DDoS protection — сканирование сети

DDoS наступление — сканирование сети

Разведка

Кибервойны начинаются с разведки, выявления слабых мест в обороне потенциальной жертвы
ddos protection

Сканирование – это набор процедур, позволяющих идентифицировать узлы, порты и сервисы целевой системы. Сканирование сети позволяет злоумышленнику собрать профиль атакуемой организации.

Различают следующие типы сканирования:

• сетевое сканирование – определение находящихся в сети узлов;

• сканирование портов – выявление открытых портов и функционирующих сервисов;

• сканирование безопасности системы – выявление известных уязвимостей системы.

Cканирование не всегда является злонамеренным, все зависит от его целей. Службы информационной безопасности или сотрудники ИТ вполне могут прибегнуть к сканированию для выяснения уязвимостей инфраструктуры или видимости сервисов из внешней сети.

В сущности, нередко все как раз и начинается с сетевого сканирования, именно оно позволяет выявить узлы сети предприятия, их IP-адреса, открытые порты, определить операционную систему, а значит, становятся понятны теоретически возможные уязвимости, что уже не так мало для организатора атаки.

ddos protection

Методы сканирования

Выявляем структуру сети. Самый простой способ сканирования – ICMP scanning. Принцип работы основан на протоколе ICMP, и такой тип сканирования позволяет выяснить «живые» узлы в сети и построить схему сети с перечнем ее узлов. Суть метода заключается в отправке ICMP-запросов узлам сети, если компьютер или иное устройство, работающее со стеком протоколов TCP/IP, активно, то будет отправлен ответ. Это так называемый ping sweep или ICMP sweep. Существует огромное количество средств, позволяющих выполнить подобное сканирование.
ddos protection

ddos protection

Сканирование портов

Следующий этап разведки – выявление открытых портов. По сути своей, это дает возможность определить, какие сервисы работают на удаленном узле, список которых мы уже получили в результате предыдущего сканирования. Кроме того, из анализа полученных пакетов можно также выявить операционную систему и ряд других важных параметров (наличие фильтра пакетов, например).

Здесь мы говорим о TCP-сканировании. Его принцип основан на особенностях работы TCP. В сущности, очень похожий механизм взаимодействия принят в авиации при переговорах пилотов с диспетчером, включающий запрос, ответ с указанием, подтверждение полученной инструкции. Такой способ взаимодействия если и не исключает полностью вероятность непонимания, то по крайней мере существенно снижает такую вероятность.

Это могло бы выглядеть так:

• Пилот: Шереметьево-Руление, Аэрофлот 502, разрешите предварительный.

• Диспетчер: Аэрофлот 502, 25 правая1 по РД2 10, маги- стральной, РД5 предварительный разрешаю.

• Пилот: Аэрофлот 502, 25 правая, по РД 10, магистральной, РД5 предварительный разрешили.

Что тут происходит? Пилот обратился к диспетчеру с запросом о разрешении руления и его маршруте. Диспетчер разрешил руление и определил маршрут следования. Пилот подтвердил маршрут следования и разрешение диспетчера. Все, можно двигаться – маршрут получен.

Очень похоже на TCP-взаимодействие. Здесь используется схема three-way-handshake, или «трехэтапного» согласования, встречается также термин «трехэтапное квитирование», которое позволяет синхронизировать передающий и получающий узлы и установить сессию, что, в сущности, идентично примеру с радиопереговорами. Используя этот легальный алгоритм, злоумышленник может выяснить, какие порты открыты на сервере, то есть понять, какие сервисы используются в системе, какая операционная система. Для этого существует несколько эффективных методик.

ddos protection

ddos protection

Узнать, как защитить свой бизнес от DDoS атак

Некоторые методики сканирования портов

Full Connect Scan
Некоторые методики сканирования портов. Самый эффективный и несложный способ сканирования – Full Connect Scan (Full Open Scan). Его принципы проиллюстрированы выше («Установка TCP-сессии»). Происходит попытка выполнить трехэтапное согласование (three-way-handshake) с интересующими исследователя узлами. Если искомый порт открыт, то мы получаем от него сообщение SYN+ACK, после этого посылаем узлу RST (сброс сессии), если закрыт, то нам приходит RST от проверяемого узла. Надо отметить, что такой способ сканирования легко идентифицируется, стало быть, противостоять ему несложно.
Stealth Scan (Half-open Scan)
Другой способ сканирования сети называется Stealth Scan (Half-open Scan). В этом случае атакующий старается обойти защиту брандмауэра и замаскироваться под обычный сетевой трафик с тем, чтобы избежать фиксации события сканирования в логах системы. Здесь речь не идет о согласовании, исследователь просто отправляет SYN-пакет на интересующий порт требуемого сервера. Если в ответ приходит SYN+ACK, то порт открыт, если RST, то порт закрыт. Такой способ сканирования более изощренный, однако современные системы предотвращения вторжений должны уметь ему противостоять.
Xmas Scan и Null Scan
Не менее известные методы сканирования – Xmas Scan и Null Scan, однако мы не будем их рассматривать ввиду того, что защита от них реализована в рамках современных операционных систем Microsoft, поэтому они не будут представлять для нас большого интереса. Особенность этих типов сканирования – стелс режим работы, то есть без установки сессии. Впрочем, посмотреть детали можно в курсе Ethical Hacking или в книге «Network Security Test Lab». Эти типы сканирования эффективны только для операционных систем, где TCP-стек работает на основе RFC 793. Все современные операционные системы от Windows Vista и старше не подвержены этому риску.
Idle Scan
Пожалуй, наиболее интересным способом сканирования является Idle Scan. Основная идея заключается в том, что злоумышленник может просканировать жертву, не показывая ей своего IP-адреса, то есть с точки зрения сканируемого узла злоумышленник с ней как бы и не общается. Используется «подставной» узел, который и может быть определен системами противодействия вторжениям в качестве источника атаки. Это весьма разумная методика, так называемый спуфинг, когда адрес отправителя подменяется на адрес другого устройства. Надо сказать, что «подставным» узлом или «зомби» может стать компьютер, который обладает определенными уязвимостями. Операционные системы, как правило, должны быть обновлены, однако это не всегда так, и атакующий всегда может найти «помощников», кроме того, в качестве «зомби» может быть использован сетевой принтер или другое сетевое устройство, которое работает с базовой функциональностью стека TCP/IP.

Это сканирование использует поле Identification в IP-заголовке (IPID). Значение IPID увеличивается на единицу в каждом следующем пакете, который отправляет узел. В сущности, это и есть уязвимость, поскольку появляется возможность предсказать, какое количество пакетов было передано между двумя пакетами, которые были получены. Современные операционные системы используют случайное значение для поля IPID, однако, как уже было упомянуто выше, всегда можно найти решение. Для современных Unix и Windows систем от Windows Vista и старше эта проблема уже потеряла свою актуальность. На первом шаге атакующий обращается к подставному устройству со стандартным SYN-пакетом.
ddos protection

ddos protection

ddos protection

ddos protection

Устройство отвечает пакетом SYN ACK или SYN RST, что более вероятно, однако из заголовка пакета атакующему становится виден IPID. Его-то и надо запомнить. Далее атакующий обращается к интересующему его серверу, при этом подменяет свой IP-адрес на адрес подставного узла, то есть маскируется, используя спуфинг (подмену адресов). В ответ на этот запрос сервер, если порт открыт, посылает SYN/ACK на подставной адрес. Мы ведь выполнили подмену. Не зная, что делать с этим пакетом, подставной компьютер в ответ пошлет RST (сброс сессии), при этом увеличит значение своего IPID. В нашем случае он станет равным 30132. Если порт закрыт, то сервер пошлет сброс сессии (RST). IPID подставного узла остался неизменным, в нашем случае 30131, поскольку «зомби» никому больше ничего не отправлял. Теперь останется еще раз обратиться к «зомби», как мы это уже делали выше, выявить его IPID, сравнить его с имеющимся у нас значением. Если IPID увеличился на 2, то порт открыт.
Banner Grabbing
Еще один важный момент, который хотелось бы отметить, – операционные системы имеют свою специфику при работе со стеком TCP/IP. Используя эти особенности при анализе пакетов, полученных при сканировании, вполне возможно выяснить, с какой ОС мы имеем дело, на этих принципах построены методики сканирования Banner Grabbing. Задача – выявить информацию о вычислительной системе и ее уязвимостях, что позволит атакующему использовать эти знания для своих последующих деструктивных действий. Любой современный сканер предоставит атакующему эту информацию.

Нетрудно заметить, что все рассмотренные технологии сканирования базируются на штатном поведении узлов, а значит, любой компьютер или иное сетевое устройство является потенциально уязвимым. Злоумышленник обладает возможностью сбора и анализа полученной информации о структуре сети, сервисах, уязвимостях систем. Тем самым предоставляется потенциальная возможность подготовить целевую атаку против определенных узлов и сервисов. Следовательно, службы ИБ организации должны внимательно отнестись к вопросам сканирования и обеспечить эффективное противодействие подобной разведке. Рассматривая средства противодействия вторжениям, стоит обратить внимание на их возможности по блокировке различных методик сканирования систем.

Узнать, как защитить свой бизнес от DDoS атак

Читайте также:

 

1. Шапиро Л. Атаки DDoS. Часть 1. Война объявлена… // «БИТ. Бизнес&Информационные технологии», №5, 2015 г. – С. 28- 31 (http://bit.samag.ru/archive/article/1504).

2. Шапиро Л. Атаки DDoS. Часть 2. Арсенал противника. // «БИТ. Бизнес&Информационные технологии», №6, 2015 г. – С. 24-27 (http://bit.samag.ru/archive/article/1521).

3. Ethical Hacking and Countermeasures EC-Council – http:// www.eccouncil.org.

4. Обнаружение узлов ICMP-сканирования – https://nmap.org/ man/ru/man-host-discovery.html.

5. Средства для проведения сканирования – http://nmap.org, http://www.pingtester.net, http://www.hping.org, http://www. radmin.com.

6. Microsoft Explanation of the Three-Way Handshake via TCP/ IP –https://support.microsoft.com/en-us/kb/172983.

7. RFC 793 – http://rfc2.ru/793.rfc/21.

8. Michael Gregg «The Network Security Test Lab» ISBN: 978- 1-118-98705-6 – http://eu.wiley.com/WileyCDA/WileyTitle/ productCd-1118987055.html.

9. Принципы работы Idle Scan – http://nmap.org/book/idlescan. html, https://en.wikipedia.org/wiki/Idle_scan.

10. Структура заголовка IPv4 – https://en.wikipedia.org/wiki/ IPv4#Header. 11.Выявление ОС-узла – http://www.packetwatch.net/guides.php.

11. Шапиро Л. Атаки DDoS. Часть 3. Разведка.// «БИТ. Бизнес&Информационные технологии», №7, 2015 г. – С. 12- 15 (http://bit.samag.ru/archive/article/1536).