Если у вас возникли сложности с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой - мы готовы помочь.
Предоплата всего
Подписываем
PAGE \* MERGEFORMAT 3
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ
ФЕДЕРАЛЬНОЕ ГОСУДАРСТВЕННОЕ БЮДЖЕТНОЕ ОБРАЗОВАТЕЛЬНОЕ УЧРЕЖДЕНИЕ ВЫСШЕГО ПРОФЕССИОНАЛЬНОГО ОБРАЗОВАНИЯ
«Санкт-Петербургский НАЦИОНАЛЬНЫЙ ИССЛЕДОВАТЕЛЬСКИЙ университет информационных технологий, механики и оптики»
Кафедра БИТ
Корпоративные компьютерные сети
Лабораторная работа: Метод сканирования удаленного хоста IDLESCAN
Методические указания
Санкт-Петербург
2012
Содержание:
|
[1] Техника IdleScan [2] Преимущества IdleScan [3] Использование IdleScan [4] Проблемы IdleScan
[5] [5.1] Цель работы [5.2] Описание работы [5.3] Отчет по лабораторной работе [5.4] Варианты индивидуальных заданий |
Введение
IdleScan (или "сканирование вхолостую"), позволяет произвести абсолютно невидимое сканирование портов. Атакующий может просканировать цель, не посылая при этом ей (цели) пакетов от своего IP-адреса. Вместо этого используется метод, позволяющий просканировать жертву через так называемый хост-"зомби". Системы обнаружения атак (IDS - Intrusion Detection Systems) сообщат, что "зомби" и есть злоумышленник. Кроме абсолютной невидимости, этот тип сканирования позволяет определить политику доверия между машинами на уровне протокола IP.
Несмотря на то, что метод IdleScan более совершенен, чем остальные методы сканирования, не требуется обширных знаний по протоколам TCP/IP для того, чтобы понять его суть. Необходимо знать лишь четыре основных факта:
Комбинируя эти особенности, возможно просканировать сеть, и при этом сделать так, что процесс сканирования будет выглядеть, как будто его выполняет хост-"зомби". Технику сканирования проще описать при помощи диаграммы. На рисунке рис.1 внизу атакующий А сканирует цель и одновременно "подставляет" зомби Z (пакеты отправляются с IP-адресом "Зомби"). Прямоугольники - это машины, стрелки - направление передачи пакетов:
Рис1. Схема Idlescan
Как показано выше, целевой хост по-разному отвечает на запросы "зомби", в зависимости от состояния портов. Если тестируемый порт открыт, "жертва" отсылает "зомби" SYN|ACK. "Зомби" не понимает одиночного SYN|ACK и отсылает "жертве" RST, что приводит к увеличению счетчика IPID на 1. Если "жертва" отсылает "зомби" RST, последний благополучноего игнорирует, и счетчик IPID не увеличивается. Атакующий проверяет на шаге 3 состояние счетчика IPID: если он увеличился на 2 (пакет RST и проверочный пакет) - порт открыт. Если на 1 - порт закрыт. Процесс успешно завершен.
Техника IdleScan предоставляет атакующему массу преимуществ по сравнению с классическими медодами сканирования, такими, как SYN или FIN-сканирование.
Ниже мы рассмотрим причины, по которым злоумышленники могут воспользоваться этим методом:
Первоначально необходимо найти подходящий хост-"зомби". Хост не должен генерировать большой трафик (отсюда и название - сканирование "вхолостую") и должен иметь предсказываемые значения IPID. Принтеры, ОС Windows, старые Linux-хосты, FreeBSD и MacOS обычно превосходно работают. Последние версии Linux, Solaris и OpenBSD имунны как зомби, однако любой хост может использоваться в качестве жертвы. Один из методов определить уязвимость хоста - это запустить Nmap с параметрами IdleScan. Nmap сам проверит хост-"зомби" и сообщит о его пригодности.
Выполнить эту операцию очень просто. Необходимо лишь указать имя "зомби" после опции -sI - и Nmap сделает все остальное. Вот пример:
# nmap -P0 -p- -sI зомби_хост атакуемый_хост
Опция -P0 указывает Nmap не посылать PING-запроса машине атакуемый_хост. Это замедляет процесс сканирования, но ни один пакет с реальным IP-адресом атакующего не проходит на атакуемую машину. Сканирование проходит очень долго, поскольку опрашиваются все 65535 портов. Попустите опцию -p-, чтобы сканировать только первые 1024 порта и остальные известные.
Быстродействие. Последовательное сканирование портов (как показано на диаграмме) - крайне медленный процесс для тысяч портов. В Nmap отсылается параллельно до 100 тестов. Обычно все порты "жертвы" закрыты и IPID "зомби" не увеличивается. Если Nmap обнаружил, что IPID увеличился, он незамедлительно снижает скорость сканирования.
Активные "зомби". IdleScan основан на подсчете числа пакетов, посланных "зомби", предполагая, что эти пакеты - ответы на пакеты, сгенерированные "жертвой". Таким образом, посторонние пакеты, посланные "иммунным" зомби, могут вызвать существенные нарушения в работе алгоритма. Nmap пытается решить эту проблему путем сверки ретрансмиссии пакетов и некоторых других методов для определения ложных результатов. Например, Nmap знает, что алгоритм нарушен в случае, если при проверке 6 портов IPID увеличился на 10 или 20. Nmap пытается настроить временные параметры сканирования и паралеллизм для компенсации времени при использовании активных хостов или при обнаружении "потерянных" пакетов. Обычно, Nmap не работает с очень активными "зомби". Один из методов работы с высоко активным "зомби" - отсылка большого числа (десятков или сотен) тестов на один порт. Эта техника "грубой силы" может скрыть некоторое число "белого шума" трафика. К сожалению, это выливается в значительное увеличение ширины канала и снижение скорости сканирования, кроме того, существует вероятность SYN-флудинга (переполнение буфера и отказа в обслуживании) "жертвы".
Фильтрация исходящих пакетов. Вы не можете отправить пакеты с поддельным IP-адресом ввиду наличия у фильтра исходящего трафика.
Мертвые "зомби". Некоторые хосты просто не могут работать в качестве "зомби". На них может стоять обновленная операционная система, либо проходить значительный объем данных.
Изучение принципов автоматизированной защиты сетей. Приобретение навыков
работы с системой анализа nmap. Проведение анализа удаленного хоста с помощью метода idlescan.
В данной лабораторной работе вы, используя сетевой сканер nmap, проведете несколько
уровней сканирования заданной машины.
Лабораторная установка представляет собой рабочее место с установленным ПО nmap.
Требования к оборудованию:
Список исследуемых сетевых устройств:
После выполнения лабораторной работы вы должны оформить отчет. Защита лабораторной работы происходит при наличии у студента (студентки) отчета подтверждающего выполнение им (ей) данной лабораторной работы. Отчет составляется каждым студентом самостоятельно. В отчет должны быть включены: титульный лист; пункты цель работы, порядок выполнения, описание стенда; изложение кратких сведений об изучаемом объекте (предмете); результаты, полученные в ходе выполнения работы в виде таблиц; расчетные значения (и формулы по которым производился расчетные выводы.
Титульный лист должен содержать:
На следующем листе указывается название лабораторной работы, цель работы и приводятся данные, полученные в ходе ее выполнения. Занесите полученные данные в виде таблиц, обязательно присваивать таблицам наименование и приводить их нумерацию. Отчет должен содержать последним пункт "Выводы", в нем необходимо описать своими словами (в научной форме) о том, что работа выполнена, поставленные цели достигнуты, в подтверждение этого приводятся наиболее важная информация, полученная в ходе работы.
Необходимо сделать вывод о степени уязвимости тестового компьютера.
|
№ Вар. |
Задание |
|
1 |
Провести исследование ХОСТ1 Не посылая исследуемому хосту IP пакеты. |
|
2 |
Провести исследование ХОСТ2 |
|
3 |
Провести исследование ХОСТ3 Не посылая исследуемому хосту IP пакеты. |
|
4 |
Провести исследование ХОСТ4 |
|
5 |
Провести исследование ХОСТ1 |
|
6 |
Провести исследование ХОСТ2 Не посылая исследуемому хосту IP пакеты. |
|
7 |
Провести исследование ХОСТ3 |
|
8 |
Провести исследование ХОСТ4 Не посылая исследуемому хосту IP пакеты. |