КомптАЩютернСЦ мережСЦ. АналСЦз роботи СЦ оптимСЦзацСЦя

курсовая работа: Информатика, программирование

Документы: [1]   Word-198922.doc Страницы: Назад 1 Вперед

МСЦнСЦстерство освСЦти СЦ науки УкраСЧни





КомптАЩютернСЦ мережСЦ. АналСЦз роботи СЦ оптимСЦзацСЦя

Вступ


РоздСЦл РЖ. Огляд СЦ архСЦтектура обчислювальних мереж

1.1 ОсновнСЦ означення СЦ термСЦни

1.2 Переваги використання мереж

1.3 АрхСЦтектура мереж

1.3.1 АрхСЦтектура термСЦнал - головний комп'ютер

1.3.2 Однорангова архСЦтектура

1.3.3 АрхСЦтектура клСЦСФнт - сервер

1.3.4 ВибСЦр архСЦтектури мережСЦ

РоздСЦл РЖРЖ. Пошук несправностей в мережах на базСЦ OC Windows

2.1 Проблеми реСФстрацСЦСЧ робочоСЧ станцСЦСЧ

2.1.1 Команда ,,ping»

2.2 Пошук несправностей в мережСЦ з видСЦленим DHCP сервером

2.2.1 ДСЦалог з DHCP сервером

2.2.2 АналСЦз дСЦалогу комптАЩютерСЦв у мережСЦ

2.3 Визначення швидкодСЦСЧ мережСЦ

2.3.1 Засоби СЦ способи визначення швидкодСЦСЧ мережСЦ

2.3.2 Виявлення джерела впливу на швидкодСЦю мережСЦ

2.4 Причини помилок журналу подСЦй

2.4.1 Метод пошуку серверних проблем

2.4.2 ФСЦльтр перехоплення, та його використання

2.5 Проблеми, що виникають при широкомовленнСЦ

РоздСЦл РЖРЖРЖ. Методи захисту вСЦд несанкцСЦонованого доступу в мережСЦ TCP/IP

3.1 Безпека комптАЩютерСЦв на базСЦ Windows 2000/XP

3.1.1 Сканування мережСЦ TCP/IP

3.1.2 РЖнвентаризацСЦя мережСЦ

3.1.3 Нульовий сеанс

3.1.4 РеалСЦзацСЦя цСЦлСЦ

3.1.5 Приховування слСЦдСЦв

3.2 Засоби вСЦддаленого керування

3.2.1 Програма pcAnywhere

3.2.2 Протокол SNMP

3.3 ФункцСЦСЧ брандмауерСЦв

3.4 Перехоплення мережевих даних

3.4.1 ФальшивСЦ ARP запити

3.4.2 Фальшива маршрутизацСЦя

3.4.3 Перехоплення ТСР-зтАЩСФднання

3.5 Комутований доступ до мереж

3.5.1 Сканер PhoneSweep 4.4

3.5.2 Робота з програмою PhoneSweep 4.4

Висновки

Список скорочень СЦ пояснень

ЛСЦтература

Вступ


Яке призначення мережСЦ? Для того щоб вСЦдповСЦсти на це питання, давайте почнемо з СЧСЧ назви. Слово "корпорацСЦя» означаСФ об'СФднання пСЦдприСФмств, що працюють пСЦд централСЦзованим керуванням СЦ вирСЦшують загальнСЦ задачСЦ. КорпорацСЦя СФ складною, багатопрофСЦльною структурою СЦ внаслСЦдок цього маСФ розподСЦлену СЦСФрархСЦчну систему керування. КрСЦм того, пСЦдприСФмства, вСЦддСЦлення й адмСЦнСЦстративнСЦ офСЦси, що входять у корпорацСЦю, як правило, розташованСЦ на великСЦй вСЦдстанСЦ один вСЦд одного. Для централСЦзованого керування таким об'СФднанням пСЦдприСФмств використовуСФться корпоративна мережа. У СЧСЧ склад можуть входити магСЦстральнСЦ мережСЦ (WAN, MAN), призначенСЦ для зв'язку вСЦддСЦлень СЦ адмСЦнСЦстративних офСЦсСЦв корпорацСЦСЧ. Обов'язковими компонентами корпоративноСЧ мережСЦ СФ локальнСЦ мережСЦ, зв'язанСЦ мСЦж собою.

З розвитком комптАЩютерних мереж все бСЦльше ускладнюСФться програмне забезпечення яке необхСЦдне для СЧхнього функцСЦонування, отже все частСЦше виникають несправностСЦ повтАЩязанСЦ з програмним забезпеченням, якСЦ виводять комптАЩютерну мережу з ладу.

В другому роздСЦлСЦ роботи розглядаються питання пошуку несправностей, якСЦ часто виникають в мережах на базСЦ архСЦтектури клСЦСФнт-сервер.

В третьому роздСЦлСЦ розглядаються найбСЦльш поширенСЦ види злому комптАЩютерних мереж та рекомендацСЦСЧ, що до захисту вСЦд таких атак.

В данСЦй роботСЦ використовуються операцСЦйнСЦ системи Windows 2000/XP. Розгляд саме цих систем повтАЩязаний СЦз СЧхньою популярнСЦстю у свСЦтСЦ, а також з тим, що операцСЦйнСЦ системи сСЦмейства Windows не мСЦстять вСЦдкритого коду, як наприклад операцСЦйна система Linux, це у свою чергу призводить до того, що Windows потребуСФ бСЦльш серйозного захисту вСЦд атак за допомогою додаткових програм в порСЦвняннСЦ з Linux, оскСЦльки прогалини в Windows закриваються працСЦвниками компанСЦСЧ Microsoft.

РоздСЦл РЖ. Огляд СЦ архСЦтектура обчислювальних мереж


1.1 ОсновнСЦ означення СЦ термСЦни


Мережа - це сукупнСЦсть об'СФктСЦв, що утворюються пристроями передачСЦ СЦ обробки даних. МСЦжнародна органСЦзацСЦя з стандартизацСЦСЧ означила обчислювальну мережу як послСЦдовну бСЦт-орСЦСФнтовану передачу СЦнформацСЦСЧ мСЦж пов'язаними один з одним незалежними пристроями.

МережСЦ зазвичай знаходиться в приватнСЦй "асностСЦ користувача СЦ займають деяку територСЦю СЦ за територСЦальною ознакою роздСЦляються на:

  • локальнСЦ обчислювальнСЦ мережСЦ (ЛОМ) або Local Area Network (LAN), розташованСЦ в одному або декСЦлькох близько розташованих будСЦвлях. ЛОМ зазвичай розмСЦщуються в рамках якоСЧ-небудь органСЦзацСЦСЧ (корпорацСЦСЧ, установи), тому СЧх називають корпоративними;
  • розподСЦленСЦ комп'ютернСЦ мережСЦ, глобальнСЦ або Wide Area Network (WAN), розташованСЦ в рСЦзних будСЦвлях, мСЦстах СЦ краСЧнах, якСЦ бувають територСЦальними, змСЦшаними СЦ глобальними. Залежно вСЦд цього глобальнСЦ мережСЦ бувають чотирьох основних видСЦв: мСЦськСЦ, регСЦональнСЦ, нацСЦональнСЦ СЦ транснацСЦональнСЦ. Як приклад, розподСЦлених мереж дуже великого масштабу можна назвати: Internet, EUNET, Relcom, FIDO.

До складу мережСЦ в загальному випадку включаються наступнСЦ елементи:

  • мережевСЦ комп'ютери (оснащенСЦ мережевим адаптером);
  • канали зв'язку (кабельнСЦ, супутниковСЦ, телефоннСЦ, цифровСЦ, волоконно-оптичнСЦ, радСЦоканали СЦ СЦн.);
  • рСЦзного роду перетворювачСЦ сигналСЦв;
  • мережеве устаткування.

РозрСЦзняють два поняття мережСЦ: комунСЦкацСЦйна мережа СЦ СЦнформацСЦйна мережа (рис. 1.1).

КомунСЦкацСЦйна мережа призначена для передачСЦ даних, також вона виконуСФ завдання, пов'язанСЦ з перетворенням даних. КомунСЦкацСЦйнСЦ мережСЦ розрСЦзняються за типом використовуваних фСЦзичних засобСЦв з'СФднання.

РЖнформацСЦйна мережа призначена для зберСЦгання СЦнформацСЦСЧ СЦ складаСФться з СЦнформацСЦйних систем. На базСЦ комунСЦкацСЦйноСЧ мережСЦ може бути побудована група СЦнформацСЦйних мереж.

ПСЦд СЦнформацСЦйною системою слСЦд розумСЦти систему, яка СФ постачальником або споживачем СЦнформацСЦСЧ.

Комп'ютерна мережа складаСФться з СЦнформацСЦйних систем СЦ каналСЦв зв'язку.

ПСЦд СЦнформацСЦйною системою слСЦд розумСЦти об'СФкт, здатний здСЦйснювати зберСЦгання, обробку або передачу СЦнформацСЦСЧ. До складу СЦнформацСЦйноСЧ системи входять: комп'ютери, програми, користувачСЦ СЦ СЦншСЦ складовСЦ, призначенСЦ для процесу обробки СЦ передачСЦ даних. НадалСЦ СЦнформацСЦйна система, призначена для вирСЦшення завдань користувача, називатиметься - робоча станцСЦя (client). Робоча станцСЦя в мережСЦ вСЦдрСЦзняСФться вСЦд звичайного персонального комп'ютера (ПК) наявнСЦстю мережевоСЧ карти (мережевого адаптера), каналу для передачСЦ даних СЦ мережевого програмного забезпечення.

ПСЦд каналом зв'язку слСЦд розумСЦти шлях, або засСЦб, по якому передаються сигнали. ЗасСЦб передачСЦ сигналСЦв називають абонентським, або фСЦзичним каналом.

Канали зв'язку (data link) створюються по лСЦнСЦях зв'язку за допомогою мережевого устаткування СЦ фСЦзичних засобСЦв зв'язку. ФСЦзичнСЦ засоби зв'язку побудованСЦ на основСЦ витих пар, коаксСЦальних кабелСЦв, оптичних каналСЦв або ефСЦру. МСЦж взаСФмодСЦючими СЦнформацСЦйними системами через фСЦзичнСЦ канали комунСЦкацСЦйноСЧ мережСЦ СЦ вузли комутацСЦСЧ встановлюються логСЦчнСЦ канали.

ЛогСЦчний канал - це шлях для передачСЦ даних вСЦд однСЦСФСЧ системи до СЦншоСЧ. ЛогСЦчний канал прокладаСФться по маршруту в одному або декСЦлькох фСЦзичних каналах. ЛогСЦчний канал можна охарактеризувати, як маршрут, прокладений через фСЦзичнСЦ канали СЦ вузли комутацСЦСЧ.

РЖнформацСЦя в мережСЦ передаСФться блоками даних за процедурами обмСЦну мСЦж об'СФктами. ЦСЦ процедури називають протоколами передачСЦ даних.

Протокол - це сукупнСЦсть правил, що встановлюють формат СЦ процедури обмСЦну СЦнформацСЦСФю мСЦж двома або декСЦлькома пристроями.

Завантаження мережСЦ характеризуСФться параметром, що називаСФться трафСЦком. ТрафСЦк (traffic) - це потСЦк повСЦдомлень в мережСЦ передачСЦ даних. ПСЦд ним розумСЦють кСЦлькСЦсну величину у вибраних точках мережСЦ числа блокСЦв даних, що проходять СЦ СЧх довжини, вираженСЦ в бСЦтах в секунду.

РЖстотний вплив на характеристику мережСЦ надаСФ метод доступу. Метод доступу - це спосСЦб визначення того, яка з робочих станцСЦй зможе наступною використовувати канал зв'язку СЦ як управляти доступом до каналу зв'язку (кабелю).

У мережСЦ всСЦ робочСЦ станцСЦСЧ фСЦзично сполученСЦ мСЦж собою каналами зв'язку по певнСЦй структурСЦ, яка називаСФться топологСЦСФю. ТопологСЦя - це опис фСЦзичних з'СФднань в мережСЦ, що вказуСФ якСЦ робочСЦ станцСЦСЧ можуть зв'язуватися мСЦж собою. Тип топологСЦСЧ визначаСФ продуктивнСЦсть, працездатнСЦсть СЦ надСЦйнСЦсть експлуатацСЦСЧ робочих станцСЦй, а також час звернення до файлового сервера. Залежно вСЦд топологСЦСЧ мережСЦ використовуСФться той або СЦнший метод доступу.

Склад основних елементСЦв в мережСЦ залежить вСЦд СЧСЧ архСЦтектури. АрхСЦтектура - це концепцСЦя, що визначаСФ взаСФмозв'язок, структуру СЦ функцСЦСЧ взаСФмодСЦСЧ робочих станцСЦй в мережСЦ. Вона передбачаСФ логСЦчну, функцСЦональну СЦ фСЦзичну органСЦзацСЦю технСЦчних СЦ програмних засобСЦв мережСЦ. АрхСЦтектура визначаСФ принципи побудови СЦ функцСЦонування апаратного СЦ програмного забезпечення елементСЦв мережСЦ.

В основному видСЦляють три види архСЦтектури: архСЦтектура термСЦнал - головний комп'ютер, архСЦтектура клСЦСФнт - сервер СЦ однорангова архСЦтектура.

СучаснСЦ мережСЦ можна класифСЦкувати за рСЦзними ознаками: по вСЦддаленостСЦ комп'ютерСЦв, топологСЦСЧ, призначенню, перелСЦку послуг, що надаються, принципами управлСЦння (централСЦзованСЦ СЦ децентралСЦзованСЦ), методами комутацСЦСЧ, методами доступу, видами середовища передачСЦ, швидкостями передачСЦ даних [1].


1.2 Переваги використання мереж


Комп'ютернСЦ мережСЦ СФ варСЦантом спСЦвпрацСЦ людей СЦ комп'ютерСЦв, що забезпечуСФ прискорення доставки СЦ обробки СЦнформацСЦСЧ. Об'СФднувати комп'ютери в мережСЦ почали бСЦльше 30 рокСЦв тому. Коли можливостСЦ комп'ютерСЦв виросли СЦ ПК стали доступнСЦ кожному, розвиток мереж значно прискорився.

СполученСЦ в мережу комп'ютери обмСЦнюються СЦнформацСЦСФю СЦ спСЦльно використовують периферСЦйне устаткування СЦ пристроСЧ зберСЦгання СЦнформацСЦСЧ (рис. 1.2).

За допомогою мереж можна роздСЦляти ресурси СЦ СЦнформацСЦю. Нижче перелСЦченСЦ основнСЦ завдання, якСЦ вирСЦшуються за допомогою робочоСЧ станцСЦСЧ в мережСЦ, СЦ якСЦ важко вирСЦшити за допомогою окремого комп'ютера.

  • Комп'ютерна мережа дозволить спСЦльно використовувати периферСЦйнСЦ пристроСЧ, включаючи:
  • принтери;
  • плотери;
  • дисковСЦ накопичувачСЦ;
  • приводи CD-ROM;
  • дисководи;
  • стримери;
  • сканери;
  • факс-модеми;
  • Комп'ютерна мережа дозволяСФ спСЦльно використовувати СЦнформацСЦйнСЦ ресурси:
  • каталоги;
  • файли;
  • прикладнСЦ програми;
  • СЦгри;
  • бази даних;
  • текстовСЦ процесори.

Комп'ютерна мережа дозволяСФ працювати з розрахованими на багато користувачСЦв програмами, що забезпечують одночасний доступ всСЦх користувачСЦв до загальних баз даних з блокуванням файлСЦв СЦ записСЦв, що забезпечуСФ цСЦлСЦснСЦсть даних. Будь-якСЦ програми, розробленСЦ для стандартних ЛОМ, можна використовувати в СЦнших мережах.

СумСЦсне використання ресурсСЦв забезпечить СЦстотну економСЦю засобСЦв СЦ часу. Наприклад, можна колективно використовувати один лазерний принтер замСЦсть покупки принтера кожному спСЦвробСЦтниковСЦ, або метушнСЦ з дискетами до СФдиного принтера за вСЦдсутностСЦ мережСЦ.

Можна використовувати ЛОМ як поштову службу СЦ розсилати службовСЦ записки, доповСЦдСЦ СЦ повСЦдомлення СЦнших користувачСЦв [6].


1.3 АрхСЦтектура мереж


АрхСЦтектура мережСЦ визначаСФ основнСЦ елементи мережСЦ, характеризуСФ СЧСЧ загальну логСЦчну органСЦзацСЦю, технСЦчне забезпечення, програмне забезпечення, описуСФ методи кодування. АрхСЦтектура також визначаСФ принципи функцСЦонування СЦ СЦнтерфейс користувача.

Розглянемо три види архСЦтектури:

  • архСЦтектура термСЦнал - головний комп'ютер;
  • однорангова архСЦтектура;
  • архСЦтектура клСЦСФнт - сервер.

1.3.1 АрхСЦтектура термСЦнал - головний комп'ютер

АрхСЦтектура термСЦнал - головний комп'ютер (terminal - host computer architecture) - це концепцСЦя СЦнформацСЦйноСЧ мережСЦ, в якСЦй вся обробка даних здСЦйснюСФться одним або групою головних комп'ютерСЦв.

Дана архСЦтектура припускаСФ два типи устаткування:

  • головний комп'ютер, де здСЦйснюСФться управлСЦння мережею, зберСЦгання СЦ обробка даних.
  • термСЦнали, призначенСЦ для передачСЦ головному комп'ютеру команд на органСЦзацСЦю сеансСЦв СЦ виконання завдань, введення даних для виконання завдань СЦ отримання результатСЦв.

Головний комп'ютер через мультиплексори передачСЦ даних (МПД) взаСФмодСЦють з термСЦналами, як представлено на рис. 1.3.

Класичний приклад архСЦтектури мережСЦ з головними комп'ютерами - системна мережева архСЦтектура (System Network Architecture - SNA).


1.3.2 Однорангова архСЦтектура

Однорангова архСЦтектура (peer-to-peer architecture) - це концепцСЦя СЦнформацСЦйноСЧ мережСЦ, в якСЦй СЧСЧ ресурси розозподСЦленСЦ по всСЦх системах. Дана архСЦтектура характеризуСФться тим, що в нСЦй всСЦ системи рСЦвноправнСЦ.

До однорангових мереж вСЦдносяться малСЦ мережСЦ, де будь-яка робоча станцСЦя може виконувати одночасно функцСЦСЧ файлового сервера СЦ робочоСЧ станцСЦСЧ. У однорангових ЛОМ дисковий простСЦр СЦ файли на будь-якому комп'ютерСЦ можуть бути загальними. Щоб ресурс став загальним, його необхСЦдно вСЦддати в загальне користування, використовуючи служби вСЦддаленого доступу мережевих однорангових операцСЦйних систем. Залежно вСЦд того, як буде встановлений захист даних, СЦншСЦ користувачСЦ зможуть користуватися файлами вСЦдразу ж пСЦсля СЧх створення. ОдноранговСЦ ЛОМ достатньо хорошСЦ тСЦльки для невеликих робочих груп.

ОдноранговСЦ ЛОМ СФ найбСЦльш легким СЦ дешевим типом мереж. Вони на комп'ютерСЦ вимагають, окрСЦм мережевоСЧ карти СЦ мережевого носСЦя, тСЦльки операцСЦйноСЧ системи. При з'СФднаннСЦ комп'ютерСЦв, користувачСЦ можуть надавати ресурси СЦ СЦнформацСЦю в сумСЦсне користування.

ОдноранговСЦ мережСЦ мають наступнСЦ переваги:

  • вони легкСЦ в СЦнсталяцСЦСЧ СЦ налаштуваннСЦ;
  • окремСЦ ПК не залежать вСЦд видСЦленого сервера;
  • користувачСЦ в змозСЦ контролювати своСЧ ресурси;
  • мала вартСЦсть СЦ легка експлуатацСЦя;
  • мСЦнСЦмум устаткування СЦ програмного забезпечення;
  • немаСФ необхСЦдностСЦ в адмСЦнСЦстраторовСЦ;

добре пСЦдходять для мереж з кСЦлькСЦстю користувачСЦв, що не перевищуСФ десяти.

Проблемою одноранговоСЧ архСЦтектури СФ ситуацСЦя, коли комп'ютери вСЦдключаються вСЦд мережСЦ. У цих випадках з мережСЦ зникають види сервСЦсу, якСЦ вони надавали. Мережеву безпеку одночасно можна застосувати тСЦльки до одного ресурсу, СЦ користувач повинен пам'ятати стСЦльки паролСЦв, скСЦльки мережевих ресурсСЦв. При отриманнСЦ доступу до ресурсу, що роздСЦляСФться, вСЦдчуваСФться падСЦння продуктивностСЦ комп'ютера. РЖстотним недолСЦком однорангових мереж СФ вСЦдсутнСЦсть централСЦзованого адмСЦнСЦстрування.

Використання одноранговоСЧ архСЦтектури не виключаСФ застосування в тСЦй же мережСЦ також архСЦтектури "термСЦнал - головний комп'ютер» або архСЦтектури "клСЦСФнт - сервер».


1.3.3 АрхСЦтектура клСЦСФнт - сервер

АрхСЦтектура клСЦСФнт - сервер (client-server architecture) - це концепцСЦя СЦнформацСЦйноСЧ мережСЦ, в якСЦй основна частина СЧСЧ ресурсСЦв зосереджена в серверах, якСЦ обслуговують своСЧх клСЦСФнтСЦв (рис. 1.5). Дана архСЦтектура визначаСФ два типи компонентСЦв: сервери СЦ клСЦСФнти.

Сервер - це об'СФкт, що надаСФ сервСЦс СЦншим об'СФктам мережСЦ за СЧхнСЦми запитами. СервСЦс - це процес обслуговування клСЦСФнтСЦв.

Сервер працюСФ за завданнями клСЦСФнтСЦв СЦ керуСФ виконанням СЧхнСЦх завдань. ПСЦсля виконання кожного завдання сервер вСЦдсилаСФ отриманСЦ результати клСЦСФнтовСЦ, що вСЦдправив це завдання.

СервСЦсна функцСЦя в архСЦтектурСЦ клСЦСФнт - сервер описуСФться комплексом прикладних програм, вСЦдповСЦдно до якого виконуються рСЦзноманСЦтнСЦ прикладнСЦ процеси.

Процес, який викликаСФ сервСЦсну функцСЦю за допомогою певних операцСЦй, називаСФться клСЦСФнтом. Ним може бути програма або користувач. На рис. 1.6 приведений перелСЦк сервСЦсСЦв в архСЦтектурСЦ клСЦСФнт - сервер.

КлСЦСФнти - це робочСЦ станцСЦСЧ, якСЦ використовують ресурси сервера СЦ надають зручнСЦ СЦнтерфейси користувача. РЖнтерфейси користувача це процедури взаСФмодСЦСЧ користувача з системою або мережею.

КлСЦСФнт СФ СЦнСЦцСЦатором СЦ використовуСФ електронну пошту або СЦншСЦ сервСЦси сервера. У цьому процесСЦ клСЦСФнт запрошуСФ вид обслуговування, встановлюСФ сеанс, отримуСФ потрСЦбнСЦ йому результати СЦ повСЦдомляСФ про закСЦнчення роботи.

У мережах з видСЦленим файловим сервером на видСЦленому автономному ПК встановлюСФться серверна мережева операцСЦйна система. Цей ПК стаСФ сервером. Програмне забезпечення (ПЗ), встановлене на робочСЦй станцСЦСЧ, дозволяСФ СЧй обмСЦнюватися даними з сервером. НайбСЦльш поширенСЦ мережевСЦ операцСЦйна системи:

  • NetWare фСЦрми Novel;
  • Windows NT фСЦрми Microsoft;
  • UNIX фСЦрми AT&T;
  • Linux.

КрСЦм мережевоСЧ операцСЦйноСЧ системи необхСЦднСЦ мережевСЦ прикладнСЦ програми, що реалСЦзовують переваги, що надаються мережею.

МережСЦ на базСЦ серверСЦв мають кращСЦ характеристики СЦ пСЦдвищену надСЦйнСЦсть. Сервер володСЦСФ головними ресурсами мережСЦ, до яких звертаСФться решта робочих станцСЦй [7].

У сучаснСЦй клСЦСФнт - сервернСЦй архСЦтектурСЦ видСЦляСФться чотири групи об'СФктСЦв: клСЦСФнти, сервери, данСЦ СЦ мережевСЦ служби. КлСЦСФнти розташовуються в системах на робочих мСЦiях користувачСЦв. ДанСЦ в основному зберСЦгаються в серверах. МережевСЦ служби спСЦльно використовуються серверами СЦ даними. КрСЦм того служби керують процедурами обробки даних.

МережСЦ клСЦСФнт - серверноСЧ архСЦтектури мають наступнСЦ переваги:

  • дозволяють органСЦзовувати мережСЦ з великою кСЦлькСЦстю робочих станцСЦй;
  • забезпечують централСЦзоване управлСЦння облСЦковими записами користувачСЦв, безпекою СЦ доступом, що спрощуСФ мережеве адмСЦнСЦстрування;
  • ефективний доступ до мережевих ресурсСЦв;
  • користувачевСЦ потрСЦбний один пароль для входу в мережу СЦ для отримання доступу до всСЦх ресурсСЦв, на якСЦ розповсюджуються права користувача.

Разом з перевагами мережСЦ клСЦСФнт - серверноСЧ архСЦтектури мають СЦ ряд недолСЦкСЦв:

  • несправнСЦсть сервера може зробити мережу непрацездатною, як мСЦнСЦмум втрату мережевих ресурсСЦв;
  • вимагають квалСЦфСЦкованого персоналу для адмСЦнСЦстрування;
  • мають вищу вартСЦсть.


1.3.4 ВибСЦр архСЦтектури мережСЦ

ВибСЦр архСЦтектури мережСЦ залежить вСЦд призначення мережСЦ, кСЦлькостСЦ робочих станцСЦй СЦ вСЦд виконуваних нею дСЦй [1].

СлСЦд вибрати однорангову мережу, якщо:

  • кСЦлькСЦсть користувачСЦв не перевищуСФ десяти;
  • всСЦ машини знаходяться близько одна вСЦд одноСЧ;
  • мають мСЦiе невеликСЦ фСЦнансовСЦ можливостСЦ;
  • немаСФ необхСЦдностСЦ в спецСЦалСЦзованому серверСЦ, такому як сервер БД, факс-сервер, або який-небудь СЦнший;
  • немаСФ можливостСЦ, або необхСЦдностСЦ в централСЦзованому адмСЦнСЦструваннСЦ.

СлСЦд вибрати клСЦСФнт-серверну мережу, якщо:

  • кСЦлькСЦсть користувачСЦв перевищуСФ десяти;
  • потрСЦбне централСЦзоване управлСЦння, безпека, управлСЦння ресурсами, або резервне копСЦювання;
  • необхСЦдний спецСЦалСЦзований сервер;
  • потрСЦбний доступ до глобальноСЧ мережСЦ;
  • потрСЦбно роздСЦляти ресурси на рСЦвнСЦ користувачСЦв.

РоздСЦл РЖРЖ. Пошук несправностей в мережах на базСЦ OC Windows


2.1 Проблеми реСФстрацСЦСЧ робочоСЧ станцСЦСЧ


Одна з найбСЦльш поширених проблем зтАЩСФднання в мережСЦ виникаСФ, коли робоча станцСЦя не може зареСФструватися в доменСЦ. Це може бути через безлСЦч причин:

  • конфСЦгурацСЦя протоколу;
  • дозвСЦл СЦменСЦ;
  • дозвСЦл СЦменСЦ NetBIOS;
  • повноваження.


2.1.1 Команда ,,pingтАЭ

Якщо робоча станцСЦя маСФ проблеми з реСФстрацСЦСФю в доменСЦ, перш за все необхСЦдно перевСЦрити зтАЩСФднання. Для цього використовуСФться утилСЦта ping-. Як показано на роздрукСЦвцСЦ нижче, спочатку виконуСФться ping за СЦменем щоб перевСЦрити дозвСЦл на СЦмтАЩя. Вона вертаСФться назад з вСЦдповСЦддю. ПотСЦм виконуСФться ping за визначеною РЖР-адресою, щоб перевСЦрити чи СФ доступ до того ж мСЦiя призначення. В останню чергу посилаСФться великий пакет для перевСЦрки того, що пакети великих розмСЦрСЦв можуть дСЦстатися до мСЦiя призначення. УтилСЦта рing за замовчуванням посилаСФ дуже малий 32-бСЦтний пакет, який може дСЦстатися до мСЦiя призначення, в той час як великий за обтАЩСФмом трафСЦк реСФстрацСЦСЧ може не пройти через маршрутизатор.



Якщо великСЦ пакети не доходять до мСЦiя призначення, а малСЦ пакети доходять до сервера реСФстрацСЦСЧ, то можна пСЦдкоректувати реСФстр СЦ задати менший розмСЦр пакета як тимчасовий захСЦд, поки не буде вСЦдомо чи зможуть пСЦдтримуватися великСЦ пакети. Це робиться в реСФстрСЦ наступним чином.

Додати значення в наступний ключ :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcipip\Parameters_

РЖмтАЩя значення : TcpSendSegmentSize

Тип буде Reg_Dword

За замовчуванням використовуСФться 1460 байт

ЦСЦ змСЦни можуть впливати на всю комунСЦкацСЦю ТСР/РЖР СЦ повиннСЦ робитися тСЦльки пСЦсля детального тестування. Перед тим як робити змСЦни в реСФстрСЦ, необхСЦдно переконатися, що СЦснуСФ детально перевСЦрена СЦ актуальна резервна копСЦя. НайпростСЦше, що можна зробити - це експортувати ключСЦ [2].

Для аналСЦзу проблеми використаСФмо програму Netmon, вибравши необхСЦдну робочу станцСЦю СЦ сервер. Наступним кроком потрСЦбно повторити команди ping СЦ в додаток до команд ping необхСЦдно також виконати команди:

  • net view\\ СЦмтАЩя_сервера
  • net user\\ СЦмтАЩя_сервера\ipc$

Якщо двСЦ команди повертаються з повСЦдомленням про помилку, то маСФ мСЦiе проблема. НеобхСЦдно скористатись Netmon СЦ перевСЦрити чи можливо знайти джерело проблеми. РЖз отриманих даних видно, що команда ping працюСФ фактично без будь-яких проблем. Це показано на роздрукСЦвцСЦ нижче. Пакет ICMP СФ ехо-пакетом СЦ його розмСЦр 32 байти. Цей розмСЦр використовуСФться за замовчуванням в командСЦ ping.


За ехо-пакетом РЖСМР слСЦдуСФ пакет вСЦдповСЦдСЦ РЖСМР, який пердставлений на роздрукСЦвцСЦ нижче. Цей пакет повертаСФться СЦз мСЦiя призначення як пакет ехо-вСЦдповСЦдь. ВСЦн також маСФ 32 байти. Це говорить про те, що СЦснуСФ елементарна комунСЦкацСЦя мСЦж робочою станцСЦСФю СЦ сервером.



ПСЦсля цього командою net view\\ СЦмтАЩя_сервера перевСЦряСФться мережу, що приводить до трьохходового пСЦдтвердження прийому даних (квитування) мСЦж робочою станцСЦСФю СЦ сервером. Трьохходове квитування вСЦдбуваСФться мСЦж робочою станцСЦСФю СЦ портом 139, службою сеансу NetBIOS на серверСЦ. В даному випадку все працюСФ нормально, тому необхСЦдно подивитися роздСЦл NBT наступного кадру, що показаний на роздрукСЦвцСЦ нижче. Кадр СЦз робочоСЧ станцСЦСЧ на сервер виглядаСФ правильним. Видно, що тип пакету вказуСФться як запит сеансу (session request). ВСЦн вмСЦщуСФ СЦмтАЩя викликаного сервера СЦ СЦмтАЩя робочоСЧ станцСЦСЧ яка викликаСФ. <00> СФ унСЦкальним суфСЦксом NetBIOS, який вказуСФ службу робочоСЧ станцСЦСЧ. Можна знайти реСФстрацСЦю <00> для цСЦСФСЧ машини в базСЦ даних WINS. РеСФстрацСЦя в базСЦ даних WINS полегшуСФ NetBIOS комунСЦкацСЦю мСЦж машинами.

Так як запит сеансу NTB пройшов успСЦшно, тодСЦ необхСЦдно подивитись на вСЦдповСЦдь, яка приходить з сервера. Вона мСЦститься на роздрукСЦвцСЦ нижче СЦ даСФ деяку корисну СЦнформацСЦю.


Отримана вСЦдповСЦдь з вСЦдмовою сеансу (Negative Session Response), СЦ код помилки служби сеансу говорить про те, що СЦмтАЩя, яке викликаСФться, вСЦдсутнСФ. Завдяки цьому стаСФ зрозумСЦло, що проблема не в робочСЦй станцСЦСЧ, а в серверСЦ. РЖншСЦ робочСЦ станцСЦСЧ будуть стикатися з такою ж проблемою. Тепер необхСЦдно перевСЦрити, що вСЦдбуваСФться на серверСЦ. Але спочатку необхСЦдно глянути, чи можна отримати яку-небудь додаткову СЦнформацСЦю СЦз щойно зробленого трасування Netmon.



На роздрукСЦвцСЦ нижче наведено декСЦлька запитСЦв контролера первинного домену, але немаСФ вСЦдповСЦдСЦ. Це вСЦдбуваСФться як SMB C transact в \mailslot\net\netlogon. Можливо СЦснуСФ також проблема СЦз службою netlogon.



Якщо переглянути подСЦСЧ на робочСЦй станцСЦСЧ, можна побачити наступне повСЦдомлення: "Броузер не змСЦг отримати список серверСЦв з мастер-броузера \PROX у мережСЦ \Device\NetBT_E100Bl. ДанСЦ СФ кодом помилки". Це повСЦдомлення просто пСЦдтверджуСФ, що на серверСЦ СФ проблема.

На серверСЦ необхСЦдно перевСЦрити наступне:

  • Чи служба сервера виконуСФться на комп'ютерСЦ мСЦiя призначення. ПеревСЦрити аплет служб в панелСЦ керування (рис.2.1). Якщо служба сервера не виконуСФться, машина все одно вСЦдповСЦдатиме на ping, але сеанс створити неможливо. Якщо служба сервера зупинена, то необхСЦдно запустити СЧСЧ. Це пояснить повСЦдомлення помилок броузера в журналСЦ подСЦй, оскСЦльки служба броузера комп'ютера залежить вСЦд служби сервера. КрСЦм того, служба netlogon також залежить вСЦд служби сервера. Питання, звичайно, в тому, чому служба сервера зупинена? Деяку СЦнформацСЦю Netmon просто не може повСЦдомити. Можливо, настав час змСЦнити пароль адмСЦнСЦстратора.


Рис. 2.1. ПеревСЦрка стану служб.


  • Чи вСЦдповСЦдаСФ сервер мСЦiя призначення. ВСЦн може бути заблокований. Сервер може вСЦдповСЦдати на ехо-пакет ICMP, навСЦть якщо сеанс неможливо створити. Якщо комп'ютер заблокований СЦ неможливо вСЦдновити керування менеджером завдань або будь-яким СЦншим способом, слСЦд повСЦдомити всСЦх користувачСЦв про необхСЦднСЦсть зберегти своСЧ данСЦ СЦ по можливостСЦ вийти з системи. Можна спробувати виконати закриття системи, хоча залежно вСЦд того, що вСЦдбулося, можливо, доведеться зробити повне завантаження. Якщо вСЦдновлення не вСЦдбулося, то доведеться перевСЦряти процедури резервного копСЦювання.
  • ПеревСЦрити аплет лСЦцензСЦСЧ в панелСЦ керування СЦ в журналСЦ подСЦй, щоб переконатися, що обмеження лСЦцензСЦСЧ не порушенСЦ.
  • Чи використовуСФться DNS або файл хоста. Методи дозволу СЦменСЦ хоста використовуються першими в ping для дозволу СЦменСЦ. Команди net використовують методи дозволу СЦменСЦ NETBIOS (lmhosts, WINS). УтилСЦта рing може працювати, тодСЦ як net view може простоювати.


2.2 Пошук несправностей в мережСЦ з видСЦленим DHCP сервером


Хоча DHCP полегшуСФ життя адмСЦнСЦстратора, СЦнодСЦ клСЦСФнтська машина стикаСФться з проблемами при отриманнСЦ адреси. У таких ситуацСЦях СЦнформацСЦя часто буваСФ мСЦзерною. КрСЦм того факту, що робоча станцСЦя не отримала адреси, бСЦльше нСЦчого невСЦдомо. Тут починають вСЦдСЦгравати роль знання процесСЦв DHCP СЦ Netmon.


2.2.1 ДСЦалог з DHCP сервером

Перш за все, необхСЦдно перевСЦрити, що машина була зконфСЦгурована для запиту адреси. Якщо у вСЦкнСЦ "астивостей TСР/РЖР вСЦдмСЦчена "астивСЦсть "отримувати IP-адресу з сервера DHCP", то це повинно працювати. Якщо нСЦ, необхСЦдно переривати Netmon СЦ проглянути дСЦалог. У СЦдеалСЦ повиннСЦ бути присутнСЦми чотири кадри, перелСЦченСЦ нижче.

  1. Пошук DHCP
  2. ПропозицСЦя DHCP
  3. Запит DHCP
  4. DHCP АСК

Якщо один з чотирьох кадрСЦв не присутнСЦй, то DHCP не працюватиме, а клСЦСФнт не зможе отримати адресу. Якщо немаСФ жодного, то клСЦСФнт неправильно сконфСЦгурований для запиту адреси DHCP. ВирСЦшення проблем DHCP СФ процесом переглядання дСЦалогу СЦ СЦдентифСЦкацСЦя того, що з дСЦалогу, представленого вище, пропущено[2].

2.2.2 АналСЦз дСЦалогу комптАЩютерСЦв у мережСЦ

Перший крок полягаСФ в переглядСЦ трасування СЦ пошуку пропущеного кадру. Кадр запиту DHCP посилаСФться за допомогою багатоадресовоСЧ розсилки UDP IP з порту 68 (клСЦСФнтський порт ВООТР), в порт 67( серверний порт ВООТР). Magic cookie будуть правильними. Це чотирьохбайтна область в пакетСЦ DHCP, яка СЦдентифСЦкуСФ початок поля, означеного постачальником для спецСЦальних параметрСЦв. Якщо використовуСФться дане поле параметрСЦв, це наголошуСФться IP-адресою 99.130.83.99, яка показана в трасуваннСЦ Netmon як шСЦстнадцяткова 63 82 53 63. Параметри можуть перелСЦчувати СЦдентифСЦкатор клСЦСФнта, запитану адресу, а також СЦншСЦ позицСЦСЧ. У нашому полСЦ параметрСЦв СЦдентифСЦкатор клСЦСФнта рСЦвний адресСЦ MAC комп'ютера, що робить запит - в даному випадку KENNY. Також видно, що машина KENNY запрошуСФ ту ж адресу, якою вона володСЦла ранСЦше. Якщо ця адреса доступна, то СЧСЧ можна буде використовувати знову.

У трасуваннСЦ нижче запитана адреса недоступна, оскСЦльки вона отримуСФ NACK, що СФ негативним пСЦдтвердженням. Якщо розглянути частину IP в кадрСЦ, то можна побачити машину, яка посилаСФ цей NACK на робочу станцСЦю. Це видно в тСЦй частинСЦ пакету, що приходить з порту 67 (порту сервера ВООТР), в порт 68 (порт клСЦСФнта ВООТР). Коли робоча станцСЦя отримуСФ NACK, вона не СЦнСЦцСЦалСЦзуСФ TСР/РЖР, поки не отримаСФ адресу. Якщо TСР/РЖР СФ СФдиним протоколом, машина не зможе спСЦлкуватися в мережСЦ, поки не буде виявлений сервер DHCP.

ОскСЦльки клСЦСФнтська машина посилаСФ запити DHCP СЦ отримуСФ NACK (вСЦдмову) з сервера DHCP, то можна сказати, що вони спСЦлкуються. Факт, що машина посилаСФ запити, СФ позитивним, оскСЦльки вона робить все, що повинна робити клСЦСФнтська машина. Для перевСЦрки можна використовувати команду ipconfig /renew з вСЦкна CMD, що змусить клСЦСФнтську машину створити трафСЦк DHCP. Це один СЦз способСЦв виконати передачу, не перезавантажуючи машину. У трасуваннСЦ Netmon повиннСЦ бути два кадри DHCP: запит DHCP СЦ DHCP АСК (пСЦдтвердження).

У даному випадку трасуванням DHCP можна знайти тСЦльки запити СЦ один NACK СЦ жодного СЦншого трафСЦку. Наступний крок полягаСФ в переходСЦ до сервера СЦ вивчення "астивостей DHCP, де можна виявити, що сервер не маСФ вСЦльних адрес, або що область дСЦСЧ була деактивована. Це, двСЦ найбСЦльш поширенСЦ причини[2].


2.3 Визначення швидкодСЦСЧ мережСЦ


НемаСФ нСЦчого незвичайного, коли користувачСЦ скаржаться на те, що мережа працюСФ поволСЦ. ЦСЦ скарги мережевСЦ адмСЦнСЦстратори чують достатньо часто. Проте користувачСЦ рСЦдко висловлюють СЦншСЦ думки, крСЦм загального спостереження, що мережа повСЦльна. РанСЦше адмСЦнСЦстратор приходив до користувача, спостерСЦгав за його дСЦями СЦ погоджувався або не погоджувався з точнСЦстю спостережень. Це не кращий спосСЦб для нового тисячолСЦття. У нас СФ Netmon як засСЦб порятунку. Розглянемо приклад нижче, щоб зрозумСЦти, як Netmon працюСФ в цСЦй ситуацСЦСЧ[1].


2.3.1 Засоби СЦ способи визначення швидкодСЦСЧ мережСЦ

Простим способом визначити швидкодСЦю мережСЦ СФ використання експерта середнього часу вСЦдповСЦдСЦ сервера, наявного в Netmon 2.0. Перш нСЦж використати експерта, необхСЦдно перехопити деякий об'СФм трафСЦку мСЦж сервером СЦ клСЦСФнтською машиною, для цього необхСЦдно сконфСЦгорувати фСЦльтр перехоплення, який СЦзолюСФ трафСЦк мСЦж робочою станцСЦСФю СЦ даним сервером. Це повинно бути зроблено пСЦсля перевСЦрки робочоСЧ станцСЦСЧ на те, скСЦльки в нСЦй вСЦдкрито додаткСЦв, скСЦльки СФ вСЦльного простору на диску для вСЦртуальноСЧ пам'ятСЦ, СЦ т.д. Коли будуть виключенСЦ всСЦ можливСЦ проблеми робочоСЧ станцСЦСЧ, можна починати перехоплення даних[1].

2.3.2 Виявлення джерела впливу на швидкодСЦю мережСЦ

Для аналСЦзу швидкодСЦСЧ необхСЦдно завантажити перехоплений файл в Netmon 2.0 СЦ сконфСЦгорувати експерт часу вСЦдповСЦдСЦ (рис.2.2). КонфСЦгурацСЦя експерта СФ дуже важливою для отримання точних результатСЦв. Якщо, наприклад, користувач скаржиться, що повСЦльно працюСФ пошта РОРЗ, то необхСЦдно додати до експерта порт 110.

ЗмСЦнюючи конфСЦгурацСЦйнСЦ файли, експерт може повСЦдомити про бСЦльшСЦсть додаткСЦв, що виконуються в мережСЦ. Якщо видалити всСЦ порти, окрСЦм порту даноСЧ програми, будуть отриманСЦ рСЦзнСЦ показники продуктивностСЦ. Використання Netmon 2.0 в цСЦй областСЦ майже не обмежене.


Рис. 2.2. Експерт середнього часу вСЦдповСЦдСЦ сервера.


Експерт створюСФ звСЦт, перелСЦчуючи IP-адреси СЦ середнСЦй час вСЦдповСЦдСЦ в секундах, як показано на рис.2.3. Якщо результати вСЦдповСЦдають базовим показникам, можливо, доведеться знову аналСЦзувати робочу станцСЦю СЦ роботу певного користувача. Якщо вони дСЦйсно повСЦльнСЦ, то трасування вимагатиме додаткового аналСЦзу. ЗвСЦт розподСЦлу протоколСЦв, звСЦт верхнСЦх користувачСЦв СЦ експерт пересилки TCP можуть надати цСЦнну допомогу при пошуку причини повСЦльноСЧ роботи мережСЦ. КрСЦм перегляду на екранСЦ звСЦти можна зберегти як текстовСЦ файли СЦ роздрукувати або перетворити на файли СЦнших форматСЦв, наприклад файли Microsoft Word[7].

2.4 Причини помилок у журналСЦ подСЦй


РЖнодСЦ у журналСЦ виникають помилки подСЦй. ОднСЦСФю з них СФ подСЦя ID 2000, яка говорить Status_no_such_file. Ця подСЦя вСЦдбуваСФться, коли мережевий додаток посилаСФ команду видалення файла на загальний диск, а файл вже був видалений. Тобто, в другому рядку роздСЦлу даних повСЦдомлення про помилку буде c000000f, яке вСЦдповСЦдаСФ Status_no_such_file.


2.4.1 Метод пошуку серверних проблем

Ця проблема пов'язана з SMB. Спочатку потрСЦбно розглянути файл перехоплення. Для спрощення створюСФться фСЦльтр виводу, який показуСФ тСЦльки команди SMB для видалення файлу. На рис.2.4 показано, як створюСФться цей фСЦльтр виводу. Знаходячись в режимСЦ виводу, вибираСФться фСЦльтр з меню виводу (display), пСЦсля подвСЦйного клацання по рядку протоколу з'являСФться дСЦалогове вСЦкно вибору, де вСЦдключаються всСЦ протоколи. Наступним кроком потрСЦбно вибрати SMB СЦз списку протоколСЦв в правСЦй панелСЦ дСЦалогового вСЦкна, а потСЦм клацнути по кнопцСЦ включити (enable). ДалСЦ перейти в роздСЦл "S" списку протоколСЦв. Це можна зробити активСЦзувавши на панелСЦ меню "name" СЦ введення "S". В наслСЦдок цього вСЦдбудеться перемСЦщення в роздСЦл "S", дозволяючи швидко знайти протокол SMB. Коли протокол SMB буде включений, потрСЦбно знайти команду SMB delete. Щоб це зробити, потрСЦбно вибрати закладку "property" СЦ в нСЦй знайти протокол SMB. Клацнувши на знаку "плюс" поряд з SMB, з'явиться список "астивостей протоколу, серед яких потрСЦбно вибрати "command" СЦз дСЦалогово вСЦкна. Коли "command" буде вибрано, появиться список значень. У списку значень потрСЦбно вибрати "delete file" СЦ потСЦм натиснути "ok". Цей фСЦльтр виводу показуСФ команди "SMB delete" будь-якого комптАЩютера[6].

При переглядСЦ кадрСЦв "SMB delete" потрСЦбно знайти повСЦдомлення про помилку. Розглянемо взаСФмодСЦю. КлСЦСФнтська машина посилаСФ на сервер команду "C delete file". Параметри включають розмСЦщення файлу.

ВСЦдповСЦдь з сервера повертаСФться в наступному кадрСЦ який представлений в роздрукСЦвцСЦ нижче. В ньому команда "R delete file" з повСЦдомленням про вСЦдсутнСЦсть помилок. Фай успСЦшно видалений з сервера.

В першому файлСЦ перехоплених даних проблема не локалСЦзована. Для того щоб знайти помилку необхСЦдно, створити фСЦльтр перехоплення, що перехоплюватиме тСЦльки один тип пакетСЦв. Щоб отримати необхСЦдну СЦнформацСЦю, яка показана на рис. 2.5, необхСЦдно знайти шаблон, який вказуСФ команду "SMB delete". Як можна побачити з рис.2.6, вибСЦр в панелСЦ виводу командного рядка SMB виводить число 06 в шСЦстнадцятковСЦй панелСЦ в рядку зсуву 03. У рядку статусу Netmon в нижньому правому кутку, точний зсув рСЦвний Зе в шСЦстнадцятковому виглядСЦ. Тепер СФ зсув СЦ шаблон для фСЦльтру перехоплення команди "delete SMB".


2.4.2 ФСЦльтр перехоплення, та його використання

Виконання програми Netmon можна спланувати за допомогою команди AT яка вводиться у консолСЦ cmd. ОскСЦльки використовуСФться спецСЦалСЦзований фСЦльтр перехоплення за допомогою якого можна визначити достатньо великий буфер перехоплення, то йому необхСЦдно задати виконання протягом достатньо довгого перСЦоду часу.

Використання фСЦльтру перехоплення

Netmon /autostart /buffersize 1024000 /capturefilter с:/smbdelete.cf /autostop

Приведений вище текст команди необхСЦдно ввести у текстовий редактор СЦ зберегти як файл .bat. Для автоматизацСЦСЧ процесу необхСЦдно використати службу "Планувальник завдань".

На рис.2.7 зображено використання служби "Планувальник завдань" для автоматизацСЦСЧ сеансу Netmon. НеобхСЦдно запустити службу планувальника, використовуючи аплет служби в панелСЦ управлСЦння, у вСЦкнСЦ CMD ввести необхСЦдну команду AT. В даному випадку планувальник виконуватиме файл .bat з понедСЦлка до п'ятницСЦ в 5:00 пСЦсля обСЦду. Приведений вище файл .bat виконуватиметься, поки буфер не заповниться, СЦ потСЦм зупиниться.

Виконуючи автоматичний сеанс Netmon пСЦд час прояву серверноСЧ проблеми, СФ можливСЦсть знайти неправильно працюючу програму, яка намагаСФться повторно видалити вже видалений файл.

Ретельно створений фСЦльтр перехоплення полегшуСФ знаходження проблемноСЧ програми. При виявленСЦ повСЦдомлення про помилку, фСЦльтр покаже, яка програма виконувалася в даний час. КрСЦм того, можна включити перегляд часу при вСЦдкриттСЦ файлу перехоплення СЦ точно побачити, який кадр вСЦдповСЦдаСФ певному повСЦдомленню про помилку в переглядачСЦ подСЦй [6].


2.5 Проблеми що виникають при широкомовленнСЦ


Широкомовлення завжди СФ хорошим об'СФктом для монСЦторингу, оскСЦльки примушуСФ всСЦ машини в пСЦдмережСЦ проглядати кадр. Це створюСФ зайву роботу для багатьох машин. КрСЦм того, коли виникаСФ надмСЦрна кСЦлькСЦсть широкомовних запитСЦв, це створюСФ руйнСЦвний вплив на мережу.

При розглядСЦ трафСЦку широкомовлення перший крок полягаСФ в створеннСЦ фСЦльтру виводу широкомовлення, що вибираСФ всСЦ широкомовнСЦ повСЦдомлення у вСЦкнСЦ фСЦльтру виводу, пСЦсля цього перевСЦрка широкомовних повСЦдомлень достатньо прямолСЦнСЦйна. Якщо виникаСФ широкомовний запит, як на рис.2.8, його легко виявити. НайбСЦльш активному користувачевСЦ звСЦт може дати уявлення про те, як вСЦн впливаСФ на мережу. З рис.2.8 видно що один користувач використовуСФ велику частину трафСЦку у мережСЦ.

Наступний пакет ARP показуСФ IP-адресу СЦ MAC адресу машини, яка викликаСФ надмСЦрне широкомовлення .

Для отримання СЦменСЦ користувача можна виконати наступнСЦ команди:

  • використати ping -a 10.0.0.163 для отримання СЦменСЦ хосту;
  • використати arp -a для виведення кешу ARP;
  • використати nbtstart -a 10.0.0.163 для отримання таблицСЦ СЦмен NetBIOS вСЦддаленоСЧ машини.

Для усунення надмСЦрного широкомовлення необхСЦдно дослСЦдити машину СЦ перевСЦрити, яке програмне забезпечення встановлено, якСЦ протоколи завантажено, а також вид використовуваного мережевого адаптера. Також, необхСЦдно подивитися, чи СЦснують оновлення для будь-якого з цих об'СФктСЦв, драйверСЦв, перевСЦрити оновлення вбудованих програм самого комп'ютера.

Визначивши, коли виникла проблема, можна дСЦзнатись про те, яке програмне забезпечення було додане, видалене або оновлене, тобто що викликало проблему [2].

РоздСЦл РЖРЖРЖ. Методи захисту вСЦд несанкцСЦонованого доступу в мережСЦ TCP/IP


3.1 Безпека комптАЩютерСЦв на базСЦ Windows 2000/XP


3.1.1 Сканування мережСЦ TCP/IP

Метою сканування СФ визначення IP-адрес хостСЦв мережСЦ, що атакуються, СЦ для виконання сканування можна скористатися утилСЦтою ping. На рис.3.1 представлений результат сканування утилСЦтою ping хосту Sword-2000.

РЖз результату видно, що комптАЩютер за вказаною адресою пСЦдключений до мережСЦ СЦ зтАЩСФднання працюСФ нормально. Це найпростСЦший спосСЦб сканування мережСЦ, одВннак, вСЦн не завжди приВнводить до потрСЦбного резульВнтату, оскСЦльки багато вузлСЦв блокують зворотню вСЦдправку пакетСЦв ICMP за допомогою спецСЦальних засобСЦв захисту.

Якщо обмСЦн даними за протоколом ICMP заблокований, хакерами можуть бути використанСЦ СЦншСЦ утилСЦти, наприклад, hping. Ця утилСЦта здатна фрагментувати (тобто дСЦлити на фрагменти) пакети ICMP, що дозволяСФ обходити простСЦ пристроСЧ блокування доступу, якСЦ не роблять зворотну збСЦрку фрагментованих пакетСЦв [9].

РЖнший спосСЦб обходу блокування доступу - сканування за допомогою утилСЦт, що дозволяють визначити вСЦдкритСЦ порти комп'ютера. Прикладом такоСЧ утилСЦти СФ SuperScan, яка надаСФ користувачам зручний графСЦчний СЦнтерфейс (див рис.3.2).

На рис. 3.2 приведений результат сканування мережСЦ в дСЦапазонСЦ IP-адрес 1.0.0.1-1.0.0.7. Деревовидний список в нижнСЦй частинСЦ вСЦкна вСЦдображаСФ список всСЦх вСЦдкритих портСЦв комп'ютера Sword-2000 серед яких TCP-порт 139 сеансСЦв NETBIOS. Запам'ятавши це, перейдемо до детальнСЦшого дослСЦдження мережСЦ - до СЧСЧ СЦнвентаризацСЦСЧ .

3.1.2 РЖнвентаризацСЦя мережСЦ

РЖнвентаризацСЦя мережСЦ полягаСФ у визначеннСЦ загальних мережевих ресурсСЦв, облСЦкових записСЦв користувачСЦв СЦ груп, а також у виявленнСЦ програм, що виконуються на мережевих хостах. При цьому хакери дуже часто використовують наступний недолСЦк комп'ютерСЦв Windows NT/2000/XP - можливСЦсть створення нульового сеансу NETBIOS з портом 139.


3.1.3 Нульовий сеанс

Нульовий сеанс використовуСФться для передачСЦ деяких вСЦдомостей про комп'ютери Windows NT/2000, необхСЦднСЦ для функцСЦонування мережСЦ. Створення нульового сеансу не вимагаСФ виконання процедури аутентифСЦкацСЦСЧ з'СФднання. Для створення нульового сеансу зв'язку необхСЦдно з командного рядка Windows NT/2000/XP виконати наступну команду:

net use\\l.0.0.l\IPC$"" /user:""

Де1.0.0.1 - це IP-адреса комп'ютера Sword-2000 ,що атакуСФться, IPC$ - це (абревСЦатура загального ресурсу мережСЦ Inter-Process Communication) мСЦжпроцесна взаСФмодСЦя, перша пара лапок означаСФ використання порожнього пароля, а друга пара в записСЦ user:"" вказуСФ на порожнСФ СЦм'я вСЦддаленого клСЦСФнта. АнонСЦмний користувач, що пСЦдключився нульовим сеансом за замовчуванням отримуСФ можливСЦсть завантажити диспетчер користувачСЦв, який використовуСФться для проглядання користувачСЦв СЦ груп, виконувати програму проглядання журналу подСЦй. Йому також доступнСЦ СЦ СЦншСЦ програми вСЦддаленого адмСЦнСЦстрування системою, що використовують протокол SMB (Server Message Block - блок повСЦдомлень сервера). БСЦльше того, користувач, що пСЦд'СФднався нульовим сеансом, маСФ права на перегляд СЦ модифСЦкацСЦю окремих роздСЦлСЦв системного реСФстру.

Ще один метод СЦнвентаризацСЦСЧ полягаСФ у використаннСЦ утилСЦт net view СЦ nbtstat з пакету W2RK. УтилСЦта net view дозволяСФ вСЦдобразити список доменСЦв мережСЦ.

C:\>net view /domain

Домен

SWORD

Команда виконана вдало.

В результатСЦ вСЦдобразилася назва робочоСЧ групи SWORD. Якщо вказати знайдене СЦмтАЩя домену, утилСЦта вСЦдобразить пСЦдключенСЦ до нього комптАЩютери.

C:\>net view /domain : SWORD

\\ALEX-3

\\SWORD-2000

Тепер необхСЦдно визначити зареСФстрованого на даний момент користувача серверного комптАЩютера Sword-2000 СЦ завантаженСЦ на комптАЩютерСЦ служби. З цСЦСФю метою використаСФмо утилСЦту nbtstat. Результат СЧСЧ використання представлений на рис. 3.3. На цьому рисунку вСЦдображена таблиця, в якСЦй перший стовбець вказуСФ СЦмтАЩя NetBIOS, в слСЦд за СЦмтАЩям вСЦдображений код служби NetBIOS. Код <00> пСЦсля СЦменСЦ комптАЩютера означаСФ службу робочоСЧ станцСЦСЧ, а код <00> пСЦсля СЦменСЦ домену - СЦмтАЩя домену. Код <03> означаСФ службу розсилки повСЦдомлень, якСЦ передаються користувачу, що заходить в систему, СЦмтАЩя якого стоСЧть перед кодом <03> в даному випадку Administrator.

На комптАЩютерСЦ також працюСФ служба браузера MSBROWSE, на що вказуСФ код пСЦсля СЦменСЦ робочоСЧ групи SWORD. Отже ми вже маСФмо СЦмтАЩя користувача, зареСФстрованого в даний момент на комптАЩютерСЦ Administrator, за допомогою процедури net view, вказавши СЧй СЦмтАЩя вСЦддаленого комптАЩютера. Визначаили також мережевСЦ ресурси комтАЩютера Sword-2000, якСЦ використовуСФ Administrator. Результати пердставленСЦ на рис. 3.4.

Отже, облСЦковий запис користувача Administrator вСЦдкриваСФ загальний мережний доступ до деяких папок файловоСЧ системи комптАЩютера Sword-2000 СЦ приводу CD-ROM. Таким чином про комптАЩютер вСЦдомо достатньо багато - вСЦн дозволяСФ нульовСЦ сеанси NetBIOS, на ньому працюСФ користувач Administrator, вСЦдкритСЦ порти 7, 9, 13, 17, 139, 443, 1025, 1027 комптАЩютера, СЦ в число загальних мережних ресурсСЦв входять окремСЦ папки локального диску C: . Тепер необхСЦдно дСЦзнатись пароль доступу користувача Administrator, пСЦсля чого в розпорядженнСЦ буде вся СЦнформацСЦя про жорсткий диск С: комптАЩютера.

Якщо протокол NetBIOS через TCP/IP буде вСЦдключений (комптАЩютери Windows 2000/XP надають таку можливСЦсть), можна використати протокол SNMP ( Simple Network Management Protocol - простий протокол мережевого управлСЦння), який забезпечуСФ монСЦторинг мереж Windows NT/2000/XP [8].


3.1.4 РеалСЦзацСЦя цСЦлСЦ

Виконання атаки на системи Windows NT/2000/XP складаСФться з наступних етапСЦв.

  • Проникнення в систему, що полягаСФ в отриманнСЦ доступу.
  • Розширення прав доступу, що полягаСФ в зломСЦ паролСЦв облСЦкових записСЦв з великими правами, наприклад, адмСЦнСЦстратора системи.
  • Виконання мети атаки: отримання даних, руйнування СЦнформацСЦСЧ СЦ так далСЦ.

Проникнення в систему починаСФться з використання облСЦкового запису, виявленого на попередньому етапСЦ СЦнвентаризацСЦСЧ. Для визначення потрСЦбного облСЦкового запису хакер мСЦг скористатися командою nbtstat або браузером MIB, або якими-небудь хакерськими утилСЦтами, удосталь представленими в РЖнтернетСЦ. Виявивши облСЦковий запис, хакер може спробувати пСЦд'СФднаСФться до комп'ютера, використовуючи його для вхСЦдноСЧ аутентифСЦкацСЦСЧ. ВСЦн може зробити це з командного рядка, ввСЦвши таку команду.

D:\>net use\\1.0.0.1\IPC$ * / u: Administrator

Символ "*» у рядку команди указуСФ, що для пСЦдключення до вСЦддаленого ресурсу IPC$ потрСЦбно ввести пароль для облСЦкового запису Administrator. У вСЦдповСЦдь на введення команди вСЦдобразиться повСЦдомлення:

Type password for\\1.0.0.1\IPC$:

Введення коректного пароля приводить до встановлення авторизованого пСЦдключення. Таким чином, ми отримуСФмо СЦнструмент для пСЦдбору паролСЦв входу в комп'ютер. Генеруючи випадковСЦ комбСЦнацСЦСЧ символСЦв або перебираючи вмСЦст словникСЦв, можна, врештСЦ-решт, натрапити на потрСЦбне поСФднання символСЦв пароля. Для спрощення пСЦдбору СЦснують утилСЦти, якСЦ автоматично роблять всСЦ цСЦ операцСЦСЧ, наприклад SMBGrind, яка входить в комерцСЦйний пакет CyberCop Scanner компанСЦСЧ Network Associates. Ще одним методом СФ створення пакетного файлу з циклСЦчним перебором паролСЦв.

Проте вСЦддалений пСЦдбСЦр паролСЦв - далеко не наймогутнСЦше знаряддя злому. ВсСЦ сучаснСЦ сервери, як правило, забезпеченСЦ захистом вСЦд багатократних спроб входу СЦз змСЦною пароля, СЦнтерпретуючи СЧх як атаку на сервер. Для злому системи захисту Windows NT/2000/XP частСЦше використовуСФться могутнСЦший засСЦб, що полягаСФ у отриманнСЦ паролСЦв бази даних SAM (Security Account Manager -диспетчер облСЦкових даних системи захисту). База даних SAM мСЦстить шифрованСЦ коди паролСЦв облСЦкових записСЦв, вони можуть витягуватися, зокрема вСЦддалено, за допомогою спецСЦальних утилСЦт. ДалСЦ цСЦ паролСЦ дешифруються за допомогою утилСЦти дешифрування, що використовуСФ який-небудь метод злому, наприклад, "грубою силою», або словниковою атакою, шляхом перебору слСЦв СЦз словника.

НайбСЦльш вСЦдомою утилСЦтою дешифрування СФ програма LC4 (скорочення вСЦд назви LOphtcrack),        яка дСЦСФ у парСЦ з такими утилСЦтами, як:

  • Samdump - отримання шифрованих паролСЦв з бази даних SAM.
  • Pwdump - отримання шифрованих паролСЦв з системного реСФстру комп'ютера, включаючи вСЦддаленСЦ системи. Ця утилСЦта не пСЦдтримуСФ посилене шифрування Syskey бази SAM.
  • Pwdump2 - отримання шифрованих паролСЦв з системного реСФстру, в якому застосовано шифрування Syskey. Ця утилСЦта пСЦдтримуСФ роботу тСЦльки з локальними системами.
  • Pwdump3 - те ж, що СЦ Pwdump2, але з пСЦдтримкою вСЦддалених систем.

Для отримання шифрованих паролСЦв з комп'ютера Sword-2000 застосуСФмо утилСЦту Pwdump3:

C:\>pwdump3 sword-2000 > password. psw

ВмСЦст отриманого файлу представлений у вСЦкнСЦ додатку Блокнот (Notepad) (рис. 3.5).

Як видно, у файлСЦ password.psw мСЦститься облСЦковий запис Administrator який був знайдений на етапСЦ СЦнвентаризацСЦСЧ. Щоб розшифрувати паролСЦ, слСЦд застосувати програму LC4 СЦ хоча пробна версСЦя цСЦСФСЧ програми пСЦдтримуСФ тСЦльки дешифрування паролСЦв методом словесноСЧ атаки, все ж даСФ можливСЦсть взлому паролСЦв комптАЩютера Sword-2000 рис. 3.6.

Таким чином, маючи можливСЦсть створення нульових сеансСЦв пСЦдключення NETBIOS до комп'ютера, в принципСЦ, можна отримати паролСЦ облСЦкових записСЦв комп'ютера, включаючи адмСЦнСЦстратора системи.

Для розширення прав доступу в системСЦ використовуються спецСЦальнСЦ програми, що дозволяють виконувати вСЦддалене керування системою, зокрема реСФстрацСЦю дСЦй користувача. Для цього на комп'ютер можуть бути впровадженСЦ так званСЦ клавСЦатурнСЦ шпигуни - програми, що реСФструють натиснення клавСЦш. ВсСЦ отриманСЦ данСЦ записуються в окремий файл, який може бути вСЦдСЦсланий на СЦнший комп'ютер в мережСЦ.

РЖнший варСЦант - розмСЦщення в системСЦ активного трояна, наприклад, NetBus, або Во2к (Back Orifice 2000), якСЦ забезпечують засоби прихованого вСЦддаленого керування СЦ монСЦторингу за атакованим комп'ютером[8].

Розглянемо роботу NetBus на прикладСЦ двох мережевих комп'ютерСЦв: клСЦСФнта - комп'ютер Sword-2000 (РЖР-адрес 1.0.0.1), СЦ сервера - комп'ютер Alex-3 (IP-адрес 1.0.0.5).

Для успСЦшноСЧ роботи троянського коня NetBus на комп'ютерСЦ, що атакуСФться, спочатку потрСЦбно запустити серверний компонент, який називаСФться NBSvr. При запуску програми NBSvr вСЦдображаСФться дСЦалог, представлений на рис.3.7.

Перед використанням сервера NetBus утилСЦту NBSvr необхСЦдно налаштуаати. Для цього виконуСФться така процедура:

  • У дСЦалозСЦ NB Server (Сервер NB) клацнути на кнопцСЦ Settings (Параметри). На екранСЦ з'явиться дСЦалог Server Setup (Параметри сервера), представлений на рис.3.8.        
  • Встановити прапорець Accept connections (Приймати з'СФднання).
  • У полСЦ Password (Пароль) ввести пароль доступу до сервера NetBus.
  • РЖз списку Visibility of server (ВидимСЦсть сервера) вибрати пункт Full visible (Повна видимСЦсть), що дозволить спостерСЦгати за роботою сервера NetBus (але для роботи краще вибрати повну невидимСЦсть).
  • У полСЦ Access mode (Режим доступу) вибрати Full access (Повний доступ), що дозволить робити на комп'ютерСЦ всСЦ можливСЦ операцСЦСЧ вСЦддаленого керування.
  • Встановити прапорець Autostart every Windows session (Автозавантаження при кожному сеансСЦ роботи з Windows), щоб сервер автоматично завантажувався при входСЦ в систему.
  • Клацнути мишею на кнопцСЦ ОК. Сервер готовий до роботи.

Тепер необхСЦдно налаштувати роботу клСЦСФнта - утилСЦту NetBus.exe.

  • Завантажити утилСЦту NetBus.exe, пСЦсля чого вСЦдобразиться вСЦкно NetBus 2.0 Pro, представлене на рис. 3.9.
  • Вибрати команду меню Host * Neighborhood * Local (Хост * СусСЦднСЦй хост * Локальний). ВСЦдобразиться дСЦалог Network (Мережа), представлений на рис. 3.10.
  • Клацнути на пунктСЦ Microsoft Windows Network (Мережа Microsoft Windows) СЦ вСЦдкрити список мережевих хостСЦв рис. 3.11.
  • Вибрати комптАЩютер з встановленим сервером NetBus, в даному випадку Sword-2000 СЦ клацнути на кнопцСЦ Add (Додати). На екранСЦ зтАЩявиться дСЦалогове вСЦкно Add Host (Додати хост), рис. 3.12.
  • В полСЦ Host name/IP (РЖмтАЩя хосту/РЖР) ввести РЖР-адресу серверного хосту 1.0.0.1.
  • В полСЦ User name (РЖмтАЩя користувача) необхСЦдно ввести СЦмтАЩя облСЦкового запису Administrator, а в полСЦ Password (Пароль), що дешифрований програмою LC4 пароль 007.
  • Клацнути на кнопцСЦ ОК. На екранСЦ вСЦдобразиться дСЦалог Network (Мережа).
  • Закрити дСЦалог Network (Мережа), клацнувши на кнопцСЦ Close (Закрити). На екранСЦ вСЦдобразиться вСЦкно NetBus 2.0 Pro СЦз записом доданого хосту (рис. 3.13).
  • Щоб пСЦдтАЩСФднатися до хосту Sword-2000 необхСЦдно клацнути правою кнопкою мишСЦ на пунктСЦ списку Sword-2000 СЦ з контекстного меню, що вСЦдобразилося, вибрати команду Connect (ПСЦд'СФднати). У разСЦ успСЦху в рядку стану вСЦкна NetBus 2.0 Pro вСЦдобразиться повСЦдомлення Connected to 1.0.0.1 (v.2.0) (ПСЦдключений до 1.0.0.1 (v.2.0)).

ПСЦсля успСЦшного з'СФднання з серверним компонентом Netbus, використовуючи СЦнструменти клСЦСФнта Netbus, можна зробити з атакованим комп'ютером все що завгодно. Практично йому будуть доступнСЦ тСЦ ж можливостСЦ, що СЦ у локального користувача Administrator. На рис. 3.14. представлений список СЦнстВнрументСЦв клСЦСФнта NetBus, який вСЦдображений в меню Control (УправлСЦння).

Серед цих СЦнструментСЦв можна вСЦдзначити засоби, зСЦбранСЦ в пСЦдменю Spy functions (Засоби шпигунства), що мСЦстять такСЦ СЦнструменти, як клавСЦатурний шпигун, перехоплювачСЦ екранних зображень СЦ СЦнформацСЦСЧ, що отримуСФться з вСЦдеокамери, а також засобу запису звукСЦв. Таким чином, хакер, що проник у комп'ютер, може пСЦдглядати, пСЦдслуховувати СЦ читати все, що бачить користувач, говорить, або вводить з клавСЦатури комп'ютера. Хакер також може модифСЦкувати системний реСФстр комп'ютера Sword-2000, завантажувати будь-якСЦ програми СЦ перезавантажувати вСЦддалену систему Windows, не кажучи вже про можливостСЦ перегляду СЦ копСЦювання будь-яких документСЦв СЦ файлСЦв.

Як уже згадувалося, описана в цьому роздСЦлСЦ утилСЦта сервера NetBus, вимагаСФ попереднього запуску на комп'ютерСЦ, що атакуСФться. ОстаннСФ завдання складаСФ цСЦлу окрему область хакСЦнгу СЦ полягаСФ в пошуку вСЦдкритих через недогляд каталогСЦв СЦнформацСЦйного сервера IIS, а також у використаннСЦ методСЦв "соцСЦальноСЧ СЦнженерСЦСЧ», що використовуСФться для впровадження в комп'ютер троянських коней або вСЦрусСЦв.


3.1.5 Приховування слСЦдСЦв

Аудит, поза сумнСЦвом, СФ одним з найбСЦльш серйозних засобСЦв захисту вСЦд взлому комп'ютерноСЧ системи, СЦ вСЦдключення засобСЦв аудиту - одна з перших операцСЦй, яку виконують хакери при зломСЦ комп'ютерноСЧ системи. Для цього застосовуються рСЦзнСЦ утилСЦти, що дозволяють очистити журнал реСФстрацСЦСЧ СЦ/або вСЦдключити аудит системи перед початком роботи.

Для вСЦдключення аудиту хакери можуть вСЦдкрити консоль ММС СЦ вСЦдключити полСЦтику аудиту, скориставшись засобами операцСЦйноСЧ системи. РЖншим, могутнСЦшим засобом, СФ утилСЦта auditpol.exe комплекту СЦнструментСЦв W2RK. З СЧСЧ допомогою можна вСЦдключати (СЦ включати) аудит як локального, так СЦ вСЦддаленого комп'ютера. Для цього необхСЦдно з командного рядка ввести таку команду.

C:\Auditpol>auditpol \\sword-2000 /disable

На екранСЦ з'являться результати роботи:

Running...

Audit information changed successfully on \\sword-2000...

New audit policy on \\sword-2000...

(0) Audit Disabled

System         = No

Logon         = No

Object Access        = No

Privilege Use        = No

Process Tracking        = Success and Failure

Policy Change         = No

Account Management         = No

Directory Service Access        = No

Account Logon         = No

Параметр команди \\sword-2000 - це СЦм'я вСЦддаленого комп'ютера, а ключ /disable задаСФ вСЦдключення аудиту на цьому комптАЩютерСЦ. УтилСЦта auditpol.exe СФ досить ефективним засобом для управлСЦння мережевими ресурсами СЦ також може бути СЦнструментом який використовуСФться при взломСЦ. Також ця утилСЦта дозволяСФ включати СЦ вСЦдключати аудит бази даних SAM, що СФ передумовою використання утилСЦти pwdump3.exe для отримання паролСЦв з бази SAM.

Очищення журналСЦв безпеки можна виконати або за допомогою утилСЦти проглядання журналСЦв Windows 2000/XP, або за допомогою спецСЦальних утилСЦт. У першому випадку слСЦд виконати наступнСЦ дСЦСЧ.

  • Клацнути на кнопцСЦ Пуск (Start) СЦ в головному меню, що з'явилося, вибрати команду Налаштування * Панель управлСЦння (Settings* Control Panel).
  • У панелСЦ управлСЦння, вСЦдкрити теку АдмСЦнСЦстрування (Administrative Tools).
  • ДвСЦчСЦ клацнути на аплетСЦ УправлСЦння комп'ютером (Computer Management). На екранСЦ з'явиться дСЦалог консолСЦ ММС.
  • ПослСЦдовно вСЦдкрити теки СлужбовСЦ програми * Перегляд подСЦй (System Tools | Event Viewer).
  • Клацнути правою кнопкою мишСЦ на пунктСЦ Безпека (Security Log).
  • Вибрати команду контекстного меню Стерти всСЦ подСЦСЧ (Clear all Events). На екранСЦ з'явиться дСЦалог Проглядання подСЦй (Event Viewer) з пропозицСЦСФю зберегти журнальнСЦ подСЦСЧ у файлСЦ.
  • Клацнути на кнопцСЦ НСЦ (No), якщо бСЦльше не потрСЦбнСЦ зафСЦксованСЦ в журналСЦ подСЦСЧ. Журнал буде очищений.

При очищеннСЦ журналу безпеки з нього витираються всСЦ подСЦСЧ, але вСЦдразу встановлюСФться нова подСЦя - тСЦльки що виконане очищення журналу аудиту! Таким чином, хакер все ж таки залишить свСЦй слСЦд - порожнСЦй журнал СЦз зафСЦксованою подСЦСФю очищення журналу[9].


3.2 Засоби вСЦддаленого керування


Засоби вСЦддаленого керування комп'ютерами сьогоднСЦ набули великоСЧ популярностСЦ. Поступово, крок за кроком, з СЦнструменту вСЦддаленого адмСЦнСЦстрування, що використовувалися суто в технологСЦчних цСЦлях, програмнСЦ засоби цього типу почали використовуватися спСЦвробСЦтниками рСЦзних органСЦзацСЦй для роботи зСЦ своСЧм офСЦсним комп'ютером не виходячи з будинку, з домашнього комп'ютера. СучаснСЦ програми вСЦддаленого керування офСЦсним комп'ютером надають цСЦлий набСЦр засобСЦв для пСЦдключення - прямого, модемного СЦ мережевого. Все це надаСФ великСЦ зручностСЦ для спСЦвробСЦтникСЦв органСЦзацСЦй, проте СЦ хакерам також вСЦдкриваються можливостСЦ для досягнення своСЧх цСЦлей.

РЖнсталюючи засоби вСЦддаленого керування, СЦснуСФ можливСЦсть його несанкцСЦонованого використання. Якщо встановити на офСЦсний комп'ютер модем СЦ пСЦдключити його до телефонноСЧ лСЦнСЦСЧ для подальших сеансСЦв зв'язку з домашнього комп'ютера, то хакер при виявленнСЦ телефонСЦв органСЦзацСЦСЧ СЦ протестувавши на наявнСЦсть з'СФднання за допомогою спецСЦальних програм СЦдентифСЦкуСФ засоби вСЦддаленого керування та взламуСФ СЧх.

3.2.1 Програма pcAnywhere

Програма pcAnywhere корпорацСЦСЧ Symantec СФ одним з кращих СЦнструментСЦв вСЦддаленого керування хостами мережСЦ TCP/IP. pcAnywhere встановлюСФться на комп'ютерах, зв'язаних локальною мережею, модемною лСЦнСЦСФю зв'язку або безпосередньо, через послСЦдовнСЦ СЦ паралельнСЦ порти. Комп'ютери, керованСЦ засобами pcAnywhere, називаються хостами, а комп'ютери, що керують, називаються абонентами. ВзаСФмодСЦя хостСЦв СЦ абонентСЦв pcAnywhere вСЦдбуваСФться наступним чином, пСЦсля встановлення зв'язку на екранСЦ вСЦддаленого комп'ютера вСЦдображаються тСЦ ж засоби призначеного для користувача СЦнтерфейсу СЦ дСЦалоги програм, що СЦ на монСЦторСЦ хосту. При цьому дСЦСЧ користувача в дСЦалозСЦ абонента pcAnywhere негайно копСЦюються на екранСЦ хоста pcAnywhere.

Таким чином, користувач комп'ютера-абонента pcAnywhere отримуСФ в своСФ розпорядження консоль вСЦддаленого керування хостом pcAnywhere, практично спСЦвпадаючу з локальною консоллю хосту (рис. 3.15).

Для керування роботою своСЧх хостСЦв СЦ абонентСЦв програма pcAnywhere надаСФ диспетчер, робоче вСЦкно якого, pcAnywhere Manager (Диспетчер pcAnywhere), представлене на рис. 3.16.

ВерсСЦя 10.5.1 програми pcAnywhere не дозволяСФ поповнювати список абонентСЦв хоста без вказСЦвки логСЦна СЦ пароля вхСЦдноСЧ реСФстрацСЦСЧ. Новому абонентовСЦ при створеннСЦ надаються за замовчуванням обмежанСЦ права.        
Отже, на перший погляд, все, що можна запропонувати для злому доступу до хосту pcAnywhere - це спробувати вгадати логСЦн СЦ пароль, часто спСЦвпадаючСЦ з логСЦном СЦ паролем вхСЦдноСЧ реСФстрацСЦСЧ. Для цього можна скористатися програмою Brutus. Ця програма дозволяСФ настроювати своСЧ засоби злому паролСЦв. Проте це трудомСЦсткий СЦ ненадСЦйний шлях, оскСЦльки користувач встановить надСЦйний пароль для реСФстрацСЦСЧ, а система захисту зафСЦксуСФ численнСЦ спроби вхСЦдноСЧ реСФстрацСЦСЧ [8].

РЖснуСФ обхСЦдний шлях - пСЦдмСЦна профСЦлю пСЦдключення абонента до хосту. В цьому випадку необхСЦдно створити хост pcAnywhere, СЦм'я якого спСЦвпадаСФ з тим, що вСЦдображаСФться в дСЦалозСЦ очСЦкування з'СФднання. Наступним кроком СФ створення абонента для пСЦдключення до цього хосту, цьому абонентовСЦ надаються необмеженСЦ права доступу до хосту, встановлюючи перемикач Superuser (Суперкористувач) на вкладцСЦ Privileges (ПривСЦлеСЧ) дСЦалогу "астивостей абонента.

ПСЦсля створення хосту pcAnywhere в папцСЦ Системний диск:/Documents and Settings/All Users/Application Data/Symantec/pcAnywhere (або в СЦншСЦй папцСЦ, вказанСЦй в списку дСЦалогу диспетчера pcAnywhere), створюСФться файл профСЦлю абонента цього хоста з передбаченим СЦм'ям. У даному випадку для хосту Sword-2000 пСЦсля створення абонента pcAnywhere з логСЦном А1ех-3 був створений файл профСЦлю з СЦм'ям PCA.Alex-3.CIF - тобто з СЦм'ям, що мСЦстить логСЦн абонента в серединСЦ запису, СЦ з розширенням .CРЖF.

Створивши за допомогою диспетчера pcAnywhere нового абонента наприклад, Hacker, профСЦль якого буде збережений у файлСЦ PCA.Hacker.CIF на комп'ютерСЦ хакера. Якщо цей файл РСА.Hacker.CIF помСЦстити на хост Sword-2000 в теку Системний диск:/Documents and Settings/All Users/Application Data/Symantec/ pcAnywhere, то в дСЦалозСЦ абонентСЦв хоста Sword-2000 з'явиться новий облСЦковий запис ( рис. 3.17).

Тепер до хосту pcAnywhere можна пСЦдключитися, знаючи логСЦн СЦ пароль нового абонента Hacker, в даному випадку - хакер, що трохи попрацював для створення СЦ перенесення файлу профСЦлю на комп'ютер-жертву.

РЖснуСФ декСЦлька шляхСЦв для запису файлу на атакований комптАЩютер. Одним з них це атака на протокол NETBIOS, або пСЦдготувавши СЦ вСЦдправити лист з активним вкладенням, яке завантажить на хост файл, скажСЦмо, з використанням клСЦСФнта TFTP. Можна також вдатися до методСЦв соцСЦальноСЧ СЦнженерСЦСЧ СЦ змусити ламера клацнути на посиланнСЦ для завантаження безкоштовноСЧ программи (це найкращий метод для людей СЦз специфСЦчними схильностями). Якщо хост pcAnywhere функцСЦонуСФ як Web-сервер, СФ сенс атакувати сервер IIS, СЦ якщо це програма IIS 5, не оброблена сервСЦсними пакетами, то шанси на успСЦх майже стовСЦдсотковСЦ[8].

Щоб вСЦддалено визначити, чи встановлений на комп'ютерСЦ хост pcAnywhere СЦ чи працюСФ вСЦн в даний момент, слСЦд звернутися до засобСЦв СЦнвентаризацСЦСЧ ресурсСЦв локальноСЧ мережСЦ, якСЦ повиннСЦ виявити на комп'ютерСЦ вСЦдкритСЦ порти вСЦддаленого управлСЦння. Проте в мережах Windows СФ СЦ ще одна можливСЦсть - використання засобСЦв СЦнвентаризацСЦСЧ, вбудованих в системи Windows NT/2000/XP, якСЦ спираються на протокол SNMP (Simple Network Management Protocol -простий протокол мережевого управлСЦння).


3.2.2 Протокол SNMP

Протокол SNMP призначений для вСЦддаленого адмСЦнСЦстрування хостСЦв локальноСЧ мережСЦ. Для хакерСЦв протокол SNMP забезпечуСФ великСЦ можливостСЦ з СЦнвентаризацСЦСЧ мережСЦ, на вразливостях SNMP базуСФться багато хакреських атак. Тому розроблено безлСЦч програм управлСЦння мережами з опорою на протокол SNMP, з яких видСЦлимо пакет SOLARWINDS. ЦСЦ утилСЦти мають подвСЦйне застосування. СистемнСЦ адмСЦнСЦстратори використовують СЧх для адмСЦнСЦстрування мережСЦ, а хакери - для проникнення в мережу СЦ заволодСЦння СЧСЧ ресурсами. Отже, перейдемо до знайомства з пакетом SOLARWINDS з врахуванням завдань злому СЦ захисту.

Протоколом SNMP СФ стандарт управлСЦння мережами TCP/IP (а також мережами IPX). На основСЦ протоколу SNMP створюються програмнСЦ засоби вСЦддаленого управлСЦння мережевими серверами, робочими станцСЦями СЦ СЦншими пристроями, що дозволяють налаштовувати роботу мережевих хостСЦв, спостерСЦгати за СЧх роботою, вСЦдстежувати збоСЧ СЦ поточну дСЦяльнСЦсть користувачСЦв в мережСЦ.

Для роботи вищезгаданих програмних засобСЦв SNMP використовуються системи управлСЦння SNMP (або консолСЦ SNMP) СЦ агенти SNMP, тобто служби SNMP, що збирають СЦнформацСЦю про вузли, СЦ помСЦщають СЧСЧ в бази даних MIB (Management Information Base - база керуючоСЧ СЦнформацСЦСЧ). База MIB мСЦстить таблицю запущених служб, звСЦт про спосСЦб розмежування доступу, перелСЦк сеансСЦв СЦ облСЦкових записСЦв користувачСЦв, набСЦр загальних ресурсСЦв сервера СЦ СЦншу СЦнформацСЦю. Для проглядання бази МРЖВ застосовуються системи управлСЦння SNMP, наприклад, утилСЦта snmputil з пакету W2RK або ж спецСЦальне програмне забезпечення, прикладом якого СФ застосуванню IP Network Browser, що входить в пакет SOLARWINDS 2002 Engineer's Edition. Хости, на яких функцСЦонують консолСЦ СЦ агенти SNMP, об'СФднуються в спСЦвтовариства SNMP, що СЦдентифСЦкуються СЦменами спСЦвтовариства. Агенти SNMP кожного хосту спСЦвтовариства можуть передавати повСЦдомлення у вСЦдповСЦдь на запити консолей SNMP тСЦльки "свого» спСЦвтовариства СЦ тих спСЦвтовариств, якСЦ вказанСЦ в списку, що створюСФться при конфСЦгурацСЦСЧ служби SNMP. Для обмСЦну СЦнформацСЦСФю використовуСФться транспортний протокол UDP, а передача пакетСЦв SNMP виконуСФться через сокети Windows з портами 161 СЦ 162.

Якщо хакеровСЦ вдаСФться визначити СЦм'я спСЦвтовариства SNMP, СЦнвентаризацСЦя мережевих ресурсСЦв комп'ютерСЦв спСЦвтовариства не викликаСФ жодних проблем. Для вирСЦшення цього завдання можна скористатися пакетом SOLARWINDS, що включаСФ у себе найрСЦзноманСЦтнСЦшСЦ утилСЦти для збору вСЦдомостей про локальну мережу.

На рис. 3.18. представлений дСЦалог браузера MIB з пакету Solar Winds 2001 EngineerтАЩs Edition, що вСЦдображаСФ записи бази даних MIB комптАЩютера А1ех-3, що входять в роздСЦл вСЦдомостей про облСЦковСЦ записи СЦ загальнСЦ ресурси комптАЩютера.

На рис. 3.18. можна вСЦдмСЦтити, що данСЦ, якСЦ вСЦдображаються браузером МРЖВ аналогСЦчнСЦ таким, що виявленСЦ з бази SAM за допомогою утилСЦти LC4 . Таким чином, база МРЖВ не менш СЦнформативна, нСЦж база SAM, крСЦм того, що в нСЦй вСЦдсутнСЦ паролСЦ облСЦкових записСЦв.

РЖснуСФ й СЦнша утилСЦта для проглядання ресурсСЦв мережевих хостСЦв - Network Browser , яка представляСФ СЦнформацСЦю бази даних МРЖВ мережСЦ, що СЦнвентаризуСФться в доступнСЦшСЦй формСЦ ( рис. 3.19).

Проблема у використаннСЦ бази MIB для цСЦлей СЦнвентаризацСЦСЧ полягаСФ в отриманнСЦ СЦменСЦ спСЦвтовариства, яке по сутСЦ СФ паролем для доступу до СЦнформацСЦСЧ в базСЦ MIB. Це завдання зовсСЦм не безнадСЦйне, оскСЦльки засоби пакету SOLARWINDS 2001 Engineer's Edition включають утилСЦти SNMP Brute Force Attack СЦ SNMP Dictionary Attack для злому доступу до бази МРЖВ пСЦдбором СЦменСЦ спСЦвтовариства, що виконуСФться, вСЦдповСЦдно, прямим перебором символСЦв СЦ шляхом словниковоСЧ атаки.

Дуже часто для надання СЦмен спСЦвтовариствам, SNMP адмСЦнСЦстратори використовують встановленСЦ за замовчуванням СЦмена public, або private, або СЧх варСЦацСЦСЧ. Тому утилСЦти SNMP Brute Force Attack СЦ SNMP Dictionary Attack для злому доступу до спСЦвтовариства SNMP враховують таку особливСЦсть. Вони дозволяють хакеровСЦ вводити початковСЦ СЦмена спСЦвтовариства SNMP типу public або private в стартовий рядок пошуку з автоматичною генерацСЦСФю варСЦантСЦв рядкСЦв, що випробовуються. Це дозволяСФ швидко знаходити СЦмена типу public2 СЦ СЦншСЦ, що базуються на стандартному СЦменСЦ public[8].

Для захисту вСЦд атаки на протокол SNMP, слСЦд закрити доступ до портСЦв 161 СЦ 162, якСЦ використовуються агентами СЦ консоллю SNMP, вдавшись до засобСЦв фСЦльтрацСЦСЧ ТСР/РЖР, або засобами аплета Служби (Services) комп'ютера Windows 2000/XP, щоб вСЦдключити на хостСЦ службу SNMP. У будь-якому випадку СЦм'я спСЦвтовариства SNMP повинно бути достатньо складним для злому методом грубоСЧ сили, оскСЦльки СЦм'я спСЦвтовариства служить фактично паролем доступу до агента SNMP.

ВстановленСЦ на мережевому хостСЦ засоби вСЦддаленого управлСЦння, як вСЦд незалежного виробника (програма pcAnywhere). так СЦ вбудованСЦ (служба SNMP) можуть стати справжнСЦми знахСЦдками для хакера, оскСЦльки дуже часто пСЦсля СЦнсталяцСЦСЧ цих засобСЦв СЧх система захисту не настроСФтна належним чином. Це стосуСФться практично всСЦх загальнопоширених програм вСЦддаленого керування, особливо раннСЦх версСЦй. Щоб виявити комп'ютер зСЦ встановленою програмою вСЦддаленого керування, можна скористатися засобами протоколу SNMP, що забезпечуСФ роботу агентСЦв СЦ консолСЦ SNMP управлСЦння ресурсами комп'ютера. Браузер IP Network Browser, розглянутий в цьому роздСЦлСЦ, надСЦйно СЦдентифСЦкуСФ вСЦдкритСЦ порти програми вСЦддаленого управлСЦння pcAnywhere, пСЦсля чого хакер може скористатися рСЦзними засобами для вСЦддаленого злому доступу до хосту pcAnywhere.

Не слСЦд нехтувати також можливостями SNMP для вирСЦшення загального завдання СЦнвентаризацСЦСЧ систем, що атакуються. Засоби захисту агентСЦв СЦ консолСЦ SNMP, вбудованСЦ в систему Windows не забезпечують належноСЧй безпеки для комп'ютерСЦв спСЦвтовариства SNMP. Для хакера це надаСФ обширнСЦ можливостСЦ для СЦнвентаризацСЦСЧ ресурсСЦв мережевих хостСЦв СЦ подальших спроб злому доступу до комп'ютерСЦв.

Для запобСЦгання взлому, паролСЦ доступу до хостСЦв pcAnywhere мають бути досить складними, щоб СЧх не можна було зламати словниковою атакою, або простим перебором. ОписанСЦй вище атацСЦ на хост pcAnywhere можна також запобСЦгти, обмеживши доступ до папок комп'ютера, що зберСЦгають СЦнформацСЦю для налаштування. Тому налаштування системи захисту Windows - найкращий спосСЦб запобСЦгання атакам на засоби вСЦддаленого управлСЦння[7].


3.3 ФункцСЦСЧ брандмауерСЦв


Брандмауером називають спецСЦальний програмно-апаратний комплекс, що забезпечуСФ захист локальноСЧ мережСЦ вСЦд вторгнень з локальноСЧ або глобальноСЧ мережСЦ, наприклад, РЖнтернету, в точцСЦ СЧх з'СФднання. Брандмауери дозволяють пропускати через мережеве з'СФднання тСЦльки авторизований трафСЦк, контролюючи тим самим мережеву взаСФмодСЦю мСЦж комп'ютерами глобальноСЧ СЦ локальноСЧ мережСЦ. ВисокорозвинутСЦ брандмауери дозволяють виконувати дуже точну настройку доступу до мережевих служб, надаючи для цього зручний графСЦчний СЦнтерфейс. Добре настроСФний брандмауер не просто блокуСФ неавторизованСЦ запити з боку зовнСЦшнСЦх комп'ютерСЦв, але СЦ намагаСФться СЦдентифСЦкувати авторСЦв запиту разом з негайним повСЦдомленням адмСЦнСЦстратора системи про спроби таких запитСЦв.

Брандмауери дозволяють управляти мережевим трафСЦком, що проходить усерединСЦ локальноСЧ мережСЦ. За допомогою брандмауерСЦв можна роздСЦлити локальну мережу на домени безпеки - групи комп'ютерСЦв з одним рСЦвнем захищеностСЦ. На комп'ютерах найбСЦльш захищеного домена слСЦд зберСЦгати конфСЦденцСЦйну СЦнформацСЦю, наприклад, облСЦковСЦ записи користувачСЦв, документи фСЦнансовоСЧ звСЦтностСЦ, вСЦдомостСЦ про поточну виробничу дСЦяльнСЦсть СЦ тому подСЦбне. РоздСЦлення доступу користувачСЦв до мережевих ресурсСЦв рСЦзного ступеня секретностСЦ вже само по собСЦ рСЦзко пСЦдвищуСФ рСЦвень безпеки мережСЦ. Якщо до того ж набудувати брандмауер так, щоб доступ до видСЦленого мережевого сегменту був максимально обмеженим, то можна значною мСЦрою забезпечити СЦнформацСЦю, що зберСЦгаСФться в сегментСЦ, вСЦд розкриття конфСЦденцСЦйностСЦ[6].

У загальному випадку методика Firewall, тобто брандмауерСЦв, реалСЦзуСФ наступнСЦ основнСЦ три функцСЦСЧ:

1. БагаторСЦвнева фСЦльтрацСЦя мережного трафСЦка.

ФСЦльтрацСЦя звичайно здСЦйснюСФться на трьох рСЦвнях OSI:

тАв мережному (IP);

тАв транспортному (TCP, UDP);

тАв прикладному (FTP, TELNET, HTTP, SMTP ).

ФСЦльтрацСЦя мережевого трафСЦка СФ основною функцСЦСФю систем Firewall СЦ дозволяСФ адмСЦнСЦстратору безпеки мережСЦ централСЦзовано здСЦйснювати необхСЦдну мережеву полСЦтику безпеки у видСЦленому сегментСЦ IP-мережСЦ. Тобто, настроСЧвши вСЦдповСЦдним чином Firewall, можна дозволити чи заборонити користувачам як доступ СЦз зовнСЦшньоСЧ мережСЦ до хостСЦв, що знаходяться в сегментСЦ, який захищаСФться, так СЦ доступ користувачСЦв СЦз внутрСЦшньоСЧ мережСЦ до вСЦдповСЦдного ресурсу зовнСЦшньоСЧ мережСЦ.

2. Proxy-схема з додатковою СЦдентифСЦкацСЦСФю й аутентифСЦкацСЦСФю користувачСЦв на Firewall - хостСЦ.

Proxy-схема дозволяСФ, по-перше, при доступСЦ до захищеного Firewall сегменту мережСЦ здСЦйснити на ньому додаткову СЦдентифСЦкацСЦю й аутентифСЦкацСЦю вСЦддаленого користувача. По-друге, СФ основою для створення приватних мереж з вСЦртуальними IP-адресами. Proxy-схема призначена для створення з'СФднання з кСЦнцевим адресатом через промСЦжний proxy-сервер (proxy вСЦд англ. повноважний) на хостСЦ Firewall. На цьому proxy-серверСЦ СЦ може здСЦйснюватися додаткова СЦдентифСЦкацСЦя абонента.

3. Створення приватних вСЦртуальних мереж (Private Virtual Network - PVN) з "вСЦртуальними" IP-адресами (NAT - Network Address Translation).

У випадку, якщо адмСЦнСЦстратор безпеки мережСЦ вважаСФ за доцСЦльне приховати топологСЦю своСФСЧ внутрСЦшньоСЧ IP-мережСЦ, то йому необхСЦдно використовувати системи Firewall для створення приватноСЧ мережСЦ (PVN-мережа). Хостам у PVN-мережСЦ призначаються будь-якСЦ "вСЦртуальнСЦ" IP-адреси. Для адресацСЦСЧ в зовнСЦшню мережу (через Firewall) необхСЦдне використання на хостСЦ Firewall proxy-серверСЦв, або застосування спецСЦальних систем роутСЦнгу (маршрутизацСЦСЧ). Це вСЦдбуваСФться через те, що вСЦртуальна IP-адреса, яка використовуСФться у внутрСЦшнСЦй PVN-мережСЦ , не придатна для зовнСЦшньоСЧ адресацСЦСЧ (зовнСЦшня адресацСЦя - це адресацСЦя до абонентСЦв, що знаходиться за межами PVN-мережСЦ). Тому proxy-сервер, чи засСЦб роутСЦнгу повинен здСЦйснювати зв'язок з абонентами з зовнСЦшньоСЧ мережСЦ зСЦ своСФСЧ дСЦйсноСЧ IP-адреси. Ця схема зручна в тому випадку, якщо для створення РЖР-мережСЦ видСЦлили недостатню кСЦлькСЦсть IP-адрес, тому для створення повноцСЦнноСЧ IP-мережСЦ з використанням proxy-схеми досить тСЦльки однСЦСФСЧ видСЦленоСЧ IP-адреси для proxy-сервера.

Будь-який пристрСЦй, що реалСЦзуСФ хоча б одну з цих функцСЦй Firewall-методики, СЦ СФ Firewall-пристроСФм. Наприклад, нСЦщо не заважаСФ використовувати в якостСЦ Firewall - хосту комп'ютер зСЦ звичайною ОС FreeBSD чи Linux, у якоСЧ вСЦдповСЦдним чином необхСЦдно скомпСЦлювати ядро ОС. Firewall такого типу буде забезпечувати тСЦльки багаторСЦвневу фСЦльтрацСЦю РЖР-трафСЦка. ПропонованСЦ на ринку Firewall-комплекси, створенСЦ на базСЦ ЕОМ звичайно реалСЦзують усСЦ функцСЦСЧ Firewall-методики СЦ СФ повнофункцСЦональними системами Firewall. На рис. 3.20 зображений сегмент мережСЦ, вСЦддСЦлений вСЦд зовнСЦшньоСЧ мережСЦ повнофункцСЦональним Firewall - хостом.

Однак адмСЦнСЦстраторам IP-мереж треба розумСЦти, що Firewall це не гарантСЦя абсолютного захисту вСЦд вСЦддалених атак у мережСЦ Internet. Firewall - не стСЦльки засСЦб забезпечення безпеки, скСЦльки можливСЦсть централСЦзовано здСЦйснювати мережну полСЦтику розмежування вСЦддаленого доступу до доступних ресурсСЦв мережСЦ. Firewall не зможе запобСЦгти таким видам атак як: аналСЦзу мережного трафСЦку, помилковий ARP-сервер, помилковий DNS-сервер, пСЦдмСЦна одного СЦз суб'СФктСЦв TCP-з'СФднання, порушення працездатностСЦ хосту шляхом створення спрямованоСЧ атаки помилковими запитами чи переповнення черги запитСЦв. В таких випадках використання Firewall не допоможе. Для того, щоб вивести з ладу (вСЦдрСЦзати вСЦд зовнСЦшнього свСЦту) усСЦ хости усерединСЦ захищеного Firewall-системою сегмента, досить атакувати тСЦльки один Firewall. Це пояснюСФться тим, що зв'язок внутрСЦшнСЦх хостСЦв СЦз зовнСЦшнСЦм свСЦтом можливий тСЦльки через Firewall.

З усього вищесказаного аж нСЦяк не випливаСФ, що використання систем Firewall СФ абсолютно безглуздим, на даний момент цСЦй методицСЦ немаСФ альтернативи. Однак треба чСЦтко розумСЦти СЦ пам'ятати СЧСЧ основне призначення. Застосування методики Firewall для забезпечення мережноСЧ безпеки СФ необхСЦдною, але аж нСЦяк не достатньою умовою. Не потрСЦбно вважати, що поставивши Firewall вирСЦшуються всСЦ проблеми з мережною безпекою СЦ усунуться усСЦ можливСЦ вСЦддаленСЦ атаки з мережСЦ Internet [7].


3.4 Перехоплення мережевих даних


Для снСЦфСЦнгу мереж Ethernet зазвичай використовуються мережевСЦ карти, переведенСЦ в режим прослуховування. Прослуховування мережСЦ Ethernet вимагаСФ пСЦдключення комп'ютера СЦз запущеною програмою-снСЦфером до сегменту мережСЦ, пСЦсля чого хакеровСЦ стаСФ доступним весь мережевий трафСЦк, що вСЦдправляСФться СЦ отримуСФться комп'ютерами в даному мережевому сегментСЦ. Ще простСЦше виконати перехоплення трафСЦку радСЦомереж, що використовують безпровСЦднСЦ мережевСЦ ретранслятори. В цьому випадку не потрСЦбно навСЦть шукати мСЦiя для пСЦдключення до кабелю.

Для технологСЦСЧ снСЦфСЦнгу можна використати программу-снСЦфер SpyNet, яку можна знайти на багатьох Web-сайтах. Програма SpyNet складаСФться з двох компонентСЦв - CaptureNet СЦ PipeNet. Програма CaptureNet дозволяСФ перехоплювати пакети, передаванСЦ по мережСЦ Ethernet на мережевому рСЦвнСЦ, тобто у виглядСЦ кадрСЦв Ethernet. Програма PipeNet дозволяСФ збирати кадри Ethernet в пакети рСЦвня прикладних програм, вСЦдновлюючи, наприклад, повСЦдомлення електронноСЧ пошти, повСЦдомлення протоколу HTTP (обмСЦн СЦнформацСЦСФю з Web-сервером) СЦ виконувати СЦншСЦ функцСЦСЧ.

Для захисту вСЦд прослуховування мережСЦ застосовуються спецСЦальнСЦ програми, наприклад AntiSniff, якСЦ здатнСЦ виявляти в мережСЦ комп'ютери, зайнятСЦ прослуховуванням мережевого трафСЦку. Програми антиснСЦфери для вирСЦшення своСЧх завдань використовують особливу ознаку наявностСЦ в мережСЦ прослуховуючих пристроСЧв. Мережева плата комптАЩютера-снСЦфера повинна знаходитися в спецСЦальному режимСЦ прослуховування. Знаходячись в режимСЦ прослуховування, мережевСЦ комп'ютери особливим чином реагують на IP-дейтаграми, що посилаються на адресу тестованого хосту. Наприклад, хости, що прослуховують як правило, обробляють весь трафСЦк, що поступаСФ, не обмежуючись тСЦльки вСЦдСЦсланими на адресу хосту дейтаграммами. РД СЦ СЦншСЦ ознаки, що вказують на пСЦдозрСЦлу поведСЦнку хоста, якСЦ здатна розпСЦзнати програма AntiSniff [11].

Поза сумнСЦвом, прослуховування дуже корисне з погляду зловмисника, оскСЦльки дозволяСФ отримати безлСЦч корисноСЧ СЦнформацСЦСЧ: передаванСЦ по мережСЦ паролСЦ, адреси комп'ютерСЦв мережСЦ, конфСЦденцСЦйнСЦ данСЦ, листи СЦ СЦнше. Проте просте прослуховування не дозволяСФ хакеровСЦ втручатися в мережеву взаСФмодСЦю мСЦж двома хостами з метою модифСЦкацСЦСЧ СЦ спотворення даних. Для вирСЦшення такого завдання потрСЦбна складнСЦша технологСЦя.


3.4.1 ФальшивСЦ ARP запити

Щоб перехопити СЦ замкнути на себе процес мережевоСЧ взаСФмодСЦСЧ мСЦж двома хостами А СЦ В зловмисник може пСЦдмСЦнити IP-адреси взаСФмодСЦючих хостСЦв своСФю IP-адресою, направивши хостам А СЦ В сфальсифСЦкованСЦ повСЦдомлення ARP (Address Resolution Protocol - протокол дозволу адрес).

Для перехоплення мережевого трафСЦку мСЦж хостами А СЦ В хакер нав'язуСФ цим хостам свою IP-адресу, щоб А СЦ В використовували цю фальсифСЦковану IP-адресу при обмСЦнСЦ повСЦдомленнями. Для нав'язування своСФСЧ IP-адреси хакер виконуСФ наступнСЦ операцСЦСЧ.

  • Зловмисник визначаСФ МАС-адреси хостСЦв А СЦ В, наприклад, за допомогою команди nbtstat з пакету W2RK.
  • Зловмисник вСЦдправляСФ на виявленСЦ МАС-адреси хостСЦв А СЦ В повСЦдомлення, що СФ сфальсифСЦкованими ARP-вСЦдповСЦдями на запити дозволу IP-адресСЦв хостСЦв в МАС-адреси комп'ютерСЦв. Хосту А повСЦдомляСФться, що IP-адресСЦ хосту В вСЦдповСЦдаСФ МАС-адреса комп'ютера зловмисника; хосту В повСЦдомляСФться, що IP-адресСЦ хосту А також вСЦдповСЦдаСФ МАС-адреса комп'ютера зловмисника.
  • Хости А СЦ В заносять отриманСЦ МАС-адреси в своСЧ кешСЦ ARP СЦ далСЦ використовують СЧх для вСЦдправки повСЦдомлень один одному. ОскСЦльки IP-адресам А СЦ В вСЦдповСЦдаСФ МАС-адреса комп'ютера зловмисника, хости А СЦ В, нСЦчого не пСЦдозрюючи, спСЦлкуються через посередника, здатного робити з СЧх посланнями що завгодно.

Для захисту вСЦд таких атак мережевСЦ адмСЦнСЦстратори повиннСЦ пСЦдтримувати базу даних з таблицею вСЦдповСЦдностСЦ МАС-адрес СЦ IP-адрес своСЧх мережевих комп'ютерСЦв. За допомогою спецСЦального програмного забезпечення, наприклад, утилСЦти arpwatch перСЦодично обстежувати мережу СЦ виявляти невСЦдповСЦдностСЦ [11].

3.4.2 Фальшива маршрутизацСЦя

Щоб перехопити мережевий трафСЦк, зловмисник може пСЦдмСЦнити реальну РЖР-адресу мережевого маршрутизатора своСФю, виконавши це, наприклад, з допомогою сфальсифСЦкованих ICMP-повСЦдомлень Redirect. Отримане повСЦдомлення Redirect хост А сприймаСФ як вСЦдповСЦдь на дейтаграмму, вСЦдСЦслану СЦншому хосту, наприклад, В. СвоСЧ дСЦСЧ на повСЦдомлення Redirect хост А визначаСФ, виходячи з вмСЦсту отриманого повСЦдомлення Redirect, СЦ якщо в Redirect задати перенаправлення дейтаграм з А в В по новому маршруту, саме це хост А СЦ зробить.

Для виконання помилковоСЧ маршрутизацСЦСЧ зловмисник повинен знати деякСЦ подробицСЦ про органСЦзацСЦю локальноСЧ мережСЦ, в якСЦй знаходиться хост А, в тому числСЦ, IP-адресу маршрутизатора, через яку вСЦдправляСФться трафСЦк з хосту А у В. Знаючи це, зловмисник сформуСФ IP-дейтаграмму, в якСЦй IP-адреса вСЦдправника означена як IP-адреса маршрутизатора, а одержувачем вказаний хост А. Також в дейтаграму включаСФться повСЦдомлення ICMP Redirect з полем адреси нового маршрутизатора, встановленим як IP-адреса комп'ютера зловмисника. Отримавши таке повСЦдомлення, хост А вСЦдправлятиме всСЦ повСЦдомлення за IP-адресою комп'ютера зловмисника [10].

Для захисту вСЦд такоСЧ атаки слСЦд вСЦдключити (наприклад, за допомогою брандмауера) на хостСЦ А обробку повСЦдомлень ICMP Redirect, а виявити РЖР-адресу комп'ютера зловмисника може команда tracert. ЦСЦ утилСЦти здатнСЦ знайти в локальнСЦй мережСЦ додатковий, непередбачений при СЦнсталяцСЦСЧ, маршрут, якщо звичайно адмСЦнСЦстратор мережСЦ проявить пильнСЦсть.

ПриведенСЦ вище приклади перехоплень (якими можливостСЦ зловмисникСЦв далеко не обмежуються) переконують в необхСЦдностСЦ захисту даних, що передаються по мережСЦ, якщо в даних мСЦститься конфСЦденцСЦйна СЦнформацСЦя. РДдиним методом захисту вСЦд перехоплень мережевого трафСЦку СФ використання програм, що реалСЦзовують криптографСЦчнСЦ алгоритми СЦ протоколи шифрування, що дозволяють запобСЦгти розкриттю СЦ пСЦдмСЦнСЦ секретноСЧ СЦнформацСЦСЧ. Для вирСЦшення таких завдань криптографСЦя надаСФ засоби для шифрування, пСЦдпису СЦ перевСЦрки достовСЦрностСЦ повСЦдомлень, що передаються по захищених протоколах [12].


3.4.3 Перехоплення ТСР-зтАЩСФднання

НайбСЦльш витонченою атакою перехоплення мережевого трафСЦку слСЦд вважати захоплення TCP-зтАЩСФднання (TCP hijacking), коли хакер шляхом генерацСЦСЧ СЦ вСЦдсилання на хост, що атакуСФться TCP-пакетСЦв, перериваСФ поточний сеанс зв'язку з хостом. ДалСЦ, користуючись можливостями протоколу TCP по вСЦдновленню перерваного TCP-зтАЩСФднання, хакер перехоплюСФ перерваний сеанс зв'язку СЦ продовжуСФ його замСЦсть вСЦдключеного клСЦСФнта.

Протокол TCP (Transmission Control Protocol - протокол управлСЦння передачею) СФ одним з базових протоколСЦв транспортного рСЦвня OSI, що дозволяСФ встановлювати логСЦчнСЦ з'СФднання по вСЦртуальному каналу зв'язку. По цьому каналу передаються СЦ приймаються пакети з реСФстрацСЦСФю СЧх послСЦдовностСЦ, здСЦйснюСФться управлСЦння потоком пакетСЦв, органСЦзовуСФться повторна передача спотворених пакетСЦв, а в кСЦнцСЦ сеансу канал зв'язку розриваСФться.

Протокол TCP СФ СФдиним базовим протоколом з сСЦмейства TCP/IP, що маСФ складну систему СЦдентифСЦкацСЦСЧ повСЦдомлень СЦ з'СФднання.

Для СЦдентифСЦкацСЦСЧ TCP-пакету в TCP-заголовку СЦснують два 32-розряднСЦ СЦдентифСЦкатори, якСЦ також вСЦдСЦграють роль лСЦчильника пакетСЦв, що називаються порядковим номером СЦ номером пСЦдтвердження. Поле TCP-пакета включаСФ наступнСЦ бСЦти керування (в порядку злСЦва направо):

URG - бСЦт термСЦновостСЦ;

АСК - бСЦт пСЦдтвердження;

PSH - бСЦт перенесення;

RST - бСЦт поновлення з'СФднання;

SYN - бСЦт синхронСЦзацСЦСЧ;

FIN - бСЦт завершення з'СФднання.

Розглянемо порядок створення TCP-зтАЩСФднання.

1. Якщо хосту А необхСЦдно створити TCP-зтАЩСФднання з хостом В, то хост А посилаСФ хосту В наступне повСЦдомлення: A -> B: SYN, ISSa

Це означаСФ, що в повСЦдомленнСЦ, яке передаСФться хостом А встановлений бСЦт SYN (Synchronize sequence number - номер послСЦдовностСЦ синхронСЦзацСЦСЧ), а в полСЦ порядкового номера встановлено початкове 32-бСЦтне значення ISSa (Initial Sequence Number - початковий номер послСЦдовностСЦ).

2.        У вСЦдповСЦдь на отриманий вСЦд хосту А запит хост В вСЦдповСЦдаСФ повСЦдомленням, в якому встановлений бСЦт SYN СЦ встановлений бСЦт АСК. У полСЦ порядкового номера хост В встановлюСФ своСФ початкове значення лСЦчильника - ISSb. Поле номера пСЦдтвердження при цьому мСЦститиме значення ISSa, отримане в першому пакетСЦ вСЦд хосту А СЦ збСЦльшене на одиницю. Таким чином, хост В вСЦдповСЦдаСФ таким повСЦдомленням: B-> A: SYN, ACK, ISSb, ACK(ISSa+1)

3.        НарештСЦ, хост А посилаСФ повСЦдомлення хосту В, в якому: встановлений бСЦт АСК; поле порядкового номера мСЦстить значення ISSa + 1; поле номера пСЦдтвердження мСЦстить значення ISSb + 1. ПСЦсля цього ТСР-зтАЩСФднання мСЦж хостами А СЦ В вважаСФться встановленим:

A-> B: ACK, ISSa+1, ACK(ISSb+1)

4.        Тепер хост А може посилати пакети з даними на хост В по тСЦльки що створеному вСЦртуальному TCP-каналу:

А -> В: АСК, ISSa+1, ACK(ISSb+1); DATA

Тут DATA позначаСФ данСЦ.

РЖз розглянутого вище алгоритму створення TCP-зтАЩСФднання видно, що СФдиними СЦдентифСЦкаторами TCP-абонентСЦв СЦ TCP-зтАЩСФднання СФ два 32-бСЦтнСЦ параметри порядкового номера СЦ номера пСЦдтвердження - ISSa СЦ ISSb. Отже, якщо хакеровСЦ вдасться дСЦзнатися поточнСЦ значення полСЦв ISSa СЦ ISSb, то йому нСЦщо не перешкодить сформувати сфальсифСЦкований TCP-пакет. Це означаСФ, що хакеровСЦ досить пСЦдСЦбрати поточнСЦ значення параметрСЦв ISSa СЦ ISSb пакету TCP для даного TCP-зтАЩСФднання, послати пакет з будь-якого хосту РЖнтернету вСЦд СЦменСЦ клСЦСФнта даного TCP-пСЦдключення, СЦ даний пакет буде сприйнятий як дСЦйсний.

Таким чином, для здСЦйснення описаноСЧ вище атаки необхСЦдною СЦ достатньою умовою СФ знання двох поточних 32-бСЦтових параметрСЦв СЦ ISSb, що СЦдентифСЦкують TCP-зтАЩСФднання. Розглянемо можливСЦ способи СЧх отримання. У разСЦ, коли хакреський хост пСЦдключений до мережевого сегменту, що атакуСФться, завдання отримання значень ISSa СЦ ISSb СФ тривСЦальним СЦ вирСЦшуСФться шляхом аналСЦзу мережевого трафСЦку. Отже, потрСЦбно чСЦтко розумСЦти, що протокол TCP дозволяСФ захистити з'СФднання тСЦльки у випадку-неможливостСЦ перехоплення хакером повСЦдомлень, якСЦ передаються по даному з'СФднанню, тобто тСЦльки у разСЦ, коли хакреський хост пСЦдключений до мережевого сегменту, вСЦдмСЦнного вСЦд сегменту абонента TCP-зтАЩСФднання [4].

Тому найбСЦльший СЦнтерес для хакера представляють мСЦжсегментнСЦ атаки, коли вСЦн СЦ його мета знаходяться в рСЦзних сегментах мережСЦ. В цьому випадку завдання отримання значень ISSa СЦ ISSb не СФ тривСЦальним. Для вирСЦшення даноСЧ проблеми на сьогоднСЦ придумано тСЦльки два способи.

  • Математичний прогноз початкового значення параметрСЦв TCP-з'СФднання за екстраполяцСЦСФю попереднСЦх значень ISSa СЦ ISSb.
  • Використання вразливостей СЦдентифСЦкацСЦСЧ абонентСЦв TCP-зтАЩСФднання на rsh-серверах Unix.

Перше завдання вирСЦшуСФться шляхом поглиблених дослСЦджень реалСЦзацСЦСЧ протоколу TCP в рСЦзних операцСЦйних системах СЦ сьогоднСЦ маСФ тСЦльки теоретичне значення. Друга проблема вирСЦшуСФться з використанням вразливостей системи Unix СЦдентифСЦкацСЦСЧ довСЦрених хостСЦв. ДовСЦреним по вСЦдношенню до даного хосту А називаСФться мережевий хост В, користувач якого може пСЦдключитися до хосту А без аутентифСЦкацСЦСЧ за допомогою r-служби хосту А. МанСЦпулюючи параметрами TCP-пакетСЦв, хакер може спробувати видати себе за довСЦрений хост СЦ перехопити TCP-зтАЩСФднання з хостом, що атакуСФться [5].

РДдиним порятунком вСЦд перехоплення даних СФ СЧх шифрування, тобто криптографСЦчнСЦ методи захисту. Посилаючи в мережСЦ повСЦдомлення, слСЦд заздалегСЦдь припускати, що кабельна система мережСЦ абсолютно уразлива, СЦ будь-який хакер, що пСЦдключився до мережСЦ, зможе виловити з неСЧ всСЦ переданСЦ секретнСЦ повСЦдомлення. РД двСЦ технологСЦСЧ вирСЦшення цСЦСФСЧ задачСЦ - створення мережСЦ VPN СЦ шифрування самих повСЦдомлень. ВсСЦ цСЦ завдання можна вирСЦшити за допомогою пакету програм PGP Desktop Security [12].


3.5 Комутований доступ до мереж


ТелефоннСЦ лСЦнСЦСЧ зв'язку, пСЦдключенСЦ до корпоративноСЧ мережСЦ, по сутСЦ СФ якнайкращим способом вторгнення в комп'ютерну систему органСЦзацСЦСЧ. На входах в пСЦдключений до РЖнтернету сервер сьогоднСЦ, як правило, встановленСЦ брандмауери, а ось телефоннСЦ лСЦнСЦСЧ, невСЦдомо як СЦ ким пСЦдключенСЦ до комп'ютерСЦв за допомогою модемСЦв - це реалСЦСЧ сьогодення. Дуже багато спСЦвробСЦтникСЦв органСЦзацСЦй пСЦдключають до своСЧх офСЦсних комп'ютерСЦв модеми для органСЦзацСЦСЧ входСЦв зСЦ своСЧх домашнСЦх комп'ютерСЦв.

ПСЦсля такого пСЦдключення вся система захисту комп'ютерноСЧ системи фактично обнуляСФться, адже немаСФ нСЦчого простСЦшого, нСЦж визначення телефонноСЧ лСЦнСЦСЧ з модемом, що працюСФ на СЦншому кСЦнцСЦ. Набравши вСЦдповСЦдний номер, можна почути характернСЦ звуки, що видаються модемом на СЦншому кСЦнцСЦ лСЦнСЦСЧ зв'язку.

ЦСЦ звуки СФ не що СЦнше, як сигнали, за допомогою яких модеми зв'язуються один з одним. Знаючи протокол взаСФмодСЦСЧ модемСЦв, частоти, послСЦдовностСЦ СЦ тривалСЦсть сигналСЦв - для фахСЦвцСЦв секретСЦв тут немаСФ, можна написати програму, що автоматизуСФ процес пошуку модемних лСЦнСЦй зв'язку, здатну перебирати набори телефонних номерСЦв СЦз заданого дСЦапазону, виявляти модемнСЦ лСЦнСЦСЧ зв'язку СЦ записувати отримуванСЦ повСЦдомлення в спецСЦальний журнал [4].

На сьогоднСЦшнСЦй день СЦснуСФ безлСЦч програм-сканерСЦв, найвСЦдомСЦшСЦ з них - це утилСЦта Login Hacker, що дозволяСФ застосовувати для завдань сканування iенарСЦСЧ, утилСЦта THN-Scan СЦ ToneLock компанСЦСЧ Minor Threat&Mucho Maas. ДвСЦ останнСЦ утилСЦти запускаються з командних рядкСЦв СЦ не мають графСЦчного СЦнтерфейсу.

Серед усСЦх програм сканерСЦв можна видСЦлити програму PhoneSweep компанСЦСЧ Sandstorm. Ця утилСЦта дозволяСФ сканувати вСЦдразу декСЦлька телефонних лСЦнСЦй, працюючи з декСЦлькома модемами одночасно, виявляти вСЦддалену програму, що приймаСФ телефоннСЦ дзвСЦнки, СЦ навСЦть пСЦдбирати пароль для доступу до цСЦСФСЧ вСЦддаленоСЧ програми. Демо-версСЦя програми PhoneSweep дозволяСФ робити майже все, окрСЦм виконання реальних дзвСЦнкСЦв, замСЦнюючи СЧх СЦмСЦтацСЦСФю.

Щоб приступити до злому лСЦнСЦй зв'язку, хакеровСЦ необхСЦдно знати телефони органСЦзацСЦСЧ, тому перше завдання хакера - визначити, хоч би приблизно, дСЦапазон номерСЦв органСЦзацСЦСЧ, комп'ютерну систему якоСЧ хакер буде атакувати.

Перед виконання атаки квалСЦфСЦкований хакер завжди виконуСФ попереднСЦй збСЦр даних про органСЦзацСЦю, який полягаСФ в пошуку всСЦх вСЦдомостей, якСЦ хакер може зСЦбрати про комп'ютерну систему, що атакуСФться. МаСФться на увазСЦ СЦнформацСЦя, що мСЦстить звСЦт про комп'ютерну мережу органСЦзацСЦСЧ. На хакреських сайтах можна знайти файли з результатами сканування широкого дСЦапазону телефонних номерСЦв. У цих файлах можна знайти безлСЦч вСЦдомостей про телефони рСЦзних органСЦзацСЦй з вказСЦвкою програми, що приймаСФ дзвСЦнки, СЦ навСЦть вСЦдомостей про паролСЦ доступу [12].


3.5.1 Сканер PhoneSweep 4.4

УтилСЦта PhoneSweep - по сутСЦ, перший по справжньому функцСЦональний СЦнструмент для аналСЦзу систем захисту телефонних лСЦнСЦй. ПрограмнСЦ СЦнструменти, що використовувалися до цих пСЦр були складнСЦ в управлСЦннСЦ, створенСЦ програмСЦстами-любителями СЦ позбавленСЦ пСЦдтримки виробника. Проте основним СЧхнСЦм недолСЦком СФ погана сумСЦснСЦсть з сучасними системами Windows.

Програма PhoneSweep позбавлена цих недолСЦкСЦв СЦ пропонуСФ всСЦм користувачам могутнСЦ засоби тестування модемних лСЦнСЦй на предмет СЧх захищеностСЦ вСЦд несанкцСЦонованого доступу. Програма PhoneSweep володСЦСФ такими можливостями.

  • ПрацюСФ на операцСЦйних системах Windows 95/98/NT/2000/XP.
  • Забезпечена зручним графСЦчним СЦнтерфейсом.
  • ДозволяСФ тестувати системи захисту на стСЦйкСЦсть до атак "грубою

силою» з генерацСЦСФю пар логСЦн/пароль для злому з'СФднань за протоколом РРР (Point-to-Point protocol - Протокол двоточкового з'СФднання).

  • ДозволяСФ створювати звСЦти, що налаштовуються.
  • ДозволяСФ працювати з декСЦлькома модемами, вСЦд 1 до 4.
  • ДозволяСФ зупиняти СЦ перезапускати сканування з рСЦзними налаштуваннями, причому без всякоСЧ втрати отриманих даних.


3.5.2 Робота з програмою PhoneSweep 4.4

Щоб почати сканування телефонних номерСЦв за допомогою програми Phone-Sweep, слСЦд зробити три операцСЦСЧ.

  • У робочому вСЦкнСЦ програми PhoneSweep вСЦдкрити вкладку Setup (Параметри), представлену на рис. 3.22 СЦ налаштувати поточний профСЦль програми.
  • ВСЦдкрити вкладку Phone Numbers (ТелефоннСЦ номери), представлену на Рис. 3.21 СЦ, клацнувши на кнопцСЦ Add (Додати). В дСЦалозСЦ Add Phone Numbers (Додати номери телефону), представленому на рис. 3.23, ввести дСЦапазон телефонних номерСЦв для прозвону.
  • У робочому вСЦкнСЦ програми PhoneSweep клацнути на кнопцСЦ Start (Старт) СЦ дочекатися результатСЦв.

Основною процедурою СФ налаштування профСЦлю програми, яка в термСЦнах довСЦдковоСЧ системи програми називаСФться створенням правил прозвону (dialing riles).

Правила прозвону програми PhoneSweep дозволяють керувати порядком, часом СЦ частотою дзвСЦнкСЦв, що виконуються в процесСЦ сканування телефонних номерСЦв органСЦзацСЦСЧ. При створеннСЦ правил прозвону слСЦд добитися такоСЧ поведСЦнки програми PhoneSweep, яка, з однСЦСФСЧ сторони, не приверне зайвоСЧ уваги системи захисту лСЦнСЦй зв'язку, а з СЦншоСЧ - дозволить вирСЦшити поставлене завдання з мСЦнСЦмальними зусиллями.

Для СЦдентифСЦкацСЦСЧ СЦ злому доступу до вСЦддаленоСЧ системи слСЦд вСЦдкрити вкладку Effort (Режим) (рис.3.24).

Як видно з рис. 3.24, тут СФ все необхСЦдне, щоб злом вСЦддаленоСЧ системи пройшов якомога ефективнСЦше. У списку Set Level (ВстановСЦтСЦ рСЦвень), можна вибрати, чи слСЦд просто пСЦд'СФднатися до телефону (пункт Connect (З'СФднатися)), або ж спробувати СЦдентифСЦкувати вСЦддалену систему (пункт Identity (РЖдентифСЦкацСЦя)), або ж спробувати зламати доступ до системи (пункт Penetrate (Проникнути)). При цьому список Scan For (Сканувати), дозволяСФ вибрати режим пошуку модемСЦв факсимСЦльних апаратСЦв, що важливо для рСЦзних застосувань (безглуздо, намагатися зламати доступ до факсимСЦльного апарату).

ТелефоннСЦ лСЦнСЦСЧ, пСЦдключенСЦ через модем до комп'ютерноСЧ системи - найнадСЦйнСЦший шлях для проникнення в локальну мережу органСЦзацСЦСЧ. Причина полягаСФ в масовому характерСЦ нелегального встановлення модемСЦв для роботи з робочим комп'ютером сидячи вдома. Додати сюди наявнСЦсть множини забутих СЦ покинутих лСЦнСЦй, повна зневага правилами комп'ютерноСЧ безпеки, що пануСФ в бСЦльшостСЦ органСЦзацСЦй, ось чому досить часто вСЦдбуваються зломи мереж рСЦзних фСЦнансових установ.

Описана в цьому питаннСЦ програма PhoneSweep - це найбСЦльш могутнСЦй засСЦб для вирСЦшення завдань проникнення у вСЦддалену систему. Програма PhoneSweep корисна як хакеровСЦ, так СЦ антихакеровСЦ, оскСЦльки тестування телефонних номерСЦв органСЦзацСЦСЧ - це надСЦйний спосСЦб перевСЦрки наявностСЦ недолСЦкСЦв в системСЦ захисту комп'ютерноСЧ системи вСЦд вСЦддаленого проникнення [4].

Висновки


В данСЦй квалСЦфСЦкацСЦйнСЦй роботСЦ вивчено основнСЦ види архСЦтектури обчислювальних мереж, встановлено, що СЦснують такСЦ види архСЦтектури: архСЦтектура термСЦнал - головний комптАЩютер, однорангова архСЦтектура, архСЦтектура клСЦСФнт - сервер. РозглянутСЦ особливостСЦ СЧхнього використання.

В роботСЦ також проаналСЦзовано методи пошуку несправностей в мережСЦ, та виявлено СЧхнСЦ основнСЦ причини. Встановлено, що до найбСЦльш поширених несправностей можна вСЦднести: реСФстрацСЦю робочоСЧ станцСЦСЧ, надання DHCP сервером РЖР-адреси робочСЦй станцСЦСЧ, швидкодСЦя мережСЦ, помилки у журналСЦ подСЦй, та надмСЦрне широкомовлення. Також вивченСЦ можливостСЦ СЧхнього вирСЦшення.

В третьому роздСЦлСЦ роботи дослСЦдженСЦ методи несанкцСЦонованого доступу до мереж та захист вСЦд них. Виявлено, що отримати несанкцСЦонований доступ до комптАЩютерноСЧ мережСЦ можна за допомогою засобСЦв вСЦддаленого керування, перехопленням мереживих даних, за допомогою комутованого доступу, при зломСЦ брандмауера, та СЦншими методами. Встановлено, що для захисту мережСЦ адмСЦнСЦстратору необхСЦдно регулярно проглядати журнал безпеки, що допоможе виявити незрозумСЦлСЦ подСЦСЧ, такСЦ як очищення журналу безпеки, або доступ до захищених ресурсСЦв. Для запобСЦгання взлому, паролСЦ доступу мають бути досить складними, щоб СЧх не можна було зламати словарною атакою, або простим перебором. РоздСЦлення доступу користувачСЦв до мережевих ресурсСЦв рСЦзного ступеня секретностСЦ також рСЦзко пСЦдвищуСФ рСЦвень безпеки мережСЦ.

Список скорочень СЦ пояснень


Netmon (Microsoft Network Monitor- мережевий монСЦтор) програма для операцСЦйних систем сСЦмейства Windows, призначена для перегляду пакетСЦв даних в комптАЩютернСЦй мережСЦ.

IP (Internet Protocol - протокол Internet). Протокол стека TCP/IP, що забезпечуСФ адресну СЦнформацСЦю СЦ СЦнформацСЦю про маршрутизацСЦю. Протокол IP забезпечуСФ обмСЦн дейтаграмами мСЦж вузлами мережСЦ СЦ СФ протоколом, що не встановлюСФ з'СФднання СЦ що використовуСФ дейтаграми для вСЦдправки даних з однСЦСФСЧ мережСЦ в СЦншу.

TCP (Transmission Control Protocol - протокол управлСЦння передачею). Протокол стека TCP/IP, що вСЦдповСЦдаСФ за надСЦйну передачу даних вСЦд одного вузла мережСЦ до СЦншого. ВСЦн створюСФ сеанс зСЦ встановленням з'СФднання, тобто вСЦртуальний канал мСЦж машинами.

NETBIOS (Базова мережева система вводу виводу). NETBIOS встановлюСФ з'СФднання мСЦж комп'ютерами, а NETBEUI надаСФ послуги передачСЦ даних для цього з'СФднання.

NETBEUI (NETBIOS Extended User Interface - розширений призначений для користувача СЦнтерфейс базовоСЧ мережевоСЧ системи вводу виводу). Розроблений спСЦльно IBM СЦ Microsoft, цей протокол забезпечуСФ транспортнСЦ послуги для NETBIOS.

ICMP (Internet Control Message Protocol - протокол керуючих повСЦдомлень Internet) використовуСФться протоколом IP СЦ СЦншими протоколами високого рСЦвня для вСЦдправки СЦ отримання звСЦтСЦв про стан переданоСЧ СЦнформацСЦСЧ. Цей протокол використовуСФться для контролю швидкостСЦ передачСЦ СЦнформацСЦСЧ мСЦж двома системами. Якщо маршрутизатор, що сполучаСФ двСЦ системи, переобтяжений трафСЦком, вСЦн може вСЦдправити спецСЦальне повСЦдомлення ICMP - помилку для зменшення швидкостСЦ вСЦдправлення повСЦдомлень.

UDP (User Datagram Protocol - протокол призначених для користувача дейтаграм ) призначений для вСЦдправки невеликих об'СФмСЦв даних без установки з'СФднання СЦ використовуСФться програмами, якСЦ не потребують пСЦдтвердження адресатом СЧх отримання.

WINS (Windows Internet Name Service -Служба СЦнтернет СЦмен Windows, СЦнша назва тАФ NetBIOS Name Server, NBNS) тАФ cлужба зСЦставлення NetBIOS-СЦмен комп'ютерСЦв з IP-адресами вузлСЦв. Сервер WINS здСЦйснюСФ реСФстрацСЦю СЦмен, виконання запитСЦв СЦ звСЦльнення СЦмен. При використаннСЦ NetBIOS поверх TCP/IP необхСЦдний WINS сервер для визначення коректних IP-адрес.

TCP/IPВатАФ (TransmissСЦon Control ProtocolВа/ Internet Protocol - протокол керування передачеюВа/ протокол Internet ) розбиваСФ вихСЦдне повСЦдомлення на пакети (TCP), доставляСФ пакети на вузол адресата(IP) СЦ збираСФ (вСЦдновлення) вихСЦдного повСЦдомлення з пакетСЦв (TCP).

DNS (Domain Name System - домена система СЦмен  )ВатАФ розподСЦлена система перетворення СЦменСЦ хоста (комп'ютера або СЦншого мережевого пристрою) в IP-адресу.

DHCP ( Dynamic Host Configuration ProtocolВатАФ протокол динамСЦчноСЧ конфСЦгурацСЦСЧ вузла)Вамережний протокол, що дозволяСФ комп'ютерам автоматично одержувати IP-адресу й СЦншСЦ параметри, необхСЦднСЦ для роботи в мережСЦ TCP/IP. Для цього комп'ютер звертаСФться до спецСЦального серверу, пСЦд назвою сервер DHCP. Мережний адмСЦнСЦстратор може задати дСЦапазон адрес, що розподСЦляють серед комп'ютерСЦв. Це дозволяСФ уникнути ручного налаштування комп'ютерСЦв мережСЦ й зменшуСФ кСЦлькСЦсть помилок. Протокол DHCP використовуСФться в бСЦльшостСЦ великих мереж TCP/IP.

BOOTP ( Bootstrap Protocol) мережевий протокол, що використовуСФться для автоматичного отримання клСЦСФнтом IP-адресаи. Це зазвичай вСЦдбуваСФться в час завантаження комп'ютера. BOOTP дозволяСФ бездисковим робочим станцСЦям отримувати IP-адресу перш, нСЦж буде завантажена повноцСЦнна операцСЦйна система.

РОР3 (Post Office Protocol -поштовий офСЦсний протокол) протокол, що використовуСФться клСЦСФнтом для доступу до повСЦдомлень електронноСЧ пошти на серверСЦ.

SMB (Server Message Block тАФ протокол прикладного рСЦвня в моделСЦ OSI), зазвичай використовуСФться для надання роздСЦленого доступу до файлСЦв, принтерСЦв, послСЦдовних портСЦв передачСЦ даних, та СЦншоСЧ взаСФмодСЦСЧ мСЦж вузлами в комп'ютернСЦй мережСЦ. Також надаСФ можливостСЦ мСЦжпроцесноСЧ взаСФмодСЦСЧ з аутентифСЦкацСЦСФю.

Host (Хост). В термСЦнологСЦСЧ РЖР будь-який пристрСЦй з РЖР-адресом. В загальному розумСЦннСЦ це або джерело, або мСЦiе призначення повСЦдомлення в мережСЦ.

ARP ( Address Resolution Protocol тАФ протокол визначення адрес) тАФ мережевий протокол, призначений для перетворення IP-адрес (адрес мережевого рСЦвня) в MAC-адреси (адреси канального рСЦвня) в мережах TCP/IP.

ARP - RARP (Reverse Address Resolution Protocol - реверсивний протокол дозволу адреси) знаходить РЖР-адресу за вСЦдомою локальною адресою.

NETLOGON (Мережений вхСЦд в систему) служба для перевСЦрки дСЦйсностСЦ користувачСЦв СЦ служби якСЦ входять в систему.

Мастер-броузер - вСЦдповСЦдаСФ за збСЦр СЦнформацСЦСЧ для створення СЦ пСЦдтримки списку перегляду, який мСЦстить всСЦ сервери в доменСЦ мастер-броузера, або робочоСЧ групи, а також перераховуСФ всСЦ домени мережСЦ.

SAM (Security Account Manager -диспетчер облСЦкових даних системи захисту). База даних SAM мСЦстить шифрованСЦ коди паролСЦв облСЦкових записСЦв.

MIB (Management Information Base - база керуючоСЧ СЦнформацСЦСЧ). База даних MIB мСЦстить таблицю запущених служб, звСЦт про спосСЦб розмежування доступу, перелСЦк сеансСЦв СЦ облСЦкових записСЦв користувачСЦв, набСЦр загальних ресурсСЦв сервера СЦ СЦншу СЦнформацСЦю.

ЛСЦтература


  1. Бормотов С.В. Системное администрирование на 100%. - СПб.; Питер, 2006. - 256.:ил.
  2. РДд УСЦлсон ,, МонСЦторинг СЦ аналСЦз мережтАЭ Москва видавництво ,,ЛоритАЭ 2002р.
  3. ссылка на сайт удаленаA>
  4. Alex WebKnacKer Быстро и легко. Хакинг и антихакинг: защита и нападение. Учебное пособие.тАФ М.: Лучшие книги, 2004 тАФ 400 с.: ил.
  5. ссылка на сайт удаленаA>

6. Локальная сеть своими руками. 100% самоучитель : [учеб. пособие] / И.Я. Минаев. - М. : ТЕХНОЛОДЖИ - 3000, 2004 - 368 с.: ил.

7. Поляк-Брагинский А.В. Администрирование сети на примерах. тАФ СПб.: БХВ-Петербург, 2005. тАФ 320 с : ил.

8. Мак-Клар С., Скембрей Д., Курц Д. Секреты хакеров. Безопасность сетей -готовые решения, 2-е изд.: Пер. с англ. - М.: Издательский дом "Вильяме», 2001.- 656 с.: ил. - Парал. титл. англ.

9. Р. Браг. Система безопасности Windows 2000.: Пер. с англ. - М.: Издательский дом "Вильяме», 2001. - 592 с.: ил. - Парал. тит. англ.

10.М. Мамаев, С. Петренко "Технология защиты информации в Интернете. Специальный справочник» - СПб.: Питер. 2002. - 848 с.: ил.

11.Лукацкий А.В. Обнаружение атак - СПб.: "БХВ-Петербург», 2001. - 624 с.: ил.

12.Alex JeDaev Я люблю компьютерную самооборону. Учебное пособие - М.: Только для взрослых, 2002 - 432 с.: ил.

Страницы:
Назад 1 Вперед