Фільтр перехоплення, та його використання
Поможем в ✍️ написании учебной работы
Поможем с курсовой, контрольной, дипломной, рефератом, отчетом по практике, научно-исследовательской и любой другой работой

Виконання програми Netmon можна спланувати за допомогою команди AT яка вводиться у консолі cmd. Оскільки використовується спеціалізований фільтр перехоплення за допомогою якого можна визначити достатньо великий буфер перехоплення, то йому необхідно задати виконання протягом достатньо довгого періоду часу.

Використання фільтру перехоплення

Netmon /autostart /buffersize 1024000 /capturefilter с:/smbdelete.cf /autostop

Приведений вище текст команди необхідно ввести у текстовий редактор і зберегти як файл .bat. Для автоматизації процесу необхідно використати службу "Планувальник завдань".

На рис.2.7 зображено використання служби "Планувальник завдань" для автоматизації сеансу Netmon. Необхідно запустити службу планувальника, використовуючи аплет служби в панелі управління, у вікні CMD ввести необхідну команду AT. В даному випадку планувальник виконуватиме файл .bat з понеділка до п'ятниці в 5:00 після обіду. Приведений вище файл .bat виконуватиметься, поки буфер не заповниться, і потім зупиниться.

Виконуючи автоматичний сеанс Netmon під час прояву серверної проблеми, є можливість знайти неправильно працюючу програму, яка намагається повторно видалити вже видалений файл.

Ретельно створений фільтр перехоплення полегшує знаходження проблемної програми. При виявлені повідомлення про помилку, фільтр покаже, яка програма виконувалася в даний час. Крім того, можна включити перегляд часу при відкритті файлу перехоплення і точно побачити, який кадр відповідає певному повідомленню про помилку в переглядачі подій [6].

Проблеми що виникають при широкомовленні

 

Широкомовлення завжди є хорошим об'єктом для моніторингу, оскільки примушує всі машини в підмережі проглядати кадр. Це створює зайву роботу для багатьох машин. Крім того, коли виникає надмірна кількість широкомовних запитів, це створює руйнівний вплив на мережу.

При розгляді трафіку широкомовлення перший крок полягає в створенні фільтру виводу широкомовлення, що вибирає всі широкомовні повідомлення у вікні фільтру виводу, після цього перевірка широкомовних повідомлень достатньо прямолінійна. Якщо виникає широкомовний запит, як на рис.2.8, його легко виявити. Найбільш активному користувачеві звіт може дати уявлення про те, як він впливає на мережу. З рис.2.8 видно що один користувач використовує велику частину трафіку у мережі.

Наступний пакет ARP показує IP-адресу і MAC адресу машини, яка викликає надмірне широкомовлення .

Для отримання імені користувача можна виконати наступні команди:

· використати ping –a 10.0.0.163 для отримання імені хосту;

·  використати arp –a для виведення кешу ARP;

· використати nbtstart –a 10.0.0.163 для отримання таблиці імен NetBIOS віддаленої машини.

Для усунення надмірного широкомовлення необхідно дослідити машину і перевірити, яке програмне забезпечення встановлено, які протоколи завантажено, а також вид використовуваного мережевого адаптера. Також, необхідно подивитися, чи існують оновлення для будь-якого з цих об'єктів, драйверів, перевірити оновлення вбудованих програм самого комп'ютера.

Визначивши, коли виникла проблема, можна дізнатись про те, яке програмне забезпечення було додане, видалене або оновлене, тобто що викликало проблему [2].



Розділ ІІІ. Методи захисту від несанкціонованого доступу в мережі T CP/ IP

Безпека комп’ютерів на базі Windows 2000/XP

Сканування мережі TCP / IP

Метою сканування є визначення IP-адрес хостів мережі, що атакуються, і для виконання сканування можна скористатися утилітою ping. На рис.3.1 представлений результат сканування утилітою ping хосту Sword-2000.

Із результату видно, що комп’ютер за вказаною адресою підключений до мережі і з’єднання працює нормально. Це найпростіший спосіб сканування мережі, од­нак, він не завжди при­водить до потрібного резуль­тату, оскільки багато вузлів блокують зворотню відправку пакетів ICMP за допомогою спеціальних засобів захисту.

Якщо обмін даними за протоколом ICMP заблокований, хакерами можуть бути використані інші утиліти, наприклад, hping. Ця утиліта здатна фрагментувати (тобто ділити на фрагменти) пакети ICMP, що дозволяє обходити прості пристрої блокування доступу, які не роблять зворотну збірку фрагментованих пакетів [9].

Інший спосіб обходу блокування доступу – сканування за допомогою утиліт, що дозволяють визначити відкриті порти комп'ютера. Прикладом такої утиліти є SuperScan, яка надає користувачам зручний графічний інтерфейс (див рис.3.2).

На рис. 3.2 приведений результат сканування мережі в діапазоні IP-адрес 1.0.0.1-1.0.0.7. Деревовидний список в нижній частині вікна відображає список всіх відкритих портів комп'ютера Sword-2000 серед яких TCP-порт 139 сеансів NETBIOS. Запам'ятавши це, перейдемо до детальнішого дослідження мережі – до її інвентаризації .



Інвентаризація мережі

Інвентаризація мережі полягає у визначенні загальних мережевих ресурсів, облікових записів користувачів і груп, а також у виявленні програм, що виконуються на мережевих хостах. При цьому хакери дуже часто використовують наступний недолік комп'ютерів Windows NT/2000/XP – можливість створення нульового сеансу NETBIOS з портом 139.

Нульовий сеанс

Нульовий сеанс використовується для передачі деяких відомостей про комп'ютери Windows NT/2000, необхідні для функціонування мережі. Створення нульового сеансу не вимагає виконання процедури аутентифікації з'єднання. Для створення нульового сеансу зв'язку необхідно з командного рядка Windows NT/2000/XP виконати наступну команду:

net use\\l.0.0.l\IPC$"" /user:""

Де1.0.0.1 – це IP-адреса комп'ютера Sword-2000 ,що атакується, IPC$ – це (абревіатура загального ресурсу мережі Inter-Process Communication) міжпроцесна взаємодія, перша пара лапок означає використання порожнього пароля, а друга пара в записі user:"" вказує на порожнє ім'я віддаленого клієнта. Анонімний користувач, що підключився нульовим сеансом за замовчуванням отримує можливість завантажити диспетчер користувачів, який використовується для проглядання користувачів і груп, виконувати програму проглядання журналу подій. Йому також доступні і інші програми віддаленого адміністрування системою, що використовують протокол SMB (Server Message Block - блок повідомлень сервера). Більше того, користувач, що під'єднався нульовим сеансом, має права на перегляд і модифікацію окремих розділів системного реєстру.

Ще один метод інвентаризації полягає у використанні утиліт net view і nbtstat з пакету W2RK. Утиліта net view дозволяє відобразити список доменів мережі.

C:\>net view /domain

Домен

SWORD

Команда виконана вдало.

В результаті відобразилася назва робочої групи SWORD. Якщо вказати знайдене ім’я домену, утиліта відобразить підключені до нього комп’ютери.

C:\>net view /domain : SWORD

\\ALEX-3

\\SWORD-2000

Тепер необхідно визначити зареєстрованого на даний момент користувача серверного комп’ютера Sword-2000 і завантажені на комп’ютері служби. З цією метою використаємо утиліту nbtstat. Результат її використання представлений на рис. 3.3. На цьому рисунку відображена таблиця, в якій перший стовбець вказує ім’я NetBIOS, в слід за ім’ям відображений код служби NetBIOS. Код <00> після імені комп’ютера означає службу робочої станції, а код <00> після імені домену – ім’я домену. Код <03> означає службу розсилки повідомлень, які передаються користувачу, що заходить в систему, ім’я якого стоїть перед кодом <03> в даному випадку Administrator.

На комп’ютері також працює служба браузера MSBROWSE, на що вказує код після імені робочої групи SWORD. Отже ми вже маємо ім’я користувача, зареєстрованого в даний момент на комп’ютері Administrator, за допомогою процедури net view, вказавши їй ім’я віддаленого комп’ютера. Визначаили також мережеві ресурси ком’ютера Sword-2000, які використовує Administrator. Результати пердставлені на рис. 3.4.

Отже, обліковий запис користувача Administrator відкриває загальний мережний доступ до деяких папок файлової системи комп’ютера Sword-2000 і приводу CD-ROM. Таким чином про комп’ютер відомо достатньо багато – він дозволяє нульові сеанси NetBIOS, на ньому працює користувач Administrator, відкриті порти 7, 9, 13, 17, 139, 443, 1025, 1027 комп’ютера, і в число загальних мережних ресурсів входять окремі папки локального диску C: . Тепер необхідно дізнатись пароль доступу користувача Administrator, після чого в розпорядженні буде вся інформація про жорсткий диск С: комп’ютера.

Якщо протокол NetBIOS через TCP/IP буде відключений (комп’ютери Windows 2000/XP надають таку можливість), можна використати протокол SNMP ( Simple Network Management Protocol – простий протокол мережевого управління), який забезпечує моніторинг мереж Windows NT/2000/XP [8].

 

Реалізація цілі

 Виконання атаки на системи Windows NT/2000/XP складається з наступних етапів.

· Проникнення в систему, що полягає в отриманні доступу.

· Розширення прав доступу, що полягає в зломі паролів облікових записів з великими правами, наприклад, адміністратора системи.

· Виконання мети атаки: отримання даних, руйнування інформації і так далі.

Проникнення в систему починається з використання облікового запису, виявленого на попередньому етапі інвентаризації. Для визначення потрібного облікового запису хакер міг скористатися командою nbtstat або браузером MIB, або якими-небудь хакерськими утилітами, удосталь представленими в Інтернеті. Виявивши обліковий запис, хакер може спробувати під'єднається до комп'ютера, використовуючи його для вхідної аутентифікації. Він може зробити це з командного рядка, ввівши таку команду.

D:\>net use\\1.0.0.1\IPC$ * / u: Administrator

Символ «*» у рядку команди указує, що для підключення до віддаленого ресурсу IPC$ потрібно ввести пароль для облікового запису Administrator. У відповідь на введення команди відобразиться повідомлення:

Type password for\\1.0.0.1\IPC$:

Введення коректного пароля приводить до встановлення авторизованого підключення. Таким чином, ми отримуємо інструмент для підбору паролів входу в комп'ютер. Генеруючи випадкові комбінації символів або перебираючи вміст словників, можна, врешті-решт, натрапити на потрібне поєднання символів пароля. Для спрощення підбору існують утиліти, які автоматично роблять всі ці операції, наприклад SMBGrind, яка входить в комерційний пакет CyberCop Scanner компанії Network Associates. Ще одним методом є створення пакетного файлу з циклічним перебором паролів.

Проте віддалений підбір паролів – далеко не наймогутніше знаряддя злому. Всі сучасні сервери, як правило, забезпечені захистом від багатократних спроб входу із зміною пароля, інтерпретуючи їх як атаку на сервер. Для злому системи захисту Windows NT/2000/XP частіше використовується могутніший засіб, що полягає у отриманні паролів бази даних SAM (Security Account Manager –диспетчер облікових даних системи захисту). База даних SAM містить шифровані коди паролів облікових записів, вони можуть витягуватися, зокрема віддалено, за допомогою спеціальних утиліт. Далі ці паролі дешифруються за допомогою утиліти дешифрування, що використовує який-небудь метод злому, наприклад, «грубою силою», або словниковою атакою, шляхом перебору слів із словника.

Найбільш відомою утилітою дешифрування є програма LC4 (скорочення від назви LOphtcrack), яка діє у парі з такими утилітами, як:

· Samdump - отримання шифрованих паролів з бази даних SAM.

· Pwdump - отримання шифрованих паролів з системного реєстру комп'ютера, включаючи віддалені системи. Ця утиліта не підтримує посилене шифрування Syskey бази SAM.

·  Pwdump2 - отримання шифрованих паролів з системного реєстру, в якому застосовано шифрування Syskey. Ця утиліта підтримує роботу тільки з локальними системами.

· Pwdump3 - те ж, що і Pwdump2, але з підтримкою віддалених систем.

Для отримання шифрованих паролів з комп'ютера Sword-2000 застосуємо утиліту Pwdump3:

C:\>pwdump3 sword-2000 > password. psw

Вміст отриманого файлу представлений у вікні додатку Блокнот (Notepad) (рис. 3.5).

Як видно, у файлі password.psw міститься обліковий запис Administrator який був знайдений на етапі інвентаризації. Щоб розшифрувати паролі, слід застосувати програму LC4 і хоча пробна версія цієї програми підтримує тільки дешифрування паролів методом словесної атаки, все ж дає можливість взлому паролів комп’ютера Sword-2000 рис. 3.6.

Таким чином, маючи можливість створення нульових сеансів підключення NETBIOS до комп'ютера, в принципі, можна отримати паролі облікових записів комп'ютера, включаючи адміністратора системи.

Для розширення прав доступу в системі використовуються спеціальні програми, що дозволяють виконувати віддалене керування системою, зокрема реєстрацію дій користувача. Для цього на комп'ютер можуть бути впроваджені так звані клавіатурні шпигуни – програми, що реєструють натиснення клавіш. Всі отримані дані записуються в окремий файл, який може бути відісланий на інший комп'ютер в мережі.

Інший варіант – розміщення в системі активного трояна, наприклад, NetBus, або Во2к (Back Orifice 2000), які забезпечують засоби прихованого віддаленого керування і моніторингу за атакованим комп'ютером[8].

Розглянемо роботу NetBus на прикладі двох мережевих комп'ютерів: клієнта - комп'ютер Sword-2000 (ІР-адрес 1.0.0.1), і сервера - комп'ютер Alex-3 (IP-адрес 1.0.0.5).

Для успішної роботи троянського коня NetBus на комп'ютері, що атакується, спочатку потрібно запустити серверний компонент, який називається NBSvr. При запуску програми NBSvr відображається діалог, представлений на рис.3.7.

Перед використанням сервера NetBus утиліту NBSvr необхідно налаштуаати. Для цього виконується така процедура:

·У діалозі NB Server (Сервер NB) клацнути на кнопці Settings (Параметри). На екрані з'явиться діалог Server Setup (Параметри сервера), представлений на рис.3.8. 

·Встановити прапорець Accept connections (Приймати з'єднання).

·У полі Password (Пароль) ввести пароль доступу до сервера NetBus.

·Із списку Visibility of server (Видимість сервера) вибрати пункт Full visible (Повна видимість), що дозволить спостерігати за роботою сервера NetBus (але для роботи краще вибрати повну невидимість).

·У полі Access mode (Режим доступу) вибрати Full access (Повний доступ), що дозволить робити на комп'ютері всі можливі операції віддаленого керування.

·Встановити прапорець Autostart every Windows session (Автозавантаження при кожному сеансі роботи з Windows), щоб сервер автоматично завантажувався при вході в систему.

·Клацнути мишею на кнопці ОК. Сервер готовий до роботи.

Тепер необхідно налаштувати роботу клієнта - утиліту NetBus.exe.

·Завантажити утиліту NetBus.exe, після чого відобразиться вікно NetBus 2.0 Pro, представлене на рис. 3.9.

·Вибрати команду меню Host * Neighborhood * Local (Хост * Сусідній хост * Локальний). Відобразиться діалог Network (Мережа), представлений на рис. 3.10.

·Клацнути на пункті Microsoft Windows Network (Мережа Microsoft Windows) і відкрити список мережевих хостів рис. 3.11.

·Вибрати комп’ютер з встановленим сервером NetBus, в даному випадку Sword-2000 і клацнути на кнопці Add (Додати). На екрані з’явиться діалогове вікно Add Host (Додати хост), рис. 3.12.

·В полі Host name/IP (Ім’я хосту/ІР) ввести ІР-адресу серверного хосту 1.0.0.1.

· В полі User name (Ім’я користувача) необхідно ввести ім’я облікового запису Administrator, а в полі Password (Пароль), що дешифрований програмою LC4 пароль 007.

· Клацнути на кнопці ОК. На екрані відобразиться діалог Network (Мережа).

· Закрити діалог Network (Мережа), клацнувши на кнопці Close (Закрити). На екрані відобразиться вікно NetBus 2.0 Pro із записом доданого хосту (рис. 3.13).

· Щоб під’єднатися до хосту Sword-2000 необхідно клацнути правою кнопкою миші на пункті списку Sword-2000 і з контекстного меню, що відобразилося, вибрати команду Connect (Під'єднати). У разі успіху в рядку стану вікна NetBus 2.0 Pro відобразиться повідомлення Connected to 1.0.0.1 (v.2.0) (Підключений до 1.0.0.1 (v.2.0)).

Після успішного з'єднання з серверним компонентом Netbus, використовуючи інструменти клієнта Netbus, можна зробити з атакованим комп'ютером все що завгодно. Практично йому будуть доступні ті ж можливості, що і у локального користувача Administrator. На рис. 3.14. представлений список інст­рументів клієнта NetBus, який відображений в меню Control (Управління).

Серед цих інструментів можна відзначити засоби, зібрані в підменю Spy functions (Засоби шпигунства), що містять такі інструменти, як клавіатурний шпигун, перехоплювачі екранних зображень і інформації, що отримується з відеокамери, а також засобу запису звуків. Таким чином, хакер, що проник у комп'ютер, може підглядати, підслуховувати і читати все, що бачить користувач, говорить, або вводить з клавіатури комп'ютера. Хакер також може модифікувати системний реєстр комп'ютера Sword-2000, завантажувати будь-які програми і перезавантажувати віддалену систему Windows, не кажучи вже про можливості перегляду і копіювання будь-яких документів і файлів.

Як уже згадувалося, описана в цьому розділі утиліта сервера NetBus, вимагає попереднього запуску на комп'ютері, що атакується. Останнє завдання складає цілу окрему область хакінгу і полягає в пошуку відкритих через недогляд каталогів інформаційного сервера IIS, а також у використанні методів «соціальної інженерії», що використовується для впровадження в комп'ютер троянських коней або вірусів.

 

Приховування слідів

Аудит, поза сумнівом, є одним з найбільш серйозних засобів захисту від взлому комп'ютерної системи, і відключення засобів аудиту – одна з перших операцій, яку виконують хакери при зломі комп'ютерної системи. Для цього застосовуються різні утиліти, що дозволяють очистити журнал реєстрації і/або відключити аудит системи перед початком роботи.

Для відключення аудиту хакери можуть відкрити консоль ММС і відключити політику аудиту, скориставшись засобами операційної системи. Іншим, могутнішим засобом, є утиліта auditpol.exe комплекту інструментів W2RK. З її допомогою можна відключати (і включати) аудит як локального, так і віддаленого комп'ютера. Для цього необхідно з командного рядка ввести таку команду.

C:\Auditpol>auditpol \\sword-2000 /disable

На екрані з'являться результати роботи:

Running...

Audit information changed successfully on \\sword-2000...

New audit policy on \\sword-2000...

(0) Audit Disabled

System  = No

Logon    = No

Object Access = No

Privilege Use   = No

Process Tracking = Success and Failure

Policy Change = No

Account Management = No

Directory Service Access   = No

Account Logon = No

Параметр команди \\sword-2000 - це ім'я віддаленого комп'ютера, а ключ /disable задає відключення аудиту на цьому комп’ютері. Утиліта auditpol.exe є досить ефективним засобом для управління мережевими ресурсами і також може бути інструментом який використовується при взломі. Також ця утиліта дозволяє включати і відключати аудит бази даних SAM, що є передумовою використання утиліти pwdump3.exe для отримання паролів з бази SAM.

Очищення журналів безпеки можна виконати або за допомогою утиліти проглядання журналів Windows 2000/XP, або за допомогою спеціальних утиліт. У першому випадку слід виконати наступні дії.

· Клацнути на кнопці Пуск (Start) і в головному меню, що з'явилося, вибрати команду Налаштування * Панель управління (Settings* Control Panel).

· У панелі управління, відкрити теку Адміністрування (Administrative Tools).

· Двічі клацнути на аплеті Управління комп'ютером (Computer Management). На екрані з'явиться діалог консолі ММС.

· Послідовно відкрити теки Службові програми * Перегляд подій (System Tools | Event Viewer).

· Клацнути правою кнопкою миші на пункті Безпека (Security Log).

· Вибрати команду контекстного меню Стерти всі події (Clear all Events). На екрані з'явиться діалог Проглядання подій (Event Viewer) з пропозицією зберегти журнальні події у файлі.

· Клацнути на кнопці Ні (No), якщо більше не потрібні зафіксовані в журналі події. Журнал буде очищений.

При очищенні журналу безпеки з нього витираються всі події, але відразу встановлюється нова подія - тільки що виконане очищення журналу аудиту! Таким чином, хакер все ж таки залишить свій слід - порожній журнал із зафіксованою подією очищення журналу[9].

Дата: 2019-07-24, просмотров: 203.