Идентификация запущенных TCP- и UDP-служб
Использование хорошей утилиты сканирования портов – важнейший этап сбора информации об исследуемой сети. Хотя для этих целей существует много различных программ, ориентированных как на платформу UNIX, так и на платформу Windows NT, мы ограничимся рассмотрением лишь самых популярных и проверенных временем сканеров.
strobe
Утилита strobe – это общепризнанный и популярный TCP-сканер портов, написанный Джулианом Ассанжем (Julian Assange) (ftp://ftp.FreeBSD.org/pub/FreeBSD/ports/distfiles/strobe-1.06.tgz). Она стала известной уже довольно давно и, вне всякого сомнения, считается одной из самых быстрых и надежных утилит этого класса. К основным возможностям утилиты strobe относится оптимизация системных и сетевых ресурсов, а также сканирование исследуемой системы с максимальной эффективностью. Помимо высокой эффективности, утилита strobe версии 1.04 и выше может собирать идентификационные маркеры (если, конечно, они имеются), связанные с каждым проверяемым портом. Эта информация может оказаться полезной при определении операционной системы, а также запущенных на компьютере службах. Подробнее процесс сбора маркеров (banner grabbing) будет рассматриваться в главе 3.
В данных, выводимых утилитой strobe, имеется информация о каждом прослушанном порте TCP.
[tsunami] strobe 192.168.1.10 strobe 1.03 © 1995 Julian Assange (proff@suburbia.net). 192.168.1.10 echo 7/tcp Echo [95,JBP] 192.168.1.10 discard 9/tcp Discard [94,JBP] 192.168.1.10 sunrpc 111/tcp rpcbind SUN RFC 192.168.1.10 daytime 13/tcp Daytime [93,JBP] 192.168.1.10 chargen 19/tcp ttytst source 192.168.1.10 ftp 21/tcp File Transfer [Control] [96,JBP] 192.168.1.10 exec 512/tcp remote process execution; 192.168.1.10 login. 513/tcp remote login a la telnet; 192.168.1.10 cmd 514/tcp shell like exec, but automatic 192.168.1.10 ssh 22/tcp Secure Shell 192.168.1.10 telnet 23,/tcp Telnet [112,JBP] 192.168.1.10 smtp 25/tcp Simple Mail Transfer [102,JBP] 192.168.1.10 nfs 2049/tcp networked file system 192.168.1.10 lockd 4045/tcp 192.168.1.10 unknown 32772/tcp unassigned 192.168.1.10 unknown 32773/tcp unassigned 192.168.1.10 unknown 32778/tcp unassigned 192.168.1.10 unknown 32799/tcp unassigned 192.168.1.10 unknown 32804/tcp unassigned
Хотя в большинстве случаев утилита strobe предоставляет точные данные, все же важно помнить о некоторых ее ограничениях. Во-первых, данная утилита выполняет TCP-сканирование, не поддерживая сканирование по протоколу UDP. Поэтому в некоторых случаях можно получить лишь половину требуемой информации. Во-вторых, при соединении с каждым портом утилита strobe выполняет лишь TCP-сканирование подключением. Хотя именно этим и объясняется высокая надежность получаемых результатов, в то же время использование утилиты strobe очень легко выявить на исследуемой системе. Поэтому необходимо рассмотреть и другие утилиты сканирования, лишенные указанных недостатков.
udp_scan
Для UDP-сканирования, которого не выполняет strobe, можно воспользоваться утилитой udp_scan, которая изначально входила в пакет SATAN (Security Administrator Tool for Analyzing Networks), написанный Дэном Фармером (Dan Farmer) и Вайетсом Венема (Wietse Venema) в 1995 году. Хотя сам пакет SATAN несколько устарел, входящие в его состав утилиты по-прежнему можно использовать. Кроме того, по адресу http://wwdsilx.wwdsi.com можно получить новую версию пакета SATAN, которая теперь называется SAINT. Несмотря на наличие множества других утилит UDP-сканирования, мы пришли к выводу, что udp_scan – одна из самых надежных утилит, позволяющая получать достоверные результаты. Правда, необходимо сказать также о том, что, несмотря на высокую надежность утилиты udp_scan, у нее имеется и один существенный недостаток. Эта утилита не может противостоять контратаке какого-либо из пакетов IDS, который осведомлен о методах, используемых в пакете SATAN для сканирования портов. Таким образом, если сканирование необходимо выполнить более скрытно, поищите какое-нибудь другое средство. Обычно с помощью утилиты udp_scan проверяются порты с номерами, меньшими 1024, а также некоторые определенные порты с большими номерами.
;tsunami] udp_scan 192.168.1.1 1-1024 -: 2: UNKNOWN: 5 3:UNKNOWN: 123:UNKNOWN: 135:UNKNOWN: