Réseau Enumeration/Discovery

Share

|

Avant que nous puissions gagner l'accès non autorisé à un réseau, nous devons savoir la topologie du réseau. Chaque information que nous pouvons obtenir au sujet du réseau de cible ajoute un morceau au puzzle. Nous balayons spécifiquement le réseau de cible pour obtenir une liste de centres serveurs de phase, aussi bien que pour commencer à tracer la cible pour obtenir un sens de son architecture et du genre de trafic (par exemple, TCP, UDP, IPX) qui est permis. Le but de la découverte est de commencer sans l'information et de recueillir autant données comme possible au sujet du réseau et des systèmes de cible. Nous employons alors cette information pour identifier des exploits potentielles.

Le processus de découvrir cette information s'appelle l'énumération de réseau et est la première étape à un essai de pénétration externe. Cette étape est exécutée en grande partie au-dessus de l'Internet à l'aide du logiciel aisément disponible et publiquement des dépôts accessibles d'information. La majeure partie d'information que nous obtenons en cette étape est librement disponible et légale pour obtenir. Cependant, moniteur de beaucoup de compagnies qui essaye d'obtenir cette information puisqu'elle peut indiquer un prélude à une attaque.

Question De WHOIS

Même avant que nous commençons le balayage de réseau, nous devons déterminer les noms de domaine et les chaînes de IP address qui appartiennent à l'organisation de cible. Pour simuler le scénario d'un intrus externe, aucunes informations préalables sur l'organisation de cible ne devraient être fournies au conseiller pour déterminer mieux la quantité de l'information que un intrus pourrait obtenir. Cependant, avant de se déplacer à la deuxième étape du processus, tous les noms identifiés de domaine et adresses d'IP devraient être vérifiés avec l'organisation de cible pour les assurer sont possédés par l'organisation et font partie de la portée de l'exercice.

Pour déterminer les chaînes de IP address liées au client, nous exécutons une question de WHOIS d'Internet. La commande peut être courue à la façon des indigènes sur la plupart des environnements d'UNIX (WHOIS d'homme de contrôle pour l'utilisation et la syntaxe version-spécifique). Pour l'environnement de Windows, le paquet de PingPro de W et la cosse de SAM sont deux outils qui peuvent être utilisés pour exécuter des questions de WHOIS.

Des questions de WHOIS peuvent également être faites au-dessus du Web à partir de www.arin.net et de www.networksolutions.com.

Une question de WHOIS fournit le contact administratif, le contact d'affichage, et l'adresse du réseau de cible. L'information administrative et de facturation de contact peut être utile pour effectuer des attaques sociales de technologie sur les employés du réseau de cible.

La question de WHOIS fournit les chaînes de IP address qui sont associées au nom que vous écrivez. On peut retourner quelques gammes qui appartiennent à une organisation séparée avec un nom semblable. Par exemple, les résultats partiels d'une question de WHOIS sur la compagnie indiquent des adresses enregistrées d'IP pour une collection de sociétés dont les noms incluent la compagnie de mot mais peuvent ne pas être l'organisation de cible.

Des chaînes multiples d'IP qui appartiennent au client, une partie peut appartenir à différentes divisions de l'organisation et du mensonge du client en dehors de la portée de l'enclenchement. Les cibles pour l'enclenchement devraient être vérifiées quand cette information est trouvée.

Les questions de WHOIS renvoient seulement les 50 premiers articles qui assortissent la question. Ceci est mis en application par Internic pour limiter le temps de recherche. Pendant que les listes des domaines d'Internet se développent, le charger de rechercher toutes les listes et de renvoyer toutes les allumettes possibles devient plus informatique intensif.

Si la compagnie de cible a plus de 50 listes qui vous intéressent, vous pouvez devoir vous engager dans la recherche créatrice. Une idée est de casser vers le haut les noms de la compagnie ou de la recherche des pluriels ou des noms de compagnie modifiés. Trouvez les noms des organismes subsidiaires (les communiqués de presse sur l'emplacement du Web de compagnie de cible sont un bon endroit à regarder) et recherchez ces noms aussi bien.

Répartissez en zones Le Transfert

Une question de WHOIS renvoie également la liste de serveurs de Domain Name qui fournissent le nom d'hôte du réseau de cible et tracer de IP address. (cette information, avec l'information de contact, est trouvée en cliquant sur le nom de bloc net lié à la liste.) Pour obtenir la liste d'IP de réseau, nous voulons essayer un transfert de zone contre chaque système identifié comme serveur de DNS. Un transfert de zone demande la liste complète d'adresses assorties d'IP et de noms d'hôte stockés dans un DNS pour un domaine indiqué.

Un transfert de zone peut être exécuté avec la commande de nslookup qui est soutenue par les plateformes d'UNIX et de Windows. La cosse de SAM, le paquet de PingPro de W, et les outils sur le logiciel d'exploitation de Windows tous de NetScan fournissent une interface utilisateur graphique (GUI) pour exécuter un transfert de zone. Afin d'exécuter un transfert de zone, nous devons utiliser un serveur de DNS qui est bien fondé pour le domaine d'intérêt ; donc, nous utilisons les serveurs de Domain Name identifiés par la question de WHOIS.

Le transfert de zone renvoie une liste des adresses d'IP et de leurs noms d'hôte correspondants. Une liste typique peut sembler quelque chose comme ceci :

LS - d abc.com
[ server.abc.com ]
 abc.com. SOA server.abc.com
admin.abc.com. (200000068 300 800 359100 4700)
 abc.com. Des 10.10.10.30
 abc.com. NS server.abc.com
 abc.com. MX 10 mail.abc.com
 affaires A 10.10.10.11
 application A 10.10.10.32
 mailsweeper A 10.10.10.50
 mimesweeper CNAME server4.abc.com
 server4 A 10.10.10.40
 abc.com. SOA server.abc.com
admin.abc.com. (200000068 300 800 359100 4700)

Les noms d'hôte de machine indiquent souvent la fonction de la machine. Par exemple, la machine de corporation de mur à l'épreuve du feu s'appelle souvent “mur à l'épreuve du feu” ou le nom du fonctionnement de mur à l'épreuve du feu, tel que “le gantelet” ou “le Firewall1.” De même, nous avons vu quelques noms également d'indication de machine, tels que “mail.companyname.com,” “smtp.companyname.com,” “ftp.companyname.com,” “dns01.companyname.com,” “ns01.companyname.com,” et “web03.companyname.com.” L'évidence forte d'offre de ces noms non seulement de leur fonction principale mais indiquent également la présence d'autres machines. Par exemple, s'il y a une machine web03 sur un réseau particulier, se tient là pour raison pour laquelle un web01 et un web02 peuvent également exister. S'il y a une machine ns01, il peut également y avoir les machines NS et de ns02. À la lumière de ceci, des noms des équipes de sports, les personnes célèbres, et les caractères de dessin animé ont été employés en tant que bons noms de machine. Il est facile se rappeler les, et ils ne fournissent loin aucune information technique.

En faire un transfert de zone, maintenez dans l'esprit que souvent le serveur de DNS n'a pas une liste complète pour les centres serveurs de tout le réseau de cible. Plusieurs machines peuvent employer DHCP, et la compagnie peut utiliser les serveurs séparés de Domain Name pour des domaines séparés. En outre, son DNS peut ne pas soutenir des demandes de transfert de zone des centres serveurs non autorisés, les permettant seulement des serveurs nommés de secours dans l'organisation. Par conséquent, vous devriez essayer des transferts de zone contre les serveurs identifiés du Domain Name de tout le réseau de cible. On peut offrir au moins une liste partielle.

Nous avons également vu des compagnies externaliser la fonction de Domain Name ou utiliser le serveur du DNS de leur ISP. Dans notre expérience, l'exécution d'un transfert de zone contre un serveur de DNS ou aucune machine appartenant à une ISP ou d'un tiers généralement n'est pas reçue bien par ces tiers. Dans ce cas, nous omettons habituellement cette étape à moins que nous ayons le consentement écrit de l'organisation de cible et du tiers. Dans ces situations, s'assurent les limites de l'état d'essai de pénétration clairement si les systèmes accueillis sont dans la portée de l'enclenchement.

D'autre part, les machines de DNS qui appartiennent à l'organisation de client mais ne sont pas une partie de la chaîne de IP address sont spécifiquement dans la portée et sont les cibles valides d'un transfert de zone aussi longtemps qu'il y a une chance raisonnable que ce DNS offrira l'information concernant le domaine de cible de dans-portée. C'est parce qu'une pénétration Internet-basée se fonde sur employer l'information qui les mensonges dans le public domain ou est publiquement accessible.

Ceci se produit habituellement quand la cible comporte un ou plusieurs domaines dans une grande organisation. Le serveur principal de DNS pour l'organisation aura probablement une liste partielle des centres serveurs dans le domaine de cible même si il se trouve l'extérieur qui domaine.

À la différence de la question de WHOIS, un transfert de zone est assez indicatif de l'activité d'intrus puisqu'il n'y a vraiment aucun besoin de l'utilisateur général d'avoir cette information. Par conséquent, quelqu'un qui fait cette question contre un serveur de DNS est probablement un attaquant potentiel. Pour cette raison, nous suggérons exercer le bon jugement avant d'exécuter ces questions. Les transferts de zone peuvent indiquer au personnel de réseau le commencement d'un essai de pénétration contre le réseau.

Champs De Cinglement

Notre prochaine étape est de cingler les adresses découvertes d'IP pour voir s'ils sont “hauts” ou “de phase.” Il y a une variété de manières de cingler un ensemble d'adresses d'IP. Le plus généralement utilisé est le cinglement traditionnel d'ICMP (avec des demandes d'écho ou l'écho répondent des messages), mais gagner la popularité est un cinglement de TCP (avec pleine ou demi de poignée de main de TCP). Beaucoup d'emplacements ont pris la mesure de sécurité de limiter le trafic d'ICMP ou de le bloquer au mur à l'épreuve du feu et au couteau de frontière, limitant leur exposition au cinglement traditionnel. Cependant, on peut encore permettre un cinglement de TCP sur le réseau.

Avec le temps, les organismes sont devenus plus à même de bloquer un champ de cinglement, et les contre-mesures deviennent plus répandus. Tandis que vous pouvez supposer avec une certaine quantité de confiance qui un centre serveur qui envoie une réponse d'ICMP à une demande d'écho d'ICMP est en activité, il n'est pas toujours vrai qu'un centre serveur qui n'envoie pas une telle réponse soit nécessairement vers le bas. Le centre serveur peut être en baisse, ou le trafic d'ICMP à ce centre serveur peut être filtré et la demande de cinglement simplement ne l'a pas atteint. Des réponses fausses peuvent également être envoyées aux demandes d'écho d'ICMP par des dispositifs de sécurité de périmètre.

Selon le niveau de la discrétion vous cherchez dans votre activité de cinglement, il y a une variété de mesures que vous pouvez prendre pour rester sous le radar d'un système de détection d'intrusion qui peut surveiller le trafic de réseau. Il vaut la peine de mentionner cela qui randomise l'ordre des adresses d'IP étant des aides cinglées évitent la détection, de même que changeant le temps entre envoyer des paquets de cinglement et diviser les adresses d'IP en groupes multiples (c'est le plus utile pour un grand nombre de centres serveurs, c.-à-d., plus de 100).

L'utilité de cinglement existe à la façon des indigènes sur la plupart des logiciels d'exploitation et peut être exécutée d'une grande collection d'outils. Un des plus populaire est Nmap en raison de sa configuration, de sa facilité d'utilisation, et des autres dispositifs qu'elle inclut (cinglement de TCP, balayage gauche, identification d'OS). Pour les environnements de Windows, Pinger et paquet de PingPro de W sont les deux outils efficaces pour exécuter des champs de cinglement. (en outre, une version Windows-compatible sur Nmap est actuellement en cours de développement.) Pinger cingle strictement un ensemble d'adresses d'IP tandis que le paquet de PingPro de W fournit la fonctionnalité additionnelle par une suite des outils.

Des champs de cinglement ne sont pas généralement considérés comme évidence de l'intention nocive pour entailler un système. Cependant, ils peuvent être irritants ou destructifs s'ils deviennent excessifs ; par exemple, cinglent chaque boîte sur un réseau de la classe C toutes les 30 secondes pendant 8 heures et voient comment cela affecte la largeur de bande.

Traceroute

Afin de fournir une carte rugueuse de l'architecture de client, nous traçons l'itinéraire à plusieurs des centres serveurs de phase. C'est un processus pénible, mais il aide à identifier les couteaux, les murs à l'épreuve du feu, les dispositifs d'charge-équilibrage, et d'autres machines de frontière en place sur le réseau de cible. En outre, il aide à identifier les centres serveurs qui sont sur des segments séparés. Des centres serveurs sur des segments séparés peuvent être contrôlés par différents individus et peuvent avoir des rapports de confiance qui peuvent être exploités pour compromettre le système.

Un traceroute marque le chemin des paquets d'ICMP du centre serveur local (où la commande est exécutée) au centre serveur de destination. Il est disponible comme ligne de commande outil sur les logiciels d'exploitation d'UNIX (traceroute) et de Windows (tracert). En outre, l'outil windows-based VisualRoute assure ce service aussi bien que tracer le chemin au-dessus d'une carte du monde.

Nous exécutons des traceroutes sur plusieurs adresses d'IP dans le même bloc d'adresse de la classe C pour voir si les paquets d'ICMP suivent le même chemin. Nous sommes intéressés à voir les houblon juste avant la cible. Ces houblon peuvent représenter des couteaux, des murs à l'épreuve du feu, ou d'autres passages. Si plusieurs centres serveurs ont le même houblon antérieur, c'est probablement un couteau ou un mur à l'épreuve du feu. S'il y a un centre serveur commun après quoi des paquets d'ICMP peuvent plus n'être vus, c'aussi peut être le mur à l'épreuve du feu ou le couteau de filtrage. En outre, un centre serveur commun devant une banque des serveurs de Web peut être un dispositif d'charge-équilibrage ou un redirector de Web.

Si vous notez que les paquets à quelques centres serveurs sur le segment de réseau suivent une voie de déroutement, vous avez pu avoir découvert de nouveaux passages dans le réseau de cible. Il n'est pas rare que les segments de réseau aient les raccordements multiples à l'unbeknownst—d'Internet aux directeurs de réseau. Ceux-ci peuvent être développés en marche pour les essais ou les applications particuliers de réseau et être simplement oubliés. De tels chemins mènent souvent aux compromis de réseau.