Анализ атаки (часть 2)

Анализ атаки (часть 1)

Дон Паркер

В первой части мы показали вам информацию, которую можно наблюдать при открытии последовательности пакетов, отправленных Nmap. Отправляемая последовательность начинается с эхо-ответа ICMP, который позволяет определить, назначен ли компьютеру или сети IP-адрес.

Кроме того, мы также можем предположить, что сеть атакованного компьютера представляет собой сеть на базе Windows, посмотрев на ttl в пакете эхо-ответа ICMP, который он отправляет обратно. Теперь необходимо продолжить наблюдение за оставшимися пакетами в сканере Nmap и найти оставшуюся информацию, чтобы иметь возможность узнать профиль сети-жертвы.

Продолжать

10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 > 192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1.....o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^...^
0x0020: 5010 0800 fd46 0000 P....F..

10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 > 192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(..........o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$...^...^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P...h.........

Два пакета выше идут после пакетов ICMP, которые мы наблюдали в части 1. Nmap отправил пакет ACK на IP-адрес сети жертвы 192.168.111.23 на порт 80. Поскольку информация поддельная, мы не получаем здесь полной картины. Видно только, что пакет ACK, полученный от злоумышленника, был ответным пакетом RST, поскольку этот ACK не ожидался. По сути, это не часть ранее установленного соединения. У нас по-прежнему есть значение ttl, равное 128, что соответствует значению ttl, наблюдавшемуся ранее.

10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 3072
0x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q...o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o.....w.......
0x0020: 5002 0c00 37ce 0000 P...7...

10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 > 192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o.....ds}Dw...
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `...OX........

10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n........o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o.....w...w...
0x0020: 5004 0000 ca50 0000 P....P..

После обмена пакетами ACK и RST мы видим, что настоящий пакет SYN был отправлен от хакера в сеть жертвы, о чем свидетельствует пакет с жирным шрифтом S. Это позволяет нам сделать вывод, что пакет SYN/ACK возвращается из сети жертвы на ее порт 21. Затем этот обмен завершается пакетом RST, отправляемым обратно с компьютера хакера в сеть жертвы. Теперь эти три пакета содержат массу информации о подделке.

У нас также есть ttl 128 с машины-жертвы, но также и win64240. Хотя это значение не указано, это действительно размер, который я много раз видел ранее в Win32 (32-разрядные версии Microsoft Windows, такие как Win NT, 2K, XP и 2K3). Еще одним ограничением компьютеров Windows является непредсказуемость количества их IP-идентификаторов. В этом случае у нас есть только одно значение IP-идентификатора. Нам нужно как минимум еще одно значение, прежде чем мы сможем с уверенностью сказать, что этот компьютер является компьютером Microsoft Windows. Обратите внимание на оставшиеся пакеты сканирования Nmap.

10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(....;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o....Pw.......
0x0020: 5002 1000 3393 0000 P...3...

10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 > 192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw...
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `...y.........

10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o........o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o....Pw...w...
0x0020: 5004 0000 ca15 0000 P.......

Первое, на что обращает внимание хакер, — это то, увеличивается ли номер идентификатора IP до 399. Этот DI IP действительно равен 399, как мы можем видеть в середине пакета. Обладая этой информацией, хакер совершенно уверен, что атакуемый им компьютер — это компьютер под управлением Windows NT, 2K, XP или 2K3. В этой последовательности пакетов также наблюдается, что порт 80 в сети жертвы, по-видимому, обслуживается, о чем свидетельствует пакет SYN/ACK; пакет SYN/ACK определяется путем проверки поля флага в заголовке TCP; в данном случае подчеркнутое шестнадцатеричное значение равно 12 или 18 в десятичном виде. Это значение можно определить, добавив значение флага SYN 2 к значению флага ACK 16.

Перечисление

Как только хакер узнает, что оба порта 21 и 80 открыты для предприятия, он перейдет в состояние перечисления. Теперь ему нужно узнать, какой тип веб-сервера прослушивает соединения. Для этого хакера было бы бессмысленно использовать уязвимость Apache на веб-сервере IIS. Имея это в виду, злоумышленник откроет сеанс cmd.exe и выяснит тип сети.

C:\>nc.exe 192.168.111.23 80
GET slslslls
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87

The parameter is incorrect.

C:\>

Мы можем наблюдать отмеченный выше тип сети или синтаксис nc.exe, который хакер вводит в IP-адрес жертвы, а также порт 80. После входа хакер вводит HTTP-код метода GET, за которым следуют несколько грамматически неверных предложений. Это действие может привести к тому, что веб-сервер сети-жертвы начнет отправлять обратно информацию своей системе, даже если он не понимает, что именно запрашивается. Вот почему они, естественно, перечисляют информацию, необходимую хакерам. Теперь хакер видит, что он находится в Microsoft IIS 5.0. Еще более хорошие новости, потому что у хакеров есть несколько способов использовать эту версию.

Заключение

Выполнив сканирование сети жертвы с помощью Nmap, хакер может получить ряд важных пакетов данных. Внутри этих пакетов данных, как мы увидели, находится множество информации, позволяющей хакерам использовать уязвимости в архитектуре, операционной системе, типе сети и типе сервера.

Короче говоря, таким образом хакеры могут получить ключевую информацию о хосте, архитектуре и предоставляемых услугах. Имея эту информацию на руках, хакер может начать атаку на веб-сервер сети жертвы. В следующем разделе мы подробнее расскажем о том, какие атаки хакеры могут использовать для атак на пользователей в этом случае.

Анализ атаки (часть 3)