Определение записей об электронной почте

Сведения о местах обработки электронной почты (MX, Mail Exchange) являются отличной отправной точкой для выявления местоположения брандмауэра сети исследуемой организации. Часто в коммерческих компьютерных средах почта обрабатывается на той же системе, где стоит брандмауэр, или. по крайней мере, в той же сети.

Этап 4. Разведка сети

После идентификации сетей злоумышленник пытается определить их топологию, а также потенциальные пути доступа.

Сканирование.

Если рекогносцировка — это поиск источников информации, то сканирование обнаружение уязвимостей систем. Во время рекогносцировки атакующий получает: имена и телефоны сотрудников, диапазоны IP-адресов, серверы DNS и почтовые серверы. Теперь он определяет, какие системы живы и достижимы из Интернета, с помощью утилит диапазонной проверки по ping, сканирования портов и автоматизированных средств исследования.

Диапазонная проверка по ping

Одним из базовых этапов составления схемы сети является автоматизированное зондирование программой ping диапазона IP-адресов и блоков сетевых адресов для определения реально функционирующих систем. Утилита ping традиционно применяется для отправки адресуемой системе пакетов ICMP ECHO с целью получения ответного пакета ICMP ECHO REPLY, указывающего на то, что адресуемая система действительно работает. Утилита ping подходит для сетей малого или среднего размера и не эффективна в больших сетях уровня предприятия. Полное сканирование больших сетей может в этом случае занять часы, если не дни.

Существуют методы и средства определения функционирующих систем, однако они не столь точны и эффективны, как обычное диапазонное пакетное зондирование по ping.

Если трафик ICMP блокируется, то для определения функционирующих сетевых компьютеров проводится сканирование портов. Сканируя общие порты по каждому потенциальному IP-адресу, злоумышленник определяет, какие сетевые компьютеры действительно работают, если удастся идентифицировать открытые или слушающие порты хоста. Этот метод требует много времени и не всегда дает хорошие результаты. Одной из утилит сканирования портов является nmap.

Сканирование портов

Применив диапазонное зондирование IСМР или TCP, злоумышленник находит функционирующие (живые) системы и при этом собирает некоторую полезную информацию. Затем приступает к сканированию портов каждой системы. Сканирование портов представляет собой процесс подключения к портам TCP и UDP исследуемой системы с целью выявления работающих служб или состояния порта LISTENING (прослушивание).

Идентификация слушающих портов важна в определении типа операционной системы и используемых приложений. Активные слушающие службы могут позволить неавторизованному пользователю получить доступ к системам с неправильной конфигурацией или к версиям программных продуктов с известными слабыми местами в защите.

Итак, существует множество средств и методов сканирования портов. Основная цель при сканировании портов состоит в выявлении слушающих портов TCP и UDP исследуемой системы. Вторая цель — определение типа сканируемой операционной системы. Конкретная информация об операционной системе используется на этапе построения карты слабых мест. Требуется максимальная точность в выявлении уязвимых мест исследуемой системы или систем. Поэтому нужна определенная степень уверенности в том, что удастся идентифицировать операционную систему целевого объекта. Применяют методы захвата заголовков, которые извлекают информацию из служб FTP, telnet, SMTP, HTTP, POP и др. Это простейший способ определения операционной системы и соответствующего номера версии работающей службы.

Способы, которые могут быть использованы для идентификации операционной системы.

· Проба пакетом FIN.На открытый порт посылается пакет FIN. Правильным поведением будет отсутствие ответа, однако многие реализации стека (например, в Windows NT) отправляют в ответ сообщение FIN/ACK.

· Проба фальшивым флагом. В заголовке TCP пакета SYN устанавливается неопределенный флаг TCP. Некоторые операционные системы (например, Linux) передают установленный флаг в ответном пакете.

· Выборка начального последовательного номера (ISN, Initial Sequence Number). Основная предпосылка состоит в поиске шаблона для начальной нумерации, применяемого в реализации TCP при отклике на запрос соединения.

· Мониторинг бита запрета фрагментации (DF, Do not Fragment). Некоторые операционные системы для повышения производительности устанавливают бит (флаг) запрета фрагментации. Проверка этого бита позволяет определить тип операционной системы.

· Начальный размер окна TCP. Отслеживается начальный размер окна в возвращаемых пакетах. Для некоторых реализаций стека это значение уникально и может существенно повысить точность идентификации.

· Значение АСК. Стеки IP отличаются значением последовательного номера (Sequence Number), используемым для поля АСК (некоторые реализации посылают в ответ тот же номер, а другие— номер плюс один).

· Подавление сообщений об ошибках ICMP.

· Выборки информации сообщений об ошибках ICMP. Операционные системы отличаются объемом информации, которую они посылают в ответ на ошибки ICMP. Проверяя возвращенное сообщение, можно сделать некоторые предположения о типе операционной системы.

· Целостность ответных сообщений об ошибках ICMP. Некоторые реализации стека изменяют заголовки IP в возвращаемых сообщениях об ошибках IСМР. Проверяя изменение заголовка, можно сделать некоторые предположения об операционной системе.

· Тип службы (ToS, Type of Service). Большинство реализаций стека помешает в это поле значение 0, однако оно может варьироваться.

· Обработка фрагментов. При повторной сборке пакета некоторые стеки переписывают новые данные поверх старых, а некоторые наоборот. Выяснив, как были собраны тестовые пакеты, можно сделать определенные предположения об операционной системе хоста.

· Параметры TCP. Посылая пакеты несколькими параметрами (такими, как "нет операции", максимальный размер сегмента, коэффициент масштаба окна или метка времени), можно сделать некоторые предположения об операционной системе.

Составление карты

Далее злоумышленник составляет карту (план) своих последующих действий, где определяет конкретные цели, задачи и мотивы своего деяния.

После этого злоумышленник переходит на стадию совершения КП, где его действия уже нарушает законодательство РФ и других стран.