Виявлення мережевих вузлів

Стандартним способом виявлення мережевих вузлів при заданому діа-пазоне IP-адрес є застосування утиліти Ping, яка входить до складу практично будь ОС Такий спосіб виявлення активних мережевих вузлів

називається Ping-розвідкою (Ping sweep) Утиліта Ping використовує протокол ICMP для перевірки доступності мережевого вузла: на досліджуваний мережний вузол надсилається ICMP-запит (тип 8), у разі доступності мережевого вузла буде отриманий ICMP-відповідь (тип 0) Існує велика кількість утиліт, кото-які дозволяють прискорити і автоматизувати цей процес, наприклад fping, hping3 і IP-Tools

Сканування підмережі можна виконувати за допомогою утиліти fping, ис-

пользуя команду:

fping -g 192168100 19216810254

2&gt/dev/null | grep ‘is alive’

де ключ-g дозволяє вказати список тестованих вузлів Використання

2> / dev / null дозволяє не виводити на екран службові повідомлення утілі-ти fping Додаткова обробка утилітою grep (пошук тексту з вико-ристанням регулярних виразів Perl) дозволяє вивести на консоль тільки доступні мережеві вузли, так як будуть виведені тільки рядки, що містять підрядок «is alive»:

192168101

is

alive

192168102

is

alive

192168103

is

alive

192168104

is

alive

192168105

is

alive

У наведеному прикладі в результаті виконання команди fping, запу-щенной зі станції сканування Linux, отримані відомості про те, що в за-даному діапазоні адрес тестувалися всі можливі адреси вузлів мережі

192168100/24, і серед них тільки вузли з адресами 192168101, ..,

192168105 присутні в мережі і відповідають на запити

Метод Ping-розвідки є найбільш універсальним методом обготівковув-ружения мережевих вузлів, однак з ряду причин даний метод може надати-ся неефективним Наприклад, у випадку, коли обследуемая мережа захищена міжмережевим екранами, блокуючими ICMP-повідомлення, або якщо пользова-тели захищені персональними міжмережевим екранами

Крім Ping-розвідки існують інші методи отримання списку се-

тевих вузлів Розглянемо деякі з них більш докладно

Використання широкомовній посилки ICMP-запитуДаний метод полягає у використанні широкомовних адрес призначення

при здійсненні Ping-розвідки Протокол ICMP припускає, що при по-лучении пакета, що містить ICMP-запит з широкомовною адресою призначення, потрібно відповідь Однак, відповідно до RFC 1122, на приходячи-щий ICMP-пакет з широкомовною адресою призначення годі й реаг-

ровать, що й роблять багато сучасних ОС з метою безпеки

Для використання цього методу можна скористатися стандартною утилітою ping (в ОС Linux необхідно додатково використовувати ключ-b) Приклад широкомовній посилки ICMP-запиту:

[bvv@srv181 bvv]$ ping -b 1011018255

WARNING: pinging broadcast address

PING 1011018255 (1011018255) 56(84) bytes of data

64 bytes from 10110182: icmp_seq=0 ttl=64 time=0025 ms

64 bytes from 101101810: icmp_seq=0 ttl=255 time=0355 ms (DUP)

64 bytes from 101101811: icmp_seq=0 ttl=255 time=0440 ms (DUP)

64 bytes from 10110181: icmp_seq=0 ttl=255 time=0904 ms (DUP)

64 bytes from 10110189: icmp_seq=0 ttl=64 time=0960 ms (DUP)

64 bytes from 1011018239: icmp_seq=0 ttl=255 time=0991 ms (DUP)

64 bytes from 10110183: icmp_seq=0 ttl=255 time=133 ms (DUP)

— 1011018255 ping statistics —

1 packets transmitted, 1 received, +6 duplicates, 0% packet loss,

time 0ms

rtt min/avg/max/mdev = 0025/0716/1337/0420 ms, pipe 2

У наведеному прикладі показано, що при скануванні мережі

10110180/24 широкомовними ICMP-повідомленнями відповіді були напів-

чени від семи вузлів Отже, ці вузли присутні в мережі Крім то-

го, можна зробити висновок, що зазначені вузли використовують ОС, відмінну від ОС сімейства Windows, так як ці ОС не відповідають на широкомовні ICMP-запити

Застосування ICMP-пакетів, відмінних від ECHO-запитівДаний ме-тод полягає також у використанні протоколу ICMP, але застосовуються не ECHO-запити, а інші типи пакетів (наприклад, тип 13 – TIMESTAMP або

17 – ADDRESS MASK REQUEST) ICMP-пакет TIMESTAMP дозволяє за-прашівать мітку системного часу віддаленої системи Запит і відповідь ADDRESS MASK призначений для отримання мережевої маски бездисковими

системами (тонкими клієнтами) в процесі завантаження Даний тип запиту може бути використаний для отримання мережевої маски конкретного устройст-ва Метод виявлення мережевих вузлів може бути реалізований, наприклад, за допомогою утиліти icmpush Запуск утиліти icmpush з ключем-tstamp позво-

ляє послати на обраний мережний вузол ICMP-повідомлення TIMESTAMP

v-3:/home/bvv# icmpush -tstamp serveralphalocal

serveralphalocal -&gt 21:58:52

З наведеного прикладу видно, що мережевий вузол «serveralphalocal» доступний, крім того, можна визначити час, який показують систем-ні годинник на віддаленій системі При недоступності мережевого вузла або при від-ключення на віддаленому вузлі функції відповіді на запити TIMESTAMP ути-літа icmpush відповідь не повертає

Використання багатоадресних розсилок IP-пакетів (IP Multicast) Мно-гоадресние розсилки являють собою технологію доставки трафік не-скільком споживачам з економією смуги пропускання Існує ряд

множинних адрес, на які за умовчанням повинні відповідати мережеві вузли, які підтримують багатоадресні розсилки Серед них адреса

224001 – всі системи в поточній підмережі, 224002 – все маршрутизатори в поточній підмережі Інші цікаві множинні адреси можна знайти за адресою «http://wwwianaorg/assignments/multicast-addresses»

Метод можна застосувати за допомогою команди Ping

[bvv@srv181 bvv]$ ping 224001

PING 224001 (224001) 56(84) bytes of data

64 bytes from 10101182: icmp_seq=0 ttl=64 time=0031 ms

64 bytes from 1010118241: icmp_seq=0 ttl=64 time=0113 ms (DUP)

64 bytes from 101011810: icmp_seq=0 ttl=255 time=0357 ms (DUP)

64 bytes from 10101189: icmp_seq=0 ttl=64 time=103 ms (DUP)

— 224001 ping statistics —

1 packets transmitted, 1 received, +3 duplicates, 0% packet loss, time 0ms

rtt min/avg/max/mdev = 0031/0383/1033/0394 ms, pipe 2

У наведеному прикладі показано, що при скануванні мережі многоад-Ресне ICMP-повідомленнями відповіді були отримані від чотирьох вузлів, при-присутність в мережі і підтримуючих багатоадресні розсилки

За відсутності багатоадресних адрес в системній таблиці маршрутів-

тизации можна скористатися ключем-i утиліти Ping для вказівки інтер-

фейса, з якого буде відбуватися відправка пакетів

ARP-розвідка Для виявлення мережевих вузлів, що знаходяться в одному мережевому сегменті (в одному широкомовному домені), можна використовувати

протокол ARP Метод полягає в посилці ARP-запиту на отримання

MAС-адреси вузла за відомим IP-адресою У разі доступності мережевого уз-

ла буде отримана відповідь

Розглянемо реалізацію даного методу на прикладі утиліти arping

Використовуючи команду arping-i eth1-c 1 192168101, можна про-вірити доступність мережного вузла з IP-адресою 192168101, ключ-i позволя-ет вказати мережевий інтерфейс для виконання ARP-запиту, ключ -C визна-ляєт кількість посилаються запитів

v-3:/home/bvv# arping –i eth1 –c 1 192168101

ARPING 192168101

60 bytes from 00:40:05:05:a4:0b (192168101): index=0

time=66996 usec

— 192168101 statistics —

1 packets transmitted, 1 packets received,  0% unanswered

З результату роботи наведеної команди можна зробити висновок, що вузол з IP-адресою 192168101 доступний і MAC-адресу відповідного ін-терфейса має вигляд 00:40:05:05: a4: 0b

З використанням утиліти tethereal, яка призначена для пере-

хвата мережевого трафіку (тут термін перехоплення мережевого трафіку розуміється як відображення або копіювання трафіку, що проходить через мережевий ін-

терфейс), можна відстежити відповідну мережеву активність У прикладі використовується ключ-i для вказівки мережевого інтерфейсу, з якого буде відбуватися перехоплення трафіку Ключове слово arp вказує на те, що будуть зніматися тільки дані протоколу ARP

v-3:/home/bvv# tethereal -ieth1 arp 2&gt/dev/null

0000000

192168103-&gt

Broadcast

ARP Who has

192168101

Tell 10004

0000249 serveralphalocal -&gt 192168103   ARP 192168101

is at 00:40:05:05:a4:0b

З наведеного прикладу видно, що з інтерфейсу з IP-адресою

192168103 було послано широковещательное ARP-повідомлення з метою оп-

ределения MAC-адреси вузла 192168101 і була отримана відповідь від вузла

serveralphalocal

Даний метод можна використовувати не тільки при знаходженні в одному сегменті з обстежуваними мережевими вузлами, а й при включеній на граничні

ном маршрутизаторі мережевого сегмента функції proxy-arp

TCP-і UDP-розвідка являють собою методи, при яких дос-

тупность мережевого вузла визначається на підставі доступності відпо-чих TCP-або UDP-портів Зауважимо, що даний метод відрізняється від сканування портів, так як достатньо отримати будь-яку відповідь від будь-якої служби обстежуваного мережевого вузла

Для реалізації цього методу виявлення можна скористатися ути-литої hping3 Зазначена утиліта являє собою багатофункціональний мережний відладчик, і, зокрема, може використовуватися для реалізації опи-

санного методу Для запуску утиліти скористаємося командою hping3-p

81 192168101-c 3, ключ-p вказує на номер порту, на який буде посланий запит (за замовчуванням використовується TCP-порт), ключ-с визна-ляєт кількість відправлених пакетів

# hping3 -p 81 192168101 -c 3

HPING 192168101 (eth0 192168101): NO FLAGS are set, 40 headers + 0 data bytes

len=46 ip=192168101 ttl=128 id=17590 sport=81 flags=RA seq=0 win=0 rtt=08 ms

len=46 ip=192168101 ttl=128 id=17591 sport=81 flags=RA seq=1 win=0 rtt=05 ms

len=46 ip=192168101 ttl=128 id=17592 sport=81 flags=RA seq=2

win=0 rtt=06 ms

— 192168101 hping statistic —

3 packets transmitted, 3 packets received, 0% packet loss

round-trip min/avg/max = 05/06/08 ms

У наведеному прикладі в результаті виконання команди hping3 шляхом посилки TCP-пакета на порт 81 (без встановлених прапорів) і аналізу відповідь-ного пакета (встановлені прапори RST і ACK) отримані відомості про тому, що

мережний вузол 192168101 присутній в мережі Після завершення роботи ути-літа hping3 виводить статистику – кількість відісланих і отриманих па-кетів, а також мінімальна, середнє і максимальне час доставки пакетів

За допомогою цієї ж утиліти можна реалізувати описаний метод з ис-

користуванням протоколу UDP Для цього можна використовувати команду

hping3 -2 –n -p 81 192168101 -c 3, ключ -2 вказує на іс-

користування протоколу UDP,-n відключає дозвіл DNS-імені

192168101 -c 3

HPING 192168101 (eth0 192168101): udp mode set, 28 headers

+ 0 data bytes

ICMP Port Unreachable from ip=192168101

ICMP Port Unreachable from ip=192168101

ICMP Port Unreachable from ip=192168101

— 192168101 hping statistic —

3 packets transmitted, 3 packets received, 0% packet loss

round-trip min/avg/max = 00/00/00 ms

У наведеному прикладі в результаті виконання команди hping3 напів-чени відомості про те, що мережевий вузол 192168101 присутній в мережі Дан-ная інформація була отримана шляхом відсилання UDP-пакета на 81 порт і ана-лізу відповідь пакету (було отримано ICMP-повідомлення «порт не доступний») Зверніть увагу, що якщо відповідний UDP-порт буде відкритий, то метод функціонувати не буде

Аудитор може отримати інформацію про наявні в мережі устройст-

вах з ARP-кешу серверів та активного мережевого обладнання Отримання цієї інформації можливе, якщо аудитор знаходиться в рамках моделі «білого ящика» Зазвичай для цього необхідно виконати команди arp -A на сер-вірі і show arp в консолі активного мережевого пристрою (на прикладі об-ладнання Cisco)

CDP-розвідка Даний метод дозволяє виявити і отримати інфор-

мацію про пристрої, що працюють по протоколу CDP (Cisco Discovery Proto-col – протокол виявлення Cisco) і знаходяться в одному мережевому сегменті Інформацію про CDP-вузлах можна отримувати, безпосередньо підключаючись до консолі активного мережевого пристрою виробництва фірми Сisco Systems або перехоплюючи CDP-оголошення (наприклад, з використанням утиліти cdpr від MonkeyMentalcom)

Прослуховування мережі Даний метод полягає в перехопленні мережевих пакетів з деякого мережевого сегмента і в подальшому аналізі викорис-

зуемих IP-адрес Для реалізації даного методу можна використовувати уті-

літу Ethereal

ВИКОНАТИ

3 Виявити мережеві вузли в локальному мережевому сегменті з використанням:

– Утиліти fping

– Утиліти ping і широкомовній ICMP-посилки

– Утиліти icmpush (тип ICMP-пакетов13 і 17)

– Утиліти ping і під LGPL

– Утиліти arping

– Утиліти hping3 і методів TCP-і UDP-розвідки

– Утиліти arp і методу ARP-кешу

– Утиліти Ethereal і методу прослуховування мережі Напишіть сценарій,

що виводить список IP-адрес мережевих вузлів, витягнутих з перехоплених з мережевого інтерфейсу пакетів (рекомендується скористатися консольним

варіантом утиліти Ethereal – tethereal)

4 За результатами зробіть висновок про можливість ідентифікації мережевих вузлів в досліджуваній мережі різними методами, заповніть рядок 3 таб-

ліци 82

Джерело: Андрончик А Н, Богданов В В, Домуховскій Н А, Коллеров А С, Синадський Н І, Хорьков Д А, Щербаков М Ю, Захист інформації в компютерних мережах Практичний курс

Схожі статті:


Сподобалася стаття? Ви можете залишити відгук або підписатися на RSS , щоб автоматично отримувати інформацію про нові статтях.

Коментарів поки що немає.

Ваш отзыв

Поділ на параграфи відбувається автоматично, адреса електронної пошти ніколи не буде опублікований, допустимий HTML: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

*