TCP dinleme. Windows'ta bir bağlantı noktasında hangi işlemin dinlediğini nasıl öğrenebilirim? Sistem tarafından desteklenmeyen adres aileleri

Bir komut istemi penceresi açın (yönetici olarak). Başlat\Ara kutusuna "cmd" yazın, ardından "cmd.exe"ye sağ tıklayın ve "Yönetici olarak çalıştır"ı seçin

Aşağıdaki metni yazın ve Enter'a basın.

netstat-abno

-a Tüm bağlantıları ve dinleme bağlantı noktalarını görüntüler.

-b Her bağlantı veya dinleme bağlantı noktasının oluşturulmasında yer alan yürütülebilir dosyayı görüntüler. Bazı durumlarda, bilinen bir ana bilgisayar yürütülebilir dosyasının birkaç bağımsız bileşeni vardır ve bu durumlarda bir bağlantı veya dinleme bağlantı noktası oluşturmaya dahil olan bir dizi bileşen vardır. Bu durumda, yürütülebilir dosyanın adı altta, üstte adlandırdığı bileşen vb. TCP/IP'ye ulaşılana kadar. Lütfen bu seçeneğin uzun sürebileceğini ve yeterli izniniz yoksa başarısız olacağını unutmayın.

-n Adresleri ve port numaralarını sayısal biçimde görüntüler.

-Ö Her bağlantıyla ilişkili sahiplik işlemi kimliğini görüntüler.

"Yerel Adres" altında dinlediğiniz bağlantı noktasını bulun

Bunun hemen altındaki işlem adına bakın.

NOT. Görev Yöneticisi'nde bir işlem bulmak için

Aradığınız bağlantı noktasının yanındaki işlem kimliğine (işlem kimliği) dikkat edin.

Windows Görev Yöneticisi'ni açın.

İşlemler sekmesine gidin.

1. adımda netstat yaptığınızda not ettiğiniz PID'ye bakın.

• PID sütununu görmüyorsanız, Sütunları Görüntüle/Seç'e tıklayın. Bir PID seçin.

  "Tüm kullanıcılardan işlemleri göster" seçeneğinin seçili olduğundan emin olun.

Takım netstat Standart UNIX ağ araç setinin bir parçası olan , ağ bağlantıları, arayüz istatistikleri, yönlendirme tabloları, maskeli balo, çok noktaya yayın vb. gibi ağla ilgili çeşitli bilgileri görüntüler.

Bu yazıda, komutu kullanmanın on pratik örneğine bakacağız. linux üzerinde netstat.

1. Tüm bağlantı noktalarının listesi (hem dinleyen hem dinlemeyen)

Tüm bağlantı noktalarını listele: netstat -a

# netstat -a | daha fazla Aktif İnternet bağlantıları (sunucular ve kurulmuş) Proto Recv-Q Gönderme-Q Yerel Adres Yabancı Adres Durum tcp 0 0 localhost:domain *:* LISTEN udp6 0 0 fe80::20c:29ff:fe68:ntp [::]:* Etkin UNIX etki alanı soketleri (sunucular ve yerleşik) Proto RefCnt Bayrakları Tür Durum I-Düğüm Yolu unix 2 [ ACC ] AKIŞ DİNLEME 20492 /var/run/mysqld/mysqld.sock unix 2 [ ACC ] AKIŞ DİNLEME 23323 /var/run/php5 -fpm.sock

Tüm TCP bağlantı noktalarını listeleyin: netstat -at

# netstat -at Aktif İnternet bağlantıları (sunucular ve kurulu) Proto Recv-Q Gönderme-Q Yerel Adres Yabancı Adres Durum tcp 0 0 localhost:domain *:* LISTEN tcp 0 0 *:ssh *:* LISTEN tcp 0 0 localhost:ipp *:* DİNLE tcp 0 0 *:http *:* DİNLE

Tüm UDP bağlantı noktalarını listeleyin: netstat -au

# netstat -au Aktif İnternet bağlantıları (sunucular ve kurulu) Proto Recv-Q Gönderme-Q Yerel Adres Yabancı Adres Durumu udp 0 0 localhost:domain *:* udp 0 0 *:bootpc *:* udp6 0 0 fe80::20c: 29ff:fe68:ntp[::]:*

2. LISTEN durumundaki soketlerin listesi

Tüm dinleme bağlantı noktalarını listeleyin: netstat -l

# netstat -l Aktif İnternet bağlantıları (yalnızca sunucular) Proto Recv-Q Gönderme-Q Yerel Adres Yabancı Adres Durum tcp 0 0 localhost:domain *:* LISTEN tcp6 0 0 [::]:ssh [::]:* LISTEN udp 0 0 192.168.128.134:ntp *:*

TCP dinleme bağlantı noktalarını listeleyin: netstat -lt

# netstat -lt Aktif İnternet bağlantıları (sadece sunucular) Proto Recv-Q Gönderme-Q Yerel Adres Yabancı Adres Durum tcp 0 0 localhost:domain *:* LISTEN tcp 0 0 localhost:ipp *:* LISTEN tcp6 0 0 [::] :ssh[::]:* DİNLE

Dinleme UDP bağlantı noktalarını listeleyin: netstat -lu

# netstat -lu Aktif İnternet bağlantıları (yalnızca sunucular) Proto Recv-Q Gönderme-Q Yerel Adres Yabancı Adres Durumu udp 0 0 *:bootpc *:* udp6 0 0 [::]:ntp [::]:*

Dinleyen UNIX soketlerini listeleyin: netstat -lx

# netstat -lx Etkin UNIX etki alanı soketleri (yalnızca sunucular) Proto RefCnt Bayrakları Tür Durum I-Düğüm Yolu unix 2 [ ACC ] AKIŞ DİNLEME 3141 /var/run/fail2ban/fail2ban.sock unix 2 [ ACC ] AKIŞ DİNLEME 20492 /var/ run/mysqld/mysqld.sock unix 2 [ ACC ] AKIŞ DİNLEME 23323 /var/run/php5-fpm.sock

3. Her protokol için istatistikleri görüntüleyin

Tüm bağlantı noktalarının istatistiklerini göster: netstat -s

# netstat -s Ip: 11150 toplam paket alındı ​​1 geçersiz adreslerle 0 iletildi 0 gelen paket atıldı 11149 gelen paket teslim edildi 11635 istek gönderildi Icmp: 13791 ICMP mesajı alındı ​​12 giriş ICMP mesajı başarısız oldu. Tcp: 15020 aktif bağlantı açılışları 97955 pasif bağlantı açılışları 135 başarısız bağlantı girişimi Udp: 2841 paket alındı, bilinmeyen porta 180 paket alındı. .....

Yalnızca TCP bağlantı noktalarının istatistiklerini göster: netstat -st

# netstat -st

Yalnızca UDP bağlantı noktalarının istatistiklerini göster: netstat -su

# netstat -su

4. Netstat çıktısında PID ve işlem adını görüntüleyin

Seçenek netstat -p netstat çıktısına "PID/Program Adı" ekleyecektir ve diğer seçeneklerle birleştirilebilir. Bu, belirli bir bağlantı noktasında hangi programın çalıştığını belirlemek için hata ayıklama sırasında çok kullanışlıdır.

# netstat -pt Aktif İnternet bağlantıları (sunucusuz) Proto Recv-Q Gönderme-Q Yerel Adres Yabancı Adres Durum PID/Program adı tcp 0 0 org-ru-putty.vm.udf:www 52-106.plus.kerch :55723 KURULAN 9486/nginx: işçi tcp 0 0 org-ru-putty.vm.udf:www 52-106.plus.kerch:55757 KURULAN 9486/nginx: işçi

5. Netstat çıktısında isim çözümlemesi

Ana bilgisayar adı, bağlantı noktası adı, kullanıcı adını çözmeniz gerekmediğinde, seçeneği kullanın netstat -n değerleri dijital formatta görüntülemek için. Komut, ana bilgisayar yerine IP adresini, bağlantı noktası adı yerine bağlantı noktası numarasını, kullanıcı adı yerine UID'yi gösterecektir.

Netstat gereksiz aramalar yapmayacağından, bu aynı zamanda çıktıyı da hızlandıracaktır.

# netstat -an

Bu öğelerin yalnızca bazılarının sayısal değerlerini görüntülemek için aşağıdaki komutları kullanın:

# netsat -a --numeric-ports # netsat -a --numeric-hosts # netsat -a --numeric-users

6. Netstat bilgilerini sürekli olarak çıktı alın

Seçenek netstat -c tarzda, bilgileri sürekli olarak gösterecektir. tepe, ekranı birkaç saniyede bir yeniler.

# netstat -c Aktif İnternet bağlantıları (sunucusuz) Proto Recv-Q Gönderme-Q Yerel Adres Yabancı Adres Durumu tcp 0 0 org-ru-putty.vm.udf:www 182.131.74.202:59933 FIN_WAIT2 tcp 0 0 org- ru-putty.vm.udf:www 182.131.74.202:63761 FIN_WAIT2 tcp 0 0 org-ru-putty.vm.udf:www 92-181-66-102-irk.:4585 KURULDU ^C

7. Desteklenmeyen adres aileleri

Seçenek netstat --verbose ayrıntılı çıktı gösterecek ve en sonunda desteklenmeyen Adres Ailesi görüntülenecektir.

netstat: Bu sistemde "AF IPX" desteği yok. netstat: Bu sistemde "AF AX25" desteği yok. netstat: bu sistemde "AF X25" desteği yok. netstat: bu sistemde "AF NETROM" desteği yok.

8. Çekirdek Yönlendirme

Çekirdek yönlendirme tablosunu göster: netstat -r

# netstat -r Çekirdek IP yönlendirme tablosu Hedef Ağ Geçidi Genmask Bayraklar MSS Penceresi irtt Iface varsayılan 192.168.128.2 0.0.0.0 UG 0 0 0 eth0 192.168.128.0 * 255.255.255.0 U 0 0 0 eth0

Not: kullanın netstat -rn ana bilgisayar adlarını çözmeden rotayı dijital biçimde görüntülemek için.

9. Bağlantı Noktalarını ve Süreçleri Eşleştirme

Belirli bir programın hangi portu işgal ettiğini öğrenin:

# netstat -ap | grep ssh (Tüm işlemler tanımlanamadı, sahip olunmayan işlem bilgileri gösterilmeyecek, hepsini görmek için root olmanız gerekir.) tcp 0 0 *:ssh *:* LISTEN - tcp6 0 0 [::] :ssh[::]:* DİNLE -

Belirli bir bağlantı noktasını hangi işlemin kullandığını öğrenin:

# netstat -an | grep ":80"

10. Ağ arayüzleri

Ağ arayüzlerinin listesini göster: netstat -i

# netstat -i Çekirdek Arayüz tablosu Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg eth0 1500 0 1911037 0 0 0 1382056 0 0 0 BMRU lo 16436 0 0 0 0 0 0 0 0 0 LRU

Arayüzler hakkında genişletilmiş bilgileri göster (ifconfig'e benzer): netstat -ie

# netstat -ie Çekirdek Arayüzü tablosu eth0 Link encap:Ethernet HWaddr 00:0c:29:68:4c:a4 inet adresi:192.168.128.134 Bcast:192.168.128.255 Mask:255.255.255.0 inet6 adresi: fe80::20c:29ff: fe68:4ca4/64 Kapsam:Link UP YAYIN ÇALIŞIYOR ÇOKLU YAYIN MTU:1500 Metrik:1 RX paketleri:24278 hatalar:0 düştü:0 taşmaları:0 çerçeve:0 TX paketleri:11275 hatalar:0 düştü:0 taşmaları:0 taşıyıcı:0 çarpışmalar:0 txqueuelen:1000 RX bayt:33203025 (33.2 MB) TX bayt:665822 (665.8 KB) Kesinti:19 Temel adres:0x2000

11. netstat -lnptux

Yukarıdakileri özetleyelim ve anahtarları aşağıdakileri gösterecek olan kullanışlı bir komutta birleştirelim:

• -l tüm açık portlar (DİNLE)
• -t TCP üzerinden
• -u UDP protokolü üzerinden
• -x UNIX Soket protokolü üzerinden
• -n IP/adları çözmeden
• -p ancak işlem adları ve PID'ler ile

Not: Tüm işlemler son anahtarla tanımlanamaz, yabancı işlemler gösterilmeyecektir. Her şeyi görmek için root olmalısınız.

# netstat -lnptux Aktif İnternet bağlantıları (yalnızca sunucular) Proto Recv-Q Gönderme-Q Yerel Adres Yabancı Adres Durum PID/Program adı tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 9614/nginx tcp 0 0 0.0.0.0 :22 0.0.0.0:* LISTEN 601/sshd udp 0 0 8.8.4.4:123 0.0.0.0:* 574/ntpd udp 0 0 127.0.0.1:123 0.0.0.0:* 574/ntpd udp 0 0 0.0.0.0: 123 0.0.0.0:* 574/ntpd Etkin UNIX etki alanı yuvaları (yalnızca sunucular) Proto RefCnt Bayrakları Tür Durum I-Düğüm PID/Program adı Yol unix 2 [ ACC ] AKIŞ DİNLEME 4233 826/python /var/run/fail2ban/fail2ban. sock unix 2 [ ACC ] AKIŞ DİNLEME 8122 2561/mysqld /var/run/mysqld/mysqld.sock unix 2 [ ACC ] AKIŞ DİNLEME 160413 7301/php-fpm.conf /var/run/php5-fpm.sock

Ocak 2013, web sitesi

Lütfen JavaScript'i etkinleştirin

© 2009–2019, site - Site materyallerini kullanırken kaynağı belirtin.

ders kursu

"Bilgisayar sistemlerinde bilgi süreçlerinin korunması" disiplininde

Bölüm 1

1. Saldırganın izlediği hedefler

2. Yöntemler ve araçlar

2.1. ağ dinleme

2.2. Tarama

2.3. Paket Üretimi

2.4. Truva atları

2.5. İstismarlar

2.6. Otomatik şifre seçimi için programlar

3. Ağ saldırılarının sınıflandırılması

3.1. OSI model katmanına göre

3.2. Tip

3.3. Saldırganın konumuna ve saldırıya uğrayan nesneye göre

4. Sahtekarlık saldırıları

5. Yetkisiz veri alışverişi sağlayan saldırılar

5.1. tünel açma

5.2. Küçük Parça Saldırısı

6. Verilerin kesilmesini sağlayan saldırılar

6.1. Sahte ICMP Yönlendirme Mesajı

6.2. Yanlış DHCP mesajı

6.3. Yönlendirme protokollerine saldırı

7. Dağıtılmış hizmet reddi (DDoS) saldırıları

7.1. DDoS saldırılarının genel ilkeleri ve kavramları

7.2. TCP protokolüne dayalı DDoS saldırıları

7.3. UDP protokolüne dayalı DDoS saldırıları

7.4. ICMP protokolüne dayalı DDoS saldırıları

8. Uygulama katmanındaki saldırılar

8.1. Şifre saldırıları

8.2. SQL Enjeksiyonu

8.3. Siteler Arası Komut Dosyası Çalıştırma (XSS)

9. 802.11 kablosuz ağına özgü tehditler ve saldırılar

Bilgi güvenliğini sağlama sorununun alaka düzeyi ve önemi aşağıdaki faktörlerden kaynaklanmaktadır:

Küresel İnternetin hızlı gelişimi

Böyle bir küreselleşme, İnternet'in mevcut olduğu dünyanın hemen hemen her yerinden, binlerce kilometre uzaktaki davetsiz misafirlerin bir şirket ağına saldırı gerçekleştirmesine olanak tanır.

Kullanımı kolay bilgisayar korsanlığı programlarının dağıtımı

Kullanımı kolay kötü amaçlı programların ve bunların kullanımına yönelik önerilerin yaygınlaşması, bir saldırganın başarılı bir saldırı gerçekleştirmesi için ihtiyaç duyduğu bilgi ve beceri düzeyinde keskin bir düşüşe yol açmıştır.

Firmaların neredeyse tüm iş süreçlerinin otomasyonu

Bilgisayarlar ve diğer otomasyon araçları kullanılarak depolanan ve işlenen bilgi miktarındaki önemli artış, veri kaybı, bozulma ve ifşa olasılığı ile ilişkili tehditlerin ortaya çıkmasına katkıda bulunmuştur. Uzmanlara göre, şu anda şirketin entelektüel sermayesinin yaklaşık %70-90'ı dijital biçimde saklanıyor.

Yazılım ve ağ platformlarında çok sayıda güvenlik açığı

Rekabet nedeniyle, modern yazılım ürünleri hata ve eksikliklerle satılmaktadır. Bu sistemlerde kalan hata ve kusurlar, bilgi güvenliğinin kazara ve kasıtlı ihlallerine yol açmaktadır.

Şirkette bilgi güvenliği konularının ihmal edilmesi.

Bilgi güvenliği ve ticari sırların korunması alanında çalışanlara bilgi desteğinin olmaması.

· Kablosuz ağ teknolojilerinin kurumsal ortamda artan popülaritesi. Bunun nedeni, dağıtım kolaylığı (kablo döşemeye gerek yoktur), ekipmanın göreceli ucuzluğu, ağı genişletmek gerektiğinde önemli ölçüde daha düşük bir maliyet (kablolu bir muadili ile karşılaştırıldığında, kapsaması yeterlidir) erişim noktaları ile gerekli alan) ve ayrıca kullanıcılar için hareketlilik ve genişlemede esneklik.

Saldırganın takip ettiği hedefler

- bilgi çalmak(örnek - kullanıcı adı ve şifre hırsızlığı; ticari sır niteliğindeki bilgilerin çalınması)

- bilgilerin değiştirilmesi(örnek - banka veritabanındaki hesabın durumuyla ilgili bilgilerin değiştirilmesi)

- bir bilgi kaynağının mevcudiyetinin ihlali(bu durumda saldırgan bilgiyle ilgilenmez, amacı sunucunun çalışmasını diğer kullanıcıların hizmetlerini kullanamayacak kadar zorlaştırmak veya imkansız hale getirmektir).

Yöntemler ve araçlar

Ağ dinleme (sniffing)

Yerel ağlardaki trafiği dinlemek, özel programlar - sniffers (sniffers) yardımıyla gerçekleştirilir. Bu program, bilgisayarın ağ arayüzüne ulaşan paketleri yakalar ve bunları analiz etmenize olanak tanır.

Bazı ağ uygulamalarının verileri bir sniffer kullanarak metin biçiminde (HTTP, FTP, SMTP, POP3, vb.) iletmesi nedeniyle, yararlı ve bazen gizli bilgileri (örneğin kullanıcı adları ve şifreler) öğrenebilirsiniz. Adların ve parolaların ele geçirilmesi büyük bir tehlike oluşturur, çünkü kullanıcılar çoğu zaman birçok kaynak ve uygulama için aynı oturum açma ve parolayı kullanır.

Network Chemistry Packetyzer sniffer arayüzü

Yerel bir ağdaki trafiği dinleme süreci, topolojisine ve içinde kullanılan ekipmana bağlıdır.

Yerel alan ağları eskiden anahtarsızdı. Ağdaki bilgisayarlar arasındaki veri alışverişi, gönderici ve alıcıdan bağımsız olarak aynı bilgi kanalı üzerinden veya kabaca aynı kablo üzerinden gerçekleşti. Bu ağlar, "Ortak veri yolu" topolojisine (şu anda eskimiş) sahip Ethernet ağlarını, bir hub veya yoğunlaştırıcıya (şu anda nadiren kullanılmaktadır) dayalı "Yıldız" topolojisine sahip Ethernet ağlarını, Wi-Fi kablosuz ağları içerir.

"Ortak veri yolu" topolojisine sahip Ethernet

Bir hub (yoğunlaştırıcı) tabanlı yıldız topolojisine sahip Ethernet

Kablosuz Wi-Fi ağı

Anahtarsız ağlarda, her bilgisayar ağ üzerinden gönderilen tüm paketleri alır. Paketi aldıktan sonra, ağ kartı sürücüsü paket başlığını analiz eder, buradan alıcının MAC adresini çıkarır ve bunu ağ kartının MAC adresiyle karşılaştırır. Adresler eşleşirse, paket daha sonraki işlemler için işletim sistemine iletilir. Adresler eşleşmezse paket bırakılır.

Böyle bir şema ile bir saldırganın ağdaki tüm trafiği dinlemesinin zor olmadığı açıktır. Bunu yapmak için, ağ kartını özel bir moda aktarmanız gerekir - sözde karışık (“okunmaz”). "Karmaşık" moddaki ağ kartı, hedef adreslerinden bağımsız olarak tüm paketleri alır ve analiz için onları sniffer programına iletir. (Çoğu durumda, sniffer başlatıldıktan sonra karışık mod otomatik olarak etkinleştirilir).

Ancak günümüzde çoğu Ethernet ağı bir anahtara dayanmaktadır.

Anahtara (anahtar) dayalı yıldız topolojisine sahip Ethernet

Anahtar, düğümlerin MAC adresleri ile bu düğümlerin bağlı olduğu bağlantı noktaları arasında bir yazışma tablosuna sahiptir. Paketler artık paketin hedefine atanan belirli bağlantı noktasına yönlendirilir. Buna göre, bir saldırgan yalnızca kendisine gönderilen paketleri görebilir veya yayınlayabilir.

Ancak, bir saldırganın bu kısıtlamayı aşmasının ve kendisine yönelik olmayan trafiği dinlemesinin yolları vardır. Bu yöntemlerden biri de ARP spoofing saldırısıdır (saldırının diğer adı ARP zehirlenmesi yani zehirlemedir). ARP sızdırma saldırısı türü ortadaki adam(ortadaki adam).

Bir paket oluşturup ağa göndermek için bilgisayarın paketin alıcısının IP ve MAC adreslerini bilmesi gerekir. IP adresi, kural olarak, gönderen tarafından önceden bilinir (veya DNS sunucusunu kullanarak IP adresini almanın kolay olduğu alıcının alan adı bilinir). ARP (Adres Çözümleme Protokolü), bilinen bir IP'den bir MAC adresi aramak için kullanılır. Şu şekilde çalışır:

Bir bilgisayarın belirli bir IP adresine paket göndermesi gerektiğinde, öncelikle aradığı IP-MAC eşleşmesi için ARP önbelleğini inceler. (Komut isteminde arp -a komutunu çalıştırarak bilgisayarınızın ARP önbelleğinin içeriğini görüntüleyebilirsiniz.) Varsa, alınan MAC adresi giden paketin başlığına eklenir ve paket ağa gönderilir.

Aksi takdirde, ağa özel bir yayın ARP talebi ("192.168.0.1 kimde var?") gönderilir. İstekte IP adresini tanıyan herhangi bir bilgisayar, göndericisine cevap vermeli ve MAC adresini göndermelidir. İstekte bulunanın ARP önbelleğine yerleştirilir ve daha fazla ağ paketi göndermek için kullanılır.

Saldırgan, bir ağdaki iki bilgisayar arasındaki trafiği kesmek için ARP protokolünü kullanabilir.

ARP sızdırma saldırı şeması

X saldırganının A'dan B'ye giden trafiği görmek istediğini ve bunun tersini varsayalım. Bunu yapmak için A bilgisayarına gönderir. yanlış ARP yanıtı, B bilgisayarının IP adresini ve ona karşılık gelen X saldırganının MAC adresini içerir.B'ye benzer bir ARP yanıtı gönderilir: X saldırganının MAC adresini A bilgisayarının IP adresiyle eşleştirir. Böylece A ve B, gelen verilerin güvenilirliğini kontrol edemez ve bunları hemen ARP önbelleklerine giremez. Böylece, gider ARP önbellek zehirlenmesi A ve B düğümleri, bunlara yanlış, yanlış veriler girerek. Aynı zamanda, bir kez yanlış bir ARP paketi gönderdikten ve başka bir bilgisayarın ARP önbelleğini değiştirdikten sonra, herhangi bir işletim sistemi ARP önbelleğini düzenli aralıklarla sürekli olarak güncellediğinden, bu prosedürü periyodik olarak tekrar tekrar yapmanız gerekir. Bunu her 20-40 saniyede bir yapmak yeterlidir.

Şimdi A bilgisayarı, B'ye veri göndermek üzere, onu X'e gönderecektir (çünkü anahtar aslında veriyi hedef MAC adresine iletir). Saldırgan X verileri alır, görüntüler ve tespit edilmemesi için doğru alıcı B'ye iletir. Benzer bir durum ters yönde de meydana gelir: B'den A'ya iletilen trafik de bir saldırgan tarafından incelenebilir. Saldırgan için özel bir avantaj (ve buna bağlı olarak özel bir tehlike), saldırıya uğrayan bilgisayarlardan birinin ağ geçidi olması, yani. yerel ağı İnternete bağlamaya yarar. Daha sonra saldırgan, İnternet kaynaklarına (web siteleri, ICQ, e-posta) ve İnternet'e iletilen diğer gizli bilgilere erişmek için kullanıcı adlarına ve şifrelere erişebilir.

Böylece, anahtarlanmış bir altyapı, koklama tehdidini ortadan kaldırmaz. Ancak keskinliğini önemli ölçüde azaltır.

ARP sızdırma koruma yöntemleri

ARP önbelleğindeki statik girişleri kullanma. Bunu yapmak için, bilgisayarın ARP önbelleğine IP ve bunlara karşılık gelen MAC adresleri ile ilgili girdileri manuel olarak girmelisiniz. Bu durumda, saldırganın sahte ARP yanıtı kabul edilmeyecek ve önbellek zehirlenmesi oluşmayacaktır.

ARP önbellek girişleri - statik ve dinamik

Ancak, bu yöntemin karmaşıklığı nedeniyle büyük ağlarda uygulanması zordur. Ayrıca, IP adreslerinin dağıtımının bir DHCP sunucusu kullanılarak otomatik olarak gerçekleştirilmesi durumunda statik girişlerin kullanılması mümkün olmayacaktır.

Akıllı anahtarların kullanımı.

Birçok modern anahtar modelinde ARP sahtekarlığına karşı yerleşik bir koruma bulunur (anahtardaki ARP trafiğini analiz ederek ve yanlış ARP isteklerini engelleyerek gerçekleştirilir)

Saldırıları tespit etmek ve engellemek için özel güvenlik duvarı modülleri kullanma

Bazı güvenlik duvarları, şüpheli ağ etkinliğini tespit etmenize ve engellemenize ve ayrıca kullanıcıyı bu konuda bilgilendirmenize izin veren özel bir modül içerir (örneğin, Outpost'ta "İzinsiz Giriş Dedektörü" olarak adlandırılır).

Trafik şifreleme

Bu yöntem, müdahaleyi engellemez, ancak onu işe yaramaz hale getirir. İletişim kanalı kriptografik olarak güvenliyse, bu, bilgisayar korsanının mesajı değil, şifreli metni (yani, anlaşılmaz bir bit dizisi) ele geçirdiği anlamına gelir. Ancak, büyük miktarda veri üzerinde kriptografik dönüşümler gerçekleştirmenin bilgisayarınızı önemli ölçüde yavaşlatabileceğini bilmelisiniz.

Ağdaki trafiği dinlemenin başka bir yolu var. Bildiğiniz gibi, çalışması için anahtar dinamik olarak bir MAC-adres-port eşleme tablosu oluşturur. MAC adresi bu tabloda olmayan anahtardan bir paket geçerse, anahtar otomatik olarak bilinmeyen MAC adresine karşılık gelen yeni bir giriş ekler.

Saldırı, çeşitli sahte MAC adresleri ile anahtar aracılığıyla çok sayıda paket göndermekten oluşur. Bu durumda switch tablosu taşacak ve “hub” çalışma moduna geçecektir. Buna göre, saldırgan ağdaki tüm trafiği görüntüleyebilecektir.

Kablosuz ağ doğası gereği açık ve herkese açık olduğundan, kablosuz ağları dinleme sorunu özellikle son zamanlarda alakalıdır. Wi-Fi ağlarında kablosuz trafiğin izinsiz olarak dinlenmesini önlemek için özel şifreleme protokolleri kullanılır (bugün en yaygın olanları WPA ve WPA2'dir).

Tarama

Ağ taraması, ağa bağlı bilgisayarları tanımlamayı ve üzerlerinde çalışan ağ hizmetlerini belirlemeyi amaçlar (açık TCP veya UDP bağlantı noktaları). İlk görev, ping programı kullanılarak ICMP Echo mesajları gönderilerek, ağdaki ana bilgisayarların adreslerine sırayla ping atılarak gerçekleştirilir.

Bir ağ yöneticisi, ağ trafiğini analiz ederek ve kısa bir süre içinde tüm ağ adreslerine sırayla gönderilen Echo mesajlarını izleyerek tarama girişimlerini algılayabilir. Daha fazla gizlilik için, bir saldırgan işlemi zaman içinde önemli ölçüde uzatabilir ("yavaş tarama") - aynısı TCP / UDP bağlantı noktalarını taramak için de geçerlidir.

Keşfedilen bilgisayarlarda hangi UDP veya TCP uygulamalarının (ve işletim sistemi sistem hizmetlerinin) çalıştığını belirlemek için, tarayıcı programları. Tüm büyük İnternet servislerinin port numaraları standartlaştırıldığı için, örneğin 25/TCP portunun açık olduğunu belirleyerek, bu ana bilgisayarın bir e-posta sunucusu olduğu sonucuna varabiliriz; bağlantı noktası 80/TCP - Web sunucusu, vb. Saldırgan, saldırıyı daha fazla dağıtmak için alınan bilgileri kullanabilir.

Bir ana bilgisayarın TCP bağlantı noktalarını taramak birkaç yolla yapılır. En basit yol Test edilen bağlantı noktasına tam bir TCP bağlantısı kurma. Bağlantı başarılı olursa, bağlantı noktası açılır ve sunucu uygulaması buna bağlanır. Bu yöntemin avantajı, özel yazılım olmadan tarama yapabilme yeteneğidir: standart telnet programı, bağlantı kurmak için isteğe bağlı bir bağlantı noktası numarası belirlemenize olanak tanır. Önemli bir dezavantaj, bu tür taramaları izleme ve kaydetme yeteneğidir: taranan ana bilgisayarın sistem günlüğü analiz edilirken, güvenlik önlemlerinin alınabileceği bir sonucu olarak çok sayıda açık ve hemen sonlandırılan bağlantı bulunacaktır. Ek olarak, telnet yardımcı programını kullanmanız durumunda, saldırganın ilgilendiği tüm bağlantı noktalarını manuel olarak sıralamanız gerekecektir.

Yarı açık tarama açıklanan dezavantajlara sahip değildir. Çoğu modern tarayıcı bu şekilde çalışır. Tarayıcı, taranan bağlantı noktasına bir SYN segmenti gönderir ve bir yanıt bekler. SYN ve ACK bitleri ile bir yanıt segmentinin alınması, bağlantı noktasının açık olduğunu gösterir; RST biti ile bir segmentin alınması, portun kapalı olduğunu gösterir. Bir SYN+ACK aldıktan sonra, tarayıcı algılanan bağlantı noktasına RST biti ile hemen bir segment gönderir, böylece bağlantı girişimini ortadan kaldırır. Bağlantı hiç açılmadığından (tarayıcıdan ACK alınmadı), böyle bir taramayı kaydetmek çok daha zordur.

Üçüncü yol - FIN segmentleri ile tarama. Bu durumda, taranan porta FIN bit seti ile bir segment gönderilir. FIN segmenti kapalı bir bağlantı noktasına adreslenmişse, ana bilgisayar bir RST segmenti ile yanıt vermelidir ZORUNLU. LISTEN durumundaki bir bağlantı noktasına yönlendirilen FIN kesimleri, birçok TCP/IP uygulaması tarafından yoksayılır. Bu nedenle, bir yanıtın olmaması, bağlantı noktasının açık olduğunu gösterir. Bu tarama yönteminin varyantları, FIN, PSH, URG işaretli veya hiç işaretsiz ("Boş tarama") segmentler göndermektir.

Elbette, SYN'lerle tarama yapmak daha güvenilirdir, ancak neyse ki birçok güvenlik duvarı, İnternet'ten ACK bayrağı olmayan SYN'lerin dahili ağa geçmesini engelleyebilir (örneğin, İnternet ana bilgisayarlarından İnternet'ten başlatılan dahili ana bilgisayarlara bağlantıları reddederler, ancak izin verirler. içeriden başlatılan bağlantılar). Bu durumda, saldırganın FIN-segment taramasını kullanmaktan başka seçeneği yoktur.

Açık UDP bağlantı noktalarını belirlemek için bir saldırgan, test edilen bağlantı noktasına bir UDP mesajı gönderebilir. Yanıt olarak bir ICMP mesajının alınması, Bağlantı Noktasına Ulaşılamıyor, bağlantı noktasının kapalı olduğunu gösterir.

Tarayıcı programı, taranan ana bilgisayarın işletim sistemini, ana bilgisayarın özel olarak oluşturulmuş, standart olmayan paketlere nasıl yanıt verdiğine göre de belirleyebilir: örneğin, anlamsız bayrak kombinasyonlarına sahip TCP segmentleri veya bazı türlerdeki ICMP mesajları ve diğer işaretler.

Modern tarayıcı programları, yalnızca açık uygulama bağlantı noktalarını algılamaya değil, aynı zamanda bu uygulamalarda bulunan güvenlik açıklarının listesini belirlemeye ve bunların nasıl ortadan kaldırılacağına dair önerilerde bulunmaya da izin verir. Tarayıcının, uygulamaların yeni sürümlerinde güvenlik açıklarını bulabilmesi için, tarayıcının veritabanının sürekli olarak güncellenmesi gerekir (bir antivirüs programının veritabanına benzer şekilde).

Böylece, tarayıcı programı sadece bir saldırgan tarafından değil, aynı zamanda yöneticinin kendisi tarafından güvenlik açıklarını bulmak ve ortadan kaldırmak için kullanılabilir. Ayrıca yönetici, açık bağlantı noktaları listesini düzenli olarak gözden geçirmelidir: yönetici tarafından bilinmeyen açık bir bağlantı noktasının varlığı, sistemde bir Truva atı programının varlığını gösterebilir.

Açık bağlantı noktalarının listesini içeren Xspider tarayıcı raporu

Xspider tarayıcı raporu: Bulunan güvenlik açığı ve giderilmesi için öneriler

Netstat komut satırı yardımcı programını kullanarak yerel makinedeki açık portları ve bu portları kullanan uygulamaları da belirleyebilirsiniz.

Paket Üretimi

İnternette, belirli bir format ve içeriğe sahip paketler oluşturmak için hazır programlar bulabilirsiniz. Bu tür programların kullanımı genellikle saldırganın bir programcı olmasını veya ağ işletimi ilkelerini anlamasını gerektirmez; bu da saldırıların çoğunu, özellikle de hizmet reddi saldırılarını yaygın olarak yürütülebilir hale getirir.

2.4. Truva atları

Bilgi çalmak veya uzaktaki bir bilgisayarı kontrol etmek için tasarlanmıştır.

Truva atları, virüslü bir bilgisayarda gerçekleştirdikleri eylemlerde birbirinden farklıdır. Aşağıdakiler, Kaspersky Lab'e göre Truva Atlarının bir sınıflandırmasıdır.