Раздел: Документация
0 ... 66 67 68 69 70 71 72 ... 169 System error 5 has occurred. Access is denied. E:\>net use \\*.*.*.197\IPC$ «» /U:»» The command completed successfully. E:\>net time \\*.+.*.191 Current time at \\* . * . * . 197 is 6/21/2001 7:00 PM The command completed E:\>at \\*.*.*.197 Access is denied. E:\>net view \\*.*.*.197 Shared resources at \ \ * . * . * . 197 Share name Type Used as Comment Drive С Disk Windows Drive D Disk FreeBSD Drive E Disk The command completed successfully. E:\>net use \\*197\ipc$ /del \\*.*.*.197\IPC$ was deleted successfully. Аналогичные операции можно осуществить и из системы Unix, используя утилиту mbclien Кроме того, утилита nbtstat (или nmblookup под Unix) позволяет получить список зарегистрированных на машине NetBIOS имен (с типами). Среди них содержатся: имя домена, имя машины в домене, имя текущего активного пользователя. Более того, анализ этихимен позволяетопределить роль машины вдо-мене (PDC, BDC, Master Browser). Ниже приведена небольшая выдержка из таблицы типов NetBIOS имен. 0x00 base computernames and workgroups, also in «*» queries 0x01 master browser, in magic MSBROWSE cookie 0x03 messaging/alerter service; name of logged-in user 0x20 resource-sharing «server service» name domain master-browser name domain controller name 209 OxlE domain/workgroup master browser election announcement [?] Другой техникой является исследование особенностей сетевого интерфейса. Начнем с того, что, если мы используем стеле техники сканирования портов, у нас обычно нет никакой возможности «коллекционировать баинсры». Тем не менее уже список открытых портов может сказать довольно многое. Рассмотрим типичные паттерны: открытые порты 23, 79, возможно 80, при остальных закрытых, достаточно точно характеризуют машину как роутер. Открытый порт 1 I дает практически стопроцентную гарантию, что исследуемая система является Также это весьма вероятно в случае наличия открытых портов в промежутке 150-520 набор портов 21, 25, 110, и, может быть, 23, 80 -это типичный Linux или BSD (хотя, конечно, и не только он). Открытый порт Postgree-ca (5432) позволяет предположить UNIX подобную операционную систему. Тогда как в случае MS SQL (1433) — однозначно Windows (причем NT/2K). Наличие открытого порта 139 предполагает альтернативу: либо это UNIX с установленной SAMBA, тогда обычно можно определить по открытому порту SWAT (используемому для удаленной настройки SAMBA), либо это Windows. В этом случае, если больше открытых портов нет — то это, скорее всего, W9x. Если же есть открытые порты из— то это, видимо, NT/2K. Более точное определение операционной системы можно провести с использованием параметров TCP/IP пакетов. Самой лучшей на сегодняшний день утилитой подобного плана является nmap by Feodor (www.insecure.org). Там же можно подробнее почитать об используемых алгоритмах. Мы же остановимся на параметре TTL, поскольку он доступен без дополнительных инструментов (через утилиту ping). TTL (TimeToLive) — это время жизни пакета. При отправке оно устанавливается в некоторое стандартное значение (разное для различных операционных систем), а затем, при прохождении каждого промежуточного пункта уменьшается на 1. Если оно достигает нуля, пакет отбрасывается, как слишком старый. ты, дошедшие до нас, содержат TTL, равный начальному минус расстояние до исследоваемого хоста в hop-ax (промежуточных хостах). При необходимости это расстояние можно узнать, используя стандартную утилиту traceroute (tracert под Windows). Однако оно обычно не превышаетчто позволяет однозначно распознать 210 исходное значение. Если исходныйто это, скорее всего, Windows. Если TTL-256, то это или UN*X, или WinNT. Если 64 или 32, то это или какой-нибудь роутер, бридж, хаб, или редкий UN*X. Полученная информация, вкупе с информацией об открытых портах, дает представление об используемой операционной системе. TCP-timestamping Используя опцию TCP протокола tcp-timestamping и знание операционной системы, часто можно определить uptime системы (время последнего включения). При использовании этой опции мы принуждаем систему оставить свой временной штамп. Штамп, по спецификации, должен со временем увеличиваться, однако не оговаривается, как именно. Практически во всех системах (кроме Windows) отсчет штампа начинается с нуля в момент загрузки операционной системы. Но скорость наращивания зависит от платформы (от 1 в сек. до 1000 в сек.). Для решения этой проблемы мы можем воспользоваться знанием об используемой операционной системе или сделать несколько проб через, скажем, 1 секунду и на основе полученной информации вычислить скорость приращения. ICMP Time/Mask Internet Control Message Protocol описывает ряд контрольных сообщений и способы реагирования на них, оставляя, однако, некоторую свободу в реализации ICMP на различных ОС. В числе прочих существуют сообщения ICMP Time Request (хост может ответить на него сообщением своего локального времени) и ICMP Mask Request (по спецификации ответить на него может только маршрутизатор). Рассмотрим следующую таблицу: ОС Отвечает на ICMP Time Отвечает на ICMP Mask
211 0 ... 66 67 68 69 70 71 72 ... 169
|
