Skanowanie portów
z punktu widzenia
administratora
Konstantin Klyagin
Choć skanowanie portów samo
w sobie nie jest szkodliwe, może
być użyte w złym celu. Dzięki
zdobytej w taki sposób wiedzy
intruzowi o wiele łatwiej uzyskać
nieuprawniony dostęp do
systemu. Jakie metody można
zastosować, żeby utrudnić
wykrycie skanowania portów?
W jaki sposób wykryć takie
działanie, kiedy intruz stosuje
coraz sprytniejsze techniki?
a Hakin9 Live czeka nas niespodzian- drzwiami. Naciskamy więc na każdą klamkę, że-
ka. Po uruchomieniu CD wystarczy by sprawdzić, czy któreś z nich są otwarte. Jed-
Nwpisać komendę: nak to, że drzwi nie są zamknięte nie znaczy, że
można do tego domu wejść. W dodatku za każdą
$ nmap localhost bramą może czaić się strażnik (w naszym przy-
padku  uruchomiona usługa). Nie wpuści nas
To, co właśnie zrobiliśmy, nazywa się skano- do środka, dopóki go nie zamordujemy, nie po-
waniem portów. To jedna z technik (nieinwa- kroimy ciała i nie wrzucimy jego kawałków w nurt
zyjnych) zbierania informacji o potencjalnych najbliższej rzeki. Ale strażnika może nie być al-
hostach-ofiarach. Bardzo ważnych informacji. bo może okazać się niedołężnym staruszkiem.
W ten sposób można zebrać dane o urucho-
mionych na zdalnym komputerze usługach. Je-
Z artykułu nauczysz się...
żeli coś nasłuchuje na porcie TCP, z pewno-
ścią jest to program  może zatem być podatny
" jak skanować porty metodami trudnymi do
na atak. Wiedza o otwartych portach ofiary jest
wykrycia,
bardzo przydatna przy planowaniu agresji.
" jak wykrywać próby skanowania przepro-
Jeśli na przykład otwarty jest port 22 (SSH),
wadzane przy użyciu trudnowykrywalnych
bez trudu można ustalić wersję nasłuchującego
metod.
na nim demona. Załóżmy, że na porcie tym pra-
Powinieneś wiedzieć...
cuje serwer OpenSSH w wersji 3.7.1p1. Każdy, kto
śledzi wiadomości na temat bezpieczeństwa, bez " powinieneś umieć korzystać z systemów unik-
sowych,
najmniejszego problemu uzyska uprzywilejowany
" powinieneś posiadać podstawową wiedzę
dostęp do takiej maszyny  i to nie znając hasła!
o protokole TCP/IP (polecamy Artykuł Ataki
DDoS  podstawy i praktyka z Hakin9 3/2004
Metody skanowania
oraz dokumentację na CD).
Aby lepiej zrozumieć skanowanie, wyobraz
my
sobie, że chcemy się dostać do domu z 65535
66 www.hakin9.org Hakin9 Nr 5/2004
Obrona
Skanowanie portów
Wtedy nasze  intruza  zadanie mo- Metoda TCP connect(), choć pro- mu SendIP. Narzędzie to wymaga
żemy uznać za wypełnione; droga do sta, ma jedną ogromną wadę. Każ- uprawnień administratora:
domu stoi otworem. Przyrzyjmy się dy program świadczący usługę zare-
się więc najpierw sposobom naciska- jestruje próbę połączenia. Co praw- # sendip 192.168.1.2 -p ipv4 \
nia na klamki. da nie zapisze numeru dowodu oso- -is 192.168.1.1 -id 192.168.1.2 \
bistego intruza, ale z pewnością je- -p tcp -td 25 -tfs 1
TCP connect(): go adres IP znajdzie się w logu pro-
zwykłe puk-puk gramu  stąd już prosta droga do SendIP to mały lecz wyposażony
Najprostszą metodą sprawdzenia, namierzenia agresora. Aby się nie w duże możliwości program umożli-
czy coś nasłuchuje na porcie TCP, dać złapać, można skorzystać z in- wiający wysyłanie zadanych mu pa-
jest próba połączenia z nim. Peł- nej metody, wykorzystującej pakiety kietów. Za pomocą prostych parame-
ne skanowanie tym sposobem wy- TCP SYN. trów można określić typ pakietu i pa-
maga konsekwentnego łączenia się rametry jego nagłówków. W komen-
z wszystkimi portami, od 1 do 65535. TCP SYN: na paluszkach dzie, którą wydaliśmy powyżej, wska-
Technicznie rzecz biorąc, ta meto- Inną nazwą skanowania TCP SYN zaliśmy, że prześlemy pakiet protoko-
da wymaga wywołania funkcji con- jest skanowanie półotwarte. Zna- łem IPV4 (-p) oraz określiliśmy z
ró-
nect(). Ale nie jesteśmy programi- czy to, że podczas skanowania nie dłowy (-is) i docelowy (-id) adres IP.
styczną szkółką niedzielną i nie bę- zostaje nawiązane pełne połącze- Potem zagłębiliśmy się w szczegóły
dziemy pisać ani kawałka kodu. Za- nie TCP. Aby to dobrze zrozumieć,  określiliśmy rodzaj pakietu (-p), port
miast tego użyjemy najprostszych trzeba nieco zagłębić się w zasadę przeznaczenia (-td); wreszcie ustawi-
narzędzi, dostępnych w prawie każ- działania protokołu TCP/IP. Poniż- liśmy bit SYN (-tfs). Więcej informacji
dym systemie operacyjnym. Najła- szy opis jest skrótowy, osoby zain- o możliwościach SendIP znajdziemy
twiejszym oczywiście sposobem jest teresowane odsyłamy do Artykułu na stronie man programu.
skorzystanie z programu telnet: Ataki DDoS  podstawy i praktyka Ponieważ SendIP może wyłącz-
z Hakin9 3/2004 oraz do dokumen- nie wysyłać pakiety, do zarejestro-
$ telnet bezuzyteczne.pudlo.com 25 tacji na CD. wania odpowiedzi serwera użyjemy
W początkowej, negocjacyjnej innego narzędzia. W naszym przy-
Wydanie tej komendy pokaże, czy fazie nawiązywania połączenia TCP padku wystarczy standardowy snif-
cokolwiek nasłuchuje na porcie 25 konieczne jest wysłanie przez klienta fer, tcpdump:
(zwykle SMTP)  brak komunika- pakietu SYN. Po otrzymaniu go ser-
tu connection refused, oznacza, że wer powinien odpowiedzieć pakie- # tcpdump \
jakiś program czeka na połączenia tem SYN+ACK lub RST. SYN+ACK 'dst 192.168.1.1 && src 192.168.1.2'
właśnie z tym portem. oznacza odpowiedz
pozytywną (zga-
Sytuacja komplikuje się, gdy ska- dzam się na nawiązanie połączenia), To polecenie rozpocznie nasłuch
nowany port jest filtrowany. Oznacza podczas gdy RST  negatywną. Na- i wyświetli wszystkie pakiety prze-
to, że na drodze między maszynami wiązanie połączenia kończy się po- znaczone dla naszego komputera,
skanującego i ofiary jest firewall, któ- twierdzeniem odebrania potwierdze- przychodzące z adresu 192.168.1.2.
ry po prostu odrzuca pakiety pocho- nia, czyli wysłaniem przez stronę ini- Jeśli nie ma zbyt dużego ruchu mię-
dzące spoza określonego zakresu ad- cjującą połączenie pakietu ACK. dzy tymi dwiema maszynami, nic nie
resów IP. Pakiety mogą też być filtro- Widać więc, że aby sprawdzić, powinno nam utrudnić śledzenia pa-
wane pod kątem portów docelowych czy dany port jest otwarty, nie mu- kietów. Jeśli teraz wyślemy za po-
i innych parametrów sieciowych simy nawiązywać pełnego połącze- mocą SendIP pakiet, tcpdump poka-
 firewalle są z natury rzeczy elastycz- nia  wystarczy wysłać pakiet SYN że coś w rodzaju:
ne. Jeśli porty ofiary są filtrowane, ska- i czekać na odpowiedz
drugiej
nowanie może okazać się bezcelowe. strony. Jeśli odpowiedz
ta brzmi 02:10:34.563234 IP
Skanowanie zdefiniowanego za- SYN+ACK, możemy uznać, że port 192.168.1.2.smtp > 192.168.1.1.0:
kresu (na przykład od 1 do 6667) por- jest otwarty i nie kontynuować na- S 3831817350:3831817350(0)
tów nazywane jest sweep scan, zaś wiązywania połączenia. Dzięki te- ack 1309342054 win 5840
skanowanie jednego portu na wie- mu, że połączenie nie zostało w peł-
lu różnych hostach  sweep scan. ni nawiązane, możemy oszukać nie-
Takie modyfikacje skanowania TCP które proste narzędzia do wykrywa- Zwróćmy uwagę na literę S i sło-
connect() wyglądają z pozoru na zwy- nia skanowania portów. wo ack  jasno wskazują one na pa-
kłe próby połączenia, są więc dużo Spróbujmy zastosować ten me- kiet SYN+ACK. Zdalna maszyna ma
trudniejsze do zidentyfikowania. Każ- chanizm ręcznie. Prościutki telnet, więc otwarty port 25. Aby zobaczyć,
dy administrator zada sobie bowiem którego użyliśmy poprzednio, już nie co się stanie w przypadku zamknię-
pytanie: czy to było skanowanie, czy wystarczy. Do stworzenia potrzeb- tego portu, zmodyfikujmy nieco ko-
przypadkowa próba połączenia? nych pakietów TCP użyjemy progra- mendę SendIP:
2004 Hakin9 Nr 5/2004 www.hakin9.org
67