Сканирование портов и идентификация ОС

Для сканирования портов и для идентификации версий ОС и сервисов можно использовать утилиту nmap, которая реализует большое количество методов и техник сканирования портов и идентификации ресурсов. Утилита nmap позволяет формировать результаты сканирования в формате XML для просмотра web-обозревателем с использованием XSL-преобразования.

Для решения задачи обнаружения открытых TCP- и UDP-портов, а так-

же ОС, сервисов и их версий на удаленном сетевом узле 192.168.10.1 можно воспользоваться командой nmap –sS –sU –sV –O  –osscan-guess

192.168.10.1, выполняемой на станции сканирования Linux. Ключ -sS ука-

зывает  на  сканирование TCP-портов, ключ  -sU  —  на  сканирование UDP-

портов, ключ -sV указывает на идентификацию сетевых сервисов, ключ -O —

на  идентификацию  ОС,  использование  ключа  -ossccan-guess  предполагает

«агрессивную» идентификацию ОС.

По умолчанию применяется техника случайного сканирования, то есть тестирование портов происходит в случайном порядке.

# nmap -sS -sU -sV -O –osscan-guess 192.168.10.1

Starting Nmap 4.20RC1 ( http://insecure.org ) at 2006-12-01 22:16 YEKT Interesting ports on 192.168.10.1:

Not shown: 3144 closed ports

PORT

STATE

SERVICE

VERSION

21/tcp

open

tcpwrapped

25/tcp

open

smtp

Microsoft ESMTP

6.0.3790.1830

53/tcp

open

domain

Microsoft DNS

80/tcp

open

http

Microsoft IIS webserver 6.0

88/tcp

open

kerberos-sec

Microsoft Windows kerberos-sec

110/tcp

open

pop3

Microsoft Windows 2003 POP3 Service 1.0

135/tcp

open

msrpc

Microsoft Windows RPC

139/tcp

open

netbios-ssn

389/tcp

open

ldap

Microsoft LDAP server

443/tcp

open

ssl/http

Microsoft IIS webserver 6.0

445/tcp  open          microsoft-ds  Microsoft Windows 2003 microsoft-ds

464/tcp  open          kpasswd5?

593/tcp  open          ncacn_http    Microsoft Windows RPC over HTTP 1.0

636/tcp  open          ssl/ldap      Microsoft LDAP server

1026/tcp open          msrpc         Microsoft Windows RPC

1027/tcp open          ncacn_http    Microsoft Windows RPC over HTTP 1.0

1248/tcp open          msrpc         Microsoft Windows RPC

1723/tcp open          pptp?

3268/tcp open          ldap          Microsoft LDAP server

3269/tcp open          ssl/ldap      Microsoft LDAP server

53/udp   open          domain?

67/udp   open|filtered dhcps

68/udp   open|filtered dhcpc

88/udp   open|filtered kerberos-sec

123/udp  open          ntp           NTP v3

137/udp  open          netbios-ns    Microsoft Windows NT netbios-ssn

(workgroup:ALPHA)

138/udp  open|filtered netbios-dgm

389/udp  open|filtered ldap

445/udp  open|filtered microsoft-ds

464/udp  open|filtered kpasswd5

500/udp  open|filtered isakmp

1701/udp open|filtered L2TP

3456/udp open|filtered IISrpc-or-vat

4500/udp open|filtered sae-urn

1 service unrecognized despite returning data. If you know the ser- vice/version, please submit the following fingerprint at http://www.insecure.org/cgi-bin/servicefp-submit.cgi :

SF-Port53-UDP:V=4.20 … (часть  вывода  вырезана)

MAC Address: 00:0C:29:37:7B:86 (VMware) Device type: general purpose

Running (JUST GUESSING) : Microsoft Windows 2003|XP|2000 (94%)

Aggressive OS guesses: Microsoft Windows 2003 Server SP1 (94%), Microsoft Windows XP SP2 (92%), Microsoft Windows XP SP2 (firewall disabled) (91%), Microsoft Windows 2000 Server SP4 (90%), Microsoft Windows 2000 SP3 (90%), Microsoft Windows 2000, SP0, SP1, or SP2 (89%), Microsoft Windows 2000 SP4 (88%), Microsoft Windows Server 2003 Enterprise Edition 64-Bit SP1 (87%)

No exact OS matches for host (If you know what OS is running on it, see http://insecure.org/nmap/submit/).

TCP/IP fingerprint: OS:SCAN(V=4.20RC1%D=12/1%OT=21%CT=1%CU=1%PV=Y%DS=1%G=Y%M=000C29%…%DLI=S) (часть  вывода  удалена)

Network Distance: 1 hop

Service Info: Host: server.alpha.local; OSs: Windows, Windows 2000

OS and Service detection performed. Please report any incorrect results at http://insecure.org/nmap/submit/ .

Nmap finished: 1 IP address (1 host up) scanned in 151.541 seconds

Из приведенных результатов работы утилиты nmap можно сделать вы- вод, что на узле 192.168.10.1 открыты TCP-порты 21, 25, 53, 80, 88, 110 и т.д., причём  были  идентифицированы  следующие  сервисы,  использующие  эти порты:

?    порт 25 — почтовый сервер ESMTP, производитель Microsoft;

?    порт 53 — DNS-сервер, производитель Microsoft;

?    порт 80 — web-сервер IIS, версия 6.0, производитель Microsoft;

?    порт  88  —  сервер  Kerberos  для  Microsoft  Windows,  производитель

Microsoft;

?    порт 110 — почтовый сервер POP3 для Microsoft Windows 2003, произ-

водитель Microsoft

?    …

UDP-порты 53, 67, 68 и др. открыты, причем если указано состояние

«open», то порт явно открыт. Если состояние «open|filtered», то порт может быть открыт, а может быть отфильтрован межсетевым экраном. Различить эти

состояния не представляется возможным вследствие особенностей реализо- ванного метода UDP-сканирования (при тестировании порта не было получе- но ICMP-сообщение «порт недоступен»).

Была идентифицирована большая часть сервисов, использующих пере- численные UDP-порты. Однако идентификация сервиса, функционирующего на UDP-порту 53, не прошла корректно вследствие большого количества за-

просов к серверу. Тем не менее, если провести повторное сканирование с по-

мощью команды nmap -sU -p U:53 -sV 192.168.10.1, где опция -p U:53 указывает, что обследоваться должен только один UDP-порт 53, то мож- но идентифицировать версию сервиса.

# nmap -sU -p U:53 -sV 192.168.10.1

Interesting ports on 192.168.10.1: PORT   STATE SERVICE VERSION

53/udp open  domain Microsoft DNS

После перечня открытых портов nmap возвращает следующую инфор-

мацию:

?    MAC-адрес производителя сетевого адаптера (в соответствии с префик- сом MAC-адреса). Обратите внимание, что если бы станция сканирования Linux и сетевой узел 192.168.10.3 находились в различных IP-сетях (были свя- заны через маршрутизатор), то этот адрес был бы неизвестен, так как для его определения используется протокол ARP:

MAC Address: 00:0C:29:37:7B:86 (VMware)

?    выявленный тип обследуемого устройства, в данном случае указано, что это устройство общего назначения (другие возможные значения router – мар- шрутизатор, switch – коммутатор, game console – игровая консоль и др.):

Device type: general purpose

Утилита nmap в примере не смогла точно идентифицировать тип и вер- сию ОС. Тем не менее указано, что вероятней всего (с уровнем доверия 94 %) это версия Microsoft Windows 2003, XP либо 2000. Проанализировав тип поч- тового сервиса POP3, можно сделать вывод, что на обследуемой системе за- пущена ОС Windows Server 2003. В выводе также указываются степени дове- рия относительно других ОС, полученные путём «агрессивной» идентифика- ции ОС.

Далее в выводе указывается «сетевое расстояние»  (network distance), то есть количество промежуточных IP-сетей. В приведённом примере этот пара- метр  равен  единице,  так  как  станция  сканирования Linux  и  сетевой  узел

192.168.10.1 находятся в одной IP-подсети:

Network Distance: 1 hop

Service Info: Host: server.alpha.local; OSs: Windows, Windows 2000

Параметр «Service Info» содержит краткую информацию об имени узла,

а также предполагаемый тип и версию ОС.

В конце вывода команды приводится информация о количестве проска-

нированных IP-адресов и о суммарном времени сканирования.

С использованием ключа -oX <имя xml-файла> результаты сканирова-

ния можно сохранить в формате XML для дальнейшего удобного изучения с помощью web-обозревателя или для дальнейшей автоматической обработки.

ВЫПОЛНИТЬ!

5.   С помощью утилиты nmap проведите сканирование портов сетевых узлов, найденных на предыдущем шаге. Сформируйте списки открытых TCP- и UDP-портов, идентифицируйте версии ОС и запущенных сервисов. По ре- зультатам сделайте вывод о возможности обнаружения открытых портов и идентификации типа и версии ОС, а также сетевых сервисов на  сетевых узлах исследуемой сети, заполните строку 4 табл. 8.2.

Источник: Андрончик А. Н., Богданов В. В., Домуховский Н. А., Коллеров А. С., Синадский Н. И., Хорьков Д. А., Щербаков М. Ю., Защита информации в компьютерных сетях. Практический курс

Похожие посты:

Вы можете оставить комментарий, или ссылку на Ваш сайт.

Оставить комментарий