Analizarea unui atac (Partea 2)

Analizarea unui atac (Partea 1)

Don Parker

V-am arătat în prima parte informațiile care pot fi observate în timpul deschiderii secvenței de pachete trimise de Nmap. Secvența trimisă începe cu un răspuns ecou ICMP pentru a determina dacă computerului sau rețelei i-a fost atribuită o adresă IP.

În plus, putem ghici că rețeaua computerului atacat este o rețea bazată pe Windows, uitându-ne la ttl din pachetul de răspuns ICMP echo pe care îl trimite înapoi. Ceea ce ar trebui făcut acum este să continuați observarea pachetelor rămase în scanerul Nmap și să aflați informațiile rămase pentru a putea cunoaște profilul rețelei victime.

Continua

10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 > 192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1.....o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^...^
0x0020: 5010 0800 fd46 0000 P....F..

10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 > 192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(..........o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$...^...^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P...h.........

Cele două pachete de mai sus vin după pachetele ICMP pe care le-am observat în partea 1. Nmap a trimis un pachet ACK către rețeaua victimei IP 192.168.111.23 pe portul 80. Ca informații falsificate, nu obținem întreaga imagine aici. Se vede doar că pachetul ACK primit de la atacator a fost un pachet RST ca răspuns, deoarece acest ACK nu era așteptat. În esență, nu face parte dintr-o conexiune stabilită anterior. Mai avem un ttl de 128 corespunzător ttl-ului observat anterior.

10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 3072
0x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q...o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o.....w.......
0x0020: 5002 0c00 37ce 0000 P...7...

10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 > 192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o.....ds}Dw...
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `...OX........

10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n........o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o.....w...w...
0x0020: 5004 0000 ca50 0000 P....P..

În urma schimbului de pachete ACK și RST, putem vedea că un pachet SYN real a fost trimis de la hacker în rețeaua victimei, așa cum se evidențiază în pachetul cu S aldine. Acest lucru ne permite să deducem că pachetul SYN/ACK revine din rețeaua victimă pe portul său 21. Acest schimb este apoi terminat de un pachet RST trimis înapoi de la computerul hackerului către rețeaua victimei. Aceste trei pachete dețin acum o mulțime de informații despre contrafăcut.

Avem și ttl 128 de la mașina victimă, dar și win64240. Deși această valoare nu este listată, este într-adevăr o dimensiune pe care am văzut-o de multe ori înainte de la Win32 (versiuni de 32 de biți ale Microsoft Windows, cum ar fi Win NT, 2K, XP și 2K3). O altă limitare a computerelor Windows este că acestea sunt imprevizibile în numărul de ID-uri IP. În acest caz, avem o singură valoare IP ID. Avem nevoie de cel puțin încă o valoare înainte de a putea spune cu încredere că acest computer este un computer Microsoft Windows. Rețineți că, uitați-vă la pachetele rămase din scanarea Nmap.

10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(....;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o....Pw.......
0x0020: 5002 1000 3393 0000 P...3...

10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 > 192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw...
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `...y.........

10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o........o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o....Pw...w...
0x0020: 5004 0000 ca15 0000 P.......

Prima informație la care se uită hackerul este să vadă dacă numărul ID-ului IP crește la 399. Această IP DI este într-adevăr 399, așa cum putem observa în mijlocul pachetului. Cu aceste informații, hackerul este destul de încrezător că computerul victimă pe care îl atacă este Windows NT, 2K, XP sau 2K3. De asemenea, se observă în această secvență de pachete că portul 80 din rețeaua victimă pare să aibă un serviciu, așa cum este evidențiat de pachetul SYN/ACK, pachetul SYN/ACK este determinat prin examinarea câmpului de flag din antetul TCP, în acest caz valoarea hex subliniată este 12 sau 18 în zecimală. Această valoare poate fi detectată prin adăugarea valorii indicatorului SYN 2 la valoarea indicatorului ACK 16.

Enumerare

Odată ce hackerul știe că ambele porturi 21 și 80 sunt deschise întreprinderii, va intra în starea de enumerare. Ceea ce trebuie să știe acum este ce tip de server web ascultă conexiuni. Ar fi inutil ca acest hacker să folosească o vulnerabilitate Apache pe un server web IIS. Având în vedere acest lucru, atacatorul va deschide o sesiune cmd.exe și va afla tipul de rețea.

C:\>nc.exe 192.168.111.23 80
GET slslslls
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87

The parameter is incorrect.

C:\>

Putem observa tipul de rețea marcat mai sus sau sintaxa nc.exe pe care hackerul o introduce în adresa IP a victimei, precum și în portul 80. Odată intrat, hackerul va introduce HTTP-ul metodei GET urmat de câteva propoziții incorecte din punct de vedere gramatical. Această acțiune poate determina serverul web al rețelei victime să trimită informații înapoi către sistemul său atunci când nu înțelege care este cererea. De aceea, ei listează în mod natural informațiile necesare hackerilor. Hackerul poate vedea acum că se află în Microsoft IIS 5.0. Vești și mai bune pentru că hackerii au mai multe exploit-uri pentru această versiune.

Concluzie

Efectuând o scanare a rețelei victimei folosind Nmap, hackerul poate primi apoi o serie de pachete de date importante. În interiorul acestor pachete de date, așa cum am văzut, sunt pline de informații pentru ca hackeri să exploateze vulnerabilități în arhitectură, sistem de operare, tip de rețea și tip de server.

Pe scurt, în acest fel, hackerii pot obține informații cheie despre gazdă, arhitectură și serviciile oferite. Cu aceste informații în mână, hackerul poate lansa un atac asupra serverului web al rețelei victimei. În secțiunea următoare vom introduce mai multe despre ce atacuri pot folosi hackerii pentru a ataca utilizatorii în acest caz.

Analizarea unui atac (Partea 3)