Hálózati counterspionage egyaránt érzékeli pásztázó egység és kikötők
„Smart” villanyóra az NB-tárgyak internete technológiák
Huawei bejelentette a világ első „intelligens” méter technológián alapuló keskenysávú Internet of Things, együttműködve dolgozták JANZ CE ...
AccuSine aktív szűrők Schneider Electric
Schneider Electric bejelentette, a kibocsátás a magyar piacon AccuSine aktív szűrő sorozat használt minőségének javítása ...
Mi az előnye az összes flash tömbök?
Úgy véljük, hogy a teljesítmény mérése tárolási hangsúlyt input-output műveletek (IOPS): több, mint őket, annál nagyobb ...
SDN - nem csak egy evolúciós lépés a tárolási
Tavaly számos gyártó bejelentette a tároló szoftver meghatározott platformok (SDN). Ez nem csak egy evolúciós lépés, és újabb ...
Ennek szükséges feltétele a győzelem a szerver szegmensben az SMB - széles termékpalettával
szerverek piacán a kis-és közepes vállalkozások van osztva több keskeny rések sajátos elvárásait a teljesítmény, a funkcionalitás és a ...
Alexei Lukatsky,
Műszaki igazgatóhelyettes a Tudományos és Műszaki Központ „INFOSEC”
[email protected]
Ha meg szeretné vásárolni a magazin „BYTE / Magyarország”, az első dolog, amit teszel -, hogy keres egy üzletben, trafikban vagy egy tálcát, amely értékesíti ebben a kiadásban. Ahhoz, hogy ez tudományosan, akkor végezze el az azonosítási eljárás (keresés) cél (üzlet), amely lehetővé teszi, hogy megoldja a problémát (log beszerzés). Továbbá, informatikai rendszerek elleni támadásokat: az első dolog, ami a behatoló - úgy dönt, egy áldozat, és összegyűjti részletes információt róla. Ez a szakasz az úgynevezett információgyűjtés (gyűjtés). Ez a hatékonysága a támadó ebben a szakaszban - a legfontosabb, hogy a sikeres támadás. Az első cél a támadás választjuk, és információkat gyűjt rajta (OS, szolgáltatás, konfiguráció, stb.) Ezután azonosították a legsérülékenyebb pontjait a megcélzott rendszer, amelynek hatása vezethet a kívánt eredményt.
Az első szakaszban a behatoló megpróbálja azonosítani az összes csatornát, amelyen keresztül a támadási célként együttműködik más csomópontokat. Ez nem csak kiválasztani a típusú támadás, hanem a forrása annak végrehajtását. Például a támadott egység kommunikál a két szerver fut UNIX és Windows NT. Egy csomópont rendelkezik a Victim megbízható kapcsolatot, és a másik - nem. Ettől, amelyen keresztül szerver fog támadni ez attól függ, ami támadás fogja használni, amit a közüzemi végrehajtja, stb Ezután, attól függően, a kapott információk és a kívánt eredmény kiválasztott támadás, amely így a legnagyobb hatást. Például egy SYN Flood, könnycsepp, UDP bomba stb megsértése csomópont működését és behatolni a gazda és ellopják információk - PHF-script fájlt ellopni a jelszavakat, távoli kiválasztása a jelszó, stb Csak miután összegyűjtése több információt a sértett jön a második rész - a végrehajtás a kiválasztott támadást.
A folyamat az információgyűjtés a következő lépéseket tartalmazza:- tanulási környezet az áldozat és a hálózati topológia;
- típusának meghatározása és változata az operációs rendszer, a támadott oldalon, a hálózaton elérhető és egyéb szolgáltatások, stb
Ebben a cikkben fogok összpontosítani csak három műveleteket, hogy a támadó végrehajtja az első. Ez az azonosítás a megtámadták oldalak, a hálózati szolgáltatások és operációs rendszerek.
egységek azonosítására
Az azonosításhoz a csomópont (host érzékelés), általában a ping segédprogram (vagy hasonló program) elküldte ECHO_REQUEST ICMP protokoll parancs. ECHO_REPLY válasz üzenet jelzi, hogy a helyszínen rendelkezésre áll. Ez a legegyszerűbb és leggyakrabban használt módszer azonosítási egység, amelyet az összes (nem csak kezdőknek) támadók. Vannak olyan programok, mint a fping vagy nmap, amely automatizálja és felgyorsítja az azonosítási folyamat párhuzamos nagyszámú csomópont. Ez a módszer azért veszélyes, mert a normál egység ECHO_REQUEST kéréseket elemmel. Ehhez az szükséges, hogy alkalmazza a forgalom elemzése azt jelenti, tűzfalak és behatolásjelző rendszerek.
Észlelése szkennelési csomópontok (fragmens tcpdump log)
Hagyományos szkennerek oldalakat az interneten elérhető, ami a megjelenése éppen egy ilyen rendezvénysorozat, mivel következetesen ellenőrizni minden csomópont tevékenység a cél hálózat. Bonyolultabb szkennerek (például Nmap) módosítják a szabványos sorozata csomópontok és lekérdezési lehet véletlenszerűen választja ki őket előre megadott listából.
Észlelése szkennelési csomópontok (fragmens tcpdump log)
Egy másik kiviteli alakban a letapogató egység bonyolítja a felismerés, - növekedése az időintervallumot, amely alatt a szkennelés. Általában csomópontok szkennerek által küldött lekérdezések 5-10 port másodpercenként. Azonban, ha az idő értékét az alapértelmezett változás, sok a tűzfalak hagyja ki ezt a fajta tevékenység.
Észlelése szkennelési csomópontok (fragmens tcpdump log)
Akkor nem egyszerű - nem érzékeli ezeket az intézkedéseket, és hogy megtiltotta nekik, akárcsak számos hálózati eszközöket és programokat, amelyek blokkolják az ICMP-csomagokat, és nem adja át őket, hogy a belső hálózat (vagy fordítva, ne hagyja ki). Például, az MS Proxy Server 2.0 nem teszi lehetővé a folyosón a csomagokat keresztül ICMP. Ennek eredményeként, a támadó nem tudja hatékonyan azonosítani csomópontok telepített proxyszerver (proxy). Másrészt, az ICMP-csomag-Lock mondja a támadó egy „első védelmi vonalat” - routerek, tűzfalak, stb
Vannak más módszerek azonosítása hálózati csomópontok, például a használata „vegyes” (kuszált) módban a hálózati kártya, amely lehetővé teszi, hogy azonosítsa a különböző csomópontok a hálózati szegmensben, vagy a DNS-intelligencia, amely lehetővé teszi számunkra, hogy azonosítsuk a vállalati hálózati csomópontok a szolgáltatás nevét. De a figyelmet e technikák és eljárások azok felderítése túlmutat ezt a cikket.
Azonosítása szolgáltatás vagy port scan
Azonosítása szolgáltatás (service felderítése), rendszerint végzi kimutatjuk a nyitott portok (port scanning). Ezek a portok gyakran társulnak szolgáltatások alapján a TCP vagy UDP protokollokat. Például egy nyitott port 80 azt jelenti, hogy létezik a Web-szerver port 25 - az SMTP levelező szerver 31.337 th - szerver trójai Backorifice, 12345 vagy 12346-én - szerver trójai NetBus stb Azonosítani a szolgáltatás és a port scan használhatja a különböző programok, mint például nmap vagy netcatet.
Ha kiválasztja a cél a támadás, a támadó határozza meg a futó neki szolgáltatások és a nyitott portok, amely azonosítja a potenciális biztonsági rések a kiszolgáló gépen, és szűkíti a számos lehetséges támadások ellen. Portok vizsgálatához használt különböző programok, különböző mechanizmus végrehajtását. A legtöbb egyszerű programok (pl Haktek) csak próbál létrehozni egy normális kapcsolatot a port, kezdve az első, és befejezve egy a felhasználó által megadott.
Port szkennelni Haktek programot (fragment
Tcpdump Journal)
Port scan (ST) használatával Nmap segédprogram (fragmens
Tcpdump Journal)
FIN-port scan alkalmazásával Nmap segédprogram (fragmens
Snort napló)
- SYN + FIN - Két egymást kizáró zászló (beállítja az első vegyületet és a második befejezi), így nem találkoznak. Ez a kombináció gyakran használják a különböző szkennerek, mint például a már említett Nmap. Sok biztonsági rendszerek egy évvel ezelőtt nem lehetett észlelni az ilyen típusú vizsgálat. Most a helyzet megváltozott a jobb, sok ilyen rendszerek monitor kombinációja zászlókat. De még egy zászlót a kombináció (például SYN + FIN + PSH, SYN + FIN + RST, SYN + FIN + RST + PSH) ismét vezet az a tény, hogy bizonyos hálózati biztonsági eszköz nem érzékeli, így a jogosulatlan kísérletek. Az elemzők hívják ezeket a kombinációkat "Pattern Christmas Tree" ( "karácsonyfa minta").
"Pattern Christmas Tree" (Snortot log részlet)
Gyanús kombinációi zászlók TCP-csomag fejlécében (tcpdump magazin részlet)
Decoy-port scan alkalmazásával Nmap segédprogram (fragmens
Tcpdump Journal)
Azonosítása OS
Típusának ismerete OS tovább szűkíti a potenciális támadások számát, amely megvalósítható szemben a kiválasztott áldozat. A fő mechanizmusa operációs rendszerek távoli (OS észlelés) - elemzése a TCP / IP-verem. Minden operációs rendszer saját stack megvalósított TCP / IP protokoll, amely lehetővé teszi, hogy a különleges kéréseket és a válaszokat, hogy melyik operációs rendszer van telepítve a gépen.
Más, kevésbé hatékony, és nagyon korlátozott módon azonosítani az operációs rendszer - elemzés hálózati szolgáltatások megtalálhatók az előző lépésben. Például, nyissa meg a 139. portot arra enged következtetni, hogy a távoli gépen fut a Windows. Annak megállapításához, az operációs rendszer, akkor használja programokat, mint például az Nmap és Queso.
Távoli OS detektálását Queso segédprogram
Kimutatása klorid Trinergy
Ez az első alkalom Magyarországon, a cég klorid Rus végzett demonstrációs szünetmentes áramellátó rendszerek klorid Trinergy®, valamint UPS-klorid 80-NET ™, NXC és NX partnereinek és ügyfeleinek.
MFP Panasonic DP-MB545RU a képes nyomtatni A3-as formátumú
Szeretnénk javítani a hatékonyságot az irodában? Segít az új MFP #Panasonic DP-MB545RU. A berendezés biztosítja
Adaptec által PMC
RAID-vezérlő Adaptec Series 5Z a saját meghajtású cache védelem
Hozzáértés hálózati rendszergazdák tudják, hogy a részvétel a munka a RAID-vezérlő cache jelentős teljesítményjavulást szolgáltatás ...
klorid
Háromfázisú UPS klorid 200-1200 kW-ig: Trinergy
Trinergy - egy új megoldás a UPS piacon első alkalommal egy dinamikus üzemmódban, a skálázhatóság legfeljebb 9,6 MW és hatékonysága akár 99%. Az egyedülálló kombinációja ...