- •Відповіді на питання №3
- •Основи аналізу вразливостей та етичний хакінг
- •1. Актівний і пасивний збір інформації (Відкриті джерела, Sniffing, tcp / ip утиліти, журнали аудиту цільової системи - log файли і т.Д.);
- •12. Сканування системи (сканування відкритих портів, моніторинг по протоколу snmp, icmp сканування т.Д.);
- •2 Моніторинг по протоколу snmp, icmp
- •3. Отримання доступу в систему (Експлуатація вразливостей iis, перехоплення сесії, переповнення буфера, відмова від обслуговування тощо);
- •4. Закріплення в системі (Трояни, Руткіти, Back Doors т.Д.);
- •5. Знищення слідів перебування в системі;
Міністерство освіти і науки України
Харківський національний університет радіоелектроніки
Факультет Інфокомунікацій .
(повна назва)
Кафедра Інфокомунікаційної інженерії імені В.В. Поповського .
(повна назва)
Відповіді на питання №3
з дисципліни
Основи аналізу вразливостей та етичний хакінг
2020 р.
1. Актівний і пасивний збір інформації (Відкриті джерела, Sniffing, tcp / ip утиліти, журнали аудиту цільової системи - log файли і т.Д.);
Мережеві атаки поділяють на активні і пасивні.
Активні атаки включають у себе явний вплив на систему, який змінює її стан. Наприклад, це може бути шкідливий програмний код-вірус, впроваджений в виконувану системою програму, спотворення даних на сторінках веб-сайту, блокування мережевого сервісу шляхом "бомбардування" його помилковими запитами. Відмінністю активних атак є те, що після свого завершення вони, як правило, залишають сліди. Наприклад, змінюється вміст пам'яті, надходять дивні діагностичні повідомлення, додатки починають виконуватися неправильно, уповільнено або взагалі зависають, в характеристиках мережевого трафіку і в інших статистичних даних про роботу системи з'являються незрозумілі сплески активності. Проте ретельно підготована активна атака може пройти непоміченою, якщо фахівці, що відповідають за її безпеку, погано інформовані про можливі наслідки такого роду атак.
Пасивні атаки не порушують нормальну роботу системи: вони пов'язані зі збором інфорції про систему, наприклад, вони можуть прослуховувати внутрішньомережевий трафік або перехоплювати повідомлення, передані по лініям зв'язку. У багатьох випадках пасивні атаки не залишають слідів, тому їх дуже складно виявити, часто вони так і проходять непоміченими.
Інтерфейс знаходиться в змішаному режимі, коли в системі працює сніффер (мережевий аналізатор пакетів). Сніффер переводить інтерфейс в змішаний режим; при цьому відбувається фіксування всієї інформації, що проходить через канал зв'язку. Якщо при роботі інтерфейсу в даному режимі виконати командаifconfig-a, то з'явиться повідомлення про те, що інтерфейс знаходиться в стані PROMISC (ознака того, що працює аналізатор пакетів). Якщо сніффер запущений не адміністратором системи, необхідно провести дослідження причин цих обставин.
Адміністратор також повинен вивчати результати виконання команди. Ця програма виводить всі активні процеси, наявні в системі, що необхідно при пошуку сніфферов, так як сніффер може не відображатися в lsofабо вnetstat. У більшості систем виконання команди ps-efвиводіт перелік процесів в системі. У тих версіях Unix, де ця команда не працює, слід виконати командурѕ-aux.
12. Сканування системи (сканування відкритих портів, моніторинг по протоколу snmp, icmp сканування т.Д.);
1.1 Сканування відкритих портів Сканування портів — це процес, який надсилає клієнтські запити до діапазону адрес портів сервера на хості з метою пошуку активного порту, він не є зловмисним за задумом[1]. Більшість застосувань сканування портів є не атаками, а простими перевірками для визначення послуг, доступних на віддаленому хості.
Nmap — это свободная утилита, предназначенная для разнообразного настраиваемого сканирования IP-сетей с любым количеством объектов в системе, определения состояния объектов сканируемой сети (а именно портов и соответствующих им служб). Изначально программа была реализована для систем UNIX, но сейчас доступны версии для множества операционных систем. Nmap использует множество различных методов сканирования, таких как UDP, TCP (connect), TCP SYN (полуоткрытое), FTP-proxy (прорыв через ftp), Reverse-ident, ICMP (ping), FIN, ACK, Xmas tree, SYN- и NULL-сканирование. Nmap также поддерживает большой набор дополнительных возможностей, а именно: определение операционной системы удалённого хоста с использованием отпечатков стека TCP/IP, «невидимое» сканирование, динамическое вычисление времени задержки и повтор передачи пакетов, параллельное сканирование, определение неактивных хостов методом параллельного ping-опроса, сканирование с использованием ложных хостов, определение наличия пакетных фильтров, прямое (без использования portmapper) RPC-сканирование, сканирование с использованием IP-фрагментации, быстрый поиск уязвимостей SQL Injection, а также произвольное указание IP-адресов и номеров портов сканируемых сетей. В последних версиях добавлена возможность написания произвольных сценариев (скриптов) на языке программирования Lua.