2000年9月27日
Ankit Fadiaによって
ハッカーやハッキング事件の広がり、時間が来ていると、大企業のサーバーだけでなく、そのISPにダイヤルアップでインターネットに接続する人の場合、システム管理者だけでなく、システムを保護することを心配する必要があります。それは本当にあなたのシステムがインターネットに接続されている場合は、静的IPまたは動的なものを持っているかどうかは大きな違いがありません、それは攻撃されるのすべてのチャンスがあります。
このマニュアルは、システムのセキュリティ分析の方法を議論することを目的とされており、スタンドアロン(また、LANに接続されたシステム)のシステムを確保する方法として光を当てるでしょう。
オープンポート:セキュリティへの脅威?
Netstatのチュートリアルでは、netstat-aコマンドは、システム上のオープンポートのリストを示した方法について説明していた。私は移動する前によく、とにかく、私はすぐに重要な部分を要約したいと思います。ので、ここでストレートnetstatのチュートリアルから、行く:
今、?オプションは、ローカルマシン上のすべての開いている接続を表示するために使用されています。また、我々はに接続されているリモートシステムを返しますが、リモートシステムのポート番号は、我々は、我々は、リモートシステムと持っている接続の種類や状態に(そして、ローカルマシン)にも接続されています。
たとえば、
C:\ WINDOWS>は、netstat-
アクティブな接続
プロトコルローカルアドレス外部アドレス状態
TCP ankit:1031 dwarf.box.sk:FTP、ESTABLISHED
TCP ankit:1036 dwarf.box.sk:FTPデータTIME_WAIT
TCP ankit:1043 banners.egroups.com:80 FIN_WAIT_2
TCP ankit:1045 mail2.mtnl.net.in:POP3 TIME_WAIT
TCP ankit:1052 zztop.boxnetwork.net:80 ESTABLISHE D
TCP ankit:1053 mail2.mtnl.net.in:POP3 TIME_WAIT
UDP ankit:1025 *:*
UDP ankit:nbdatagram *:*
今、私たちは上記の出力から1行を取ると、それが何の略なのか見てみましょう:
プロトコルローカルアドレス外部アドレス状態
TCP ankit:1031 dwarf.box.sk:FTP、ESTABLISHED
さて、上記は以下のように配置することができます。
プロトコル:TCP(これは、伝送制御プロトコルまたはTCP、時にはユーザーデータグラムプロトコルかUDP、またはIPアドレスまたはインターネットプロトコルにすることができます。)
ローカルシステム名:ankit(これはWindowsのセットアップ時に設定したローカルシステムの名前です。)
ローカルポートが開かれ、この接続で使用されている:1031
リモートシステム:dwarf.box.sk(これは我々が接続されているシステムの非数値形式です。)
リモートポート:FTP(これは我々が接続されているリモートシステムdwarf.box.skのポート番号です。)
接続の状態:確立され
?Netstatの?と?引数は通常、ローカルシステム上で、独自のシステム、すなわち上のオープンポートのリストを取得するために、使用されています。これはチェックし、システムがインストールされてトロイの木馬を持っているか否かを見ることが特に有用であることができます。はい、最も優れた抗ウイルスソフトはトロイの木馬の存在を検出することができます、しかし、私たちはハッカーであり、我々が感染しているかどうかにかかわらず、私たちに伝えるためにソフトウェアにする必要があります。また、それは単に?スキャン]をクリックするよりも、手動で何かをするより楽しいですか?ボタンをクリックし、いくつかのソフトウェアがそれをやらせる。
次はあなた自身をnetstatと、次のオープンのいずれかを見つけるなら、あなたはあなたが感染している、かなり確認することができ、トロイの木馬、およびそれらが使用するポート番号のリストです。
ポート12345(TCP)Netbus
ポート31337(UDP)バックオリフィス
完全なリストについては、トロイの木馬で、上のチュートリアルを参照してください。hackingtruths.box.sk / trojans.txt
----
今、上記のチュートリアルでは、次のような質問を上げる人々の数の結果: 'は、netstat-'コマンドは私のシステム上で開いているポートを示している場合、これは誰もがそれらに接続できることを意味していますか?または、どのように私はこれらのオープンポートを閉じることができますか?開いているポートではない私のシステムのセキュリティへの脅威であるかどうかはどのように知っていますか?さて、これらすべての質問への答えは、一度段落の下に読んで、明確に次のようになります。
さて、ここで理解することは、ポート番号は、3つの範囲に分けられます、ということである。
Well Knownポートは0〜1023からのものである。この範囲またはポートは、それらの上で実行されるサービスにバインドされています。私が何を意味するか、このことにより、各ポートは通常上で実行されている特定のサービスを持っているということです。あなたは、特定のサービスが実行されるどのようなポート番号でのように指定する(ここではRFC 1700を参照)、サービスルールに国際的に認められたポート番号がある参照してください。たとえば、既定または通常のFTPでポート21上で実行されます。あなたがポート21は、特定のシステム上で開いていることを見つけるのであれば、それは通常、その特定のシステムファイルを転送するFTPプロトコルを使用することを意味します。しかし、いくつかのスマートなシステム管理者はdelibrately lamers人気のポート上で偽のサービスを実行欺くためにIEますので、ご注意ください。たとえば、システムがポート21上で偽のFTPデーモンを実行される可能性があります。あなたは、FTPデーモンのバナーは、応答番号等のような同じインターフェイスを取得しても、しかし、それは実際にあなたのprescenceロギングソフトウェアである可能性があり、時にはあなたを追跡する!
登録ポートは1024から49151ものです。ポート番号のこの範囲は、任意の特定のサービスにバインドされていません。実際に、お使いのブラウザ、メールクライアントのようなネットワークutlitesは、FTPソフトウェアがこの範囲内でランダムなポートを開き、リモートサーバとの通信を開始します。この範囲内のポート番号は、ネットサーフィンやメールなどを確認することができる理由です。
あなたはnetstat-aコマンドを与えたときは、この範囲内のポート数が開いていることが判明した場合、あなたはおそらく心配する必要はありません。あなたは彼らがやりたいように、ソフトウェアアプリケーションを得ることができるようにこれらのポートは、単に開かれます。これらのポートは、タスクを実行するためにさまざまなアプリケーションで一時的に開かれます。彼らは、アプリケーションとVI-A-逆に受信したパケット(データ)を移籍バッファとして機能します。一度アプリケーションを閉じて、あなたはこれらのポートは自動的に閉じていることがわかります。たとえば、ブラウザでwww.hotmail.com入力すると、その後お使いのブラウザは、ランダムに登録されたポートを選択し、関与する種々のリモートサーバーと通信するためのバッファとして使用します。
動的/プライベートポートは49152〜65535ものです。この範囲はめったに使用されており、主にトロイの木馬で使用されている、しかし、いくつかのアプリケーションは、高範囲のポート番号を使用する傾向があります。たとえば、Sunは32768で、そのRPCポートを開始します。
あなたは、netstatは、あなたのシステム上で開いているポートのカップルを与えることが判明した場合ので、これは基本的に何をすべきかに私たちをもたらします:
1。トロイの木馬はポートリストを確認し、開いているポートは、一般的なもののいずれかと一致するかどうかを確認します。それは、トロイの木馬の除去を取得し、トロイの木馬を削除しない場合。
2。そうでない場合やない場合、トロイの木馬リムーバーは言う:開いているポートが登録済みポートの範囲内にある場合は見つかりませんでしたトロイの木馬は、その後見ません。 yesの場合、次にあなたが心配することは何もないので、忘れてしまいます。
***********************
ハッキングの真実:システム管理者の数で採用されて一般的なテクニックは、ポートが再マッピングされています。たとえば、通常はHTTPのデフォルトポートは80です。ただし、システム管理者は、ポート8080にマップし直すことができます。その場合は今、そのサーバーでホストされているホームページはで、次のようになります。
http://domain.com:8080の代わりに
http://domain.com:80
ポートの再マッピングの背後にある考え方は、代わりにそれは容易に悪用される可能性がありますよく知られているポート上でサービスを実行してから、それは、それほどよく知られているポート上で実行するほうがよいハッカーとしてのそれはもっと難しいだろうということですそのサービスを見つけます。彼は、ポートの再マッピングを検出するための番号のポートスキャンの高い範囲になければなりません。
再マッピングに使用されるポートは通常、忘れないように非常に簡単です。彼らは心に再マッピングされているサービスが実行されるべきでデフォルトのポート番号を維持しchoosenされています。たとえば、デフォルトでは、POPはポート110上で実行されます。 1010、11000、1111などなど:あなたはそれを再マップした場合ただし、次のいずれかを選ぶだろう
いくつかのシステム管理者はまた、次のようにポート番号を選択したい:1234,2345,3456,4567など...まだポートの再マッピングが行われる理由としてもう一つの理由は、1024未満のポートをリッスンできるようにUnixシステムでは、root previledgesを持っていなければならないということです。
************************
ファイアウォール
ファイアウォールの使用は、もはやサーバーまたはWebサイトや商用企業に限定されていません。あなたは、単にネットサーフィンするために、ISPまたは使用するPPP(Pointプロトコルにポイント)にダイヤルアップしても、あなたは、単にファイアウォールなしで行うことはできません。したがって、ファイアウォールはどのようなものですか?
さて、非オタクの言語で、ファイアウォールは、基本的にインターネットに接続する信頼できない非信頼性の高いシステムからシステムを保護する盾である。それは、接続を開くしようとする試みについては、お使いのシステム上のすべてのポートをリッスンし、そのような試みを検出したときに、それは定義済みのルールセットに従って動作するソフトウェアです。ので、基本的に、ファイアウォールは、インターネットからネットワークを保護する何か(またはsysten)です。それは火災の場合には車両を保護する耐火材料で作られた障壁となっている車両で使用されているファイアウォールの概念から派生しています。
今、よりよいののためのファイアウォールのdefination "聖書によれば ':ファイアウォールは、最高のソフトウェアまたはハードウェアのみ選択したパケットは、インターネットからプライベート内部ネットワークに通過することができますハードウェアとソフトウェアの両方のパケットフィルタとして記述されています。ファイアウォールは、信頼できないネットワーク(インターネットからシステムまたはトラステッド·ネットワークを保護するシステムのグループ(内部プライベートネットワークです。)
注:これは、ファイアウォールが、私はこのマニュアルではそれらの作業の詳細に行くことはありませんされているものの非常に短いdesciptionた。
とにかく、用語 "ファイアウォール"は、(一般的に商用目的のために企業で使用された) "パーソナルファイアウォール"と呼ばれる新しい用語に進化しました。今、この用語は基本的には、通常ISPに接続してIEやネットワークに接続されるかもしれません、スタンドアロンシステムにインストールされているファイアウォールを参照するために使用されています。換言すれば、パーソナルファイアウォールは、個人使用のために使用するファイアウォールです。
今、あなたは、ファイアウォールとは何かのような基本的なdesciptionを持っていることを、私たちはあなたがファイアウォールをインストールする必要がある理由を正確に移りましょう?または、どのようにファイアウォールは、システムのセキュリティに脅威をインストールできないのですか?
あなたがインターネットに接続しているときに、以下を参照してください、あなたは同様にそれに接続されている他の信頼できないシステムの数百万を持っています。何らかの形で誰かがあなたのIPアドレスを見つけた場合、それらはおそらくあなたのシステムに何かを可能性があります。彼らはあなたのシステム内に存在する脆弱性を悪用する可能性、データに損傷を与え、さらには他のコンピュータに侵入するようにシステムを使用しています。
someone'e IPアドレスを見つけることは非常に難しいことではありません。誰もが一般的なISPおよび多くの他の方法によって、様々なチャットサービス、インスタントメッセンジャー(ICQ、MSN、AOLなど)を通して、あなたのIPを見つけることができます。特定の人のIPアドレスを見つけるInfactは常にいくつかのハッカーの優先順位ではありません。
私はそれで言うことを意味すると定義済みの共通の脆弱性を特定の範囲の間のすべてのIPアドレスをスキャン可能なスクリプトとユーティリティの数があるということです。たとえば、ファイル共有を有効または脆弱なシステムが発見されたとすぐにDeath攻撃などなどのPingに対して脆弱であるOSを実行しているシステムを搭載したシステムは、それらは攻撃を行うためにIPを使用しています。
最も一般的なスキャナは、RATのか、インストールされているリモート管理ツールを備えたシステムを探します。彼らは一般的なトロイの木馬のポートにパケットを送信し、被害者のシステムがそのトロイの木馬がインストールされたかどうかが表示されます。これらのプログラムが受け入れることを "IPアドレスのスキャンレンジは、"非常に広いです、1つは簡単に数分あるいは数秒で脆弱なシステムを見つけることができます。
トロイの木馬はバックオリフィスは、システムへのリモートアクセスを提供し、パスワードスニファを設定することができますが好きです。バックドアやスニファーの組み合わせは危険を伴うものである:スニファは、あなたの家の場合、他のパスワード、銀行の詳細、クレジットカード番号、社会保障番号などのようにあなたについての重要な情報が明らかになる可能性がありながら、バックドアは、将来のリモートアクセスを提供していますあなたが持っているシステムは、ローカルLANに接続し、攻撃者がその上にバックドアをインストールするには、管理されている場合、あなたはおそらく、あなたの内部ネットワークに攻撃者と同じアクセスレベルを与えている。このwoulsまた、フロントドアを警備することができる任意のファイアウォールをバイパスしてネットワークへのバックドアが作成されていますことを意味します。
あなたは、あなたのISPを経由してPPPへのリンクはダイアルアップを使用しているとして、あなたがオンラインである場合にのみ、攻撃者がマシンにアクセスできるようになることを私と議論があります。まあ、はい本当です、しかし、完全には当てはまりません。はい、それはあなたが動的なインターネット·プロトコル·アドレスを持っているように、難しい、再接続したときに、システムへのアクセスを行いません。これは保護のかすかな希望を提供しますがしかし、IPアドレスの範囲のルーチンスキャンはあなたのIPがあるれている、より頻繁にあなたの現在の動的IPおよびバックドアを明らかにしないよりも、システムへのアクセスを提供しますだ。
*******************
ハッキングの真実:マイクロソフトは言う:ウォーダイヤラプログラムは自動的にExchange内のすべての電話番号を試みることによって、モデムをスキャンします。モデムだけダイヤルアウト接続に使用することができれば、戦争のダイヤラはそれを発見されません。それは双方向のtransportmakingのスキャナには表示され接続されているすべてのシステムを提供していますしかし、PPPは、式を変更しますか?、攻撃。
*******************
それでは、どのよう私はこのようなスキャンとunsolicitated攻撃から身を守るのですか?まあ、これはパーソナルファイアウォールは、彼らの出番されている場所は、その名前が示唆しているだけのように、unsolicitated接続プローブ、スキャン、攻撃からあなたを守る。
彼らはすぐにこのようなインスタンスが記録されている(ブラウザなどのアプリケーションで、電子メールクライアントなど)は、受信した(正当と偽の両方のホストからの)送信された接続要求のすべてのポートに耳を傾け、それは何をすべきかを尋ねる警告がポップアップ表示されますまたは接続が開始するかどうかを許可するかどうかを指定します。この警告メッセージは、接続してもパケットが送信されたポート、つまり接続しようとしているポート番号を開始しようとしているIPアドレスが含まれています。また、ポートスキャン、DoS攻撃、脆弱性攻撃などだから、基本的にそれはあなたのシステムが直接信頼できないシステムと通信することはできませんシールドまたはバッファとして機能するからシステムを保護します。
ほとんどのパーソナルファイアウォールは、攻撃者を追跡することができます豊富なロギング機能を持っています。いくつかの一般的なファイアウォールは、次のとおりです。
1.BlackICEディフェンダー:PCのためのIDS。それはhttp://www.networkice.comで入手できる。
2。 ZoneAlarmの:ファイアウォールをセットアップし、管理する最も簡単な。で自由のためにそれを取得します。www.zonelabs.com
一度あなたのシステム上にファイアウォールがインストールされている、あなたが頻繁に誰かがあなたのシステムに侵入しようとしているかのように思えるかもしれません警告の数を取得します、しかし、彼らは実際にどちらのOS自体に起因する偽のメッセージであり、またはダイナミックIPアドレスの配分と呼ばれるプロセスに起因する。これら二つの詳細については、読み進めてください。
多くの人々は彼らのISPにダイヤルするとすぐに、そのファイアウォールがそのような、そのようなIPアドレスがポートXに何がそれらの原因を探るれていることを言っている文句を言うのでしょう?
まあ、これは非常に一般的です。原因は、その誰かが、あなたがダイヤルされた直前にハングアップし、あなたのISPが同じIPアドレスが割り当てられています。あなたは今、前の人とのコミュニケーションの遺跡を見ている。 IPは、以前に割り当てられたために人はICQやチャットプログラムを使用していたとき、これは最も一般的で、ゲームサーバに接続されていた、あるいは単にリモートサーバとの彼のコミュニケーションの前に完全に自分のモデムをされたオフになっています。
あなたもメッセージのようなことがあります:このような、そのようなIPは、これが再びextrememly一般的であるポートX上でNetBIOSセッションをinitaiteしようとしています。以下は、私が数日前に拾ったそれが起こる理由として説明し、次のとおりです。UDPポート137のNetBIOS要求は、ログを拒否するファイアウォールで表示される最も一般的なアイテムです。これは、約、MicrosoftのWindowsの機能から来る:プログラム名にIPアドレスを解決する際には、それがIPアドレスにNetBIOS名クエリを送信することがあります。これは、インターネットのバックグラウンド放射線の一部であり、懸念していることは何もありません。
何がそれらの原因は?事実上すべてのシステム(UNIX、マッキントッシュ、Windowsの場合)で、プログラムは、目的のアドレスを持つ関数のgethostbyaddr()を呼んでいます。この関数は、適切な検索を行うと、名前を返します。この関数は、ソケットAPIの一部です。はgethostbyaddr()について覚えておくべき重要なことは、それが仮想であるということです。それは名前にアドレスを解決する方法を指定されていません。実際には、すべての利用可能なメカニズムを使用します。我々はUNIX、Windows、およびMacintoshシステムを見れば、我々は、次の方法を参照してください。
DNSサーバーに送信されるDNSは、in-addr.arpa PTRクエリ
IPアドレスに送信されたNetBIOS名NodeStatusクエリ
/ etc / hostsファイル内の検索
IPアドレスに送信されるIP名前照会上でAppleTalk
RPCクエリは、UNIXのNISサーバーに送信される
NetBIOSは、WINSサーバーに送信されるルックアップ
Windowsシステムでは、/ etc / hosts、DNS、WINS、およびNodeStatus技術を行います。もっと耐え難い具体的には、マイクロソフトでは、ネーミングサービスと呼ばれる一般的なシステムコンポーネントを持っています。システム内のすべてのプロトコルスタックは(NetBIOS名、TCP / IP、IPX小説は、AppleTalk、バンヤン、等)が行うことができます名前解決の種類を登録します。いくつかのRPCの製品は、同様にNISネームサービスを登録します。プログラムの要求がアドレスを解決するときに、このアドレスは一般的なネーミング·サービスに渡されます。それが答えを得るまでは、Windowsが連続して登録されている各名前解決サブシステムをしようとします。
(サイドメモ:ユーザーが、時には、Windowsサーバーへのアクセスが遅いと不満を述べているこれはタイムアウトが最初の本当のプロトコルスタックがサーバーの名前を照会する必要があります前に、不要なプロトコルスタックをインストールすることによって引き起こされます。)
それはIPアドレスのためのこれらの解決の手順を実行する順序は、Windowsレジストリキーの下に設定することができます
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Servicesの\ TCPIP \ ServiceProvider。
ファイアウォールを突破
ファイアウォールは、悪用されるのを待っている、人気のファイアウォール内に存在するいくつかの穴があるポートスキャンプローブなどからあなたの完全な保護を提供することを意図されていますが。この問題で、私はポートへの攻撃者が(通常はそのようなスキャンを停止する必要がありますが。)ターゲットシステムをスキャンすることができます2.0.26にZoneAlarmのバージョン2.1.10に穴を開け、説明します
1がTCPまたはUDPスキャンの送信元ポートとしてポート67を使用している場合は、ZoneAlarmはパケットを通過させるので、ユーザーに通知されません。つまり、その1は、パケットのソースポートとしてポート67を使用している場合にはファイアウォールがありませんでしたが、あたかも一つのTCPまたはUDPポートスキャンZoneAlarmの保護対象のコンピュータことができます。
エクスプロイト(Exploit)
UDPスキャン:
あなたは、ポートスキャンは、次のコマンドラインでホストにnmapを使用することができます。
nmapの-G67-P0-P130-140-SU 192.168.128.88
(送信元ポートを指定する-G67に注意してください)。
TCPスキャン:
あなたは、ポートスキャンは、次のコマンドラインでホストにnmapを使用することができます。
nmapの-G67-P0-P130-140-SS 192.168.128.88
(送信元ポートを指定する-G67に注意してください)。
