LASG - Scanning / intrusion tools
Утилиты сканирования системы
Обзор
Хост-сканеры
Сетевые сканеры
Сканеры вторжения
Firewall-сканеры
Exploits
За последние несколько лет число инструментальных средств защиты для
Windows и UNIX резко возросло. Интересен факт, что большинство из них
является свободно доступными в Internet. Я буду описывать только свободные
инструментальные средства, так как большинство коммерческих инструментальных
средств смехотворно дорого, не имеют открытых исходников и во многих случаях
содержат сильные дефекты защиты (подобно сохранению паролей в чистом тексте
после установки). Любой серьезный cracker/hacker будет иметь эти
инструментальные средства в их распоряжении, так, почему не должен Вы?
Имеются несколько основных категорий инструментальных средств, одни
просматривают хосты с одного из них, другие сообщают о том, какая OS
используется (технология TCP-IP fingerprinting), перечисляют сервисы, которые
являются доступными и так далее, наиболее сложными являются средства для
вторжения, которые фактически пытаются вторгнуться в систему и формируют
отчет о найденных дырках. К тому же, есть эксплойты (exploits).
Имеются также много свободных инструментальных средств и методы, которые
Вы можете использовать, чтобы провести проверку. Утилиты вроде nmap, nessus,
crack и им подобных могут быстро использоваться, чтобы просмотреть Вашу сеть
и ее хосты, быстро находя любые очевидные проблемы.
Хост-сканеры представляют собой программы, которые запускаются на
локальной системе в поисках проблем.
Cops чрезвычайно устаревший сканер. Упомянут только для исторической
точности.
Tiger все еще в разработке, хотя кое-где уже начал использоваться
(например, в Texas Agricultural and Mechanical University).
Скачать можно с
ftp://net.tamu.edu/pub/security/TAMU.
check.pl хорошая программа на Perl которая проверяет права доступа к
каталогам и файлам и сообщает обо всех странностях и несоответствиях, которые
найдет. Скачать можно с
http://opop.nols.com/proggie.html.
Сетевые сканеры предназначены для изучения открытых сервисов. Имейте в
виду, что многие хакеры используют их для поиска дырок в защите Вашей системы,
так что лучше бы Вам найти эти дырки первым.
Strobe один из старых сканеров портов. Он просто пытается соединяться с
различными портами на машине и сообщает результат. Прост в использовании и
очень быстр, но не имеет свойств, которые имеют более новые сканеры портов.
Strobe доступен для почти всех дистрибутивов, исходники есть на
ftp://suburbia.net/pub.
Nmap более новый и намного более функциональный инструмент сканирования
хостов. Использует продвинутые методы типа TCP-IP fingerprinting, в котором
тип ОС удаленного хоста определяется путем анализа возвращаемых пакетов
TCP-IP на предмет наличия в них особенностей реализации TCP-IP стека
конкретной системы. Nmap также поддерживает разные методы сканирования от
обычного TCP-сканирования (просто пробует открыть подключение как обычно)
connection as normal) до невидимого сканирования и полуоткрытого SYN
сканирования (разваливает ненадежные стеки TCP-IP). Это, возможно, одна из
самых лучших программ просмотра портов. Nmap доступен на
http://www.insecure.org/nmap/index.html. Есть интересная статья на
http://raven.genome.washington.edu/security/nmap.txt по nmap и
использованию некоторых его хитрых возможностей.
http://members.tripod.de/linux_progz
Portscanner очень маленькая утилита с настраиваемыми уровнями вывода, что
делает его удобным для использования в скриптах. Имеет открытые исходники и
свободен, скачать можно с
http://www.ameth.org/~veilleux/portscan.html.
Queso не сканер, но сообщит Вам с довольно хорошей степенью точности под
какой ОС работает удаленный компьютер. При использовании ряда допустимых и
ошибочных пакетов tcp он сравнивает получаемые ответы со списком известных
ответов для разных ОС. Скачать Queso можно с
http://www.apostols.org/projectz/queso.
Сканеры вторжения представляют собой следующий шаг в развитии сетевых
сканеров. Эти пакеты программ идентифицируют уязвимость, и в некоторых
случаях позволяют Вам активно пробовать атаковать систему. Если Ваши машины
восприимчивы к этим нападениям, Вы должны принять меры защиты, поскольку
любой нападаюший может получить эти программы и использовать их.
Nessus относительно нов, но быстро движется к позиции самого лучшего
пакета такого назначения. Он имеет архитектуру client/server, сервер пока
работает под Linux, FreeBSD, NetBSD и Solaris, клиенты есть для Linux и
Windows, есть также Java-клиент. Связь между клиентом и сервером зашифрована.
Nessus поддерживает просмотр портов и нападение, основанное на адресах IP или
именах. Может также прерывать сеть DNS-информация и нападать на связанные
хосты в сети. Nessus работает относительно медленно в режиме нападения, но
имеет более 200 вариантов атаки и язык для написания plug-in, так что можно
писать свои сценарии атаки. Nessus доступен на
http://www.nessus.org.
Saint продолжение Satan, сетевой сканер защиты. Saint также использует
архитектуру client/server, но с www-интерфейсом вместо клиентской программы.
Saint производит очень простой в чтении и понимании вывод с описанием
проблем защиты, градуируемыми приоритетом (хотя не всегда правильными) и
также поддерживает add-in модули сканирования, делающих его очень гибким.
Saint доступен на
http://www.wwdsi.com/saint.
Вообще-то, это не сканер, но позволяет быстро определить тип ОС на большом
числе машин. Cheops представляет собой усиленный вариант "network
neighborhood", он создает образ домена или IP-блока с указанием ОС и
подобной инофрмации. Это чрезвычайно полезно для подготовки начального
просмотра, поскольку Вы можете быстро найти интересные элементы (HP-принтеры,
Ascend-роутеры и тому подобное). Cheops доступен на
http://www.marko.net/cheops.
Две простых утилиты, которые сканируют серверы ftp и mail. Доступны на
http://david.weekly.org/code.
Security Auditor’s Research Assistant (SARA) похож на SATAN и Saint.
SARA поддерживает многопоточное сканирование, хранит свои данные в базе
данных для простого доступа и строит хорошие HTML-отчеты. SARA свободна для
использования и доступна с
http://home.arc.com/sara.
BASS is the “Bulk Auditing Security Scanner” позволяет
просмотреть internet на предмет известных эксплойтов. Скачать можно с
http://www.securityfocus.com/data/tools/network/bass-1.0.7.tar.gz
Имеется также ряд программ, которые выполняют просмотр firewalls и другие
тесты проникновения, чтобы выяснить, как firewall конфигурирован.
Firewalk программа, которая использует traceroute стиль пакетов, чтобы
просмотреть firewall и пытаться выводить правила этого firewall. Не имеется
никакой реальной защиты против этого кроме тихого отрицания пакетов вместо
того, чтобы посылать сообщения отклонения. Я советую использовать этот
инструмент против Ваших систем, поскольку результаты могут помочь Вам
усилить защиту. Firewalk есть на
http://www.packetfactory.net/firewalk.
Я не буду рассматривать эксплойты специально (их сотни, если не тысячи для
Linux). Я только перечислю основные сайты, где их можно найти.
http://www.rootshell.com
Один из главных архивных сайтов эксплойтов, имеет удобный поиск.
Back
| 
