Раздел: Документация

0 ... 63 64 65 66 67 68 69 ... 169

---

Немного о Fingerprinting

1

a da vjr

Я BASIC бы выучил только за то, что им программировал Левин!

Fingerprinting — последние год-полтора этот термин все чаще можно встретить в обильном потоке информации по сетевой безопас-

Однако далеко не все ясно представляют, что же, собственно, под ним понимается. За этим словом скрывается достаточно большое количество существенно разнородных технологий. Данная глава ставит своей целью их более или менее подробный обзор. Изложенные в ней методы не претендуют на полноту, но, несмотря на то, что большая их часть достаточно известна, надеюсь, читатель обнаружит что-нибудь новое для себя.

Вообще-то, дословно fingerprinting — это сбор информации об

удаленной системе.

Используя ряд инструментов и алгоритмов, мы можем определить операционную систему, серверные приложения (и их версии), тип аппаратного обеспечения и другую, зачастую гораздо более важную, информацию. Традиционно системы сбора информации делятся

на активные (active fingerprinting) и пассивные (passive fingerprinting).

Первые используют различия откликов разных типов систем на определенные ключевые воздействия. Располагая информацией об этих различиях, исследователь может по типу отклика идентифицировать тип системы.

Вторые используют информацию, так сказать, «добровольно»

рассылаемую исследоваемой системой, хотя и, вполне возможно, предназначенную не исследующей системе.

Как уже было сказано, данный тип сбора информации основан

на непосредственном воздействии на исследуемую систему и анализе

ности.

Active fingerprinting

201

---

ее отклика. Алгоритмы этого типа характеризуются высокой скоростью, достаточной точностью и слабой скрытностью. Т.е. попытка сбора информации может быть довольно легко обнаружена и пресечена исследуемой системой (в том числе автоматически, с использованием, например, соответствующим образом настроенной системы обнаружения вторжений).

Одной из старейших техник этого рода является «коллекционирование бяннеров». Она заключается в анализе приветствий, выдаваемых стандартными сервисами (ftp, рорЗ, finger, smtp, telnet). Сюда же относится информация из строк параметров, возвращаемых в ответ на любой http запрос. Такие баннеры зачастую содержат в себе информацию об используемомвплоть до номера версии.

Поскольку далеко не все домены являются абсолютно портируе-то это, вдобавок, дает нам возможность делать об используемой операционной системе. Есть две опасности, подстерегающие нас на этом пути. Во-первых, многие домены позволяют администратору произвольным образом редактировать свои приветствия, то есть существует вероятность (хотя и довольно малая), что демон совсем не тот, за которого он себя выдает. Во-вторых, есть что вообще вся операционная система работает под какой-нибудь средой эмуляции (например, VMWare). Это может спутать нам карты, на-когда мы собираемся использоватьреализации

TCP стека, основываясь на сделанных предположениях.

Особенностиуказанных сервисов также

позволяют получить некоторую дополнительную информацию, используя возможности протоколов. Типичным примером может служить команда SYST протокола ftp.

Рассмотрим поподробнее указанные сервисы.

FTP

Порт командного соединения -21. Рассмотрим типичный баннер:

220 meailiah.demos.su FTP server (Version wu-2.4(37) Mon Feb 15

16:48:38 MSK 1999) ready.

Он представляет информацию о ПО FTP-сервера вплоть до версии.

Теперь в предположении, что сервис представляет услуги анонимному пользователю, произведем авторизацию и воспользуемся ко-

202

0 ... 63 64 65 66 67 68 69 ... 169