Комплексная защита объектов информатизации


РАЗДЕЛ V – ИДЕНТИФИКАЦИЯ ОПЕРАЦИОННЫХ СИСТЕМ



Pdf просмотр
страница4/4
Дата14.11.2016
Размер1.28 Mb.
Просмотров1154
Скачиваний0
1   2   3   4
РАЗДЕЛ V – ИДЕНТИФИКАЦИЯ ОПЕРАЦИОННЫХ СИСТЕМ
(OS FINGERPRINTING)
Задача идентификации типа и версии ОС исследуемого узла сети (Remote OS Fingerprinting) является одной из ключевых при идентификации ресурсов КСПД. Версия ОС, как правило, определяет направление и ход дальнейшего анализа защищенности, поэтому от точности идентификации их версий зависит результат исследования всей КСПД.
Простейшие методы идентификации ОС уже упоминались в предыдущих разделах практикума: анализ стандартных приглашений сетевых служб, опрос служб прикладного уровня стандартными командами службы и т.д. В практических работах пятого раздела будут рассмотрены две группы наиболее эффективных методов идентификации ОС: методы активного исследования реализации стека протоколов TCP/IP (TCP/IP Stack Fingerprinting) и методы пассивного исследования реализации стека протоколов. Обе группы методов основаны на особенностях реализации стека TCP/IP в различных ОС.

Практическая работа №17
АКТИВНОЕ ИССЛЕДОВАНИЕ СТЕКА TCP/IP

1. Цель работы

Овладеть основами удаленной идентификации сетевых операционных систем. Изучить наиболее простые методы активного
TCP/IP Stack Fingerprinting. Научиться применять на практике методы
TCP|FIN сканирования, исследования флагом BOGUS и поля Window заголовка TCP, метод исследования изменения ISN.


84
2. Теоретические сведения. Методические рекомендации

Методы активного TCP/IP Stack Fingerprinting - это методы идентификации ОС, реализующие механизмы опроса стека TCP/IP удаленного узла сети. Как правило, ответной реакцией узла сети на любое информационное воздействие (IP-пакет данных, запрос на соединение и т.д.) является IP-пакет, адресованный источнику информационного воздействия. Реакция различных ОС на один и тот же запрос может быть различна. Совокупность ответов на некоторое множество специальным образом сформированных запросов ОС образует множество идентифицирующих признаков (сигнатур) данной ОС. В настоящее время автоматизированные средства анализа сети (сканеры сети) имеют достаточно большие базы сигнатур TCP/IP
Stack Fingerprinting, что позволяет им с большой долей вероятности идентифицировать удаленную ОС.
В работе предлагается практически реализовать наиболее простые проверки, проводимые при TCP/IP Stack Fingerprinting (без использования специализированных программных средств анализа стека).
Для генерации требуемых пакетов рекомендуется использовать утилиту mz
(допускается использование альтернативных генераторов, например hping3).
Пример генерации единичного TCP|FIN пакета на 135 порт узла
192.168.0.11 средствами утилиты mz: linux:
$ sudo mz eth0 –v –B 192.168.0.11 –p 135 –t tcp ‚flags=fin‛

3. Практическое задание
Исследование 1 – метод TCP|FIN сканирования
В соответствии с RFC 793, узел сети, на пришедший (на открытый TCP-порт) TCP|FIN пакет (или иной пакет без флагов SYN и ACK), должен ответить TCP|RST пакетом. Однако многие ОС такой пакет игнорируют.
Исследуйте ответы различных ОС на входящие TCP|FIN пакеты:

85 1. Идентифицируйте открытые TCP порты узла сети с установленной
ОС семейства Windows (адрес уточните у преподавателя).
2. Запустите одну из программ прослушивания сети (Wireshark,
Tcpdump, Snort). Настройте фильтр программы на отображение TCP сессий с исследуемым узлом сети.
3. Отправьте TCP|FIN пакеты на открытые TCP порты исследуемого узла сети.
4. Пронаблюдайте ответную реакцию исследуемого узла сети.
5. Повторите эксперимент для ОС Linux, FreeBSD, встраиваемых ОС специализированных устройств (проектор, сотовый телефон и т.д.).
6. Сделайте выводы.
Исследование 2 – метод исследования флагом BOGUS
При получении SYN-пакета с установленным битом в поле
BOGUS, ОС могут ответить ACK-пакетом с сохраненным изменением поля BOGUS или оборвут соединение (Термин BOGUS подразумевает установку значения поля Reserved заголовка TCP- пакета в 1000000, согласно RFC 793 значение зарезервированного поля Reserved установлено в 0000000).
Исследуйте значение поля Reserved заголовка ACK-пакетов
(ответы различных ОС), полученных в ответ на входящие SYN- пакеты с установленным битом в поле BOGUS:
1. Отправьте SYN-пакеты с установленным битом в поле BOGUS на открытые TCP порты исследуемого узла сети.
2. Получите значения полей Reserved заголовка ACK-пакетов.
3. Повторите эксперимент для ОС Linux, FreeBSD, встраиваемых ОС специализированных устройств (проектор, сотовый телефон и т.д.).
4. Сделайте выводы.

Исследование 3 – метод исследования поля Window
заголовка TCP
Идентификационным признаком может служить поле Window
TCP заголовка принятого пакета. Значение данного поля определяет в байтах размер данных, которые получатель готов принять.

86 1. Исследуйте значения полей Window TCP различных ОС. Ход экспериментов аналогичен предыдущим. Сделайте вывод.
Исследование 4 – метод исследования изменения ISN
В RFC 793 определен порядок изменения поля ISN (Initial
Sequence Number) ACK-пакета при установлении соединения, передаче данных и закрытии соединения. Если в полученном пакете установлен флаг SYN, то значение поля ISN принимается как начальное значение номера последовательности, и первый байт передаваемых в следующем пакете данных будет иметь номер последовательности равный ISN + 1. Если флаг SYN не установлен, то первый байт данных должен иметь тот же номер последовательности.
1. Отправьте на закрытый TCP-порт исследуемого узла TCP-пакет с установленными флагами FIN|PSH|URG. Значение ISN в поле ISS должно быть известно.
2. Получите значение ISN ответного ACK-пакета (полученного от исследуемого узла сети).
3. Повторите эксперимент, отправив TCP-пакет с установленными флагами SYN|FIN|PSH|URG.
4. Повторите эксперимент для ОС Linux, FreeBSD, встраиваемых ОС специализированных устройств (проектор, сотовый телефон и т.д.).
5. Сделайте выводы.

87
Практическая работа №18
СПЕЦИАЛИЗИРОВАННЫЕ ПРОГРАММНЫЕ СРЕДСТВА
АКТИВНОГО ИССЛЕДОВАНИЯ СТЕКА TCP/IP

1. Цель работы

Продолжить изучение методов удаленной идентификации сетевых операционных систем. Научиться применять на практике специализированные программные средства активного исследования стека TCP/IP: xprobe2, nmap.
2. Теоретические сведения. Методические рекомендации
Утилита Xprobe2
Xprobe2 (http://xprobe.sourceforge.net/)специализированное программное средство для активной идентификации версии операционной системы удаленного узла сети, разрабатываемое с 2001 года. Утилита использует "нечеткие" (fuzzy matching algorythm) методы сигнатурного анализа, в последних версиях присутствует модули для обнаружения honeypot и систем с намеренно модифицированными параметрами стека TCP/IP, определения версий различных устройств, реализована поддержка IPv6. Как правило,
Xprobe2 подвергает исследуемый узел сети серии тестов, отправляя такие пакеты как:
-ICMP Echo Request;
-ICMP Timestamp Request;
-ICMP Address Mask Request;
-ICMP Information Request;
-Пакет UDP на закрытый порт UDP;
-Пакет TCP с флагом SYN на открытый порт TCP и т.д.
Работа Xprobe2 основана на Raw sockets (сырых сокетах), поэтому для ее использования необходимы права пользователя root.
Синтаксис утилиты xprobe2:

88 xprobe2 [ -v ] [ -r ] [ -p proto:portnum:state ] [ -c configfile ] [
-o logfile ] [ -p port ] [ -t receive_timeout ] [ -m numberofmatches
] [ -D modnum ] [ -F ] [ -X ] [ -B ] [ -A ] [ -T port spec ] [ -U port spec ] host
Наиболее используемые опции xprobe2:
-r: отображение пути до целевого узла сети (traceroute);
-p: указывает номера портов и протоколов для исследования удаленного узла сети. Воможные значения для протокола tcp или udp, номера портов могут быть заданы в интервале от 1 до 65535;
-o: записывает результаты сканирования в файл;
-X: использует формат XML, используется совместно с опцией -o;
-T: задействует модуль для сканирования TCP-портов, интересуемый диапазон портов может задаваться следующим образом: -T20-80,110,3306
;
-U: задействует модуль для сканирования UDP-портов;
-v: вывод подробной информации о ходе сканирования и загружаемых модулях;
-M/-D: активирует/дезактивируем указанные модули.

Пример применения xprobe2: linux:
$ xprobe2 -v -p tcp:80:open www.vlsu.ru linux:
$ xprobe2 -T 1-1024 127.0.0.1
В отчет сканирования xprobe2 включает список наиболее вероятных ОС (с указанием вероятности достоверности результата).

Режим идентификации ОС сканера nmap
Сканер nmap располагает обширной базой идентификационных признаков множества ОС, которые содержатся в файле nmap-os- fingerprints в каталоге Data установки Nmap.
Для активизации алгоритмов OS fingerprinting сканера nmap необходимо указать опцию -O (--osscan-): nmap -O < IP или подсеть >
Пример применения опции OS fingerprinting nmap: linux:
$ nmap -O www.vlsu.ru
Starting Nmap 5.21 ( http://nmap.org ) at 2011-10-02 16:59 MSK
Nmap scan report for www.vlsu.ru (85.142.154.99)
Host is up (0.068s latency).

89 rDNS record for 85.142.154.99: ip4host-154-99.vlsu.ru
Not shown: 993 closed ports
PORT STATE SERVICE
22/tcp open ssh
53/tcp open domain
80/tcp open http
111/tcp open rpcbind
135/tcp filtered msrpc
139/tcp filtered netbios-ssn
445/tcp filtered microsoft-ds
Device type: broadband router|general purpose|WAP|storage- misc|remote management|switch|specialized
Running (JUST GUESSING) : Linksys embedded (94%), Linux 2.6.X|2.4.X
(90%), AVM embedded (87%), D-Link embedded (87%), Dell embedded
(87%), HP embedded (87%), Linksys Linux 2.4.X (87%)
Aggressive OS guesses: Linksys WRV200 wireless broadband router
(94%), Linux 2.6.15 (Ubuntu) (90%), Linux 2.6.15 - 2.6.26 (90%),
Linux 2.6.25 (openSUSE 11.0) (90%), Linux 2.6.24 (Ubuntu 8.04)
(89%), Linux 2.6.22 (Kubuntu, x86) (88%), Linux 2.6.18 - 2.6.28
(87%), AVM FRITZ!Box FON WLAN 7170 WAP (87%), D-Link DNS-323 NAS device or Linksys WRT300N wireless broadband router (87%), Dell
Remote Access Controller 5/I (DRAC 5/I) (87%)
No exact OS matches for host (test conditions non-ideal).
Network Distance: 11 hops
OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 21.00 seconds
Для идентификации ОС эффективен следующий режим сканирования:
#nmap ––fuzzy –sV –F –v < IP или подсеть >
Для комплексного исследования удаленного узла сети рекомендуется применять опцию агрессивного сканирования -A.
Данная опция активизирует режимы определения ОС (-O), определения версии (-sV), сканирование с использованием скриптов
(-sC) и трассировку (--traceroute).
Пример применения опции агрессивного сканирования nmap: linux:
$ nmap -A -v -T4 www.vlsu.ru


90
3. Практическое задание

1. Проверьте наличие утилиты xprobe2 в системе: linux:
$ whereis xprobe2 xprobe2: /usr/bin/xprobe2 /etc/xprobe2
/usr/share/man/man1/xprobe2.1.gz
2. В случае необходимости установите xprobe2 на свою рабочую станцию: apt-get update && apt-get install xprobe
3. Определите средствами xprobe2 версии операционных систем тестовых узлов сети (IP адреса тестовых узлов уточните у преподавателя).
4. Повторите исследования с различными комбинациями модулей сканирования xprobe2.
5. Проверьте наличие утилиты nmap в системе: linux:
$ whereis nmap nmap: /usr/bin/nmap /usr/lib/nmap /usr/share/nmap
/usr/share/man/man1/nmap.1.gz
6. Средствами nmap определите версии операционных систем тестовых узлов сети.
7. Сравните результаты работы xprobe2 и nmap.
8. Проведите исследование одного из тестовых узлов сети с применением опции агрессивного сканирования nmap.

91
Практическая работа №19
ПАССИВНОЕ ИССЛЕДОВАНИЕ СТЕКА В ЗАДАЧЕ
ИДЕНТИФИКАЦИИ ОС

1. Цель работы

Продолжить изучение методов удаленной идентификации сетевых операционных систем. Овладеть основными методами пассивного OS Fingerprinting. Научиться применять на практике специализированные программные средства идентификации ОС удаленного узла сети: p0f.

2. Теоретические сведения. Методические рекомендации

Методы пассивной идентификации
ОС
(passive
OS fingerprinting) базируются на анализе пакетов (как правило SYN), полученных от удаленного узла сети. В отличие от методов активного исследования, при пассивном OS fingerprinting исследующий узел сети не инициирует соединений с исследуемым. Пассивные методы широко применяются для анализа корректности TCP-сессий, удаленной идентификации открытых портов и прикладных служб, определения версий ОС.
Пассивные методы имеют определенные достоинства по сравнению активными методами OS fingerprinting:
Отсутствие необходимости генерации дополнительного трафика, что снижает нагрузку на сеть;
Пассивные методы троднообнаружимы для сетевых СОВ;
В некоторых случаях пассивные методы могут выявить наличие
МЭ, маршрутизаторов и NAT.
К недостаткам методов passive OS fingerprinting относят:
Необходимость наличия программного или аппаратного сенсора в исследуемой сети;
Сложность эффективного размещения сенсоров в топологии исследуемой сети (коммутируемые сети);

92
Меньшее развитие инструментария анализа полученных данных.
p0f
p0f (http://lcamtuf.coredump.cx/p0f.shtml) – популярный сканер для идентификации типа ОС удаленного узла сети, путем прослушивания трафика. Алгоритмы p0f основаны на анализе служебных полей IP-пакетов, полученных от удаленного узла. p0f способен определять тип ОС следующих узлов сети: узлы, инициирующие TCP-сессию с узлом исследователя (SYN режим); узлы, TCP-сессию с которыми устанавливает узел исследователя
(SYN|ACK режим); узлы, соединения с которыми невозможны ввиду фильтрации трафика средствами МЭ (RST режим); узлы, трафик которых прослушивается сетевым интерфейсом узла исследователя.
Синтаксис утилиты p0f
: p0f p0f [ -f file ] [ -i device ] [ -s file ] [ -o file ] [ -Q socket [ -0 ] ] [ -w file ] [ -u user ] [ -c size ] [ -T nn ] [ -e nn ] [ -FNODVUKAXMqxtpdlRL ] [ ’filter rule’ ]
Наиболее используемые опции p0f
:
-i device: прослушиваемое устройство (можно указать несколько интерфейсов);
-s
file: анализ дампа трафика программы tcpdump (сеть не прослушивается);
-w file: записывает весь трафик в файл (аналог дампа tcpdump);
-F: задействует fuzzy matching алгоритмы;
-U: указывает не отображать неизвестные сигнатуры;
-p: переводит сетевой интерфейс в неразборчивый режим (promiscuous mode);
-d: переводит p0f в режим демона (фоновый режим);
-r: включает разрешение имен узлов сети (снижает производительность);
-X: указывает отображать полезную нагрузку пакета (packet payload).
Опции фильтрации p0f позволяют включать/исключать из рассмотрения отдельные узлы или диапазоны адресов, диапазоны

93 портов и т.д. Формат правил фильтрации аналогичен формату правил популярного сетевого анализатора tcpdump (Berkley Packet Filters):
'src port ftp-data'
'not dst net 10.0.0.0 mask 255.0.0.0'
'dst port 80 and (src host 195.117.3.59 or src host 217.8.32.51)'
Пример режимов запуска p0f
: linux:
$ p0f -i eth0 -F -r linux:
$ p0f -i eth0 -U -F -p linux:
$ p0f -i eth0 -r -X 'dst host 85.142.154.58'


94
3. Практическое задание

1. Проверьте наличие утилиты p0f в системе: linux:
$ whereis p0f p0f: /usr/sbin/p0f /etc/p0f /usr/share/man/man1/p0f.1.gz
2. В случае необходимости установите p0f на свою рабочую станцию: apt-get update && apt-get install p0f
3. Практически ознакомтесь с режимами работы сканера p0f (-F,-U,-p,-
d, -r);
4.
Практически ознакомтесь с опциями фильтрации сканера p0f;
5. Определите средствами p0f версии операционных систем тестовых узлов сети (IP адреса тестовых узлов уточните у преподавателя).
6. Сравните результаты работы p0f с результатами сканеров xprobe2 и nmap.

Контрольные вопросы к разделу V
1.
Задача идентификации типа и версии ОС исследуемого узла
КСПД.
2.
Особенности методов активного исследования реализации стека протоколов TCP/IP. Достоинства и недостатки.
3.
Суть метода TCP|FIN сканирования.
4.
Суть метода исследования флагом BOGUS.
5.
Суть метода исследования поля Window TCP заголовка принятого пакета.
6.
Суть метода исследования изменения ISN ACK-пакета.
7.
Утилита Xpobe2. Синтаксис, опции.
8.
Режимы OS fingerprinting сканера nmap.
9.
Особенности методов пассивного исследования реализации стека протоколов TCP/IP. Достоинства и недостатки.
10.
Утилита p0f. Синтаксис, опции.

95
ИСПОЛЬЗУЕМАЯ И РЕКОМЕНДУЕМАЯ ЛИТЕРАТУРА
1.
Илларионов Ю.А. Введение в теорию информационной безопасности : учеб. пособие / Ю.А. Илларионов; Владим. гос.
Ун-т. - Владимир : Изд-во ВлГУ, 2005. - 88 с. - (Комплексная защита объектов информатизации. Кн. 8 / под ред. М.Ю.
Монахова). - ISBN 5-89368-557-1 2.
RFC 768 - User Datagram Protocol, August 1980 3.
RFC 791 - Internet protocol / September 1981 4.
RFC 792 - Internet Control Message Protocol, September 1981 5.
RFC 793 - Transmission Control Protocol, September 1981 6.
RFC 821 – Simple Mail Transfer Protocol, August 1982 7.
RFC 826 - An Ethernet Address Resolution Protocol -- or --
Converting Network Protocol Addresses, November 1982 8.
RFC 950 - Internet Standard Subnetting, August 1985 9.
RFC 1256 - ICMP Router Discovery, September 1991 10.
RFC 2822 – Internet Message Format, April 2001 11.
RFC 3232 - Assigned Numbers, October 1994 12.
Таненбаум Э. Компьютерные сети. — Четвѐртое издание. —
Питер: Питер, 2007. -С. 992.
13.
Network Security Assessment By Chris McNab Publisher: O'Reilly,
March 2004, - 396 p. - ISBN 0-596-00611-X
14.
Stuart McClure, Joel Scambray, George Kurtz : Hacking exposed 6: network security secrets&solutions, 2009,- ISBN 978-0-07-161375-0

Интернет источники
15.
Remote
OS
Detection
[Электронный ресурс] http://www.insecure.org/nmap/nmap-fingerprinting-article.html
16.
Обнаружение служб и их версий [Электронный ресурс] http:// www.nmap.org/man/ru/man-version-detection.html
17.
Определение
ОС
[Электронный ресурс] http:// www.nmap.org/man/ru/man-os-detection.html
18.
Основы сканирования портов [Электронный ресурс] http:// www.nmap.org/man/ru/man-port-scanning-basics.html

96
ОГЛАВЛЕНИЕ
ОСНОВНЫЕ СОКРАЩЕНИЯ .................................................................. 2
ВВЕДЕНИЕ ................................................................................................. 3
РАЗДЕЛ I - ОБНАРУЖЕНИЕ УЗЛОВ СЕТИ (HOST DETECTION) ... 4
Практическая работа №1 ............................................................... 4
Практическая работа №2 ............................................................... 9
Практическая работа №3 ............................................................. 13
Практическая работа №4 ............................................................. 17
Практическая работа №5 ............................................................. 23
Практическая работа №6 ............................................................. 28
Практическое задание к разделу I .............................................. 31
Контрольные вопросы к разделу I .............................................. 31
РАЗДЕЛ II – ОПРЕДЕЛЕНИЕ ТОПОЛОГИИ СЕТИ ........................... 33
Практическая работа №7 ............................................................. 33
Практическая работа №8 ............................................................. 41
Контрольные вопросы к разделу II ............................................ 46
РАЗДЕЛ III – ИДЕНТИФИКАЦИЯ СТАТУСА ПОРТА (PORT
DETECTION) ............................................................................................ 47
Практическая работа №9 ............................................................. 47
Практическая работа №10 ........................................................... 53
Практическая работа №11 ........................................................... 57
Практическая работа №12 ........................................................... 60
Контрольные вопросы к разделу III ........................................... 64
РАЗДЕЛ IV – ИДЕНТИФИКАЦИЯ СЕТЕВЫХ СЕРВИСОВ И
ПРИКЛАДНЫХ СЛУЖБ (SERVICES FINGERPRINTING) ................ 65
Практическая работа №13 ........................................................... 66
Практическая работа №14 ........................................................... 69
Практическая работа №15 ........................................................... 73
Практическая работа №16 ........................................................... 77
Контрольные вопросы к разделу IV ........................................... 82
РАЗДЕЛ V – ИДЕНТИФИКАЦИЯ ОПЕРАЦИОННЫХ СИСТЕМ (OS
FINGERPRINTING) .................................................................................. 83
Практическая работа №17 ........................................................... 83

97
Практическая работа №18 ........................................................... 87
Практическая работа №19 ........................................................... 91
Контрольные вопросы к разделу V ............................................ 94
ИСПОЛЬЗУЕМАЯ И РЕКОМЕНДУЕМАЯ ЛИТЕРАТУРА ............... 95
ОГЛАВЛЕНИЕ ......................................................................................... 96

98

Учебное издание
Комплексная защита объектов информатизации
Книга 24

МИШИН Денис Вячеславович
МОНАХОВ Юрий Михайлович
АНАЛИЗ ЗАЩИЩЕННОСТИ РАСПРЕДЕЛЕННЫХ
ИНФОРМАЦИОННЫХ СИСТЕМ


Идентификация ресурсов
корпоративной сети передачи данных

Практикум









Поделитесь с Вашими друзьями:
1   2   3   4


База данных защищена авторским правом ©nethash.ru 2019
обратиться к администрации

войти | регистрация
    Главная страница


загрузить материал