Иллюстрированный самоучитель по Secure Web


Дополнительное исследование брандмауэров - часть 2


23:14:01.229743 10.55.2.1 > 172.29.11.207: icmp: host 172.32.12.4

Unreachable - admin prohibited filter

23:14:01.979743 10.55.2.1 > 172.29.11.207: icmp: host 172.32.12.4

Unreachable - admin prohibited filter

Каким же образом утилите nmap удается связать получаемые пакеты с исходными сообщениями, особенно, когда они являются лишь малой частью данных, передаваемых по сети? Дело в том, что в ответном ICMP-пакете, передаваемом на сканирующий узел, содержится вся информация, необходимая для понимания того, что же произошло. О блокировании порта сообщается в однобайтовом блоке заголовка IСМР по адресу 0x41, а в случае обращения к фильтруемому порту брандмауэр отправит сообщение в IP-блоке пакета по адресу 0xlb (4 байта).

И наконец, о нефильтруемых (unf iltered) портах утилита nmap сообщает лишь в том случае, когда при их сканировании обратно возвращается пакет RST/ACK. В этом случае тестовый пакет либо достигает целевого узла, который сообщает о том, что порт не находится в состоянии ожидания запросов, либо брандмауэр имитирует IP-адрес этого узла, устанавливая флаг RST/ACK. Например, при сканировании локальной системы было выявлено два нефильтруемых порта, поскольку не пришло двух ответных пакетов RST/ACK. Подобная ситуация может быть имитирована и некоторыми брандмауэрами, например, ChackPoint на которых действует правило REJECT.

[root]# nmap -sS -pl-300 172.18.20.55

Starting nmap V. 2.08 by Fyodor (fyodor@dhp.com,

www.insecure.org/nmap/)

Interesting ports on (172.18.20.55):

(Not showing ports in state: filtered)

Port State Protocol Service

7 unfiltered tcp echo

53 unfiltered tcp domain

256 open tcp rap

257 open tcp set

258 open tcp yak-chat

Nmap run completed -- 1 IP address

(1 host up) scanned in 15 seconds

При отслеживании пакетов с помощью утилиты tcpdump можно увидеть, что обратно возвращаются пакеты RST/ACK.

21:26:22.742482 172.18.20.55.258 > 172.29.11.207.39667: S

415920470:1415920470(0) ack 3963453111 win 9112 <mss 536> (DF)



Начало  Назад  Вперед



Книжный магазин