Počúvanie tcp. Ako zistím, ktorý proces počúva na porte v systéme Windows? Nepodporované rodiny adries

Otvorte okno príkazového riadka (ako správca). Do poľa Štart \ Hľadať zadajte „cmd“, potom kliknite pravým tlačidlom myši na „cmd.exe“ a vyberte „Spustiť ako správca“

Zadajte nasledujúci text a stlačte Enter.

netstat -abno

-a Zobrazuje všetky pripojenia a načúvacie porty.

-b Zobrazuje spustiteľný súbor zapojený do vytvárania každého pripojenia alebo portu načúvania. V niektorých prípadoch má dobre známy hostiteľ spustiteľných súborov niekoľko nezávislých komponentov a v týchto prípadoch postupnosť komponentov zapojených do vytvárania pripojenia alebo portu načúvania. V tomto prípade je názov spustiteľného súboru v spodnej časti, v hornej časti je komponent, ktorý pomenoval atď. kým sa nedosiahne TCP / IP. Upozorňujeme, že táto možnosť môže trvať dlho a zlyhá, ak nemáte dostatočné povolenie.

-n Zobrazuje adresy a čísla portov v číselnej forme.

-o Zobrazuje ID procesu vlastníctva spojeného s každým pripojením.

Nájdite port, ktorý počúvate v časti „Miestna adresa“.

Pozrite sa na názov procesu priamo pod tým.

POZNÁMKA. Ak chcete nájsť proces v správcovi úloh

Poznamenajte si ID procesu (ID procesu) vedľa portu, ktorý hľadáte.

Otvorte Správcu úloh systému Windows.

Prejdite na kartu Procesy.

Pozrite sa na PID, ktoré ste označili, keď ste urobili netstat v kroku 1.

• Ak nevidíte stĺpec PID, kliknite na Zobraziť / Vybrať stĺpce. Vyberte PID.

  Uistite sa, že je vybratá možnosť „Zobraziť procesy od všetkých používateľov“.

Príkaz netstat, ktorý je súčasťou štandardnej súpravy sieťových nástrojov UNIX, zobrazuje rôzne informácie súvisiace so sieťou, ako sú sieťové pripojenia, štatistiky rozhrania, smerovacie tabuľky, maškaráda, multicast atď.

V tomto článku sa pozrieme na desať praktických príkladov použitia príkazu netstat v systéme Linux.

1. Zoznam všetkých portov (počúvajúcich aj nie)

Zoznam všetkých portov: netstat -a

# netstat -a | viac Aktívne internetové pripojenia (servery a nadviazané) Proto Recv-Q Send-Q Lokálna adresa Zahraničná adresa Štát tcp 0 0 localhost: doména *: * POČÚVAŤ udp6 0 0 fe80 :: 20c: 29ff: fe68: ntp [::]: * Aktívne sokety domén UNIX (servery a zavedené) Proto RefCnt Flags Typ Stav Cesta I-Node unix 2 [ACC] STREAM LISTENING 20492 /var/run/mysqld/mysqld.sock unix 2 [ACC] STREAM LISTENING 23323 / var / run / php5 -fpm.sock

Uveďte všetky porty TCP: netstat -at

# netstat -at Aktívne internetové pripojenia (servery a nadviazané) Proto Recv-Q Send-Q Miestna adresa Zahraničná adresa Štát tcp 0 0 localhost: doména *: * LISTEN tcp 0 0 *: ssh *: * LISTEN tcp 0 0 localhost: ipp *: * POČÚVAŤ tcp 0 0 *: http *: * POČÚVAŤ

Uveďte všetky porty UDP: netstat -au

# netstat -au Aktívne internetové pripojenia (servery a nadviazané) Proto Recv-Q Send-Q Miestna adresa Zahraničná adresa Štát udp 0 0 localhost: doména *: * udp 0 0 *: bootpc *: * udp6 0 0 fe80 :: 20c: 29ff: fe68: ntp [::]: *

2. Zoznam zásuviek v stave LISTEN

Uveďte všetky porty počúvania: netstat -l

# netstat -l Aktívne internetové pripojenia (iba servery) Proto Recv-Q Send-Q Lokálna adresa Cudzia adresa Štát tcp 0 0 localhost: doména *: * POČÚVAŤ tcp6 0 0 [::]: ssh [::]: * POČÚVAŤ udp 0 0 192.168.128.134:ntp *: *

Zoznam počúvajúcich portov TCP: netstat -lt

# netstat -lt Aktívne internetové pripojenia (iba servery) Proto Recv-Q Send-Q Lokálna adresa Cudzia adresa Štát tcp 0 0 localhost: doména *: * LISTEN tcp 0 0 localhost: ipp *: * LISTEN tcp6 0 0 [::] : ssh [::]: * POČÚVAJTE

Zoznam počúvajúcich portov UDP: netstat -lu

# netstat -lu Aktívne internetové pripojenia (iba servery) Proto Recv-Q Send-Q Miestna adresa Zahraničná adresa Štát udp 0 0 *: bootpc *: * udp6 0 0 [::]: ntp [::]: *

Vypísať UNIX sokety na počúvanie: netstat -lx

# netstat -lx Aktívne sokety domén UNIX (iba servery) Príznaky Proto RefCnt Typ Stav Cesta I-Node unix 2 [ACC] STREAM LISTENING 3141 /var/run/fail2ban/fail2ban.sock unix 2 [ACC] STREAM LISTENING 20492 / var / run / mysqld / mysqld.sock unix 2 [ACC] STREAM LISTENING 23323 /var/run/php5-fpm.sock

3. Zobrazte štatistiky pre každý protokol

Zobraziť štatistiky pre všetky porty: netstat -s

# netstat -s IP: 11150 celkovo prijatých paketov 1 s neplatnými adresami 0 preposlaných 0 prichádzajúcich paketov zahodených 11149 doručených prichádzajúcich paketov 11635 odoslaných požiadaviek Icmp: 13791 prijatých ICMP správ 12 vstupných ICMP správ zlyhalo. Tcp: 15020 otvorených aktívnych spojení 97955 otvorení pasívnych spojení 135 neúspešných pokusov o spojenie Udp: 2841 prijatých paketov 180 prijatých paketov na neznámy port. .....

Zobraziť štatistiku iba pre porty TCP: netstat -st

# netstat -st

Zobraziť štatistiky iba pre porty UDP: netstat -su

# netstat -su

4. Zobrazte PID a názov procesu vo výstupe netstat

Možnosť netstat -p pridá "PID / Názov programu" do výstupu netstat a možno ho kombinovať s akoukoľvek inou sadou možností. Toto je veľmi užitočné pri ladení, aby ste zistili, ktorý program beží na konkrétnom porte.

# netstat -pt Aktívne internetové pripojenia (bez serverov) Proto Recv-Q Send-Q Miestna adresa Cudzia adresa Štát PID / Názov programu tcp 0 0 org-ru-putty.vm.udf: www 52-106.plus.kerch : 55723 ZALOŽENÁ 9486 / nginx: pracovník tcp 0 0 org-ru-putty.vm.udf: www 52-106.plus.kerch: 55757 ZALOŽENÁ 9486 / nginx: pracovník

5. Rozlíšenie mien vo výstupe netstat

Ak nepotrebujete vyriešiť názov hostiteľa, názov portu, meno používateľa, použite túto možnosť netstat -n na zobrazenie hodnôt v digitálnom formáte. Príkaz zobrazí IP adresu namiesto hostiteľa, číslo portu namiesto názvu portu, UID namiesto používateľského mena.

To tiež urýchli výstup, pretože netstat nebude vykonávať zbytočné vyhľadávanie.

# netstat -an

Ak chcete zobraziť číselné hodnoty len pre niektoré z týchto položiek, použite nasledujúce príkazy:

# netsat -a --numeric-ports # netsat -a --numeric-hosts # netsat -a --numeric-users

6. Nepretržitý výstup informácií o netstat

Možnosť netstat -c bude vydávať informácie nepretržite v štýle top obnovovanie obrazovky každých pár sekúnd.

# netstat -c Aktívne internetové pripojenia (bez serverov) Proto Recv-Q Send-Q Miestna adresa Cudzia adresa Štát tcp 0 0 org-ru-putty.vm.udf: www 182.131.74.202:59933 FIN_WAIT2 tcp 0 0 org- ru-putty.vm.udf: www 182.131.74.202:63761 FIN_WAIT2 tcp 0 0 org-ru-putty.vm.udf: www 92-181-66-102-irk.:4585 ZALOŽENÉ ^ C

7. Nepodporované rodiny adries

Možnosť netstat --verbose zobrazí podrobný výstup a na samom konci zobrazí nepodporovanú rodinu adries.

Netstat: žiadna podpora pre `AF IPX" v tomto systéme. Netstat: žiadna podpora pre `AF AX25" v tomto systéme. netstat: žiadna podpora pre `AF X25" v tomto systéme. netstat: žiadna podpora pre `AF NETROM" v tomto systéme.

8. Smerovanie jadra

Zobraziť smerovaciu tabuľku jadra: netstat -r

# netstat -r Kernel IP smerovacia tabuľka Cieľová brána Genmask Flags MSS Window irtt Iface default 192.168.128.2 0.0.0.0 UG 0 0 0 eth0 192.168.128.0 * 255.255.255.0 U 0 eth

Poznámka: Použite netstat -rn na zobrazenie trasy v digitálnom formáte bez rozlíšenia názvov uzlov.

9. Korešpondencia portov a procesov

Zistite, ktorý port konkrétny program používa:

# netstat -ap | grep ssh (Nie je možné identifikovať všetky procesy, informácie o procese, ktorý nevlastní, sa nezobrazia, museli by ste byť root, aby ste ich mohli vidieť.) tcp 0 0 *: ssh *: * POČÚVAŤ - tcp6 0 0 [::] : ssh [::]: * POČÚVAJ -

Zistite, ktorý proces používa konkrétny port:

# netstat -an | grep ": 80"

10. Sieťové rozhrania

Zobraziť zoznam sieťových rozhraní: netstat -i

# netstat -i Tabuľka rozhrania jadra Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg eth0 1500 0 1911037 0 0 0 1382056 0 0 0 0 0 BM 0 0 0 0 0 0 0 0 LRU

Zobraziť rozšírené informácie o rozhraniach (podobne ako ifconfig): netstat -ie

# netstat -ie Kernel Interface table eth0 Link encap: Ethernet HWaddr 00: 0c: 29: 68: 4c: a4 inet addr: 192.168.128.134 Bcast: 192.168.128.255 Add Mask: 2550.52.9255.: fe68: 4ca4 / 64 Rozsah: Link UP BROADCAST RUNNING MULTICAST MTU: 1500 Metrika: 1 RX paket: 24278 chýb: 0 zahodených: 0 prekročení: 0 snímok: 0 TX paketov: 11275 chýb: 0 zahodených: 0 prekročení nosiča:0: kolízie: 0 txqueuelen: 1000 RX bajtov: 33203025 (33,2 MB) TX bajtov: 665822 (665,8 KB) Prerušenie: 19 Základná adresa: 0x2000

11.netstat -lnptux

Poďme zhrnúť vyššie uvedené a skombinujeme klávesy do jedného užitočného príkazu, ktorý ukáže:

• -l všetky otvorené porty (POČÚVAŤ)
• -t cez TCP
• -u cez UDP
• -x cez UNIX Socket
• -n bez rozlíšenia IP / mien
• -p, ale s názvami procesov a PID

Poznámka: Nie všetky procesy možno identifikovať podľa posledného kľúča, cudzie procesy sa nezobrazia. Musíte byť root, aby ste videli všetko.

# netstat -lnptux Aktívne internetové pripojenia (iba servery) Proto Recv-Q Send-Q Miestna adresa Cudzia adresa Štát PID / Názov programu tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 9614 / nginx tcp 0 0 0.0.0.0 : 22 0.0.0.0:* POČÚVAŤ 601 / sshd udp 0 0 8.8.4.4:123 0.0.0.0:* 574 / ntpd udp 0 0 127.0.0.1:123 0.0.0 74 0:0 0.0.0.0:* 0.0. 123 0.0.0.0:* 574 / ntpd Aktívne sokety domén UNIX (iba servery) Príznaky Proto RefCnt Typ Stav I-Node PID / Názov programu Cesta unix 2 [ACC] POČÚVANIE STREAMU 4233 826 / python / var / run / fail2ban / fail2ban. sock unix 2 [ACC] STREAM LISTENING 8122 2561 / mysqld /var/run/mysqld/mysqld.sock unix 2 [ACC] STREAM LISTENING 160413 7301 / php-fpm.conf /var/run/php5-fpm

Január 2013, webová stránka

Povoľte JavaScript

© 2009–2019, stránka – Pri použití materiálov zo stránky uveďte zdroj.

Prednáškový kurz

v odbore "Ochrana informačných procesov v počítačových systémoch"

Časť 1

1. Ciele, ktoré útočník sleduje

2. Metódy a nástroje

2.1. Počúvanie siete

2.2. Skenovanie

2.3. Generovanie paketov

2.4. trójske kone

2.5. Zneužíva

2.6. Programy na automatické hádanie hesiel

3. Klasifikácia sieťových útokov

3.1. Podľa úrovne modelu OSI

3.2. Typ

3.3. Podľa polohy útočníka a napadnutého objektu

4. Útoky ako "spoofing"

5. Útoky poskytujúce neoprávnenú výmenu údajov

5.1. Tunelovanie

5.2. Útok malých úlomkov

6. Útoky poskytujúce odpočúvanie dát

6.1. Falošná správa o presmerovaní ICMP

6.2. falošná správa DHCP

6.3. Útok na smerovacie protokoly

7. Distribuované útoky odmietnutia služby (DDoS).

7.1. Všeobecné princípy a koncepty DDoS útokov

7.2. DDoS útoky založené na protokole TCP

7.3. DDoS útoky založené na protokole UDP

7.4. DDoS útoky založené na protokole ICMP

8. Útoky na aplikačnú vrstvu

8.1. Útoky na heslá

8.2. SQL Injection

8.3. Cross-Site Scripting (XSS)

9. Hrozby a útoky špecifické pre bezdrôtovú sieť 802.11

Závažnosť a dôležitosť problému zabezpečenia informačnej bezpečnosti je spôsobená týmito faktormi:

Rýchly rozvoj globálneho internetu

Takáto globalizácia umožňuje počítačovým zločincom prakticky odkiaľkoľvek na svete, kde je internet, vzdialený tisíce kilometrov, vykonať útok na podnikovú sieť.

Distribúcia ľahko použiteľných programov na útek z väzenia

Šírenie ľahko použiteľných škodlivých programov a odporúčaní na ich použitie viedlo k prudkému poklesu úrovne vedomostí a zručností, ktoré útočník potrebuje na úspešný útok.

Automatizácia takmer všetkých obchodných procesov spoločností

Výrazný nárast množstva informácií uchovávaných a spracovávaných pomocou počítačov a iných automatizačných nástrojov prispel k vzniku hrozieb spojených s možnosťou straty, skreslenia a prezradenia údajov. Podľa odborníkov je v súčasnosti asi 70 – 90 % intelektuálneho kapitálu spoločnosti uložených v digitálnej forme.

Početné zraniteľnosti softvéru a sieťových platforiem

Vďaka konkurencii sa moderné softvérové ​​produkty predávajú s chybami a defektmi. Chyby a nedostatky v týchto systémoch vedú k náhodnému a úmyselnému narušeniu informačnej bezpečnosti.

· Zanedbávanie problematiky informačnej bezpečnosti v spoločnosti.

Nedostatočná informačná podpora zamestnancov v oblasti informačnej bezpečnosti a ochrany obchodného tajomstva.

· Rastúca popularita bezdrôtových sieťových technológií v podnikovom prostredí. Je to spôsobené jednoduchosťou nasadenia (nie je potrebné položiť kábel), relatívnou lacnosťou zariadenia, výrazne nižšími nákladmi v prípade potreby rozšírenia siete (v porovnaní s káblovým analógom stačí pokryť požadované oblasť s prístupovými bodmi), ako aj mobilita pre používateľov a flexibilita pri rozširovaní.

Ciele, ktoré útočník sleduje

- kradnutie informácií(príklad - krádež používateľského mena a hesla; krádež informácií, ktoré sú obchodným tajomstvom)

- úprava informácií(príklad - zmena informácií o stave účtu v databáze banky)

- porušenie dostupnosti informačného zdroja(v tomto prípade útočníka nezaujímajú informácie, jeho cieľom je sťažiť alebo znemožniť fungovanie servera do takej miery, aby ostatní užívatelia nemohli využívať jeho služby).

Metódy a nástroje

Snímanie siete

Počúvanie prevádzky v lokálnych sieťach sa vykonáva pomocou špeciálnych programov - snifferov. Tento program zachytáva pakety prichádzajúce na sieťové rozhranie počítača a umožňuje vám ich analyzovať.

Vzhľadom na skutočnosť, že niektoré sieťové aplikácie prenášajú údaje v textovom formáte (HTTP, FTP, SMTP, POP3 atď.), Pomocou snifferu môžete zistiť užitočné a niekedy dôverné informácie (napríklad používateľské mená a heslá). Zachytenie používateľských mien a hesiel je veľmi nebezpečné, pretože používatelia často používajú rovnaké používateľské meno a heslo pre viacero zdrojov a aplikácií.

Sniffer rozhranie Network Chemistry Packetyzer

Proces počúvania prevádzky v lokálnej sieti závisí od jej topológie a od vybavenia, ktoré sa v nej používa.

Lokálne siete bývali neprepínané. Výmena údajov medzi počítačmi v sieti prebiehala cez rovnaký informačný kanál alebo, zhruba povedané, cez ten istý kábel, bez ohľadu na odosielateľa a príjemcu. Medzi takéto siete patria ethernetové siete s topológiou „Zdieľaná zbernica“ (teraz zastarané), ethernetové siete s „hviezdicovou“ topológiou založenou na rozbočovači alebo rozbočovači (v súčasnosti zriedka používané), bezdrôtové siete štandardu Wi-Fi.

Ethernet s topológiou "Zdieľaná zbernica".

Ethernet s "hviezdicovou" topológiou založenou na rozbočovači (hub)

Bezdrôtová sieť Wi-Fi

V neprepínaných sieťach každý počítač prijíma všetky pakety, ktoré prechádzajú sieťou. Po prijatí paketu ovládač sieťovej karty analyzuje hlavičku paketu, extrahuje z nej cieľovú MAC adresu a porovná ju s MAC adresou sieťovej karty. Ak sa adresy zhodujú, paket sa odovzdá operačnému systému na ďalšie spracovanie. Ak sa adresy nezhodujú, paket sa zahodí.

Je jasné, že s takouto schémou nie je pre útočníka ťažké počúvať všetku komunikáciu v sieti. K tomu je potrebné dať sieťovú kartu do špeciálneho režimu - takzvaného promiskuitného ("promiskuitného"). Sieťová karta v "promiskuitnom" režime akceptuje všetky pakety bez ohľadu na ich cieľovú adresu a odošle ich do programu sniffer na analýzu. (Vo väčšine prípadov sa promiskuitný režim zapne automaticky po spustení sniffera).

Väčšina ethernetových sietí je však dnes postavená na prepínači.

Ethernet s hviezdicovou topológiou založenou na prepínači (prepínači)

Prepínač má tabuľku zhody medzi MAC adresami uzlov a ich portami, ku ktorým sú tieto uzly pripojené. Pakety sú teraz smerované na špecifický port priradený k cieľu paketu. V súlade s tým môže útočník vidieť iba vysielané pakety, ktoré sú mu adresované.

Existujú však spôsoby, ako môže útočník toto obmedzenie obísť a počúvať premávku, ktorá mu nie je určená. Jednou z týchto metód je útok ARP spoofing (iný názov pre útok je ARP poisoning, teda otrava). ARP spoofing útok je typu man-in-the-middle(muž v strede).

Na vytvorenie paketu a jeho odoslanie do siete potrebuje počítač poznať IP a MAC adresy príjemcu paketu. IP adresa je spravidla odosielateľovi známa vopred (alebo je známy názov domény príjemcu, cez ktorý je možné IP adresu ľahko získať pomocou servera DNS). Na nájdenie MAC adresy podľa známej IP sa používa protokol ARP (Address Resolution Protocol). Funguje to nasledovne:

Keď počítač potrebuje poslať paket na konkrétnu IP adresu, najprv skontroluje svoju ARP vyrovnávaciu pamäť, či hľadá zhodu IP-MAC. (Obsah vyrovnávacej pamäte ARP vášho počítača môžete zobraziť spustením príkazu arp –a na príkazovom riadku). Ak existuje, prijatá MAC adresa sa vloží do hlavičky odchádzajúceho paketu a paket sa odošle do siete.

V opačnom prípade sa do siete odošle špeciálna požiadavka na vysielanie ARP („Kto má 192.168.0.1?“). Každý počítač, ktorý rozpozná svoju IP adresu v požiadavke, musí odpovedať odosielateľovi a poslať svoju MAC adresu. Uloží sa do vyrovnávacej pamäte ARP autora požiadavky a použije sa na ďalšie odosielanie sieťových paketov.

Útočník môže použiť ARP na zachytenie prevádzky medzi dvoma počítačmi v sieti.

ARP spoofing schéma útoku

Predpokladajme, že útočník X chce vidieť prenos z bodu A do bodu B a naopak. Aby to urobil, pošle do počítača A falošná odpoveď ARP, obsahujúca IP adresu počítača B a údajne zodpovedajúcu MAC adresu útočníka X. Podobná odpoveď ARP sa odošle na B: zhoduje sa s IP adresou počítača A s MAC adresou útočníka X. ARP nevyžaduje autentifikáciu, takže A a B nemôže overiť pravosť prichádzajúcich údajov a okamžite ich vložiť do svojej vyrovnávacej pamäte ARP. Takto to ide Otrava vyrovnávacej pamäte ARP uzly A a B, pričom v nich boli uvedené nesprávne, nepravdivé údaje. Zároveň po odoslaní falošného paketu ARP a výmene vyrovnávacej pamäte ARP cudzieho počítača musíte tento postup pravidelne vykonávať znova a znova, pretože každý operačný systém neustále aktualizuje svoju vyrovnávaciu pamäť ARP v pravidelných intervaloch. Stačí to urobiť každých 20–40 sekúnd.

Teraz počítač A, ktorý odošle údaje do B, ich odošle do X (keďže skutočné doručenie údajov prepínačom prebieha na MAC adrese príjemcu). Útočník X získa údaje, naskenuje ich a potom pošle ďalej oprávnenému príjemcovi B, aby sa vyhol odhaleniu. Podobná situácia nastáva aj v opačnom smere: premávku prenášanú z B do A sa môže naučiť aj útočník. Osobitnou výhodou pre útočníka (a teda aj zvláštnym nebezpečenstvom) je prípad, keď je jedným z napadnutých počítačov brána, t.j. slúži na pripojenie lokálnej siete k internetu. Potom môže útočník získať prístup k užívateľským menám a heslám na prístup k internetovým zdrojom (webové stránky, ICQ, e-mail) a iným dôverným informáciám prenášaným na internet.

Prepínaná infraštruktúra teda neodstráni hrozbu sniffingu. Znateľne však znižuje jeho závažnosť.

Metódy ochrany pred spoofingom ARP

Použitie statických záznamov vo vyrovnávacej pamäti ARP. Ak to chcete urobiť, musíte manuálne pridať položky o IP a zodpovedajúcich MAC adresách do vyrovnávacej pamäte ARP počítača. V tomto prípade nebude falošná odpoveď ARP od útočníka akceptovaná a nedôjde k otrave cache.

Záznamy do vyrovnávacej pamäte ARP – statické a dynamické

Tento spôsob je však pre svoju prácnosť ťažko aplikovateľný vo veľkých sieťach. Taktiež nebudete môcť použiť statické záznamy v prípade, že distribúcia IP adries prebieha automaticky pomocou DHCP servera.

Používanie inteligentných prepínačov.

Mnoho moderných modelov prepínačov má vstavanú ochranu pred spoofingom ARP (vykonáva sa analýzou prevádzky ARP na prepínači a blokovaním falošných požiadaviek ARP)

Používanie špeciálnych modulov brány firewall na detekciu a blokovanie útokov

Niektoré firewally obsahujú špeciálny modul (napríklad v Outpost sa nazýva „Attack Detector“), ktorý umožňuje detekovať a blokovať podozrivú sieťovú aktivitu, ako aj upozorniť na ňu používateľa.

Šifrovanie premávky

Táto metóda nezabráni odpočúvaniu, ale robí ho zbytočným. Ak je komunikačný kanál kryptograficky zabezpečený, znamená to, že hacker nezachytáva správu, ale šifrovaný text (teda nezrozumiteľnú sekvenciu bitov). Nezabúdajte však, že vykonávanie kryptografických transformácií na veľkom objeme údajov môže výrazne spomaliť váš počítač.

Existuje ďalší spôsob, ako počúvať prevádzku v sieti. Ako viete, prepínač pre svoju činnosť dynamicky vytvára tabuľku korešpondencie medzi adresami MAC a portom. Ak prepínačom prejde paket, ktorý nemá v tejto tabuľke MAC adresu, prepínač k nemu automaticky pridá nový záznam zodpovedajúci neznámej MAC adrese.

Útok spočíva v odoslaní veľkého množstva paketov cez prepínač s rôznymi falošnými MAC adresami. V tomto prípade sa spínací stôl preplní a prepne sa do prevádzkového režimu „hub“. Útočník tak bude môcť zobraziť všetku komunikáciu v sieti.

Problém odpočúvania bezdrôtových sietí je v poslednej dobe obzvlášť aktuálny, pretože bezdrôtová sieť je vo svojej podstate otvorená a verejná. Aby sa zabránilo neoprávnenému odpočúvaniu bezdrôtovej prevádzky vo Wi-Fi sieťach, používajú sa špeciálne kryptografické protokoly (zďaleka najbežnejšie sú WPA a WPA2).

Skenovanie

Cieľom skenovania siete je identifikovať počítače pripojené k sieti a určiť sieťové služby, ktoré na nich bežia (otvorené porty TCP alebo UDP). Prvá úloha sa vykonáva odoslaním správ ICMP Echo pomocou programu ping a iteráciou cez adresy hostiteľov v sieti.

Správca siete môže detekovať pokusy o skenovanie analýzou sieťovej prevádzky a monitorovaním správ Echo odoslaných postupne na všetky adresy v sieti v krátkom časovom období. Pre väčšiu utajenosť môže útočník výrazne natiahnuť proces v čase ("pomalé skenovanie") - to isté platí pre skenovanie TCP / UDP portov.

Na zistenie, ktoré aplikácie UDP alebo TCP (ako aj systémové služby OS) sú spustené na zistených počítačoch, používame skenery... Keďže čísla portov všetkých hlavných internetových služieb sú štandardizované, po zistení napríklad, že port 25 / TCP je otvorený, môžeme konštatovať, že tento hostiteľ je e-mailový server; port 80 / TCP – webovým serverom atď.. Útočník môže tieto informácie použiť na ďalšie nasadenie útoku.

Existuje niekoľko spôsobov, ako skenovať hostiteľské porty TCP. Najjednoduchší spôsob je nadviazanie úplného TCP spojenia s testovaným portom... Ak je pripojenie úspešné, port je otvorený a je k nemu pripojená serverová aplikácia. Výhodou tejto metódy je možnosť vykonávať skenovanie bez špeciálneho softvéru: štandardný program telnet vám umožňuje zadať ľubovoľné číslo portu na vytvorenie spojenia. Významnou nevýhodou je schopnosť sledovať a zaznamenávať takéto skenovanie: pri analýze systémového denníka skenovaného hostiteľa sa zistia početné otvorené a okamžite prerušené pripojenia, v dôsledku čoho je možné prijať opatrenia na zvýšenie úrovne bezpečnosti. Okrem toho, ak sa použije nástroj telnet, budete musieť manuálne prehľadávať všetky porty, ktoré útočníka zaujímajú.

Polootvorené skenovanie nemá opísané nevýhody. Väčšina moderných skenerov funguje týmto spôsobom. Skener odošle SYN segment do portu, ktorý skenuje, a čaká na odpoveď. Prijatie segmentu odpovede s bitmi SYN a ACK znamená, že port je otvorený; príjem segmentu s bitom RST znamená, že port je zatvorený. Po prijatí SYN + ACK skener okamžite odošle segment s bitom RST na detekovaný port, čím eliminuje pokus o pripojenie. Keďže spojenie nebolo nikdy otvorené (neprišlo žiadne ACK zo skenera), je oveľa ťažšie zaregistrovať takýto sken.

Tretí spôsob je FIN skenovanie... V tomto prípade sa segment s nastaveným bitom FIN odošle na skenovaný port. Ak je FIN adresovaný na uzavretý port, hostiteľ MUSÍ odpovedať RST. Segmenty FIN smerované na port v stave LISTEN sú ignorované mnohými implementáciami TCP/IP. Žiadna odpoveď teda nenaznačuje, že port je otvorený. Varianty tejto metódy skenovania sú odosielanie segmentov s príznakmi FIN, PSH, URG alebo bez akýchkoľvek príznakov ("Null scan").

Samozrejme, kontroly SYN sú spoľahlivejšie, našťastie však mnohé brány firewall nemusia povoliť SYN bez príznaku ACK z internetu do internej siete (napríklad pripojenia z internetových hostiteľov k interným hostiteľom iniciované z internetu sú odmietnuté, ale pripojenia sú povolené) iniciované zvnútra). V tomto prípade útočníkovi nezostáva nič iné, ako použiť FIN scan.

Na určenie otvorených UDP portov môže útočník poslať UDP správu na testovaný port. Prijatie správy ICMP Port Unreachable ako odpoveď znamená, že port je zatvorený.

Program skenera môže tiež určiť operačný systém skenovaného uzla podľa toho, ako uzol reaguje na špeciálne navrhnuté, neštandardné pakety: napríklad segmenty TCP s nezmyselnými kombináciami príznakov alebo niektorými typmi správ ICMP a inými znakmi.

Moderné skenery umožňujú nielen odhaliť otvorené porty aplikácií, ale aj určiť zoznam zraniteľností, ktoré sa v týchto aplikáciách vyskytujú, a poskytnúť odporúčania, ako ich odstrániť. Aby skener našiel zraniteľné miesta v nových verziách aplikácií, musí byť databáza skenerov neustále aktualizovaná (podobne ako databáza antivírusového programu).

Skenerový program tak môže použiť nielen útočník, ale aj samotný administrátor na vyhľadávanie zraniteľností a ich odstránenie. Správca by mal tiež pravidelne kontrolovať zoznam otvorených portov: prítomnosť otvoreného portu, ktorý administrátor nepozná, môže naznačovať prítomnosť trójskeho koňa v systéme.

Správa skenera Xspider so zoznamom otvorených portov

Správa zo skenera Xspider: Nájdená zraniteľnosť a odporúčania na jej odstránenie

Na určenie, ktoré porty sú otvorené na lokálnom počítači a aké aplikácie tieto porty používajú, môžete použiť aj pomocný program príkazového riadka netstat.

Generovanie paketov

Na internete nájdete hotové programy na generovanie balíkov určitého formátu a obsahu. Používanie takýchto programov často nevyžaduje, aby útočník bol programátorom alebo aby chápal, ako sieť funguje, vďaka čomu sú mnohé útoky, najmä útoky odmietnutia služby, široko dostupné na vykonanie.

2.4. trójske kone

Navrhnuté na krádež informácií alebo ovládanie vzdialeného počítača.

Trójske kone sa líšia v činnostiach, ktoré vykonávajú na infikovanom počítači. Nasleduje klasifikácia trójskych koní podľa Kaspersky Lab.