Fałszujemy rozpoznania skanerów #2

W

pierwszej części pokazałem, jak łatwo za pomocą iptables sfałszować nasłuchujące usługi. W tym przykładzie zajmiemy się techniką zwaną banner grabbing. Proces ten powoduje, że skaner przechodzi do warstwy aplikacji i zaczyna zachowywać się, jak klient. Wysyła dopasowane żądanie do usługi i oczekuje odpowiedzi, w której ma nadzieje znaleźć jej nazwę i wersję.

Jakiś czas temu Nick Marsh wpadł na pomysł, jak można zawiesić skaner nmap próbujący wykonać rozpoznanie usługi. Na maszynie testowej odpalamy fałszywą usługę, która w rzeczywistości jest pułapką:

ncat -lkv -p 8080 --sh-exec "echo 'HTTP/1.1 200 OK\r\n'; cat /dev/urandom"

Na drugiej obserwujemy, jak zachowuje się nmap:

...
PORT     STATE SERVICE     VERSION
8080/tcp open  http-proxy?
|_http-favicon: Unknown favicon MD5: D41D8CD98F00B204E9800998ECF8427E
|_http-methods: No Allow or Public header in OPTIONS response (status code 200)
|_http-open-proxy: Proxy might be redirecting requests
|_http-title: Site doesn't have a title.
1 service unrecognized despite returning data.

oraz Nikto:

- Nikto v2.1.4
--------------
+ Target IP:       192.168.1.2
+ Target Hostname: darkstar.lan
+ Target Port:     8080
+ Start Time:      2016-01-08 23:22:36
--------------
+ Server: No banner retrieved

Oprócz tego, że skanery nie uzyskały żadnych danych to jeszcze wpadły w pułapkę, która zapętliła ich działanie i spowodowała wyczerpanie zasobów na maszynach, na których zostały uruchomione. Ten prosty przykład pokazuje, jak prosto jest przechytrzyć „narzędzia bezpieczeństwa”. Uruchamiając skanery automatyzujące wykrywanie podatności należy zdawać sobie, co się dzieje za ich kulisami. Narzędzia tego typu przeważnie nie posiadają ostatecznych stwierdzeń, a tylko pośrednie przypuszczenia. W dodatku same z siebie również mogą mieć luki i stać się celem ataków swoich potencjalnych ofiar.

 

 

source: https://nfsec.pl/security/5774

Attachments
There are no attachments for this article.
Related Articles RSS Feed
Understanding System auditing with auditd
Viewed 10004 times since Fri, Apr 5, 2019
O’Reilly’s CD bookshelf
Viewed 12969 times since Wed, Jun 27, 2018
RHEL: Displaying/setting kernel parameters - ’sysctl’
Viewed 3102 times since Sat, Jun 2, 2018
Linux 20 Netstat Commands for Linux Network Management
Viewed 9721 times since Mon, Sep 21, 2020
Using stunnel to Encrypt Database Connections
Viewed 3750 times since Fri, Sep 28, 2018
LVM: Extend SWAP size by adding a new Logical Volume
Viewed 3236 times since Sat, Jun 2, 2018
Linux - How to shutdown or reboot
Viewed 2223 times since Fri, Jun 8, 2018
Linux Audit The Linux security blog about Auditing, Hardening, and Compliance lynis
Viewed 2184 times since Thu, Jan 16, 2020
Inxi – A Powerful Feature-Rich Commandline System Information Tool for Linux
Viewed 18977 times since Sat, Jun 2, 2018
Sample logrotate configuration and troubleshooting part 2
Viewed 9576 times since Fri, Nov 30, 2018