- •Основні складові підсистеми безпеки windows 9x.
- •2. Перелічить, які саме ресурси windows 9x захищаються.
- •3. Структура системного реєструWindows.
- •4. Наведіть приклади окремих ключів системного реєстру, які відіграють значну роль у захисті ос Windows.
- •5. Необхідність створення, місце розташування та зміст файлу парольного кеша windows 9x.
- •023E: Ресурс 0 Ресурс 1
- •6. Принципи шифрування, які використовуються у файлі парольного кешу windows 9x.
- •7. Порівняйте захист файлу парольного кешу у windows v4.0 та Windows v4.1. З якої причини перша вважається менш захищеною?
- •8. Перелічить міри по захисту парольного кешу windows 9x.
- •9. Які методи та програмні засоби використовуються хакерами для злому файлів парольного кешу?
- •10. Основні складові підсистеми безпеки windows 2k.
- •12. Порівняйте принципи побудови файлових систем fat та ntfs. Чому остання дає можливість більш потужного захисту ос windows?
- •13. В чому суть системи захисту та розмежування доступу, які надає файлова система ntfs?
- •14. Роль файлу sam у системі захисту windows 2k. Які мери по обмеженню доступу до нього Ви знаєте?
- •17. Види хешування паролів у windows 2k. Порівняйте їх по криптостійкості.
- •18. Роль системи syskey в захисті облікових записів windows 2k.
- •19. Принцип шифрування з допомогою утиліти syskey. Де можуть зберігатись ключі syskey?
- •20. Загальна характеристика методів атак на файл sam.
- •27. Перелічіть складові комплексних мір по захисту ос Windows 2k від локальних атак
- •28. Адміністрування паролів в Windows 2k
- •29. Адміністрування мережних ресурсів в Windows 2k
- •30. Якім чином та за яких умов здійснюється віддалене адміністрування у windows 2k?
- •Место для 33-35
- •40. Поняття портів комп'ютера. Чи мають вони відношення до портів вводу – виводу?
- •41. Перелічите основні види стану портів комп'ютера.
- •42. Пояснить, чому відкрити порти можуть загрожувати безпеці комп'ютера.
- •43. Tcp та udPмережніпротоколи. Їхособливості. Процедура handshake
- •44. Взаємодіякомп'ютерів у локальноїмережі.
- •Перевагиоб'єднаннякомп'ютерів у локальну мережу
- •Технологія
- •45. Служба NetBios. Чомуїївикористанняпідвищуєнебезпекукомп'ютера при роботі у мережі?
- •46. Пояснить основні принципи мережного сканування.
- •47. Перелічите основні види сканування та деякі програми для його виконання.
- •48. Шляхи запобігання мережному скануванню та визначення атакуючого.
47. Перелічите основні види сканування та деякі програми для його виконання.
В цілому утиліти для автоматизованого сканування мереж можна умовно розділити на два типи: утиліти для сканування IP-адрес і утиліти для сканування портів.
Сканування портів - одна з найважливіших методик перевірки захисту веб-серверів від злому.
Порт - це адреса сервера на вузлі, адреса якого зберігається в заголовку протоколу IP. На одному вузлі (IP-адресу) можуть бути розташовані різні сервери, наприклад HTTP-сервер (порт № 80), SMTP-сервер (порт № 25), SSH-сервер (порт № 22). Інформація про запущені на сайті сервісах може бути отримана шляхом сканування портів.
Датаграмний протокол UDP призначений для обміну повідомленнями без достовірності доставки, а також без гарантії збереження порядку повідомлень. Протокол управління передачею TCP усуває недоліки UDP. У протоколі TCP після відправлення запиту на з'єднання (SYN-пакета) віддалена сторона відповідає підтвердженням (SYN/ACK-пакетом, якщо порт відкритий) або відмовою (RST-пакетом, якщо закритий). Якщо порт відкритий, у відповіді міститься ідентифікаційний номер пакета (номери наступних пакетів збільшуються). Інформування віддаленої сторони про ідентифікаційний номер наших пакетів переводить з'єднання в стан "встановлено".
Існує кілька методик сканування портів TCP. Самим примітивним способом сканування портів, є спроба відкрити з'єднання з кожним із потрібних портів. Недоліком даного методу сканування портів є швидкість (потрійне рукостискання, що було описано вище, вимагає багаторазової передачі пакетів в обидві сторони).
Для прискорення процесу сканування портів можна скористатися побудовою мережних RAW-пакетів. У скануванні портів такі пакети дозволяють генерувати нештатні ситуації: посилки SYN, SYN/ACK, FIN-пакетів, пакетів без прапорів взагалі або пакетів з встановленими усіма можливими прапорами. Також RAW-пакети дозволяють виконати мережеву атаку, так званий IP-spoofing (підробка адреси відправника), яка застосовується в прихованому скануванні портів.
Сканування портів типу SYN-атака ґрунтується на формуванні SYN-пакетів на необхідні порти і аналізі відповідей. На сьогодні сканування портів даним методом є найшвидшим.
Ще одним різновидом сканування портів є посилка FIN-пакетів. На такі пакети цільова машина відповість RST-пакетом незалежно, порт відкритий або закритий. Сканування портів даним методом складніше виявити, хоча результат не показує відкритість порту. Сканування показує доступність (фільтрацію) порту - ігнорування з'єднань (відсутність якої-небудь відповіді від цільової машини).
Одним з найпопулярніших засобів для сканування портів є NMap, яке можна безкоштовно скачати на сайті «insecure.org». NMap підходить для операційних систем UNIX та Windows. Важливо зрозуміти, як працює NMap для того, щоб ви змогли визначити метод, яким користується атакуючий проти вас, скануючи ваші порти. У мережі доступні й інші кошти, кожне з яких має свої особливості. Однак NMap на сьогоднішній день є найбільш популярним і пропонує всі необхідні функції.
Сканування IP-адрес
Якщо говорити про механізми, які використовуються в утилітах сканування IP-адрес, то, як правило, мова йде про розсилку широкомовних пакетів ICMP. Утиліти відправляють пакети типу ICMP ECHO за вказаною IP-адресою і чекають відповідь пакету ICMP ECHO_REPLY. Отримання такого пакета означає, що в даний момент комп'ютер підключений до мережі за вказаною IP-адресою.
Розглядаючи можливості протоколу ICMP для збору інформації про мережі, слід зазначити, що прослуховування за допомогою утиліти ping і їй подібних - це всього лише верхівка айсберга. Обмінюючись ICMP-пакетами з яким-небудь вузлом мережі, можна отримати куди більш цінну інформацію про мережі, ніж констатація факту підключення вузла до мережі по заданому IP-адресою.
Тут виникає закономірне питання: чи можна захиститися від такого роду сканування? Власне, все, що для цього потрібно, - це заблокувати відповіді на ICMP-запити. Саме такий підхід найчастіше використовується системними адміністраторами, які піклуються про безпеку своїх мереж. Однак, незважаючи на блокування пакетів ICMP, існують і інші методи, що дозволяють визначити, чи підключений даний вузол до мережі.
У тих випадках, коли обмін даними по протоколу ICMP заблокований, використовується метод сканування портів (port scanning). Відсканувавши стандартні порти кожного потенційного IP-адреси мережі, можна визначити, які вузли підключені до мережі. Якщо порт відкритий (opened port) або знаходиться в режимі очікування (listening mode), це означає, що з даного IP-адресою є комп'ютер, підключений до мережі.
Прослуховування мережі методом сканування портів відноситься до розряду так званого TCP-прослуховування.
Утиліти для сканування
nmap, «Network Mapper» — (укр. енме́п) безкоштовне відкрите програмне забезпечення для дослідження та аудиту безпеки мереж та виявлення активних мережевих сервісів. З часу публікації в 1997 став стандартом в галузі інформаційної безпеки. Автор програми, Гордон Ліон, відоміший як Fyodor, після релізу версії 5.0 назвав це найбільшим розвитком застосунку починаючи з 1997, коли сирцеві коди вперше були оприлюднені в журналі Phrack.
Nmap використовує безліч різних методів сканування, таких як UDP, TCP (connect), TCP SYN (напіввідкрите), FTP -proxy (прорив через ftp), Reverse-ident, ICMP (ping), FIN, ACK, Xmas tree, SYN- і NULL-сканування. Nmap також підтримує великий набір додаткових можливостей, а саме:
визначення операційної системи віддаленого хоста з використанням відбитків стека TCP/IP,
«невидиме» сканування,
динамічне обчислення часу затримки і повтор передачі пакетів,
паралельне сканування,
визначення неактивних хостів методом паралельного ping-опитування,
сканування з використанням помилкових хостів,
визначення наявності пакетних фільтрів,
пряме (без використання portmapper) RPC-сканування,
сканування з використанням IP-фрагментації,
довільна вказівка IP-адрес і номерів портів сканованих мереж.
можливість написання довільних сценаріїв (скриптів) на мові програмування Lua.
SuperScan 4
Платформа: Windows 2000/XP
Цена: бесплатно
Утилита SuperScan 4 (рис. 7) — это новая версия хорошо известного сетевого сканера SuperScan. Данная утилита представляет собой еще один быстрый и гибкий сканер IP-адресов и портов. Утилита позволяет гибко задавать перечень IP-адресов исследуемых узлов и сканируемых портов.
SuperScan 4 не требует инсталляции на компьютер.
В сравнении с предыдущей версией в новом варианте SuperScan 4 увеличена скорость сканирования, поддерживается неограниченный диапазон IP-адресов, улучшен метод сканирования с использованием ICMP-запросов, добавлен метод сканирования портов TCP SYN и многое другое.
NetScan — сканер безопасности сетей
Возможности сканера
|