Скан версия как пишется

Методы

Скан версия как пишется
Методы удаленного сканирования портов

Методы “невидимого” удаленного сканирования

Первым методом анонимного сканирования является метод, получивший название FTP Bounce Attack (скрытая атака по FTP). Протокол FTP (RFC 959) имеет ряд, как нам кажется, чрезвычайно интересных и недостаточно описанных функций, одна из которых – возможность создания так называемых “proxy” ftp-соединений с FTP-сервера.

Если программная реализация FTP-сервера поддерживает режим proxy, то любой пользователь (и анонимный в том числе) может, подключившись к серверу, создать процесс DTP-server (Data Transfer Process – процесс передачи данных) для передачи файла с этого FTP-сервера на любой другой сервер в Internet.

Функциональность данной возможности протокола FTP вызывает некоторое сомнение, так как в обычной ситуации ftp-клиент, подключающийся к серверу, передает и получает файлы либо непосредственно от себя, либо для себя.

Представить иной вариант действий, на наш взгляд, достаточно сложно, но, видимо, создатели протокола FTP для его “будущего” развития предусмотрели подобную возможность, которая теперь выглядит несколько архаичной и отнюдь не безопасной.

Эта особенность протокола FTP позволяет предложить метод TCP-сканирования с использованием proxy ftp-сервера, состоящий в следующем: ftp-серверу после подключения выдается команда PORT с параметрами IP-адреса и TCP-порта объекта сканирования.

Далее следует выполнить команду LIST, по которой FTP-сервер попытается прочитать текущий каталог на объекте, посылая на указанный в команде PORT порт назначения TCP SYN-запрос.

Если порт на объекте открыт, то на сервер приходит ответ TCP SYN АСК и FTP-клиент получает ответы “150” и “226”, если же порт закрыт, то ответ будет таким:

425. Can't Build Data Connection: Connection Refused

(425. Невозможно установить соединение: в соединении отказано).

Далее в цикле FTP-серверу последовательно выдаются команды PORT и LIST и осуществляется сканирование разных портов.

Данный метод вплоть до конца 1998 года был единственным и поистине уникальным методом “невидимого” анонимного сканирования (уникальным он остается и по сей день). Основная проблема взломщиков всегда состояла в невозможности скрыть источник сканирования, так как требовалось получать ответы на передаваемые запросы.

Кроме того, в некоторых случаях межсетевой экран (МЭ) мог фильтровать запросы с неизвестных IP-адресов, поэтому данный метод совершил революцию в сканировании, так как, во-первых, позволял скрыть адрес кракера и, во-вторых, давал возможность сканировать контролируемую МЭ подсеть, используя внутренний расположенный за МЭ ftp-сервер.

Приведем список появляющихся при подключении заставок, генерируемых программами реализации FTP-серверов, которые поддерживают режим proxy, и на которых данный метод работает. 220 xxxxxxx.com FTP server (Version wu-2.4(3) Wed Dec 14 …) ready. 220 xxx.

xxx.xxx.edu FTP server ready. 220 xx.Telcom.xxxx.EDU FTP server (Version wu-2.4(3) Tue Jun 11 …) ready. 220 lem FTP server (SunOS 4.1) ready. 220 xxx.xxx.es FTP server (Version wu-2.4(11) Sat Apr 27 …) ready. 220 elios FTP server (SunOS 4.

1) ready

Следующие версии реализации FTP не поддерживают proxy, и метод соответственно не работает. 220 wcarchive.cdrom.com FTP server (Version DG-2.0.39 Sun May 4 …) ready. 220 xxx.xx.xxxxx.EDU Version wu-2.4.

2-academ[BETA-12](1) Fri Feb 7 220 ftp Microsoft FTP Service (Version 3.0). 220 xxx FTP server (Version wu-2.4.2-academ[BETA-11](1) Tue Sep 3 …) ready. 220 xxx.unc.edu FTP server (Version wu-2.4.2-academ[BETA-13](6) ..

.) ready.

Сканирование с использованием “немого” хоста

Сальвадор Сапфилинпо (Salvatore Sanfilippo) из Intesis Security Lab впервые заявил об этом методе 18 декабря 1998 года в конференции BUGTRAQ. Оригинальное название метода Dumb host scan переводится как “сканирование с использованием “немого” хоста”. Основные положения, лежащие в основе метода (рис. 5.1), cостоят в следующем:

С каждым переданным пакетом значение ID в заголовке IP-пакета обычно увеличивается на 1.
  • хост отвечает на TCP SYN-зaпpoc TCP SYN ACK, если порт открыт; и TCP RST, если порт закрыт;
  • существует возможность узнать количество пакетов, переданных хостом, но параметру ID в заголовке IP;
  • хост отвечает TCP RST на TCP SYN ACK и ничего не отвечает на TCP RST.
Естественно, это происходит только в случае “неожиданного” прихода таких пакетов (при ip spoofing, например).

Рис. 5.1. Сканирование методом Dumb host scan с открытым (слева) и закрытым (справа) портом X на хосте C

Рассмотрим, как работает данный метод.

Пусть X-Hacker – хост атакующего, откуда осуществляется сканирование, объект В – “тихий” хост (обычный хост, который не будет передавать пакеты, пока происходит скапирование хоста С; таких хостов вполне достаточно в Internet), а хост С – объект сканирования.

Хост X-Hacker при помощи, например, утилиты hping контролирует число исходящих от хоста В пакетов по ID из заголовка IP, имеющего вид: #hping B -r HPING B (eth0 194.94.94.94): no flags are set, 40 data bytes 60 bytes from 194.94.94.94: flags=RA seq=0 ttl=64 id=41660 win=0 time=1.2 ms 60 bytes from 194.

94.94.94: flags=RA seq=1 ttl=64 id=+1 win=0 time=75 ms 60 bytes from 194.94.94.94: flags=RA seq=2 ttl=64 id=+1 win=0 time=91 ms 60 bytes from 194.94.94.94: flags=RA seq=3 ttl=64 id=+1 win=0 time=90 ms 60 bytes from 194.94.94.94: flags=RA seq=4 ttl=64 id=+1 win=0 time=91 ms 60 bytes from 194.94.94.

94: flags=RA seq=5 ttl=64 id=+1 win=0 time=87 ms

Как видно, ID увеличивается с каждым пакетом на 1, следовательно, хост В – именно тот “тихий” хост, который нужен кракеру.

X-Hacker посылает TCP SYN-запрос на порт Х хоста С от имени В (автор метода предлагает для этого использовать утилиту hping с его сайта http://www.kyuzz.org/antirez, но можно применять и любые другие программные средства). Если порт Х хоста С открыт, то хост С пошлет на хост В ответ TCP SYN АСК (хост С не может знать, что этот пакет на самом деле пришел от X-Hacker).

В этом случае объект В в ответ на TCP SYN АСК ответит на С пакетом TCP RST. Если атакующий пошлет на С определенное количество TCP SYN от имени хоста В, то В, получив несколько TCP SYN АСК, ответит столькими же TCP RST, и на хосте X-Hacker будет видно, что В посылает пакеты, следовательно, порт Х открыт. Выглядит это следующим образом: 60 bytes from 194.94.94.

94: flags=RA seq=17 ttl=64 id=+1 win=0 time=96 ms 60 bytes from 194.94.94.94: flags=RA seq=18 ttl=64 id=+1 win=0 time=80 ms 60 bytes from 194.94.94.94: flags=RA seq=19 ttl=64 id=+2 win=0 time=83 ms 60 bytes from 194.94.94.94: flags=RA seq=20 ttl=64 id=+3 win=0 time=94 ms 60 bytes from 194.94.94.94: flags=RA seq=21 ttl=64 id=+1 win=0 time=92 ms 60 bytes from 194.94.94.

94: flags=RA seq=22 ttl=64 id=+2 win=0 time=82 ms

Порт открыт!

В том случае, если порт Х хоста С закрыт, то передача на С нескольких TCP SYN-пакетов от имени В вызовет ответный пакет TCP RST. Хост В, получив от хоста С такой пакет, проигнорирует его. Выглядит это так: 60 bytes from 194.94.94.94: flags=RA seq=52 ttl=64 id=+1 win=0 time=85 ms 60 bytes from 194.94.94.

94: flags=RA seq=53 ttl=64 id=+1 win=0 time=83 ms 60 bytes from 194.94.94.94: flags=RA seq=54 ttl=64 id=+1 win=0 time=93 ms 60 bytes from 194.94.94.94: flags=RA seq=55 ttl=64 id=+1 win=0 time=74 ms 60 bytes from 194.94.94.94: flags=RA seq=56 ttl=64 id=+1 win=0 time=95 ms 60 bytes from 194.94.94.

94: flags=RA seq=57 ttl=64 id=+1 win=0 time=81 ms

Порт закрыт!

Сканирование через proxy-сервер

Еще один метод или, скорее, способ сканирования объекта, при котором можно остаться анонимным, – сканирование с использованием промежуточного хоста (или цепочки хостов, что еще более надежно). В данном случае предлагаем действовать следующими двумя способами.

Первый способ состоит в использовании анонимных Free Telnet Account (свободный Telnet-доступ) которых в Internet довольно много.

При помощи telnet можно, подключившись к данному хосту, от его имени веcти сканирование любого хоста в Internet.

Для этого пишется небольшой скрипт, который, последовательно изменяя порт назначения, будет выдавать следующую команду: telnet Scan_Host_Name Target_TCP_Port.

Если порт закрыт, telnet вернет сообщение Connection Refused (В соединении отказано) или не вернет ничего. Если же порт открыт, появится заставка соответствующей службы.

Второй способ заключается в использовании любимых всеми кракерами WinGate-серверов. WinGate – это обычная proxy-программа, позволяющая через сервер такого типа выходить в Internet, где можно найти немало WinGate-серверов, администраторы которых разрешают анонимное подключение к ним с любых IP-адресов.

Это приводит к тому, что кракер получает прекрасный промежуточный хост, от имени (с IP-адреса) которого, используя различные прикладные службы (telnet, ftp и т. д.), он может вести работу с любыми объектами в Internet, сохраняя при этом полную и столь желанную для него анонимность.

WinGate-сервер можно использовать для сканирования по той же “telnet-методике”, которая описана выше.

В заключение хотелось бы отметить неадекватную, на наш взгляд, реакцию многих сетевых администраторов, обнаруживших сканирование их сетей: обычно реакция на него практически ничем не отличается от реакции на уже осуществленное воздействие. Да, безусловно, удаленный анализ может являться предвестником атаки, но может и не являться.

Сам же по себе он не причиняет никакого вреда и не наносит никакого ущерба объекту. Кроме того, описанные выше методы позволяют взломщику скрыть свой IP-адрес и подставить вместо себя ничего не подозревающего администратора хоста, от имени которого осуществлялось сканирование.

Следовательно, обвинять кого-то в попытке сканирования бессмысленно: во-первых, это не атака, а, во-вторых, доказать злой умысел из-за методов “невидимого” сканирования невозможно.

В 1996 году произошел небольшой инцидент, связанный с нашей попыткой сканирования одной из подсетей. Желая узнать, что за хосты находятся в нашей подсети, мы воспользовались последней версией программы SATAN (см. главу 9).

В результате наша невинная попытка сканирования была обнаружена бдительным администратором одного из хостов, принадлежащих, видимо, какой-то спецслужбе, и мы получили гневные письма с угрозами скорой хакерской расправы и фразами типа: “Хакер являлся пользователем root и действовал с такого-то хоста”.

Было довольно смешно читать подобные гневные письма и объяснять, что если бы у нас был злой умысел (хотя откуда он мог взяться?), то уж, наверное, мы бы сделали так, чтобы нас невозможно было вычислить.

Несмотря на то, что эта история довольно старая, но, на наш взгляд, очень поучительная, так как и на сегодняшний день вряд ли что-либо в данной области принципиально изменилось, и сканирование до сих пор многими приравнивается к атаке. Поэтому все желающие осуществлять сканирование должны быть готовы к подобной неадекватной реакции сетевых администраторов.

[37574]

Источник: https://bugtraq.ru/library/books/attack/chapter05/02.html

Как правильно отсканированный документ или сканированный – Существует ли термин, обозначающий отсканированный документ?

Скан версия как пишется

Спор о приставках 25 мар, 2016 @ 14:23
Здравствуйте! Как вам кажется, как будет сказать правильней: ОТсканируй отпечаток пальца и узнай свою судьбу или ПРОсканируй отпечаток пальца и узнай свою судьбу?Надпись предшествует простой механике: человек прижимает палец к экрану и получает шуточный астропрогноз (вечеринка в таком стиле и задумали молодожены такую активность, что уж поделаешь).Благодарю за ответы и без всяких отпечатков желаю всем счастья)

В данном случае — про-. Отсканируй — это значит оставь на память скан. Просканируй — соверши единичное действие.

Спасибо! Вот и у меня такие же сомнения. Про- дает ощущение погружения, углубления что ли…

Не так, ПМСМ.Отсканировать — взять документ и перевести его в электронную форму с помощью сканера.

Просканировать — совершенно другое значение (проследить). Например, «просканировал пространство».

Так что либо «сканируй и узнавай», либо «отсканируй и узнай».

Спасибушки и вам)

ОТ сканируй — сделай копию, ПРО сканируй — пройди взглядом по всей поверхности объекта

Так что отсканированный объект будет просканирован

В данном случае не будет копии, а палец будет просканирован прибором

Благодарю вас)

Если «активность», то совершенно уже неважно, какие там приставки

Вот знала, что кто-то обязательно так напишет. как говорит моя мама, где не просят — не сплясывай!

Вопрос № 196658
Как правильно сказать: сканировать или отсканировать?

Ответ справочной службы русского языка
Правильны оба варианта.

Вопрос № 194111
Как правильно — отсканировать или просканировать?

Ответ справочной службы русского языка
Оба слова есть в русском языке, но у них разное значение. Отсканировать — ввести изображение в компьютер при помощи сканера. Просканировать — 1) последовательно просмотреть (данные), 2) систематически обследовать (данные).

From:Date:
12_eylul
Март, 25, 2016 10:44 (UTC)
(Link)

Спасибо, а я почему-то не нашла, хотя и искала.

Со- совсем не звучит как-то….

Ну как же: спиши, скопируй, сосканируй… Так-то оно логично. Но вот ОТ- почему-то.

Правильно будет: «Иди на хер со своей чушью»

Велик русский язык, а вы так грубите примитивно.

From:Date:
rollon
Март, 25, 2016 20:34 (UTC)
(Link)

бан за хамство

это такая замануха для сбора отпечатков пальцев?

Нет. Будет сидеть наногадалка и нагадывать всем счастье)

Ага, а потом пианино пропадёт из квартиры.

Это учли и нарочно парочку роялей прикупили. Мы, казахи, на свадьбах не мелочимся)

просканированы пальцы, ухо, нос и правый глаз — танцевали б лучше сальсу…

или вальс))))

Есть слово «сканировать», оно имеет чёткий смысл, он как раз подходит к вашей ситуации. Приставки делают его каким-то убогим, будто бабка в деревне говорит на почте «Отксерьте мне вот это моё свидетельство о смерти».

пришел по топику сравнить xbox и ps4, а тут такое…
я бы, конечно написал «от»сканировать. но вы меня не слушайте, пожалуй. я чем больше думаю про отпечатки пальцев, тес больше мне кажется, что их нужно «со»сканировать

Источник: https://csri.ru/raznoe/kak-pravilno-otskanirovannyj-dokument-ili-skanirovannyj-sushhestvuet-li-termin-oboznachayushhij-otskanirovannyj-dokument.html

Сетевой сканер Nmap как средство аудита локальной сети

Скан версия как пишется

Сергей Пахомов

Введение

Основы протокола TCP

Сетевой сканер Nmap и его возможности

Маски подсети

Первые попытки сканирования

Результаты сканирования и их анализ

Методы сканирования на предмет наличия компьютера в сети

Обнаружение компьютера методом Ping

Обнаружение с помощью SYN/ACK- и UDP-пакетов

Обнаружение компьютера посредством различных ICMP-пакетов

Отключение обнаружения компьютера при сканировании

Методы сканирования портов удаленного компьютера

Сканирование методом SYN

Сканирование с использованием системной функции connect()

Сканирование портов UDP-протокола

Сканирование с помощью методов FIN, Xmas и Null

Сканирование с использованием различных флагов

Сканирование с помощью методов ACK и Window

Сканирование методом Maimon

Скрытое сканирование с использованием алгоритма idlescan

Сканирование на наличие открытых протоколов

Скрытное сканирование посредством метода ftp bounce

Настройки сканируемых портов

Определение версий запущенных служб

Определение версии ОС на удаленном компьютере

Настройки временных задержек

Расписание сканирования

Вывод

Сисадмин мнил себя богом сети,
но электрик грубо развеял этот миф.

ИТ-юмор

Введение

Сетевое сканирование — один из первых шагов в процессе взлома или его предупреждения, так как оно позволяет определить наиболее уязвимые и потенциально опасные открытые порты компьютера.

Поскольку каждый компьютер обладает набором определенных особенностей, с помощью сканера портов можно определить, какие службы (FTP-, web-, почтовый сервер и т.п.) запущены на компьютере, а также какая операционная система управляет им.

Чем больше служб запущено на компьютере, тем выше вероятность его взлома — ведь каждое программное обеспечение имеет уязвимые места.

Сетевые сканеры предназначены для сканирования определенного сетевого адреса (IP-адреса) или адресов и выявления открытых и, возможно, небезопасных портов на исследуемом компьютере.

Тем не менее такие программы применяются, как правило, хакерами для определения возможных уязвимостей и последующего взлома компьютера, а отнюдь не с целью обеспечения его безопасности.

Получается, что безопасность и взлом хоть и антиподы по своей сути, но допускают использование одних и тех же средств.

Основы протокола TCP

Чтобы понять, каким образом происходит сканирование, необходимо разобраться в том, по какому алгоритму осуществляется TCP-соединение между компьютерами. Чтобы установить TCP-соединение между клиентом и сервером, клиент посылает запрос (TCP-пакет) с установленным флагом SYN для инициализации соединения.

В случае если сервер прослушивает этот порт, он посылает пакет клиенту с установленными флагами SYN и ACK, тем самым одновременно подтверждая запрос клиента и запрашивая его об установлении обратного соединения. Затем клиент посылает пакет с установленным флагом ACK, подтверждая запрос SYN-сервера.

Далее происходит передача данных, для подтверждения получения которых каждый раз отправляется пакет с флагом ACK. Когда сервер или клиент полностью закончит передачу данных, он посылает пакет с установленным флагом FIN, тем самым сообщая другой стороне о необходимости завершить соединение.

Другая сторона, получив пакет с флагом FIN, посылает обратный пакет с установленным флагом FIN, подтверждая окончание соединения. Для того чтобы прервать соединение, любая из сторон может послать пакет с флагом RST. Более наглядно процесс обмена пакетами показан в табл. 1.

Таблица 1. Процесс установления соединения и обмена пакетами

Большинство сканеров получают информацию о доступных открытых портах и присутствии компьютера в сети исходя именно из этой последовательности.

Сетевой сканер Nmap и его возможности

Поскольку системы на базе ОС Linux и BSD приобретают в последнее время все большую популярность, в этой публикации мы рассмотрим наиболее продвинутый сетевой сканер для операционных систем Linux — Nmap. Эта программа является одной из наиболее распространенных в среде пользователей Linux и отличается мощным инструментарием и высокой скоростью работы.

Сетевой сканер Nmap появился в 1997 году для операционных систем на базе UNIX и продолжает совершенствоваться по сей день.

От подобных программ для ОС на базе Windows он отличается мощным встроенным инструментарием, высокой скоростью работы, различными сопутствующими утилитами, разнообразными методами сканирования и популярность, поскольку практически любой дистрибутив Linux оснащен этим сканером сетевой безопасности.

Однако, как и большинство узкоспециализированных программ для Linux, он не имеет доступной конечному пользователю оболочки и запускается из командной строки.

Конечно, существуют дополнительные интерфейсы для управления этой утилитой, например такие, как Umit, Nmapfe, которые используют движок Nmap и выводят информацию в оконном режиме, а не в командной строке.

Но все-таки эта утилита изначально разрабатывалась для работы в командной строке, а «навесные» утилиты увеличивают время работы и имеют массу недостатков по сравнению с оригиналом, в том числе и в стиле оформления. Кроме того, существует версия этой программы и для операционных систем на базе Windows.

Так как методы работы и многие команды для обеих платформ идентичны, в данной статье будет рассмотрена версия Nmap 4.1 для Linux-систем. Поскольку Nmap входит практически в каждый дистрибутив Linux, для того чтобы просканировать сеть, не переставляя операционную систему, можно воспользоваться так называемыми LiveCD. Загрузочные диски такого типа не требуют установки и загружаются с CD/DVD-привода, при этом не нужно разбивать жесткий диск и создавать дополнительные разделы — жестким диском в этом случае служит часть оперативной памяти компьютера.

В настоящее время сетевые сканеры позволяют определять множество дополнительных  параметров сканируемого компьютера.

Nmap может определять большинство основных параметров сетевого адаптера: MAC-адрес, имя компьютера в домене, открытые порты, порты, закрытые брандмауэром, компанию — производителя чипсета сетевого адаптера исследуемого компьютера, версии ОС и служб.

Отметим, что данные о MAC-адресах и о производителе чипсета можно получить только для компьютеров, которые находятся в той же подсети, что и сканирующий ПК. Чтобы оценить все достоинства этой программы, рассмотрим наиболее часто используемые при ее работе ключи.

Как уже говорилось, запуск Nmap производится из командной строки. При запуске программы без каких-либо ключей или с ключом Nmap -h (–help) либо без него на экран будет выведен список доступных ключей и задаваемых параметров (рис. 1).

Рис. 1. Список ключей при вводе команды Nmap

Синтаксис запуска программы следующий: Nmap [Scan type(s)] [options] {target specification}, где вместо Scan type указывается тип сканирования (по умолчанию, если это место оставить пустым, Nmap будет открыто сканировать доступные порты). В качестве options вводятся всевозможные ключи и параметры сканирования, а вместо target specification — либо IP-адрес компьютера, либо диапазон IP-адресов (который определяется маской подсети), либо название хоста.

Маски подсети

Скорее всего, пользователям, которые имели дело с настройками сетевых адаптеров, приходилось сталкиваться с таким параметром, как маска подсети (Netmask). Однако далеко не все представляют себе, что это такое.

Как известно, IP-адрес состоит из четырех целочисленных значений (октет) и представляется в форме xxx.xxx.xxx.xxx, где xxx может принимать значения от 0 до 254.

Но IP-адрес сам по себе не достаточен, и для того, чтобы сетевое устройство определило, к какой именно подсети принадлежит компьютер, необходима также маска подсети, чтобы показать, какая часть IP-адреса является идентификатором сети (Network ID), а какая — идентификатором хоста (Host ID).

Идентификатор сети (Network ID) по существу — это адрес самой сети, а идентификатор хоста (Host ID) — адрес самого узла в сети. Рассмотрим узел с IP-адресом 10.242.10.242 и маской подсети 255.0.0.0 — в этом случае компьютер принадлежит к сети 10.0.0.0. Здесь идентификатором сети служит 10.0.0.0, а идентификатором хоста — 242.

10.242. Чтобы получить адрес сети, зная IP-адрес и маску подсети, необходимо применить к ним операцию поразрядной конъюнкции. Результат получается побитным с AND между IP-адресом и маской подсети:

1 AND 1=1

1 AND 0=0

0 AND 1=0

0 AND 0=0

Например, в случае более сложной маски:

Источник: https://compress.ru/article.aspx?id=17371

Обнаружение сетевых устройств

Скан версия как пишется

Сканирование сети с построением списка устройств и их свойств, таких как перечень сетевых интерфейсов, с последующим снятием данных в системах мониторинга, если не вникать в происходящее, может показаться особой, компьютерной, магией. Как же это работает — под катом.
Disclaimer Автор не имеет профильного образования, связанного с администрированием сетей, поэтому наверняка имеются неточности и упомянуто не всё, что можно.

Обнаружение

Для обнаружения устройства, т.е. определения есть ли на выбранном ip-адресе что-либо, можно применить следующие методы:

  • ping сканирование Как ни странно, это самый простой и распространенный способ.
  • Проверка открытых TCP-портов
    Если на устройстве отключен ответ на ping, то можно попробовать установить соединение по какому-либо TCP-порту. В виду того, что портов много и проверка каждого занимает значительное время, обычно проверяются только самые распространенные, напр.

    80 или 443, используемые для веб-интерфейса устройства.

  • Проверка работы UDP служб
    UDP протокол не отправляет подтверждения о получении запроса и поэтому в общем виде сканирование UDP-портов невозможно. Однако можно попробовать опросить службы, прослушивающие UDP-порт и отправляющие ответ на запрос, напр.

    SNMP (порт 161) или IPMI (порт 623). В случае, если получен ответ, отличный от таймаута, то устройство обнаружено.

  • ARP сканирование
    Помимо обычных ICMP запросов, которые используют утилиты ping, для устройств в том же широковещательном L2-домене можно воспользоваться более быстрым arping: по диапазону ip-адресов рассылаются широковещательные ARP пакеты вида «компьютер с IP-адресом XXX, сообщите свой MAC-адрес компьютеру с МАС-адресом запросившего», и если ответ получен, то устройство считается обнаруженным.
  • CDP/LLDP
    Если в сети используется протокол LLDP (или аналог CDP), то устройства могут собирать сведения о своих соседях, которые можно считать обнаруженными. Эти данные доступны по SNMP.

    Отмечу, что информация о соседях совместно с результатами traceroute может служить основой для построения физической карты сети.

  • NetBIOS сканирование
    Протокол NetBIOS может быть использован для поиска Windows-машин, например при помощи утилиты nbtscan.
  • Журналы DHCP (предложено alexanster)
    В журналах DHCP-серверов есть информация о выдачи ip-адресов по MAC-адресам. Для недавних записей в журнале можно считать, что эти устройства обнаружены.
  • ARPWatch (предложено alexanster, описано TaHKucT) Arpwatch отслеживает пары IP-адрес — MAC-адрес, записывая в лог новые, пропавшие и изменившиеся пары. Устройства, попавшие в лог, можно считать обнаруженными.
  • Анализ FDB-таблиц коммутаторов(предложено mickvav) FDB-таблицы (Forwarding DataBase) управляемых коммутаторов содержат данные о коммутации MAC-адресов абонентов и устройств, т.е. соответствии MAC-адрес устройства — порт коммутатора.

    Данные доступны по SNMP и telnet, и могут быть использованы при построении физической карты сети.

Сбор сведений

После того, как устройство обнаружено, можно переходить к сбору сведений о нем.

Используя ARP протокол, по ip можно получить MAC-адрес, а по нему вероятного производителя (часть оборудования допускает смену адреса, так что метод не очень надежен).

Далее можно воспользоваться утилитой nmap, которая сканируя открытые порты, сверяется со своей базой отпечатков и делает предположение об используемой операционной системе, её версии и типе устройства.

Получение типа устройства и используемой ОС при помощи nmapnmap -O -v 192.168.0.1 Starting Nmap 7.60 ( https://nmap.org ) at 2018-03-04 01:17 RTZ 2 (ceia)Initiating ARP Ping Scan at 01:17Scanning 192.168.0.1 [1 port]Completed ARP Ping Scan at 01:17, 0.70s elapsed (1 total hosts)Initiating Parallel DNS resolution of 1 host. at 01:17Completed Parallel DNS resolution of 1 host. at 01:17, 0.00s elapsedInitiating SYN Stealth Scan at 01:17Scanning 192.168.0.1 [1000 ports]Discovered open port 80/tcp on 192.168.0.1Discovered open port 49152/tcp on 192.168.0.1Discovered open port 1900/tcp on 192.168.0.1Completed SYN Stealth Scan at 01:17, 0.13s elapsed (1000 total ports)Initiating OS detection (try #1) against 192.168.0.1Retrying OS detection (try #2) against 192.168.0.1WARNING: OS didn't match until try #2Nmap scan report for 192.168.0.1Host is up (0.00s latency).Not shown: 997 closed portsPORT STATE SERVICE80/tcp open http1900/tcp open upnp49152/tcp open unknownMAC Address: A0:F3:C1:35:21:58 (Tp-link Technologies)Device type: WAPRunning: Linux 2.4.XOS CPE: cpe:/o:linux:linux_kernel:2.4.36OS details: DD-WRT v24-sp1 (Linux 2.4.36)Network Distance: 1 hop Чтобы получить более подробные сведения по устройству потребуется один из следующих способов:

  • SNMP
    Протокол SNMP почти всегда поддерживаем маршрутизаторами и коммутаторами; имеется в Windows (соответствующая служба по умолчанию отключена); для Linux требуется установка демона snmpd. По всей видимости последняя третья версия достаточно сложна в реализации, поэтому предыдущая версия 2с до сих пор актуальна, хотя и не рекомендуема из-за отсутсвия шифрования при передаче данных. Протолок работает на 161 UDP-порту устройства.

    Для работы с SNMP можно использовать пакет утилит Net-SNMP.

    Чтобы получить, к примеру, описание устройства, надо указать версию протокола, пароль на чтение (community read, по умолчанию public) и адрес, в нотации SNMP называемый OID (object identificator) и состоящий из чисел и точек.

    Все адреса устройства можно представить в виде дерева, где адреса отсортированы в лексикографическом порядке. Протокол позволяет запросить текущее значение по адресу, а также адреса следующие за текущим.

    Получение описания устройства при помощи snmpget

Источник: https://habr.com/ru/post/350394/

Юрист Андреев
Добавить комментарий