Контактная информация

По всем интересующим вас вопросам связывайтесь при помощи контактной информации приведенной на этой странице!

skype: metsof
email: accusser@gmail.com

В социальных сетях...

Форма обратной связи

Авторизация

Статьи об операционной системе Linux

Сайдбар

Основы построения сетей и их анализ в Linux

03 апр. 2014

Приступая к обеспечению безопасности компьютера, нужно иметь представление о том, как работают сетевые службы, какие службы действуют в настоящее время, какие порты открыты ит.д. В этой статье мы рассмотрим основы работы с TCP/ IP и некоторые программы, позволяющие анализировать текущее состояние сети, например, составлять список всех действующих сетевых соединений. Прежде всего рассмотрим табл., в которой в обобщенном виде представлены важнейшие сокращения.

Интернет-протокол



Практически все распространенные сетевые службы базируются на IP-пакетах. Если, например, интернет-пользователь хочет обратиться к вашему компьютеру через FTP, то компьютер запускает FTP-клиент. Этот клиент посылает на ваш компьютер специальные пакеты. Если на вашем компьютере установлен FTP-cep-вер, он принимает эти IP-пакеты и реагирует на запрос, пересылая свои IP-пакеты клиенту.

Таблица Важнейшие сокращения сетевых терминов



DNS — Служба доменных имен

HTTP — Протокол передачи гипертекста

ICMP — Протокол управления сообщениями в Интернете

IP — Интернет-протокол

NFS — Сетевая файловая система

TCP — Протокол управления передачей

UDP — Протокол пользовательских датаграмм

Кроме самих данных в IP-пакетах содержится (в том числе) еще четыре важных фрагмента информации: IP-адрес отправителя, порт отправителя, адрес назначения и порт получателя. Благодаря этим данным становится известно, откуда приходит пакет и куда он должен быть направлен.

IP-адреса и порты


Мы уже понимаем, зачем нужен IP-адрес. IP-порты применяются для идентификации различных служб. Например, для запроса веб-документа обычно используется порт 80. Номера портов — это 16-битные числа. Порты вплоть до 1024 считаются привилегированными и зарезервированы для серверных служб (например, для HTTP-сервера). Остальные порты могут использоваться и клиентами, но и среди них есть несколько номеров, которые не должны применяться клиентом, так как, в свою очередь, зарезервированы для выполнения определенных целей.
Для многих IP-номеров портов в /etc/services заданы псевдонимы. В табл. 18.2 перечислены важнейшие номера портов, а также имена, под которыми они обычно используются (если такие имена есть), и краткое объяснение.

1Р-протоколы



Существуют различные протоколы для работы с IP-пакетами: большинство интернет-служб используют TCP. Этот протокол требует подтверждения о получении пакета. Но бывают и протоколы, которым такое подтверждение не нужно. К их числу относится, например, ICMP (используется программой ping) и UDP (используется DNS и NFS).

Фильтр IP-пакетов



IP-пакеты могут создаваться локальными программами или приходить на компьютер извне — через сетевой или РРР-интерфейс. Ядро решает, как поступить с пакетами. Упрощенно говоря, оно может либо отбросить эти пакеты, либо переадресовать работающим программам или другим интерфейсам. При этом описанные выше характеристики пакетов могут использоваться в качестве критериев для принятия решений. Чтобы применить такой фильтр пакетов на практике, необходимо сообщить ядру, как оно должно поступать с различными IP-пакетами.

Определение активных сетевых портов


Принцип работы большинства сетевых служб заключается в том, что эти службы «наблюдают» за определенным портом. Если на этот порт приходят IP-пакеты, то конкретная служба занимается обработкой пришедшей информации и отвечает на нее. Пакеты, которые были присланы на «ненаблюдаемые» порты, просто игнорируются и поэтому не представляют опасности. Для того чтобы оценить степень опасности, которой подвергается компьютер, нужно получить список всех наблюдаемых портов (справедливо и обратное — злоумышленник, атакующий компьютер, в первую очередь попытается узнать номера активных портов).

Netstat. При определении сетевой активности локального компьютера очень помогает команда netstat. В зависимости от того, с какими параметрами команда вызывается, она выдает массу различной информации.

Следующая команда возвращает список активных TCP и UDP-соединений вместе с именами пользователей и названиями процессов:

<code>root# netstat -tuep

Active Internet connections (w/o servers)

Proto Local Address Foreign Address State User PID/Program name

tcp localhost:57450 localhost:ldap ESTABLISHED root 6233/smbd tcp localhost:ldap localhost:57450 ESTABLISHED openldap 5842/slapd

tcp6 mars.sol:ssh merkur.sol:45368ESTABLISHEDroot 7729/0</code>


lsof.

Если требуется узнать, какие программы используют порты TCP и UDP, вам также пригодится команда lsof. В форме derFormlsof -i [протоколЖхост-имя][: порт] команда возвращает список процессов, использующих указанные сетевые ресурсы.

nmap.

Команды netstat и lsof могут выполняться только на локальном компьютере, то есть злоумышленники не смогут ими воспользоваться. Но враг может применить так называемый сканер портов. Такие программы рассылают пакеты на важнейшие порты компьютера и на основании ответа определяют, какие службы (и какие именно версии этих служб) работают на компьютере. Представленная здесь команда nmap — известнейший, но далеко не единственный такой сканер. В большинстве дистрибутивов она устанавливается при первом запуске.

В следующих строках показано, какие результаты nmap возвращает для сервера mars. Команда nmap выполнялась на другом компьютере в той же локальной сети. Вывод сокращен ради экономии места.

root# nmap -v -A mars


Starting Nmap 4.62 ( nmap.org ) at 2009-03-20 09:43 CET Initiating ARP Ping Scan at 09:43 Scanning 192.168.0.1 [1 port]

Discovered open port 53/tcp on 192.168.0.1 Discovered open port 21/tcp on 192.168.0.1

Completed SYN Stealth Scan at 09:43. 0.29s elapsed (1715 total ports) Initiating Service scan at 09:43

Scanning 9 services on mars.sol (192.168.0.1)

Host mars.sol (192.1 Interesting ports on Not shown: 1706 closed ports PORT STATE SERVICE 21/tcp open ftp vsftpd 22/tcp open ssh OpenSSH 53/tcp open domain dnsmasq 111/tcp open rpcbind 139/tcp open netbios-ssn 389/tcp open Idap OpenLDAP 445/tcp open netbios-ssn 749/tcp open rpcbind 2049/tcp open rpcbind MACAddress: 00:14:6C:8E:D9:71 Device type: general purpose Running: Linux 2.6.X

'8.0.1) appears to be up mars.sol (192.168.0.1):

VERSION 2.0.6

4.7pl Debian 8ubuntul.2 (protocol 2.0) 2.41

Samba 2.2.X Samba

smbd 3.X (workgroup: SOL) smbd 3.X (workgroup: SOL)

(Netgear)

Для nmap также существует графический пользовательский интерфейс, который в зависимости от дистрибутива может находиться в пакете zenmap или nmap-frontend.

ВНИМАНИЕ



Сканирование портов воспринимается многими администраторами как покушение на взлом. Никогда не посылайте запросов с таких программ, как nmap, на незнакомые компьютеры! Однако nmap — это удобный и практичный инструмент, позволяющий обнаружить бреши в защите собственной сети.
Читайте так же:
Основы защиты сетевых служб в Linux

Подпишитесь на рассылку! Никакого спама, только обновления!!!

Комментарии (0)


    Услуги по MODX Revolution

    Посмотреть все услуги

    Техническая оптимизация сайта

    Подробнее & Заказать

    Создание сайта на MODX Revolution

    Подробнее & Заказать

    Перенос сайта на MODX Revolution

    Подробнее & Заказать

    Продвижение сайта на MODX

    Подробнее & Заказать