Файловый архив студентов. Файловый архив студентов.
1261 вуз, 4606 предмет.
/ Регистрация
FAQ Обратная связь Вопросы и предложения
Добавил:
Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз:
Воронежский государственный технический университет
Предмет:
[НЕСОРТИРОВАННОЕ]
Файл:
493.doc
Скачиваний:
18
Добавлен:
30.04.2022
Размер:
8.68 Mб
Скачать
►Содержание►

2.2.1.1.6 Сканирование tcp-портов методом reverse-ident (обратной идентификации)

Протокол ident позволяет определить имя (username или login, указанное при входе в систему) владельца любого запущенного на сервере процесса, связанного с ним, даже если сам этот процесс не инициализировал TCP-соединение.

Протокол ident иначе называется протоколом аутентификации сервера. За ним зарезервирован 113-й TCP-порт, который используется демоном (синоним драйвера в ОС Windows) identd, выполняющим функции аутентификации согласно протокола ident, для приема запросов и передачи ответов на них. Этот процесс происходит следующим образом.

Сервер прослушивает 113 порт и ожидает прихода запроса на соединение. Как только соединение установлено, сервер считывает блок данных, характеризующий соединение, для которого необходимо получить информацию аутентификации. В запросе, помимо информации, находящейся в IP и TCP-заголовках, передается небольшой текстовый блок данных, состоящий из двух полей:  <Порт сервера>, <Порт клиента>, где <Порт сервера> - это номер порта сервера, на котором запущен identd, и о котором необходимо получить информацию, а <Порт клиента> - номер порта на хосте, посылающем запрос серверу, на который сервер должен прислать ответ [34]. Например:

  6191 , 23

означает, что клиенту необходимо узнать, кто в настоящее время использует 6191 порт на сервере, и передать эту информацию сервер должен на 23-й порт хоста. Ответ сервера выглядит следующим образом:

  <Порт сервера>,<Порт клиента>:<Ответ>:<Дополн.инф.>

где <Порт сервера> и <Порт клиента> копируются из запроса хоста, <Ответ> представляет собой ключевое слово, определяющее тип ответа, а <Дополн.инф.> является текстовой строкой, содержание которой зависит от типа ответа. Например:

6193, 23 : USERID : UNIX : stjohns

6195, 23 : ERROR : NO-USER

Как и большинство программ, identd имеет некоторые особенности функционирования, позволяющие получить требуемую информацию, не используя стандартный 113 порт и не проходя процедуру аутентификации. Так, например, имеется возможность подключиться к http-порту и затем использовать identd чтобы определить, работает ли на сервере пользователь root.

Это может быть сделано только при установлении «полного» TCP-соединения к порту исследуемого сервера, что позволяет системному администратору отследить действия.

2.2.1.1.7 Сканирование Xmas

При Xmas сканировании посылаются TCP пакеты отдаленному устройству с установленными URG, PUSH, и FIN флагами. Этот тип сканирования называется Xmas (в переводе с английского – Рождество) сканированием из-за чередующихся битов, попеременно включаемых в байте флагов (00101001), которые очень напоминают горящие огни Рождественской елки [7].

Закрытый порт отвечает на Xmas сканирование пакетом с установленным битом RST (рисунок 2.20).

Исходный Адресат

Рисунок 2.20 - Сканирование Xmas закрытого порта

Подобно FIN сканированию, открытый порт на удаленном компьютере будет считаться рабочим, если он не отвечает на запросы (рисунок 2.21).

Исходный Адресат

Рисунок 2.21 - Сканирование Xmas открытого порта

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]
Помощь Обратная связь Вопросы и предложения Пользовательское соглашение Политика конфиденциальности