Мережева розвідка

Мережева розвідка — отримання і обробка даних про інформаційну систему клієнта, ресурси інформаційної системи, використовувані пристрої і програмне забезпечення і їх уразливостях, засоби захисту, а також про межу проникнення в інформаційну систему.

Мережева розвідка проводиться у формі запитів DNS, луна-тестування (ping sweep) і сканування портів. Запити DNS допомагають зрозуміти, кому належить той або інший домен і які адреси цьому домену присвоєні. Луна-тестування адрес, розкритих за допомогою DNS, дозволяє побачити, які хости реально працюють в цьому середовищі. Отримавши список хостів, хакер використовує засоби сканування портів, щоб скласти повний список послуг, підтримуваних цими хостами. І, нарешті, хакер аналізує характеристики додатків, працюючих на хостах. В результаті добувається інформація, яку можна використати для злому.

Сучасна мережева розвідка залежно від цілей діяльності, масштабу, і характеру, поставлених для виконання завдань ділиться на:

• стратегічну.
• тактичну (оперативну);

Тактична розвідка забезпечує дії тих, хто атакує. До них належать як зловмисники, так і фахівці, що проводять тестування інформаційної системи. Тактична розвідка виявляє дані щодо:

• технічного оснащення,
• програмного оснащення,
• уразливості поштових серверів,
• сервісів і поштових клієнтів,
• меж сегментів мережі,
• використовуваних каналів зв'язку (тип, пропускна спроможність),
• державної (географічної, комерційної) приналежності мережі і/або сервера, що полегшує ухвалення оптимальних рішень щодо планування і проведення атаки на інформаційні системи.

Ці відомості добуваються шляхом перехоплення інформації, яка передається радіоелектронними засобами.

• Вибір досліджуваної мережі/сервера/інформаційного простору.
• Сканування, тестування, збір інформації щодо мети.
• Обробка даних, вибір уразливої точки для проникнення.
• Експлуатація уразливості, проникнення до системи.

Далі дії хакера залежать від завдання, поставленого їм, будь то зміни інформації, крадіжка, підвищення повноважень і утримання системи.

Можливі шляхи отримання даних :

• отримання інформації від whois- серверів;
• перегляд інформації DNS серверів досліджуваної мережі для виявлення записів, що визначають маршрути електронної пошти (MX записи);
• інформація про електронну пошту, представлена на сайті досліджуваної компанії. До неї належать адреси електронної пошти для зв'язку, опубліковані вакансії для системних адміністраторів і адміністраторів електронної пошти, в яких частенько є інформація про типи використовуваних поштових серверів;
• інформація про електронну пошту (адреси) і вакансії, що збереглися в пошукових системах (google.com, yandex.ru), так і у базах компаній, що запам'ятовують стани вебресурсів на певний термін.

Після визначення меж атаки ті, що атакують, переходять до отримання даних щодо цільової поштової системи. Для цього використовуються найчастіше: сканування портів (сервісів) на виявлених зовнішніх серверах. Проводиться з метою визначити:

• доступність сервісу з різних підмереж, розташованих по всьому світу;
• виявлення поштових сервісів на нестандартних портах;
• отримання і аналіз інформації, що видається поштовими сервісами при з'єднанні. Banner grabbing — так цей метод прийнято називати серед фахівців з мережевої розвідки;
• активна перевірка сервісу (SMTP, POP3, POP3pw, IMAP) для визначення типу і версії, допускаючи можливість, що адміністратор системи змінив інформацію, яка видається сервісами, або сервіс не виводить інформацію про свій тип і версію;
• відправка листів на неіснуючі поштові адреси для отримання NDR (non delivery report) і інформації про шлях проходження листа.

Повністю позбавитися від мережевої розвідки неможливо. Якщо, приміром, відключити відлуння ICMP і луна-відповідь на периферійних маршрутизаторах, можна позбавитися від луна-тестування, але при цьому втрачаються дані, необхідні для діагностики мережевих збоїв. Крім того, сканувати порти можна без попереднього луна-тестування. Це займе більше часу, оскільки сканувати доведеться і неіснуючі IP- адреси. Системи IDS на рівні мережі і хостів зазвичай добре справляються із завданням повідомлення адміністратора про мережеву розвідку, яка ведеться, що дозволяє краще підготуватися до майбутньої атаки і оповістити провайдера (ISP), в мережі якого встановлена система. З усього сказаного можна зробити висновок, що має бути присутньою технічна захищеність інформаційних ресурсів.

• Інформаційна безпека
• Хакерська атака
• Комплексна система захисту інформації
• Мережево-центрична війна

• Запечников С. В., Милославская Н. Г., Толстой А. И., Ушаков Д. В. Информационная безопасность открытых систем. В 2-х тт.
  • Том 1. Угрозы, уязвимости, атаки и подходы к защите. М.: Горячая Линия — Телеком, 2006. — 536 с. — ISBN 5-93517-291-1, ISBN 5-93517-319-0.
  • Том 2. Средства защиты в сетях. М.: Горячая Линия — Телеком, 2008. — 560 с. — ISBN 978-5-9912-0034-9.
• Щербаков А. Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. — 352 с. — ISBN 978-5-8041-0378-2.
• Журнал «Хакер» 14.04.2008

На цю статтю не посилаються інші статті Вікіпедії. Будь ласка розставте посилання відповідно до прийнятих рекомендацій.