Если все предыдущие попытки не принесли успеха, осуществляется последняя попытка установить соединение с ТСР-портом 53. Эта попытка отличается от отправки обычных SYN-пакетов, поскольку в полезной нагрузке содержится 64 байт данных. Обычно никакие данные не передаются до завершения полной процедуры установки TCP-соединения. Объем данных размером в 64 байт выглядит вполне нормально, это и не много, и не мало. Прогнозируемым результатом является получение SYN/АСК-пакета от сервера, который ожидает запросов на этот порт, и пакета с установленными флагами RST и АСК, если порт закрыт.

209.67.78.202.2202 > mydns.com.53: S 997788921: 997788985(64) win 2048

209.67.78.202.2200 > mydns.com.53: S 869896644: 8 69896708(64) win 2048

209.67.78.202.2201 > mydns.com.53: S 1386586413:1386586477(64) win 2048

216.32.68.11.3102 > mydns.com.53: S 765045139: 7650452 03(64) win 2048

216.32.68.11.3100 > mydns.com.53: S 865977968: 865978 032(64) win 2048

216.32.68.11.3101 > mydns.com.53: S 565178644: 565178708(64) win 2048

Скорее всего, этот метод не сработает на большинстве узлов, особенно если все предыдущие попытки были неудачными по причине блокирования трафика. Дело в том, что на защищенных узлах блокируются попытки доступа к ТСР-порту 53, так как этот порт используется для получения информации баз данных DNS, содержащих перечень всех хостов сети и их IP-адреса. Таким образом, если трафик блокируется, вывод о времени ответа можно сделать только по сообщению о недостижимости, отправленному маршрутизатором. А если пакеты блокируются на маршрутизаторе, настройки которого запрещают отправлять ІСМР-сообщения о недостижимости? Тогда попытка будет бесполезной, как и все предыдущие.

Сбор информации с помощью вирусов

Все пользователи локальной сети совместно используют общий почтовый сервер, который настроен на поиск известных вирусов, что позволяет блокировать их распространение до того, как они поразят хост пользователя. Но не все пользователи работают с общими почтовыми серверами, не все используют собственные антивирусные программы, а те, кто используют, не всегда их вовремя обновляют. Это увеличивает риск заражения.

Обычно вирусы и черви не рассматриваются в качестве средств сбора информации. Но теперь появился новый класс червей, действующих как агенты по сбору информации. В их возможности входят попытки установить соединения с другими хостами со стороны зараженного хоста. Установленная система обнаружения вторжений, осуществляющая фильтрацию исходящего трафика, позволяет выявить подобные действия. Мы рассмотрим два таких червя: Pretty Park и RingZero.

Сканирование с помощью fin-пакетов | Обнаружение нарушений безопасности в сетях | Ервь pretty park


Обнаружение нарушений безопасности в сетях



Новости за месяц

  • Июнь
    2021
  • Пн
  • Вт
  • Ср
  • Чт
  • Пт
  • Сб
  • Вс