1 Сбор информации о сетевом уровне
Пусть есть две виртуальные машины с ОС Windows 7, состоящие в домене. Контроллер домена работает на третьей виртуальной машине с ОС Windows Server 2008 R2.
Компьютер 1 в ходе выполнения работы будет защищаться. С компьютера 2 будут производиться «атаки».
Сбор информации о сети будет производится с компьютера 2, чтобы узнать какую информацию о компьютере 1 можно получить удаленно. Для выполнения задачи используется программное обеспечение NetScanTools.
Получим первоначальные сведения об адресе компьютера 2, о настройках сети в которой он расположен (рисунок 1.1).
Рисунок 1.1 – Сведения о компьютере 2
Получены hostname компьютера и имя домена, в котором он находится; наименование сетевой карты; MAC-адрес; тип сетевого интерфейса; IPv4 и IPv6 адреса; IP-адрес DNS сервера (в данном случае адрес контроллера домена) и некоторые другие настройки сети, где расположен исследуемый ПК.
При помощи утилиты nbtstat получим таблицу имен NetBIOS (листинг 1).
Листинг 1 – Получение таблиц имен NetBIOS
Результат на рисунке 1.2.
Рисунок 1.2 – Список имен NetBIOS компьютеров в сети
Воспользуемся NetScanTools, чтобы получить имена NetBIOS (рисунок 1.3).
Рисунок 1.3 – Список имен NetBIOS
Определим домены в сети при помощи команды (листинг 2):
Листинг 2 – Получение списка доменов в сети
Результат на рисунке 1.4.
Рисунок 1.4 – Список доменов в сети
Исследуемые компьютеры работают в домене LAB.
Для определения списка контроллеров домена воспользуемся утилитой nltest (листинг 3).
Листинг 3 – Получение имен первичного и вторичного контроллеров домена
Результаты на рисунке 1.5.
Рисунок 1.5 – Список контроллеров домена
Основной контроллер домена – ПК с именем DC-1.
Определим имена включенных компьютеров домена командой (листинг 4).
Листинг 4 – Получения списка компьютеров домена
Результаты на рисунке 1.6.
Рисунок 1.6 – Список компьютеров в домене
Определить адреса включенных компьютеров в сети при помощи утилиты NetScanTools (рисунок 1.7):
Рисунок 1.7 – Адреса включенных компьютеров
Получим список совместно используемых ресурсов удаленного компьютера, используя команду (листинг 5).
Листинг 5 – Список совместно используемых ресурсов удаленного компьютера
Результат на рисунке 1.8:
Рисунок 1.8 – Список совместно используемых ресурсов удаленного ПК
Получим перечень общих ресурсов при помощи утилиты – рисунки 1.9, 1.10.
Рисунок 1.9 – Список совместно используемых ресурсов удаленного ПК
Рисунок 1.10 – Список совместно используемых ресурсов удаленного ПК
Общим ресурсом удаленного ПК является папка на диске – SHARED.
Произведем сканирование портов удаленного компьютера (рисунки 1.11, 1.12).
Рисунок 1.11 – Результаты сканирования TCP-портов
Рисунок 1.12 – Результаты сканирования UDP-портов
По результатам сканирования компьютера было выявлено 10 активных TCP-портов и 30 возможно активных UDP-портов.
На результаты сканирования UDP-портов влияет наличие межсетевого экрана, который при блокировании не будет отправлять ICMP сообщение о недоступности порта и будет ошибочно считаться открытым или отсутствие такого сообщения из-за ограничений, установленных на частоту использования ICMP-пакетов.
2 Работа с межсетевым экраном
2.1 Атака Сканирование портов
Пусть необходимо использовать программный межсетевой экран Outpost Firewall.
Проведем сканирование TCP-портов с отключенным межсетевым экраном (рисунок 2.1).
Рисунок 2.1 – Сканирование портов TCP
В данном сканируемом интервале оказалось два активных порта 135 и 139.
Сканирование TCP-портов в данном случае осуществляется путем осуществления операционной системой трехэтапной процедуры установления соединения и потом его закрытия. Такой способ сканирования не требует специальных прав доступа. Недостатком является создаваемая нагрузка на сканируемую систему за счет большого количества открытых и сразу прерванных соединений, таким образом легко обнаруживается активность сканера портов.
Посмотрим, как осуществляется сканирование при помощи анализатора трафика Wireshark (рисунки 2.2, 2.3).
Рисунок 2.2 – Пример ответа компьютера, если порт з