- Сканирование сети
-
Сканирование сети
Сканирование сети - сетевая атака.
Описание
Цель этой атаки состоит в том, чтобы выяснить, какие компьютеры подключены к сети и какие сетевые сервисы на них запущены.
Первая задача решается путем посылки Echo-сообщений протокола ICMP с помощью утилиты ping c последовательным перебором всех адресов сети или отправкой Echo-сообщения по широковещательному адресу.
Анализируя трафик и отслеживая Echo-сообщения, посылаемые за короткий промежуток времени всем узлом, можно выявит попытки сканирования. Чтобы не дать себя раскрыть злоумышленник может растянуть отправку сообщений во времени. Вместо Echo-сообщений могут применяться TCP-сегменты с code bit RST, ответы на несуществующие DNS-запросы. Если злоумышленник получит в ответ ICMP Destination Unreachable пакет с кодом 1 (host unreachable), то значит, тестируемый узел выключен или не подключен к сети.
Чтобы определить, какие сервисы запущены, нужно узнать, какие порты открыты, так как существует набор сервисов, за которыми закреплены определенные порты (TCP-порты). Далее эту информацию можно использовать для осуществления атаки на более высоком уровне. Для сканирования TCP-портов существует несколько способов. Самый простой – установление TCP-соединений с тестируемым портом. В этом случае появляется большое количество открытых и сразу прерванных соединений, поэтому атаку в такой реализации просто обнаружить. Другой способ, так называемый half-open scanning (сканирование в режиме половинного открытия). В этом режиме злоумышленник отправляет сегмент с code bit SYN на тестируемый порт и ждёт ответа. Если в качестве ответа пришёл сегмент с code bit RST, то это значит, что порт закрыт, а если сегмент с code bit SYN, ACK– порт открыт. Тогда злоумышленник отправит на этот порт сегмент с флагом RST. Так как соединение не было открыто, то обнаружить это сканирование гораздо сложнее.
И еще один способ заключается в том, чтобы отправлять сегменты с флагами FIN(no more data from sender), PSH(push function), URG(urgent pointer field significant) либо вообще с пустым полем code bit. Если порт закрыт, то в ответ придёт сегмент с флагом RST, если ответа не будет, то порт открыт (так как такой сегмент просто игнорируется).Ссылки
- TCP/IP Security (рус.).
Wikimedia Foundation. 2010.