Menganalisis Serangan (Bahagian 2)

Menganalisis Serangan (Bahagian 1)

Don Parker

Kami menunjukkan kepada anda dalam bahagian satu maklumat yang boleh diperhatikan semasa membuka jujukan paket yang dihantar oleh Nmap. Urutan yang dihantar bermula dengan respons gema ICMP untuk menentukan sama ada komputer atau rangkaian telah diberikan alamat IP.

Selain itu, kita juga boleh meneka bahawa rangkaian komputer yang diserang ialah rangkaian berasaskan Windows dengan melihat ttl dalam paket tindak balas gema ICMP yang dihantar semula. Apa yang perlu dilakukan sekarang ialah meneruskan pemerhatian paket yang tinggal dalam pengimbas Nmap, dan mengetahui maklumat yang tinggal untuk dapat mengetahui profil rangkaian mangsa.

teruskan

10:52:59.078125 IP (tos 0x0, ttl 49, id 9808, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37668 > 192.168.111.23.80: ., cksum 0xfd46 (correct), ack 85042526 win 2048
0x0000: 4500 0028 2650 0000 3106 0407 c0a8 6f11 E..(&P..1.....o.
0x0010: c0a8 6f17 9324 0050 67d1 a55e 0511 a55e ..o..$.Pg..^...^
0x0020: 5010 0800 fd46 0000 P....F..

10:52:59.078125 IP (tos 0x0, ttl 128, id 397, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.23.80 > 192.168.111.17.37668: R, cksum 0x6813 (correct), 85042526:85042526(0)win 0
0x0000: 4500 0028 018d 0000 8006 d9c9 c0a8 6f17 E..(..........o.
0x0010: c0a8 6f11 0050 9324 0511 a55e 0511 a55e ..o..P.$...^...^
0x0020: 5004 0000 6813 0000 0000 0000 0000 P...h.........

Kedua-dua paket di atas datang selepas paket ICMP yang kami perhatikan dalam bahagian 1. Nmap menghantar paket ACK ke rangkaian mangsa IP 192.168.111.23 pada port 80. Sebagai maklumat palsu, kami tidak mendapat gambaran keseluruhan di sini. Ia hanya dilihat bahawa paket ACK yang diterima daripada penyerang adalah paket RST sebagai tindak balas, kerana ACK ini tidak dijangka. Ia pada asasnya bukan sebahagian daripada sambungan yang telah ditubuhkan sebelum ini. Kami masih mempunyai ttl sebanyak 128 sepadan dengan ttl yang diperhatikan sebelum ini.

10:52:59.296875 IP (tos 0x0, ttl 58, id 45125, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: S, cksum 0x37ce (correct), 2010644897:2010644897(0) win 3072
0x0000: 4500 0028 b045 0000 3a06 7111 c0a8 6f11 E..(.E..:.q...o.
0x0010: c0a8 6f17 930c 0015 77d8 01a1 0000 0000 ..o.....w.......
0x0020: 5002 0c00 37ce 0000 P...7...

10:52:59.296875 IP (tos 0x0, ttl 128, id 398, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.21 > 192.168.111.17.37644: S, cksum 0x4f58 (correct), 1685290308:1685290308(0) ack 2010644898 win 64240
0x0000: 4500 002c 018e 4000 8006 99c4 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0015 930c 6473 7d44 77d8 01a2 ..o.....ds}Dw...
0x0020: 6012 faf0 4f58 0000 0204 05b4 0000 `...OX........

10:52:59.296875 IP (tos 0x0, ttl 128, id 110, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.21: R, cksum 0xca50 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006e 0000 8006 dae8 c0a8 6f11 E..(.n........o.
0x0010: c0a8 6f17 930c 0015 77d8 01a2 77d8 01a2 ..o.....w...w...
0x0020: 5004 0000 ca50 0000 P....P..

Berikutan pertukaran paket ACK dan RST, kita dapat melihat bahawa paket SYN sebenar telah dihantar daripada penggodam ke rangkaian mangsa, seperti yang dibuktikan dalam paket dengan huruf tebal S. Ini membolehkan kita menyimpulkan bahawa paket SYN/ACK akan datang semula dari rangkaian mangsa pada portnya 21. Pertukaran ini kemudiannya ditamatkan oleh paket RST yang dihantar semula ke rangkaian penggodam. Ketiga-tiga paket ini kini mengandungi banyak maklumat tentang pemalsuan itu.

Kami juga mempunyai ttl 128 dari mesin mangsa, tetapi juga win64240. Walaupun nilai ini tidak disenaraikan, ia sememangnya saiz yang saya lihat banyak kali sebelum ini daripada Win32 (versi 32-bit Microsoft Windows seperti Win NT, 2K, XP, dan 2K3). Satu lagi had komputer Windows ialah ia tidak dapat diramalkan dalam bilangan ID IP. Dalam kes ini, kami hanya mempunyai satu nilai ID IP. Kami memerlukan sekurang-kurangnya satu nilai lagi sebelum kami boleh dengan yakin mengatakan bahawa komputer ini ialah komputer Microsoft Windows. Ambil perhatian bahawa, lihat paket yang tinggal dari imbasan Nmap.

10:52:59.312500 IP (tos 0x0, ttl 59, id 54025, offset 0, flags [none], proto: TCP (6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: S, cksum 0x3393 (correct), 2010644897:2010644897(0) win 4096
0x0000: 4500 0028 d309 0000 3b06 4d4d c0a8 6f11 E..(....;.MM..o.
0x0010: c0a8 6f17 930c 0050 77d8 01a1 0000 0000 ..o....Pw.......
0x0020: 5002 1000 3393 0000 P...3...

10:52:59.312500 IP (tos 0x0, ttl 128, id 399, offset 0, flags [DF], proto: TCP (6), length: 44) 192.168.111.23.80 > 192.168.111.17.37644: S, cksum 0x7913 (correct), 1685345101:1685345101(0) ack 2010644898 win 64240
0x0000: 4500 002c 018f 4000 8006 99c3 c0a8 6f17 E..,[email protected].
0x0010: c0a8 6f11 0050 930c 6474 534d 77d8 01a2 ..o..P..dtSMw...
0x0020: 6012 faf0 7913 0000 0204 05b4 0000 `...y.........

10:52:59.312500 IP (tos 0x0, ttl 128, id 111, offset 0, flags [none], proto: TCP(6), length: 40) 192.168.111.17.37644 > 192.168.111.23.80: R, cksum 0xca15 (correct), 2010644898:2010644898(0) win 0
0x0000: 4500 0028 006f 0000 8006 dae7 c0a8 6f11 E..(.o........o.
0x0010: c0a8 6f17 930c 0050 77d8 01a2 77d8 01a2 ..o....Pw...w...
0x0020: 5004 0000 ca15 0000 P.......

Maklumat pertama yang dilihat oleh penggodam adalah untuk melihat sama ada nombor ID IP meningkat kepada 399. IP DI ini sememangnya 399 seperti yang dapat kita perhatikan di tengah-tengah paket. Dengan maklumat ini, penggodam agak yakin komputer mangsa yang diserangnya ialah Windows NT, 2K, XP, atau 2K3. Juga diperhatikan dalam jujukan paket ini ialah port 80 pada rangkaian mangsa nampaknya mempunyai perkhidmatan, seperti yang dibuktikan oleh paket SYN/ACK, paket SYN/ACK ditentukan dengan memeriksa medan bendera dalam pengepala TCP, dalam kes ini nilai hex yang digariskan ialah 12 atau 18 dalam perpuluhan. Nilai ini boleh dikesan dengan menambahkan nilai bendera SYN 2 pada nilai bendera ACK 16.

Penghitungan

Sebaik sahaja penggodam mengetahui bahawa kedua-dua port 21 dan 80 terbuka kepada perusahaan, dia akan memasuki keadaan penghitungan. Apa yang dia perlu tahu sekarang ialah jenis pelayan web yang sedang mendengar sambungan. Tidak ada gunanya penggodam ini menggunakan kelemahan Apache pada pelayan web IIS. Dengan itu, penyerang akan membuka sesi cmd.exe dan mengetahui jenis rangkaian.

C:\>nc.exe 192.168.111.23 80
GET slslslls
HTTP/1.1 400 Bad Request
Server: Microsoft-IIS/5.0
Date: Mon, 06 Aug 2007 15:11:48 GMT
Content-Type: text/html
Content-Length: 87

The parameter is incorrect.

C:\>

Kita boleh melihat jenis rangkaian yang ditandakan di atas atau sintaks nc.exe yang jenis penggodam dalam alamat IP mangsa serta port 80. Setelah masuk, penggodam akan menaip dalam HTTP kaedah GET diikuti dengan beberapa ayat yang tidak betul dari segi tatabahasa. Tindakan ini boleh menyebabkan pelayan web rangkaian mangsa menghantar semula maklumat kepada sistemnya apabila ia tidak memahami permintaan itu. Itulah sebabnya mereka secara semula jadi menyenaraikan maklumat yang diperlukan oleh penggodam. Penggodam kini boleh melihat bahawa dia berada dalam Microsoft IIS 5.0. Berita yang lebih baik kerana penggodam mempunyai beberapa eksploitasi untuk versi ini.

Kesimpulan

Dengan melakukan imbasan rangkaian mangsa menggunakan Nmap, penggodam kemudiannya boleh menerima satu siri paket data penting. Di dalam paket data ini, seperti yang telah kita lihat, penuh dengan maklumat untuk penggodam mengeksploitasi kelemahan dalam seni bina, sistem pengendalian, jenis rangkaian dan jenis pelayan.

Pendek kata, dengan cara ini, penggodam boleh mendapatkan maklumat penting tentang hos, seni bina dan perkhidmatan yang disediakan. Dengan maklumat ini di tangan, penggodam boleh melancarkan serangan ke atas pelayan web rangkaian mangsa. Dalam bahagian berikut kami akan memperkenalkan lebih lanjut tentang serangan yang boleh digunakan oleh penggodam untuk menyerang pengguna dalam kes ini.

Menganalisis Serangan (Bahagian 3)