Раздел: Документация

0 ... 68 69 70 71 72 73 74 ... 169

Вторая версия данного протокола предусматривает достаточно надежную аутентификацию, однако она пока почти нигде не используется. В первой же версии происходит только проверка так называемой community-string (посылаемой в plain-text виде по UDP). Стандартными значениями community-string являются «public» и «private», и они, в большинстве случаев, не меняются администраторами. Наиболее простым клиентом в SNMP службе является пакет утилит snm-putils под Unix, в состав которого входит snmpwalk, позволяющий получить большое количество интересной информации.

Так, в случаемы можем получить список запу-

щенных процессов (с приоритетами и информацией о занимаемой памяти и процессорном времени), список установленного софта с указанием версий (тот, что появляется в меню Start->Control Panel-

>Add/Remove Programs), список установленного оборудования и всю

текущую информацию о маршрутизации.

Более того, есть возможность таким образом изменить настройки маршрутизации, чтобы пустить весь траффик по маршруту, где исследователь сможет подвергнуть его анализу.

Passive fingerprinting

Итак, идея passive fingerprinting-a заключается в анализе информации, доступной без непосредственного воздействия на исследуемую

систему. Существующие на сегодняшний день методы можно разделить на анализ сетевого трафика и анализ информации уровня приложений.

Метод анализа проходящих пакетов

В сигнатуру пакета, на основе которой предполагается производить определение ОС, входят следующие поля:

TTL — здесь ситуация совпадает с описанной несколько выше (в разделе об анализе TTL с помощью утилиты ping);

Window Size — размер— это количество пакетов, ко-

торое может послать отправитель без прихода подтверждения от получателя. Оно может меняться в зависимости от качества связи. Различные ОС используют различные начальные значения этого параметра и

различные алгоритмы его модификации. Так, например, Linux, Solaris,

FreeBSD поддерживают более или менее постоянное значение, a Cisco и Windows непрерывно его модифицируют;

DF — этот флаг TCP-пакета используется для запрета его фраг-

215

---

ментации. Практически все ОС устанавливают его, однако некоторые (такие, как OpenBSD или SCO-Unix) не делают этого;

TOS — это поле определяет желаемые характеристики соединения (скорость, качество, дешевизну) и его анализ также может помочь в определении ОС. ID — первоначальное (при установке соединения) значение этого поля также различно для разных операционных систем.

При применении данного метода следует использовать статистический подход — накапливать информацию, относящуюся к одному соединению, а затем определять по заранее составленным таблицам наиболее вероятную ОС.

Анализ проходящего трафика на менее глубоком уровне также может дать некоторую информацию, например, какими сервисами каких удаленных систем пользуется система, относительно которой производится сбор информации. Удобным в установке и настройке сниф-

фером (инструментом для анализа проходящих пакетов) является

snort (www.snort.org).

Application level passive fingerprinting

Другим подходом к пассивному анализу удаленной системы является анализ информации уровня приложений. Он может осуществляться как на основе анализа проходящего траффика (как в предыдущем методе), так и на основе анализа информации, получаемой серверными приложениями исследующей системы от различных удаленных клиентов. Примером последнего метода могут послужить decoy — способ определения атак на систему путем подмены обычных серверных приложений (таких, как ftp, http, smtp, рорЗ сервера) на приложения, выполняющие их функции и попутно регистрирующие нетипичную деятельность клиента.

Рассмотрим, какую информацию об удаленной системе можно получить, анализируя взаимодействие ее клиентского программного обеспечения с серверным.

Ping-payload

Принцип работы утилиты ping основан на посылке ICMP-паке-та ICMP-Echo, содержащего произвольные данные, на который хост-адресат отвечает пакетомсодержащим те же самые

данные. Время между отправкой ping-пакета и получением ответа на него и является временем отклика удаленной системы. С точки зрения

216

---

пассивного анализа, интерес представляет способ генерации данных, заполняющих пакет. Различные операционные системы используют различное наполнение. Так, в случае Win2К, содержимое пакета будут составлять строчные символы латинского алфавита («abcde...xyz-abcd...»), а в случае RedHat 6.1 в содержимом будут и цифры, и специальные символы. Эти отличия позволяют попытаться распознать операционную систему ping-ующего хоста.

HTTP

Данный протокол позволяет серверу получить некоторую информацию о клиентской машине, основываясь, главным образом, на составе и порядке header-ов в запросе (несущих вспомогательную информацию).

Так, например, заголовоксодержит информацию об

используемом браузере, а зачастую, и о клиентской операционной системе.

Более подробную информацию о клиенте (которым, собственно, является браузер) сервер может получить, отослав клиенту мент, содержащий специальный javascript-код, определяющий необходимые серверу параметры и возвращающий их серверу, используя, например, механизм CGI. Наэтом основывается работа многочисленных баннерных сетей и счетчиков. Хорошим примером подобного javascript-кода может служить счетчик spyloga. Однако подобная техника не может считаться полностью пассивной, так как может быть опознана на клиентской стороне.

FTP

Несмотря на кажущуюся простоту, и этот протокол позволяет серверу достаточно точно определить клиентское программное обеспечение. При успешном соединении клиент в начале ftp-сессии подает некоторые из следующих команд: AUTH, USER, PASS, PWD, PORT, SYST, EPSV, PASV, LIST, CWD. To, какие именно команды и в каком порядке он подает, позволяет уверено различать многих клиентов:

линукс-клиент (AUTH, USER, PASS, SYST, PORT)

стандартный Windows-клиент (USER, PASS, PORT)

клиент, встроенный в Far (USER, PASS, PWD)

FreeBSD-клиент (USER, PASS, SYST, EPSV)

MSIE (USER anonymous, PASS IEUser®, TYPE I, PASV, CWD)

217

0 ... 68 69 70 71 72 73 74 ... 169