გამარჯობა, სტუმარო ( შესვლა | რეგისტრაცია )


 
Reply to this topic Start new topic
 Black Hat Hacking - რაღაც რაღაცეები ჰაკინგზე
 
Mr.G3n!0sa
პოსტი Apr 10 2017, 6:38
პოსტი #1


უსტუდბილეთო
*

ჯგუფი: Members
პოსტები: 3
რეგისტრ.: 10-April 17
მდებარეობა: 127.0.0.1
წევრი №: 13,741
კურსი:--


სალამი crazy.gif მოკლედ, ბევრი თხოვნების გამო გადავწყვიტე დავრეგისტრირებულიყავი და დამეწყო თქვენთვის ჩემი ცოდნის გაზიარება ჰაკინგის შესახებ.
დარწმუნებული ვარ აქ ხართ დამწყები/პრო პროგრამისტები,ინჟინრები და ა.შ ნუ ხალხი ვინც ამ სფეროში ტრიალებთ.შესაბამისად აუცილებელია იცოდეთ უსაფრთხოება.
ზუსტად ამ უსაფრთხოების მეორე მხარეს - HACKING-ს აგიხსნით დღეს.

ვებ აპლიკაციების ჰაკინგი ა-დან ჰ-მდე



..::ფაზა პირველი - გაცნობა::..



განსაზღვრება
ისევე როგორც მძარცველი აკვირდება, იკვლევს სიტუაციას და ადგენს გეგმას ძარცვის განხორციელებამდე, ასევე კიბერ შემტევიც აგროვებს საჭირო ინფორმაციას რაც შეიძლება მალულად და უცხო თვალისაგან შეუმჩნევლად საჭირო ობიექტის და მისი ვირტუალური გარემოს შესახებ. ამ ეტაპს მეორენაირად ეწოდება შეცნობა (რეცოგნიტიონ).


ინტერნეტის გარეშე
სოციალური ინჟინერია გულისხმობს ინფორმაციის შეგროვებას პიროვნებაზე ან დაწესებულებაზე სხვა პიროვნების სახელის გამოყენებით. მაგალითად, წარადგინოთ თავი რომელიმე კომპანიის მოხელედ და განაცხადოთ, რომ დაკარგეთ თქვენი ანგარიშის ლოგინი და პაროლი. ასეთი გზით ჰაკერს შეუძლია მიიღოს წვდომა მნიშვნელოვან ინფორმაციაზე, თუ დაწესებულებაში შესაბამისი პროცედურები არასაკმარისად მკაცრია.
სატელეფონი თაღლითობა - ეს არის დარეკვა ყალბი ტელეფონის ნომრით, არსებობს ინტერნეტ სერვისები, რომლებიც ამის განხორციელების საშუალებას იძლევა:
http://www.star38.com

http://www.telespoof.com/
http://www.camophone.com
სანაგვეებში ქექიალი - ზოგიერთ დაწესებულებაში ნაკლებად აქცევენ ყურადღებას ძველი დოკუმენტებისა თუ CD-ების გადაყრას განადგურების გარეშე, მათში კი შეიძლება იყო უმნიშვნელოვანესი ინფორმაცია სამიზნის შეცნობისათვის.
ახლო კავშირის/წვდომის ქონა დაწესებულების საკადრო და კომპიუტერულ ქსელში, მოხელეების პირად ინფორმაციაში, ფოსტაში და ა.შ. ხშირად უმნიშვნელოვანესი ინფორმაციის წყარო შეიძლება გახდეს.

ინტერნეტით
გუგლის საძიებო სისტემა იძლევა საკმაოდ დახვეწილი ძიების საშუალებას. ბევრი მათგანი ცნობილი გახდა ჯონი ლონგის http://johnny.ihackstuff.com/ -ის საშუალებით, საძიებო ნიღბები, რომლებიც საშუალებას გვაძლევს გამოვამჟღავნოთ ბუგები ინტერნეტ სივრცეში. ამ საიტზე თქვენ შეგიძლიათ გაეცნოთ ცნობილ Google Hacking Database-ს.
ინტერნეტში იჟონება მრავალი პირად ცხოვრებასთან დაკავშირებული მონაცემი. ისეთმა გიგანტურმა სოციალურმა ქსელებმა, როგორებიც არიან ფეისბუქი და ფლიკერი შეიძლება კრიტიკული ინფორმაცია მოგვცენ მსხვერპლის შესახებ, რაც შეიძლება დამატებით ბონუსად იქცეს სოციალურ ინჟინერიაში, ასევე ლექსიკონების შედგენისას Bruteforce შეტევისთვის.
ვინდოუსისთვის შექმნილი ზოგიერთი პროგრამა საშუალებას იძლევა გუგლის ბევრი ფუნქციის ავტომატური და ეფექტური გამოყენებისა, როგორებიცაა SiteDigger და Wikto.
დაწესებულების ოფიციალურ საიტებს ხანდახან მოაქვთ ცნობები მოხელეების შესახებ, მათ კარიერულ საფეხურზე, კომპანიაში კადრების მართვის სისტემაზე და ა.შ.
whois მონაცემთა ბაზები ასევე იძლევა ინფორმაციას (მისამართი, მფლობელის სახელი და გვარი, ემეილი, ტელეფონი, DNS, SMTP) IP-ს ან ვებ-მისამართის მიხედვით.
DNS მონაცემთა ბაზები სრული ინფორმაციის მომცემია დომენის შესახებ: A, NS, MX და ა.შ. მინდვრები. ამ ბაზასთან გაცნობა შეიძლება ბრძანების ველიდან კომპიუტერში nslookup, Dig ან ინტერნეტში შემდეგ მისამართზე: http://www.dnsstuff.com/

ხელსაწყოები

Sam Spade (ვინდოუსი) - ეს პროგრამა შეიცავს ძალიან მრავალფეროვან მენიუს სამიზნის გამოსაკვლევად და მის შესახებ ინფორმაციის მისაღებად.
Kartoo
Maltego
http://www.samspade.org/
http://whois.net/
http://www.dnsstuff.com/
http://www.traceroute.org/
http://www.network-tools.com/- Ping, Lookup, Trace, Whois, DNS, Spam Database


..::ფაზა მეორე - აღნუსხვა და სკანირება::..

აღწერა, ძირითადი მიმართულებები

ჰოსტის და მასზე არსებული სერვისების იდენტიფიკაცია
RPC (Remote Procedure Calls) -ის იდნტიფიკაცია Nmap-ის საშუალებით რათა მოხდეს შეტევის მიმართვა უშუალოდ კონკრეტულ დარღვევაზე (შესაბამისი ექპლოიტის გადმოწერა)
ქსელის აღმოჩენა და კარტოგრაფია
ეტაპები
ქსელის აღმოჩენა და კარტოგრაფია
ქსელის აღმოჩენა - თავდაპირველად საჭიროა მოხდეს ქსელში მსხვერპლის აღმოჩენა არსებული ინფორმაციის საფუძველზე, ანუ გავიგოთ, თუ კონკრეტულად რომელ IP მისამართზე,ჰოსტზე, ანდა რამდენიმე კომპიუტერისგან შემდგარ LAN ქსელზე უნდა მივიტანოთ შეტევა, მოკლედ რომ ვთქვათ, უნდა დადგინდეს ობიექტის ელექტრონული მისამართი (IP/MAC), მდებარეობა და ზოგადი ინფორმაცია.
ქსელის არქიტექტურის კარტოგრაფია - მას შემდეგ, რაც ჰაკერი დაადგენს, სად და რაზე უნდა მიიტანოს შეტევა, უკვე იძიებს მაქსიმალურ ინფორმაციას გარემომცველ ქსელზე, ანუ როგორ და რა გზით უკავშირდება მსხვერპლი ინტერნეტს, თუ გააჩნია ე.წ. WorkGroup-ი და რისგან შედგება ის, თუ არსებობს ლოკალის (LAN) გარეთ რაიმე ობიექტი, რომელსაც რეგულარულად უცვლის მონაცემებს.
მეთოდები
Tracerouting - გულისხმობს ქსელის არქიტექტურის ამოცნობას განსხვავებული TTL (Time To Live) მნიშვნელობების "თამაშით" რათა შემდგომში მოხდეს რუტერის ICMP პასუხების ანალიზი.


შემტევი თავიდან გაუგზავნის სამიზნეს პაკეტს, რომელსაც TTL ('ცხოვრების დრო')-ს მნიშვნელობა ექნება 1. პირველი რუტერი შეამცირებს TTL-ს მნიშვნელობას და აქცევს ნულად. ამ დროს ის გაუგზავნის შემტევს 11 ტიპის ICMP შეტყობინებას (time exceed), რაც ნიშნავს, რომ გაგზავნილ ინფორმაციას სამიზნე ჰოსტამდე არ მიუღწევია. შემტევი ფლობს უკვე პირველი რუტერის მისამართს. იგი გაიმეორებს ანალოგიურ მანიპულაციას, ოღონდ TTL იქნება ორის ტოლი. მოვა შეტყობინება მეორე რუტერისგან(მოჰყვება ინფორმაცია მისი IP-ს შესახებ) და ასე შემდეგ, სანამ ინფორმაცია არ მიაღწევს სამიზნეს. UNIX-ის მსგავს ოპერაციულ სისტემებში ბრძანება traceroute (tracert ვინდოუსში) გვეხმარება ამ დავალების ავტომატიზაციაში - პირდაპირ გვაწვდის რუტერების მისამართებს. იმ რუტერებისთვის, რომელთა IP-ს დადგენაც ვერ მოხერხდა, ამ უკანასკნელის მაგიერ იწერება ფიფქი (*) - ზოგიერთი რუტერი უსაფრთხოების გამო არ აგზავნის ინფორმაციას საკუთარ თავზე. მიღებული მონაცემები იძლევა ქსელის კარტოგრაფიის საშუალებას მეტ-ნაკლები სიზუსტით. მთელი პროცესის სრული ავტომატიზაციას ახდენს ხელსაწყო cheops-ng.
Email - შემტევს შეუძლია გააგზავნოს ემეილი არარსებულ მისამართზე, მაგრამ სამიზნე დომენზე, რათა მიიღოს ინფორმაცია ემეილ სერვერების შესახებ. მაგალითად, თუ კომპანიის დომენია company.com, შემტევი აგზავნის ემეილს cecxlichamedanavtimiayole@company.com, სერვერის მიერ გამოგზავნილი პასუხი გვაწვდის დაახლოებით ასეთ ინფორმაციას:

ხელსაწყოები - თუ WiFi ქსელი არსებობს, მაშინ პირდაპირ LAN-ში შეღწევა და იქიდან მოქმედებაა შესაძლებელი -
NetStumbler - აქტიური WiFi სკანირება,
Wellenreiter - პასიური WiFi სკანირება,
Kismet - პასიური WiFi სკანირება,
aircrack-ng
ESSID-Jack - გამოიყენება კლიენტის ძალით გამოსაერთებლად ქსელიდან, ეს მეთოდი გამოიყენება იმ შემთხვევაში, როდესაც HandShake ანაბეჭდის მიღება შეუძლებელია ყალბი მონაცემების გაგზავნით და საჭიროა უშუალოდ კლიენტისა და Access Point-ის დაკვირვება.
Metasploit - მისი მოდულები გამოიყენება ჰოსტების სკანირებისთვის და უამრავი სხვადასხვა მონაცების მისაღებად მათზე.
წინა ფაზაში აღწერილი DNS და Whois მონაცემთა ბაზები.
traceroute, cheap-ng, nmap და ა.შ.
პორტების სკანირება - პორტების სკანირებისთვის ერთ-ერთი საუკეთესო საშუალებაა Nmap-ი, მას გააჩნია მრავალი საჭირო და აუცილებელი ფუნქცია შეტევის ამ ეტაპის სისრულეში მოსაყვანად, თუმცა არანაკლებ აუცილებელია გამოყენების კარგად ცოდნა.
ეს ხელსაწყო იძლევა საშუალებას ჰოსტების და მათი პორტების მდგომარეობის იდენტიფიკაციისა. ასევე შეუძლია დაადგინოს ფაირევოლის არსებობა-არარსებობა, ხელსაყრელ შემთხვევაში კი ადგენს არის თუ არა იგი მზადყოფნაში
(პარამეტრი -sA ACK სკანირების გამოსაყენებლად). სკანირების ანონიმურობის გასაზრდელად შესაძლებელია პარამეტრ -sI-ს გამოყენება (Idle scan ტექნიკა).
FTP bounce: ეს მეთოდი შეიძლება განხორციელდეს -b პარამეტრით nmap-ში, იგი გულისხმობს FTP სერვერის გამოყენებას ჰოსტის rebound-ით (რიკოშეტი, ასხლეტვა, უკუკვრა) სკანირებისთვის.
TCP decoy: იგი მოიცავს სკანირებული ჰოსტის მოტყუებას რეალური სკანირების გადამალვის გზით ფიქტიურ სკანირებებში (-D პარამეტრი).
Idle scan: სტანდარტული კავშირგაბმულობის დამყარებისას (SYN - SYN/ACK -ACK), გადაცემულ პაკეტებს თან მიჰყვება, აცილებს საიდენტიფიკაციო ნომერი, ეგრედ წოდებული IPID. ეს უკანასკნელი რეგულარულად იზრდება ზოგიერთ ოპერაციულ სისტემასთან მუშაობის პროცესში (განსაკუთრებით ვინდოუსი). მეთოდი მოიცავს ამ დარღვევის გამოყენებით, კონკრეტულად კი მოცემულ პორტთან გაგზავნილი პაკეტების IPID-თა მნიშვნელობის ანალიზით პორტის მდგომარეობის დადგენას. შეტევის სპეციფიურობა იმაში მდგომარეობს ასევე, რომ შემტევი იყენებს ზომბირებულ ჰოსტს, რათა არ გამოჩნდეს სკანირებული ჰოსტის ჩანაწერების ჟურნალში (log).
ავტორიზებული წყარო(ლოკალური) პორტების გამოყენება: სკანირებით გამოწვეული ტრაფიკის ლეგიტიმურობის გასაზრდელად შესაძლებელია შევქმნათ, დავამზადოთ პაკეტები ფაირევოლის მიერ დაშვებული წყარო პორტების(პორტები, რომლიდანაც მოდის ინფორმაცია) მითითებით. (20/TCP, 21/TCP-FTP, 80/TCP-HTTP და ა.შ.).
ასევე, ფაირევოლი უმეტესწილად გამტარებელია ისეთი ტრაფიკისა, როგორსაც ის ჩათვლის ლეგიტიმური კავშირის პასუხად. ამ პრინციპით, 53/UDP პორტიდან გამოგზავნილ ტრაფიკს იგი შეძლებს, რომ DNS სერვერის პასუხად აღიქვას.
პაკეტების გაგზავნის სიხშირე - შესაძლებელია სკანირება გახდეს კიდევ უფრო შეუმჩნეველი, თუ პაკეტებს დროის გარკვეული შუალედებით გავგზავნით. Nmap-ი საშუალებას იძლევა სხვადასხვა დროის შუალედების გამოყენებისა:

Paranoid (0) : პაკეტების გაგზავნა ყოველ 5 წუთში.
Sneaky (1) : პაკეტების გაგზავნა ყოველ 15 წამში.
Polite (2) : პაკეტების გაგზავნა ყოველ 0.4 წამში.
Normal (3) : სტანდარტული პარამეტრი.
Aggressive (4) : პასუხის დალოდება მაქსიმუმ 1.25 წამი.
Insane (5) : პასუხის დალოდება მაქსიმუმ 0.3 წამი.
პაკეტების ფრაგმენტაცია: nmap სხვა მხრივაც იძლევა ანონიმურობის გაზრდის საშუალებას, გააჩნია რა პაკეტების ფრაგმენტაციის ფუნქცია (პარამეტრი -f და --mtu(fragment) ). ასე თუ ისე, თანამედროვე დეტექტორები, როგორც Snort-ი, შემძლეა, პაკეტების თავიდან აწყობის გზით, შეტევა გამოავლინოს. სხვათაშორის არსებობს სპეციალური ხელსაწყოები, როგორიცაა FragRouter რომელიც ყოფს, ფრაგმენტაციას უკეთებს ყველაფერს, რაც ქსელიდან გადის.
პროტოკოლზე ძალადობა: nmap-ი ითვალისწინებს სკანირების მეთოდებს, რომლებიც საშუალებას იძლევა სერვერი დავუქვემდებაროთ ისეთ პაკეტებს, რომელიც თავდაპირველად კავშირის განხორციელებისას არ არიან "დღის წესრიგში" გათვალისწინებულნი.
ACK scan: ზოგიერთი ფაირევოლი კრძალავს ისეთ პაკეტებს, რომელთაც არ გააჩნიათ ე.წ. ACK დაღი, რითაც იზრუდება შეტევის შესაძლებლობა, თუმცა Nmap-ი გვთავაზობს სკანირებას ACK პაკეტებით (პარამეტრი -sA).
ანაბეჭდების აღება - (fingerprint, fingerprinting) მოიცავს ინფორმაციის მიღებას (type, version,...) სერვისის ან ოპერაციული სისტემის შესახებ. ქვემოთ მოცემული ხელსაწყოები გვეხმარება ასეთი ინფორმაციის მიღება/შეგროვებაში.
არის ოპერაციული სისტემის ანაბეჭდის მიღების ორი გზა:
პასიური: იგი აანალიზებს ქსელის კადრებს (network frame). საშუალებას იძლევა, დადგინდეს დაყენებული ოპერაციული სისტემა სერვერთან დაკავშირებისას. ხელსაწყო P0f იყენებს ამ სისტემას.

აქტიური:ამ დროს იგზავნება პაკეტები რათა გაანალიზდეს მიღებული პასუხები.
Nmap-ი იყენებს ამ ტექნიკას.
იგივე შეიძლება გაკეთდეს Metasploit-ში auxiliary/scanner/smb/version მოდულით.
ოპერაციულ სისტემათა სპეციფიურობები ქსელში.
ზემოაღნიშნული ანალიზი ხდება პაკეტების ე.წ. ხელმოწერების დონეზე, ანუ სხვადასხვა ოპერაციულ სისტემაზე მყოფი სერვისების პაკეტებში არის გარკვეული განსხვავება, თუნდაც დანიშნულება ერთი ჰქონდეთ. ქვემოთ მოცემულია პროგრამა ping-ის გაგზავნილი პაკეტების "ხელმოწერები" ვინდოუსსა და ლინუქსში:
ვინდოუსი:
# tcpdump -v -X -r test.cap 'proto ICMP'
reading from file test.cap, link-type EN10MB (Ethernet)
22:06:08.423939 IP (tos 0x0, ttl 128, id 67, offset 0, flags [none], proto: ICMP
(1), length: 60) 192.168.182.134 > 192.168.182.133: ICMP echo request, id 512,
seq 256, length 40
0x0000: 4500 003c 0043 0000 8001 4c21 c0a8 b686 E..<.C....L!....
0x0010: c0a8 b685 0800 4a5c 0200 0100 6162 6364 ......J\....abcd
0x0020: 6566 6768 696a 6b6c 6d6e 6f70 7172 7374 efghijklmnopqrst
0x0030: 7576 7761 6263 6465 6667 6869 uvwabcdefghi


ლინუქსი:

# tcpdump -v -X -r test.cap 'proto ICMP'
reading from file test.cap, link-type EN10MB (Ethernet)
22:38:22.794409 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto: ICMP (1
), length: 84) 192.168.182.132 > 192.168.182.133: ICMP echo request, id 33034, s
eq 1, length 64
0x0000: 4500 0054 0000 4000 4001 4c4e c0a8 b684 E..T..@.@.LN....
0x0010: c0a8 b685 0800 d1e8 810a 0001 69a2 8348 ............i..H
0x0020: cc1d 0100 0809 0a0b 0c0d 0e0f 1011 1213 ................
0x0030: 1415 1617 1819 1a1b 1c1d 1e1f 2021 2223 .............!"#
0x0040: 2425 2627 2829 2a2b 2c2d 2e2f 3031 3233 $%&'()*+,-./0123
0x0050: 3435 45
IPID - ლინუქსი ზრდის IPID ნომერს 1-ით ყოველ სესიაზე, თუმცა იგი იწარმოება, გენერირდება შემთხვევით(random) ყოველი ახალი კავშირის დამყარებისას. ქვემოთ ილუსტრირებულია tcpdump-ის მიერ დაჭერილი ინფორმაცია, იგი ასახავს კავშირის დამყარების მცდელობას ლინუქსის ჰოსტზე ვინდოუსის კლიენტიდან(192.168.182.1), პორტი 23. შეგვიძლია შევნიშნოთ დაკავშირების მცდელობა (frag S for SYN), სერვერის პასუხი (flag R for RST იმის მისათითებლად, რომ პორტი დახურულია), ყველაზე მეტად კი შეიმჩნევა IPID-ის თანმიმდევრული ზრდა მომდევნო ორ მცდელობაზე (8989 და 8990).

tcpdump -v -r cap-windows.cap 'port 23'
reading from file test.cap, link-type EN10MB (Ethernet)
14:06:57.859713 IP (tos 0x0, ttl 64, id 8989, offset 0, flags [DF], proto: TCP(6), length:
52) 192.168.182.1.4024 > 192.168.182.133.telnet: S, cksum 0x178b (correct), 2921114566:2921
114566(0) win 65535 <mss 1460,nop,wscale 3,nop,nop,sackOK>
14:06:57.860485 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto: TCP (6), length: 4
0) 192.168.182.133.telnet > 192.168.182.1.4024: R, cksum 0x5845 (correct), 0:0(0) ack 29211
14567 win 0
14:06:58.347952 IP (tos 0x0, ttl 64, id 8990, offset 0, flags [DF], proto: TCP(6), length:
52) 192.168.182.1.4024 > 192.168.182.133.telnet: S, cksum 0x178b (correct), 2921114566:2921
114566(0) win 65535 <mss 1460,nop,wscale 3,nop,nop,sackOK>
14:06:58.348095 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto: TCP (6), length: 4
0) 192.168.182.133.telnet > 192.168.182.1.4024: R, cksum 0x5845 (correct), 0:0(0) ack 1 win 0

ეს კი იგივე მანიპულაცია ლინუქსის კლიენტიდან, შეინიშნება IPID-თან დაკავშირებული განსხვავებული ქცევა (39782 და 12799 წინა ორთან შესაბამისობაში).

# tcpdump -v -r cap-linux.cap 'port 23'
reading from file test.cap, link-type EN10MB (Ethernet)
14:22:55.106316 IP (tos 0x10, ttl 64, id 39782, offset 0, flags [DF], proto: TC
P (6), length: 60) 192.168.182.132.37172 > 192.168.182.133.telnet: S, cksum 0x61
9d (correct), 2894700068:2894700068(0) win 5840 <mss 1460,sackOK,timestamp 1346
0,nop,wscale 3>
14:22:55.106441 IP (tos 0x10, ttl 64, id 0, offset 0, flags [DF], proto: TCP (6
), length: 40) 192.168.182.133.telnet > 192.168.182.132.37172: R, cksum 0xe57a (
correct), 0:0(0) ack 2894700069 win 0
14:22:56.330148 IP (tos 0x10, ttl 64, id 12799, offset 0, flags [DF], proto: TC
P (6), length: 60) 192.168.182.132.37173 > 192.168.182.133.telnet: S, cksum 0xc7
4b (correct), 2889955219:2889955219(0) win 5840 <mss 1460,sackOK,timestamp 1644
0,nop,wscale 3>
14:22:56.331009 IP (tos 0x10, ttl 64, id 0, offset 0, flags [DF], proto: TCP (6
), length: 40) 192.168.182.133.telnet > 192.168.182.132.37173: R, cksum 0x4c53 (
correct), 0:0(0) ack 2889955220 win 0
TTL (Time To Live) - სტანდარტული (default) მნიშვნელობა ხანდახან გარკვეულ ინფორმაციას გადმოსცემს. ლინუქსში ეს მნიშვნელობა ინახება ფაილში:
/proc/sys/net/ipv4/ip_default_ttl

ვინდოუსში კი რეგისტრში შეგვიძლია ვნახოთ:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DefaultTTL
Windows 2000 -ის პაკეტის დამპი - მისი TTL უდრის 128-ს:

# tcpdump -v -r test.cap 'port 23'
reading from file test.cap, link-type EN10MB (Ethernet)
18:30:12.843831 IP (tos 0x0, ttl 128, id 126, offset 0, flags [DF], proto: TCP (6), length:
48) 192.168.182.134.1033 > 192.168.182.133.telnet: S, cksum 0x9693 (correct), 611161505:6111
61505(0) win 16384 <mss 1460,nop,nop,sackOK>

Windows XP-ს პაკეტის დამპი - TTL უდრის 64-ს:

# tcpdump -v -r test.cap 'port 23'
reading from file test.cap, link-type EN10MB (Ethernet)
18:38:57.877071 IP (tos 0x0, ttl 64, id 6202, offset 0, flags [DF], proto: TCP(6), length: 52)
192.168.182.1.1912 > 192.168.182.133.telnet: S, cksum 0xf0c6 (correct), 3858932452:3858932452(
0) win 65535 <mss 1460,nop,wscale 3,nop,nop,sackOK>

ფანჯრის ზომა (Window Size) - მისი მნიშვნელობა აღნიშნავს მონაცემთა რაოდენობას, რომელიც შეიძლება გაგზავნილ იქნეს პასუხის გარეშე, ანუ მიღების დასტურის გარეშე.ლინუქს 2.6-ში იგი უდრის 16384-ს:

18:30:12.843831 IP (tos 0x0, ttl 128, id 126, offset 0, flags [DF], proto: TCP (6), length: 48)
192.168.182.134.1033 > 192.168.182.133.telnet: S, cksum 0x9693 (correct), 611161505:611161505(0)
win 16384 <mss 1460,nop,nop,sackOK>

ვინდოუს XP-ში - 65535:

18:38:57.877071 IP (tos 0x0, ttl 64, id 6202, offset 0, flags [DF], proto: TCP(6), length: 52) 19
2.168.182.1.1912 > 192.168.182.133.telnet: S, cksum 0xf0c6 (correct), 3858932452:3858932452(0) wi
n 65535 <mss 1460,nop,wscale 3,nop,nop,sackOK>

სხვა "დაღები"(flag, დროშა) - ამათ გარდა თითოეულ პაკეტს (შეგიძლიათ, ნახოთ ზემოთ მოყვანილ მაგალითებში) გააჩნია შემდეგი დაღები, რომელთა მნიშვნელობებიც სხვადასხვა ოპერაციულ სისტემებში განსხვავებულია, ესენია:

MSS (Maximum Segment Size), DF (პარამეტრი Don't Fragment), TOS (Type of Service).
აი, ამ მონაცემების, ე.წ. "ხელმოწერების" ანალიზის საფუძველზე ხდება ოპერაციული სისტემის დადგენა.
კონკრეტული ხელსაწყოები და ბრძანებები

telnet
# telnet 127.0.0.1 22
Trying 127.0.0.1...
Connected to 127.0.0.1.
Escape character is '^]'.
SSH-2.0-OpenSSH_5.1p1 Debian-5
netcat
# nc -v -n 127.0.0.1 22
(UNKNOWN) [127.0.0.1] 22 (ssh) open
SSH-2.0-OpenSSH_5.1p1 Debian-5

scanline(მხოლოდ ვინდოუსში)

C:\>sl -v -b 127.0.0.1
Xprobe2
# xprobe2 127.0.0.1
AMAP
# amap -B 127.0.0.1 22
amap v5.2 (www.thc.org/thc-amap) started at 2009-11-01 22:57:25 - BANNER mode
Banner on 127.0.0.1:22/tcp : SSH-2.0-OpenSSH_5.1p1 Debian-5\r\n
amap v5.2 finished at 2009-11-01 22:57:25
banner.c, სინტაქსი: ./banner <ip_start> <ip_end> <port_start> <port_end>
# ./banner 192.168.100.1 192.168.100.20 22 22

Banner v1.0 beta
By - Cyber_Bob

Press ENTER to Continue...

Started!
--------------------------------------
Reading info for host #1...
<!> Port: 22
Banner: SSH-2.0-OpenSSH_4.3p2 Debian-9etch3
Checking for possible insecure daemons...
None of the daemons checked for were found!
--------------------------------------
Reading info for host #2...
<!> Port: 22
Banner:
Checking for possible insecure daemons...
None of the daemons checked for were found!
...
...


სისუსტეების გამოვლენა - ქსელის შესახებ მაქსიმალური ინფორმაციის მიღების შემდეგ (კარტოგრაფია, დაყენებული სერვისები, ღია პორტები და ა.შ) ჰაკერი უკვე სკანირების ბოლო საფეხურზე გადადის, ესაა სისტემის დარღვევების გამოვლენა, სისუსტეების სკანირება, დადგენა.
Nessus - არსებობს მრავალი კომერციული პროგრამა (LANguard Network Security Svanner, QualysGuard, Saint...) ამასთანავე, არსებობს პროგრამა Nessus Freeware ვერსია, რომელიც, შეიძლება, საუკეთესოდ მივიჩნიოთ თავის დარგში. არსებობს ფასიანი ვერსიაც, რომელიც უფასოსგან განსხვავებით დაუყონებლივ განახლებებს გვთავაზობს. ნესუსი ფლობს მრავალ მნიშვნელოვან პლუგინს (backdoor შეტევა, bruteforce, CGI, CSCO, მონაცემთა ბაზები, DoS, DNS და ა.შ. ), რომლებიც საშუალებას იძლევა შედარებით ამომწურავი სისუსტეების სკანირებისა. უფასო ხელსაწყოებს შორის Attacker ToolKit (ATK) გვთავაზობს ასევე საინტერესო ფუნქციებს.
Metasploit - და რა თქმა უნდა, გვერდს ვერ ავუვლით ამ ლეგენდარულ პროექტს. იგი არამხოლოდ სისუსტეების დადგენის, არამედ მათზე შეტევის განხორციელების საშუალებასაც გვაძლევს თავისი უზარმაზარი სამხედრო არსენალით (IMG:style_emoticons/default/laugh.gif), რასაც უკვე შემდეგ ფაზაში განვიხილავთ.

დაბოლოება და სპეციფიკური შენიშვნები
თუ ხელსაწყოები, როგორიცაა Nmap-ი გვეხმარება ღია პორტების ნახვაში ჰოსტზე, ნუ მიიღებთ ნაჩქარებ დასკვნას მათ შესაბამის სერვისებზე, რადგან სკანერში მითითებული სერვისები შეესატყვისება მათ საწყის განლაგების პარამეტრებს (default port assignment), რომლებიც იკითხება ფაილში: /etc/services. ძალიან ხშირია 443/TCP პორტის სხვა სერვისისთვის გამოყენება HTTPS-ს მაგიერ; ასევე, თუ 21/TCP პორტი დახურულია, არ ნიშნავს, რომ FTP სერვისი არ არის ჩართული, ის შეიძლება მუშაობდეს 2121/TCP პორტზე ან სულაც სხვაზე, nmap-ი იძლევა ღია პორტზე მოქმედი სერვისის და მისი ვერსიის გაგების საშუალებასაც სამაგიეროდ (პარამეტრი -sV).
თუ თქვენი კომპიუტერის/სერვერის ლოგებში ჩანს სკანირების კვალი, ნუ დაასკვნით მაშინვე, რომ ეს მისამართები უნდა დაიბანონ. შეიძლება შემტევმა გამოიყენა ზომბი ჰოსტი (Iddlescan, FTP Bounce, etc.) სკანირების განსახორციელებლად.
ქსელის დაცვის გასაძლიერებლად დახურეთ ყველა გამოუყენებელი პორტი, გადააყენეთ უსარგებლო სერვისები. ასევე არსებობს მრავალი ხელსაწყო, რომელიც თქვენი კომპიუტერის დაცვაში დიდ სამსახურს გაგიწევთ:
http://diamondcs.com.au/openports
http://www.foundstone.com/
http://www.protect-m.../freeware.html
http://www.sysinternals.com/
Netstat -ი იძლევა მოქმედი პორტების დაკვირვების საშუალებას.
lsof - ს გამოაქვს სერვისების სია, რომლებიც იყენებენ რომელიმე პორტს.
დააყენეთ ე.წ. stateful firewall-ები ან reverse-proxy-ები.
ეცადეთ გატეხოთ თქვენივე კომპიუტერი და გამოავლინოთ სხვადასხვა სისუსტეები.
http://www.picz.ge/img/s1/1505/12/1/13ec22bc38e2.jpg
http://www.picz.ge/img/s3/1505/12/a/ad84c2b1b422.jpg
http://www.picz.ge/img/s3/1505/12/1/13c2585b53df.jpg
http://www.picz.ge/img/s3/1505/12/1/13c2585b53df.jpg
http://www.picz.ge/img/s1/1505/12/3/3ff84c35e01f.jpg

მადლობთ ყურადღებისთვის. blush2.gif air_kiss.gif
Go to the top of the page
 
+Quote Post
Reply to this topicStart new topic
ამ თემას კითხულობს 1 მომხმარებელი (მათ შორის 1 სტუმარი და 0 დამალული წევრი)
0 წევრი:

 



მსუბუქი ვერსია ახლა არის: 21st October 2017 - 14:11
Skin by Sherri for IBSkin © 2007-2011 All rights reserved.

Powered By IP.Board © 2011 IPS, Inc.
Language pack Georgian by Power_VANO.
www.wsa.ge Display Pagerank