Home » Categories » Linux

Fałszujemy rozpoznania skanerów #1

Article Number: 10 | Rating: Unrated | Last Updated: Mon, May 21, 2018 9:38 PM

Fałszujemy rozpoznania skanerów #1

Napisał: Patryk Krawaczyński

29/12/2015 w Bezpieczeństwo, Pen Test Brak komentarzy.  (artykuł nr 492, ilość słów: 356)

I

stnieje wiele poradników, instrukcji i tutoriali, jak korzystać z skanerów bezpieczeństwa, które pozwalają na szybkie zweryfikowanie pentesterom zewnętrznego bezpieczeństwa serwerów. Najbardziej znanym jest chyba nmap. Decydując się na tego typu automat należy pamiętać, że to są tylko automaty, a wyniki ich pracy powstają tylko i wyłącznie na interpretacji surowych danych przychodzących po wyzwoleniu określonej akcji. Narzędzia tego typu nie myślą. Spodziewają się pewnych zachowań od systemów i na ich podstawie tworzą jakieś założenia. Jeśli sobie tego nie uświadomimy bardzo szybko możemy nabrać się na fałszywe alarmy oraz utratę cennego czasu przy opracowywaniu raportu bezpieczeństwa.

Pierwszym przykładem będzie prosta sztuczka opierająca się na mechanizmie TCP – potrójnego „uścisku dłoni”. Odpowiadając pakietami SYN/ACK na każdy pakiet SYN możemy stworzyć wrażenie, że wybrane porty na serwerze dla automatu skanującego okażą się otwarte i prawdopodobnie nasłuchuje na nich wybrana usługa. Na serwerze „duchu” wklepujemy następujące regułki iptables:

1
2
3
4
5
# apt-get install xtables-addons-dkms
# modprobe xt_TARPIT
# iptables -A INPUT -p tcp -m tcp --dport 21 -j TARPIT
# iptables -A INPUT -p tcp -m tcp --dport 22 -j TARPIT
# iptables -A INPUT -p tcp -m tcp --dport 23 -j TARPIT

Spójrzmy, jakie rzeczywiście usługi nasłuchują na serwerze:

agresor@darkstar:~# ss -t4l
State       Recv-Q Send-Q     Local Address:Port     Peer Address:Port
agresor@darkstar:~#

Żadne. Jak widzi to skaner?

agresor@stardust:~# nmap -sS darkstar.lan

Starting Nmap 6.40 ( http://nmap.org ) at 2015-12-29 22:05 CET
Nmap scan report for darkstar.lan (192.168.1.2)
Host is up (0.00010s latency).
Other addresses for darkstar.lan (not scanned): 192.168.1.2
Not shown: 997 closed ports
PORT   STATE SERVICE
21/tcp open  ftp
22/tcp open  ssh
23/tcp open  telnet

Nmap done: 1 IP address (1 host up) scanned in 35.13 seconds

Trochę inaczej. Istnieje jednak sposób, aby rozpoznać takie fałszywe odpowiedzi wprowadzające w błąd skaner, ponieważ odpowiedzi z modułu TARPIT nigdy nie ustawiają pola MSS (Maximum Segment Size), co odróżnia je od normalnej komunikacji TCP. Pułapki tego typu są również z sukcesem stosowane do wprowadzania w błąd różnego rodzaju szkodliwego oprogramowania, czy ataków DoS

 

 

source: https://nfsec.pl/security/5769
Posted - Mon, May 21, 2018 12:26 PM. This article has been viewed 3750 times.
Filed Under: Linux
Attachments
There are no attachments for this article.
Related Articles RSS Feed
linux ssh Remotely Initiated Reverse SSH Tunnel
Viewed 4115 times since Wed, Apr 22, 2020
SSH Essentials: Working with SSH Servers, Clients, and Keys
Viewed 5588 times since Wed, Jun 27, 2018
Linux Chage Command to Set Password Aging for User
Viewed 3322 times since Tue, Sep 11, 2018
linux aix Killing a process and all of its descendants
Viewed 4996 times since Tue, May 5, 2020
Linux - How to unlock and reset user’s account
Viewed 5901 times since Fri, Jun 8, 2018
Odpalenie polecenia tylko na jedną godzinę
Viewed 3444 times since Thu, May 24, 2018
Top 25 Best Linux Performance Monitoring and Debugging Tools
Viewed 8044 times since Sun, Sep 30, 2018
BIND for the Small LAN
Viewed 4158 times since Sun, May 20, 2018
How to create a Systemd service in Linux
Viewed 3847 times since Mon, Dec 7, 2020
Linux – How to check the exit status of several piped commands
Viewed 3632 times since Wed, Jul 25, 2018