Способи сканування ресурсів мережі

Послідовне просматривание (англ. sweeping) ресурсів комп'ютерної мережі виробляється порушником з метою розвідки й попереднього збору інформації на першій стадії вторгнення.

До найпростішого способу послідовного просматривания (сканування) ставиться процедура, позначувана Ping sweeps.Протягом цього процесу сканування утилітою ping проглядається діапазон IP-адрес об'єкта нападу з метою визначення активних комп'ютерів. Більше складні сканери використають інші процедури, наприклад SNMP sweep.

Для зондування відкритих TCP-портіву пошуках сервісів, які може використати порушник, він застосовує процедуру ТСР-сканирования. Сеанси сканування можуть використати звичайні ТСР-соединения. Існують так звані сховані сеанси сканування, що застосовують наполовину відкриті з'єднання (для того, щоб захистити їх від реєстрації в журналах) або FIN-сеанси сканування (ніколи не відкривають порт, але тестируют, якщо щось прослуховується). Сеанси сканування можуть бути послідовними, випадковими, або сконфигурированы по переліку портів. Процес сканування UDP-портів трохи складніше, у зв'язку з тим, що UDP-протокол ставиться до дейтаграммным протоколів, тобто без установлення віртуального з'єднання. Суть UDP-скануванняполягає в тім, щоб послати "сміттєвий" UDP-пакет до наміченого порту. Більшість машин будуть реагувати за допомогою ICMP-повідомлення "destination port unreachable", що вказує, що на даному порту немає сервісу, що перевіряє. Однак багато комп'ютерів придушують ICMP-повідомлення, тому зловмисник не в змозі здійснювати дуже швидке UDP-сканування.

Для ідентифікації використовуваної в мережі операційної системи(ОС) порушники роблять посилку некоректних ICMP- або ТСР-пакетов. Стандарти звичайно встановлюють, яким образом комп'ютери повинні реагувати на легальні пакети, тому машини мають тенденцію бути однаковими у своїй реакції на припустимі вхідні дані. Однак стандарти упускають реакцію на неприпустимі вхідні дані. Таким чином, унікальні дії кожної ОС на неприпустимі вхідні дані дозволяють зловмисникові зрозуміти, під чиїм керуванням функціонує обраний комп'ютер. Цей тип діяльності має місце на нижньому рівні (начебто схованих сеансів TCP-сканування), на якому аналізовані системи не реєструють події. Зловмисникові відомо, що існує програма Nmap,позво-ляяющая адміністраторам сканувати окремі хосты й цілі мережі, визначати підтримувані типи сервісу й інші параметри. Nmap підтримує безліч методів сканування: UDP, TCP connect(), TCP SYN (half open), ftp proxy (bounce attack), ICMP (ping sweep), FIN, ACK sweep, SYN sweep, IP Protocol, і ін. Крім звичайного сканування програма може визначати тип операційної системи вилученого хоста, виконувати сховане сканування, паралельне сканування, детектирование фільтрів і ряд інших дій.

Про наявність межсетевого захисного екрана в системі зловмисник може довідатися за ознаками його переконфігурування. Для цього він посилає великий потік ping-пакетів на хост і відзначає, що через якийсь час доступ припинився {ping не проходить). За цією ознакою атакуючий може зробити вивід, що система виявлення вторгнень провела переконфігурацію межсетевого екрана, установивши нові правила заборони ping на хост. Однак їсти способи обійти цей захист. Зловмисник, атакуючи мережу, може задавати як адреса відправника IP-адреси відомих фірм (атака - ipspoofing). У відповідь на потік ping-пакетів механізм переконфігурування межсетевого екрана закриває доступ на сайти цих фірм. У результаті виникають численні телефонні дзвінки користувачів "закритих" компаній у службу підтримки сайту, і адміністратор змушений відключити механізм переконфігурації (чого й домагається зловмисник).