Forum Komputerowe

DarkLord

Porty wejścia-wyjścia są kanałami, przez które przepływają dane pomiędzy różnorodnymi urządzeniami i procesorem. Hakerzy poszukują otwartych, lub “nasłuchujących”, a tym samym podatnych na atak portów, aby następnie wykorzystać je do swoich celów. Narzędzia, takie jak np. skanery portów pozwalają w krótkim czasie przeszukać wszystkie z ponad 65 000 portów komputera. Poszukiwania te skupiają się jednak głównie na pierwszych 1024 portach nazywanych również portami standardowymi. Porty te zarezerwowane są dla usług systemowych, z tego też powodu połączenia wychodzące realizowane są poprzez porty o numeracji wyższej niż 1023. Oznacza to również, że wszystkie pakiety przychodzące poprzez porty ponad 1023. są odpowiedzią na wewnętrzne żądania.
Skanowanie portów polega na zebraniu informacji o otwartych, półotwartych oraz zamkniętych portach komputera. Program tego typu wysyła do każdego przeszukiwanego portu zapytanie o jego status. Komputer, nie mając żadnych dodatkowych informacji, automatycznie wysyła żądaną odpowiedź. Ofiara skanowania portów, bez żadnych dodatkowych kroków, prawdopodobnie nigdy się o tym nie dowie. W paru kolejnych punktach skupię się na opisaniu najbardziej znanych portów standardowych wraz z odpowiadającymi im usługami i lukami przez nie powodowanymi. Przybliżę też podstawowe techniki wykorzystujące zdobytą wiedzę.
Wiele portów uważanych jest za wystarczająco bezpieczne, by pominąć je w niniejszym opracowaniu. Zajmiemy się więc jedynie tymi, które mogą stanowić prawdziwe zagrożenie dla bezpieczeństwa systemu.

Aby połączenie pomiędzy dwoma komputerami mogło dojść do skutku, strona pragnąca nawiązać połączenie musi znać numer portu gospodarza do którego powinna się połączyć. Z tego powodu powstała specjalna lista (opracowana przez IANA, a dostępna w RFC1700 oraz pod adresem [link widoczny dla zalogowanych]) wiążąca porty standardowe i odpowiadające im usługi lub protokoły internetowe. Z każdym portem można się komunikować na wiele różnych sposobów nazywanych protokołami. Istnieją dwa szczególnie powszechne
protokoły internetowe — TCP oraz UDP (opisane odpowiednio w RFC793 i RFC76 .
Należy pamiętać o tym, że połączenie przy pomocy protokołu TCP jest realizowane w trzech stopniach pozwalających na dokładne zsynchronizowanie strumienia pakietów wysyłanych przez obie strony. Taki sposób postępowania pozwala otrzymać pewny, stabilny, zorientowany na połączenie kanał informacji. Odmienną strategię wykorzystuje protokół UDP. Nie inicjuje się tutaj połączenia, nie ma też pewności, że datagramy będą przychodzić we właściwej kolejności. Wynikiem takiego postępowania jest szybki, zorientowany na transmisję kanał informacji.

Standardowe porty TCP oraz usługi z nimi związane
Postaram sie wszystkie je opisac
7 echo 115 sftp
9 discard 117 path
11 systat 119 nntp
13 daytime 135 loc-serv
15 netstat 139 nbsession
17 qotd 144 news
19 chargen 158 tcprepo
20 FTP-data 170 print-srv
21 FTP 175 vmnet
23 telnet 400 vmnet0
25 SMTP 512 exec
37 time 513 login
42 name 514 shell
43 whois 515 printer
53 domain 520 efs
57 mtp 526 temp
77 rje 530 courier
79 finger 531 conference
80 http 532 netnews
87 link 540 uucp
95 supdup 543 klogin
101 hostnames 544 kshell
102 iso-tsap 556 remotefs
103 dictionary 600 garcon
104 X400-snd 601 maitrd
105 csnet-ns 602 busboy
109 pop2 751 kerberos
110 pop3 752 kerberos-mast
111 portmap 754 krb_prop

Usługa: echo
Port ten wykorzystywany jest do analizowania bieżącej kondycji połączenia internetowego. Zadaniem usługi jest wysyłanie do nadawcy wszelkich otrzymanych od niego pakietów. Programem wykorzystującym jej właściwości jest PING (Packet InterNet Groper). Podstawowy problem dotyczący tego portu związany jest z niektórymi systemami operacyjnymi, które dopuszczają przetwarzanie pakietów o nieprawidłowych rozmiarach. Najbardziej znanym sposobem wykorzystania tej luki jest wysłanie do portu ofiary pojedynczego pakietu o rozmiarach przekraczających 65 536 bajtów podzielonego na wiele fragmentów. System operacyjny ofiary nie może oczywiście przetworzyć częściowo otrzymanego pakietu, oczekuje więc na pozostałą część. Jeżeli przydzielony jest statyczny bufor pakietu, powoduje to jego przepełnienie, co w efekcie może doprowadzić do zawieszenia działania systemu, lub ponownego jego uruchomienia. Taktyka taka bardzo często nazywana jest “Ping of Death”. Innym poważnym zagrożeniem jest tzw. “Ping Flooding”. Sposób ten polega na masowym wysyłaniu w kierunku portu ofiary pakietów PING. Ponieważ usługa odpowiada na każdy pakiet, może to spowodować wyczerpanie zasobów systemowych i sieciowych (np. odcięcie komputera od Internetu, lub spowolnienie jego pracy).

C:\>ping task.gda.pl

Badanie task.gda.pl [153.19.253.204] z użyciem 32 bajtów danych

Odpowiedź z 153.19.253.204: bajtów=32 czas=762ms TTL=247
Odpowiedź z 153.19.253.204: bajtów=32 czas=763ms TTL=247
Odpowiedź z 153.19.253.204: bajtów=32 czas=693ms TTL=247
Odpowiedź z 153.19.253.204: bajtów=32 czas=704ms TTL=247

Statystyka badania dla 153.19.253.204:
Pakiety: Wysłane = 4, Odebrane = 4, Utracone = 0 (0% utraconych),
Szacunkowy czas błądzenia pakietów w milisekundach:
Minimum = 693ms, Maksimum = 763ms, Średnia = 730ms

Usługa: netstat
Podobnie do usługi połączonej z portem 11, netstat podaje informacje dotyczące pracy systemu operacyjnego, takie jak np. informacje o aktywnych połączeniach, obsługiwanych protokołach, i wiele innych równie przydatnych z punktu widzenia atakującego informacji. Typowy wynik otrzymany z tego portu dla standardowego systemu Windows przedstawiony jest tu:
Protokół Adres lokalny Obcy adres Stan
TCP pavilion:135 PAVILION:0 NASŁUCHIWANIE
TCP pavilion:1025 PAVILION:0 NASŁUCHIWANIE
TCP pavilion:1035 PAVILION:0 NASŁUCHIWANIE
TCP pavilion:1074 PAVILION:0 NASŁUCHIWANIE
TCP pavilion:138 PAVILION:0 NASŁUCHIWANIE
TCP pavilion:nbsession PAVILION:0 NASŁUCHIWANIE
TCP pavilion:137 PAVILION:0 NASŁUCHIWANIE
UDP pavilion:1035 *:*
UDP pavilion:1074 *:*
UDP pavilion:nbname *:*
UDP pavilion:nbdatagram *:*

Usługa: chargen
Port numer 19, oraz związana z nim usługa chargen wydają się być zupełnie nieszkodliwe. Jak sama nazwa wskazuje, działanie tej usługi polega na ciągłym generowaniu strumienia znaków przydatnym podczas testowania połączenia internetowego. Niestety, usługa ta jest podatna na atak przy pomocy bezpośredniego połączenia telnetowego. Jeśli wygenerowany w ten sposób strumień znaków zostanie skierowany np. na port 53 (DNS — Domain Name Service) może to spowodować błąd ochrony w usłudze DNS, a w konsekwencji utratę zdolności systemu do tłumaczenia nazw symbolicznych na numery IP i odwrotnie.

Usługi (w kolejności): FTP-data, FTP
Usługi powiązane z portami 20 i 21 stanowią podstawę działania protokołu FTP (File Transfer Protocol). Aby odczytać, lub zapisać plik na serwerze FTP, musi zostać nawiązane równoległe połączenie służące do transmisji danych. Tak więc w typowej sytuacji port 21 służy jedynie do wysyłania rozkazów, oraz odbierania odpowiedzi, podczas gdy rzeczywista transmisja danych odbywa się poprzez port 20. Protokół FTP umożliwia między innymi na kopiowanie, usuwanie i zmianę plików oraz katalogów. Puzniej omówione zostaną dokładniej luki w bezpieczeństwie powodowane przez serwery FTP, oraz techniki pozwalające atakującemu niepostrzeżenie kontrolować system plików ofiary.

Usługa: telnet
Usługa właściwa dla portu 23 jest powszechnie znanym protokołem służącym do zdalnego logowania. Telnet działając jako emulator terminalu pozwala na logowanie się, oraz używanie interpretera poleceń na zdalnym systemie. W zależności od prekonfigurowanych ustawień bezpieczeństwa, serwer ten może pozwalać, i z regóły pozwala na kontrolę dostępu do systemu operacyjnego. Niestety, wykonanie specjalnie zaprojektowanych skryptów przygotowanych dla konkretnych wersji serwera potrafi doprowadzić do przepełnienia bufora, co w niektórych wypadkach doprowadza do uzyskania pełnego dostępu do systemu. Przykładem może być program TigerBreach Penetrator , który jest częścią pakietu TigerSuite.

Usługa: SMTP
Protokół SMTP (Simple Mail Transfer Protocol) jest głównie używany do przenoszenia poczty elektronicznej. Standardowo serwery SMTP oczekują na przychodzącą pocztę na porcie 25, zaś odebraną pocztę kopiują do odpowiednich skrzynek pocztowych. Jeśli wiadomość nie może zostać dostarczona, nadawcy zwracany jest komunikat błędu zawierający początkowy fragment wiadomości. Po uzyskaniu połączenia poprzez protokół TCP, komputer wysyłający pocztę (klient) czeka na komputer odbierający pocztę (serwer), aby wysłać wiersz tekstu identyfikujący klienta oraz informujący, że klient jest gotowy wysłać pocztę. W mechaniźmie tym sumy kontrolne nie są wymagane do nawiązania kontaktu z powodu wewnętrznych mechanizmów kontrolujących przepływ danych w protokole TCP. Kiedy poczta zostanie w całości odebrana przez serwer, połączenie zostaje zwolnione Podstawowymi problememi dotyczącymi wymiany poczty elektronicznej są m.in. „mail bombing” oraz „mail spamming” , ale nie brakuje również wielu innych ataków typu DoS (Denial of Service) . Problemy te zostaną dokładniej omówione w dalszej części

Numer portu: 43
Usługa: whois
Usługa Whois (http://rs.Internic.net/whois.html) jest opartym na protokole TCP serwerem działającym na zasadzie “pytanie-odpowiedź” pracującym na niewielkiej liczbie specyficznych komputerów centralnych. Jej zadaniem jest udostępnianie informacji o usługach dostępnych w sieci. Wiele domen utrzymuje swoje własne serwery Whois zawierające informacje o usługach lokalnych. Serwisy tego typu są wykorzystywane przez hakerów i im podobnych podczas zbierania informacji o potencjalnych ofiarach. Najpopularniejsze i największe bazy danych Whois dostępne są na serwerze InterNIC Załącznik pokazuje INC

Numer portu: 53
Usługa: domain
Nazwa domeny jest ciągiem znaków identyfikującym jeden lub więcej adresów IP. Istnienie takiej usługi jest uzasadnione choćby z tego powodu, że łatwiej jest zapamiętać nazwę symboliczną domeny, niż cztero- lub sześcioczłonowy adres IP. Zadaniem usługi DNS (Domain Name Service) jest tłumaczenie nazw symbolicznych na adresy IP i odwrotnie. Tak jak to zostało wyjaśnione w poprzednich postach, datagramy wędrujące poprzez sieć Internet używają adresów IP, dlatego też każdorazowo gdy użyty zostaje adres symboliczny, należy przetłumaczyć go na odpowiadający mu adres IP. W uproszczeniu — kiedy użytkownik wprowadza adres symboliczny, na przykład w przeglądarce, nazwa symboliczna wysyłana zostaje do serwera DNS, który po odszukaniu odpowiedniego rekordu w swojej bazie danych odsyła właściwy adres IP. Niedawno prowadzono śledztwo w sprawie podmieniania adresów DNS. Podmienianie datagramów wędrujący od, lub do serwera DNS daje atakującemu, przykładowo, możliwość oszukania użytkownika próbującego połączyć się ze swoim serwerem pocztowym. Tak naprawdę będzie się próbował połączyć do innego serwera, zdradzając przy okazji hasło do swojego konta pocztowego. Częste są też przypadki różnego rodzaju ataków typu DoS, powodujących czasami niedostępność usługi DNS.
Lista odpowiedzi:

Nazwa zasobu: tigertools.net
Typ: A Klasa: IN
Adres IP: 207.155.252.47

Nazwa zasobu: tigertools.net
Typ: A Klasa: IN
Adres IP: 207.155.252.14

Nazwa zasobu: tigertools.net
Typ: A Klasa: IN
Adres IP: 207.155.248.7

Nazwa zasobu: tigertools.net
Typ: A Klasa: IN
Adres IP: 207.155.248.9

Numer portu: 67
Usługa: bootp
Protokół bootp pozwala komputerom bez pamięci stałej na otrzymanie własnego adresu IP. Serwer bootp rozpoznaje takie maszyny na podstawie ich konfiguracji sprzętowej (najczęściej jest to adres MAC). Słabym punktem protokołu bootp jest moduł kernela, który podatny jest na przepełnienia bufora, powodujące błędy systemu. Jakkolwiek większość tego typu przypadków jest wynikiem ataków z sieci lokalnej, starsze systemy mogą być również podatne na ataki z Internetu.

Nowa wersja protokołu IP — IPv6 przewiduje 6 bajtów adresu w przeciwieństwie do 4 w używanym powszechnie protokole IPv4.
Podmienianie adresów DNS określa się jako “DNS spoofing”. “Spoofing” polega na podmienianiu pakietów na odcinku pomiędzy serwerem i klientem.
Adres MAC (Media Access Control) jest sześcio-bajtowym unikalnym numerem identyfikacyjnym niejako “wbudowanym” w każdą dostępną na rynku kartę sieciową.

Numer portu: 69
Usługa: tftp
Protokół TFTP (Trivial File Transfer Protocol) jest uproszczoną wersją protokołu FTP służącą głównie do inicjowania i uaktualniania systemów operacyjnych różnego rodzaju urządzeń sieciowych (głównie ruterów i przełączników). TFTP został zaprojektowany tak, aby było możliwe zaimplementowanie go do pamięci ROM. Pozwala to wprawdzie na inicjowanie urządzeń nie posiadających pamięci dyskowej, ponieważ jednak urządzenia tego typu nie mogą się posiadać własnej nazwy użytkownika i hasła, protokół ten nie posiada jakiejkolwiek kontroli dostępu. Przy pomocy prostych sztuczek każdy użytkownik Internetu może skopiować ważne dla bezpieczeństwa systemu pliki (np. /etc/passwd).
Numer portu: 79
Usługa: finger
Finger jest usługą podającą informacje o kontach użytkowników. Informacje udzielane przez tą usługę w dużej mierze zależą od wersji i konfiguracji serwera, oraz preferencji użytkownika. Jednakże w większości przypadków można otrzymać co najmniej część informacji spośród takich, jak: pełna nazwa użytkownika, adres, numer telefonu, oraz informację, czy użytkownik jest w danym momencie zalogowany na serwerze. Operacja otrzymywania informacji poprzez protokół finger jest bardzo prosta: klient otwiera połączenia do serwera i wysyła odpowiednie zapytanie, po czym serwer przetwarza zapytanie, wysyła odpowiedź i zamyka połączenie.