Иллюстрированный самоучитель по Secure Web
         

Дополнительное исследование брандмауэров


Если прямое сканирование портов, отслеживание маршрутов и сбор маркеров не принесли успеха, взломщики могут прибегнуть к дополнительной инвентаризации брандмауэра на более высоком уровне. При этом идентифицировать брандмауэры и получить их правила ACL можно в процессе исследования цели и анализа полученной информации (или не полученной).

Простой способ получения данных с помощью утилиты nmар

Утилита nmар является прекрасным средством исследования брандмауэров, и мы постоянно ею пользуемся. В процессе сканирования узла эта утилита сообщает не только об открытых или закрытых портах, но и о тех из них, которые оказались заблокированными. При этом полученные (или отсутствующие) данные позволяют узнать о конфигурации брандмауэра много важной информации.

Если в результате сканирования утилита nmap "пометила" порт как фильтруемый, то это означает возникновение одного из следующих условий.

  • Не получен пакет SYN/ACK. 

  • Не получен пакет RST/ACK.

  • Получено ICMP-сообщение типа 3 (Destination Unreachable) с кодом 13 (Communication Administratively Prohibited — RFC 1812).

    • При выполнении любого из этих трех условий утилита nmap сообщит о порте как о фильтруемом (filtered). Например, при сканировании узла www.company.com мы получили два IСМР-пакета, что говорит о блокировании брандмауэром портов 23 и 111.

    [root]# nmap -p20,21,23,53,80,111 -PO -w 192.168.51.100

    Starting nmap V.2.08 by Fyodor (fyodor@dhp.com,

    www.insecure.org/nmap/)

    Initiating TCP connect() scan against (192.168.51.100)

    Adding TCP port 53 (state Open).

    Adding TCP port 111 (state Firewalled).

    Adding TCP port 80 (state Open).

    Adding TCP port 23 (state Firewalled).

    Interesting ports on (192.168.51.100):

    Port State Protocol Service

    23 filtered tcp telnet

    53 open tcp domain

    80 open tcp http

    111 filtered tcp sunrpc

    Состояние Firewalled из предыдущего фрагмента свидетельствует о получении 1СМР-пакета типа 3 с кодом 13 (admin prohibited filter), как видно из следующего листинга утилиты tcpdump.

    Содержание  Назад  Вперед






    Forekc.ru
    Рефераты, дипломы, курсовые, выпускные и квалификационные работы, диссертации, учебники, учебные пособия, лекции, методические пособия и рекомендации, программы и курсы обучения, публикации из профильных изданий