Zdradliwe porty

Przed włamaniem do komputera haker robi rozpoznanie, wyszukując luki w zabezpieczeniach. Uprzedź go i sam sprawdź, czy twój komputer ma słabe miejsca.

Przed włamaniem do komputera haker robi rozpoznanie, wyszukując luki w zabezpieczeniach. Uprzedź go i sam sprawdź, czy twój komputer ma słabe miejsca.

Komputery podłączone do Internetu lub sieci lokalnej komunikują się ze światem zewnętrznym przez porty, które pozwalają zarówno na wysyłanie, jak i odbieranie danych. Porty są "oknami na świat", z których korzystają różne programy, jak przeglądarka internetowa, klient FTP, ale także oprogramowanie serwerowe (np. serwer WWW), mogące odbierać połączenia z zewnątrz. Może z nich skorzystać również intruz, żeby dostać się do komputera. Napotyka przy tym pewne trudności - portów jest aż 65 535, a tylko niektóre z nich są otwarte przez pracujące w komputerze oprogramowanie. Takie porty umożliwiają nawiązanie komunikacji i ich właśnie będzie szukał intruz, posługując się przy tym tzw. skanerem portów.

Do ataku i obrony

Skanery portów są wykorzystywane przez internetowych włamywaczy we wstępnej fazie ataku do przeprowadzenia rekonesansu. Umożliwiają znalezienie potencjalnej ofiary i dostarczają wielu informacji o celu ataku oraz jego słabych punktach. Raporty generowane przez skanery portów dają wiedzę nie tylko o otwartych portach, ale również uruchomionych w obserwowanym komputerze usługach (serwerze WWW, FTP itd.), często też pozwalają ustalić wersję systemu operacyjnego.

Możesz sam użyć skanera portów, żeby poznać słabe punkty swojego komputera i w porę je zabezpieczyć. Możesz również w ten sposób przetestować skuteczność używanego firewalla. Programy tego typu powinny wykrywać prymitywne (niemaskowane) próby skanowania portów i w zależności od konfiguracji blokować wszelką transmisję z komputerem, z którego dokonano próby skanowania.

Znaczniki

Znaczniki protokołu TCP

Znaczniki protokołu TCP

Skanery portów badają po kolei porty komputera (każdy ma swój numer). Mogą sprawdzić wszystkie lub jedynie wybrany zakres. Sposobów badania portów jest kilka. Podstawowy polega na wykorzystaniu tzw. trzyetapowego uzgadniania połączenia. Jest to standardowa procedura tworzenia połączenia TCP, która ma następujący przebieg:

Etap 1 - komputer inicjujący połączenie (klient) wysyła pakiet TCP ze znacznikiem SYN.

Etap 2 - komputer odbierający połączenie (serwer) odsyła pakiet ze znacznikami SYN i ACK, potwierdzając żądanie utworzenia połączenia.

Etap 3 - komputer inicjujący odpowiada pakietem ze znacznikiem ACK, co potwierdza odebranie z serwera pakietu ze znacznikiem SYN.

Powyższa procedura jest przeprowadzana w całości tylko wtedy, gdy klient inicjuje połączenie przez otwarty port. Gdy port jest zamknięty, na drugim etapie nastąpi odesłanie pakietu ze znacznikiem RST, zrywającym połączenie.

Z kolei podczas próby skanowania wyłączonego komputera nie będzie żadnej odpowiedzi. W ten sposób skaner portów umożliwia wykrycie włączonych komputerów oraz odróżnia porty otwarte od zamkniętych.

Firewall wykrył próbę skanowania portów i zablokował wszelką komunikację z komputerem, z którego ją podjęto.

Firewall wykrył próbę skanowania portów i zablokował wszelką komunikację z komputerem, z którego ją podjęto.

Metoda szukania otwartych portów z wykorzystaniem trzyetapowego uzgadniania połączenia ma, z punktu widzenia włamywacza, istotną wadę - pozostawia ślady w plikach dzienników zapisywanych przez usługi, które odpowiedziały na żądanie utworzenia połączenia. Poza tym jest łatwo wykrywana przez firewalle, które mogą zafałszować wyniki. Dlatego niektóre programy, np. Nmap 3.70, dają dodatkowe możliwości obsługi pakietów, skrywające fakt skanowania portów. Przykładowo mogą na trzecim etapie wysłać pakiet ze znacznikiem RST (połączenie TCP nie zostanie utworzone i wiele usług nie odnotuje takiego zdarzenia w dzienniku) lub w ogóle odejść od procedury i wysyłać tylko pakiety ze znacznikiem ACK.

SuperScan 4.0

Za pomocą SuperScan 4.0 (program bezpłatny, znajdziesz go na dołączonej płycie lub pod adresem http://www.foundstone.com/resources/pro-ddesc/superscan.htm ) można badać porty TCP i UDP oraz zdobywać dodatkowe informacje, umożliwiające określenie, jaki system operacyjny działa w skanowanym komputerze. Program oferuje też wygodny dostęp do wielu poleceń sieciowych, np. ping, traceroute, pozwalających na zdobycie ogólniejszych informacji o celu ataku. Składa się z kart, na których pogrupowano funkcje skanowania i opcje konfiguracyjne.

Parametry skanowania możesz ustawiać na kartach Scan Options (m.in. opcja tłumaczenia nazw) oraz Host and Service Discovery, gdzie ustalisz m.in. metodę znajdowania komputerów pracujących w sieci, typ skanowania oraz określisz przedział portów, które będą skanowane. Zwróć uwagę, że nie musisz skanować wszystkich 65 tysięcy portów komputera. Najczęściej uruchamiane w komputerach usługi korzystają z reguły z tych samych portów, np. serwer FTP pracuje w porcie 21, przeglądarka WWW - w porcie 80. Dlatego z reguły wystarczy skanowanie początkowych portów, co trwa dużo krócej.

Po zakończeniu konfiguracji przejdź do karty Scan (pokazuje ją ilustracja na poprzedniej stronie) i zacznij skanowanie. Możesz podać adres IP lub nazwę pojedynczego komputera (pole Hostname/IP) lub zakres adresów IP (pola Start IP i End IP). Opcja Read IPs from file pozwala na pobranie adresów IP z pliku. Plik z adresami IP komputerów łatwo utworzysz za pomocą programu SoftPerfect Network Scanner 2.3 (bezpłatny, znajdziesz go pod adresem: http://www.softperfect.com ). Służy na przykład do szybkiego wyszukania w sieci lokalnej wszystkich dostępnych komputerów. Do rozpoczęcia lub wstrzymania skanowania przez SuperScan służą przyciski umieszczone w lewym dolnym rogu.

Po zakończeniu skanowania Super-Scan 4.0 wygeneruje raport widoczny w środkowym oknie. Zobaczysz w nim listę numerów otwartych portów TCP i UDP, jeśli programowi uda się je zidentyfikować. Szczegółowy raport w formie dokumentu HTML otrzymasz po kliknięciu przycisku View HTML Results. Znajdziesz w nim dodatkowe informacje o usługach nasłuchujących w odnalezionych otwartych portach.

NetScanTools Pro 2004

Raport programu Superscan 4.0 po przeskanowaniu portów wybranego komputera.

Raport programu Superscan 4.0 po przeskanowaniu portów wybranego komputera.

Pakiet narzędzi umożliwiający przetestowanie skuteczności firewalli i wyszukiwanie luk w zabezpieczeniach. Oprócz skanera portów, zawiera zestaw podstawowych narzędzi sieciowych (ping, traceroute) oraz funkcje NetBios Info, dające dostęp do informacji o udziałach sieciowych, listach użytkowników i słabo zabezpieczonych kontach w sieciach Windows NT/2000/XP. NetScanTools Pro 2004 jest komercyjny, producent nie udostępnia nawet wersji testowej.

Do skanowania portów służy Port Scanner. Oferuje typowe opcje skanowania, jak określenie zakresu adresów IP czy portów. Wadą są niewielkie możliwości ukrywania. Rekompensują to funkcje analizowania wyników. W raporcie skanowania przy otwartych portach znajdziesz niekiedy dodatkowe informacje o rodzaju i wersji nasłuchującej usługi. Jeśli chcesz, możesz próbować połączyć się z wybranym portem, klikając go prawym przyciskiem myszy i wybierając odpowiednią opcję (FTP, HTTP, telnet).

WUPS 1.4

Do badania portów UDP możesz wykorzystać prosty w obsłudze program WUPS 1.4 (bezpłatny, znajdziesz go na dołączonej płycie lub w Internecie: http://ntsecurity.nu/toolbox/wups ). Jego wadą jest możliwość skanowania tylko pojedynczego adresu IP. Poza tym wyniki, które podaje, mogą być często zafałszowane przez działanie filtrów pakietów (dotyczy to wszystkich skanerów UDP).

Skanować skrycie

Jeśli chciałbyś przetestować bardziej zaawansowane metody skanowania portów, z pewnością zainteresują cię następujące programy: IPEye 1.20 ( http://ntsecurity.nu/toolbox/ipeye ) oraz Nmap 3.70 ( http://www.insecure.org/Nmap ). Oba są bezpłatne i działają w trybie tekstowym (obsługa odbywa się z wiersza poleceń poprzez uruchamianie programu z wybranymi parametrami).

Nmap 3.70

IPeye 1.20 nie ma interfejsu graficznego, ale wykonywane za jego pomocą skanowanie portów jest trudniejsze do wykrycia.

IPeye 1.20 nie ma interfejsu graficznego, ale wykonywane za jego pomocą skanowanie portów jest trudniejsze do wykrycia.

Program Nmap 3.70 zasługuje na szczególną uwagę z powodu dużych możliwości i funkcji ukrywania skanowania, m.in. poprzez zaawansowaną obsługę pakietów. Chcąc korzystać z programu, rozpakuj plik archiwum, następnie uruchom wiersz poleceń i przejdź do katalogu, do którego rozpakowałeś pliki. Aby wywołać podstawową procedurę skanowania z użyciem trzyetapowego uzgadniania połączenia, wpisz polecenie Nmap -sT 127.0.0.1 (zamiast 127.0.0.1 wstaw interesujący cię adres IP). Takie skanowanie zostawi ślady w badanym komputerze.

Jeśli nie chcesz zostawiać śladów, wykorzystaj którąś z bardziej zaawansowanych metod. Wyboru dokonujesz, podając odpowiednie parametry, na przykład po wpisaniu polecenia Nmap -sS 127.0.0.1 program rozpocznie skanowanie, używając nieco zmodyfikowanej procedury trzyetapowego uzgadniania połączenia. Jeśli natrafi na otwarty port, odeśle na trzecim etapie pakiet ze znacznikiem RST, zamiast ACK. W efekcie połączenie nie zostanie utworzone i zdarzenie to nie zostanie z reguły odnotowane w dziennikach. Natomiast programowi wystarczy to do identyfikacji otwartego portu. Jeszcze bardziej zmniejsza prawdopodobieństwo pozostawienia śladów opcja -sF (Nmap -sF 127.0.0.1). Metoda polega na wysyłaniu tylko pakietów ze znacznikiem FIN, sygnalizującym koniec połączenia. W odpowiedzi program otrzyma od zamkniętych portów pakiet ze znacznikiem RST (port zamknięty zawsze odpowiada). Z kolei z otwartego portu nie nadejdzie żadna odpowiedź (otwarty port nie odpowiada na taką pozbawioną sensu próbę połączenia).

Opis wszystkich podstawowych parametrów programu Nmap 3.70 otrzymasz, wpisując polecenie Nmap.

IPEye 1.20

IPEye ma mniejsze możliwości niż Nmap 3.70, ale oferuje kilka przydatnych funkcji ukrywania. Opcja zmiany długości przerw między sprawdzaniem kolejnych portów umożliwia zmylenie systemów wykrywania włamań (IDS - Intrusion Detection System). Zwróć uwagę, że domyślnie ten parametr ma wartość 750 milisekund (jeden czwarta sekundy), co przy dużej liczbie skanowanych portów znacznie wydłuża proces. Mogą cię również zainteresować opcje modyfikowania źródłowego adresu IP i portu (utrudniają wykrycie źródła skanowania). Obsługa IPEye 1.20 odbywa się z wiersza poleceń poprzez wpisywanie poleceń z wybranymi parametrami.


Zobacz również