Защита от хакеров корпоративных сетей - страница 56

Шрифт
Интервал

Рис. 3.4. Разглашение информации о версии HTTP-сервера


Анализ протоколов

Обзор путей утечки информации будет неполным, если не сказать об анализе протоколов (protocol analysis). Существуют различные варианты анализа протоколов. В одном из вариантов используются ограничения, предусмотренные при разработке протоколов якобы для предотвращения выдачи избыточной информации о системе. Посмотрите на этот FTP-запрос system type:


>elliptic@ellipse:~$ telnet parabola.cipherpunks.com 21

>Trying 192.168.1.2...

>Connected to parabola.cipherpunks.com.

>Escape character is “^]”.

>220 parabola FTP server (Version: 9.2.1-4) ready.

>SYST

>215 UNIX Type: L8 Version: SUNOS


В HTTP – аналогичная проблема. Посмотрите, как выбалтывается информация о системе в заголовке HTTP посредством команды HEAD:


>elliptic@ellipse:~$ telnet www.cipherpunks.com 80

>Trying 192.168.1.2...

>Connected to www.cipherpunks.com.

>Escape character is “^]”.

>HEAD / HTTP/1.0


>HTTP/1.1 200 OK

>Date: Wed, 05 Dec 2001 11:25:13 GMT

>Server: Apache/1.3.22 (Unix)

>Last-Modified: Wed, 28 Nov 2001 22:03:44 GMT

>ETag: “30438-44f-3c055f40”

>Accept-Ranges: bytes

>Content-Length: 1103

>Connection: close

>Content-Type: text/html


>Connection closed by foreign host.


Кроме этих вариантов, злоумышленники при анализе протоколов используют и другие. Один из них – анализ ответов в IP-протоколе. Атака основана на уже упомянутой идее, но реализуется на более низком уровне. Автоматизированный инструментарий типа Network Mapper или Nmap предоставляет удобные средства для сбора информации о системе, на которую готовится нападение, включая общедоступные порты системы и установленную на ней операционную систему. Посмотрите на результаты сканирования Nmap:


>elliptic@ellipse:~$ nmap -sS -O parabola.cipherpunks.com


>Starting nmap V. 2.54BETA22 (www.insecure.org/nmap/)

>Interesting ports on parabola.cipherpunks.com (192.168.1.2):

>(The 1533 ports scanned but not shown below are in state:

>closed)


>Port State Service

>21/tcp open ftp

>22/tcp open ssh

>25/tcp open smtp

>53/tcp open domain

>80/tcp open http


>Remote operating system guess: Solaris 2.6 – 2.7

>Uptime 5.873 days (since Thu Nov 29 08:03:04 2001)


>Nmap run completed – 1 IP address (1 host up) scanned in 67 seconds


Во-первых, давайте выясним смысл флажков, использованных для сканирования системы parabola. Флаг

Следующая страница