Rozdział 4. ¨ Techniki rozpoznania i skanowania 111
W dzisiejszych czasach coraz częstszym i bardzo pilnym problemem każdej firmy jest zachowanie bezpieczeństwa i poufności przetwarzanych danych oraz dostępności prowadzonych usług. Jest to tym trudniejsze, że oprogramowanie wykorzystywane w tym celu jest coraz bardziej skomplikowane, a co idzie z tym w parze — coraz bardziej podatne na infiltrację. Aby jednak przeprowadzić jakiekolwiek działania w celu zaatakowania wybranego celu, haker musi najpierw go zlokalizować, a następnie zebrać o nim jak najwięcej informacji, by wybrać najodpowiedniejszy sposób zaatakowania. I tu właśnie pojawiają się technologie umożliwiające przeprowadzanie rozpoznania i skanowania. Skanowanie to pojęcie bardzo zbliżone do rozpoznania, można by nawet powiedzieć, że jest szczególnym przypadkiem rozpoznania. Skanowanie jest również sposobem zbierania informacji, szczególnym ze względu na sposób ich otrzymywania, który polega na poszukiwaniu otwartych i nasłuchujących portów komputera, a następnie ich badaniu. Skanery portów (programy wykonujące tę operację) potrafią znacznie więcej — ich zadanie nie ogranicza się do sondowania pojedynczych portów czy też komputerów. Nowoczesne skanery potrafią zbadać wiele portów różnych komputerów przy użyciu czasem bardzo wymyślnych technologii, mogą również odpowiednio przetworzyć otrzymane dane, tak by stanowiły dla użytkownika programu wymierną podstawę do dalszych działań. W rozdziale tym nauczymy się zbierać informacje o potencjalnym celu naszego ataku. Do naszych badań wykorzystamy technologie oparte na skanowaniu portów.
Użytkownicy zarówno prywatni, jak i korzystający z łączy w pracy, pragnęliby zapewne zachować anonimowość podczas korzystania z Internetu. Jest to wprawdzie możliwe, lecz bardzo trudne do zrealizowania. Istnieje jednak usługa, dostępna pod adresem www.anonymizer.com, pozwalająca na anonimowe poruszanie się po stronach WWW (patrz rysunek 4.1).
Rysunek 4.1.
Usługa pozwalająca na anonimowe przeglądanie stron WWW
W tej części książki przyjrzymy się technologiom stosowanym przez hakerów do badania sieci i poszczególnych jej składników.
Rozpoznanie jest pierwszym krokiem podejmowanym przy planowaniu ataku na sieć, czy to odległą, czy też lokalną. Każda dobrze przemyślana próba penetracji wymaga pewnej wiedzy o celu ataku. Atak wykonywany z zewnątrz sieci docelowej nazywany jest atakiem zdalnym. Przedstawię teraz kilka sposobów na otrzymanie informacji o sieci za pomocą Internetu.
Działania przedstawione w tej części mogą być użyte w dowolnej kolejności, zależnie od naszej wiedzy o atakowanej sieci. Przykład, którego użyjemy, będzie się odnosił do atakowanej firmy o nazwie XYZ, Inc. (nazwa firmy, domena oraz adres zostały zmienione).
Odnalezienie określonej sieci może być tak skomplikowane, jak przysłowiowe poszukiwanie igły w stogu siana — jest możliwe, lecz bardzo trudne. Whois jest usługą internetową pomagającą użytkownikowi znaleźć URL (Universal Resource Locator) wybranej firmy lub też użytkownika zarejestrowanego w jej sieci.
Udane zapytanie wysłane do usługi Whois pociąga za sobą znalezienie nazwy domeny sieci poszukiwanej firmy. Nazwy domen są ciągami znaków, do których przyporządkowane są adresy. Adresy te są zaś zwykle przyporządkowane interfejsom, za pomocą których komunikują się poszczególne sieci lub komputery. W nazwach domen bardzo często są zawarte słowa identyfikujące nazwę firmy, serwera, organizacji oraz rodzaju prowadzonej działalności, na przykład www.companyname.com. Najważniejszym rejestrem Whois jest katalog udostępniany przez Internet Network Information Center (InterNIC). InterNIC odpowiada za rejestrowanie nazw domen oraz adresów IP, jak również za rozprzestrzenianie informacji o sieci. InterNIC, położony w Herndon w stanie Virginia, powstał w 1993 roku jako konsorcjum utworzone przez U.S National Science Foundation, AT&T, General Atomics oraz Network Solutions, Inc.
Pod wymienionymi niżej adresami URL znajdziesz najważniejsze serwery świadczące usługi Whois:
t http://www.internic.net/whois.html — katalog Whois udostępniony przez InterNIC,
t www.networksolutions.com/cgi-bin/whois/whois.html — informacje o domenach w Ameryce Północnej,
t www.ripe.net — informacje o domenach europejskich,
t www.apnic.net — informacje o domenach położonych w Azji oraz na Pacyfiku.
Na rysunku 4.2 oraz 4.3 znajdują się przykłady użycia usługi Whois (Network Solutions — InterNIC) do zlokalizowania poszukiwanej przez nas firmy XYZ, Inc. Jak widać, udało się znaleźć parę ważnych informacji na jej temat, przede wszystkim jej URL: www.xyzinc.com.
Rysunek 4.2.
Główna strona serwisu wyszukiwawczego Whois dostępnego pod adresem www.netsol.com
Teraz, gdy już zlokalizowaliśmy i zweryfikowaliśmy adres naszego celu, następnym krokiem jest kliknięcie nazwy domeny znajdującej się w rezultatach zapytania (patrz rysunek 4.2).
Rysunek 4.3.
Wyniki wyszukiwawcze wskazują poszukiwaną przez nas firmę
Aborting search 50 records found .....
XYZ (MYWAYOUT-DOM MYWAYOUT.COM
XYZ (DOUBLEENVELOPE2-DOM) DOUBLEENVELOPE.NET
XYZ (PARAG-TRAVELS2-DOM) PARAG-TRAVELS.COM
XYZ (UDAYHOMEWORLD4-DOM) UDAYHOMEWORLD.ORG
XYZ (XYZINC-DOM) XYZINC.COM
XYZ (INDIA-ASTORO2-DOM) INDIA-ASTORO.NET
XYZ (XYZSTUDIOS-DOM) XYZSTUDIOS.COM
XYZ (DOUBLENVELOPE-DOM) DOUBLENVELOPE.COM
XYZ (INDIA-ASTORO-DOM) INDIA-ASTORO.COM
XYZ (DOUBLEENVELOPE3-DOM) DOUBLEENVELOPE.ORG
XYZ (INFOGIUBILEO-DOM) INFOGIUBILEO2000.COM
XYZ (PARAG-TRAVELS-DOM) PARAG-TRAVELS.ORG
XYZ (PARAG-TRAVELS3-DOM) PARAG-TRAVELS.NET
XYZ (INDIA-ASTORO3-DOM) INDIA-ASTORO.ORG
XYZ (KISSMEHENTAI-DOM) KISSMEHENTAI.COM
XYZ (DOUBLENVELOPE2-DOM) DOUBLENVELOPE.NET
XYZ (XY79-ORG) hostmaster@ACTIVEHOST.COM 518-372-2842
XYZ (XY25-ORG) no.valid.email@WORLDNIC.NET +39 0444 492509
XYZ (DOUBLENVELOPE3-DOM) DOUBLENVELOPE.ORG
XYZ (UDAYHOMEWORLD3-DOM) UDAYHOMEWORLD.COM
XYZ (UDAYHOMEWORLD2-DOM) UDAYHOMEWORLD.NET
XYZ Art (XYZART2-DOM) XYZART.COM
XYZ Beheer (DEJOODE2-DOM) DEJODE.ORG
XYZ Beheer (DEJOODE-DOM) DEJODE.COM
XYZ Beheer (DEJOODE3-DOM) DEJODE.NET
XYZ Bend (RECONDRUM-DOM) RECONDRUM.COM
XYZ Co. (BELLSODOMREGTEST2-DOM) BELLSODOMREGTEST.COM
XYZ Communications (XYZCOMMUNICATIONS2-DOM) XYZCOMMUNICATIONS.NET
XYZ Communications (XYZCOMMUNICATIONS-DOM) XYZCOMMUNICATIONS.ORG
XYZ Communications (XYZCOMMUNICATIONS3-DOM) XYZCOMMUNICATIONS.COM
XYZ Communicazione sr1 (XYZCOMM-DOM) XYZCOMM.COM
Późniejsza weryfikacja pozwoli potwierdzić poprawność otrzymanego tą metodą adresu. Szczegółowe informacje o firmie XYZ, Inc. posiadającej URL www.xyzinc.com zawierają m.in.:
t kontakt do administracji: Bill Thompson (oczywiście jest to pracownik XYZ, Inc.),
t kontakt z obsługą techniczną: najprawdopodobniej jest to adres lokalnego dostawcy usług internetowych,
t adresy serwerów sieci: 207.237.2.2 oraz 207.237.2.3.
Kolejnym krokiem będzie wykorzystanie prostego programu opartego na protokole ICMP, a nazywającego się ping. Dzięki niemu otrzymamy adres IP serwera obsługującego www.xyzinc.com. PING (akronim od Packet Internet Groper) jest nazwą programu sprawdzającego, czy określony komputer jest podłączony do Internetu; w tym celu wysyła pakiet ICMP na adres IP sprawdzanego komputera, a następnie czeka na odpowiedź.
Rysunek 4.4.
Szczegółowe informacje dotyczące posiadacza odszukanej domeny: adresy administratora, obsługi technicznej, administracji oraz adresy DNS
Registrant:
XYZ, Inc. (XYZINC-DOM)
123 Anystreet Ave.
Ft. Pierce, FL. 34981
US
Domain Name: XYZINC.COM
Administrative Contact:
Thompson, Bill (BT4511) BTHOMPSON@XYZINC.COM
5613593001 (FAX) 5613593002
Technical Contact, Billing Contact:
HOSTMASTER (HO1511) HOSTMASTER@ISP.COM
8009291922
Record last updated on 31-Jan-2001.
Record expires on 18-Nov-2001.
Record created on 17-Nov-1996.
Database last updated on 12-Mar-2001 17:15:37 EST.
Domain servers in listed order:
NS1.ISP.COM 207.237.2.2
NS2.ISP.COM 207.237.2.3
Program ping może być uruchomiony z okna trybu MS-DOS (w systemie Windows) lub z powłoki systemu UNIX. Sposób, w jaki uruchomienie programu ping powoduje ujawnienie adresu IP, można przedstawić w pięciu krokach.
1. Program odczytuje zapytanie sformułowane przez użytkownika (w formie parametrów).
2. Nazwa domeny jest wysyłana do lokalnego serwera DNS (w celu przetłumaczenia jej na adres IP, gdyż w innym przypadku niemożliwe byłoby dostarczenie pakietu ICMP).
3. Ponieważ adres URL (www.xyzinc.com) jest nieznany lokalnemu serwerowi DNS, zostaje wysłane zapytanie do jednego z głównych serwerów DNS obsługiwanych przez InterNIC, który przesyła je dalej do serwera DNS obsługującego www.xyzinc.com.
4. Tam też domena www.xyzinc.com jest kojarzona z adresem IP.
5. Ostatecznie adres ten przekazany zostaje do lokalnego serwera DNS, który przesyła ją programowi ping jako odpowiedź. Dopiero w tym momencie ping może wysłać pakiet sprawdzający połączenie z serwerem firmy XYZ.
Przyjrzyj się rysunkowi 4.5 pokazującemu schemat tej operacji. Ponadto na rysunku 4.6 znajduje się wynik zapytania programu ping wykonanego dla adresu www.xyzinc.com.
Rysunek 4.5.
Zapytania ICMP (ping) wędrują od naszego serwera DNS do serwera DNS InterNIC, dalej do serwera DNS docelowej sieci, ostatecznie zaś do serwera WWW firmy XYZ w celu otrzymania odpowiedzi
Rysunek 4.6.
Za pomocą programu ping możemy w prosty sposób znaleźć adres IP badanej domeny
Na CD-ROM-ie dołączonym do książki znajduje się program automatyzujący proces przeprowadzania rozpoznania.
Typowe rekordy serwerów DNS dla domeny zawierają informacje o parach nazwa-adres IP serwerów pocztowych, www i ftp. Używając jedynie programu ping, możemy zdobyć dodatkowe informacje.
C:\ping mail.xyzinc.com
Badanie mail.xyzinc.com [206.0.126.11] z użyciem 32 bajtów danych
Odpowiedź z 206.0.126.11: bajtów=32 czas=398ms TTL=49
Odpowiedź z 206.0.126.11: bajtów=32 czas=392ms TTL=49
Odpowiedź z 206.0.126.11: bajtów=32 czas=401ms TTL=49
C:\ping ftp.xyzinc.com
Badanie ftp.xyzinc.com [206.0.126.12] z użyciem 32 bajtów danych
Odpowiedź z 206.0.126.12: bajtów=32 czas=317ms TTL=53
Odpowiedź z 206.0.126.12: bajtów=32 czas=345ms TTL=53
Odpowiedź z 206.0.126.12: bajtów=32 czas=350ms TTL=53
Odpowiedź z 206.0.126.12: bajtów=32 czas=322ms TTL=53
Posiadamy już więc informacje o najważniejszych serwerach w badanej sieci.
www www.xyzinc.com 206.0.12.0
mail mail.xyzinc.com 206.0.126.11
ftp ftp.xyzinc.com 206.0.126.12
Ogólnoświatowa sieć WWW jest bardzo często nazywana autostradą informacyjną, a to z tego powodu, że zawiera miliony megabajtów informacji, które są w każdym momencie przeglądane przez niezliczoną ilość ludzi na całym świecie. Za większość czynności związanych z odnajdywaniem informacji w sieci odpowiedzialne są specjalne serwery nazywane serwisami wyszukiwawczymi.
Serwisy wyszukiwawcze oraz grupy dyskusyjne są wspaniałym narzędziem badania atakowanej sieci, stąd w części tej opiszemy metody zdobywania wiadomości dostępnych tą drogą. Adresy, numery telefonów, kontakty — to tylko niektóre z informacji, które można uzyskać, pobrać oraz zweryfikować za pomocą wyszukiwarek internetowych. Lista najobszerniejszych i najważniejszych serwisów wyszukiwawczych z...
atari666