Подякувати Студентському архіву довільною сумою
Admin
26.02.2023 12:38
Дякуємо, що користуєтесь нашим архівом!
Інформація про навчальний заклад
ВУЗ:
Національний університет Львівська політехніка
Інститут:
Не вказано
Факультет:
Не вказано
Кафедра:
Не вказано
Інформація про роботу
Рік:
2010
Тип роботи:
Звіт
Предмет:
Інші
Частина тексту файла (без зображень, графіків і формул):
Міністерство освіти і науки України
Національний Університет “Львівська Політехніка”
ЗВІТ
По лабораторній роботі №2
ВИВЧЕННЯ ОСНОВНИХ УТИЛІТ ДЛЯ ВИЗНАЧЕННЯ ПРАЦЕЗДАТНОСТІ ХОСТУ
Підготував:
Ст гр ЗІКс-11
Заяць В.Р.
Перевірив:
Мельник В.А
Львів - 2010
Мета роботи - ознайомитись з роботою програми Nmap, навчитись визначати життєздатність вузлів, вивчення методів сканування портів, навчитися проводити аналіз трафіку TCP/IP.
1. Порядок виконання роботи.
1.1. Ознайомитись з методами напіввідкритого сканування.
1.2. Ознайомитись з методами невидимого сканування.
1.3. Провести сканування власного ПК за доромогою опції –sT.
1.4. Ознайомитись з операціями, які проводяться за допомогою опцій -sF, -sX і –sN.
1.5. Розглянути приклад використання tcpdump
-sS (scan SYN) - використовувати метод TCP SYN. Цей метод часто називають "напіввідкритим" скануванням, оскільки при цьому повне TCP-з'єднання з портом сканованої машини не встановлюється. NMAP посилає SYN-пакет, як би маючи намір відкрити справжнє з'єднання, і чекає відповідь. Наявність прапорів SYN|ACK відповіді вказує на те, що порт видаленої машини відкритий і прослуховується. Прапор RST у відповіді означає зворотне. Якщо Nmap прийняв пакет SYN|ACK, то у відповідь негайно відправляє RST- пакет для скидання ще не встановленого з'єднання (реально цю операцію виконує сама ОС). Дуже мало сайтів здатні виявити таке сканування. Користувач повинен мати статус root для формування підробленого SYN-пакета. Для прискорення процесу опитування портів при скануванні великих мереж спільно з опцією -sS можна використовувати ярлик, який дозволяє опитати який-небудь порт на всіх активних об'єктах сканованої вами мережі набагато швидше, ніж при використанні однієї опції -p. Це можна зробити за допомогою ярлика -PS. Наприклад, якщо буде виявлена нова уразливість в sendmail, щоб швидко на яких машинах sendmail встановлений, команда запуску Nmap виглядатиме таким чином: nmap -n -sS -p25 -PS25 21.0.0.0/8.
-sF,-sX,-sN (scan FIN, scan Xmas, scan NULL) - "невидиме" FIN, Xmas Tree и NULL- сканування. Ці методи використовуються у випадку, якщо SYN-сканування по яких-небудь причинах виявилося непрацездатним. Так, деякі пакетні фільтри "чекають" підроблені SYN-пакети на захищені ними порти, і програми типу Synlogger або Courtney здатні відстежити SYN-сканування. Ідея полягає в наступному. У FIN-скануванні як запит використовується FIN-пакет. У Xmas Tree використовується пакет з набором прапорів FIN|URG|PSH, а NULL-сканування використовує пакет без прапорців. Відповідно, RFC 973, ОС сканованого хоста повинна відповісти на прибуття на закритий порт, пакетом RST, тоді як відкритий порт повинен проігнорувати ці пакети.
Стандартне сканування за допомогою nmap здійснюється з опцією -sT. Воно базується на трьохкроковому обміні (three way handshake) протоколу TCP.
Перш за все сервер повинен бути готовий встановити з'єднання (зазвичай використовуються такі функції як socket, bind і listen).
Клієнт намагається встановити з'єднання за допомогою connect. При цьому серверу посилається сегмент SYN, що інформує його про дані, які будуть передані під час з'єднання. Зазвичай цей сегмент включає TCP Header і можливо деякі додаткові опції протоколу.
Сервер у свою чергу повинен відповісти клієнтові, пославши у відповідь ACK і SYN.
Клієнт повинен підтвердити отримання відповіді від сервера, пославши ACK.
Такий спосіб сканування має дві переваги:
- він достатньо швидкий (nmap володіє опціями для прискорення своєї роботи, навіть на повільних з'єднаннях);
- для такого сканування не потрібні особливі привілеї.
Але є і великий недолік - таке сканування просто виявити і відфільтрувати.
Приклад tcpdump:
1)Приклад. Запустимо tcpdump на досліджуваному комп'ютері. Запускаємо nmap на комп'ютері 192.168.255.20 і намагаємося сканувати комп'ютер house2.xxx.xxx.xxx через мережу Ethernet.
Нумерація рядків додана для полегшення пояснення. У рядку 1 бачимо, що "атакуючий" комп'ютер 192.168.255.20 посилає SYN з порту 1024 на порт 653 сканованого комп'ютера. Символ "S" після номера порту 653 дає підставу стверджувати, що був посланий сегмент SYN.
У рядку 2 - відповідь сканованого комп'ютера - він посилає пакет RESET (символ "R" після 1024), який вказує на відсутність сервісу на порту 653.
Рядки 3 і 4 подібні першим двом і єдина відмінність полягає в тому, що на сканованому комп'ютері перевіряється порт 6141 на наявність сервісів. Оскільки і на цьому порту немає ніякого сервісу - знову отримуємо у відповідь RESET.
У рядку 5 бачимо, що комп'ютер 192.168.255.20 посилає сегмент SYN на POP3 порт (110) сканованого комп'ютера і отримує у відповідь ACK і sequence number (у нашому випадку 1658259980 і отриманий від 192.168.255.20 плюс 1 - 2640612363). Звернете увагу, що в пакеті, що посилається комп'ютером house2 активізовані біти SYN і ACK, - видно в рядку 6, який є третім кроком в цьому обміні.
У рядку 7 192.168.255.20 підтверджує отримання відповіді і це четвертий крок.
У рядку 8 з'єднання закривається комп'ютером 192.168.255.20 за допомогою посилки FIN (символ "F" після pop3).
З описаного висновок, що порт 110 цього комп'ютера надає певний сервіс.
Такий метод сканування легко виявити - він залишає сліди в /var/log/messages (але це залежить від того як настроєний syslog.conf). З'єднання, розглянуте в рядках 5 - 8 залишає наступне:
May 6 08:24:01 house2 in.pop3d[205]: connect
from root@192.168.255.20
2) Приклад. Подивимося за допомогою tcpdump роботу nmap з цією опцією (пронумеруємо рядки для зручності пояснення, як в минулому прикладі).
1) 22:25:45.856936 192.168.255.20.40175 house2.tau.org.ar.946: S 1292785825:1292785825(0) win 3072
2) 22:25:45.857078 house2.tau.org.ar.946 192.168.255.20.40175: R 0:0(0) ack 1292785826 win 0
Рядки 1 і 2 схожі з попереднім прикладом, єдина відмінність в тому, що сегмент SYN посилається з комп'ютера 192.168.255.20 на 946 порт комп'ютера house2- приймається як відповідь RESET-порт не активний.
3) 22:25:45.970365 192.168.255.20.40175 house2.tau.org.ar.pop3: S 1292785825:1292785825(0) win 3072
4) 22:25:45.976022 house2.tau.org.ar.pop3 192.168.255.20.40175: S 185944428:185944428(0) ack 1292785826 win 16080 < mss 536 (DF)
5) 22:25:45.979578 192.168.255.20.40175 house2.tau.org.ar.pop3: R 1292785826:1292785826(0) win 0
Рядки 3, 4, 5 - показують виявлення сервісу (pop3) на 110 порту комп'ютера house2. Як видно процес обміну не повністю виконаний - після отримання підтвердження про активність сервісу посилаєртся RESET для завершення з'єднання.
Таке сканування не залишає слідів в /var/log/messages, як було в попередньому прикладі.
Висновок: у данній лабораторній роботі я навчився працювати з програмою nmap а також утилітою tcpdump,навчився застосовувати різні типи сканування портів в мережі,набув практичних навичок у роботі з мережевими технологіями
17.03.2013 15:03-
Ділись своїми роботами та отримуй миттєві бонуси!
0%
Оголошення від адміністратора