15.4Пассивное сканирование
Сканирование часто применяется злоумышленниками для того, чтобы выяснить, на каких TCP-портах работают демоны (программы – драйверы), отвечающие на запросы из сети. Обычная программа-сканер последовательно открывает соединения с различными портами. В случае, когда соединение устанавливается, программа сбрасывает его, сообщая номер порта злоумышленнику.
Данный способ легко детектируются по сообщениям демонов, удивленных мгновенно прерванным после установки соединением, или с помощью использования специальных программ.
Однако злоумышленник может воспользоваться другим методом -- пассивным сканированием (английский термин "passive scan"). При его использовании злоумышленник посылает TCP/IP SYN-пакет на все порты подряд (или по какому-то заданному алгоритму). Для TCP-портов, принимающих соединения извне, будет возвращен SYN/ACK-пакет, как приглашение продолжить 3-way handshake. Остальные вернут RST-пакеты. Проанализировав данные ответа, злоумышленник может быстро понять, на каких портах работают программы. В ответ на SYN/ACK-пакеты он может также ответить RST-пакетами, показывая, что процесс установки соединения продолжен не будет.
Метод не детектируется предыдущими способами, поскольку реальное TCP/IP-соединение не устанавливается. Однако (в зависимости от поведения злоумышленник а) можно отслеживать:
резко возросшее количество сессий, находящихся в состоянии SYN_RECEIVED. (при условии, что злоумышленник не посылает в ответ RST);
прием от клиента RST-пакета в ответ на SYN/ACK.
К сожалению, при достаточно умном поведении злоумышленника (например, сканирование с низкой скоростью или проверка лишь конкретных портов) детектировать пассивное сканирование невозможно, поскольку оно ничем не отличается от обычных попыток установить соединение.
В качестве защиты можно лишь посоветовать закрыть «firewall» - ом все сервисы, доступ к которым не требуется извне.
- 1Угрозы информационным системам. Факторы, приводящие к информационным потерям
- 1.1Введение
- 1.2Осуществление угроз информационным ресурсам
- 1.3Факторы, приводящие к информационным потерям
- 1.4Виды угроз информации
- 1.5Источники возникновения угроз
- 2Криптография. Симметричные алгоритмы шифрования.
- 2.1Введение
- 2.2Терминология
- 2.3Симметричные криптосистемы
- 2.4Алгоритм Цезаря
- 2.5Алгоритм замены полиалфавитный
- 2.6Алгоритм замены с большим ключом
- 2.7Перестановки.
- 2.8Гаммирование.
- 3Криптография. Несимметричные алгоритмы шифрования.
- 3.1Системы с открытым ключом
- 3.2Алгоритм Диффи-Хеллмана – протокол генерации секретного ключа.
- 3.3Описание системы с открытым ключом
- 3.4Алгоритм rsa
- 3.5Практическая реализация rsa
- 3.6Пример 1 rsa.
- 3.7Пример 2 rsa.
- 3.8Пример 3 rsa.
- 3.9Немного об арифметических операциях по модулю n.
- 3.10Сложение.
- 3.11Вычитание.
- 3.12Умножение.
- 3.13Деление.
- 3.14Обратное по модулю.
- 3.15Стандарт шифрования данных гост 28147-89
- 3.16Простые числа
- 4Электронная подпись
- 4.1Эцп - зашифрованный текст
- 4.2Эцп - открытый текст
- 4.3Использование хэш-функций
- 4.4Сертификация
- 4.5Имитовставка или mac-код
- 4.6 Шифрование больших сообщений и потоков данных
- 4.7Шифрование, кодирование и сжатие информации
- 4.8Аппаратные шифраторы.
- 5Управление ключами
- 5.1Генерация ключей
- 5.2Накопление ключей
- 5.3Распределение ключей
- 5.4Использование “блуждающих ключей”
- 6Стеганография
- 6.1Введение
- 6.2Электронные «водяные знаки».
- 6.3Скрытие текста в 24-разрядном bmp файле.
- 8.2Технология шифрования
- 8.3Взаимодействие с пользователем
- 8.4Восстановление данных
- 8.5Немного теории
- Процесс шифрования
- Процесс восстановления
- 8.6Реализация в Windows 2000
- 8.7Выводы
- 9Протокол ipSec в Window 2000.
- 9.1Реализация промышленных стандартов
- 9.2Реализация Windows ip Security
- 9.3Пример
- 9.4О совместимости
- 10Защищенные каналы. Аутентификация.
- 10.1Введение
- 10.2Аутентификация на основе хэш-функций.
- 10.3Аутентификация на основе общего секретного ключа
- 10.4Аутентификация на основе открытого ключа
- 10.5Аутентификация с использованием центра распределения ключей
- 11Протокол Kerberos в Windows 2000.
- 11.1Аутентификация в Windows 2000
- 11.2Преимущества аутентификации по протоколу Kerberos
- 11.3Начальная аутентификация.
- 11.4Метка времени в качестве средства для взаимной аутентификации.
- 11.5Аутентификация за пределами домена
- 11.6Срок годности билетов. Обновляемые билеты.
- 11.7Подпротоколы
- 11.8Подпротокол tgs Exchange
- 11.9Подпротокол cs Exchange
- 11.10Билеты
- 11.11Какие данные из билета известны клиенту
- 11.12Как служба kdc ограничивает срок действия билета
- 11.13Что происходит после истечения срока действия билета
- 11.14Обновляемые билеты tgt
- 11.15Делегирование аутентификации
- 11.16Представительские билеты
- 11.17Передаваемые билеты
- 12Криптографические протоколы
- 12.1Стегоканал
- 12.1.1Скрытие сообщения с одноразовым блокнотом
- 12.1.2Скрытие сообщения с одноразовым блокнотом и ключевой фразой
- 12.2Защищенный канал
- 12.2.1Протокол взаимоблокировки
- 12.2.2В92 – протокол.
- 12.3Аутентификация
- 12.3.1Аутентификация skey
- 12.3.2Взаимная аутентификация - однонаправленные сумматоры
- 12.6Протокол разбиения секрета
- 13.2Криптоанализ и атаки на криптосистемы
- 13.3Атака 1. Расшифровка ранее полученного сообщения при помощи специально подобранного текста.
- 13.4Атака 2. Подпись нотариуса на неверном документе.
- 13.5Атака 3. Подпись на документе вторым способом.
- 13.6Атака 4. Атака при использовании общего модуля.
- 13.7Выводы
- 14Вредоносные программы. Вирусы. Защита.
- 14.1Классификация компьютерных вирусов
- 14.2Загрузочные вирусы
- 14.3Файловые вирусы
- 14.3.1Способы заражения - запись поверх.
- 14.3.2Способы заражения - паразитические
- 14.3.3Способы заражения - Вирусы без точки входа
- 14.3.4Способы заражения - Компаньон-вирусы
- 14.3.5Способы заражения - Файловые черви
- 14.3.6Способы заражения - Link-вирусы
- 14.3.7Алгоритм работы файлового вируса
- 14.4Макро-вирусы
- 14.4.1Алгоритм работы Word макро-вирусов
- 14.5Полиморфик-вирусы
- 14.5.1Полиморфные расшифровщики
- 14.5.2Уровни полиморфизва
- 14.5.3Изменение выполняемого кода
- 14.6Стелс-вирусы. Загрузочные вирусы
- 14.6.1Стелс-вирусы. Файловые вирусы
- 14.6.2Стелс-вирусы. Макро-вирусы
- 14.7Резидентные вирусы в Windows
- 14.8Прочие "вредные программы"
- 14.9Троянские кони (логические бомбы)
- 14.10Утилиты скрытого администрирования (backdoor) компьютеров в сети.
- 14.11Intended-вирусы
- 14.12Конструкторы вирусов
- 14.13Полиморфные генераторы
- 14.14Irc-черви
- 14.15Сетевые вирусы
- 14.16Методы обнаружения и удаления компьютерных вирусов.
- 14.17Типы антивирусов. Сканеры.
- 14.17.1Crc-сканеры
- 14.17.2Блокировщики
- 14.17.3Иммунизаторы
- 14.17.4Правила защиты
- 15Анализ защищенности tcp/ip
- 15.1Пассивные атаки на уровне tcp. Подслушивание
- 15.2Активные атаки на уровне tcp
- 15.2.1Предсказание tcp sequence number
- 15.2.2Описание
- 15.2.3Детектирование и защита
- 15.3.1Ранняя десинхронизация
- 15.3.2Десинхронизация нулевыми данными
- 15.3.3Ack-буря
- 15.4Пассивное сканирование
- 15.5Затопление icmp-пакетами
- 15.6Локальная буря
- 15.7Затопление syn-пакетами
- 16Атака через Internet
- 16.1Понятие удалённой атаки через Internet
- 16.2Пример удалённой атаки через интернет
- 16.3Классификация удаленных атак через систему Internet
- 16.4Понятие типовой удаленной атаки
- 16.5Причины успеха удаленных атак на сеть Internet
- 17Защита локальной сети и одиночного компьютера от атак через Internet.
- 17.1Программно-аппаратные методы защиты от удаленных атак в сети Internet
- 17.2Аппаратные шифраторы сетевого трафика
- 17.3Можно организовать прокси - сервер.
- 17.4Firewall или брандмауэр.
- 17.5Skip-технология и криптопротоколы ssl, s-http как основное средство защиты соединения и передаваемых данных в сети Internet
- 17.6Основные виды межсетевых экранов (брандмауэров)
- 17.7Фильтрующие маршрутизаторы
- 17.8Пример работы фильтрующего маршрутизатора
- 17.9Недостатки и преимущества фильтрующих маршрутизаторов
- 17.10Шлюзы сетевого уровня
- 17.11Шлюзы прикладного уровня
- 17.12Преимущества и недостатки шлюзов прикладного уровня
- 17.13Усиленная аутентификация
- 17.14Применение межсетевых экранов для организации виртуальных корпоративных сетей
- 18Правовое обеспечение безопасности ис.
- 18.1Предмет законодательства
- 18.2Уголовная ответственность
- 18.3Требования к безопасности ис в сша
- 18.4Стандартизация аппаратных средств
- 18.5Требования к безопасности информационных систем в России
- 18.6Показатели защищенности средств вычислительной техники
- 18.7Заключение
- 18.8Рекомендации
- 19Пароли ис.
- 19.1Пароли. Хранение и передача по сети.
- 19.2Безопасность паролей и шифрование
- 19.3Идентификация и аутентифокация. Использование токенов.
- 19.4Равнозначность паролей
- 19.5Восстановление паролей текстовом виде
- 19.6Поиск по словарю
- 19.7Прямой подбор
- 19.8“Комбинированный” метод
- 19.9Работа программ вскрытия паролей Windows nt
- 19.10Основные меры защиты.
- 19.11Программы подбора паролей
- 19.16Троянская конница
- 19.17Программно-технические мероприятия защиты.
- 19.18Защита паролем
- 19.19Создание надежных паролей