Мережева розвідка

Матеріал з Вікіпедії — вільної енциклопедії.
Перейти до навігації Перейти до пошуку

Мережева розвідка — отримання і обробка даних про інформаційну систему клієнта, ресурси інформаційної системи, використовувані пристрої і програмне забезпечення і їх уразливостях, засоби захисту, а також про межу проникнення в інформаційну систему.

Мережева розвідка проводиться у формі запитів DNS, луна-тестування (ping sweep) і сканування портів. Запити DNS допомагають зрозуміти, кому належить той або інший домен і які адреси цьому домену присвоєні. Луна-тестування адрес, розкритих за допомогою DNS, дозволяє побачити, які хости реально працюють в цьому середовищі. Отримавши список хостів, хакер використовує засоби сканування портів, щоб скласти повний список послуг, підтримуваних цими хостами. І, нарешті, хакер аналізує характеристики додатків, працюючих на хостах. В результаті добувається інформація, яку можна використати для злому.

Сучасна мережева розвідка залежно від цілей діяльності, масштабу, і характеру, поставлених для виконання завдань ділиться на:

  • стратегічну.
  • тактичну (оперативну);

Тактична розвідка забезпечує дії тих, хто атакує. До них належать як зловмисники, так і фахівці, що проводять тестування інформаційної системи. Тактична розвідка виявляє дані щодо:

  • технічного оснащення,
  • програмного оснащення,
  • уразливості поштових серверів,
  • сервісів і поштових клієнтів,
  • меж сегментів мережі,
  • використовуваних каналів зв'язку (тип, пропускна спроможність),
  • державної (географічної, комерційної) приналежності мережі і/або сервера, що полегшує ухвалення оптимальних рішень щодо планування і проведення атаки на інформаційні системи.

Ці відомості добуваються шляхом перехоплення інформації, яка передається радіоелектронними засобами.

Етапи для несанкціонованого злому[ред. | ред. код]

  • Вибір досліджуваної мережі/сервера/інформаційного простору.
  • Сканування, тестування, збір інформації щодо мети.
  • Обробка даних, вибір уразливої точки для проникнення.
  • Експлуатація уразливості, проникнення до системи.

Далі дії хакера залежать від завдання, поставленого їм, будь то зміни інформації, крадіжка, підвищення повноважень і утримання системи.

Мережева розвідка сервісу електронної пошти[ред. | ред. код]

Можливі шляхи отримання даних :

  • отримання інформації від whois- серверів;
  • перегляд інформації DNS серверів досліджуваної мережі для виявлення записів, що визначають маршрути електронної пошти (MX записи);
  • інформація про електронну пошту, представлена на сайті досліджуваної компанії. До неї належать адреси електронної пошти для зв'язку, опубліковані вакансії для системних адміністраторів і адміністраторів електронної пошти, в яких частенько є інформація про типи використовуваних поштових серверів;
  • інформація про електронну пошту (адреси) і вакансії, що збереглися в пошукових системах (google.com, yandex.ru), так і у базах компаній, що запам'ятовують стани вебресурсів на певний термін.

Після визначення меж атаки ті, що атакують, переходять до отримання даних щодо цільової поштової системи. Для цього використовуються найчастіше: сканування портів (сервісів) на виявлених зовнішніх серверах. Проводиться з метою визначити:

  • доступність сервісу з різних підмереж, розташованих по всьому світу;
  • виявлення поштових сервісів на нестандартних портах;
  • отримання і аналіз інформації, що видається поштовими сервісами при з'єднанні. Banner grabbing — так цей метод прийнято називати серед фахівців з мережевої розвідки;
  • активна перевірка сервісу (SMTP, POP3, POP3pw, IMAP) для визначення типу і версії, допускаючи можливість, що адміністратор системи змінив інформацію, яка видається сервісами, або сервіс не виводить інформацію про свій тип і версію;
  • відправка листів на неіснуючі поштові адреси для отримання NDR (non delivery report) і інформації про шлях проходження листа.

Протидія[ред. | ред. код]

Повністю позбавитися від мережевої розвідки неможливо. Якщо, приміром, відключити відлуння ICMP і луна-відповідь на периферійних маршрутизаторах, можна позбавитися від луна-тестування, але при цьому втрачаються дані, необхідні для діагностики мережевих збоїв. Крім того, сканувати порти можна без попереднього луна-тестування. Це займе більше часу, оскільки сканувати доведеться і неіснуючі IP- адреси. Системи IDS на рівні мережі і хостів зазвичай добре справляються із завданням повідомлення адміністратора про мережеву розвідку, яка ведеться, що дозволяє краще підготуватися до майбутньої атаки і оповістити провайдера (ISP), в мережі якого встановлена система. З усього сказаного можна зробити висновок, що має бути присутньою технічна захищеність інформаційних ресурсів.

Див. також[ред. | ред. код]

Література[ред. | ред. код]

  • Запечников С. В., Милославская Н. Г., Толстой А. И., Ушаков Д. В. Информационная безопасность открытых систем. В 2-х тт.
    • Том 1. Угрозы, уязвимости, атаки и подходы к защите. М.: Горячая Линия — Телеком, 2006. — 536 с. — ISBN 5-93517-291-1, ISBN 5-93517-319-0.
    • Том 2. Средства защиты в сетях. М.: Горячая Линия — Телеком, 2008. — 560 с. — ISBN 978-5-9912-0034-9.
  • Щербаков А. Ю. Современная компьютерная безопасность. Теоретические основы. Практические аспекты. — М.: Книжный мир, 2009. — 352 с. — ISBN 978-5-8041-0378-2.
  • Журнал «Хакер» 14.04.2008
На цю статтю не посилаються інші статті Вікіпедії.
Будь ласка розставте посилання відповідно до прийнятих рекомендацій.
Отримано з https://uk.wikipedia.org/w/index.php?title=Мережева_розвідка&oldid=35023012