Читаем Защита от хакеров корпоративных сетей полностью

При сканировании вслепую исследуемый хост должен как-то знать о получении зомби его положительных ответов. Антирез (Antirez) обнаружил способ узнать об этом, который был реализован хакером Федором (Fyodor) при построении сетевых схем nmap в виде опции —si. В открытом Антирезом (Antirez) способе используется поле IPID. На уровне протокола IP поле IPID позволяет одному пакету ссылаться на другой, устанавливая тем самым ссылки на фрагментированные пакеты. Во многих операционных системах поле IPID после отправки каждого пакета увеличивается на l. (В операционной системе Windows приращение значения поля IPID происходит в соответствии с прямым порядком байтов (little-endian). Прямой порядок байтов – формат хранения и передачи двоичных данных, при котором сначала (первым) передается младший (наименее значимый) бит (байт). Поэтому на самом деле значение поля увеличивается на 256. Но на суть способа это не влияет.) В протоколе TCP предусмотрено, что при положительном ответе хоста на запрос установления соединения по указанному порту (получении сообщения c установленным в заголовке пакета флажком SYN – пакета SYN) он возвращает сообщение с установленными в заголовке пакета флажками подтверждения запроса на установления соединения SYN и ACK – пакета SYNIACK. Но когда зомби, который никогда не пытался соединиться с кем-либо, получает пакет SYNIACK, то он сообщает отправителю пакета о завершении сеанса связи с ним и завершает соединение. Это выполняется при помощи посылки пакета, в заголовке которого установлены флажки RST и ACK – пакета RSTIACK. В рамках подобной передачи никакие данные больше не пересылаются. Атакуемый хост посылает зомби пакет RSTIACK, если порт закрыт, а зомби ничего не присылает в ответ.

Существенным является то, что зомби посылает пакет RSTIACK каждый раз, когда злоумышленник находит у атакуемого хоста открытый порт. При каждой посылке этого пакета установленная на машине зомби операционная система увеличивает счетчик поля IPID на l. Злоумышленник может исследовать зомби до и после попытки установления соединения с хостом. И если поле IPID будет увеличено на большее число раз, чем зомби прислал злоумышленнику пакетов, то злоумышленник может предположить, что зомби после получения пакетов от атакуемого хоста SYNIASK ответил ему пакетами RSTIACK.

Таким образом, атакуемый хост может быть исследован без всякого согласия с его стороны. Он может даже и не подозревать об его изучении. В то же время злоумышленник может использовать произвольный хост Интернета для маскировки своей деятельности.

Сканирование вслепую тривиально осуществить при помощи nmap. Достаточно в командной строке указать опцию – sI zombie_host: port target: port и ждать. Более подробные сведения можно найти по адресу www.bursztein.net/secu/temoinus.html.

Активный спуфинг. Большинство переменных запросов при наличии возможности перехватить их заведомо могут стать жертвой спуфинга. Предполагая, что только законные доверенные хосты могут прислать ответ, читатель тем самым демонстрирует свою неправоту. Несанкционированный пользователь при помощи найденного им способа активного поиска может обнаружить запрос, а затем ответить на него. Тем самым он кому-то что-то доказал, выполнив никому не нужную трудоемкую работу.

Чуть более интересным представляется вопрос модуляции потока данных, передающегося по каналам связи. Сама по себе способность к передаче данных еще не предоставляет больших возможностей по управлению их содержимым. Можно создать помехи передаваемым сигналам и подавить их (особенно это относится к передаче данных по радиоканалу). Как правило, способность к передаче данных еще не подразумевает возможности понять, передает ли кто-либо еще что-нибудь. Фальсификация ответа является нечто большим. Возможность определить, что следует передать в ответ, подразумевает более сложную способность прочитать передаваемые биты (в противоположность чтения простых служебных бит, описывающих возможное время и место передачи данных).

Сказанное не означает возможности ответить на все, что передается по каналу связи. Как правило, способность ответить присутствует у многих явлений, но для передачи содержательных данных ее значение минимально. Активная деятельность на уровне битов на носителе данных может включать следующие дополнительные возможности:

• возможность прослушивать некоторые или все необработанные биты данных или пакеты в уже существующем потоке данных. Существенно, что в данном случае дополнительные данные не передаются, но на переданные данные отвечают или данными, которые ранее были сохранены на локальном хосте, или передают их по другому соединению;