Виявлення атаки на протокол SMB

Протокол SMB / CIFS (Server Message Blocks / Common Internet File System) призначений для зєднання компютерів з ОС типу Windows 9 * і Windows NT 5 * Між собою або з сервером Samba (UNIX-сервером) Про-токола SMB включає в себе всі можливі операції (команди) для роботи з файлами і принтерами (відкриття, закриття, створення і видалення файлів і директорій, читання і запис у файл, пошук файлів, відправка на друк і від-мена друку)

Рис 211 Інтерфейс програми WinNuke

Рис 212 Приклад мережевого пакету програми WinNuke

SMB-повідомлення складається з двох частин: заголовка фіксованого розміру і поля команди, розмір якої змінюється динамічно в залежно-сті від складу повідомлення Протокол SMB має кілька версій і діалек- тов, кожна з наступних сумісна з попередньою (табл 21)

Діалекти протоколу SMB

Таблиця 21

Назва протоколу

Позначення

Core

PC NETWORK PROGRAM 10

Core Plus

MICROSOFT NETWORKS 103

LAN Manager 10

LANMAN10

LAN Manager 20

LM12X002

LAN Manager 21

LANMAN21

NT LAN Manager 10

NT LM 012

Sambas NT LM 012

Samba

Common Internet File System

CIFS 10

Серед особливостей кожної з версій слід зазначити застосовуваний алгоритм аутентифікації, зокрема застосування відкритих або зашифруйте-ванних паролів

Установка зєднання між сервером (компютером, надаю-

щим доступ до ресурсу) і клієнтом (компютером, який бажає скориста-

тися даними ресурсом) відбувається в 4 кроки:

1 Установка віртуального зєднання Створюється двонаправлений вир-

туальний канал між клієнтом і сервером

2 Вибір версії протоколу (рис 213) Клієнт надсилає запит, утримуючи-щий список всіх версій протоколів SMB, за якими він може створити со-єднання Сервер відповідає номером запису в списку, запропонованому клієнтом (рахуючи запису з 0), або значенням 0xFF, якщо жоден з варіантів запропонованого-дені протоколів не підходить Тут же сервер передає необхідний режим безпеки, ознака необхідності шифрування пароля і «виклик» (8 слу-чайних байт), використовуючи який клієнт зашифрує пароль і передасть його серверу у вигляді «відповіді» на наступному кроці

3 Установка параметрів сесії (рис 214) Клієнт посилає імя користу-

вателя, пароль (якщо він існує) у вигляді «відповіді», імя робочої групи, а також повний шлях до доступної директорії на сервері (перелік доступних

директорій сервер надає клієнту раніше по іншому запиту)

4 Отримання доступу до ресурсу Сервер видає клієнтові ідентифікатор

(TID – унікальний ідентифікатор для ресурсу, використовуваного клієнтом), показуючи тим самим, що користувач пройшов процедуру авторизації і ре-сурс готовий до використання Сервер вказує тип служби доступу: A – для диска або файлу LPT1 – для виводу на друк COM – для прямого сполуки принтерів і модемів, IPC – для ідентифікації при доступі до ресур-су

К С Л C SMB_COM_NEGOTIATE Е І Список діалектів Р Е R SMB_COM_NEGOTIATE В Н Діалект, режим захисту, виклик Е Т Р

Рис 213 Узгодження SMB-діалекту

К С Л C SMB_COM_SESSION_SETUP_ANDX Е

Імя, домен, пароль / відповідь

І Р

Е R SMB_COM_SESSION_SETUP_ANDX В

Н TID Е Т Р

Рис 214 Установка параметрів сесії

ВИКОНАТИ

12 Створіть на віртуальному компютері, що працює під управлінням ОС Windows 2000, каталоги і в ньому невеликий текстовий файл Надайте створений каталог в мережевий доступ

13 Увімкніть захоплення трафіку В основній ОС відкрийте в мережевому оточенні на віртуальному компютері створений текстовий файл Для чого зареєстро-

стріруйтесь, ввівши імя та пароль користувача, наявного на віртуаль-

ної ОС

14 Перегляньте отриманий трафік Який протокол використовується для фай-

лового обміну Які номери TCP-портів задіяні на приймачі і джерелі

15 Знайдіть пакети етапу узгодження SMB-діалекту Який діалект обраний

сервером

16 Знайдіть пакет, в якому передається імя користувача Чи передається па-

роль користувача у відкритому вигляді

17 Знайдіть пакет, в якому передається текст відкритого вами файлу (описи-ня пакета починається з «R read & X») Чи передається текст файлу в за-зашифрованому вигляді

Однією з основних широко відомих вразливостей [4], присутствую-щих в мережевих налаштуваннях за замовчуванням в ОС Windows 2000 (виправлено в Windows XP), є можливість встановлення «нульового сеансу» (ано- Німнім підключення) Метою даної атаки було підключення до сеті-вим ресурсам ОС Windows 2000 без зазначення імені користувача та пароля

Для встановлення «нульового сеансу» здійснюється підключення до ресурсу IPC $ віддаленого компютера без вказівки імені та пароля при помо-

щі стандартної утиліти net:

net use \\****\IPC$ &quot&quot /user:&quot&quot,

де * * * * – IP-адреса компютера, /user:&quot&quot – Імя користувача (пус-

то) ” – Пароль користувача (пусто)

ВИКОНАТИ

18 Розірвіть всі встановлені раніше зєднання командою:

net use * /delete

19 Увімкніть режим захоплення трафіку Виконайте анонімне підключення до віртуального компютера Перегляньте отриманий трафік Які но-міра TCP-портів задіяні на приймачі і джерелі Який SMB- діалект обраний сервером Знайдіть пакет, в якому передається імя поль-зователя у вигляді порожнього рядка

20 Зробіть висновок про можливість виявлення і блокування даної атаки

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*