Раздел: Документация

0 ... 15 16 17 18 19 20 21 ... 169

192.168.11.200 • [14/Арг/1999:16:44:49 -0500] «GET /cgi-bin/php.cgi HTTP/1.0» 404 168

192.168.11.200 • [14/Apr/1999.:16:44:49 -0500] «GET /cgi-bin/handler HTTP/1.0» 404 168

192.168.11.200 • [14/Apr/1999:16:44:49 -0500] «GET /cgi-bin/webgais HTTP/1.0» 404 168

192.168.11.200 • [14/Apr/1999:16:44:49 -0500] «GET /cgi-bin/websendmail HTTP/1.0» 404 172

192.168.11.200 • [14/Apr/1999:16:44:49 -0500] «GET /cgi-bin/webdist.cgi HTTP/1.0» 404 172

192.168.11.200 • [14/Apr/1999:16:44:49 -0500] «GET /cgi-bin/faxsurvey HTTP/1.0» 404 170

192.168.11.200 • [14/Apr/1999:16:44:49 -0500] «GET /cgi-bin/htmlscript HTTP/1.0» 404 171

192.168.11.200 • [14/Apr/1999:16:44:49 -0500] «GET /cgi-bin/pfdisplay.cgi HTTP/1.0» 404 174

192.168.11.200 • [14/Apr/1999:16:44:49 -0500] «GET /cgi-bin/perl.exe HTTP/1.0» 404 169

192.168.11.200 • [14/Apr/1999:16:44:49 -0500] «GET /cgi-bin/wwwboard.pl HTTP/1.0» 404 172

192.168.11.200 • [14/Apr/1999:16:44:50 -0500] «GET /cgi-bin/ews/ews/architext guery.pl HTTP/1.0» 404 187

192.168.11.200 • [14/Apr/1999:16:44:50 -0500] «GET /cgi-bin/jj HTTP/1.0» 404 163

Обратите внимание, что для каждого порта создается полноценное соединениеSYN-ACK, АСК), которое затем закрывается. Это происходит потому, что sscan в данном режиме работает на уровне приложений. Sscan не просто определяет, открыт ли порт ftp, но и какой именно демон ftp запущен. То же самое можно сказать и про imap, pop и т. д. Это легко увидеть при помощи sniffit — средства, широко применяемого для перехвата паролей.

mozart $ cat 172.17.6.30.21-192.168.11.200.7238

220 mozart.example.net FTP server (Version wu-2.4.2-academ[BETA-17] (1) Tue Jun 9 10:43:14 EDT 1998) ready.

Как видно из приведенного выше примера, для определения версиитакже создавалось полноценное соединение. Когда вы видите в ваших регистрационных журналах такие следы, это означает,

56

---

что применялось средство поиска уязвимостей. Такие программы всегда создают полноценные соединения для определения версий исполняемого программного обеспечения.

Nmap, как и большинство сканеров-портов, не интересуется, какая версия программного обеспечения запущена, он определяет, открыт ли соответствующий порт. Для этого nmap снабжен мощным набором опций, позволяющих вам задать тип используемого соединения, включая SYN, FIN, Xmas, Null и т. п. Детальное описание этих опций можно получить по адресу

doc.html. Эти опции влияют на вид записей в ваших регистрационных журналах в зависимости от использованного атакующим набора параметров.

Соединение с флагом -sT является полноценным и поэтому записи в регистрационных журналах будут похожи на записи после примененияс той лишь разницей, что nmap проверяет большее количество портов.

/var/log/secure

Apr 14 21:25:08 mozart in . rshd [ 11717 ] : warning: cant get client address: Connection reset by peer

Apr 14 21:25:08 mozart in.rshd[11717]: connect from unknown Apr 14 21:25:09 mozart in. timed [11718] : warning: cant get client address: Connection reset by peer

Apr 14 21:25:09 mozart in . timed [ 11718 J : connect from unknown Apr 14 21:25:09 mozart imapd[11719] : warning: cant get client address: Connection reset by peer

Apr 14 21:25:09 mozart imapd [ 1.1719 ] : connect from unknown

Apr 14 21:25:09 mozart ipop3d[11720]: warning: cant get client address: Connection reset by peer

Apr 14 21:25:09mozart ipop3d [ 117 2 0 ] : connect from

unknown

Apr 14 21:25:09mozart in.rlogind[11722]: warning:

cant get clientaddress: Connection reset by peer

Apr 14 21:25:09 mozart in.rlogind[11722]: connect from

unknown

Еще один момент, о котором следует помнить, это опция -D (decoy).

57

---

Эта опция позволяет установить для сканера поддельный обратный адрес. Вы можете увидеть соединения с 15 различными адресами одновременно, но только один из них будет настоящим. Чрезвычайно трудно определить, который из 15 источников является истинным. Более того, при сканировании портов часто используется опция -sS.

Этот режим позволяет осуществить скрытное (стеле) сканирование. В этом случае сканер посылает толькоа после получения ответа от удаленной системы сразу же его разрывает посылкой пакета с флагом RST.

/var/log/secure

Ух! Здесь ничего нет! Причина кроется в том, что подсистема регистрации записывает данные только о полностью установленных соединениях. Так как запускался с параметром sS, полноценное TCP-соединение не устанавливалось, и факт сканирования, таким образом, зафиксирован не был. Именно по этой причине данный тип сканирования является скрытным (стеле) — он не фиксируется в системных журналах. Для систем на базе Linux со старыми версиями ядра (а именно: 2.0.x) неполные соединения фиксируются, но как несостоявшиеся. Регистрационные журналы системы с таким ядром и нроска-нированные с параметром -sS выглядят следующим образом (ПРИМЕЧАНИЕ: приведены только первые пять записей):

/var/log/secure

Apr 14 21:25:08 mozart in.rshd[11717]: warning: cant get client

address: Connection reset by peer

Apr 14 21:25:08 mozartconnect from

unknown

Apr 14 21:25:09 mozart in. timed [ 11718 J : warning: cant

get client

address: Connection reset by peer

Apr 14 21:25:09 mozartconnect from

unknown

Apr 14 21:25:09 mozartwarning: cant

get client

address: Connection reset by peer

Apr 14 21:25:09 mozart: connect from

unknown

Apr 14 21:25:09 mozart ipop3d[11720] : warning: cant get client

58

0 ... 15 16 17 18 19 20 21 ... 169