Skenovací útoky
Pasivní identifikace operačního systému
Popsali jsme aktivní metody identifikace operačního systému pomocí programů nmap a queso. Tyto metody jsou označovány jako aktivní, protože při jejich nasazení aktivně odesíláme testovací pakety na portycílového systému.
Aktivní identifikace operačního systému
Pro útočníka je životně důležité určit typ operačního systému, který je provozován na cílovém počítací. S touto informací může podniknout mnohem cílenější útok a může využít nepřeberné množství údajů o chybách v konkrétních operačních systémech a aplikacích.
Skenování portů je proces, kdy se připojujeme k TCP a UDP portům systému s cílem identifikovat béžící služby. Někdy se také používá termín naslouchajících nebo otevřených portů.
Co se týče získávání informací o systému protokolem ICMP, testování systémů pomocí ICMP ECHO paketů je jenom špička ledovce, unixovými programy icmpquery (http://packetstormsecurity.org/UNIX/scanners/ icmpquery.c) nebo icmpush (http://packetstormsecurity.org/UNIX//scanners/icmpush22.tgz) můžete zasláním ICMP zprávy typ 13 (TIMESTAMP) získat aktuální čas systému a zasláním ICMP zprávy typ 17 (ADDRESS MASK REQUEST) masku síťového rozhraní.
Jeden ze základních kroků mapování sítě je automatický hromadný ping na interval IP adres, který umožňuje identifikovat v rámci tohoto intervalu fungující (živé) systémy.
Jako odezva na SYN skenování byly vytvořen nový nástroj pro detekci napůl otevřených spojení a z tohoto se vytvořila nová technika tajného skenování: FIN, X-mas a Null.
Ty spočívají v zasílání nesmyslných paketů na každý cílení port cílového systému.
Nečinné skenováni (idle scanning) je způsob, jak skenovat cílový počítač použitím podvržených paketů odeslaných z nečinného hostitelského počítače a sledovat jeho změny.
Útočník potřebuje najít použitelný nečinný počítač, který neposílá ani nepřijímá žádné data a používá takovou implementaci TCP, která produkuje předvídatelná ID čísla inkrementovaná s každým paketem.
Jiným způsobem jakým lze obelstít detekci , je schovat se za nějaké návnady.
SYN skenování se občas také říká napůl otevřené skenování (half-open scan). To proto, že se ve skutečnosti nesestavuje úplné TCP spojení.