План
проведения практического занятия со слушателями 4 курса РТФ
по теме 4 дисциплины «Компьютерная разведка»
Практическое занятие: Методы удаленного сканирования портов
Учебные вопросы:
Методы открытого сканирования
2. Методы "невидимого" удаленного сканирования
Время: 2 часа.
Обсуждено и одобрено на заседании методической секции.
Протокол № 10 от ²28² июня 2010 года.
Разработал:
доцент кафедры информационной безопасности
к.ф.-м.н. С.П. Алексеенко.
.
Воронеж 2010
1. Организационная часть - 3 минуты.
Прием рапорта, проверка наличия и готовности курсантов к занятию (внешний вид, тетради, ручки).
2. Вступительная часть - 2 минуты.
Объявление темы, цели занятия и учебных вопросов
3. Опрос по материалам лекции 15 минут
4. Изложение и обсуждение вопроса №1 - 25 минут
5. Изложение и обсуждение вопроса №2 - 25 минут
6. Ответы на вопросы - 5 минут
7. Подведение итогов - 2 минуты
8. Задание на самоподготовку - 3 минуты
Итого 80 минут
Форма проведения занятия – самостоятельная работа курсантов под руководством преподавателя, работа преподавателя и курсантов в форме диалога, устный (письменный) опрос по ранее изученному материалу.
Задание по подготовке к практическому занятию
1. Изучить материал лекций по теме №4.
2. Повторить основные понятия, относящиеся к вопросам взаимодействия узлов компьютерных сетей.
3. Подготовить ответы на контрольные вопросы, заданные на лекционных занятиях по теме №4.
Литература для подготовки:
1. В. Олифер, Н. Олифер Введение в IP-сети. Сервер Центра информационных технологий (https://www.citforum.ru).
2. Технологии корпоративных сетей. Энциклопелия – СПб: Питер, 2000. – 704 с.
Министерство Внутренних Дел Российской Федерации
ВОРОНЕЖСКИЙ ИНСТИТУТ
Кафедра информационной безопасности
УТВЕРЖДАЮ
Начальник кафедры
информационной безопасности
к.т.н., доцент полковник милиции
О.С. Авсентьев
²___² июня 2007 года
Тезисы практического занятия
по теме 4 дисциплины «Компьютерная разведка»
Практическое занятие: Методы удаленного сканирования портов
Учебные вопросы:
Методы открытого сканирования
2. Методы "невидимого" удаленного сканирования
Время: 2 часа.
Обсуждено и одобрено на заседании методической секции.
Протокол № 10 от ²28² июня 2010 года.
Разработал:
доцент кафедры информационной безопасности
к.ф.-м.н. С.П. Алексеенко.
.
Воронеж 2010
Теоретический материал
МЕТОДЫУДАЛЕННОГО СКАНИРОВАНИЯ ПОРТОВ
Сканированием портов называется метод удаленного анализа, осуществляемый путем передачи тестовых запросов на создание соединения и позволяющий определить список активных служб предоставления удаленного сервиса на каком-либо узле. Сканирование портов (или разведка) применяется на подготовительной стадии перед атакой, так как позволяет получить необходимые начальные сведения о потенциальном объекте воздействия: список открытых портов, а, следовательно, и перечень потенциально атакуемых серверных приложений, загруженных на компьютере.
Присутствие открытых (активных) портов на сервере означает наличие запущенных на нем серверных приложений, предоставляющих удаленный доступ. Следовательно, процесс удаленного сканирования портов является одним из первых и наиболее необходимых этапов в получении несанкционированного доступа к системе.
Далее будут рассматриваться серверные приложения, использующие для связи протокол TCP, так как они по сравнению с приложениями, использующими UDP, составляют подавляющее большинство. То есть речь пойдет только о методах TCP-сканирования (UDP-сканирование принципиально ничем не отличается).
Рассмотрим подробнее процесс подключения к серверному приложению, ожидающему запросы на каком-либо TCP-порту. Данный процесс состоит из двух этапов. На первом этапе клиенту необходимо создать обычное TCP-соединение с указанным TCP-портом сервера. Для этого клиент передает на сервер TCP SYN-запрос на необходимый порт.
Сокращение TCP SYN означает ТСР-пакет с установленным битом SYN.
Если клиент получает ответ на этот запрос (TCP SYN АСК), то порт открыт, и TCP-соединение будет создано. Если же ответ за определенный промежуток времени так и не пришел, то это означает, что, либо порт закрыт, и соответствующий сервер не запущен, либо имеют место физические проблемы со связью с данным IP-адресом. На втором этапе, после создания TCP-соединения, клиент и сервер обмениваются специфичными для данных приложений командами, создавая соединение уже на уровне приложения (в терминах модели OSI – на прикладном уровне).
Необходимо обратить внимание на то, что первый этап (создание ТСР-соединения с указанным портом) является стандартным и абсолютно инвариантным относительно вида серверного приложения, к которому осуществляется подключение. На этой особенности и основаны все методы сетевого сканирования.
Все известные на сегодняшний день основные методы сканирования портов в зависимости от возможности определения объектом непосредственного инициатора сканирования (узла, откуда осуществлялся удаленный анализ) можно разделить на две группы:
· Методы открытого сканирования: непосредственный инициатор однозначно определяется объектом сканирования по IP-адресу приходящих запросов.
· Методы "невидимого" анонимного сканирования. Непосредственный инициатор не определяется объектом сканирования (однозначно определяется только "промежуточный" источник сканирующих запросов), таким образом, гарантируется анонимность инициатора сканирования.