Воронежский институт МВД России
Кафедра информационной безопасности
ПЛАН
проведения практического занятия
По дисциплине «Компьютерная разведка»
тематический модуль № 1
Тема 3: «Методические основы мониторинга компьютерных сетей»
Практическое занятие: Методы удаленного сканирования портов
Обсужден и одобрен
на заседании кафедры
протокол №____ от «__»______2012 г.
Разработал:
доцент кафедры информационной безопасности, к.ф.-м.н., доцент,
полковник полиции
_________________________С.П. Алексеенко
Воронеж 2012
1. Организационная часть - 3 минуты.
Прием рапорта, проверка наличия и готовности курсантов к занятию (внешний вид, тетради, ручки).
2. Вступительная часть - 2 минуты.
Объявление темы, цели занятия и учебных вопросов
3. Опрос по материалам лекции 15 минут
4. Изложение и обсуждение вопроса №1 - 15 минут
5. Изложение и обсуждение вопроса №2 - 15 минут
6. Практическая отработка вопросов занятия
7. Ответы на вопросы - 5 минут
8. Подведение итогов - 2 минуты
9. Задание на самоподготовку - 3 минуты
Итого 90 минут
Форма проведения занятия – самостоятельная работа курсантов под руководством преподавателя, работа преподавателя и курсантов в форме диалога, устный (письменный) опрос по ранее изученному материалу.
Задание по подготовке к практическому занятию
1. Изучить материал лекций по теме №3.
2. Повторить основные понятия, относящиеся к вопросам взаимодействия узлов компьютерных сетей.
3. Подготовить ответы на контрольные вопросы, заданные на лекционных занятиях по теме №3.
Литература для подготовки:
1. Меньшаков Ю. К. Теоретические основы технических разведок: учебное пособие: доп. УМО по образованию в обл. информ. безопасности / Ю. К. Меньшаков; под ред. Ю. Н. Лаврухина. - М.: Изд-во МГТУ им. Н. Э. Баумана, 2008. - 536 с.
Дополнительная:
1. Защита информации в компьютерных системах и сетях /под ред. В.Ф.Шаньгина – 2-е издание перераб. и доп. –М.: Радио и связь, 2001. –376 с.
2. Зима В.М. Безопасность глобальных сетевых технологий./ Зима В.М., Молдавян А.А., Молдовян Н.А. – 2-е изд. - СПб: БХВ - Санкт-Петербург, 2003. - 368 с.
3. Защита от вторжений. Расследование компьютерных преступлений/ Кевин Мандиа Крис.Пер. с англ. Просис. Издательство «Лори», 2005.- 476 с.
4. Руководство по защите от хакеров/ Коул Эрик. Пер. с англ. – М. Издательский дом «Вильямс», 2002. – 640 с.
5. Касперски К. Записки исследователя компьютерных вирусов/ К. Касперски– СПб.: Питер, 2005. – 16 с.
Теоретический материал
МЕТОДЫУДАЛЕННОГО СКАНИРОВАНИЯ ПОРТОВ
Сканированием портов называется метод удаленного анализа, осуществляемый путем передачи тестовых запросов на создание соединения и позволяющий определить список активных служб предоставления удаленного сервиса на каком-либо узле. Сканирование портов (или разведка) применяется на подготовительной стадии перед атакой, так как позволяет получить необходимые начальные сведения о потенциальном объекте воздействия: список открытых портов, а, следовательно, и перечень потенциально атакуемых серверных приложений, загруженных на компьютере.
Присутствие открытых (активных) портов на сервере означает наличие запущенных на нем серверных приложений, предоставляющих удаленный доступ. Следовательно, процесс удаленного сканирования портов является одним из первых и наиболее необходимых этапов в получении несанкционированного доступа к системе.
Далее будут рассматриваться серверные приложения, использующие для связи протокол TCP, так как они по сравнению с приложениями, использующими UDP, составляют подавляющее большинство. То есть речь пойдет только о методах TCP-сканирования (UDP-сканирование принципиально ничем не отличается).
Рассмотрим подробнее процесс подключения к серверному приложению, ожидающему запросы на каком-либо TCP-порту. Данный процесс состоит из двух этапов. На первом этапе клиенту необходимо создать обычное TCP-соединение с указанным TCP-портом сервера. Для этого клиент передает на сервер TCP SYN-запрос на необходимый порт.
Сокращение TCP SYN означает ТСР-пакет с установленным битом SYN.
Если клиент получает ответ на этот запрос (TCP SYN АСК), то порт открыт, и TCP-соединение будет создано. Если же ответ за определенный промежуток времени так и не пришел, то это означает, что, либо порт закрыт, и соответствующий сервер не запущен, либо имеют место физические проблемы со связью с данным IP-адресом. На втором этапе, после создания TCP-соединения, клиент и сервер обмениваются специфичными для данных приложений командами, создавая соединение уже на уровне приложения (в терминах модели OSI – на прикладном уровне).
Необходимо обратить внимание на то, что первый этап (создание ТСР-соединения с указанным портом) является стандартным и абсолютно инвариантным относительно вида серверного приложения, к которому осуществляется подключение. На этой особенности и основаны все методы сетевого сканирования.
Все известные на сегодняшний день основные методы сканирования портов в зависимости от возможности определения объектом непосредственного инициатора сканирования (узла, откуда осуществлялся удаленный анализ) можно разделить на две группы:
· Методы открытого сканирования: непосредственный инициатор однозначно определяется объектом сканирования по IP-адресу приходящих запросов.
· Методы "невидимого" анонимного сканирования. Непосредственный инициатор не определяется объектом сканирования (однозначно определяется только "промежуточный" источник сканирующих запросов), таким образом, гарантируется анонимность инициатора сканирования.