интерфейс
Выяснить IP и MAC адрес машины с помощью команды:
Ipconfig /all
Запустить перехват и отображение содержимого пакетов только для своей машины:
windump -n -X -i Интерфейс host IPадрес
Добиться, чтобы windump фиксировал на канальном уровне все, кроме широковещания с помощью следующей команды:
windump-n -i Интерфейс not ether host ff:ff:ff:ff:ff:ff and not …
Программа: ARP
Вызов программы без параметров покажет Help по опциям программы.
Для просмотра ARP-таблицы используется команда: arp-a
Для удаления записей в ARP-таблице используется команда: arp-d IPадрес
Для добавления статических записей используется команда: arp-s IPадрес MACадрес
Задание
Посмотреть содержимое ARP-таблицы с помощью команды: arp-a
Сделать ping соседних машин, и посмотреть, как измениться ARP-таблица.
Удалить динамические записи соответствия с помощью команды: arp-d IPадрес
Добавить одну статическую запись соответствия с правильным MAC (выяснить через команду ipconfig /all) и одну статическую запись соответствия с не правильным MAC(произвольный MAC) с помощью команд: arp-s IPадрес MACадрес
Выполнить ping данных хостов и объяснить результат.
Удалить все записи в ARP-таблице: arp-d IPадрес1; arp-d IPадрес2; …
В другом окне запустить windump для перехвата пакетов ARP к или от интересующего хоста: windump-n -i Интерфейс arp hostIPадрес
В предыдущем окне пропинговать указанный IP адрес и наглядно просмотреть в windump процедуру установления соответствия между IP и MAC адресом.
Программа Ping
Используется для проверки доступности хоста и загрузки канала. Вызов программы без параметров покажет Help по опциям программы.
Формат запуска: ping Опции IPадресИлиИмяХоста
Часто используемые опции:
-t ‑ Циклическая отправка эхо-запроса сразу после получения эхо-ответа или истечения тайм-аута на ответ.
-a ‑ Преобразовывать IP адреса в имена хостов через DNS.
-n Число ‑ Количество эхо запросов.
-l Число ‑ Размер ICMP-пакета в байтах.
-f ‑ Установить бит запрета фрагментации в пакетах.
-w Число ‑ Указывает таймаут на ожидание эхо-ответа.
Примеры
ping -w Время IPадрес (или имя хоста) ‑ Определение доступности хоста через загруженый канал.
ping-a IPадрес ‑ Определение имени хоста по его адресу (обратный резолвинг).
ping-l Размер IPадрес ‑ Определение качества канала (пинг длинным пакетом).
ping-f -l Размер IPадрес ‑ Определение наиболее возможного MTU маршрута пингом с запретом фрагментации и последовательным увеличением размера пакета.
Задание
Выяснить имя хоста по его IP адресу: ping-a IPадрес
Запустить пинг для непрерывного наблюдения за временем отклика на интернет-канале: Ping -tIPадресПровайдера
В другом окне запустить нагрузку для интернет-канала: ping-t -l Размер IPадресИнтернет
Проконтролировать как изменяется время отклика. Завершить оба ping через [Ctrl+C]
Последовательно повышая размер пакета наблюдать (с помощью windump) как и когда начинает работать фрагментация IP пакетов: ping-n1 -l Размер IPадрес
Программа netcat
Формат запуска:
netcat Опции Хост Порт (режим клиента)
netcat -l -p Порт Опции ХостПорт (режим сервера)
Часто используемые опции
-h ‑ Помощь по опциям.
-v ‑ Подробный вывод.
-n ‑ Не использовать DNS.
-p Порт ‑ Использовать указанный локальный порт.
-l или -L ‑ Серверный режим (для входящих соединений).
-w Время ‑ Таймаут на соединение в секундах.
-e Программа ‑ Запустить программу и использовать ее ввод/вывод для переназначения в порт.
Примеры
netcat Хост Порт
Подключится на указанный хости порт (аналог telnet ХостПорт).
netcat-v -w 1 -z ХостПорт-Порт
Простой сканер TCP-портов (с опцией –u сканер UDP-портов).
netcat-n -v -L-p Порта
Прослушивает локальный порт TCP, автоматически перезапускается после разрыва соединения.
netcat-l -p Порт -t -e Программа
Прослушивает локальный порт. После входящего соединения на этот порт, запускает программу и перенаправляет ее ввод/вывод в созданный сокет. Завершается после разрыва соединения.
Задание
Разбиться на пары, выяснить IP-адреса друг друга, один запускает
netcat-n -v -L-p Порта
Второй с помощью
netcat-v -w 1 -z ХостПорт-Порт
Выясняет номер открытого порта, затем подключается к нему через: netcat ХостПорт
Затем поменяться ролями.
Тот же сценарий, только вместо прослушивания порта подключить на него ввод/вывод cmd.exe:
netcat-l -p Порт -t -e cmd.exe
Наглядный пример метода получения несанкционированного доступа к системе или почему не нужно работать под администратором
Разбиться на пары, выяснить IP-адреса друг друга, запустить командную строку и на интерфейсе ethernet запустить перехват трафика на хост напарника с помощью команды:
windump-n -X -i Интерфейс hostIPадрес
В другой командной строке выполнить соединение с напарником с помощью netcat:
netcat-n -v -L-p Порта (режим сервера)
netcat ХостПорт (режим клиента)
В выводе windump разобрать процедуру установления соединения, затем разобрать как передаются данные. Выяснить свой MAC и MAC напарника.
Программа nmap
Предназначена для сканирования сетей, с дополнительной функциональностью: определение ОС, невидимое сканирование, параллельное сканирование, определение наличия пакетных фильтров. Требует установки драйвера WinPcap_3_1.exe. Может использоваться для поиска несанкционированно открытых портов на своих машинах. Формат вызова:
nmap МетодыСканированияОпции ХостИлиСеть
В адресе хоста или сети могут указываться через запятую, набор чисел или диапазон чисел, например: 1.1.1.0/24 = 1.1.1.1-255 = 1.1.1.1-127,128-255 = 1.1.1.1,2,3-255 = 1.1.1.*
Состояние порта характеризуется тремя возможными состояниями:
Открыт (сервис доступен).
Фильтруемый (Приходит ICMP Port unreachable или ничего).
Не фильтруемый (Приходит RST, в результатах не выдается).
Часто используемые опции
-h ‑ Получение краткой справки по опциям.
-s Метод ‑ Метод сканирования, по умолчанию стандартный.
-p Порт ‑ Номера портов могут указываться набором чисел и/или диапазонов чисел через запятую.
-P0 ‑ Не проверять пингом перед сканированием.
-O ‑ Определить операционную систему хоста.
-v ‑ Включить подробный вывод.
-g Порт ‑ Указывает порт источника при сканировании (для обмана firewall).
-oN Имя ‑ Записать результаты вывода в указанный файл.
-T Метод ‑ Временной режим сканирования (защита от скандетекторов).
Методы сканирования
-sT ‑ Используется стандартный метод соединения SYN,SYN-ACK,ACK. Пользователю не нужно иметь в системе никаких дополнительных привилегий. Легко обнаруживается. Используется по умолчанию.
-sS ‑ Используется полуоткрытый метод соединения только SYN. Пользователь должен иметь привилегии администратора, что бы формировать поддельный SYN. Обнаруживается не часто.
-sF, -sX, -sN ‑ Используется скрытый метод соединения, соответственно посылается только FIN или FIN,URG,PSH или пакет без каких-либо флагов. Согласно RFC 973 при получении такого пакета на закрытый порт, ОС сканируемого хоста должна ответить пакетом с RST, а при получении на открытый порт просто игнорировать его (не работает в ОС Microsoft и некоторых других ОС).
-sU ‑ Сканирование UDP-портов. При получении ICMP Port unreachable считается, что порт закрыт, в противном случае порт открыт. Из за ограничения на скорость генерирования ICMP Port unreachable (во многих ОС), сканирование производится медленно, при этом nmap автоматически пытается определить сколько ICMP Port unreachable может посылать сканируемый хост за конкретный промежуток времени. Microsoft не имеет ограничений, поэтому UDP-сканирование должно проходить быстро.
-sO ‑ Сканирование поддерживаемых протоколов. Сканируемому хосту посылается IP-пакет с проверяемым номером протокола, но без каких либо заголовков данного протокола. При получении ICMP Protocol unreachable считается, что протокол не используется, в противном случае протокол используется.
-sA ‑ Используется для определения защищается ли сканируемый хост firewall и какого типа этот firewall (statefull или stateless в режиме фильтрации только SYN). На порт сканируемого хоста посылается пакет с ACK(со случайными значениями sequence number и acknowledgement number). Если в ответ приходит пакет с флагом RST, то порт считается не фильтруемым (или фильтруемым stateless firewall в режиме фильтрации только SYN), если ничего или ICMP Port unreachable, то фильтруемым. Не показывает открытые порты, но если метод -sT показывает, что все порты фильтруются, а метод -sA показывает не фильтруемые порты, то это будут открытые порты, защищаемые statelessfirewall в режиме фильтрации только SYN.
Примеры
nmap -P0 -v www.zabspu.ru ‑ Сканировать порты указанного хоста с подробным выводом без предварительной проверки доступности хоста.
nmap -p1-1024 172.27.3.3 ‑ Сканировать порты указанного хоста в указанном диапазоне.
nmap nmap -O 172.27.1.0/24 ‑ Определить типы операционных систем на хостах в указанной сети.
nmap -p 25,110 172.27.1.* ‑ Найти почтовые сервера в указанной сети.
При использовании Nmap необходимо учитывать следующее:
Сканирование сети (особенно шумные) воспринимаются некоторыми администраторами как атаки, поэтому могут быть претензии.
Параллельное сканирование может нагружать и сам хост и устройства, которые обслуживают сеть (маршрутизаторы, фаерволы, сетевые сенсоры).
Задание
Посмотреть доступные сервисы на указанном хосте с помощью команды:
nmap -v 172.27.1.1
Определить операционные системы на первых 20-ти хостах сети
nmap nmap -O 172.27.1.1-20
Найти www-сервера в указанной сети
nmap -p 80172.27.1.*
В одной командной строке запустить windump для контроля трафика на некоторый IP адрес:
windump-n -i Интерфейс hostIPадрес
В другой командной строке выполнить сканирование самостоятельно выбранного порта данного IP адреса различными методами (типы выяснить с помощью опции -h), и посмотреть чем они отличаются:
nmap -SМетод -pПорт IPадрес
Разбиться на пары, на одной машине включить брандмауэр с протоколированием заблокированных соединений на второй машине сканировать защищенную машину разными методами:
nmap -SМетод Ipадрес
Посмотреть какие следы оставляют в журнале разные методы.
Попытаться определить как защищается хост 172.27.1.1 и тип его firewall используя вышеуказанную команду.