16.3.3 Сканирование портов Сканирование портов само по себе не является атакой, а средством для хакера обнаружить уязвимости системы для атаки. (Сотрудники службы безопасности также используют сканирование портов - например, для обнаружения служб, которые не нужны или не работают). Сканирование портов обычно автоматизировано и включает в себя инструмент, который пытается создать соединение TCP / IP или отправить пакет UDP на определенный порт или диапазон портов. Сканирование портов часто является частью разведывательной техники, известной как дактилоскопия, при которой злоумышленник пытается определить тип операционной системы, используя ее набор служб, или для выявления известных уязвимостей. Многие серверы и клиенты делают это проще, раскрывая свой точный номер версии как часть заголовков сетевого протокола (например, заголовки HTTP «Server:» и «User-Agent:»). Детальный анализ особенностей поведения обработчиков протоколов может также помочь злоумышленнику выяснить, какую операционную систему использует целевой объект - необходимый шаг для успешной атаки. Сканеры уязвимостей сети продаются как коммерческие продукты. Есть также инструменты, которые выполняют подмножества функций полного сканера. Например, nmap (с http://www.insecure.org/nmap/) - это очень универсальная утилита с открытым исходным кодом для исследования сети и аудита безопасности. Когда указывается на цель, она определяет, какие службы работают, включая имена и версии приложений. Он может идентифицировать операционную систему хоста. Он также может предоставить информацию о защите, например, какие брандмауэры защищают цель. Он не использует известные ошибки. Однако другие инструменты (например, Metasploit) определяют, где отключены сканеры портов, и предоставляют средства построения полезной нагрузки, которые можно использовать для проверки на уязвимости, или используют их, создавая конкретную полезную нагрузку, которая вызывает ошибку. Основную работу по методам сканирования портов можно найти в http://phrack.org/issues/49/15.html. Методы постоянно развиваются, равно как и меры по их обнаружению (которые формируют основу для систем обнаружения вторжений в сеть, обсуждаемых ниже).
Достарыңызбен бөлісу: |