омптјўютерн—÷ мереж—÷. јнал—÷з роботи —÷ оптим—÷зац—÷€

курсова€ работа: »нформатика, программирование

ƒокументы: [1]   Word-198922.doc —траницы: Ќазад 1 ¬перед

ћ—÷н—÷стерство осв—÷ти —÷ науки ”кра—„ни





 омптјўютерн—÷ мереж—÷. јнал—÷з роботи —÷ оптим—÷зац—÷€

¬ступ


–озд—÷л –∆. ќгл€д —÷ арх—÷тектура обчислювальних мереж

1.1 ќсновн—÷ означенн€ —÷ терм—÷ни

1.2 ѕереваги використанн€ мереж

1.3 јрх—÷тектура мереж

1.3.1 јрх—÷тектура терм—÷нал - головний комп'ютер

1.3.2 ќднорангова арх—÷тектура

1.3.3 јрх—÷тектура кл—÷—‘нт - сервер

1.3.4 ¬иб—÷р арх—÷тектури мереж—÷

–озд—÷л –∆–∆. ѕошук несправностей в мережах на баз—÷ OC Windows

2.1 ѕроблеми ре—‘страц—÷—„ робочо—„ станц—÷—„

2.1.1  оманда ,,pingї

2.2 ѕошук несправностей в мереж—÷ з вид—÷леним DHCP сервером

2.2.1 ƒ—÷алог з DHCP сервером

2.2.2 јнал—÷з д—÷алогу комптјўютер—÷в у мереж—÷

2.3 ¬изначенн€ швидкод—÷—„ мереж—÷

2.3.1 «асоби —÷ способи визначенн€ швидкод—÷—„ мереж—÷

2.3.2 ¬и€вленн€ джерела впливу на швидкод—÷ю мереж—÷

2.4 ѕричини помилок журналу под—÷й

2.4.1 ћетод пошуку серверних проблем

2.4.2 ‘—÷льтр перехопленн€, та його використанн€

2.5 ѕроблеми, що виникають при широкомовленн—÷

–озд—÷л –∆–∆–∆. ћетоди захисту в—÷д несанкц—÷онованого доступу в мереж—÷ TCP/IP

3.1 Ѕезпека комптјўютер—÷в на баз—÷ Windows 2000/XP

3.1.1 —кануванн€ мереж—÷ TCP/IP

3.1.2 –∆нвентаризац—÷€ мереж—÷

3.1.3 Ќульовий сеанс

3.1.4 –еал—÷зац—÷€ ц—÷л—÷

3.1.5 ѕриховуванн€ сл—÷д—÷в

3.2 «асоби в—÷ддаленого керуванн€

3.2.1 ѕрограма pcAnywhere

3.2.2 ѕротокол SNMP

3.3 ‘ункц—÷—„ брандмауер—÷в

3.4 ѕерехопленн€ мережевих даних

3.4.1 ‘альшив—÷ ARP запити

3.4.2 ‘альшива маршрутизац—÷€

3.4.3 ѕерехопленн€ “—–-зтјў—‘днанн€

3.5  омутований доступ до мереж

3.5.1 —канер PhoneSweep 4.4

3.5.2 –обота з програмою PhoneSweep 4.4

¬исновки

—писок скорочень —÷ по€снень

Ћ—÷тература

¬ступ


яке призначенн€ мереж—÷? ƒл€ того щоб в—÷дпов—÷сти на це питанн€, давайте почнемо з —„—„ назви. —лово "корпорац—÷€ї означа—‘ об'—‘днанн€ п—÷дпри—‘мств, що працюють п—÷д централ—÷зованим керуванн€м —÷ вир—÷шують загальн—÷ задач—÷.  орпорац—÷€ —‘ складною, багатопроф—÷льною структурою —÷ внасл—÷док цього ма—‘ розпод—÷лену —÷—‘рарх—÷чну систему керуванн€.  р—÷м того, п—÷дпри—‘мства, в—÷дд—÷ленн€ й адм—÷н—÷стративн—÷ оф—÷си, що вход€ть у корпорац—÷ю, €к правило, розташован—÷ на велик—÷й в—÷дстан—÷ один в—÷д одного. ƒл€ централ—÷зованого керуванн€ таким об'—‘днанн€м п—÷дпри—‘мств використову—‘тьс€ корпоративна мережа. ” —„—„ склад можуть входити маг—÷стральн—÷ мереж—÷ (WAN, MAN), призначен—÷ дл€ зв'€зку в—÷дд—÷лень —÷ адм—÷н—÷стративних оф—÷с—÷в корпорац—÷—„. ќбов'€зковими компонентами корпоративно—„ мереж—÷ —‘ локальн—÷ мереж—÷, зв'€зан—÷ м—÷ж собою.

« розвитком комптјўютерних мереж все б—÷льше ускладню—‘тьс€ програмне забезпеченн€ €ке необх—÷дне дл€ —„хнього функц—÷онуванн€, отже все част—÷ше виникають несправност—÷ повтјў€зан—÷ з програмним забезпеченн€м, €к—÷ вивод€ть комптјўютерну мережу з ладу.

¬ другому розд—÷л—÷ роботи розгл€даютьс€ питанн€ пошуку несправностей, €к—÷ часто виникають в мережах на баз—÷ арх—÷тектури кл—÷—‘нт-сервер.

¬ третьому розд—÷л—÷ розгл€даютьс€ найб—÷льш поширен—÷ види злому комптјўютерних мереж та рекомендац—÷—„, що до захисту в—÷д таких атак.

¬ дан—÷й робот—÷ використовуютьс€ операц—÷йн—÷ системи Windows 2000/XP. –озгл€д саме цих систем повтјў€заний —÷з —„хньою попул€рн—÷стю у св—÷т—÷, а також з тим, що операц—÷йн—÷ системи с—÷мейства Windows не м—÷ст€ть в—÷дкритого коду, €к наприклад операц—÷йна система Linux, це у свою чергу призводить до того, що Windows потребу—‘ б—÷льш серйозного захисту в—÷д атак за допомогою додаткових програм в пор—÷вн€нн—÷ з Linux, оск—÷льки прогалини в Windows закриваютьс€ прац—÷вниками компан—÷—„ Microsoft.

–озд—÷л –∆. ќгл€д —÷ арх—÷тектура обчислювальних мереж


1.1 ќсновн—÷ означенн€ —÷ терм—÷ни


ћережа - це сукупн—÷сть об'—‘кт—÷в, що утворюютьс€ пристро€ми передач—÷ —÷ обробки даних. ћ—÷жнародна орган—÷зац—÷€ з стандартизац—÷—„ означила обчислювальну мережу €к посл—÷довну б—÷т-ор—÷—‘нтовану передачу —÷нформац—÷—„ м—÷ж пов'€заними один з одним незалежними пристро€ми.

ћереж—÷ зазвичай знаходитьс€ в приватн—÷й "асност—÷ користувача —÷ займають де€ку територ—÷ю —÷ за територ—÷альною ознакою розд—÷л€ютьс€ на:

  • локальн—÷ обчислювальн—÷ мереж—÷ (Ћќћ) або Local Area Network (LAN), розташован—÷ в одному або дек—÷лькох близько розташованих буд—÷вл€х. Ћќћ зазвичай розм—÷щуютьс€ в рамках €ко—„-небудь орган—÷зац—÷—„ (корпорац—÷—„, установи), тому —„х називають корпоративними;
  • розпод—÷лен—÷ комп'ютерн—÷ мереж—÷, глобальн—÷ або Wide Area Network (WAN), розташован—÷ в р—÷зних буд—÷вл€х, м—÷стах —÷ кра—„нах, €к—÷ бувають територ—÷альними, зм—÷шаними —÷ глобальними. «алежно в—÷д цього глобальн—÷ мереж—÷ бувають чотирьох основних вид—÷в: м—÷ськ—÷, рег—÷ональн—÷, нац—÷ональн—÷ —÷ транснац—÷ональн—÷. як приклад, розпод—÷лених мереж дуже великого масштабу можна назвати: Internet, EUNET, Relcom, FIDO.

ƒо складу мереж—÷ в загальному випадку включаютьс€ наступн—÷ елементи:

  • мережев—÷ комп'ютери (оснащен—÷ мережевим адаптером);
  • канали зв'€зку (кабельн—÷, супутников—÷, телефонн—÷, цифров—÷, волоконно-оптичн—÷, рад—÷оканали —÷ —÷н.);
  • р—÷зного роду перетворювач—÷ сигнал—÷в;
  • мережеве устаткуванн€.

–озр—÷зн€ють два пон€тт€ мереж—÷: комун—÷кац—÷йна мережа —÷ —÷нформац—÷йна мережа (рис. 1.1).

 омун—÷кац—÷йна мережа призначена дл€ передач—÷ даних, також вона викону—‘ завданн€, пов'€зан—÷ з перетворенн€м даних.  омун—÷кац—÷йн—÷ мереж—÷ розр—÷зн€ютьс€ за типом використовуваних ф—÷зичних засоб—÷в з'—‘днанн€.

–∆нформац—÷йна мережа призначена дл€ збер—÷ганн€ —÷нформац—÷—„ —÷ склада—‘тьс€ з —÷нформац—÷йних систем. Ќа баз—÷ комун—÷кац—÷йно—„ мереж—÷ може бути побудована група —÷нформац—÷йних мереж.

ѕ—÷д —÷нформац—÷йною системою сл—÷д розум—÷ти систему, €ка —‘ постачальником або споживачем —÷нформац—÷—„.

 омп'ютерна мережа склада—‘тьс€ з —÷нформац—÷йних систем —÷ канал—÷в зв'€зку.

ѕ—÷д —÷нформац—÷йною системою сл—÷д розум—÷ти об'—‘кт, здатний зд—÷йснювати збер—÷ганн€, обробку або передачу —÷нформац—÷—„. ƒо складу —÷нформац—÷йно—„ системи вход€ть: комп'ютери, програми, користувач—÷ —÷ —÷нш—÷ складов—÷, призначен—÷ дл€ процесу обробки —÷ передач—÷ даних. Ќадал—÷ —÷нформац—÷йна система, призначена дл€ вир—÷шенн€ завдань користувача, називатиметьс€ - робоча станц—÷€ (client). –обоча станц—÷€ в мереж—÷ в—÷др—÷зн€—‘тьс€ в—÷д звичайного персонального комп'ютера (ѕ ) на€вн—÷стю мережево—„ карти (мережевого адаптера), каналу дл€ передач—÷ даних —÷ мережевого програмного забезпеченн€.

ѕ—÷д каналом зв'€зку сл—÷д розум—÷ти шл€х, або зас—÷б, по €кому передаютьс€ сигнали. «ас—÷б передач—÷ сигнал—÷в називають абонентським, або ф—÷зичним каналом.

 анали зв'€зку (data link) створюютьс€ по л—÷н—÷€х зв'€зку за допомогою мережевого устаткуванн€ —÷ ф—÷зичних засоб—÷в зв'€зку. ‘—÷зичн—÷ засоби зв'€зку побудован—÷ на основ—÷ витих пар, коакс—÷альних кабел—÷в, оптичних канал—÷в або еф—÷ру. ћ—÷ж вза—‘мод—÷ючими —÷нформац—÷йними системами через ф—÷зичн—÷ канали комун—÷кац—÷йно—„ мереж—÷ —÷ вузли комутац—÷—„ встановлюютьс€ лог—÷чн—÷ канали.

Ћог—÷чний канал - це шл€х дл€ передач—÷ даних в—÷д одн—÷—‘—„ системи до —÷ншо—„. Ћог—÷чний канал проклада—‘тьс€ по маршруту в одному або дек—÷лькох ф—÷зичних каналах. Ћог—÷чний канал можна охарактеризувати, €к маршрут, прокладений через ф—÷зичн—÷ канали —÷ вузли комутац—÷—„.

–∆нформац—÷€ в мереж—÷ переда—‘тьс€ блоками даних за процедурами обм—÷ну м—÷ж об'—‘ктами. ÷—÷ процедури називають протоколами передач—÷ даних.

ѕротокол - це сукупн—÷сть правил, що встановлюють формат —÷ процедури обм—÷ну —÷нформац—÷—‘ю м—÷ж двома або дек—÷лькома пристро€ми.

«авантаженн€ мереж—÷ характеризу—‘тьс€ параметром, що назива—‘тьс€ траф—÷ком. “раф—÷к (traffic) - це пот—÷к пов—÷домлень в мереж—÷ передач—÷ даних. ѕ—÷д ним розум—÷ють к—÷льк—÷сну величину у вибраних точках мереж—÷ числа блок—÷в даних, що проход€ть —÷ —„х довжини, виражен—÷ в б—÷тах в секунду.

–∆стотний вплив на характеристику мереж—÷ нада—‘ метод доступу. ћетод доступу - це спос—÷б визначенн€ того, €ка з робочих станц—÷й зможе наступною використовувати канал зв'€зку —÷ €к управл€ти доступом до каналу зв'€зку (кабелю).

” мереж—÷ вс—÷ робоч—÷ станц—÷—„ ф—÷зично сполучен—÷ м—÷ж собою каналами зв'€зку по певн—÷й структур—÷, €ка назива—‘тьс€ тополог—÷—‘ю. “ополог—÷€ - це опис ф—÷зичних з'—‘днань в мереж—÷, що вказу—‘ €к—÷ робоч—÷ станц—÷—„ можуть зв'€зуватис€ м—÷ж собою. “ип тополог—÷—„ визнача—‘ продуктивн—÷сть, працездатн—÷сть —÷ над—÷йн—÷сть експлуатац—÷—„ робочих станц—÷й, а також час зверненн€ до файлового сервера. «алежно в—÷д тополог—÷—„ мереж—÷ використову—‘тьс€ той або —÷нший метод доступу.

—клад основних елемент—÷в в мереж—÷ залежить в—÷д —„—„ арх—÷тектури. јрх—÷тектура - це концепц—÷€, що визнача—‘ вза—‘мозв'€зок, структуру —÷ функц—÷—„ вза—‘мод—÷—„ робочих станц—÷й в мереж—÷. ¬она передбача—‘ лог—÷чну, функц—÷ональну —÷ ф—÷зичну орган—÷зац—÷ю техн—÷чних —÷ програмних засоб—÷в мереж—÷. јрх—÷тектура визнача—‘ принципи побудови —÷ функц—÷онуванн€ апаратного —÷ програмного забезпеченн€ елемент—÷в мереж—÷.

¬ основному вид—÷л€ють три види арх—÷тектури: арх—÷тектура терм—÷нал - головний комп'ютер, арх—÷тектура кл—÷—‘нт - сервер —÷ однорангова арх—÷тектура.

—учасн—÷ мереж—÷ можна класиф—÷кувати за р—÷зними ознаками: по в—÷ддаленост—÷ комп'ютер—÷в, тополог—÷—„, призначенню, перел—÷ку послуг, що надаютьс€, принципами управл—÷нн€ (централ—÷зован—÷ —÷ децентрал—÷зован—÷), методами комутац—÷—„, методами доступу, видами середовища передач—÷, швидкост€ми передач—÷ даних [1].


1.2 ѕереваги використанн€ мереж


 омп'ютерн—÷ мереж—÷ —‘ вар—÷антом сп—÷впрац—÷ людей —÷ комп'ютер—÷в, що забезпечу—‘ прискоренн€ доставки —÷ обробки —÷нформац—÷—„. ќб'—‘днувати комп'ютери в мереж—÷ почали б—÷льше 30 рок—÷в тому.  оли можливост—÷ комп'ютер—÷в виросли —÷ ѕ  стали доступн—÷ кожному, розвиток мереж значно прискоривс€.

—получен—÷ в мережу комп'ютери обм—÷нюютьс€ —÷нформац—÷—‘ю —÷ сп—÷льно використовують перифер—÷йне устаткуванн€ —÷ пристро—„ збер—÷ганн€ —÷нформац—÷—„ (рис. 1.2).

«а допомогою мереж можна розд—÷л€ти ресурси —÷ —÷нформац—÷ю. Ќижче перел—÷чен—÷ основн—÷ завданн€, €к—÷ вир—÷шуютьс€ за допомогою робочо—„ станц—÷—„ в мереж—÷, —÷ €к—÷ важко вир—÷шити за допомогою окремого комп'ютера.

  •  омп'ютерна мережа дозволить сп—÷льно використовувати перифер—÷йн—÷ пристро—„, включаючи:
  • принтери;
  • плотери;
  • дисков—÷ накопичувач—÷;
  • приводи CD-ROM;
  • дисководи;
  • стримери;
  • сканери;
  • факс-модеми;
  •  омп'ютерна мережа дозвол€—‘ сп—÷льно використовувати —÷нформац—÷йн—÷ ресурси:
  • каталоги;
  • файли;
  • прикладн—÷ програми;
  • —÷гри;
  • бази даних;
  • текстов—÷ процесори.

 омп'ютерна мережа дозвол€—‘ працювати з розрахованими на багато користувач—÷в програмами, що забезпечують одночасний доступ вс—÷х користувач—÷в до загальних баз даних з блокуванн€м файл—÷в —÷ запис—÷в, що забезпечу—‘ ц—÷л—÷сн—÷сть даних. Ѕудь-€к—÷ програми, розроблен—÷ дл€ стандартних Ћќћ, можна використовувати в —÷нших мережах.

—ум—÷сне використанн€ ресурс—÷в забезпечить —÷стотну економ—÷ю засоб—÷в —÷ часу. Ќаприклад, можна колективно використовувати один лазерний принтер зам—÷сть покупки принтера кожному сп—÷вроб—÷тников—÷, або метушн—÷ з дискетами до —‘диного принтера за в—÷дсутност—÷ мереж—÷.

ћожна використовувати Ћќћ €к поштову службу —÷ розсилати службов—÷ записки, допов—÷д—÷ —÷ пов—÷домленн€ —÷нших користувач—÷в [6].


1.3 јрх—÷тектура мереж


јрх—÷тектура мереж—÷ визнача—‘ основн—÷ елементи мереж—÷, характеризу—‘ —„—„ загальну лог—÷чну орган—÷зац—÷ю, техн—÷чне забезпеченн€, програмне забезпеченн€, опису—‘ методи кодуванн€. јрх—÷тектура також визнача—‘ принципи функц—÷онуванн€ —÷ —÷нтерфейс користувача.

–озгл€немо три види арх—÷тектури:

  • арх—÷тектура терм—÷нал - головний комп'ютер;
  • однорангова арх—÷тектура;
  • арх—÷тектура кл—÷—‘нт - сервер.

1.3.1 јрх—÷тектура терм—÷нал - головний комп'ютер

јрх—÷тектура терм—÷нал - головний комп'ютер (terminal - host computer architecture) - це концепц—÷€ —÷нформац—÷йно—„ мереж—÷, в €к—÷й вс€ обробка даних зд—÷йсню—‘тьс€ одним або групою головних комп'ютер—÷в.

ƒана арх—÷тектура припуска—‘ два типи устаткуванн€:

  • головний комп'ютер, де зд—÷йсню—‘тьс€ управл—÷нн€ мережею, збер—÷ганн€ —÷ обробка даних.
  • терм—÷нали, призначен—÷ дл€ передач—÷ головному комп'ютеру команд на орган—÷зац—÷ю сеанс—÷в —÷ виконанн€ завдань, введенн€ даних дл€ виконанн€ завдань —÷ отриманн€ результат—÷в.

√оловний комп'ютер через мультиплексори передач—÷ даних (ћѕƒ) вза—‘мод—÷ють з терм—÷налами, €к представлено на рис. 1.3.

 ласичний приклад арх—÷тектури мереж—÷ з головними комп'ютерами - системна мережева арх—÷тектура (System Network Architecture - SNA).


1.3.2 ќднорангова арх—÷тектура

ќднорангова арх—÷тектура (peer-to-peer architecture) - це концепц—÷€ —÷нформац—÷йно—„ мереж—÷, в €к—÷й —„—„ ресурси розозпод—÷лен—÷ по вс—÷х системах. ƒана арх—÷тектура характеризу—‘тьс€ тим, що в н—÷й вс—÷ системи р—÷вноправн—÷.

ƒо однорангових мереж в—÷днос€тьс€ мал—÷ мереж—÷, де будь-€ка робоча станц—÷€ може виконувати одночасно функц—÷—„ файлового сервера —÷ робочо—„ станц—÷—„. ” однорангових Ћќћ дисковий прост—÷р —÷ файли на будь-€кому комп'ютер—÷ можуть бути загальними. ўоб ресурс став загальним, його необх—÷дно в—÷ддати в загальне користуванн€, використовуючи служби в—÷ддаленого доступу мережевих однорангових операц—÷йних систем. «алежно в—÷д того, €к буде встановлений захист даних, —÷нш—÷ користувач—÷ зможуть користуватис€ файлами в—÷дразу ж п—÷сл€ —„х створенн€. ќднорангов—÷ Ћќћ достатньо хорош—÷ т—÷льки дл€ невеликих робочих груп.

ќднорангов—÷ Ћќћ —‘ найб—÷льш легким —÷ дешевим типом мереж. ¬они на комп'ютер—÷ вимагають, окр—÷м мережево—„ карти —÷ мережевого нос—÷€, т—÷льки операц—÷йно—„ системи. ѕри з'—‘днанн—÷ комп'ютер—÷в, користувач—÷ можуть надавати ресурси —÷ —÷нформац—÷ю в сум—÷сне користуванн€.

ќднорангов—÷ мереж—÷ мають наступн—÷ переваги:

  • вони легк—÷ в —÷нстал€ц—÷—„ —÷ налаштуванн—÷;
  • окрем—÷ ѕ  не залежать в—÷д вид—÷леного сервера;
  • користувач—÷ в змоз—÷ контролювати сво—„ ресурси;
  • мала варт—÷сть —÷ легка експлуатац—÷€;
  • м—÷н—÷мум устаткуванн€ —÷ програмного забезпеченн€;
  • нема—‘ необх—÷дност—÷ в адм—÷н—÷страторов—÷;

добре п—÷дход€ть дл€ мереж з к—÷льк—÷стю користувач—÷в, що не перевищу—‘ дес€ти.

ѕроблемою однорангово—„ арх—÷тектури —‘ ситуац—÷€, коли комп'ютери в—÷дключаютьс€ в—÷д мереж—÷. ” цих випадках з мереж—÷ зникають види серв—÷су, €к—÷ вони надавали. ћережеву безпеку одночасно можна застосувати т—÷льки до одного ресурсу, —÷ користувач повинен пам'€тати ст—÷льки парол—÷в, ск—÷льки мережевих ресурс—÷в. ѕри отриманн—÷ доступу до ресурсу, що розд—÷л€—‘тьс€, в—÷дчува—‘тьс€ пад—÷нн€ продуктивност—÷ комп'ютера. –∆стотним недол—÷ком однорангових мереж —‘ в—÷дсутн—÷сть централ—÷зованого адм—÷н—÷струванн€.

¬икористанн€ однорангово—„ арх—÷тектури не виключа—‘ застосуванн€ в т—÷й же мереж—÷ також арх—÷тектури "терм—÷нал - головний комп'ютерї або арх—÷тектури "кл—÷—‘нт - серверї.


1.3.3 јрх—÷тектура кл—÷—‘нт - сервер

јрх—÷тектура кл—÷—‘нт - сервер (client-server architecture) - це концепц—÷€ —÷нформац—÷йно—„ мереж—÷, в €к—÷й основна частина —„—„ ресурс—÷в зосереджена в серверах, €к—÷ обслуговують сво—„х кл—÷—‘нт—÷в (рис. 1.5). ƒана арх—÷тектура визнача—‘ два типи компонент—÷в: сервери —÷ кл—÷—‘нти.

—ервер - це об'—‘кт, що нада—‘ серв—÷с —÷ншим об'—‘ктам мереж—÷ за —„хн—÷ми запитами. —ерв—÷с - це процес обслуговуванн€ кл—÷—‘нт—÷в.

—ервер працю—‘ за завданн€ми кл—÷—‘нт—÷в —÷ керу—‘ виконанн€м —„хн—÷х завдань. ѕ—÷сл€ виконанн€ кожного завданн€ сервер в—÷дсила—‘ отриман—÷ результати кл—÷—‘нтов—÷, що в—÷дправив це завданн€.

—ерв—÷сна функц—÷€ в арх—÷тектур—÷ кл—÷—‘нт - сервер опису—‘тьс€ комплексом прикладних програм, в—÷дпов—÷дно до €кого виконуютьс€ р—÷зноман—÷тн—÷ прикладн—÷ процеси.

ѕроцес, €кий виклика—‘ серв—÷сну функц—÷ю за допомогою певних операц—÷й, назива—‘тьс€ кл—÷—‘нтом. Ќим може бути програма або користувач. Ќа рис. 1.6 приведений перел—÷к серв—÷с—÷в в арх—÷тектур—÷ кл—÷—‘нт - сервер.

 л—÷—‘нти - це робоч—÷ станц—÷—„, €к—÷ використовують ресурси сервера —÷ надають зручн—÷ —÷нтерфейси користувача. –∆нтерфейси користувача це процедури вза—‘мод—÷—„ користувача з системою або мережею.

 л—÷—‘нт —‘ —÷н—÷ц—÷атором —÷ використову—‘ електронну пошту або —÷нш—÷ серв—÷си сервера. ” цьому процес—÷ кл—÷—‘нт запрошу—‘ вид обслуговуванн€, встановлю—‘ сеанс, отриму—‘ потр—÷бн—÷ йому результати —÷ пов—÷домл€—‘ про зак—÷нченн€ роботи.

” мережах з вид—÷леним файловим сервером на вид—÷леному автономному ѕ  встановлю—‘тьс€ серверна мережева операц—÷йна система. ÷ей ѕ  ста—‘ сервером. ѕрограмне забезпеченн€ (ѕ«), встановлене на робоч—÷й станц—÷—„, дозвол€—‘ —„й обм—÷нюватис€ даними з сервером. Ќайб—÷льш поширен—÷ мережев—÷ операц—÷йна системи:

  • NetWare ф—÷рми Novel;
  • Windows NT ф—÷рми Microsoft;
  • UNIX ф—÷рми AT&T;
  • Linux.

 р—÷м мережево—„ операц—÷йно—„ системи необх—÷дн—÷ мережев—÷ прикладн—÷ програми, що реал—÷зовують переваги, що надаютьс€ мережею.

ћереж—÷ на баз—÷ сервер—÷в мають кращ—÷ характеристики —÷ п—÷двищену над—÷йн—÷сть. —ервер волод—÷—‘ головними ресурсами мереж—÷, до €ких зверта—‘тьс€ решта робочих станц—÷й [7].

” сучасн—÷й кл—÷—‘нт - серверн—÷й арх—÷тектур—÷ вид—÷л€—‘тьс€ чотири групи об'—‘кт—÷в: кл—÷—‘нти, сервери, дан—÷ —÷ мережев—÷ служби.  л—÷—‘нти розташовуютьс€ в системах на робочих м—÷i€х користувач—÷в. ƒан—÷ в основному збер—÷гаютьс€ в серверах. ћережев—÷ служби сп—÷льно використовуютьс€ серверами —÷ даними.  р—÷м того служби керують процедурами обробки даних.

ћереж—÷ кл—÷—‘нт - серверно—„ арх—÷тектури мають наступн—÷ переваги:

  • дозвол€ють орган—÷зовувати мереж—÷ з великою к—÷льк—÷стю робочих станц—÷й;
  • забезпечують централ—÷зоване управл—÷нн€ обл—÷ковими записами користувач—÷в, безпекою —÷ доступом, що спрощу—‘ мережеве адм—÷н—÷струванн€;
  • ефективний доступ до мережевих ресурс—÷в;
  • користувачев—÷ потр—÷бний один пароль дл€ входу в мережу —÷ дл€ отриманн€ доступу до вс—÷х ресурс—÷в, на €к—÷ розповсюджуютьс€ права користувача.

–азом з перевагами мереж—÷ кл—÷—‘нт - серверно—„ арх—÷тектури мають —÷ р€д недол—÷к—÷в:

  • несправн—÷сть сервера може зробити мережу непрацездатною, €к м—÷н—÷мум втрату мережевих ресурс—÷в;
  • вимагають квал—÷ф—÷кованого персоналу дл€ адм—÷н—÷струванн€;
  • мають вищу варт—÷сть.


1.3.4 ¬иб—÷р арх—÷тектури мереж—÷

¬иб—÷р арх—÷тектури мереж—÷ залежить в—÷д призначенн€ мереж—÷, к—÷лькост—÷ робочих станц—÷й —÷ в—÷д виконуваних нею д—÷й [1].

—л—÷д вибрати однорангову мережу, €кщо:

  • к—÷льк—÷сть користувач—÷в не перевищу—‘ дес€ти;
  • вс—÷ машини знаход€тьс€ близько одна в—÷д одно—„;
  • мають м—÷iе невелик—÷ ф—÷нансов—÷ можливост—÷;
  • нема—‘ необх—÷дност—÷ в спец—÷ал—÷зованому сервер—÷, такому €к сервер Ѕƒ, факс-сервер, або €кий-небудь —÷нший;
  • нема—‘ можливост—÷, або необх—÷дност—÷ в централ—÷зованому адм—÷н—÷струванн—÷.

—л—÷д вибрати кл—÷—‘нт-серверну мережу, €кщо:

  • к—÷льк—÷сть користувач—÷в перевищу—‘ дес€ти;
  • потр—÷бне централ—÷зоване управл—÷нн€, безпека, управл—÷нн€ ресурсами, або резервне коп—÷юванн€;
  • необх—÷дний спец—÷ал—÷зований сервер;
  • потр—÷бний доступ до глобально—„ мереж—÷;
  • потр—÷бно розд—÷л€ти ресурси на р—÷вн—÷ користувач—÷в.

–озд—÷л –∆–∆. ѕошук несправностей в мережах на баз—÷ OC Windows


2.1 ѕроблеми ре—‘страц—÷—„ робочо—„ станц—÷—„


ќдна з найб—÷льш поширених проблем зтјў—‘днанн€ в мереж—÷ виника—‘, коли робоча станц—÷€ не може заре—‘струватис€ в домен—÷. ÷е може бути через безл—÷ч причин:

  • конф—÷гурац—÷€ протоколу;
  • дозв—÷л —÷мен—÷;
  • дозв—÷л —÷мен—÷ NetBIOS;
  • повноваженн€.


2.1.1  оманда ,,pingтјЁ

якщо робоча станц—÷€ ма—‘ проблеми з ре—‘страц—÷—‘ю в домен—÷, перш за все необх—÷дно перев—÷рити зтјў—‘днанн€. ƒл€ цього використову—‘тьс€ утил—÷та ping-. як показано на роздрук—÷вц—÷ нижче, спочатку викону—‘тьс€ ping за —÷менем щоб перев—÷рити дозв—÷л на —÷мтјў€. ¬она верта—‘тьс€ назад з в—÷дпов—÷ддю. ѕот—÷м викону—‘тьс€ ping за визначеною –∆–-адресою, щоб перев—÷рити чи —‘ доступ до того ж м—÷i€ призначенн€. ¬ останню чергу посила—‘тьс€ великий пакет дл€ перев—÷рки того, що пакети великих розм—÷р—÷в можуть д—÷статис€ до м—÷i€ призначенн€. ”тил—÷та рing за замовчуванн€м посила—‘ дуже малий 32-б—÷тний пакет, €кий може д—÷статис€ до м—÷i€ призначенн€, в той час €к великий за обтјў—‘мом траф—÷к ре—‘страц—÷—„ може не пройти через маршрутизатор.



якщо велик—÷ пакети не доход€ть до м—÷i€ призначенн€, а мал—÷ пакети доход€ть до сервера ре—‘страц—÷—„, то можна п—÷дкоректувати ре—‘стр —÷ задати менший розм—÷р пакета €к тимчасовий зах—÷д, поки не буде в—÷домо чи зможуть п—÷дтримуватис€ велик—÷ пакети. ÷е робитьс€ в ре—‘стр—÷ наступним чином.

ƒодати значенн€ в наступний ключ :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcipip\Parameters_

–∆мтјў€ значенн€ : TcpSendSegmentSize

“ип буде Reg_Dword

«а замовчуванн€м використову—‘тьс€ 1460 байт

÷—÷ зм—÷ни можуть впливати на всю комун—÷кац—÷ю “—–/–∆– —÷ повинн—÷ робитис€ т—÷льки п—÷сл€ детального тестуванн€. ѕеред тим €к робити зм—÷ни в ре—‘стр—÷, необх—÷дно переконатис€, що —÷сну—‘ детально перев—÷рена —÷ актуальна резервна коп—÷€. Ќайпрост—÷ше, що можна зробити - це експортувати ключ—÷ [2].

ƒл€ анал—÷зу проблеми використа—‘мо програму Netmon, вибравши необх—÷дну робочу станц—÷ю —÷ сервер. Ќаступним кроком потр—÷бно повторити команди ping —÷ в додаток до команд ping необх—÷дно також виконати команди:

  • net view\\ —÷мтјў€_сервера
  • net user\\ —÷мтјў€_сервера\ipc$

якщо дв—÷ команди повертаютьс€ з пов—÷домленн€м про помилку, то ма—‘ м—÷iе проблема. Ќеобх—÷дно скористатись Netmon —÷ перев—÷рити чи можливо знайти джерело проблеми. –∆з отриманих даних видно, що команда ping працю—‘ фактично без будь-€ких проблем. ÷е показано на роздрук—÷вц—÷ нижче. ѕакет ICMP —‘ ехо-пакетом —÷ його розм—÷р 32 байти. ÷ей розм—÷р використову—‘тьс€ за замовчуванн€м в команд—÷ ping.


«а ехо-пакетом –∆—ћ– сл—÷ду—‘ пакет в—÷дпов—÷д—÷ –∆—ћ–, €кий пердставлений на роздрук—÷вц—÷ нижче. ÷ей пакет поверта—‘тьс€ —÷з м—÷i€ призначенн€ €к пакет ехо-в—÷дпов—÷дь. ¬—÷н також ма—‘ 32 байти. ÷е говорить про те, що —÷сну—‘ елементарна комун—÷кац—÷€ м—÷ж робочою станц—÷—‘ю —÷ сервером.



ѕ—÷сл€ цього командою net view\\ —÷мтјў€_сервера перев—÷р€—‘тьс€ мережу, що приводить до трьохходового п—÷дтвердженн€ прийому даних (квитуванн€) м—÷ж робочою станц—÷—‘ю —÷ сервером. “рьохходове квитуванн€ в—÷дбува—‘тьс€ м—÷ж робочою станц—÷—‘ю —÷ портом 139, службою сеансу NetBIOS на сервер—÷. ¬ даному випадку все працю—‘ нормально, тому необх—÷дно подивитис€ розд—÷л NBT наступного кадру, що показаний на роздрук—÷вц—÷ нижче.  адр —÷з робочо—„ станц—÷—„ на сервер вигл€да—‘ правильним. ¬идно, що тип пакету вказу—‘тьс€ €к запит сеансу (session request). ¬—÷н вм—÷щу—‘ —÷мтјў€ викликаного сервера —÷ —÷мтјў€ робочо—„ станц—÷—„ €ка виклика—‘. <00> —‘ ун—÷кальним суф—÷ксом NetBIOS, €кий вказу—‘ службу робочо—„ станц—÷—„. ћожна знайти ре—‘страц—÷ю <00> дл€ ц—÷—‘—„ машини в баз—÷ даних WINS. –е—‘страц—÷€ в баз—÷ даних WINS полегшу—‘ NetBIOS комун—÷кац—÷ю м—÷ж машинами.

“ак €к запит сеансу NTB пройшов усп—÷шно, тод—÷ необх—÷дно подивитись на в—÷дпов—÷дь, €ка приходить з сервера. ¬она м—÷ститьс€ на роздрук—÷вц—÷ нижче —÷ да—‘ де€ку корисну —÷нформац—÷ю.


ќтримана в—÷дпов—÷дь з в—÷дмовою сеансу (Negative Session Response), —÷ код помилки служби сеансу говорить про те, що —÷мтјў€, €ке виклика—‘тьс€, в—÷дсутн—‘. «авд€ки цьому ста—‘ зрозум—÷ло, що проблема не в робоч—÷й станц—÷—„, а в сервер—÷. –∆нш—÷ робоч—÷ станц—÷—„ будуть стикатис€ з такою ж проблемою. “епер необх—÷дно перев—÷рити, що в—÷дбува—‘тьс€ на сервер—÷. јле спочатку необх—÷дно гл€нути, чи можна отримати €ку-небудь додаткову —÷нформац—÷ю —÷з щойно зробленого трасуванн€ Netmon.



Ќа роздрук—÷вц—÷ нижче наведено дек—÷лька запит—÷в контролера первинного домену, але нема—‘ в—÷дпов—÷д—÷. ÷е в—÷дбува—‘тьс€ €к SMB C transact в \mailslot\net\netlogon. ћожливо —÷сну—‘ також проблема —÷з службою netlogon.



якщо перегл€нути под—÷—„ на робоч—÷й станц—÷—„, можна побачити наступне пов—÷домленн€: "Ѕроузер не зм—÷г отримати список сервер—÷в з мастер-броузера \PROX у мереж—÷ \Device\NetBT_E100Bl. ƒан—÷ —‘ кодом помилки". ÷е пов—÷домленн€ просто п—÷дтверджу—‘, що на сервер—÷ —‘ проблема.

Ќа сервер—÷ необх—÷дно перев—÷рити наступне:

  • „и служба сервера викону—‘тьс€ на комп'ютер—÷ м—÷i€ призначенн€. ѕерев—÷рити аплет служб в панел—÷ керуванн€ (рис.2.1). якщо служба сервера не викону—‘тьс€, машина все одно в—÷дпов—÷датиме на ping, але сеанс створити неможливо. якщо служба сервера зупинена, то необх—÷дно запустити —„—„. ÷е по€снить пов—÷домленн€ помилок броузера в журнал—÷ под—÷й, оск—÷льки служба броузера комп'ютера залежить в—÷д служби сервера.  р—÷м того, служба netlogon також залежить в—÷д служби сервера. ѕитанн€, звичайно, в тому, чому служба сервера зупинена? ƒе€ку —÷нформац—÷ю Netmon просто не може пов—÷домити. ћожливо, настав час зм—÷нити пароль адм—÷н—÷стратора.


–ис. 2.1. ѕерев—÷рка стану служб.


  • „и в—÷дпов—÷да—‘ сервер м—÷i€ призначенн€. ¬—÷н може бути заблокований. —ервер може в—÷дпов—÷дати на ехо-пакет ICMP, нав—÷ть €кщо сеанс неможливо створити. якщо комп'ютер заблокований —÷ неможливо в—÷дновити керуванн€ менеджером завдань або будь-€ким —÷ншим способом, сл—÷д пов—÷домити вс—÷х користувач—÷в про необх—÷дн—÷сть зберегти сво—„ дан—÷ —÷ по можливост—÷ вийти з системи. ћожна спробувати виконати закритт€ системи, хоча залежно в—÷д того, що в—÷дбулос€, можливо, доведетьс€ зробити повне завантаженн€. якщо в—÷дновленн€ не в—÷дбулос€, то доведетьс€ перев—÷р€ти процедури резервного коп—÷юванн€.
  • ѕерев—÷рити аплет л—÷ценз—÷—„ в панел—÷ керуванн€ —÷ в журнал—÷ под—÷й, щоб переконатис€, що обмеженн€ л—÷ценз—÷—„ не порушен—÷.
  • „и використову—‘тьс€ DNS або файл хоста. ћетоди дозволу —÷мен—÷ хоста використовуютьс€ першими в ping дл€ дозволу —÷мен—÷.  оманди net використовують методи дозволу —÷мен—÷ NETBIOS (lmhosts, WINS). ”тил—÷та рing може працювати, тод—÷ €к net view може простоювати.


2.2 ѕошук несправностей в мереж—÷ з вид—÷леним DHCP сервером


’оча DHCP полегшу—‘ житт€ адм—÷н—÷стратора, —÷нод—÷ кл—÷—‘нтська машина стика—‘тьс€ з проблемами при отриманн—÷ адреси. ” таких ситуац—÷€х —÷нформац—÷€ часто бува—‘ м—÷зерною.  р—÷м того факту, що робоча станц—÷€ не отримала адреси, б—÷льше н—÷чого нев—÷домо. “ут починають в—÷д—÷гравати роль знанн€ процес—÷в DHCP —÷ Netmon.


2.2.1 ƒ—÷алог з DHCP сервером

ѕерш за все, необх—÷дно перев—÷рити, що машина була зконф—÷гурована дл€ запиту адреси. якщо у в—÷кн—÷ "астивостей T—–/–∆– в—÷дм—÷чена "астив—÷сть "отримувати IP-адресу з сервера DHCP", то це повинно працювати. якщо н—÷, необх—÷дно переривати Netmon —÷ прогл€нути д—÷алог. ” —÷деал—÷ повинн—÷ бути присутн—÷ми чотири кадри, перел—÷чен—÷ нижче.

  1. ѕошук DHCP
  2. ѕропозиц—÷€ DHCP
  3. «апит DHCP
  4. DHCP ј— 

якщо один з чотирьох кадр—÷в не присутн—÷й, то DHCP не працюватиме, а кл—÷—‘нт не зможе отримати адресу. якщо нема—‘ жодного, то кл—÷—‘нт неправильно сконф—÷гурований дл€ запиту адреси DHCP. ¬ир—÷шенн€ проблем DHCP —‘ процесом перегл€данн€ д—÷алогу —÷ —÷дентиф—÷кац—÷€ того, що з д—÷алогу, представленого вище, пропущено[2].

2.2.2 јнал—÷з д—÷алогу комптјўютер—÷в у мереж—÷

ѕерший крок пол€га—‘ в перегл€д—÷ трасуванн€ —÷ пошуку пропущеного кадру.  адр запиту DHCP посила—‘тьс€ за допомогою багатоадресово—„ розсилки UDP IP з порту 68 (кл—÷—‘нтський порт ¬ќќ“–), в порт 67( серверний порт ¬ќќ“–). Magic cookie будуть правильними. ÷е чотирьохбайтна область в пакет—÷ DHCP, €ка —÷дентиф—÷ку—‘ початок пол€, означеного постачальником дл€ спец—÷альних параметр—÷в. якщо використову—‘тьс€ дане поле параметр—÷в, це наголошу—‘тьс€ IP-адресою 99.130.83.99, €ка показана в трасуванн—÷ Netmon €к ш—÷стнадц€ткова 63 82 53 63. ѕараметри можуть перел—÷чувати —÷дентиф—÷катор кл—÷—‘нта, запитану адресу, а також —÷нш—÷ позиц—÷—„. ” нашому пол—÷ параметр—÷в —÷дентиф—÷катор кл—÷—‘нта р—÷вний адрес—÷ MAC комп'ютера, що робить запит - в даному випадку KENNY. “акож видно, що машина KENNY запрошу—‘ ту ж адресу, €кою вона волод—÷ла ран—÷ше. якщо ц€ адреса доступна, то —„—„ можна буде використовувати знову.

” трасуванн—÷ нижче запитана адреса недоступна, оск—÷льки вона отриму—‘ NACK, що —‘ негативним п—÷дтвердженн€м. якщо розгл€нути частину IP в кадр—÷, то можна побачити машину, €ка посила—‘ цей NACK на робочу станц—÷ю. ÷е видно в т—÷й частин—÷ пакету, що приходить з порту 67 (порту сервера ¬ќќ“–), в порт 68 (порт кл—÷—‘нта ¬ќќ“–).  оли робоча станц—÷€ отриму—‘ NACK, вона не —÷н—÷ц—÷ал—÷зу—‘ T—–/–∆–, поки не отрима—‘ адресу. якщо T—–/–∆– —‘ —‘диним протоколом, машина не зможе сп—÷лкуватис€ в мереж—÷, поки не буде ви€влений сервер DHCP.

ќск—÷льки кл—÷—‘нтська машина посила—‘ запити DHCP —÷ отриму—‘ NACK (в—÷дмову) з сервера DHCP, то можна сказати, що вони сп—÷лкуютьс€. ‘акт, що машина посила—‘ запити, —‘ позитивним, оск—÷льки вона робить все, що повинна робити кл—÷—‘нтська машина. ƒл€ перев—÷рки можна використовувати команду ipconfig /renew з в—÷кна CMD, що змусить кл—÷—‘нтську машину створити траф—÷к DHCP. ÷е один —÷з способ—÷в виконати передачу, не перезавантажуючи машину. ” трасуванн—÷ Netmon повинн—÷ бути два кадри DHCP: запит DHCP —÷ DHCP ј—  (п—÷дтвердженн€).

” даному випадку трасуванн€м DHCP можна знайти т—÷льки запити —÷ один NACK —÷ жодного —÷ншого траф—÷ку. Ќаступний крок пол€га—‘ в переход—÷ до сервера —÷ вивченн€ "астивостей DHCP, де можна ви€вити, що сервер не ма—‘ в—÷льних адрес, або що область д—÷—„ була деактивована. ÷е, дв—÷ найб—÷льш поширен—÷ причини[2].


2.3 ¬изначенн€ швидкод—÷—„ мереж—÷


Ќема—‘ н—÷чого незвичайного, коли користувач—÷ скаржатьс€ на те, що мережа працю—‘ повол—÷. ÷—÷ скарги мережев—÷ адм—÷н—÷стратори чують достатньо часто. ѕроте користувач—÷ р—÷дко висловлюють —÷нш—÷ думки, кр—÷м загального спостереженн€, що мережа пов—÷льна. –ан—÷ше адм—÷н—÷стратор приходив до користувача, спостер—÷гав за його д—÷€ми —÷ погоджувавс€ або не погоджувавс€ з точн—÷стю спостережень. ÷е не кращий спос—÷б дл€ нового тис€чол—÷тт€. ” нас —‘ Netmon €к зас—÷б пор€тунку. –озгл€немо приклад нижче, щоб зрозум—÷ти, €к Netmon працю—‘ в ц—÷й ситуац—÷—„[1].


2.3.1 «асоби —÷ способи визначенн€ швидкод—÷—„ мереж—÷

ѕростим способом визначити швидкод—÷ю мереж—÷ —‘ використанн€ експерта середнього часу в—÷дпов—÷д—÷ сервера, на€вного в Netmon 2.0. ѕерш н—÷ж використати експерта, необх—÷дно перехопити де€кий об'—‘м траф—÷ку м—÷ж сервером —÷ кл—÷—‘нтською машиною, дл€ цього необх—÷дно сконф—÷горувати ф—÷льтр перехопленн€, €кий —÷золю—‘ траф—÷к м—÷ж робочою станц—÷—‘ю —÷ даним сервером. ÷е повинно бути зроблено п—÷сл€ перев—÷рки робочо—„ станц—÷—„ на те, ск—÷льки в н—÷й в—÷дкрито додатк—÷в, ск—÷льки —‘ в—÷льного простору на диску дл€ в—÷ртуально—„ пам'€т—÷, —÷ т.д.  оли будуть виключен—÷ вс—÷ можлив—÷ проблеми робочо—„ станц—÷—„, можна починати перехопленн€ даних[1].

2.3.2 ¬и€вленн€ джерела впливу на швидкод—÷ю мереж—÷

ƒл€ анал—÷зу швидкод—÷—„ необх—÷дно завантажити перехоплений файл в Netmon 2.0 —÷ сконф—÷горувати експерт часу в—÷дпов—÷д—÷ (рис.2.2).  онф—÷гурац—÷€ експерта —‘ дуже важливою дл€ отриманн€ точних результат—÷в. якщо, наприклад, користувач скаржитьс€, що пов—÷льно працю—‘ пошта –ќ–«, то необх—÷дно додати до експерта порт 110.

«м—÷нюючи конф—÷гурац—÷йн—÷ файли, експерт може пов—÷домити про б—÷льш—÷сть додатк—÷в, що виконуютьс€ в мереж—÷. якщо видалити вс—÷ порти, окр—÷м порту дано—„ програми, будуть отриман—÷ р—÷зн—÷ показники продуктивност—÷. ¬икористанн€ Netmon 2.0 в ц—÷й област—÷ майже не обмежене.


–ис. 2.2. ≈ксперт середнього часу в—÷дпов—÷д—÷ сервера.


≈ксперт створю—‘ зв—÷т, перел—÷чуючи IP-адреси —÷ середн—÷й час в—÷дпов—÷д—÷ в секундах, €к показано на рис.2.3. якщо результати в—÷дпов—÷дають базовим показникам, можливо, доведетьс€ знову анал—÷зувати робочу станц—÷ю —÷ роботу певного користувача. якщо вони д—÷йсно пов—÷льн—÷, то трасуванн€ вимагатиме додаткового анал—÷зу. «в—÷т розпод—÷лу протокол—÷в, зв—÷т верхн—÷х користувач—÷в —÷ експерт пересилки TCP можуть надати ц—÷нну допомогу при пошуку причини пов—÷льно—„ роботи мереж—÷.  р—÷м перегл€ду на екран—÷ зв—÷ти можна зберегти €к текстов—÷ файли —÷ роздрукувати або перетворити на файли —÷нших формат—÷в, наприклад файли Microsoft Word[7].

2.4 ѕричини помилок у журнал—÷ под—÷й


–∆нод—÷ у журнал—÷ виникають помилки под—÷й. ќдн—÷—‘ю з них —‘ под—÷€ ID 2000, €ка говорить Status_no_such_file. ÷€ под—÷€ в—÷дбува—‘тьс€, коли мережевий додаток посила—‘ команду видаленн€ файла на загальний диск, а файл вже був видалений. “обто, в другому р€дку розд—÷лу даних пов—÷домленн€ про помилку буде c000000f, €ке в—÷дпов—÷да—‘ Status_no_such_file.


2.4.1 ћетод пошуку серверних проблем

÷€ проблема пов'€зана з SMB. —початку потр—÷бно розгл€нути файл перехопленн€. ƒл€ спрощенн€ створю—‘тьс€ ф—÷льтр виводу, €кий показу—‘ т—÷льки команди SMB дл€ видаленн€ файлу. Ќа рис.2.4 показано, €к створю—‘тьс€ цей ф—÷льтр виводу. «наход€чись в режим—÷ виводу, вибира—‘тьс€ ф—÷льтр з меню виводу (display), п—÷сл€ подв—÷йного клацанн€ по р€дку протоколу з'€вл€—‘тьс€ д—÷алогове в—÷кно вибору, де в—÷дключаютьс€ вс—÷ протоколи. Ќаступним кроком потр—÷бно вибрати SMB —÷з списку протокол—÷в в прав—÷й панел—÷ д—÷алогового в—÷кна, а пот—÷м клацнути по кнопц—÷ включити (enable). ƒал—÷ перейти в розд—÷л "S" списку протокол—÷в. ÷е можна зробити актив—÷зувавши на панел—÷ меню "name" —÷ введенн€ "S". ¬ насл—÷док цього в—÷дбудетьс€ перем—÷щенн€ в розд—÷л "S", дозвол€ючи швидко знайти протокол SMB.  оли протокол SMB буде включений, потр—÷бно знайти команду SMB delete. ўоб це зробити, потр—÷бно вибрати закладку "property" —÷ в н—÷й знайти протокол SMB.  лацнувши на знаку "плюс" пор€д з SMB, з'€витьс€ список "астивостей протоколу, серед €ких потр—÷бно вибрати "command" —÷з д—÷алогово в—÷кна.  оли "command" буде вибрано, по€витьс€ список значень. ” списку значень потр—÷бно вибрати "delete file" —÷ пот—÷м натиснути "ok". ÷ей ф—÷льтр виводу показу—‘ команди "SMB delete" будь-€кого комптјўютера[6].

ѕри перегл€д—÷ кадр—÷в "SMB delete" потр—÷бно знайти пов—÷домленн€ про помилку. –озгл€немо вза—‘мод—÷ю.  л—÷—‘нтська машина посила—‘ на сервер команду "C delete file". ѕараметри включають розм—÷щенн€ файлу.

¬—÷дпов—÷дь з сервера поверта—‘тьс€ в наступному кадр—÷ €кий представлений в роздрук—÷вц—÷ нижче. ¬ ньому команда "R delete file" з пов—÷домленн€м про в—÷дсутн—÷сть помилок. ‘ай усп—÷шно видалений з сервера.

¬ першому файл—÷ перехоплених даних проблема не локал—÷зована. ƒл€ того щоб знайти помилку необх—÷дно, створити ф—÷льтр перехопленн€, що перехоплюватиме т—÷льки один тип пакет—÷в. ўоб отримати необх—÷дну —÷нформац—÷ю, €ка показана на рис. 2.5, необх—÷дно знайти шаблон, €кий вказу—‘ команду "SMB delete". як можна побачити з рис.2.6, виб—÷р в панел—÷ виводу командного р€дка SMB виводить число 06 в ш—÷стнадц€тков—÷й панел—÷ в р€дку зсуву 03. ” р€дку статусу Netmon в нижньому правому кутку, точний зсув р—÷вний «е в ш—÷стнадц€тковому вигл€д—÷. “епер —‘ зсув —÷ шаблон дл€ ф—÷льтру перехопленн€ команди "delete SMB".


2.4.2 ‘—÷льтр перехопленн€, та його використанн€

¬иконанн€ програми Netmon можна спланувати за допомогою команди AT €ка вводитьс€ у консол—÷ cmd. ќск—÷льки використову—‘тьс€ спец—÷ал—÷зований ф—÷льтр перехопленн€ за допомогою €кого можна визначити достатньо великий буфер перехопленн€, то йому необх—÷дно задати виконанн€ прот€гом достатньо довгого пер—÷оду часу.

¬икористанн€ ф—÷льтру перехопленн€

Netmon /autostart /buffersize 1024000 /capturefilter с:/smbdelete.cf /autostop

ѕриведений вище текст команди необх—÷дно ввести у текстовий редактор —÷ зберегти €к файл .bat. ƒл€ автоматизац—÷—„ процесу необх—÷дно використати службу "ѕланувальник завдань".

Ќа рис.2.7 зображено використанн€ служби "ѕланувальник завдань" дл€ автоматизац—÷—„ сеансу Netmon. Ќеобх—÷дно запустити службу планувальника, використовуючи аплет служби в панел—÷ управл—÷нн€, у в—÷кн—÷ CMD ввести необх—÷дну команду AT. ¬ даному випадку планувальник виконуватиме файл .bat з понед—÷лка до п'€тниц—÷ в 5:00 п—÷сл€ об—÷ду. ѕриведений вище файл .bat виконуватиметьс€, поки буфер не заповнитьс€, —÷ пот—÷м зупинитьс€.

¬иконуючи автоматичний сеанс Netmon п—÷д час про€ву серверно—„ проблеми, —‘ можлив—÷сть знайти неправильно працюючу програму, €ка намага—‘тьс€ повторно видалити вже видалений файл.

–етельно створений ф—÷льтр перехопленн€ полегшу—‘ знаходженн€ проблемно—„ програми. ѕри ви€влен—÷ пов—÷домленн€ про помилку, ф—÷льтр покаже, €ка програма виконувалас€ в даний час.  р—÷м того, можна включити перегл€д часу при в—÷дкритт—÷ файлу перехопленн€ —÷ точно побачити, €кий кадр в—÷дпов—÷да—‘ певному пов—÷домленню про помилку в перегл€дач—÷ под—÷й [6].


2.5 ѕроблеми що виникають при широкомовленн—÷


Ўирокомовленн€ завжди —‘ хорошим об'—‘ктом дл€ мон—÷торингу, оск—÷льки примушу—‘ вс—÷ машини в п—÷дмереж—÷ прогл€дати кадр. ÷е створю—‘ зайву роботу дл€ багатьох машин.  р—÷м того, коли виника—‘ надм—÷рна к—÷льк—÷сть широкомовних запит—÷в, це створю—‘ руйн—÷вний вплив на мережу.

ѕри розгл€д—÷ траф—÷ку широкомовленн€ перший крок пол€га—‘ в створенн—÷ ф—÷льтру виводу широкомовленн€, що вибира—‘ вс—÷ широкомовн—÷ пов—÷домленн€ у в—÷кн—÷ ф—÷льтру виводу, п—÷сл€ цього перев—÷рка широкомовних пов—÷домлень достатньо пр€мол—÷н—÷йна. якщо виника—‘ широкомовний запит, €к на рис.2.8, його легко ви€вити. Ќайб—÷льш активному користувачев—÷ зв—÷т може дати у€вленн€ про те, €к в—÷н вплива—‘ на мережу. « рис.2.8 видно що один користувач використову—‘ велику частину траф—÷ку у мереж—÷.

Ќаступний пакет ARP показу—‘ IP-адресу —÷ MAC адресу машини, €ка виклика—‘ надм—÷рне широкомовленн€ .

ƒл€ отриманн€ —÷мен—÷ користувача можна виконати наступн—÷ команди:

  • використати ping -a 10.0.0.163 дл€ отриманн€ —÷мен—÷ хосту;
  • використати arp -a дл€ виведенн€ кешу ARP;
  • використати nbtstart -a 10.0.0.163 дл€ отриманн€ таблиц—÷ —÷мен NetBIOS в—÷ддалено—„ машини.

ƒл€ усуненн€ надм—÷рного широкомовленн€ необх—÷дно досл—÷дити машину —÷ перев—÷рити, €ке програмне забезпеченн€ встановлено, €к—÷ протоколи завантажено, а також вид використовуваного мережевого адаптера. “акож, необх—÷дно подивитис€, чи —÷снують оновленн€ дл€ будь-€кого з цих об'—‘кт—÷в, драйвер—÷в, перев—÷рити оновленн€ вбудованих програм самого комп'ютера.

¬изначивши, коли виникла проблема, можна д—÷знатись про те, €ке програмне забезпеченн€ було додане, видалене або оновлене, тобто що викликало проблему [2].

–озд—÷л –∆–∆–∆. ћетоди захисту в—÷д несанкц—÷онованого доступу в мереж—÷ TCP/IP


3.1 Ѕезпека комптјўютер—÷в на баз—÷ Windows 2000/XP


3.1.1 —кануванн€ мереж—÷ TCP/IP

ћетою скануванн€ —‘ визначенн€ IP-адрес хост—÷в мереж—÷, що атакуютьс€, —÷ дл€ виконанн€ скануванн€ можна скористатис€ утил—÷тою ping. Ќа рис.3.1 представлений результат скануванн€ утил—÷тою ping хосту Sword-2000.

–∆з результату видно, що комптјўютер за вказаною адресою п—÷дключений до мереж—÷ —÷ зтјў—‘днанн€ працю—‘ нормально. ÷е найпрост—÷ший спос—÷б скануванн€ мереж—÷, од¬ннак, в—÷н не завжди при¬нводить до потр—÷бного резуль¬нтату, оск—÷льки багато вузл—÷в блокують зворотню в—÷дправку пакет—÷в ICMP за допомогою спец—÷альних засоб—÷в захисту.

якщо обм—÷н даними за протоколом ICMP заблокований, хакерами можуть бути використан—÷ —÷нш—÷ утил—÷ти, наприклад, hping. ÷€ утил—÷та здатна фрагментувати (тобто д—÷лити на фрагменти) пакети ICMP, що дозвол€—‘ обходити прост—÷ пристро—„ блокуванн€ доступу, €к—÷ не робл€ть зворотну зб—÷рку фрагментованих пакет—÷в [9].

–∆нший спос—÷б обходу блокуванн€ доступу - скануванн€ за допомогою утил—÷т, що дозвол€ють визначити в—÷дкрит—÷ порти комп'ютера. ѕрикладом тако—„ утил—÷ти —‘ SuperScan, €ка нада—‘ користувачам зручний граф—÷чний —÷нтерфейс (див рис.3.2).

Ќа рис. 3.2 приведений результат скануванн€ мереж—÷ в д—÷апазон—÷ IP-адрес 1.0.0.1-1.0.0.7. ƒеревовидний список в нижн—÷й частин—÷ в—÷кна в—÷добража—‘ список вс—÷х в—÷дкритих порт—÷в комп'ютера Sword-2000 серед €ких TCP-порт 139 сеанс—÷в NETBIOS. «апам'€тавши це, перейдемо до детальн—÷шого досл—÷дженн€ мереж—÷ - до —„—„ —÷нвентаризац—÷—„ .

3.1.2 –∆нвентаризац—÷€ мереж—÷

–∆нвентаризац—÷€ мереж—÷ пол€га—‘ у визначенн—÷ загальних мережевих ресурс—÷в, обл—÷кових запис—÷в користувач—÷в —÷ груп, а також у ви€вленн—÷ програм, що виконуютьс€ на мережевих хостах. ѕри цьому хакери дуже часто використовують наступний недол—÷к комп'ютер—÷в Windows NT/2000/XP - можлив—÷сть створенн€ нульового сеансу NETBIOS з портом 139.


3.1.3 Ќульовий сеанс

Ќульовий сеанс використову—‘тьс€ дл€ передач—÷ де€ких в—÷домостей про комп'ютери Windows NT/2000, необх—÷дн—÷ дл€ функц—÷онуванн€ мереж—÷. —творенн€ нульового сеансу не вимага—‘ виконанн€ процедури аутентиф—÷кац—÷—„ з'—‘днанн€. ƒл€ створенн€ нульового сеансу зв'€зку необх—÷дно з командного р€дка Windows NT/2000/XP виконати наступну команду:

net use\\l.0.0.l\IPC$"" /user:""

ƒе1.0.0.1 - це IP-адреса комп'ютера Sword-2000 ,що атаку—‘тьс€, IPC$ - це (абрев—÷атура загального ресурсу мереж—÷ Inter-Process Communication) м—÷жпроцесна вза—‘мод—÷€, перша пара лапок означа—‘ використанн€ порожнього парол€, а друга пара в запис—÷ user:"" вказу—‘ на порожн—‘ —÷м'€ в—÷ддаленого кл—÷—‘нта. јнон—÷мний користувач, що п—÷дключивс€ нульовим сеансом за замовчуванн€м отриму—‘ можлив—÷сть завантажити диспетчер користувач—÷в, €кий використову—‘тьс€ дл€ прогл€данн€ користувач—÷в —÷ груп, виконувати програму прогл€данн€ журналу под—÷й. …ому також доступн—÷ —÷ —÷нш—÷ програми в—÷ддаленого адм—÷н—÷струванн€ системою, що використовують протокол SMB (Server Message Block - блок пов—÷домлень сервера). Ѕ—÷льше того, користувач, що п—÷д'—‘днавс€ нульовим сеансом, ма—‘ права на перегл€д —÷ модиф—÷кац—÷ю окремих розд—÷л—÷в системного ре—‘стру.

ўе один метод —÷нвентаризац—÷—„ пол€га—‘ у використанн—÷ утил—÷т net view —÷ nbtstat з пакету W2RK. ”тил—÷та net view дозвол€—‘ в—÷добразити список домен—÷в мереж—÷.

C:\>net view /domain

ƒомен

SWORD

 оманда виконана вдало.

¬ результат—÷ в—÷добразилас€ назва робочо—„ групи SWORD. якщо вказати знайдене —÷мтјў€ домену, утил—÷та в—÷добразить п—÷дключен—÷ до нього комптјўютери.

C:\>net view /domain : SWORD

\\ALEX-3

\\SWORD-2000

“епер необх—÷дно визначити заре—‘строваного на даний момент користувача серверного комптјўютера Sword-2000 —÷ завантажен—÷ на комптјўютер—÷ служби. « ц—÷—‘ю метою використа—‘мо утил—÷ту nbtstat. –езультат —„—„ використанн€ представлений на рис. 3.3. Ќа цьому рисунку в—÷дображена таблиц€, в €к—÷й перший стовбець вказу—‘ —÷мтјў€ NetBIOS, в сл—÷д за —÷мтјў€м в—÷дображений код служби NetBIOS.  од <00> п—÷сл€ —÷мен—÷ комптјўютера означа—‘ службу робочо—„ станц—÷—„, а код <00> п—÷сл€ —÷мен—÷ домену - —÷мтјў€ домену.  од <03> означа—‘ службу розсилки пов—÷домлень, €к—÷ передаютьс€ користувачу, що заходить в систему, —÷мтјў€ €кого сто—„ть перед кодом <03> в даному випадку Administrator.

Ќа комптјўютер—÷ також працю—‘ служба браузера MSBROWSE, на що вказу—‘ код п—÷сл€ —÷мен—÷ робочо—„ групи SWORD. ќтже ми вже ма—‘мо —÷мтјў€ користувача, заре—‘строваного в даний момент на комптјўютер—÷ Administrator, за допомогою процедури net view, вказавши —„й —÷мтјў€ в—÷ддаленого комптјўютера. ¬изначаили також мережев—÷ ресурси комтјўютера Sword-2000, €к—÷ використову—‘ Administrator. –езультати пердставлен—÷ на рис. 3.4.

ќтже, обл—÷ковий запис користувача Administrator в—÷дкрива—‘ загальний мережний доступ до де€ких папок файлово—„ системи комптјўютера Sword-2000 —÷ приводу CD-ROM. “аким чином про комптјўютер в—÷домо достатньо багато - в—÷н дозвол€—‘ нульов—÷ сеанси NetBIOS, на ньому працю—‘ користувач Administrator, в—÷дкрит—÷ порти 7, 9, 13, 17, 139, 443, 1025, 1027 комптјўютера, —÷ в число загальних мережних ресурс—÷в вход€ть окрем—÷ папки локального диску C: . “епер необх—÷дно д—÷знатись пароль доступу користувача Administrator, п—÷сл€ чого в розпор€дженн—÷ буде вс€ —÷нформац—÷€ про жорсткий диск —: комптјўютера.

якщо протокол NetBIOS через TCP/IP буде в—÷дключений (комптјўютери Windows 2000/XP надають таку можлив—÷сть), можна використати протокол SNMP ( Simple Network Management Protocol - простий протокол мережевого управл—÷нн€), €кий забезпечу—‘ мон—÷торинг мереж Windows NT/2000/XP [8].


3.1.4 –еал—÷зац—÷€ ц—÷л—÷

¬иконанн€ атаки на системи Windows NT/2000/XP склада—‘тьс€ з наступних етап—÷в.

  • ѕроникненн€ в систему, що пол€га—‘ в отриманн—÷ доступу.
  • –озширенн€ прав доступу, що пол€га—‘ в злом—÷ парол—÷в обл—÷кових запис—÷в з великими правами, наприклад, адм—÷н—÷стратора системи.
  • ¬иконанн€ мети атаки: отриманн€ даних, руйнуванн€ —÷нформац—÷—„ —÷ так дал—÷.

ѕроникненн€ в систему почина—‘тьс€ з використанн€ обл—÷кового запису, ви€вленого на попередньому етап—÷ —÷нвентаризац—÷—„. ƒл€ визначенн€ потр—÷бного обл—÷кового запису хакер м—÷г скористатис€ командою nbtstat або браузером MIB, або €кими-небудь хакерськими утил—÷тами, удосталь представленими в –∆нтернет—÷. ¬и€вивши обл—÷ковий запис, хакер може спробувати п—÷д'—‘дна—‘тьс€ до комп'ютера, використовуючи його дл€ вх—÷дно—„ аутентиф—÷кац—÷—„. ¬—÷н може зробити це з командного р€дка, вв—÷вши таку команду.

D:\>net use\\1.0.0.1\IPC$ * / u: Administrator

—имвол "*ї у р€дку команди указу—‘, що дл€ п—÷дключенн€ до в—÷ддаленого ресурсу IPC$ потр—÷бно ввести пароль дл€ обл—÷кового запису Administrator. ” в—÷дпов—÷дь на введенн€ команди в—÷добразитьс€ пов—÷домленн€:

Type password for\\1.0.0.1\IPC$:

¬веденн€ коректного парол€ приводить до встановленн€ авторизованого п—÷дключенн€. “аким чином, ми отриму—‘мо —÷нструмент дл€ п—÷дбору парол—÷в входу в комп'ютер. √енеруючи випадков—÷ комб—÷нац—÷—„ символ—÷в або перебираючи вм—÷ст словник—÷в, можна, врешт—÷-решт, натрапити на потр—÷бне по—‘днанн€ символ—÷в парол€. ƒл€ спрощенн€ п—÷дбору —÷снують утил—÷ти, €к—÷ автоматично робл€ть вс—÷ ц—÷ операц—÷—„, наприклад SMBGrind, €ка входить в комерц—÷йний пакет CyberCop Scanner компан—÷—„ Network Associates. ўе одним методом —‘ створенн€ пакетного файлу з цикл—÷чним перебором парол—÷в.

ѕроте в—÷ддалений п—÷дб—÷р парол—÷в - далеко не наймогутн—÷ше знар€дд€ злому. ¬с—÷ сучасн—÷ сервери, €к правило, забезпечен—÷ захистом в—÷д багатократних спроб входу —÷з зм—÷ною парол€, —÷нтерпретуючи —„х €к атаку на сервер. ƒл€ злому системи захисту Windows NT/2000/XP част—÷ше використову—‘тьс€ могутн—÷ший зас—÷б, що пол€га—‘ у отриманн—÷ парол—÷в бази даних SAM (Security Account Manager -диспетчер обл—÷кових даних системи захисту). Ѕаза даних SAM м—÷стить шифрован—÷ коди парол—÷в обл—÷кових запис—÷в, вони можуть вит€гуватис€, зокрема в—÷ддалено, за допомогою спец—÷альних утил—÷т. ƒал—÷ ц—÷ парол—÷ дешифруютьс€ за допомогою утил—÷ти дешифруванн€, що використову—‘ €кий-небудь метод злому, наприклад, "грубою силоюї, або словниковою атакою, шл€хом перебору сл—÷в —÷з словника.

Ќайб—÷льш в—÷домою утил—÷тою дешифруванн€ —‘ програма LC4 (скороченн€ в—÷д назви LOphtcrack),        €ка д—÷—‘ у пар—÷ з такими утил—÷тами, €к:

  • Samdump - отриманн€ шифрованих парол—÷в з бази даних SAM.
  • Pwdump - отриманн€ шифрованих парол—÷в з системного ре—‘стру комп'ютера, включаючи в—÷ддален—÷ системи. ÷€ утил—÷та не п—÷дтриму—‘ посилене шифруванн€ Syskey бази SAM.
  • Pwdump2 - отриманн€ шифрованих парол—÷в з системного ре—‘стру, в €кому застосовано шифруванн€ Syskey. ÷€ утил—÷та п—÷дтриму—‘ роботу т—÷льки з локальними системами.
  • Pwdump3 - те ж, що —÷ Pwdump2, але з п—÷дтримкою в—÷ддалених систем.

ƒл€ отриманн€ шифрованих парол—÷в з комп'ютера Sword-2000 застосу—‘мо утил—÷ту Pwdump3:

C:\>pwdump3 sword-2000 > password. psw

¬м—÷ст отриманого файлу представлений у в—÷кн—÷ додатку Ѕлокнот (Notepad) (рис. 3.5).

як видно, у файл—÷ password.psw м—÷ститьс€ обл—÷ковий запис Administrator €кий був знайдений на етап—÷ —÷нвентаризац—÷—„. ўоб розшифрувати парол—÷, сл—÷д застосувати програму LC4 —÷ хоча пробна верс—÷€ ц—÷—‘—„ програми п—÷дтриму—‘ т—÷льки дешифруванн€ парол—÷в методом словесно—„ атаки, все ж да—‘ можлив—÷сть взлому парол—÷в комптјўютера Sword-2000 рис. 3.6.

“аким чином, маючи можлив—÷сть створенн€ нульових сеанс—÷в п—÷дключенн€ NETBIOS до комп'ютера, в принцип—÷, можна отримати парол—÷ обл—÷кових запис—÷в комп'ютера, включаючи адм—÷н—÷стратора системи.

ƒл€ розширенн€ прав доступу в систем—÷ використовуютьс€ спец—÷альн—÷ програми, що дозвол€ють виконувати в—÷ддалене керуванн€ системою, зокрема ре—‘страц—÷ю д—÷й користувача. ƒл€ цього на комп'ютер можуть бути впроваджен—÷ так зван—÷ клав—÷атурн—÷ шпигуни - програми, що ре—‘струють натисненн€ клав—÷ш. ¬с—÷ отриман—÷ дан—÷ записуютьс€ в окремий файл, €кий може бути в—÷д—÷сланий на —÷нший комп'ютер в мереж—÷.

–∆нший вар—÷ант - розм—÷щенн€ в систем—÷ активного тро€на, наприклад, NetBus, або ¬о2к (Back Orifice 2000), €к—÷ забезпечують засоби прихованого в—÷ддаленого керуванн€ —÷ мон—÷торингу за атакованим комп'ютером[8].

–озгл€немо роботу NetBus на приклад—÷ двох мережевих комп'ютер—÷в: кл—÷—‘нта - комп'ютер Sword-2000 (–∆–-адрес 1.0.0.1), —÷ сервера - комп'ютер Alex-3 (IP-адрес 1.0.0.5).

ƒл€ усп—÷шно—„ роботи тро€нського кон€ NetBus на комп'ютер—÷, що атаку—‘тьс€, спочатку потр—÷бно запустити серверний компонент, €кий назива—‘тьс€ NBSvr. ѕри запуску програми NBSvr в—÷добража—‘тьс€ д—÷алог, представлений на рис.3.7.

ѕеред використанн€м сервера NetBus утил—÷ту NBSvr необх—÷дно налаштуаати. ƒл€ цього викону—‘тьс€ така процедура:

  • ” д—÷алоз—÷ NB Server (—ервер NB) клацнути на кнопц—÷ Settings (ѕараметри). Ќа екран—÷ з'€витьс€ д—÷алог Server Setup (ѕараметри сервера), представлений на рис.3.8.        
  • ¬становити прапорець Accept connections (ѕриймати з'—‘днанн€).
  • ” пол—÷ Password (ѕароль) ввести пароль доступу до сервера NetBus.
  • –∆з списку Visibility of server (¬идим—÷сть сервера) вибрати пункт Full visible (ѕовна видим—÷сть), що дозволить спостер—÷гати за роботою сервера NetBus (але дл€ роботи краще вибрати повну невидим—÷сть).
  • ” пол—÷ Access mode (–ежим доступу) вибрати Full access (ѕовний доступ), що дозволить робити на комп'ютер—÷ вс—÷ можлив—÷ операц—÷—„ в—÷ддаленого керуванн€.
  • ¬становити прапорець Autostart every Windows session (јвтозавантаженн€ при кожному сеанс—÷ роботи з Windows), щоб сервер автоматично завантажувавс€ при вход—÷ в систему.
  •  лацнути мишею на кнопц—÷ ќ . —ервер готовий до роботи.

“епер необх—÷дно налаштувати роботу кл—÷—‘нта - утил—÷ту NetBus.exe.

  • «авантажити утил—÷ту NetBus.exe, п—÷сл€ чого в—÷добразитьс€ в—÷кно NetBus 2.0 Pro, представлене на рис. 3.9.
  • ¬ибрати команду меню Host * Neighborhood * Local (’ост * —ус—÷дн—÷й хост * Ћокальний). ¬—÷добразитьс€ д—÷алог Network (ћережа), представлений на рис. 3.10.
  •  лацнути на пункт—÷ Microsoft Windows Network (ћережа Microsoft Windows) —÷ в—÷дкрити список мережевих хост—÷в рис. 3.11.
  • ¬ибрати комптјўютер з встановленим сервером NetBus, в даному випадку Sword-2000 —÷ клацнути на кнопц—÷ Add (ƒодати). Ќа екран—÷ зтјў€витьс€ д—÷алогове в—÷кно Add Host (ƒодати хост), рис. 3.12.
  • ¬ пол—÷ Host name/IP (–∆мтјў€ хосту/–∆–) ввести –∆–-адресу серверного хосту 1.0.0.1.
  • ¬ пол—÷ User name (–∆мтјў€ користувача) необх—÷дно ввести —÷мтјў€ обл—÷кового запису Administrator, а в пол—÷ Password (ѕароль), що дешифрований програмою LC4 пароль 007.
  •  лацнути на кнопц—÷ ќ . Ќа екран—÷ в—÷добразитьс€ д—÷алог Network (ћережа).
  • «акрити д—÷алог Network (ћережа), клацнувши на кнопц—÷ Close («акрити). Ќа екран—÷ в—÷добразитьс€ в—÷кно NetBus 2.0 Pro —÷з записом доданого хосту (рис. 3.13).
  • ўоб п—÷дтјў—‘днатис€ до хосту Sword-2000 необх—÷дно клацнути правою кнопкою миш—÷ на пункт—÷ списку Sword-2000 —÷ з контекстного меню, що в—÷добразилос€, вибрати команду Connect (ѕ—÷д'—‘днати). ” раз—÷ усп—÷ху в р€дку стану в—÷кна NetBus 2.0 Pro в—÷добразитьс€ пов—÷домленн€ Connected to 1.0.0.1 (v.2.0) (ѕ—÷дключений до 1.0.0.1 (v.2.0)).

ѕ—÷сл€ усп—÷шного з'—‘днанн€ з серверним компонентом Netbus, використовуючи —÷нструменти кл—÷—‘нта Netbus, можна зробити з атакованим комп'ютером все що завгодно. ѕрактично йому будуть доступн—÷ т—÷ ж можливост—÷, що —÷ у локального користувача Administrator. Ќа рис. 3.14. представлений список —÷нст¬нрумент—÷в кл—÷—‘нта NetBus, €кий в—÷дображений в меню Control (”правл—÷нн€).

—еред цих —÷нструмент—÷в можна в—÷дзначити засоби, з—÷бран—÷ в п—÷дменю Spy functions («асоби шпигунства), що м—÷ст€ть так—÷ —÷нструменти, €к клав—÷атурний шпигун, перехоплювач—÷ екранних зображень —÷ —÷нформац—÷—„, що отриму—‘тьс€ з в—÷деокамери, а також засобу запису звук—÷в. “аким чином, хакер, що проник у комп'ютер, може п—÷дгл€дати, п—÷дслуховувати —÷ читати все, що бачить користувач, говорить, або вводить з клав—÷атури комп'ютера. ’акер також може модиф—÷кувати системний ре—‘стр комп'ютера Sword-2000, завантажувати будь-€к—÷ програми —÷ перезавантажувати в—÷ддалену систему Windows, не кажучи вже про можливост—÷ перегл€ду —÷ коп—÷юванн€ будь-€ких документ—÷в —÷ файл—÷в.

як уже згадувалос€, описана в цьому розд—÷л—÷ утил—÷та сервера NetBus, вимага—‘ попереднього запуску на комп'ютер—÷, що атаку—‘тьс€. ќстанн—‘ завданн€ склада—‘ ц—÷лу окрему область хак—÷нгу —÷ пол€га—‘ в пошуку в—÷дкритих через недогл€д каталог—÷в —÷нформац—÷йного сервера IIS, а також у використанн—÷ метод—÷в "соц—÷ально—„ —÷нженер—÷—„ї, що використову—‘тьс€ дл€ впровадженн€ в комп'ютер тро€нських коней або в—÷рус—÷в.


3.1.5 ѕриховуванн€ сл—÷д—÷в

јудит, поза сумн—÷вом, —‘ одним з найб—÷льш серйозних засоб—÷в захисту в—÷д взлому комп'ютерно—„ системи, —÷ в—÷дключенн€ засоб—÷в аудиту - одна з перших операц—÷й, €ку виконують хакери при злом—÷ комп'ютерно—„ системи. ƒл€ цього застосовуютьс€ р—÷зн—÷ утил—÷ти, що дозвол€ють очистити журнал ре—‘страц—÷—„ —÷/або в—÷дключити аудит системи перед початком роботи.

ƒл€ в—÷дключенн€ аудиту хакери можуть в—÷дкрити консоль ћћ— —÷ в—÷дключити пол—÷тику аудиту, скориставшись засобами операц—÷йно—„ системи. –∆ншим, могутн—÷шим засобом, —‘ утил—÷та auditpol.exe комплекту —÷нструмент—÷в W2RK. « —„—„ допомогою можна в—÷дключати (—÷ включати) аудит €к локального, так —÷ в—÷ддаленого комп'ютера. ƒл€ цього необх—÷дно з командного р€дка ввести таку команду.

C:\Auditpol>auditpol \\sword-2000 /disable

Ќа екран—÷ з'€вл€тьс€ результати роботи:

Running...

Audit information changed successfully on \\sword-2000...

New audit policy on \\sword-2000...

(0) Audit Disabled

System         = No

Logon         = No

Object Access        = No

Privilege Use        = No

Process Tracking        = Success and Failure

Policy Change         = No

Account Management         = No

Directory Service Access        = No

Account Logon         = No

ѕараметр команди \\sword-2000 - це —÷м'€ в—÷ддаленого комп'ютера, а ключ /disable зада—‘ в—÷дключенн€ аудиту на цьому комптјўютер—÷. ”тил—÷та auditpol.exe —‘ досить ефективним засобом дл€ управл—÷нн€ мережевими ресурсами —÷ також може бути —÷нструментом €кий використову—‘тьс€ при взлом—÷. “акож ц€ утил—÷та дозвол€—‘ включати —÷ в—÷дключати аудит бази даних SAM, що —‘ передумовою використанн€ утил—÷ти pwdump3.exe дл€ отриманн€ парол—÷в з бази SAM.

ќчищенн€ журнал—÷в безпеки можна виконати або за допомогою утил—÷ти прогл€данн€ журнал—÷в Windows 2000/XP, або за допомогою спец—÷альних утил—÷т. ” першому випадку сл—÷д виконати наступн—÷ д—÷—„.

  •  лацнути на кнопц—÷ ѕуск (Start) —÷ в головному меню, що з'€вилос€, вибрати команду Ќалаштуванн€ * ѕанель управл—÷нн€ (Settings* Control Panel).
  • ” панел—÷ управл—÷нн€, в—÷дкрити теку јдм—÷н—÷струванн€ (Administrative Tools).
  • ƒв—÷ч—÷ клацнути на аплет—÷ ”правл—÷нн€ комп'ютером (Computer Management). Ќа екран—÷ з'€витьс€ д—÷алог консол—÷ ћћ—.
  • ѕосл—÷довно в—÷дкрити теки —лужбов—÷ програми * ѕерегл€д под—÷й (System Tools | Event Viewer).
  •  лацнути правою кнопкою миш—÷ на пункт—÷ Ѕезпека (Security Log).
  • ¬ибрати команду контекстного меню —терти вс—÷ под—÷—„ (Clear all Events). Ќа екран—÷ з'€витьс€ д—÷алог ѕрогл€данн€ под—÷й (Event Viewer) з пропозиц—÷—‘ю зберегти журнальн—÷ под—÷—„ у файл—÷.
  •  лацнути на кнопц—÷ Ќ—÷ (No), €кщо б—÷льше не потр—÷бн—÷ заф—÷ксован—÷ в журнал—÷ под—÷—„. ∆урнал буде очищений.

ѕри очищенн—÷ журналу безпеки з нього витираютьс€ вс—÷ под—÷—„, але в—÷дразу встановлю—‘тьс€ нова под—÷€ - т—÷льки що виконане очищенн€ журналу аудиту! “аким чином, хакер все ж таки залишить св—÷й сл—÷д - порожн—÷й журнал —÷з заф—÷ксованою под—÷—‘ю очищенн€ журналу[9].


3.2 «асоби в—÷ддаленого керуванн€


«асоби в—÷ддаленого керуванн€ комп'ютерами сьогодн—÷ набули велико—„ попул€рност—÷. ѕоступово, крок за кроком, з —÷нструменту в—÷ддаленого адм—÷н—÷струванн€, що використовувалис€ суто в технолог—÷чних ц—÷л€х, програмн—÷ засоби цього типу почали використовуватис€ сп—÷вроб—÷тниками р—÷зних орган—÷зац—÷й дл€ роботи з—÷ сво—„м оф—÷сним комп'ютером не виход€чи з будинку, з домашнього комп'ютера. —учасн—÷ програми в—÷ддаленого керуванн€ оф—÷сним комп'ютером надають ц—÷лий наб—÷р засоб—÷в дл€ п—÷дключенн€ - пр€мого, модемного —÷ мережевого. ¬се це нада—‘ велик—÷ зручност—÷ дл€ сп—÷вроб—÷тник—÷в орган—÷зац—÷й, проте —÷ хакерам також в—÷дкриваютьс€ можливост—÷ дл€ дос€гненн€ сво—„х ц—÷лей.

–∆нсталюючи засоби в—÷ддаленого керуванн€, —÷сну—‘ можлив—÷сть його несанкц—÷онованого використанн€. якщо встановити на оф—÷сний комп'ютер модем —÷ п—÷дключити його до телефонно—„ л—÷н—÷—„ дл€ подальших сеанс—÷в зв'€зку з домашнього комп'ютера, то хакер при ви€вленн—÷ телефон—÷в орган—÷зац—÷—„ —÷ протестувавши на на€вн—÷сть з'—‘днанн€ за допомогою спец—÷альних програм —÷дентиф—÷ку—‘ засоби в—÷ддаленого керуванн€ та взламу—‘ —„х.

3.2.1 ѕрограма pcAnywhere

ѕрограма pcAnywhere корпорац—÷—„ Symantec —‘ одним з кращих —÷нструмент—÷в в—÷ддаленого керуванн€ хостами мереж—÷ TCP/IP. pcAnywhere встановлю—‘тьс€ на комп'ютерах, зв'€заних локальною мережею, модемною л—÷н—÷—‘ю зв'€зку або безпосередньо, через посл—÷довн—÷ —÷ паралельн—÷ порти.  омп'ютери, керован—÷ засобами pcAnywhere, називаютьс€ хостами, а комп'ютери, що керують, називаютьс€ абонентами. ¬за—‘мод—÷€ хост—÷в —÷ абонент—÷в pcAnywhere в—÷дбува—‘тьс€ наступним чином, п—÷сл€ встановленн€ зв'€зку на екран—÷ в—÷ддаленого комп'ютера в—÷дображаютьс€ т—÷ ж засоби призначеного дл€ користувача —÷нтерфейсу —÷ д—÷алоги програм, що —÷ на мон—÷тор—÷ хосту. ѕри цьому д—÷—„ користувача в д—÷алоз—÷ абонента pcAnywhere негайно коп—÷юютьс€ на екран—÷ хоста pcAnywhere.

“аким чином, користувач комп'ютера-абонента pcAnywhere отриму—‘ в сво—‘ розпор€дженн€ консоль в—÷ддаленого керуванн€ хостом pcAnywhere, практично сп—÷впадаючу з локальною консоллю хосту (рис. 3.15).

ƒл€ керуванн€ роботою сво—„х хост—÷в —÷ абонент—÷в програма pcAnywhere нада—‘ диспетчер, робоче в—÷кно €кого, pcAnywhere Manager (ƒиспетчер pcAnywhere), представлене на рис. 3.16.

¬ерс—÷€ 10.5.1 програми pcAnywhere не дозвол€—‘ поповнювати список абонент—÷в хоста без вказ—÷вки лог—÷на —÷ парол€ вх—÷дно—„ ре—‘страц—÷—„. Ќовому абонентов—÷ при створенн—÷ надаютьс€ за замовчуванн€м обмежан—÷ права.        
ќтже, на перший погл€д, все, що можна запропонувати дл€ злому доступу до хосту pcAnywhere - це спробувати вгадати лог—÷н —÷ пароль, часто сп—÷впадаюч—÷ з лог—÷ном —÷ паролем вх—÷дно—„ ре—‘страц—÷—„. ƒл€ цього можна скористатис€ програмою Brutus. ÷€ програма дозвол€—‘ настроювати сво—„ засоби злому парол—÷в. ѕроте це трудом—÷сткий —÷ ненад—÷йний шл€х, оск—÷льки користувач встановить над—÷йний пароль дл€ ре—‘страц—÷—„, а система захисту заф—÷ксу—‘ численн—÷ спроби вх—÷дно—„ ре—‘страц—÷—„ [8].

–∆сну—‘ обх—÷дний шл€х - п—÷дм—÷на проф—÷лю п—÷дключенн€ абонента до хосту. ¬ цьому випадку необх—÷дно створити хост pcAnywhere, —÷м'€ €кого сп—÷впада—‘ з тим, що в—÷добража—‘тьс€ в д—÷алоз—÷ оч—÷куванн€ з'—‘днанн€. Ќаступним кроком —‘ створенн€ абонента дл€ п—÷дключенн€ до цього хосту, цьому абонентов—÷ надаютьс€ необмежен—÷ права доступу до хосту, встановлюючи перемикач Superuser (—уперкористувач) на вкладц—÷ Privileges (ѕрив—÷ле—„) д—÷алогу "астивостей абонента.

ѕ—÷сл€ створенн€ хосту pcAnywhere в папц—÷ —истемний диск:/Documents and Settings/All Users/Application Data/Symantec/pcAnywhere (або в —÷нш—÷й папц—÷, вказан—÷й в списку д—÷алогу диспетчера pcAnywhere), створю—‘тьс€ файл проф—÷лю абонента цього хоста з передбаченим —÷м'€м. ” даному випадку дл€ хосту Sword-2000 п—÷сл€ створенн€ абонента pcAnywhere з лог—÷ном ј1ех-3 був створений файл проф—÷лю з —÷м'€м PCA.Alex-3.CIF - тобто з —÷м'€м, що м—÷стить лог—÷н абонента в середин—÷ запису, —÷ з розширенн€м .C–∆F.

—творивши за допомогою диспетчера pcAnywhere нового абонента наприклад, Hacker, проф—÷ль €кого буде збережений у файл—÷ PCA.Hacker.CIF на комп'ютер—÷ хакера. якщо цей файл –—ј.Hacker.CIF пом—÷стити на хост Sword-2000 в теку —истемний диск:/Documents and Settings/All Users/Application Data/Symantec/ pcAnywhere, то в д—÷алоз—÷ абонент—÷в хоста Sword-2000 з'€витьс€ новий обл—÷ковий запис ( рис. 3.17).

“епер до хосту pcAnywhere можна п—÷дключитис€, знаючи лог—÷н —÷ пароль нового абонента Hacker, в даному випадку - хакер, що трохи попрацював дл€ створенн€ —÷ перенесенн€ файлу проф—÷лю на комп'ютер-жертву.

–∆сну—‘ дек—÷лька шл€х—÷в дл€ запису файлу на атакований комптјўютер. ќдним з них це атака на протокол NETBIOS, або п—÷дготувавши —÷ в—÷дправити лист з активним вкладенн€м, €ке завантажить на хост файл, скаж—÷мо, з використанн€м кл—÷—‘нта TFTP. ћожна також вдатис€ до метод—÷в соц—÷ально—„ —÷нженер—÷—„ —÷ змусити ламера клацнути на посиланн—÷ дл€ завантаженн€ безкоштовно—„ программи (це найкращий метод дл€ людей —÷з специф—÷чними схильност€ми). якщо хост pcAnywhere функц—÷ону—‘ €к Web-сервер, —‘ сенс атакувати сервер IIS, —÷ €кщо це програма IIS 5, не оброблена серв—÷сними пакетами, то шанси на усп—÷х майже стов—÷дсотков—÷[8].

ўоб в—÷ддалено визначити, чи встановлений на комп'ютер—÷ хост pcAnywhere —÷ чи працю—‘ в—÷н в даний момент, сл—÷д звернутис€ до засоб—÷в —÷нвентаризац—÷—„ ресурс—÷в локально—„ мереж—÷, €к—÷ повинн—÷ ви€вити на комп'ютер—÷ в—÷дкрит—÷ порти в—÷ддаленого управл—÷нн€. ѕроте в мережах Windows —‘ —÷ ще одна можлив—÷сть - використанн€ засоб—÷в —÷нвентаризац—÷—„, вбудованих в системи Windows NT/2000/XP, €к—÷ спираютьс€ на протокол SNMP (Simple Network Management Protocol -простий протокол мережевого управл—÷нн€).


3.2.2 ѕротокол SNMP

ѕротокол SNMP призначений дл€ в—÷ддаленого адм—÷н—÷струванн€ хост—÷в локально—„ мереж—÷. ƒл€ хакер—÷в протокол SNMP забезпечу—‘ велик—÷ можливост—÷ з —÷нвентаризац—÷—„ мереж—÷, на вразливост€х SNMP базу—‘тьс€ багато хакреських атак. “ому розроблено безл—÷ч програм управл—÷нн€ мережами з опорою на протокол SNMP, з €ких вид—÷лимо пакет SOLARWINDS. ÷—÷ утил—÷ти мають подв—÷йне застосуванн€. —истемн—÷ адм—÷н—÷стратори використовують —„х дл€ адм—÷н—÷струванн€ мереж—÷, а хакери - дл€ проникненн€ в мережу —÷ заволод—÷нн€ —„—„ ресурсами. ќтже, перейдемо до знайомства з пакетом SOLARWINDS з врахуванн€м завдань злому —÷ захисту.

ѕротоколом SNMP —‘ стандарт управл—÷нн€ мережами TCP/IP (а також мережами IPX). Ќа основ—÷ протоколу SNMP створюютьс€ програмн—÷ засоби в—÷ддаленого управл—÷нн€ мережевими серверами, робочими станц—÷€ми —÷ —÷ншими пристро€ми, що дозвол€ють налаштовувати роботу мережевих хост—÷в, спостер—÷гати за —„х роботою, в—÷дстежувати збо—„ —÷ поточну д—÷€льн—÷сть користувач—÷в в мереж—÷.

ƒл€ роботи вищезгаданих програмних засоб—÷в SNMP використовуютьс€ системи управл—÷нн€ SNMP (або консол—÷ SNMP) —÷ агенти SNMP, тобто служби SNMP, що збирають —÷нформац—÷ю про вузли, —÷ пом—÷щають —„—„ в бази даних MIB (Management Information Base - база керуючо—„ —÷нформац—÷—„). Ѕаза MIB м—÷стить таблицю запущених служб, зв—÷т про спос—÷б розмежуванн€ доступу, перел—÷к сеанс—÷в —÷ обл—÷кових запис—÷в користувач—÷в, наб—÷р загальних ресурс—÷в сервера —÷ —÷ншу —÷нформац—÷ю. ƒл€ прогл€данн€ бази ћ–∆¬ застосовуютьс€ системи управл—÷нн€ SNMP, наприклад, утил—÷та snmputil з пакету W2RK або ж спец—÷альне програмне забезпеченн€, прикладом €кого —‘ застосуванню IP Network Browser, що входить в пакет SOLARWINDS 2002 Engineer's Edition. ’ости, на €ких функц—÷онують консол—÷ —÷ агенти SNMP, об'—‘днуютьс€ в сп—÷втовариства SNMP, що —÷дентиф—÷куютьс€ —÷менами сп—÷втовариства. јгенти SNMP кожного хосту сп—÷втовариства можуть передавати пов—÷домленн€ у в—÷дпов—÷дь на запити консолей SNMP т—÷льки "свогої сп—÷втовариства —÷ тих сп—÷втовариств, €к—÷ вказан—÷ в списку, що створю—‘тьс€ при конф—÷гурац—÷—„ служби SNMP. ƒл€ обм—÷ну —÷нформац—÷—‘ю використову—‘тьс€ транспортний протокол UDP, а передача пакет—÷в SNMP викону—‘тьс€ через сокети Windows з портами 161 —÷ 162.

якщо хакеров—÷ вда—‘тьс€ визначити —÷м'€ сп—÷втовариства SNMP, —÷нвентаризац—÷€ мережевих ресурс—÷в комп'ютер—÷в сп—÷втовариства не виклика—‘ жодних проблем. ƒл€ вир—÷шенн€ цього завданн€ можна скористатис€ пакетом SOLARWINDS, що включа—‘ у себе найр—÷зноман—÷тн—÷ш—÷ утил—÷ти дл€ збору в—÷домостей про локальну мережу.

Ќа рис. 3.18. представлений д—÷алог браузера MIB з пакету Solar Winds 2001 Engineerтјўs Edition, що в—÷добража—‘ записи бази даних MIB комптјўютера ј1ех-3, що вход€ть в розд—÷л в—÷домостей про обл—÷ков—÷ записи —÷ загальн—÷ ресурси комптјўютера.

Ќа рис. 3.18. можна в—÷дм—÷тити, що дан—÷, €к—÷ в—÷дображаютьс€ браузером ћ–∆¬ аналог—÷чн—÷ таким, що ви€влен—÷ з бази SAM за допомогою утил—÷ти LC4 . “аким чином, база ћ–∆¬ не менш —÷нформативна, н—÷ж база SAM, кр—÷м того, що в н—÷й в—÷дсутн—÷ парол—÷ обл—÷кових запис—÷в.

–∆сну—‘ й —÷нша утил—÷та дл€ прогл€данн€ ресурс—÷в мережевих хост—÷в - Network Browser , €ка представл€—‘ —÷нформац—÷ю бази даних ћ–∆¬ мереж—÷, що —÷нвентаризу—‘тьс€ в доступн—÷ш—÷й форм—÷ ( рис. 3.19).

ѕроблема у використанн—÷ бази MIB дл€ ц—÷лей —÷нвентаризац—÷—„ пол€га—‘ в отриманн—÷ —÷мен—÷ сп—÷втовариства, €ке по сут—÷ —‘ паролем дл€ доступу до —÷нформац—÷—„ в баз—÷ MIB. ÷е завданн€ зовс—÷м не безнад—÷йне, оск—÷льки засоби пакету SOLARWINDS 2001 Engineer's Edition включають утил—÷ти SNMP Brute Force Attack —÷ SNMP Dictionary Attack дл€ злому доступу до бази ћ–∆¬ п—÷дбором —÷мен—÷ сп—÷втовариства, що викону—‘тьс€, в—÷дпов—÷дно, пр€мим перебором символ—÷в —÷ шл€хом словниково—„ атаки.

ƒуже часто дл€ наданн€ —÷мен сп—÷втовариствам, SNMP адм—÷н—÷стратори використовують встановлен—÷ за замовчуванн€м —÷мена public, або private, або —„х вар—÷ац—÷—„. “ому утил—÷ти SNMP Brute Force Attack —÷ SNMP Dictionary Attack дл€ злому доступу до сп—÷втовариства SNMP враховують таку особлив—÷сть. ¬они дозвол€ють хакеров—÷ вводити початков—÷ —÷мена сп—÷втовариства SNMP типу public або private в стартовий р€док пошуку з автоматичною генерац—÷—‘ю вар—÷ант—÷в р€дк—÷в, що випробовуютьс€. ÷е дозвол€—‘ швидко знаходити —÷мена типу public2 —÷ —÷нш—÷, що базуютьс€ на стандартному —÷мен—÷ public[8].

ƒл€ захисту в—÷д атаки на протокол SNMP, сл—÷д закрити доступ до порт—÷в 161 —÷ 162, €к—÷ використовуютьс€ агентами —÷ консоллю SNMP, вдавшись до засоб—÷в ф—÷льтрац—÷—„ “—–/–∆–, або засобами аплета —лужби (Services) комп'ютера Windows 2000/XP, щоб в—÷дключити на хост—÷ службу SNMP. ” будь-€кому випадку —÷м'€ сп—÷втовариства SNMP повинно бути достатньо складним дл€ злому методом грубо—„ сили, оск—÷льки —÷м'€ сп—÷втовариства служить фактично паролем доступу до агента SNMP.

¬становлен—÷ на мережевому хост—÷ засоби в—÷ддаленого управл—÷нн€, €к в—÷д незалежного виробника (програма pcAnywhere). так —÷ вбудован—÷ (служба SNMP) можуть стати справжн—÷ми знах—÷дками дл€ хакера, оск—÷льки дуже часто п—÷сл€ —÷нстал€ц—÷—„ цих засоб—÷в —„х система захисту не настро—‘тна належним чином. ÷е стосу—‘тьс€ практично вс—÷х загальнопоширених програм в—÷ддаленого керуванн€, особливо ранн—÷х верс—÷й. ўоб ви€вити комп'ютер з—÷ встановленою програмою в—÷ддаленого керуванн€, можна скористатис€ засобами протоколу SNMP, що забезпечу—‘ роботу агент—÷в —÷ консол—÷ SNMP управл—÷нн€ ресурсами комп'ютера. Ѕраузер IP Network Browser, розгл€нутий в цьому розд—÷л—÷, над—÷йно —÷дентиф—÷ку—‘ в—÷дкрит—÷ порти програми в—÷ддаленого управл—÷нн€ pcAnywhere, п—÷сл€ чого хакер може скористатис€ р—÷зними засобами дл€ в—÷ддаленого злому доступу до хосту pcAnywhere.

Ќе сл—÷д нехтувати також можливост€ми SNMP дл€ вир—÷шенн€ загального завданн€ —÷нвентаризац—÷—„ систем, що атакуютьс€. «асоби захисту агент—÷в —÷ консол—÷ SNMP, вбудован—÷ в систему Windows не забезпечують належно—„й безпеки дл€ комп'ютер—÷в сп—÷втовариства SNMP. ƒл€ хакера це нада—‘ обширн—÷ можливост—÷ дл€ —÷нвентаризац—÷—„ ресурс—÷в мережевих хост—÷в —÷ подальших спроб злому доступу до комп'ютер—÷в.

ƒл€ запоб—÷ганн€ взлому, парол—÷ доступу до хост—÷в pcAnywhere мають бути досить складними, щоб —„х не можна було зламати словниковою атакою, або простим перебором. ќписан—÷й вище атац—÷ на хост pcAnywhere можна також запоб—÷гти, обмеживши доступ до папок комп'ютера, що збер—÷гають —÷нформац—÷ю дл€ налаштуванн€. “ому налаштуванн€ системи захисту Windows - найкращий спос—÷б запоб—÷ганн€ атакам на засоби в—÷ддаленого управл—÷нн€[7].


3.3 ‘ункц—÷—„ брандмауер—÷в


Ѕрандмауером називають спец—÷альний програмно-апаратний комплекс, що забезпечу—‘ захист локально—„ мереж—÷ в—÷д вторгнень з локально—„ або глобально—„ мереж—÷, наприклад, –∆нтернету, в точц—÷ —„х з'—‘днанн€. Ѕрандмауери дозвол€ють пропускати через мережеве з'—‘днанн€ т—÷льки авторизований траф—÷к, контролюючи тим самим мережеву вза—‘мод—÷ю м—÷ж комп'ютерами глобально—„ —÷ локально—„ мереж—÷. ¬исокорозвинут—÷ брандмауери дозвол€ють виконувати дуже точну настройку доступу до мережевих служб, надаючи дл€ цього зручний граф—÷чний —÷нтерфейс. ƒобре настро—‘ний брандмауер не просто блоку—‘ неавторизован—÷ запити з боку зовн—÷шн—÷х комп'ютер—÷в, але —÷ намага—‘тьс€ —÷дентиф—÷кувати автор—÷в запиту разом з негайним пов—÷домленн€м адм—÷н—÷стратора системи про спроби таких запит—÷в.

Ѕрандмауери дозвол€ють управл€ти мережевим траф—÷ком, що проходить усередин—÷ локально—„ мереж—÷. «а допомогою брандмауер—÷в можна розд—÷лити локальну мережу на домени безпеки - групи комп'ютер—÷в з одним р—÷внем захищеност—÷. Ќа комп'ютерах найб—÷льш захищеного домена сл—÷д збер—÷гати конф—÷денц—÷йну —÷нформац—÷ю, наприклад, обл—÷ков—÷ записи користувач—÷в, документи ф—÷нансово—„ зв—÷тност—÷, в—÷домост—÷ про поточну виробничу д—÷€льн—÷сть —÷ тому под—÷бне. –озд—÷ленн€ доступу користувач—÷в до мережевих ресурс—÷в р—÷зного ступен€ секретност—÷ вже само по соб—÷ р—÷зко п—÷двищу—‘ р—÷вень безпеки мереж—÷. якщо до того ж набудувати брандмауер так, щоб доступ до вид—÷леного мережевого сегменту був максимально обмеженим, то можна значною м—÷рою забезпечити —÷нформац—÷ю, що збер—÷га—‘тьс€ в сегмент—÷, в—÷д розкритт€ конф—÷денц—÷йност—÷[6].

” загальному випадку методика Firewall, тобто брандмауер—÷в, реал—÷зу—‘ наступн—÷ основн—÷ три функц—÷—„:

1. Ѕагатор—÷внева ф—÷льтрац—÷€ мережного траф—÷ка.

‘—÷льтрац—÷€ звичайно зд—÷йсню—‘тьс€ на трьох р—÷вн€х OSI:

тјв мережному (IP);

тјв транспортному (TCP, UDP);

тјв прикладному (FTP, TELNET, HTTP, SMTP ).

‘—÷льтрац—÷€ мережевого траф—÷ка —‘ основною функц—÷—‘ю систем Firewall —÷ дозвол€—‘ адм—÷н—÷стратору безпеки мереж—÷ централ—÷зовано зд—÷йснювати необх—÷дну мережеву пол—÷тику безпеки у вид—÷леному сегмент—÷ IP-мереж—÷. “обто, настро—„вши в—÷дпов—÷дним чином Firewall, можна дозволити чи заборонити користувачам €к доступ —÷з зовн—÷шньо—„ мереж—÷ до хост—÷в, що знаход€тьс€ в сегмент—÷, €кий захища—‘тьс€, так —÷ доступ користувач—÷в —÷з внутр—÷шньо—„ мереж—÷ до в—÷дпов—÷дного ресурсу зовн—÷шньо—„ мереж—÷.

2. Proxy-схема з додатковою —÷дентиф—÷кац—÷—‘ю й аутентиф—÷кац—÷—‘ю користувач—÷в на Firewall - хост—÷.

Proxy-схема дозвол€—‘, по-перше, при доступ—÷ до захищеного Firewall сегменту мереж—÷ зд—÷йснити на ньому додаткову —÷дентиф—÷кац—÷ю й аутентиф—÷кац—÷ю в—÷ддаленого користувача. ѕо-друге, —‘ основою дл€ створенн€ приватних мереж з в—÷ртуальними IP-адресами. Proxy-схема призначена дл€ створенн€ з'—‘днанн€ з к—÷нцевим адресатом через пром—÷жний proxy-сервер (proxy в—÷д англ. повноважний) на хост—÷ Firewall. Ќа цьому proxy-сервер—÷ —÷ може зд—÷йснюватис€ додаткова —÷дентиф—÷кац—÷€ абонента.

3. —творенн€ приватних в—÷ртуальних мереж (Private Virtual Network - PVN) з "в—÷ртуальними" IP-адресами (NAT - Network Address Translation).

” випадку, €кщо адм—÷н—÷стратор безпеки мереж—÷ вважа—‘ за доц—÷льне приховати тополог—÷ю сво—‘—„ внутр—÷шньо—„ IP-мереж—÷, то йому необх—÷дно використовувати системи Firewall дл€ створенн€ приватно—„ мереж—÷ (PVN-мережа). ’остам у PVN-мереж—÷ призначаютьс€ будь-€к—÷ "в—÷ртуальн—÷" IP-адреси. ƒл€ адресац—÷—„ в зовн—÷шню мережу (через Firewall) необх—÷дне використанн€ на хост—÷ Firewall proxy-сервер—÷в, або застосуванн€ спец—÷альних систем роут—÷нгу (маршрутизац—÷—„). ÷е в—÷дбува—‘тьс€ через те, що в—÷ртуальна IP-адреса, €ка використову—‘тьс€ у внутр—÷шн—÷й PVN-мереж—÷ , не придатна дл€ зовн—÷шньо—„ адресац—÷—„ (зовн—÷шн€ адресац—÷€ - це адресац—÷€ до абонент—÷в, що знаходитьс€ за межами PVN-мереж—÷). “ому proxy-сервер, чи зас—÷б роут—÷нгу повинен зд—÷йснювати зв'€зок з абонентами з зовн—÷шньо—„ мереж—÷ з—÷ сво—‘—„ д—÷йсно—„ IP-адреси. ÷€ схема зручна в тому випадку, €кщо дл€ створенн€ –∆–-мереж—÷ вид—÷лили недостатню к—÷льк—÷сть IP-адрес, тому дл€ створенн€ повноц—÷нно—„ IP-мереж—÷ з використанн€м proxy-схеми досить т—÷льки одн—÷—‘—„ вид—÷лено—„ IP-адреси дл€ proxy-сервера.

Ѕудь-€кий пристр—÷й, що реал—÷зу—‘ хоча б одну з цих функц—÷й Firewall-методики, —÷ —‘ Firewall-пристро—‘м. Ќаприклад, н—÷що не заважа—‘ використовувати в €кост—÷ Firewall - хосту комп'ютер з—÷ звичайною ќ— FreeBSD чи Linux, у €ко—„ в—÷дпов—÷дним чином необх—÷дно скомп—÷лювати €дро ќ—. Firewall такого типу буде забезпечувати т—÷льки багатор—÷вневу ф—÷льтрац—÷ю –∆–-траф—÷ка. ѕропонован—÷ на ринку Firewall-комплекси, створен—÷ на баз—÷ ≈ќћ звичайно реал—÷зують ус—÷ функц—÷—„ Firewall-методики —÷ —‘ повнофункц—÷ональними системами Firewall. Ќа рис. 3.20 зображений сегмент мереж—÷, в—÷дд—÷лений в—÷д зовн—÷шньо—„ мереж—÷ повнофункц—÷ональним Firewall - хостом.

ќднак адм—÷н—÷страторам IP-мереж треба розум—÷ти, що Firewall це не гарант—÷€ абсолютного захисту в—÷д в—÷ддалених атак у мереж—÷ Internet. Firewall - не ст—÷льки зас—÷б забезпеченн€ безпеки, ск—÷льки можлив—÷сть централ—÷зовано зд—÷йснювати мережну пол—÷тику розмежуванн€ в—÷ддаленого доступу до доступних ресурс—÷в мереж—÷. Firewall не зможе запоб—÷гти таким видам атак €к: анал—÷зу мережного траф—÷ку, помилковий ARP-сервер, помилковий DNS-сервер, п—÷дм—÷на одного —÷з суб'—‘кт—÷в TCP-з'—‘днанн€, порушенн€ працездатност—÷ хосту шл€хом створенн€ спр€мовано—„ атаки помилковими запитами чи переповненн€ черги запит—÷в. ¬ таких випадках використанн€ Firewall не допоможе. ƒл€ того, щоб вивести з ладу (в—÷др—÷зати в—÷д зовн—÷шнього св—÷ту) ус—÷ хости усередин—÷ захищеного Firewall-системою сегмента, досить атакувати т—÷льки один Firewall. ÷е по€сню—‘тьс€ тим, що зв'€зок внутр—÷шн—÷х хост—÷в —÷з зовн—÷шн—÷м св—÷том можливий т—÷льки через Firewall.

« усього вищесказаного аж н—÷€к не виплива—‘, що використанн€ систем Firewall —‘ абсолютно безглуздим, на даний момент ц—÷й методиц—÷ нема—‘ альтернативи. ќднак треба ч—÷тко розум—÷ти —÷ пам'€тати —„—„ основне призначенн€. «астосуванн€ методики Firewall дл€ забезпеченн€ мережно—„ безпеки —‘ необх—÷дною, але аж н—÷€к не достатньою умовою. Ќе потр—÷бно вважати, що поставивши Firewall вир—÷шуютьс€ вс—÷ проблеми з мережною безпекою —÷ усунутьс€ ус—÷ можлив—÷ в—÷ддален—÷ атаки з мереж—÷ Internet [7].


3.4 ѕерехопленн€ мережевих даних


ƒл€ сн—÷ф—÷нгу мереж Ethernet зазвичай використовуютьс€ мережев—÷ карти, переведен—÷ в режим прослуховуванн€. ѕрослуховуванн€ мереж—÷ Ethernet вимага—‘ п—÷дключенн€ комп'ютера —÷з запущеною програмою-сн—÷фером до сегменту мереж—÷, п—÷сл€ чого хакеров—÷ ста—‘ доступним весь мережевий траф—÷к, що в—÷дправл€—‘тьс€ —÷ отриму—‘тьс€ комп'ютерами в даному мережевому сегмент—÷. ўе прост—÷ше виконати перехопленн€ траф—÷ку рад—÷омереж, що використовують безпров—÷дн—÷ мережев—÷ ретрансл€тори. ¬ цьому випадку не потр—÷бно нав—÷ть шукати м—÷i€ дл€ п—÷дключенн€ до кабелю.

ƒл€ технолог—÷—„ сн—÷ф—÷нгу можна використати программу-сн—÷фер SpyNet, €ку можна знайти на багатьох Web-сайтах. ѕрограма SpyNet склада—‘тьс€ з двох компонент—÷в - CaptureNet —÷ PipeNet. ѕрограма CaptureNet дозвол€—‘ перехоплювати пакети, передаван—÷ по мереж—÷ Ethernet на мережевому р—÷вн—÷, тобто у вигл€д—÷ кадр—÷в Ethernet. ѕрограма PipeNet дозвол€—‘ збирати кадри Ethernet в пакети р—÷вн€ прикладних програм, в—÷дновлюючи, наприклад, пов—÷домленн€ електронно—„ пошти, пов—÷домленн€ протоколу HTTP (обм—÷н —÷нформац—÷—‘ю з Web-сервером) —÷ виконувати —÷нш—÷ функц—÷—„.

ƒл€ захисту в—÷д прослуховуванн€ мереж—÷ застосовуютьс€ спец—÷альн—÷ програми, наприклад AntiSniff, €к—÷ здатн—÷ ви€вл€ти в мереж—÷ комп'ютери, зайн€т—÷ прослуховуванн€м мережевого траф—÷ку. ѕрограми антисн—÷фери дл€ вир—÷шенн€ сво—„х завдань використовують особливу ознаку на€вност—÷ в мереж—÷ прослуховуючих пристро—„в. ћережева плата комптјўютера-сн—÷фера повинна знаходитис€ в спец—÷альному режим—÷ прослуховуванн€. «наход€чись в режим—÷ прослуховуванн€, мережев—÷ комп'ютери особливим чином реагують на IP-дейтаграми, що посилаютьс€ на адресу тестованого хосту. Ќаприклад, хости, що прослуховують €к правило, обробл€ють весь траф—÷к, що поступа—‘, не обмежуючись т—÷льки в—÷д—÷сланими на адресу хосту дейтаграммами. –ƒ —÷ —÷нш—÷ ознаки, що вказують на п—÷дозр—÷лу повед—÷нку хоста, €к—÷ здатна розп—÷знати програма AntiSniff [11].

ѕоза сумн—÷вом, прослуховуванн€ дуже корисне з погл€ду зловмисника, оск—÷льки дозвол€—‘ отримати безл—÷ч корисно—„ —÷нформац—÷—„: передаван—÷ по мереж—÷ парол—÷, адреси комп'ютер—÷в мереж—÷, конф—÷денц—÷йн—÷ дан—÷, листи —÷ —÷нше. ѕроте просте прослуховуванн€ не дозвол€—‘ хакеров—÷ втручатис€ в мережеву вза—‘мод—÷ю м—÷ж двома хостами з метою модиф—÷кац—÷—„ —÷ спотворенн€ даних. ƒл€ вир—÷шенн€ такого завданн€ потр—÷бна складн—÷ша технолог—÷€.


3.4.1 ‘альшив—÷ ARP запити

ўоб перехопити —÷ замкнути на себе процес мережево—„ вза—‘мод—÷—„ м—÷ж двома хостами ј —÷ ¬ зловмисник може п—÷дм—÷нити IP-адреси вза—‘мод—÷ючих хост—÷в сво—‘ю IP-адресою, направивши хостам ј —÷ ¬ сфальсиф—÷кован—÷ пов—÷домленн€ ARP (Address Resolution Protocol - протокол дозволу адрес).

ƒл€ перехопленн€ мережевого траф—÷ку м—÷ж хостами ј —÷ ¬ хакер нав'€зу—‘ цим хостам свою IP-адресу, щоб ј —÷ ¬ використовували цю фальсиф—÷ковану IP-адресу при обм—÷н—÷ пов—÷домленн€ми. ƒл€ нав'€зуванн€ сво—‘—„ IP-адреси хакер викону—‘ наступн—÷ операц—÷—„.

  • «ловмисник визнача—‘ ћј—-адреси хост—÷в ј —÷ ¬, наприклад, за допомогою команди nbtstat з пакету W2RK.
  • «ловмисник в—÷дправл€—‘ на ви€влен—÷ ћј—-адреси хост—÷в ј —÷ ¬ пов—÷домленн€, що —‘ сфальсиф—÷кованими ARP-в—÷дпов—÷д€ми на запити дозволу IP-адрес—÷в хост—÷в в ћј—-адреси комп'ютер—÷в. ’осту ј пов—÷домл€—‘тьс€, що IP-адрес—÷ хосту ¬ в—÷дпов—÷да—‘ ћј—-адреса комп'ютера зловмисника; хосту ¬ пов—÷домл€—‘тьс€, що IP-адрес—÷ хосту ј також в—÷дпов—÷да—‘ ћј—-адреса комп'ютера зловмисника.
  • ’ости ј —÷ ¬ занос€ть отриман—÷ ћј—-адреси в сво—„ кеш—÷ ARP —÷ дал—÷ використовують —„х дл€ в—÷дправки пов—÷домлень один одному. ќск—÷льки IP-адресам ј —÷ ¬ в—÷дпов—÷да—‘ ћј—-адреса комп'ютера зловмисника, хости ј —÷ ¬, н—÷чого не п—÷дозрюючи, сп—÷лкуютьс€ через посередника, здатного робити з —„х посланн€ми що завгодно.

ƒл€ захисту в—÷д таких атак мережев—÷ адм—÷н—÷стратори повинн—÷ п—÷дтримувати базу даних з таблицею в—÷дпов—÷дност—÷ ћј—-адрес —÷ IP-адрес сво—„х мережевих комп'ютер—÷в. «а допомогою спец—÷ального програмного забезпеченн€, наприклад, утил—÷ти arpwatch пер—÷одично обстежувати мережу —÷ ви€вл€ти нев—÷дпов—÷дност—÷ [11].

3.4.2 ‘альшива маршрутизац—÷€

ўоб перехопити мережевий траф—÷к, зловмисник може п—÷дм—÷нити реальну –∆–-адресу мережевого маршрутизатора сво—‘ю, виконавши це, наприклад, з допомогою сфальсиф—÷кованих ICMP-пов—÷домлень Redirect. ќтримане пов—÷домленн€ Redirect хост ј сприйма—‘ €к в—÷дпов—÷дь на дейтаграмму, в—÷д—÷слану —÷ншому хосту, наприклад, ¬. —во—„ д—÷—„ на пов—÷домленн€ Redirect хост ј визнача—‘, виход€чи з вм—÷сту отриманого пов—÷домленн€ Redirect, —÷ €кщо в Redirect задати перенаправленн€ дейтаграм з ј в ¬ по новому маршруту, саме це хост ј —÷ зробить.

ƒл€ виконанн€ помилково—„ маршрутизац—÷—„ зловмисник повинен знати де€к—÷ подробиц—÷ про орган—÷зац—÷ю локально—„ мереж—÷, в €к—÷й знаходитьс€ хост ј, в тому числ—÷, IP-адресу маршрутизатора, через €ку в—÷дправл€—‘тьс€ траф—÷к з хосту ј у ¬. «наючи це, зловмисник сформу—‘ IP-дейтаграмму, в €к—÷й IP-адреса в—÷дправника означена €к IP-адреса маршрутизатора, а одержувачем вказаний хост ј. “акож в дейтаграму включа—‘тьс€ пов—÷домленн€ ICMP Redirect з полем адреси нового маршрутизатора, встановленим €к IP-адреса комп'ютера зловмисника. ќтримавши таке пов—÷домленн€, хост ј в—÷дправл€тиме вс—÷ пов—÷домленн€ за IP-адресою комп'ютера зловмисника [10].

ƒл€ захисту в—÷д тако—„ атаки сл—÷д в—÷дключити (наприклад, за допомогою брандмауера) на хост—÷ ј обробку пов—÷домлень ICMP Redirect, а ви€вити –∆–-адресу комп'ютера зловмисника може команда tracert. ÷—÷ утил—÷ти здатн—÷ знайти в локальн—÷й мереж—÷ додатковий, непередбачений при —÷нстал€ц—÷—„, маршрут, €кщо звичайно адм—÷н—÷стратор мереж—÷ про€вить пильн—÷сть.

ѕриведен—÷ вище приклади перехоплень (€кими можливост—÷ зловмисник—÷в далеко не обмежуютьс€) переконують в необх—÷дност—÷ захисту даних, що передаютьс€ по мереж—÷, €кщо в даних м—÷ститьс€ конф—÷денц—÷йна —÷нформац—÷€. –ƒдиним методом захисту в—÷д перехоплень мережевого траф—÷ку —‘ використанн€ програм, що реал—÷зовують криптограф—÷чн—÷ алгоритми —÷ протоколи шифруванн€, що дозвол€ють запоб—÷гти розкриттю —÷ п—÷дм—÷н—÷ секретно—„ —÷нформац—÷—„. ƒл€ вир—÷шенн€ таких завдань криптограф—÷€ нада—‘ засоби дл€ шифруванн€, п—÷дпису —÷ перев—÷рки достов—÷рност—÷ пов—÷домлень, що передаютьс€ по захищених протоколах [12].


3.4.3 ѕерехопленн€ “—–-зтјў—‘днанн€

Ќайб—÷льш витонченою атакою перехопленн€ мережевого траф—÷ку сл—÷д вважати захопленн€ TCP-зтјў—‘днанн€ (TCP hijacking), коли хакер шл€хом генерац—÷—„ —÷ в—÷дсиланн€ на хост, що атаку—‘тьс€ TCP-пакет—÷в, перерива—‘ поточний сеанс зв'€зку з хостом. ƒал—÷, користуючись можливост€ми протоколу TCP по в—÷дновленню перерваного TCP-зтјў—‘днанн€, хакер перехоплю—‘ перерваний сеанс зв'€зку —÷ продовжу—‘ його зам—÷сть в—÷дключеного кл—÷—‘нта.

ѕротокол TCP (Transmission Control Protocol - протокол управл—÷нн€ передачею) —‘ одним з базових протокол—÷в транспортного р—÷вн€ OSI, що дозвол€—‘ встановлювати лог—÷чн—÷ з'—‘днанн€ по в—÷ртуальному каналу зв'€зку. ѕо цьому каналу передаютьс€ —÷ приймаютьс€ пакети з ре—‘страц—÷—‘ю —„х посл—÷довност—÷, зд—÷йсню—‘тьс€ управл—÷нн€ потоком пакет—÷в, орган—÷зову—‘тьс€ повторна передача спотворених пакет—÷в, а в к—÷нц—÷ сеансу канал зв'€зку розрива—‘тьс€.

ѕротокол TCP —‘ —‘диним базовим протоколом з с—÷мейства TCP/IP, що ма—‘ складну систему —÷дентиф—÷кац—÷—„ пов—÷домлень —÷ з'—‘днанн€.

ƒл€ —÷дентиф—÷кац—÷—„ TCP-пакету в TCP-заголовку —÷снують два 32-розр€дн—÷ —÷дентиф—÷катори, €к—÷ також в—÷д—÷грають роль л—÷чильника пакет—÷в, що називаютьс€ пор€дковим номером —÷ номером п—÷дтвердженн€. ѕоле TCP-пакета включа—‘ наступн—÷ б—÷ти керуванн€ (в пор€дку зл—÷ва направо):

URG - б—÷т терм—÷новост—÷;

ј—  - б—÷т п—÷дтвердженн€;

PSH - б—÷т перенесенн€;

RST - б—÷т поновленн€ з'—‘днанн€;

SYN - б—÷т синхрон—÷зац—÷—„;

FIN - б—÷т завершенн€ з'—‘днанн€.

–озгл€немо пор€док створенн€ TCP-зтјў—‘днанн€.

1. якщо хосту ј необх—÷дно створити TCP-зтјў—‘днанн€ з хостом ¬, то хост ј посила—‘ хосту ¬ наступне пов—÷домленн€: A -> B: SYN, ISSa

÷е означа—‘, що в пов—÷домленн—÷, €ке переда—‘тьс€ хостом ј встановлений б—÷т SYN (Synchronize sequence number - номер посл—÷довност—÷ синхрон—÷зац—÷—„), а в пол—÷ пор€дкового номера встановлено початкове 32-б—÷тне значенн€ ISSa (Initial Sequence Number - початковий номер посл—÷довност—÷).

2.        ” в—÷дпов—÷дь на отриманий в—÷д хосту ј запит хост ¬ в—÷дпов—÷да—‘ пов—÷домленн€м, в €кому встановлений б—÷т SYN —÷ встановлений б—÷т ј— . ” пол—÷ пор€дкового номера хост ¬ встановлю—‘ сво—‘ початкове значенн€ л—÷чильника - ISSb. ѕоле номера п—÷дтвердженн€ при цьому м—÷ститиме значенн€ ISSa, отримане в першому пакет—÷ в—÷д хосту ј —÷ зб—÷льшене на одиницю. “аким чином, хост ¬ в—÷дпов—÷да—‘ таким пов—÷домленн€м: B-> A: SYN, ACK, ISSb, ACK(ISSa+1)

3.        Ќарешт—÷, хост ј посила—‘ пов—÷домленн€ хосту ¬, в €кому: встановлений б—÷т ј— ; поле пор€дкового номера м—÷стить значенн€ ISSa + 1; поле номера п—÷дтвердженн€ м—÷стить значенн€ ISSb + 1. ѕ—÷сл€ цього “—–-зтјў—‘днанн€ м—÷ж хостами ј —÷ ¬ вважа—‘тьс€ встановленим:

A-> B: ACK, ISSa+1, ACK(ISSb+1)

4.        “епер хост ј може посилати пакети з даними на хост ¬ по т—÷льки що створеному в—÷ртуальному TCP-каналу:

ј -> ¬: ј— , ISSa+1, ACK(ISSb+1); DATA

“ут DATA познача—‘ дан—÷.

–∆з розгл€нутого вище алгоритму створенн€ TCP-зтјў—‘днанн€ видно, що —‘диними —÷дентиф—÷каторами TCP-абонент—÷в —÷ TCP-зтјў—‘днанн€ —‘ два 32-б—÷тн—÷ параметри пор€дкового номера —÷ номера п—÷дтвердженн€ - ISSa —÷ ISSb. ќтже, €кщо хакеров—÷ вдастьс€ д—÷знатис€ поточн—÷ значенн€ пол—÷в ISSa —÷ ISSb, то йому н—÷що не перешкодить сформувати сфальсиф—÷кований TCP-пакет. ÷е означа—‘, що хакеров—÷ досить п—÷д—÷брати поточн—÷ значенн€ параметр—÷в ISSa —÷ ISSb пакету TCP дл€ даного TCP-зтјў—‘днанн€, послати пакет з будь-€кого хосту –∆нтернету в—÷д —÷мен—÷ кл—÷—‘нта даного TCP-п—÷дключенн€, —÷ даний пакет буде сприйн€тий €к д—÷йсний.

“аким чином, дл€ зд—÷йсненн€ описано—„ вище атаки необх—÷дною —÷ достатньою умовою —‘ знанн€ двох поточних 32-б—÷тових параметр—÷в —÷ ISSb, що —÷дентиф—÷кують TCP-зтјў—‘днанн€. –озгл€немо можлив—÷ способи —„х отриманн€. ” раз—÷, коли хакреський хост п—÷дключений до мережевого сегменту, що атаку—‘тьс€, завданн€ отриманн€ значень ISSa —÷ ISSb —‘ трив—÷альним —÷ вир—÷шу—‘тьс€ шл€хом анал—÷зу мережевого траф—÷ку. ќтже, потр—÷бно ч—÷тко розум—÷ти, що протокол TCP дозвол€—‘ захистити з'—‘днанн€ т—÷льки у випадку-неможливост—÷ перехопленн€ хакером пов—÷домлень, €к—÷ передаютьс€ по даному з'—‘днанню, тобто т—÷льки у раз—÷, коли хакреський хост п—÷дключений до мережевого сегменту, в—÷дм—÷нного в—÷д сегменту абонента TCP-зтјў—‘днанн€ [4].

“ому найб—÷льший —÷нтерес дл€ хакера представл€ють м—÷жсегментн—÷ атаки, коли в—÷н —÷ його мета знаход€тьс€ в р—÷зних сегментах мереж—÷. ¬ цьому випадку завданн€ отриманн€ значень ISSa —÷ ISSb не —‘ трив—÷альним. ƒл€ вир—÷шенн€ дано—„ проблеми на сьогодн—÷ придумано т—÷льки два способи.

  • ћатематичний прогноз початкового значенн€ параметр—÷в TCP-з'—‘днанн€ за екстрапол€ц—÷—‘ю попередн—÷х значень ISSa —÷ ISSb.
  • ¬икористанн€ вразливостей —÷дентиф—÷кац—÷—„ абонент—÷в TCP-зтјў—‘днанн€ на rsh-серверах Unix.

ѕерше завданн€ вир—÷шу—‘тьс€ шл€хом поглиблених досл—÷джень реал—÷зац—÷—„ протоколу TCP в р—÷зних операц—÷йних системах —÷ сьогодн—÷ ма—‘ т—÷льки теоретичне значенн€. ƒруга проблема вир—÷шу—‘тьс€ з використанн€м вразливостей системи Unix —÷дентиф—÷кац—÷—„ дов—÷рених хост—÷в. ƒов—÷реним по в—÷дношенню до даного хосту ј назива—‘тьс€ мережевий хост ¬, користувач €кого може п—÷дключитис€ до хосту ј без аутентиф—÷кац—÷—„ за допомогою r-служби хосту ј. ћан—÷пулюючи параметрами TCP-пакет—÷в, хакер може спробувати видати себе за дов—÷рений хост —÷ перехопити TCP-зтјў—‘днанн€ з хостом, що атаку—‘тьс€ [5].

–ƒдиним пор€тунком в—÷д перехопленн€ даних —‘ —„х шифруванн€, тобто криптограф—÷чн—÷ методи захисту. ѕосилаючи в мереж—÷ пов—÷домленн€, сл—÷д заздалег—÷дь припускати, що кабельна система мереж—÷ абсолютно уразлива, —÷ будь-€кий хакер, що п—÷дключивс€ до мереж—÷, зможе виловити з не—„ вс—÷ передан—÷ секретн—÷ пов—÷домленн€. –ƒ дв—÷ технолог—÷—„ вир—÷шенн€ ц—÷—‘—„ задач—÷ - створенн€ мереж—÷ VPN —÷ шифруванн€ самих пов—÷домлень. ¬с—÷ ц—÷ завданн€ можна вир—÷шити за допомогою пакету програм PGP Desktop Security [12].


3.5  омутований доступ до мереж


“елефонн—÷ л—÷н—÷—„ зв'€зку, п—÷дключен—÷ до корпоративно—„ мереж—÷, по сут—÷ —‘ €кнайкращим способом вторгненн€ в комп'ютерну систему орган—÷зац—÷—„. Ќа входах в п—÷дключений до –∆нтернету сервер сьогодн—÷, €к правило, встановлен—÷ брандмауери, а ось телефонн—÷ л—÷н—÷—„, нев—÷домо €к —÷ ким п—÷дключен—÷ до комп'ютер—÷в за допомогою модем—÷в - це реал—÷—„ сьогоденн€. ƒуже багато сп—÷вроб—÷тник—÷в орган—÷зац—÷й п—÷дключають до сво—„х оф—÷сних комп'ютер—÷в модеми дл€ орган—÷зац—÷—„ вход—÷в з—÷ сво—„х домашн—÷х комп'ютер—÷в.

ѕ—÷сл€ такого п—÷дключенн€ вс€ система захисту комп'ютерно—„ системи фактично обнул€—‘тьс€, адже нема—‘ н—÷чого прост—÷шого, н—÷ж визначенн€ телефонно—„ л—÷н—÷—„ з модемом, що працю—‘ на —÷ншому к—÷нц—÷. Ќабравши в—÷дпов—÷дний номер, можна почути характерн—÷ звуки, що видаютьс€ модемом на —÷ншому к—÷нц—÷ л—÷н—÷—„ зв'€зку.

÷—÷ звуки —‘ не що —÷нше, €к сигнали, за допомогою €ких модеми зв'€зуютьс€ один з одним. «наючи протокол вза—‘мод—÷—„ модем—÷в, частоти, посл—÷довност—÷ —÷ тривал—÷сть сигнал—÷в - дл€ фах—÷вц—÷в секрет—÷в тут нема—‘, можна написати програму, що автоматизу—‘ процес пошуку модемних л—÷н—÷й зв'€зку, здатну перебирати набори телефонних номер—÷в —÷з заданого д—÷апазону, ви€вл€ти модемн—÷ л—÷н—÷—„ зв'€зку —÷ записувати отримуван—÷ пов—÷домленн€ в спец—÷альний журнал [4].

Ќа сьогодн—÷шн—÷й день —÷сну—‘ безл—÷ч програм-сканер—÷в, найв—÷дом—÷ш—÷ з них - це утил—÷та Login Hacker, що дозвол€—‘ застосовувати дл€ завдань скануванн€ iенар—÷—„, утил—÷та THN-Scan —÷ ToneLock компан—÷—„ Minor Threat&Mucho Maas. ƒв—÷ останн—÷ утил—÷ти запускаютьс€ з командних р€дк—÷в —÷ не мають граф—÷чного —÷нтерфейсу.

—еред ус—÷х програм сканер—÷в можна вид—÷лити програму PhoneSweep компан—÷—„ Sandstorm. ÷€ утил—÷та дозвол€—‘ сканувати в—÷дразу дек—÷лька телефонних л—÷н—÷й, працюючи з дек—÷лькома модемами одночасно, ви€вл€ти в—÷ддалену програму, що прийма—‘ телефонн—÷ дзв—÷нки, —÷ нав—÷ть п—÷дбирати пароль дл€ доступу до ц—÷—‘—„ в—÷ддалено—„ програми. ƒемо-верс—÷€ програми PhoneSweep дозвол€—‘ робити майже все, окр—÷м виконанн€ реальних дзв—÷нк—÷в, зам—÷нюючи —„х —÷м—÷тац—÷—‘ю.

ўоб приступити до злому л—÷н—÷й зв'€зку, хакеров—÷ необх—÷дно знати телефони орган—÷зац—÷—„, тому перше завданн€ хакера - визначити, хоч би приблизно, д—÷апазон номер—÷в орган—÷зац—÷—„, комп'ютерну систему €ко—„ хакер буде атакувати.

ѕеред виконанн€ атаки квал—÷ф—÷кований хакер завжди викону—‘ попередн—÷й зб—÷р даних про орган—÷зац—÷ю, €кий пол€га—‘ в пошуку вс—÷х в—÷домостей, €к—÷ хакер може з—÷брати про комп'ютерну систему, що атаку—‘тьс€. ћа—‘тьс€ на уваз—÷ —÷нформац—÷€, що м—÷стить зв—÷т про комп'ютерну мережу орган—÷зац—÷—„. Ќа хакреських сайтах можна знайти файли з результатами скануванн€ широкого д—÷апазону телефонних номер—÷в. ” цих файлах можна знайти безл—÷ч в—÷домостей про телефони р—÷зних орган—÷зац—÷й з вказ—÷вкою програми, що прийма—‘ дзв—÷нки, —÷ нав—÷ть в—÷домостей про парол—÷ доступу [12].


3.5.1 —канер PhoneSweep 4.4

”тил—÷та PhoneSweep - по сут—÷, перший по справжньому функц—÷ональний —÷нструмент дл€ анал—÷зу систем захисту телефонних л—÷н—÷й. ѕрограмн—÷ —÷нструменти, що використовувалис€ до цих п—÷р були складн—÷ в управл—÷нн—÷, створен—÷ програм—÷стами-любител€ми —÷ позбавлен—÷ п—÷дтримки виробника. ѕроте основним —„хн—÷м недол—÷ком —‘ погана сум—÷сн—÷сть з сучасними системами Windows.

ѕрограма PhoneSweep позбавлена цих недол—÷к—÷в —÷ пропону—‘ вс—÷м користувачам могутн—÷ засоби тестуванн€ модемних л—÷н—÷й на предмет —„х захищеност—÷ в—÷д несанкц—÷онованого доступу. ѕрограма PhoneSweep волод—÷—‘ такими можливост€ми.

  • ѕрацю—‘ на операц—÷йних системах Windows 95/98/NT/2000/XP.
  • «абезпечена зручним граф—÷чним —÷нтерфейсом.
  • ƒозвол€—‘ тестувати системи захисту на ст—÷йк—÷сть до атак "грубою

силоюї з генерац—÷—‘ю пар лог—÷н/пароль дл€ злому з'—‘днань за протоколом ––– (Point-to-Point protocol - ѕротокол двоточкового з'—‘днанн€).

  • ƒозвол€—‘ створювати зв—÷ти, що налаштовуютьс€.
  • ƒозвол€—‘ працювати з дек—÷лькома модемами, в—÷д 1 до 4.
  • ƒозвол€—‘ зупин€ти —÷ перезапускати скануванн€ з р—÷зними налаштуванн€ми, причому без вс€ко—„ втрати отриманих даних.


3.5.2 –обота з програмою PhoneSweep 4.4

ўоб почати скануванн€ телефонних номер—÷в за допомогою програми Phone-Sweep, сл—÷д зробити три операц—÷—„.

  • ” робочому в—÷кн—÷ програми PhoneSweep в—÷дкрити вкладку Setup (ѕараметри), представлену на рис. 3.22 —÷ налаштувати поточний проф—÷ль програми.
  • ¬—÷дкрити вкладку Phone Numbers (“елефонн—÷ номери), представлену на –ис. 3.21 —÷, клацнувши на кнопц—÷ Add (ƒодати). ¬ д—÷алоз—÷ Add Phone Numbers (ƒодати номери телефону), представленому на рис. 3.23, ввести д—÷апазон телефонних номер—÷в дл€ прозвону.
  • ” робочому в—÷кн—÷ програми PhoneSweep клацнути на кнопц—÷ Start (—тарт) —÷ дочекатис€ результат—÷в.

ќсновною процедурою —‘ налаштуванн€ проф—÷лю програми, €ка в терм—÷нах дов—÷дково—„ системи програми назива—‘тьс€ створенн€м правил прозвону (dialing riles).

ѕравила прозвону програми PhoneSweep дозвол€ють керувати пор€дком, часом —÷ частотою дзв—÷нк—÷в, що виконуютьс€ в процес—÷ скануванн€ телефонних номер—÷в орган—÷зац—÷—„. ѕри створенн—÷ правил прозвону сл—÷д добитис€ тако—„ повед—÷нки програми PhoneSweep, €ка, з одн—÷—‘—„ сторони, не приверне зайво—„ уваги системи захисту л—÷н—÷й зв'€зку, а з —÷ншо—„ - дозволить вир—÷шити поставлене завданн€ з м—÷н—÷мальними зусилл€ми.

ƒл€ —÷дентиф—÷кац—÷—„ —÷ злому доступу до в—÷ддалено—„ системи сл—÷д в—÷дкрити вкладку Effort (–ежим) (рис.3.24).

як видно з рис. 3.24, тут —‘ все необх—÷дне, щоб злом в—÷ддалено—„ системи пройшов €комога ефективн—÷ше. ” списку Set Level (¬станов—÷т—÷ р—÷вень), можна вибрати, чи сл—÷д просто п—÷д'—‘днатис€ до телефону (пункт Connect («'—‘днатис€)), або ж спробувати —÷дентиф—÷кувати в—÷ддалену систему (пункт Identity (–∆дентиф—÷кац—÷€)), або ж спробувати зламати доступ до системи (пункт Penetrate (ѕроникнути)). ѕри цьому список Scan For (—канувати), дозвол€—‘ вибрати режим пошуку модем—÷в факсим—÷льних апарат—÷в, що важливо дл€ р—÷зних застосувань (безглуздо, намагатис€ зламати доступ до факсим—÷льного апарату).

“елефонн—÷ л—÷н—÷—„, п—÷дключен—÷ через модем до комп'ютерно—„ системи - найнад—÷йн—÷ший шл€х дл€ проникненн€ в локальну мережу орган—÷зац—÷—„. ѕричина пол€га—‘ в масовому характер—÷ нелегального встановленн€ модем—÷в дл€ роботи з робочим комп'ютером сид€чи вдома. ƒодати сюди на€вн—÷сть множини забутих —÷ покинутих л—÷н—÷й, повна зневага правилами комп'ютерно—„ безпеки, що пану—‘ в б—÷льшост—÷ орган—÷зац—÷й, ось чому досить часто в—÷дбуваютьс€ зломи мереж р—÷зних ф—÷нансових установ.

ќписана в цьому питанн—÷ програма PhoneSweep - це найб—÷льш могутн—÷й зас—÷б дл€ вир—÷шенн€ завдань проникненн€ у в—÷ддалену систему. ѕрограма PhoneSweep корисна €к хакеров—÷, так —÷ антихакеров—÷, оск—÷льки тестуванн€ телефонних номер—÷в орган—÷зац—÷—„ - це над—÷йний спос—÷б перев—÷рки на€вност—÷ недол—÷к—÷в в систем—÷ захисту комп'ютерно—„ системи в—÷д в—÷ддаленого проникненн€ [4].

¬исновки


¬ дан—÷й квал—÷ф—÷кац—÷йн—÷й робот—÷ вивчено основн—÷ види арх—÷тектури обчислювальних мереж, встановлено, що —÷снують так—÷ види арх—÷тектури: арх—÷тектура терм—÷нал - головний комптјўютер, однорангова арх—÷тектура, арх—÷тектура кл—÷—‘нт - сервер. –озгл€нут—÷ особливост—÷ —„хнього використанн€.

¬ робот—÷ також проанал—÷зовано методи пошуку несправностей в мереж—÷, та ви€влено —„хн—÷ основн—÷ причини. ¬становлено, що до найб—÷льш поширених несправностей можна в—÷днести: ре—‘страц—÷ю робочо—„ станц—÷—„, наданн€ DHCP сервером –∆–-адреси робоч—÷й станц—÷—„, швидкод—÷€ мереж—÷, помилки у журнал—÷ под—÷й, та надм—÷рне широкомовленн€. “акож вивчен—÷ можливост—÷ —„хнього вир—÷шенн€.

¬ третьому розд—÷л—÷ роботи досл—÷джен—÷ методи несанкц—÷онованого доступу до мереж та захист в—÷д них. ¬и€влено, що отримати несанкц—÷онований доступ до комптјўютерно—„ мереж—÷ можна за допомогою засоб—÷в в—÷ддаленого керуванн€, перехопленн€м мереживих даних, за допомогою комутованого доступу, при злом—÷ брандмауера, та —÷ншими методами. ¬становлено, що дл€ захисту мереж—÷ адм—÷н—÷стратору необх—÷дно регул€рно прогл€дати журнал безпеки, що допоможе ви€вити незрозум—÷л—÷ под—÷—„, так—÷ €к очищенн€ журналу безпеки, або доступ до захищених ресурс—÷в. ƒл€ запоб—÷ганн€ взлому, парол—÷ доступу мають бути досить складними, щоб —„х не можна було зламати словарною атакою, або простим перебором. –озд—÷ленн€ доступу користувач—÷в до мережевих ресурс—÷в р—÷зного ступен€ секретност—÷ також р—÷зко п—÷двищу—‘ р—÷вень безпеки мереж—÷.

—писок скорочень —÷ по€снень


Netmon (Microsoft Network Monitor- мережевий мон—÷тор) програма дл€ операц—÷йних систем с—÷мейства Windows, призначена дл€ перегл€ду пакет—÷в даних в комптјўютерн—÷й мереж—÷.

IP (Internet Protocol - протокол Internet). ѕротокол стека TCP/IP, що забезпечу—‘ адресну —÷нформац—÷ю —÷ —÷нформац—÷ю про маршрутизац—÷ю. ѕротокол IP забезпечу—‘ обм—÷н дейтаграмами м—÷ж вузлами мереж—÷ —÷ —‘ протоколом, що не встановлю—‘ з'—‘днанн€ —÷ що використову—‘ дейтаграми дл€ в—÷дправки даних з одн—÷—‘—„ мереж—÷ в —÷ншу.

TCP (Transmission Control Protocol - протокол управл—÷нн€ передачею). ѕротокол стека TCP/IP, що в—÷дпов—÷да—‘ за над—÷йну передачу даних в—÷д одного вузла мереж—÷ до —÷ншого. ¬—÷н створю—‘ сеанс з—÷ встановленн€м з'—‘днанн€, тобто в—÷ртуальний канал м—÷ж машинами.

NETBIOS (Ѕазова мережева система вводу виводу). NETBIOS встановлю—‘ з'—‘днанн€ м—÷ж комп'ютерами, а NETBEUI нада—‘ послуги передач—÷ даних дл€ цього з'—‘днанн€.

NETBEUI (NETBIOS Extended User Interface - розширений призначений дл€ користувача —÷нтерфейс базово—„ мережево—„ системи вводу виводу). –озроблений сп—÷льно IBM —÷ Microsoft, цей протокол забезпечу—‘ транспортн—÷ послуги дл€ NETBIOS.

ICMP (Internet Control Message Protocol - протокол керуючих пов—÷домлень Internet) використову—‘тьс€ протоколом IP —÷ —÷ншими протоколами високого р—÷вн€ дл€ в—÷дправки —÷ отриманн€ зв—÷т—÷в про стан передано—„ —÷нформац—÷—„. ÷ей протокол використову—‘тьс€ дл€ контролю швидкост—÷ передач—÷ —÷нформац—÷—„ м—÷ж двома системами. якщо маршрутизатор, що сполуча—‘ дв—÷ системи, переобт€жений траф—÷ком, в—÷н може в—÷дправити спец—÷альне пов—÷домленн€ ICMP - помилку дл€ зменшенн€ швидкост—÷ в—÷дправленн€ пов—÷домлень.

UDP (User Datagram Protocol - протокол призначених дл€ користувача дейтаграм ) призначений дл€ в—÷дправки невеликих об'—‘м—÷в даних без установки з'—‘днанн€ —÷ використову—‘тьс€ програмами, €к—÷ не потребують п—÷дтвердженн€ адресатом —„х отриманн€.

WINS (Windows Internet Name Service -—лужба —÷нтернет —÷мен Windows, —÷нша назва тј‘ NetBIOS Name Server, NBNS) тј‘ cлужба з—÷ставленн€ NetBIOS-—÷мен комп'ютер—÷в з IP-адресами вузл—÷в. —ервер WINS зд—÷йсню—‘ ре—‘страц—÷ю —÷мен, виконанн€ запит—÷в —÷ зв—÷льненн€ —÷мен. ѕри використанн—÷ NetBIOS поверх TCP/IP необх—÷дний WINS сервер дл€ визначенн€ коректних IP-адрес.

TCP/IP¬атј‘ (Transmiss—÷on Control Protocol¬а/ Internet Protocol - протокол керуванн€ передачею¬а/ протокол Internet ) розбива—‘ вих—÷дне пов—÷домленн€ на пакети (TCP), доставл€—‘ пакети на вузол адресата(IP) —÷ збира—‘ (в—÷дновленн€) вих—÷дного пов—÷домленн€ з пакет—÷в (TCP).

DNS (Domain Name System - домена система —÷мен  )¬атј‘ розпод—÷лена система перетворенн€ —÷мен—÷ хоста (комп'ютера або —÷ншого мережевого пристрою) в IP-адресу.

DHCP ( Dynamic Host Configuration Protocol¬атј‘ протокол динам—÷чно—„ конф—÷гурац—÷—„ вузла)¬амережний протокол, що дозвол€—‘ комп'ютерам автоматично одержувати IP-адресу й —÷нш—÷ параметри, необх—÷дн—÷ дл€ роботи в мереж—÷ TCP/IP. ƒл€ цього комп'ютер зверта—‘тьс€ до спец—÷ального серверу, п—÷д назвою сервер DHCP. ћережний адм—÷н—÷стратор може задати д—÷апазон адрес, що розпод—÷л€ють серед комп'ютер—÷в. ÷е дозвол€—‘ уникнути ручного налаштуванн€ комп'ютер—÷в мереж—÷ й зменшу—‘ к—÷льк—÷сть помилок. ѕротокол DHCP використову—‘тьс€ в б—÷льшост—÷ великих мереж TCP/IP.

BOOTP ( Bootstrap Protocol) мережевий протокол, що використову—‘тьс€ дл€ автоматичного отриманн€ кл—÷—‘нтом IP-адресаи. ÷е зазвичай в—÷дбува—‘тьс€ в час завантаженн€ комп'ютера. BOOTP дозвол€—‘ бездисковим робочим станц—÷€м отримувати IP-адресу перш, н—÷ж буде завантажена повноц—÷нна операц—÷йна система.

–ќ–3 (Post Office Protocol -поштовий оф—÷сний протокол) протокол, що використову—‘тьс€ кл—÷—‘нтом дл€ доступу до пов—÷домлень електронно—„ пошти на сервер—÷.

SMB (Server Message Block тј‘ протокол прикладного р—÷вн€ в модел—÷ OSI), зазвичай використову—‘тьс€ дл€ наданн€ розд—÷леного доступу до файл—÷в, принтер—÷в, посл—÷довних порт—÷в передач—÷ даних, та —÷ншо—„ вза—‘мод—÷—„ м—÷ж вузлами в комп'ютерн—÷й мереж—÷. “акож нада—‘ можливост—÷ м—÷жпроцесно—„ вза—‘мод—÷—„ з аутентиф—÷кац—÷—‘ю.

Host (’ост). ¬ терм—÷нолог—÷—„ –∆– будь-€кий пристр—÷й з –∆–-адресом. ¬ загальному розум—÷нн—÷ це або джерело, або м—÷iе призначенн€ пов—÷домленн€ в мереж—÷.

ARP ( Address Resolution Protocol тј‘ протокол визначенн€ адрес) тј‘ мережевий протокол, призначений дл€ перетворенн€ IP-адрес (адрес мережевого р—÷вн€) в MAC-адреси (адреси канального р—÷вн€) в мережах TCP/IP.

ARP - RARP (Reverse Address Resolution Protocol - реверсивний протокол дозволу адреси) знаходить –∆–-адресу за в—÷домою локальною адресою.

NETLOGON (ћережений вх—÷д в систему) служба дл€ перев—÷рки д—÷йсност—÷ користувач—÷в —÷ служби €к—÷ вход€ть в систему.

ћастер-броузер - в—÷дпов—÷да—‘ за зб—÷р —÷нформац—÷—„ дл€ створенн€ —÷ п—÷дтримки списку перегл€ду, €кий м—÷стить вс—÷ сервери в домен—÷ мастер-броузера, або робочо—„ групи, а також перерахову—‘ вс—÷ домени мереж—÷.

SAM (Security Account Manager -диспетчер обл—÷кових даних системи захисту). Ѕаза даних SAM м—÷стить шифрован—÷ коди парол—÷в обл—÷кових запис—÷в.

MIB (Management Information Base - база керуючо—„ —÷нформац—÷—„). Ѕаза даних MIB м—÷стить таблицю запущених служб, зв—÷т про спос—÷б розмежуванн€ доступу, перел—÷к сеанс—÷в —÷ обл—÷кових запис—÷в користувач—÷в, наб—÷р загальних ресурс—÷в сервера —÷ —÷ншу —÷нформац—÷ю.

Ћ—÷тература


  1. Ѕормотов —.¬. —истемное администрирование на 100%. - —ѕб.; ѕитер, 2006. - 256.:ил.
  2. –ƒд ”—÷лсон ,, ћон—÷торинг —÷ анал—÷з мережтјЁ ћосква видавництво ,,ЋоритјЁ 2002р.
  3. ссылка на сайт удаленаA>
  4. Alex WebKnacKer Ѕыстро и легко. ’акинг и антихакинг: защита и нападение. ”чебное пособие.тј‘ ћ.: Ћучшие книги, 2004 тј‘ 400 с.: ил.
  5. ссылка на сайт удаленаA>

6. Ћокальна€ сеть своими руками. 100% самоучитель : [учеб. пособие] / ».я. ћинаев. - ћ. : “≈’ЌќЋќƒ∆» - 3000, 2004 - 368 с.: ил.

7. ѕол€к-Ѕрагинский ј.¬. јдминистрирование сети на примерах. тј‘ —ѕб.: Ѕ’¬-ѕетербург, 2005. тј‘ 320 с : ил.

8. ћак- лар —., —кембрей ƒ.,  урц ƒ. —екреты хакеров. Ѕезопасность сетей -готовые решени€, 2-е изд.: ѕер. с англ. - ћ.: »здательский дом "¬иль€меї, 2001.- 656 с.: ил. - ѕарал. титл. англ.

9. –. Ѕраг. —истема безопасности Windows 2000.: ѕер. с англ. - ћ.: »здательский дом "¬иль€меї, 2001. - 592 с.: ил. - ѕарал. тит. англ.

10.ћ. ћамаев, —. ѕетренко "“ехнологи€ защиты информации в »нтернете. —пециальный справочникї - —ѕб.: ѕитер. 2002. - 848 с.: ил.

11.Ћукацкий ј.¬. ќбнаружение атак - —ѕб.: "Ѕ’¬-ѕетербургї, 2001. - 624 с.: ил.

12.Alex JeDaev я люблю компьютерную самооборону. ”чебное пособие - ћ.: “олько дл€ взрослых, 2002 - 432 с.: ил.

—траницы:
Ќазад 1 ¬перед