Echipă netstat, care este inclus în setul standard de instrumente de rețea UNIX, afișând diferite informații legate de rețea, cum ar fi informații legate de rețea, statistici de interfață, tabele de rutare, masquerade, multicast etc.

În acest articol, ne uităm la zece aplicații practice ale comenzii netstat pe linux.

1. Lista tuturor porturilor

Listați toate porturile: netstat -a

# netstat -a | mai multe conexiuni la Internet active (server și stabilite) Proto Recv-Q Send-Q Adresă locală Adresă străină Stat tcp 0 0 localhost:domain *:* LISTEN udp6 0 0 fe80::20c:29ff:fe68:ntp [::]:* Socket-uri de domeniu UNIX active (servere și stabilite) Indicatori Proto RefCnt Tip Stare I-Node Cale unix 2 [ACC] STREAM LISTENING 20492 /var/run/mysqld/mysqld.sock unix 2 [ACC] STREAM LISTENING 23323 -fpm.sock

Listați toate porturile TCP: netstat -at

# netstat -at Conexiuni la Internet active (server și stabilite) Proto Recv-Q Send-Q Adresă locală Adresă străină Stat tcp 0 0 localhost:domain *:* LISTEN tcp 0 0 *:ssh *:* LISTEN tcp 0 0 localhost:ipp *:* ASCULTA tcp 0 0 *:http *:* ASCULTA

Ștergeți toate porturile UDP: netstat -au

# netstat -au Conexiuni la Internet active (server și stabilite) Proto Recv-Q Send-Q Adresă locală Adresă străină Stat udp 0 0 localhost:domain *:* udp 0 0 *:bootpc *:* udp6 0 0 fe80::20c: 29ff:fe68:ntp[::]:*

2. Lista prizelor care trebuie schimbate la stația LISTEN

Pererakhuvat toate prada care poate fi auzită: netstat -l

# netstat -l Conexiuni la Internet active (servere unice) Proto Recv-Q Trimitere-Q Adresă locală Adresă străină Stat tcp 0 0 localhost:domain *:* LISTEN tcp6 0 0 [::]:ssh [::]:* LISTEN udp 0 0 192.168.128.134:ntp **:*

Listați porturile pe care TCP le ascultă cu urechea: netstat -lt

# netstat -lt Conexiuni la internet active (numai server) Proto Recv-Q Send-Q Adresă locală Adresă străină Stat tcp 0 0 localhost:domain *:* LISTEN tcp 0 0 localhost:ipp *:* LISTEN tcp6 0 0 [::] :ssh[::]:* ASCULTĂ

Perekhuvat porti, scho bug UDP: netstat-lu

# netstat -lu Conexiuni la Internet active (servere unice) Proto Recv-Q Send-Q Adresă locală Adresă străină Stat udp 0 0 *:bootpc *:* udp6 0 0 [::]:ntp [::]:*

Hacking socket-uri UNIX: netstat -lx

# netstat -lx Socket-uri de domeniu UNIX active (numai pentru server) Indicatori Proto RefCnt Tip Stare I-Node Cale unix 2 [ ACC ] STREAM LISTENING 3141 /var/run/fail2ban/fail2ban.sock unix 2 [ ACC ] STREAM LISTENING 2049 run/mysqld /mysqld.sock unix 2 [ACC] ASCULTARE STREAM 23323 /var/run/php5-fpm.sock

3. Revizuirea statisticilor pentru protocolul pielii

Afișați statisticile pentru toate porturile: netstat -s

# netstat -s Ip: 11150 pachete totale primite 1 cu adrese nevalide 0 redirecționate 0 pachete primite aruncate 11149 pachete primite livrate 11635 cereri trimise Icmp: 13791 mesaje ICMP primite 1s. Tcp: 15020 deschideri de conexiuni active 97955 deschideri de conexiuni pasive 135 încercări de conexiune eșuate Udp: 2841 pachete primite 180 de pachete către portul necunoscut primit. .....

Afișați statisticile numai pentru porturile TCP: netstat -st

# netstat -st

Afișați statistici numai pentru porturile UDP: netstat -su

# netstat -su

4. Afișați PID și numele procesului în netstat

Opțiune netstat -p adăugați „PID/Nume program” la casetele de selectare netstat și poate fi dezactivat cu orice alt set de opțiuni. Este chiar mai bine dacă este taxat pentru desemnarea modului în care funcționează programul pe port.

# netstat -pt Conexiuni la Internet active (fără servere) Proto Recv-Q Send-Q Adresă locală Adresă străină Stare PID/Nume program tcp 0 0 org-ru-putty.vm.udf:www 52-106.plus.kerch :55723 INSTALAT 9486/nginx: lucrător tcp 0 0 org-ru-putty.vm.udf:www 52-106.plus.kerch:55757 INSTALAT 9486/nginx: lucrător

5. Permis numele netstat-ului

Dacă nu trebuie să recunoașteți numele gazdă, numele portului, numele koristuvach, selectați opțiunea netstat -n pentru a vedea valoarea formatului digital. Comanda va afișa adresa IP ca nume de gazdă, numărul portului ca nume de port, UID ca nume de gazdă.

De asemenea, merită să grăbiți mustățile, cioburi netstat nu viconuvatime căutări inadecvate.

# netstat -an

Pentru a vedea valorile digitale mai mici de unul dintre aceste puncte, utilizați următoarele comenzi:

# netsat -a --numeric-ports # netsat -a --numeric-hosts # netsat -a --numeric-users

6. Vizualizați informațiile netstat fără întrerupere

Opțiune netstat -c va afișa informații fără întrerupere, în stil top, actualizând ecranul skin de secunde.

# netstat -c Conexiuni la Internet active (fără servere) Proto Recv-Q Send-Q Adresă locală Adresă străină Stare tcp 0 0 org-ru-putty.vm.udf:www 182.131.74.202:59933 FIN_WAIT2 tcp 0 0 ru- putty.vm.udf:www 182.131.74.202:63761 FIN_WAIT2 tcp 0 0 org-en-putty.vm.udf:www 92-181-66-102-irk.:4585 ESTABLISHED ^C

7. Adresă neacceptată de sistem

Opțiune netstat --verbose arătați raportul visnovok și, la început, afișați familia de adrese, care nu este acceptată.

netstat: fără suport pentru `AF X25" pe acest sistem. netstat: fără suport pentru `AF X25" pe acest sistem. netstat: nu există suport pentru `AF NETROM" pe acest sistem.

8. Rutarea kernelului

Afișați tabelul de rutare a nucleului: netstat -r

# netstat -r Kernel IP router table Destination Gateway Genmask Flags MSS Windows irtt Iface implicit 192.168.128.2 0.0.0.0 UG 0 0 0 eth0 192.168.128.0 * 255.0 0 255.05.

Notă: Vickory netstat -rn să revizuiască traseul în format digital fără permisiunea numelor nodurilor.

9. Performanța porturilor și proceselor

Aflați ce port este împrumutat de program:

# netstat-ap | grep ssh (Nu toate procesele pot fi identificate, informațiile despre proces fără proprietate nu vor fi afișate dacă nu le puteți accesa.) tcp 0 0 *:ssh *:* LISTEN - tcp6 0 0 [::] :ssh [:: ] :* ASCULTA -

Z'yasuvati, prin procesul de câștigare a portului cântec:

# netstat -an | grep ":80"

10. Interfețe Merezhevі

Afișați o listă de interfețe asociate: netstat -i

# netstat -i Kernel Interface Table Iface MTU Met RX-OK RX-ERR RX-DRP RX-OVR TX-OK TX-ERR TX-DRP TX-OVR Flg eth0 1500 0 1911037 0 0 0 1382056 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 LRU

Afișați informații despre interfață extinsă (similar cu ifconfig): netstat -adică

# netstat -ie tabelul interfeței kernel eth0 Link encap:Ethernet HWaddr 00:0c:29:68:4c:a4 inet addr:192.168.128.134 Bcast:192.168.128.255 fe68:4ca4/64 Scope:Link MASTTUUN BOX:Link MASTTUNING Metric:1 RX pachete:24278 erori:0 dropped:0 overruns:0 frame:0 TX packages:11275 errors:0 dropped:0 overruns:0 coliziuni transportator:0 txqueuelen:1000 RX bytes:33203025 (33.2 MB) TX bytes: 665822 (665,8 KB) Întrerupere:19 Adresă de bază:0x2000

11. netstat -lnptux

În rezumat, descrierea de mai sus a combinat tastele într-o singură comandă, după cum se arată:

• -l toate porturile deschise (ASCULTATE)
• -t în spatele protocolului TCP
• -u în spatele protocolului UDP
• -x în spatele protocolului UNIX Socket
• -n fără a rezolva IP/nume
• -p Ale cu nume de proces și PID-uri

Notă: Nu toate procesele pot fi identificate prin cheia rămasă, alte procese nu sunt afișate. Ești responsabil pentru drepturile mamei de a înrădăcina totul.

# netstat -lnptux Conexiuni la internet active (numai server) Proto Recv-Q Send-Q Adresă locală Adresă străină Stare PID/Nume program tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 9614/nginx tc0 0. :22 0.0 Socket-uri de domeniu UNIX active (fără server) Proto RefCnt Flag Tip Stare I-Node PID/Nume program Cale unix 2 [ ACC ] STREAM LISTENING 4233 826/python /var/run/fail2. sock unix 2 [ACC] ASCULTARE STREAM 8122 2561/mysqld /var/run/mysqld/mysqld.sock unix 2 [ACC] ASCULTARE STREAM 160413 7301/php-fpm.conf/var/run/php5-fp

Septembrie 2013, site web

Vă rugăm să activați JavaScript

© 2009–2019 site-ul web

Curs de prelegeri

de la disciplina „Protecția proceselor informaționale în sisteme informatice”

partea 1

1. Tsіlі, rejucat de răufăcător

2. Metode și instrumente

2.1. măsuri de interceptare

2.2. Scanare

2.3. Generarea pachetelor

2.4. troieni

2.5. Exploata

2.6. Programe pentru ghicirea automată a parolelor

3. Clasificarea atacurilor de plasă

3.1. Dincolo de modelul OSI

3.2. În spatele tipului

3.3. În scopul răspândirii atacatorului, obiectul care este atacat.

4. Atacuri precum „spoofing”

5. Atacurile care împiedică schimbul neautorizat de bani

5.1. tunelare

5.2. Atacul cu fragmente de plâns

6. Atacurile care îl salvează pe Danih

6.1. Redirecționare ICMP înșelătoare

6.2. Alertă DHCP

6.3. Atacul asupra protocoalelor de rutare

7. Atacurile de implementare în serviciu (DDoS)

7.1. Principii generale și concepte ale atacurilor DDoS

7.2. Atacurile DDoS bazate pe protocolul TCP

7.3. Atacurile DDoS bazate pe protocolul UDP

7.4. Atacurile DDoS bazate pe protocolul ICMP

8. Atacurile la nivel aplicat

8.1. Atacurile cu parole

8.2. Injecție SQL

8.3. Cross Site Scripting (XSS)

9. Amenințări și atacuri specifice rețelei wireless 802.11

Relevanța și importanța problemei securității informațiilor este determinată de astfel de factori:

· Dezvoltarea suedeză a rețelei globale de internet

O globalizare similară permite răufăcătorilor să atace practic rețeaua corporativă pentru mii de kilometri din orice punct al curții pământului, de є Іnternet.

· Rozpovsyudzhennya simplu la programe zastosuvanni pentru rău

Extinderea vastă a celor mai simple în programele victorioase rău intenționate și recomandările că victoriile lor au dus la faptul că nivelul de cunoștințe și abilități este redus brusc, deoarece este necesar ca răufăcătorul să efectueze un atac cu succes.

· Automatizarea proceselor de afaceri ale companiilor

Un schimb semnificativ mai mare de informații, care este salvat și procesat pentru computere suplimentare și alte instrumente de automatizare, a căpătat aspectul de amenințări, ceea ce a făcut posibilă cheltuirea banilor, creând acea deschidere a datelor. Conform estimărilor fahivtsiv Nin, aproape 70-90% din capitalul intelectual al companiei este salvat de aspectul digital.

· Incoerențe numerice ale platformelor software și mesh

Produsele software moderne prin concurență consumă vânzări din grațieri și neajunsuri. Iertarea și neajunsurile, care s-au pierdut în aceste sisteme, duc la deteriorarea vipadkovyh și navmisnyh la securitatea informațiilor.

· Securitatea informațiilor nutriționale Nehtuvannya în companie.

Vidsutnіst іnformatsiynoї іdtrimki svіvrobіtnіkіv v sfera ІB sberezhennya komertsіynoї єmnitsі.

· Creșterea popularității tehnologiilor de plasă fără kerf în mediul corporativ. Motivul este simplitatea gâtului (nu este nevoie să așezați un cablu), costul scăzut al posesiei, varietatea semnificativ mai mică în timpul expansiunii necesare a barierei (împerecheat cu un analog dart, este suficient să acoperiți zona necesară cu puncte de acces), precum și lnistyu mobil pentru corystuvachіv și gnuchkіstyu cu extindere.

Tsіlі, rejucat de răufăcător

- Informații furate(But - autentificare și parolă furate; informații furate, care este un secret comercial)

- Modificarea informatiilor(But - schimbarea informațiilor despre tabăra rahunka în baza de date a băncii)

- Deteriorarea disponibilității resursei informaționale(În acest fel, răufăcătorul nu are informații de ciripit; yogo meta - îngreunează-l sau îngreunează robotul serverului de pardoseală, astfel încât alți coristuvachi să nu poată accelera cu servitorii).

Metode și instrumente

Interceptări telefonice (adulmecare)

Ascultarea traficului în rețelele locale se realizează cu ajutorul unor programe speciale - sniffers. Acest program gestionează pachetele care se află pe interfața computerului și vă permite să le analizați.

Prin acele programe terțe care transmit date în format text (HTTP, FTP, SMTP, POP3 etc.), cu ajutorul unui sniffer, puteți recunoaște parola și alte informații confidențiale (de exemplu, numele parole și parole). Schimbarea numelor și a parolelor creează o mulțime de probleme, oscills de corystuvachs adesea zastosovuyut unul și aceeași autentificare și parolă pentru resurse și programe bogate.

Interfață de sniffer Network Chemistry Packetyzer

Procesul de spionare a traficului din zona locală se află sub forma topologiei și tipul de posesie care este victorios în ea.

Anterior, rețelele locale nu erau comutate. Schimbul de date între calculatoarele din măsura a fost realizat prin același canal de informare, sau, aproximativ, aparent, prin același fir direct de la manager și ofițer. Înainte de astfel de merezhes, se poate vedea Ethernet fuzionarea cu topologia „Zagalna bus” (sunt învechite), Ethernet fuzionarea cu topologia „Zirka” bazată pe un hub sau un concentrator (rareori nu va câștiga), fără un Standard Wi-Fi.

Ethernet din topologia „Zahalna bus”

Ethernet din topologia Zirka bazată pe un hub (concentrator)

Fuziune Wi-Fi fără rădăcină

La frontiere, care nu sunt conectate, computerul skin va prelua toate pachetele care sunt transmise de-a lungul frontierei. După analizarea pachetului, driverul cardului de îmbinare analizează antetul pachetului, preia adresa MAC a masterului și se potrivește cu adresa MAC a cardului îmbinat. Pe măsură ce adresele sunt colectate, pachetul este transmis sistemului de operare pentru procesare ulterioară. Dacă adresele nu sunt introduse, pachetul este respins.

Mi-am dat seama că pentru o astfel de schemă nu este ușor pentru răufăcător să asculte tot traficul de la merezhі. Pentru care este necesar să transferați cardul de fuziune într-un mod special - deci titlurile sunt promiscue (de neînțeles). Cardul Merezheva în modul „indiscriminat” acceptă toate pachetele, independent de adresele recunoscute, și le transferă în software-ul sniffer pentru analiză. (În cele mai multe cazuri, modul promiscuu este pornit automat după pornirea sniffer-ului).

Prote în Danemarca este cea mai comună rețea Ethernet bazată pe comutator (switch).

Ethernet cu topologie Zirka bazată pe un comutator (comutator)

Switch-ul menține un tabel cu adrese MAC de accesibilitate ale nodurilor și porturile acestora, la care sunt conectate nodurile. Acum pachetele sunt scanate pe un anumit port alocat destinației pachetului. Evident, atacatorul poate privi fie pachetele adresate ție, fie pachetele largi.

Cu toate acestea, găsiți modalități de a permite atacatorului să ocolească acest schimb și să asculte cu urechea traficul care nu este destinat lui. Până la una dintre aceste metode este un atac de falsificare ARP (atacul se mai numește și otrăvire ARP). Atacul de falsificare ARP la tip bărbatul din mijloc(persoana din mijloc).

Pentru a forma un pachet și a-l trimite către computer, este necesar să cunoașteți adresele IP și MAC ale gazdei pachetului. Adresele IP, de regulă, sunt date mâna dreaptă la o dată ulterioară (în caz contrar, în casa numelui de domeniu, este neîndemânatic să luați adresa IP cu ajutorul unui server DNS). Pentru a căuta o adresă MAC pentru atribuiri IP, protocolul ARP (Address Resolution Protocol). Pratsiyu vin așa:

Dacă computerul este vinovat că a trimis un pachet pentru aceeași adresă IP, verificați cache-ul ARP pentru următorul IP-MAC. (Puteți să vă uitați la memoria cache ARP a computerului dvs. tastând comanda arp –a pe linia de comandă). Dacă da, atunci adresa MAC eliminată este inserată în antetul pachetului de ieșire, iar pachetul este redistribuit.

În caz contrar, o interogare ARP specială („Cine are 192.168.0.1?”) este aplicată la limită. Orice computer care își recunoaște adresa IP în cerere este răspunzător față de același administrator și își trimite adresa MAC. Acesta va fi trimis în memoria cache ARP a autorului și va câștiga pentru redistribuirea ulterioară a pachetelor care fuzionează.

Un atacator poate înșela protocolul ARP pentru a intercepta traficul dintre două computere dintr-o rețea.

Schema de atac de falsificare ARP

Să presupunem că atacatorul X trebuie să se uite peste traficul care este transferat de la A la B și înapoi. Pentru care vin este trimis la computerul A Pomilkova ARP-validare, Confuză adresa IP a computerului B și replica-o în mod inutil la adresa MAC a atacatorului X. Redirecționare ARP similară cu B: adresa MAC a atacatorului X este setată la adresa IP a computerului A. Protocolul ARP nu eșuează. autentifică că A i Ei nu pot suprascrie valabilitatea datelor de intrare și le stochează imediat în memoria cache ARP. În acest fel, să stea spălarea cache-ului ARP vuzlіv A і B, introducând în ele date nevirnih, hibnih. Dacă da, odată ce ați scuzat pachetul ARP și ați schimbat cache-ul ARP al computerului altcuiva, va trebui să revizuiți periodic procedura din nou și din nou, dacă sistemul de operare este așa, vă veți actualiza constant și cache-ul ARP prin intermediul aceleași intervale de timp. Suficientă cerobitate o dată timp de 20-40 de secunde.

Acum computerul A alege să trimită date către, să trimită date către X (încă livrarea datelor de către comutator se bazează pe adresa MAC a masterului). Răufăcător X ia tributul, se uită la el și apoi îl înaintează către obsesia de drept, pentru a nu fi dezvăluit. O situație similară se întâmplă direct la poartă: traficul care se transmite de la B la A poate fi atacat și de un răufăcător. p align="justify"> Este deosebit de avantajos pentru atacator (și, mai ales, mai ales nesigur) dacă unul dintre computerele atacate are un gateway, adică. servesc la conectarea rețelelor locale la Internet. În acest fel, atacatorul poate pune la dispoziție numele corespondenților și parolele de acces la resursele Internet (site-uri web, ICQ, email) și alte informații confidențiale care sunt transmise pe Internet.

În acest fel, infrastructura este comutată și nu elimină amenințările la snifing. Cu toate acestea, ea va reduce considerabil gostrota.

Metode de falsificare ARP

Selectarea intrărilor statice din memoria cache ARP. Pentru care este necesar să introduceți manual intrări despre IP și adrese MAC valide în memoria cache ARP a computerului. În acest caz, eliminarea ARP a răufăcătorului nu va fi acceptată și memoria cache nu va fi distrusă.

Intrări în cache ARP - statice și dinamice

Cu toate acestea, un astfel de mod este ușor de stagnat în lanțuri mari - prin munca de yoga. De asemenea, nu încercați să suprascrieți intrările statice în acest caz, dacă distribuirea adresei IP este recuperată automat de pe serverul DHCP.

Wikoristanya іntelektualnykh kommutatorіv.

O mulțime de modele actuale de comutatoare pot fi introduse în funcția de spionaj pe ARP spoofing

Selecția de module speciale de ecrane intermediare pentru detectarea și blocarea atacurilor

Ecranele intermediare active au un modul special în depozit (de exemplu, în Outpost se numește „Detector de atac”), care vă permite să detectați activitatea intermediară suspectată și blocarea, precum și să raportați despre aceasta.

Criptarea traficului

Această metodă nu ajută la perekhoplennya, ci la jefuiește pe Yogo Marnim. Dacă canalul de comunicare este deturnat criptografic, înseamnă că hackerul înșală informația, iar criptarea este textul (pentru a face succesiunea bătăliilor de neînțeles). Cu toate acestea, o urmă de memorie, că transformările criptografice vikonannya peste marile obligații ale dansului, poate fi de mare ajutor robotului computerului.

Mai există o modalitate de a asculta traficul de la graniță. După cum puteți vedea, pentru funcționarea sa, comutatorul va crea în mod dinamic un tabel de date „adresă MAC - port”. Dacă un pachet trece prin comutator, ale cărui adrese MAC sunt în acest tabel, atunci comutatorul adaugă automat o nouă intrare la acesta, care indică o adresă MAC necunoscută.

Atacul lovește un număr mare de pachete cu adrese MAC diferite prin intermediul comutatorului. Când schimbați masa de comutare pentru a reîncărca și treceți la modul robot „hub”. Evident, răufăcătorul va deveni disponibil să revizuiască tot traficul de la graniță.

Deosebit de relevantă pentru restul orei este problema interceptării fără linii de săgeți, cioburi ale benzii de rulare fără săgeți pentru propriile lor sutti є vіdkritoy și zagalno accesibile. Pentru a preveni interceptarea neautorizată a traficului wireless de la Wi-Fi, pe rețelele Wi-Fi sunt instalate protocoale criptografice speciale (azi cele mai utilizate sunt WPA și WPA2).

Scanare

Scanarea unei rețele poate fi efectuată pe metoda de detectare a computerelor conectate la rețea și desemnarea serviciilor de rețea care lucrează pe acestea (deschiderea portului TCP sau UDP). Prima sarcină este să verificați puterea alertei ICMP-echo pentru ajutorul programului ping de la ultima enumerare a adresei nodului din celulă.

Administratorul fuziunii poate efectua o scanare pentru a analiza traficul din fuziune și poate trimite o notificare Echo, într-o perioadă scurtă de timp, care este trimisă secvenţial la toate adresele fuziunii. Pentru o mai mare secretizare, atacatorul poate extinde imediat procesul la oră („mai multe scanări”) - este, de asemenea, necesar să scaneze porturile TCP/UDP.

Pentru a determina dacă programele UDP sau TCP (precum și serviciile sistemului OS) rulează pe computere software-scaner. Deoarece numerele de porturi ale tuturor serviciilor principale de Internet sunt standardizate, atunci, după ce a stabilit, de exemplu, că portul 25/TCP este permis, puteți nota despre acelea că această gazdă este un server de e-mail; portul 80/TCP - server web, doar. e. Otrimanu іnformatsiyu zlovmisnik poate vikoristovuvatime atacuri hohote la distanță.

Scanarea porturilor TCP ale unei gazde se poate face în mai multe moduri. Cel mai simplu mod - Stabilirea unei noi conexiuni TCP pe portul de testare. Imediat ce a fost instalată conexiunea, înseamnă că portul era deschis și programul server a fost conectat la cel nou. Avantajul acestui lucru este capacitatea de a scana fără software special: programul standard telnet vă permite să specificați un anumit număr de port pentru a instala conexiunea. Singurul neajuns este posibilitatea de a înregistra o astfel de scanare: atunci când se analizează jurnalul de sistem al gazdei scanate, o serie de intrări vor fi afișate și imediat întrerupte în ziua respectivă, după care nu poți decât să intri și să mergi înainte fără ciuguli. În plus, cu ajutorul utilitarului telnet, trebuie să rezolvi manual toate prada care ciripește intrusul.

Scanare în modul de scanare pe jumătate deschis nu există descrieri ale deficiențelor. Majoritatea scanerelor de astăzi folosesc această metodă. Scanerul este trimis la portul de scanare al segmentului SYN și verifică pentru confirmare. Eliminarea segmentului de la intrare cu biți SYN și ACK înseamnă că portul este deschis; Conținutul segmentului cu bitul RST înseamnă că portul este închis. Otrimavshi SYN + ACK, scanerul trimite negativ către manifestări un segment de port cu biți RST, astfel încât este imposibil să încercați conexiunea. Deoarece înregistrarea nu a apărut (imaginea ACK a scanerului nu a fost anulată), atunci înregistrarea unei astfel de scanări este mai bogată.

A treia cale - scanarea pentru ajutor FIN-segmente. Indiferent de modul în care portul este scanat, un segment este trimis cu bitul FIN introdus. Gazda este responsabilă pentru segmentul RST, precum și pentru segmentul FIN care se adresează unui port închis. Segmentele FIN care sunt direcționate către un port care este reordonat la stația LISTEN sunt ignorate de implementările TCP/IP. În această ordine, este necesar să vorbim despre cei care sunt portul de intrare. O metodă alternativă de scanare este trimiterea de segmente cu steaguri FIN, PSH, URG sau fără steaguri (scanare nulă).

Evident, scanarea cu segmente SYN dă rezultate mai fiabile, din fericire, o mulțime de firewall-uri nu pot lăsa să treacă segmente SYN fără un ensign ACK de la Internet la rețeaua internă (astfel, gazdele de pe Internet din interiorul celorlalte gazde care provin din Internet, dar este permis ceea ce este inițiat la mijloc). În acest fel, răufăcătorului nu mai are nimic, să nu mai scanăm cu segmente FIN.

Pentru a selecta porturile de alarmă UDP, atacatorul poate schimba portul de alarmă UDP pentru a testa. Port de alertă Otrimannya ICMP Inaccesibil pentru a vorbi despre cei care portul este închis.

Programul de scanare poate desemna, de asemenea, sistemul de operare al gazdei scanate prin modul în care gazda răspunde la pachetele special concepute, non-standard: de exemplu, segmente TCP cu steaguri oarbe sau notificări ICMP de anumite tipuri și pentru alte semne.

Scanerele software moderne permit nu numai să afișeze o listă de suplimente, ci și să facă o listă de inconsecvențe, ca în aceste suplimente, și să ofere recomandări cu privire la adoptarea lor. Pentru ca scanerul să fie conștient de neconcordanțe în noile versiuni de suplimente, baza de date a scanerului trebuie actualizată în mod constant (asemănător cu baza de date a unui program antivirus).

În acest rang, programul de scanare poate fi învingător nu numai ca un răufăcător, ci și ca administrator însuși, de dragul unei glume de prostie care їsunennya. De asemenea, administratorul este responsabil pentru revizuirea regulată a listei de porturi permise: prezența unui port deschis necunoscut pentru administrator poate indica prezența unui program troian în sistem.

Sunetul programului de scanare Xspider cu o listă de porturi deschise

Sunetul software-ului scanerului Xspider: a găsit inconsecvență și recomandări despre cum să vă obișnuiți

Afișați portul pe mașina locală, precum și programele care portează portul, puteți utiliza, de asemenea, utilitarul de linie de comandă Netstat.

Generarea pachetelor

Pe Internet, puteți găsi programe gata făcute pentru generarea de pachete în același format și gratuit. Zastosuvannya unor astfel de programe de multe ori nu înseamnă atacatorul și calificările programatorului, nici înțelegerea principiilor de lucru ale companiei, pentru a jefui o mulțime de atacuri, în special atacuri de tip "în serviciu", disponibile pe scară largă la vikonannya.

2.4. troieni

Desemnat pentru furtul de informații sau pentru spionarea unui computer la distanță.

Programele troiene discriminează între ele pentru aceleași boli care miros pe computerul infectat. Mai jos este o clasificare a troienilor, conform Kaspersky Lab.

Deschideți fereastra liniei de comandă (ca administrator). Introduceți „cmd” în câmpul „Cob\Search”, faceți clic dreapta pe „cmd.exe” și selectați „Run as administrator”

Introduceți următorul text și apăsați tasta Enter.

netstat-abno

-A Văzând toate conexiunile care strică ce să asculți.

-b Afișează un fișier de glisare, care ia parte la crearea unei boli de piele sau a unui port de ascultare. În unele cazuri, gazda fișierelor copiate este un fragment de componente independente, iar în aceste cazuri există o secvență de componente care participă la crearea fișierului sau a portului de ascultare. În acest fel, fișierul care este afișat se află în partea de jos, fiara este o componentă care a fost numită și așa mai departe. docurile nu vor fi atinse prin TCP/IP. Respectă faptul că acest parametru poate dura mult timp și nu renunța, deoarece nu ai permisiunea suficientă.

-n Afișează adresele și numerele de port în formă numerică.

-o Vіdobrazhaє іdіdіfіkaє volodynnya, po'yazyany s derzhnyh zadnannyam.

Găsiți portul pe care îl auziți din filiala „Adresă locală”.

Uimește-te de procesul fără intermediar pіd cim.

NOTĂ. Pentru a cunoaște procesul la dispecer

Întoarceți respectul pentru identificatorul de proces (identificatorul de proces) în ordinea portului, indiferent de ce căutați.

Deschideți Windows Task Manager.

Accesați fila Procese.

Uită-te la PID, pe care l-ai dat seama dacă ai rulat netstat pe croc 1.

• Dacă nu verificați PID-ul, apăsați „Review/Select Stovpts”. Selectați PID.

  Reconsiderați, ceea ce este selectat „Afișați procesele sub formă de koristuvachiv de succes”.