Ինչպե՞ս պարզել, թե որ գործընթացն է լսում Windows-ի պորտում: Ցանցային լսում (sniffing) TCP լսում.

Դասախոսության դասընթաց

«Տեղեկատվական գործընթացների պաշտպանություն համակարգչային համակարգերում» մասնագիտությամբ.

Մաս 1

1. Հարձակվողի հետապնդած նպատակները

2. Մեթոդներ և գործիքներ

2.1. Ցանցային լսում

2.2. Սկանավորում

2.3. Փաթեթների արտադրություն

2.4. տրոյացիներ

2.5. Սխրանքներ

2.6. Ծրագրեր՝ գաղտնաբառի ավտոմատ ընտրության համար

3. Ցանցային հարձակումների դասակարգում

3.1. Ըստ OSI մոդելի մակարդակի

3.2. Տիպ

3.3. Ըստ հարձակվողի և հարձակման ենթարկված օբյեկտի գտնվելու վայրի

4. Կեղծ հարձակումներ

5. Հարձակումներ, որոնք թույլ են տալիս տվյալների չարտոնված փոխանակում

5.1. Թունելավորում

5.2. Փոքրիկ բեկորային հարձակում

6. Տվյալների գաղտնալսման հարձակումներ

6.1. Կեղծ ICMP Վերահղման հաղորդագրություն

6.2. Կեղծ DHCP հաղորդագրություն

6.3. Հարձակում երթուղային արձանագրությունների վրա

7. Ծառայության ժխտման բաշխված հարձակումներ (DDoS):

7.1. DDoS հարձակումների ընդհանուր սկզբունքներ և հասկացություններ

7.2. DDoS հարձակումներ՝ հիմնված TCP արձանագրության վրա

7.3. DDoS հարձակումներ՝ հիմնված UDP արձանագրության վրա

7.4. DDoS հարձակումներ՝ հիմնված ICMP արձանագրության վրա

8. Կիրառական շերտերի հարձակումներ

8.1. Գաղտնաբառերի հարձակումներ

8.2. SQL ներարկում

8.3. Cross-site Scripting (XSS)

9. 802.11 անլար ցանցերին հատուկ սպառնալիքներ և հարձակումներ

Տեղեկատվական անվտանգության ապահովման խնդրի արդիականությունն ու կարևորությունը պայմանավորված է հետևյալ գործոններով.

· Համաշխարհային ինտերնետի արագ զարգացում

Նման գլոբալացումը թույլ է տալիս գրոհողներին աշխարհի գրեթե ցանկացած կետից, որտեղ կա ինտերնետ, հազարավոր կիլոմետրեր հեռու, հարձակում իրականացնել կորպորատիվ ցանցի վրա:

· Հեշտ օգտագործվող հաքերային ծրագրերի բաշխում

Հեշտ օգտագործվող վնասակար ծրագրերի և դրանց օգտագործման վերաբերյալ առաջարկությունների համատարած տարածումը հանգեցրել է գիտելիքի և հմտությունների կտրուկ անկման, որոնք հարձակվողին անհրաժեշտ են հաջող հարձակում իրականացնելու համար:

· Ընկերությունների գրեթե բոլոր բիզնես գործընթացների ավտոմատացում

Համակարգիչների և ավտոմատացման այլ գործիքների միջոցով պահվող և մշակված տեղեկատվության ծավալի զգալի աճը նպաստել է տվյալների կորստի, խեղաթյուրման և բացահայտման հնարավորության հետ կապված սպառնալիքների առաջացմանը: Ըստ փորձագետների՝ ներկայումս ընկերության մտավոր կապիտալի մոտ 70-90%-ը պահվում է թվային եղանակով։

· Ծրագրային ապահովման և ցանցային հարթակների բազմաթիվ խոցելիություններ

Մրցակցության պատճառով ժամանակակից ծրագրային արտադրանքները վաճառքում են հայտնվում սխալներով և թերություններով: Այս համակարգերում մնացած սխալներն ու թերությունները հանգեցնում են տեղեկատվական անվտանգության պատահական և դիտավորյալ խախտման։

· Ընկերությունում տեղեկատվական անվտանգության խնդիրների անտեսում.

Տեղեկատվական անվտանգության և առևտրային գաղտնիքների պահպանման ոլորտում աշխատողների համար տեղեկատվական աջակցության բացակայություն.

· Անլար ցանցային տեխնոլոգիաների ժողովրդականության աճ կորպորատիվ միջավայրում: Դա պայմանավորված է տեղակայման հեշտությամբ (մալուխ անցկացնելու կարիք չկա), սարքավորումների համեմատաբար էժանությամբ, ցանցի ընդլայնման անհրաժեշտության դեպքում զգալիորեն ցածր գնով (լարային անալոգի համեմատ, բավական է ծածկել): մուտքի կետերով անհրաժեշտ տարածքը), ինչպես նաև օգտագործողների համար շարժունակություն և ընդլայնման ժամանակ ճկունություն:

Հարձակվողի հետապնդած նպատակները

- տեղեկատվության գողություն(օրինակ՝ մուտքի և գաղտնաբառի գողություն, առևտրային գաղտնիք հանդիսացող տեղեկատվության գողություն)

- տեղեկատվության փոփոխություն(օրինակ՝ բանկի տվյալների բազայում հաշվի կարգավիճակի մասին տեղեկատվության փոփոխություն)

- տեղեկատվական ռեսուրսի առկայության խախտում(այս դեպքում հարձակվողին տեղեկատվությունը չի հետաքրքրում. նրա նպատակն է բարդացնել կամ անհնարինացնել սերվերի աշխատանքը այնքան, որ այլ օգտվողներ չկարողանան օգտվել դրա ծառայություններից):

Մեթոդներ և գործիքներ

Ցանցային ունկնդրում (sniffing)

Տեղական ցանցերում տրաֆիկի ունկնդրումը կատարվում է հատուկ ծրագրերի միջոցով՝ sniffers: Այս ծրագիրը որսում է փաթեթներ, որոնք գալիս են համակարգչի ցանցային ինտերֆեյս և թույլ է տալիս վերլուծել դրանք:

Քանի որ որոշ ցանցային հավելվածներ տվյալները փոխանցում են տեքստային ձևաչափով (HTTP, FTP, SMTP, POP3 և այլն), սնիֆերի օգտագործումը կարող է բացահայտել օգտակար և երբեմն զգայուն տեղեկություններ (օրինակ՝ օգտվողի անուններ և գաղտնաբառեր): Օգտվողի անունների և գաղտնաբառերի գաղտնալսումը մեծ վտանգ է ստեղծում, քանի որ օգտվողները հաճախ օգտագործում են նույն մուտքն ու գաղտնաբառը բազմաթիվ ռեսուրսների և հավելվածների համար:

Network Chemistry Packetyzer sniffer ծրագրի ինտերֆեյս

Տեղական ցանցում տրաֆիկի ունկնդրման գործընթացը կախված է դրա տոպոլոգիայից և դրանում օգտագործվող սարքավորումներից:

Նախկինում տեղական ցանցերը միացված չէին: Ցանցի համակարգիչների միջև տվյալների փոխանակումը տեղի է ունեցել նույն տեղեկատվական ալիքով կամ, կոպիտ ասած, նույն լարով, անկախ ուղարկողից և ստացողից: Նման ցանցերը ներառում են «Ընդհանուր ավտոբուս» տոպոլոգիայով Ethernet ցանցեր (այժմ հնացած), «Star» տոպոլոգիայով Ethernet ցանցեր՝ հիմնված հանգույցի կամ հանգույցի վրա (ներկայումս հազվադեպ են օգտագործվում), Wi-Fi ստանդարտի անլար ցանցեր:

Ethernet «Ընդհանուր ավտոբուս» տոպոլոգիայով

Ethernet «Աստղ» տոպոլոգիայով, որը հիմնված է հանգույցի (հանգույցի) վրա

Անլար Wi-Fi ցանց

Չփոխանցվող ցանցերում յուրաքանչյուր համակարգիչ ստանում է ցանցով փոխանցված բոլոր փաթեթները: Փաթեթը ստանալուց հետո ցանցային քարտի դրայվերը վերլուծում է փաթեթի վերնագիրը, այնտեղից հանում ստացողի MAC հասցեն և այն համեմատում ցանցային քարտի MAC հասցեի հետ: Եթե ​​հասցեները համընկնում են, փաթեթը փոխանցվում է օպերացիոն համակարգ՝ հետագա մշակման համար: Եթե ​​հասցեները չեն համընկնում, փաթեթը հանվում է:

Հասկանալի է, որ նման սխեմայով հարձակվողի համար հեշտ է լսել ցանցի ողջ տրաֆիկը: Դա անելու համար հարկավոր է ցանցային քարտը դնել հատուկ ռեժիմի` այսպես կոչված անառակ («անհասկանալի»): Ցանցային քարտը «անառակ» ռեժիմում ընդունում է բոլոր փաթեթները՝ անկախ դրանց նպատակակետի հասցեից, և դրանք փոխանցում է sniffer ծրագրին վերլուծության համար: (Շատ դեպքերում, անառակ ռեժիմը ավտոմատ կերպով միացվում է sniffer-ի գործարկումից հետո):

Այնուամենայնիվ, մեր օրերում Ethernet ցանցերի մեծ մասը կառուցված է անջատիչի հիման վրա:

Ethernet «Աստղ» տոպոլոգիայով, որը հիմնված է անջատիչի վրա (անջատիչ)

Անջատիչը ունի համապատասխանության աղյուսակ հանգույցների MAC հասցեների և իր նավահանգիստների միջև, որոնց միացված են այս հանգույցները: Փաթեթներն այժմ ուղղորդվում են դեպի որոշակի նավահանգիստ, որը նշանակված է փաթեթի նպատակակետին: Համապատասխանաբար, հարձակվողը կարող է դիտել միայն իրեն հասցեագրված փաթեթները կամ հեռարձակել փաթեթներ:

Այնուամենայնիվ, կան ուղիներ, որոնք թույլ են տալիս հարձակվողին շրջանցել այս սահմանափակումը և լսել տրաֆիկը, որը նախատեսված չէ դրա համար: Այս մեթոդներից մեկը ARP խարդախության հարձակումն է (հարձակման մեկ այլ անվանում է ARP թունավորում, այսինքն՝ թունավորում): ARP խարդախության հարձակումը մի տեսակ է մարդ-միջին(մարդը մեջտեղում):

Փաթեթ ստեղծելու և այն ցանց ուղարկելու համար համակարգիչը պետք է իմանա փաթեթի ստացողի IP և MAC հասցեները: IP հասցեն, որպես կանոն, նախապես հայտնի է ուղարկողին (կամ հայտնի է ստացողի տիրույթի անունը, որի միջոցով հեշտ է ստանալ IP հասցեն՝ օգտագործելով DNS սերվեր): Հայտնի IP-ի միջոցով MAC հասցե գտնելու համար օգտագործվում է ARP (Address Resolution Protocol) արձանագրությունը: Այն աշխատում է այսպես.

Երբ համակարգիչը պետք է փաթեթ ուղարկի կոնկրետ IP հասցեի, այն նախ ուսումնասիրում է իր ARP քեշը՝ տեսնելու, թե արդյոք իր փնտրած IP-MAC քարտեզագրումն այնտեղ է: (Դուք կարող եք դիտել ձեր համակարգչի ARP քեշի բովանդակությունը՝ հրամանի տողում գործարկելով arp –a): Եթե ​​կա մեկը, ապա ստացված MAC հասցեն տեղադրվում է ելքային փաթեթի վերնագրի մեջ, և փաթեթն ուղարկվում է ցանց:

Հակառակ դեպքում, հատուկ հեռարձակման ARP հարցումն ուղարկվում է ցանց («Ո՞վ ունի 192.168.0.1?»): Ցանկացած համակարգիչ, ճանաչելով իր IP հասցեն հարցումում, պետք է պատասխանի իր ուղարկողին և ուղարկի իր MAC հասցեն: Այն տեղադրվում է հայցողի ARP քեշում և օգտագործվում է հետագա ցանցային փաթեթներ ուղարկելու համար:

Հարձակվողը կարող է օգտագործել ARP արձանագրությունը ցանցի երկու համակարգիչների միջև երթևեկությունը կասեցնելու համար:

ARP խարդախության հարձակման սխեմա

Ենթադրենք, որ հարձակվող X-ը պետք է դիտի տրաֆիկը A-ից B և հակառակ ուղղությամբ: Դրա համար նա համակարգչին է ուղարկում Ա կեղծ ARP պատասխան,որը պարունակում է B համակարգչի IP հասցեն և X հարձակվողի ենթադրաբար համապատասխան MAC հասցեն: Նմանատիպ ARP պատասխանն ուղարկվում է B-ին. այն քարտեզագրում է A համակարգչի IP հասցեն հարձակվող X-ի MAC հասցեին: ARP արձանագրությունը չի պահանջում նույնականացում, ուստի A-ն և B-ն չեն կարող ստուգել մուտքային տվյալների հուսալիությունը և անմիջապես մուտքագրելու են դրանք իր ARP քեշում: Այսպես է լինում ARP քեշի թունավորում A և B հանգույցները՝ դրանց մեջ մուտքագրելով սխալ, կեղծ տվյալներ: Միևնույն ժամանակ, մեկ անգամ ուղարկելով կեղծ ARP փաթեթ և փոխարինելով ուրիշի համակարգչի ARP քեշը, դուք պետք է պարբերաբար կատարեք այս ընթացակարգը կրկին ու կրկին, քանի որ ցանկացած օպերացիոն համակարգ նաև որոշակի ընդմիջումներով անընդհատ թարմացնում է իր ARP քեշը: Բավական է դա անել 20–40 վայրկյանը մեկ անգամ։

Այժմ A համակարգիչը, որը պատրաստվում է տվյալներ ուղարկել B-ին, այն կուղարկի X-ին (քանի որ փոխարկիչով տվյալների իրական առաքումը տեղի է ունենում ստացողի MAC հասցեում): Հարձակվող X-ը ստանում է տվյալները, դիտում դրանք և այնուհետև դրանք ուղարկում է օրինական B ստացողին՝ առանց հայտնաբերման: Նմանատիպ իրավիճակ տեղի է ունենում հակառակ ուղղությամբ. B-ից A փոխանցվող երթևեկությունը կարող է ուսումնասիրվել նաև հարձակվողի կողմից: Հարձակվողի համար հատուկ օգուտ (և, համապատասխանաբար, որոշակի վտանգ) այն դեպքն է, երբ հարձակման ենթարկված համակարգիչներից մեկը դարպաս է, այսինքն. ծառայում է տեղական ցանցը ինտերնետին միացնելու համար: Այնուհետև հարձակվողը կարող է մուտք ունենալ ինտերնետ ռեսուրսների (վեբ կայքեր, ICQ, էլ.փոստ) և ինտերնետին փոխանցված այլ գաղտնի տեղեկատվության մուտք գործելու համար օգտագործողի անուններին և գաղտնաբառերին:

Այսպիսով, փոխարկված ենթակառուցվածքը չի վերացնում հոտի վտանգը: Այնուամենայնիվ, դա նկատելիորեն նվազեցնում է դրա սրությունը:

ARP խարդախությունից պաշտպանվելու մեթոդներ

Օգտագործելով ստատիկ գրառումներ ARP քեշում: Դա անելու համար դուք պետք է ձեռքով մուտքագրեք գրառումներ համակարգչի ARP քեշի մեջ IP-ի և դրանց համապատասխան MAC հասցեների վերաբերյալ: Այս դեպքում հարձակվողի կեղծ ARP պատասխանը չի ընդունվի, և քեշի թունավորում չի առաջանա:

ARP քեշի գրառումները՝ ստատիկ և դինամիկ

Այնուամենայնիվ, այս մեթոդը դժվար է օգտագործել խոշոր ցանցերում՝ իր բարդության պատճառով: Նաև հնարավոր չի լինի օգտագործել ստատիկ գրառումներ, եթե IP հասցեները ավտոմատ կերպով բաշխվեն DHCP սերվերի միջոցով:

Օգտագործելով խելացի անջատիչներ:

Անջատիչի շատ ժամանակակից մոդելներ ունեն ներկառուցված պաշտպանություն ARP խարդախությունից (կատարվում է անջատիչի վրա ARP տրաֆիկի վերլուծության և կեղծ ARP հարցումների արգելափակման միջոցով):

Օգտագործելով հատուկ firewall մոդուլներ հարձակումները հայտնաբերելու և արգելափակելու համար

Որոշ firewalls ներառում են հատուկ մոդուլ (օրինակ, Outpost-ում այն ​​կոչվում է «Հարձակման դետեկտոր»), որը թույլ է տալիս հայտնաբերել ցանցի կասկածելի գործունեությունը և արգելափակել այն, ինչպես նաև տեղեկացնել օգտվողին այդ մասին:

Երթևեկության կոդավորումը

Այս մեթոդը չի կանխում գաղտնալսումը, բայց այն դարձնում է անօգուտ: Եթե ​​կապի ալիքը կրիպտոգրաֆիկորեն ապահով է, դա նշանակում է, որ հաքերը ոչ թե գաղտնագրում է հաղորդագրությունը, այլ ծածկագրված տեքստը (այսինքն՝ բիթերի անհասկանալի հաջորդականություն): Այնուամենայնիվ, տեղյակ եղեք, որ մեծ քանակությամբ տվյալների վրա կրիպտոգրաֆիկ փոխակերպումներ կատարելը կարող է զգալիորեն դանդաղեցնել ձեր համակարգիչը:

Ցանցում տրաֆիկը լսելու ևս մեկ տարբերակ կա: Ինչպես գիտեք, իր աշխատանքի համար անջատիչը դինամիկ կերպով կառուցում է «MAC հասցե – պորտ» համապատասխանության աղյուսակ: Եթե ​​մի փաթեթ անցնում է անջատիչի միջով, որի MAC հասցեն այս աղյուսակում չէ, անջատիչը դրան ավտոմատ կերպով ավելացնում է նոր մուտք, որը համապատասխանում է անհայտ MAC հասցեին:

Հարձակումը ներառում է անջատիչի միջոցով տարբեր կեղծ MAC հասցեներով մեծ թվով փաթեթներ ուղարկել: Այս դեպքում անջատիչի աղյուսակը կհեղեղի և այն կանցնի «հաբ» գործող ռեժիմի: Համապատասխանաբար, հարձակվողին հասանելի կլինի ցանցի ողջ տրաֆիկը:

Վերջին շրջանում անլար ցանցեր լսելու խնդիրը հատկապես արդիական է դարձել, քանի որ անլար ցանցն իր էությամբ բաց է և հանրությանը հասանելի: Wi-Fi ցանցերում անլար տրաֆիկի չարտոնված գաղտնալսումը կանխելու համար օգտագործվում են հատուկ գաղտնագրման արձանագրություններ (այսօր ամենատարածվածն են WPA և WPA2):

Սկանավորում

Ցանցային սկանավորումն ուղղված է ցանցին միացված համակարգիչների նույնականացմանը և դրանց վրա աշխատող ցանցային ծառայությունների (բաց TCP կամ UDP պորտերի) որոշմանը: Առաջին առաջադրանքը կատարվում է ICMP Echo հաղորդագրություններ ուղարկելով ping ծրագրի միջոցով և հաջորդաբար որոնելով ցանցի հոսթների հասցեները:

Ցանցի ադմինիստրատորը կարող է հայտնաբերել սկանավորման փորձերը՝ վերլուծելով ցանցային երթևեկությունը և վերահսկելով Echo հաղորդագրությունները, որոնք հաջորդաբար ուղարկվում են ցանցի բոլոր հասցեներին կարճ ժամանակահատվածում: Ավելի մեծ գաղտնիության համար հարձակվողը կարող է զգալիորեն երկարացնել գործընթացը ժամանակի ընթացքում («դանդաղ սկանավորում») – նույնը վերաբերում է TCP/UDP պորտերի սկանավորմանը:

Որոշելու համար, թե որ UDP կամ TCP հավելվածները (ինչպես նաև ՕՀ համակարգի ծառայությունները) աշխատում են հայտնաբերված համակարգիչների վրա, սկաների ծրագրեր. Քանի որ բոլոր հիմնական ինտերնետային ծառայությունների պորտի համարները ստանդարտացված են, եթե որոշեք, օրինակ, որ 25/TCP պորտը բաց է, կարող եք եզրակացնել, որ այս հոսթն էլփոստի սերվեր է. նավահանգիստ 80/TCP – Վեբ սերվեր և այլն: Հարձակվողը կարող է օգտագործել ստացված տեղեկատվությունը հետագա հարձակում սկսելու համար:

Հյուրընկալող TCP նավահանգիստների սկանավորումն իրականացվում է մի քանի եղանակով. Ամենապարզ ճանապարհն է ամբողջական TCP կապ հաստատելով փորձարկված նավահանգստի հետ. Եթե ​​կապը հաստատվել է, նշանակում է, որ նավահանգիստը բաց է, և դրան միացված է սերվերային հավելված: Այս մեթոդի առավելությունն առանց հատուկ ծրագրաշարի սկանավորումն է. ստանդարտ telnet ծրագիրը թույլ է տալիս նշել կամայական պորտի համարը կապ հաստատելու համար: Զգալի թերություն է նման սկանավորումը վերահսկելու և գրանցելու հնարավորությունը. սկանավորված հոսթի համակարգի մատյանը վերլուծելիս կհայտնաբերվեն բազմաթիվ բաց և անմիջապես ընդհատված կապեր, ինչի արդյունքում կարող են միջոցներ ձեռնարկվել անվտանգության մակարդակը բարելավելու համար: Բացի այդ, եթե դուք օգտագործում եք telnet կոմունալ ծրագիրը, դուք պետք է ձեռքով որոնեք հարձակվողին հետաքրքրող բոլոր նավահանգիստները:

Կիսաբաց սկանավորումչունի նկարագրված թերությունները. Ժամանակակից սկաներների մեծ մասն աշխատում է այս կերպ: Սկաները ուղարկում է SYN հատվածը սկանավորված պորտին և սպասում պատասխանի: SYN և ACK բիթերով պատասխան հատված ստանալը նշանակում է, որ պորտը բաց է. RST բիթով հատված ստանալը նշանակում է, որ պորտը փակ է: Ստանալով SYN+ACK՝ սկաները անմիջապես RST բիթով հատված է ուղարկում հայտնաբերված պորտին՝ այդպիսով վերացնելով կապի փորձը: Քանի որ կապը երբեք չի բացվել (ACK չի ստացվել սկաներից), շատ ավելի դժվար է գրանցել նման սկան:

Երրորդ ճանապարհ - սկանավորում՝ օգտագործելով FIN հատվածները. Այս դեպքում FIN բիթով մի հատված ուղարկվում է սկանավորված նավահանգիստ: Հոսթը ՊԵՏՔ Է արձագանքի RST հատվածով, եթե FIN հատվածը հասցեագրված է փակ պորտին: FIN սեգմենտները, որոնք ուղղված են դեպի նավահանգիստ LISTEN վիճակում, անտեսվում են բազմաթիվ TCP/IP իրականացումների կողմից: Այսպիսով, պատասխանի բացակայությունը ցույց է տալիս, որ նավահանգիստը բաց է: Սկանավորման այս մեթոդի տարբերակները սեգմենտներ են ուղարկում FIN, PSH, URG դրոշներով կամ ընդհանրապես առանց որևէ դրոշի («Զուր սկանավորում»):

Իհարկե, SYN սեգմենտներով սկանավորումն ավելի հուսալի արդյունքներ է տալիս, սակայն, բարեբախտաբար, շատ firewalls կարող են թույլ չտալ SYN սեգմենտներ առանց ACK դրոշի ինտերնետից դեպի ներքին ցանց (այդպիսով, ինտերնետ հոսթից դեպի ներքին հոսթինգներ ինտերնետից գործարկված կապերը մերժվում են: , բայց միացումները թույլատրվում են սկսել ներսից): Այս դեպքում հարձակվողին այլ բան չի մնում, քան օգտագործել FIN հատվածի սկանավորումը:

Բաց UDP նավահանգիստները որոշելու համար հարձակվողը կարող է UDP հաղորդագրություն ուղարկել փորձարկված պորտին: Ի պատասխան ICMP Port Unreachable հաղորդագրություն ստանալը ցույց է տալիս, որ նավահանգիստը փակ է:

Սկաների ծրագիրը կարող է նաև որոշել սկանավորված հոսթի օպերացիոն համակարգը՝ ըստ այն բանի, թե ինչպես է հոսթն արձագանքում հատուկ նախագծված, ոչ ստանդարտ փաթեթներին. օրինակ՝ դրոշների անիմաստ համակցություններով TCP հատվածներ կամ ICMP հաղորդագրությունների որոշակի տեսակներ և այլ բնութագրիչներ:

Ժամանակակից սկաներային ծրագրերը թույլ են տալիս ոչ միայն հայտնաբերել բաց հավելվածների նավահանգիստները, այլև որոշել այս հավելվածներում առկա խոցելիությունների ցանկը և առաջարկություններ տրամադրել դրանք վերացնելու համար: Որպեսզի սկաները կարողանա գտնել հավելվածների նոր տարբերակների խոցելիությունը, սկաների տվյալների բազան պետք է անընդհատ թարմացվի (հակավիրուսային ծրագրի տվյալների շտեմարանի նման):

Այսպիսով, սկաների ծրագիրը կարող է օգտագործվել ոչ միայն հարձակվողի, այլ նաև հենց ադմինիստրատորի կողմից՝ խոցելի տեղերը որոնելու և դրանք վերացնելու համար։ Ադմինիստրատորը պետք է նաև պարբերաբար վերանայի բաց նավահանգիստների ցանկը. ադմինիստրատորին անհայտ բաց պորտի առկայությունը կարող է ցույց տալ համակարգում տրոյական ծրագրի առկայությունը:

Xspider սկաների հաշվետվություն՝ բաց նավահանգիստների ցանկով

Xspider սկաների հաշվետվություն. հայտնաբերվել է խոցելիություն և այն վերացնելու առաջարկություններ

Դուք կարող եք նաև որոշել տեղական մեքենայի բաց նավահանգիստները, ինչպես նաև այն հավելվածները, որոնք օգտագործում են այս նավահանգիստները՝ օգտագործելով netstat հրամանի տող կոմունալ ծրագիրը:

Փաթեթների արտադրություն

Ինտերնետում կարող եք գտնել պատրաստի ծրագրեր որոշակի ձևաչափի և բովանդակության փաթեթներ ստեղծելու համար: Նման ծրագրերի օգտագործումը հաճախ չի պահանջում հարձակվողից ունենալ ծրագրավորման հմտություններ կամ ցանցի շահագործման սկզբունքների իմացություն, ինչը շատ հարձակումներ, հատկապես ծառայության մերժման հարձակումները, լայնորեն կատարելի է դարձնում:

2.4. տրոյացիներ

Նախատեսված է տեղեկատվություն գողանալու կամ հեռավոր համակարգիչ կառավարելու համար:

Տրոյական ծրագրերը տարբերվում են միմյանցից վարակված համակարգչի վրա կատարվող գործողություններով: Հետևյալը տրոյական ծրագրերի դասակարգումն է՝ ըստ Կասպերսկու լաբորատորիայի:

Թիմ netstat, որը ներառված է ստանդարտ UNIX ցանցային գործիքների հավաքածուում, ցուցադրում է ցանցի հետ կապված տարբեր տեղեկություններ, ինչպիսիք են ցանցային միացումները, ինտերֆեյսի վիճակագրությունը, երթուղային աղյուսակները, դիմակահանդեսը, բազմաֆունկցիոնալությունը և այլն:

Այս հոդվածում մենք կդիտարկենք հրամանի օգտագործման տասը գործնական օրինակ netstat Linux-ում.

1. Բոլոր նավահանգիստների ցանկը (և լսված, և ոչ)

Թվարկեք բոլոր նավահանգիստները. նեթստատ -ա

# netstat -a | ավելին Ակտիվ ինտերնետ կապեր (սերվերներ և հաստատված) Proto Recv-Q Send-Q Տեղական Հասցե Արտասահմանյան Հասցե Պետություն tcp 0 0 localhost:domain *:* LISTEN udp6 0 0 fe80::20c:29ff:fe68:ntp [::]:* Ակտիվ UNIX տիրույթի վարդակներ (սերվերներ և հաստատված) Proto RefCnt Դրոշներ Տիպը I-Node ուղի unix 2 [ ACC ] STREAM LISTENING 20492 /var/run/mysqld/mysqld.sock unix 2 [ ACC ] STREAM LISTENING 23323/pvar -fpm.sock

Թվարկեք բոլոր TCP նավահանգիստները. netstat -at

# netstat -at ակտիվ ինտերնետ կապեր (սերվերներ և հաստատված) Proto Recv-Q Send-Q Տեղական Հասցե Արտասահմանյան Հասցե Պետություն tcp 0 0 localhost:domain *:* LISTEN tcp 0 0 *:ssh *:* LISTEN tcp 0 0 localhost:ipp *:* LISTEN tcp 0 0 *:http *:* LISTEN

Թվարկեք բոլոր UDP նավահանգիստները. netstat -au

# netstat -au Ակտիվ ինտերնետ կապեր (սերվերներ և հաստատված) Proto Recv-Q Send-Q Տեղական Հասցե Արտասահմանյան Հասցե Պետություն udp 0 0 localhost:domain *:* udp 0 0 *:bootpc *:* udp6 0 0 fe80::20c: 29ff:fe68:ntp [::]:*

2. LISTEN վիճակում գտնվող վարդակների ցանկ

Թվարկեք բոլոր լսողական նավահանգիստները. նեթստատ -լ

# netstat -l Ակտիվ ինտերնետ կապեր (միայն սերվերներ) Proto Recv-Q Send-Q Տեղական Հասցե Արտասահմանյան Հասցե Պետություն tcp 0 0 localhost:domain *:* LISTEN tcp6 0 0 [::]:ssh [::]:* LISTEN udp 0 0 192.168.128.134:ntp *:*

Ցուցակել TCP լսողական նավահանգիստները. netstat -lt

# netstat -lt Ակտիվ ինտերնետ կապեր (միայն սերվերներ) Proto Recv-Q Send-Q Տեղական Հասցե Արտասահմանյան Հասցե Պետություն tcp 0 0 localhost:domain *:* LISTEN tcp 0 0 localhost:ipp *:* LISTEN tcp6 0 0 [::] :ssh [::]:* ԼՍԻՐ

Ցանկ լսող UDP նավահանգիստները. netstat -lu

# netstat -lu Ակտիվ ինտերնետ կապեր (միայն սերվերներ) Proto Recv-Q Send-Q Տեղական Հասցե Արտասահմանյան Հասցե Պետություն udp 0 0 *:bootpc *:* udp6 0 0 [::]:ntp [::]:*

Ցուցակ UNIX լսողական վարդակներ. netstat -lx

# netstat -lx Ակտիվ UNIX տիրույթի վարդակներ (միայն սերվերներ) Proto RefCnt Դրոշներ Type State I-Node Path unix 2 [ ACC ] STREAM LISTENING 3141 /var/run/fail2ban/fail2ban.sock unix 2 [ ACC ] STREAM LISTENING / run/mysqld/mysqld.sock unix 2 [ ACC ] STREAM LISTENING 23323 /var/run/php5-fpm.sock

3. Դիտեք վիճակագրությունը յուրաքանչյուր արձանագրության համար

Ցույց տալ վիճակագրությունը բոլոր նավահանգիստների համար. նեթստատ -ս

# netstat -s IP. ստացվել է 11150 ընդհանուր փաթեթ, 1 անվավեր հասցեներով 0 վերահասցեավորված 0 մուտքային փաթեթներ մերժվել են 11149 մուտքային փաթեթներ են առաքվել 11635 հարցում ուղարկվել է Icmp. 13791 ICMP հաղորդագրություն ստացել է 12 մուտքային ICMP հաղորդագրություն ձախողվել է: Tcp. 15020 ակտիվ կապի բացումներ 97955 պասիվ կապի բացումներ 135 անհաջող միացման փորձ Udp. 2841 փաթեթ ստացել է 180 փաթեթ դեպի անհայտ նավահանգիստ: .....

Ցույց տալ վիճակագրությունը միայն TCP նավահանգիստների համար. netstat - փող

# netstat - ք

Ցույց տալ վիճակագրությունը միայն UDP նավահանգիստների համար. netstat -su

# netstat -su

4. Ցուցադրել PID-ը և գործընթացի անվանումը netstat-ի ելքում

Տարբերակ netstat -pկավելացնի «PID/Program Name»-ը netstat-ի արդյունքին և կարող է համակցվել ցանկացած այլ ընտրանքների հետ: Սա շատ օգտակար է վրիպազերծման համար՝ որոշելու, թե որ ծրագիրն է աշխատում կոնկրետ նավահանգստում:

# netstat -pt Ակտիվ ինտերնետ կապեր (առանց սերվերների) Proto Recv-Q Send-Q Տեղական Հասցե Արտասահմանյան Հասցե Պետական ​​PID/Ծրագրի անվանում tcp 0 0 org-ru-putty.vm.udf:www 52-106.plus.kerch :55723 ESTABLISHED 9486/nginx: worker tcp 0 0 org-ru-putty.vm.udf:www 52-106.plus.kerch:55757 ESTABLISHED 9486/nginx: աշխատող

5. Անվան լուծումը netstat ելքում

Երբ ձեզ հարկավոր չէ լուծել հոսթի անունը, պորտի անունը, օգտվողի անունը, օգտագործեք տարբերակը netstat -nթվային ձևաչափով արժեքներ ցուցադրելու համար: Հրամանը ցույց կտա IP հասցեն՝ հոսթի փոխարեն, պորտի համարը՝ նավահանգստի անվան փոխարեն, UID՝ օգտվողի անվան փոխարեն:

Սա նաև կարագացնի արդյունքը, քանի որ netstat-ը ավելորդ որոնումներ չի կատարի:

# netstat -an

Այս տարրերից միայն որոշների թվային արժեքները ցուցադրելու համար օգտագործեք հետևյալ հրամանները.

# netsat -a --numeric-ports # netsat -a --numeric-hosts # netsat -a --numeric-users

6. Netstat արտադրանքը շարունակաբար

Տարբերակ netstat -գտեղեկատվություն կարտադրի անընդհատ, ոճով գագաթ, թարմացնելով էկրանը մի քանի վայրկյանը մեկ:

# netstat -c Ակտիվ ինտերնետ կապեր (առանց սերվերների) Proto Recv-Q Send-Q Տեղական Հասցե Արտասահմանյան Հասցե Պետություն tcp 0 0 org-ru-putty.vm.udf:www 182.131.74.202:59933 FIN_WAIT2 tcp 0 0 org- ru-putty.vm.udf:www 182.131.74.202:63761 FIN_WAIT2 tcp 0 0 org-ru-putty.vm.udf:www 92-181-66-102-irk.:4585 ՍՏԵՂԾՎԵԼ Է ^C

7. Հասցեագրեք համակարգով չաջակցվող ընտանիքներին

Տարբերակ netstat --խոշորցույց կտա մանրամասն արդյունքը, իսկ վերջում կցուցադրվի չաջակցվող հասցեների ընտանիքներ:

Netstat. այս համակարգում «AF IPX» չի աջակցվում: netstat. «AF AX25» չի աջակցվում այս համակարգում:

netstat. այս համակարգում «AF X25»-ի աջակցություն չկա: netstat. «AF NETROM»-ի աջակցությունն այս համակարգում չկա:

Ցուցադրել միջուկի երթուղային աղյուսակը՝ netstat -r

# netstat -r միջուկի IP երթուղիների աղյուսակը Destination Gateway Genmask Flags MSS Window irtt Iface default 192.168.128.2 0.0.0.0 UG 0 0 0 eth0 192.168.128.0 * 255.255.250.0 UG

Նշում. Օգտագործեք netstat -rnերթուղին թվային ձևաչափով դիտելու համար՝ առանց հյուրընկալողի անունները լուծելու:

9. Նավահանգիստների և գործընթացների համապատասխանություն

Պարզեք, թե որ նավահանգիստն է զբաղված որոշակի ծրագրի կողմից.

# netstat -ap | grep ssh (Ոչ բոլոր գործընթացները կարող են նույնականացվել, ոչ սեփականություն հանդիսացող գործընթացի մասին տեղեկությունները չեն ցուցադրվի, դուք պետք է արմատական ​​լինեք՝ այդ ամենը տեսնելու համար:) tcp 0 0 *:ssh *:* LISTEN - tcp6 0 0 [::] :ssh [::]:* ԼՍԵՔ -

Պարզեք, թե որ գործընթացն է օգտագործում կոնկրետ նավահանգիստ.

# netstat -an | grep ":80"

10. Ցանցային ինտերֆեյսներ

Ցուցադրել ցանցային ինտերֆեյսերի ցանկը՝ նեթստատ -ի

# netstat -i Kernel ինտերֆեյսի աղյուսակ Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg eth0 1500 0 1911037 0 0 0 1382056 1382056 B30 0 0 0 0 0 0 0 0 0 0 0 LRU

Ցույց տալ ինտերֆեյսների մասին ընդլայնված տեղեկատվություն (նույնը, ինչ ifconfig): netstat -այսինքն

# netstat -ie միջուկի ինտերֆեյսի աղյուսակ eth0 Հղում encap:Ethernet HWaddr 00:0c:29:68:4c:a4 inet addr:192.168.128.134 Bcast:192.168.128.255 Դիմակ:255.2505cff:255.2505.25 ավելացնել: fe68:4ca4/64 Շրջանակ:Հղում UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 RX փաթեթներ:24278 սխալներ:0 իջել:0 գերազանցում:0 շրջանակ:0 TX փաթեթներ:11275 սխալներ:0 իջել:0 carrierruns:00: բախումներ:0 txqueuelen:1000 RX բայթ:33203025 (33.2 ՄԲ) TX բայթ:665822 (665.8 ԿԲ) ընդհատում:19 Հիմնական հասցե.0x2000

11. netstat -lnptux

Եկեք ամփոփենք վերը նշվածը և միավորենք ստեղները մեկ օգտակար հրամանի մեջ, որը ցույց կտա.

• - Բոլոր բաց նավահանգիստները (LISTEN)
• -t TCP արձանագրության վրա
• -u UDP արձանագրության միջոցով
• -x UNIX Socket արձանագրության միջոցով
• -n առանց IP/անունները լուծելու
• -p, բայց գործընթացների անուններով և PID-ներով

Նշում. ոչ բոլոր գործընթացները կարող են նույնականացվել վերջին բանալիով, այլ գործընթացները չեն ցուցադրվի: Ամեն ինչ տեսնելու համար պետք է արմատական ​​լինես:

# netstat -lnptux Ակտիվ ինտերնետ կապեր (միայն սերվերներ) Proto Recv-Q Send-Q Տեղական Հասցե Արտասահմանյան Հասցե Պետություն PID/Ծրագրի անվանում tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 9614/nginx tcp 0 0.00. ։ 123 0.0.0.0:* 574/ntpd Ակտիվ UNIX տիրույթի վարդակներ (միայն սերվերներ) Proto RefCnt Դրոշներ Type State I-Node PID/Program name Path unix 2 [ ACC ] STREAM LISTENING 4233 826/python /var/runfail/ sock unix 2 [ ACC ] STREAM LISTENING 8122 2561/mysqld /var/run/mysqld/mysqld.sock unix 2 [ ACC ] STREAM LISTENING 160413 7301/php-fpm.conf /var/run/pm.

Հունվար 2013, կայք

Խնդրում ենք միացնել JavaScript-ը

© 2009–2019, կայք - Կայքի նյութերից օգտվելիս խնդրում ենք նշել աղբյուրը:

Բացեք հրամանի տողի պատուհանը (որպես ադմինիստրատոր): «Start\Search» վանդակում մուտքագրեք «cmd», ապա աջ սեղմեք «cmd.exe» և ընտրեք «Run as administrator»:

Մուտքագրեք հետևյալ տեքստը և սեղմեք Enter:

netstat -աբնո

-աՑուցադրում է բոլոր կապերը և լսողական պորտերը:

-բՑուցադրում է գործարկվող ֆայլը, որը ներգրավված է յուրաքանչյուր կապի կամ լսողական պորտի ստեղծման մեջ: Որոշ դեպքերում, հայտնի գործարկվող հոսթն ունի մի քանի անկախ բաղադրիչներ, և այդ դեպքերում բաղադրիչների հաջորդականությունը ներգրավված է կապի կամ լսման պորտ ստեղծելու մեջ: Այս դեպքում գործարկվողի անունը ներքևում է, վերևում՝ նրա կողմից նշված բաղադրիչը և այլն։ մինչև TCP/IP հասնելը: Խնդրում ենք նկատի ունենալ, որ այս տարբերակը կարող է երկար ժամանակ տևել և ձախողվի, եթե բավարար թույլտվություն չունեք:

-nՑուցադրում է հասցեները և նավահանգիստների համարները թվային տեսքով:

-օՑուցադրում է յուրաքանչյուր կապի հետ կապված սեփականության գործընթացի ID-ն:

Գտեք այն նավահանգիստը, որը լսում եք «Տեղական հասցե» բաժնում

Նայեք գործընթացի անվանումին անմիջապես սրա տակ:

ՆՇՈՒՄ։ Գործընթացը Task Manager-ում գտնելու համար

Նշեք գործընթացի ID-ն (գործընթացի ID) այն նավահանգստի կողքին, որը փնտրում եք:

Բացեք Windows Task Manager-ը:

Գնացեք «Գործընթացներ» ներդիր:

Նայեք PID-ին, որը նշել եք 1-ին քայլում netstat-ը կատարելիս:

• Եթե ​​դուք չեք տեսնում PID սյունակը, սեղմեք Դիտել/Ընտրել սյունակները: Ընտրեք PID:

  Համոզվեք, որ ընտրված է «Ցուցադրել գործընթացները բոլոր օգտվողներից»:

 

Կարող է օգտակար լինել կարդալ.

• Ցանցային sniffing TCP sniffing;
• Word-ը PDF-ի վերածել Ինչպես փաստաթղթերը փոխարկել RTF-ի;
• Ինչպես փոխարկել HTML ֆայլը PDF ֆայլի;
• Ինչ է թողունակությունը;
• Ինչպես անջատել սենսորային վահանակը Asus-ի, HP-ի կամ Windows-ով աշխատող այլ նոութբուքի վրա Անջատել մկնիկը նոութբուքի վրա;
• «Arctic Shamrock». առցանց էքսկուրսիա դեպի ռազմական օբյեկտ Վիրտուալ էքսկուրսիա արկտիկական շամրոկում.;
• ICQ գաղտնաբառի վերականգնում. ինչ անել, եթե մոռացել եք ձեր գաղտնաբառը:;
• Ո՞վ է SMM-ի առաջխաղացման թրեյնինգը ինքնուրույն;