Размещено на http://www.allbest.ru/

МИНИСТЕРСТВО ОБРАЗОВАНИЯ РОССИЙСКОЙ ФЕДЕРАЦИИ

КАЗАНСКИЙ ГОСУДАРСТВЕННЫЙ ТЕХНИЧЕСКИЙ УНИВЕРСИТЕТ

ИМ. А.Н. ТУПОЛЕВА

ФАКУЛЬТЕТ ТЕХНИЧЕСКОЙ КИБЕРНЕТИКИ И ИНФОРМАТИКИ

Кафедра Систем информационной безопасности

МЕТОДИЧЕСКИЕ УКАЗАНИЯ

К ВЫПОЛНЕНИЮ ЛАБОРАТОРНОЙ РАБОТЫ № 1

ПО ДИСЦИПЛИНЕ

«Защита информационных процессов в компьютерных системах»

на тему

«Обнаружение уязвимостей сетевого узла с помощью сканеров безопасности»

Составитель:

Аникин И.В.

Казань, 2007

ЛАБОРАТОРНАЯ РАБОТА № 1

Название работы

Обнаружение уязвимостей сетевого узла с помощью сканеров безопасности.

Цель

Познакомиться на практике с проблемой обнаружения уязвимостей сетевого узла при помощи сканеров безопасности. Определить способы устранения обнаруженных уязвимостей.

Программно-аппаратные средства

Компьютерная лаборатория с ЛВС, сканер безопасности NMap 4.2, сканер безопасности XSpider 7.5 Demo, стандартные средства администрирования Windows.

ОБЩИЕ СВЕДЕНИЯ

Одной из важнейших проблем при анализе защищенности сетевого узла является проблема поиска уязвимостей в системе защиты. Под понятием уязвимость понимают слабость в системе защиты, которая дает возможность реализовать ту или иную угрозу. Под угрозой понимают совокупность условий и факторов, которые могут стать причиной нарушения целостности, доступности и конфиденциальности информации, хранящейся, обрабатывающейся и проходящей через сетевую компьютерную систему. Уязвимости могут являться как следствием ошибочного администрирования компьютерной системы, так и следствием ошибок, допущенных при реализации механизмов безопасности разработчиком ПО.

Для облегчения работы специалистов существуют программы, позволяющие сократить суммарно потраченное время на поиск уязвимостей, за счет автоматизации операций по оценке защищенности систем. Такие программы называют сканерами безопасности. Сканеры выявляют слабые места в безопасности на удаленном либо локальном ПК. Некоторые из них способны выдавать рекомендации по устранению обнаруженных уязвимостей.

Примечание

Несанкционированные проверки уязвимости удаленного компьютера могут быть отнесены к уголовно наказуемому деянию согласно статьям 272 и 274 УК РФ (максимальное наказание - лишение свободы на срок до пяти лет). См. также файл-приложение к лабораторной работе:

УК_РФ_Глава_28_Преступления_в_сфере_компьютерной_информации.txt

Принципы работы сканера безопасности

Основной модуль программы подсоединяется по сети к удаленному компьютеру. В зависимости от активных сервисов формируются проверки и тесты. Сканирование - механизм пассивного анализа, с помощью которого сканер пытается определить наличие уязвимости без фактического подтверждения ее наличия - по косвенным признакам. Найденные при сканировании каждого порта заголовки сравнивается с таблицей правил определения сетевых устройств, операционных систем и возможных уязвимостей. На основе проведенного сравнения делается вывод о наличии или отсутствии потенциальной уязвимости.

При любой оценке безопасности большая сложность заключается в выяснении списка программного обеспечения, установленного в сети, наличие точного перечня портов и использующих их служб может быть одним из важнейших условий полной идентификации всех уязвимых мест. Для сканирования всех 131070 портов (от 1 до 65535 для TCP и UDP) на всех узлах может понадобиться много дней и даже недель. Поэтому лучше обратиться к более коротким спискам портов и служб, чтобы определить в первую очередь наличие самых опасных уязвимых мест (см. Приложение 1).

Протоколы семейства TCP/IP, используемые в качестве основы взаимодействия в Internet, не соответствуют современным требованиям по обеспечению безопасности. Наличие неустранимых уязвимостей в базовых протоколах TCP/IP приводит к появлению все новых видов атак, направленных на получение НСД, отказа в обслуживании и т.д. Новые разновидности информационных воздействий на сетевые сервисы представляют реальную угрозу доступности и целостности данных. В связи с этим, очень большую актуальность имеет создание сканеров безопасности, позволяющих обнаруживать такие угрозы, в том числе и самые новейшие.

Технологии анализа защищенности являются действенным методом, позволяющим проанализировать и реализовать политику сетевой безопасности прежде, чем осуществится попытка ее разрушения снаружи или изнутри организации.

Сканеры безопасности - обоюдоострое оружие. Ими может воспользоваться как администратор компьютерной системы для выявления незащищенных мест, так и злоумышленник.

Классы сканеров безопасности

1. Сканеры безопасности сетевых сервисов и протоколов (IP-Tools, XSpider, NMap).

2. Сканеры безопасности операционных систем (System Scanner).

3. Сканеры безопасности приложений (XSpider, System Scanner, VForce, AppDetective).

Сканеры безопасности сетевых сервисов и протоколов

Они сканируют локальную или удаленную машину с целью обнаружения уязвимостей и начинают с получения предварительной информации о проверяемой системе: о разрешенных протоколах и открытых портах, версии ОС и т.д. Некоторые сканеры могут попытаться сымитировать атаку на сетевой узел (реализацией моделей атак).

Сканеры безопасности операционных систем

Средства этого класса предназначены для проверки настроек ОС, влияющих на ее защищенность. К таким настройкам относятся: учетные записи пользователей, длина паролей и срок их действия, права пользователей на доступ к критичным системным файлам, уязвимые системные файлы и т.п. Данные сканеры могут проверить систему на наличие уязвимостей в прикладных программах и аппаратуре, уязвимостей связанных с недостатками в конфигурировании системы (не согласующиеся с политиками безопасности).

Сканеры безопасности приложений

Несмотря на то, что особую популярность приобретают универсальные сканеры, качество проверок, определяемое их глубиной, возможно обеспечить только специализированными сканерами, разработанными для конкретных прикладных программ, WEB-серверов и СУБД. Как правило, их работа основана на специализированной методологии и использовании обширной базы знаний по уязвимостям конкретной прикладной системы.

Недостатки сканеров безопасности

1. Обычно они могут только проверить известные уязвимости в системе безопасности. Их эффективность зависит в значительной степени от точности и быстродействия источника информации об уязвимостях.

2. Испытание на известную уязвимость может пройти неудачно. Иногда единственный способ определить, действительно ли система имеет некоторую известную слабость, состоит в том, чтобы пробовать задействовать это слабое место и понаблюдать, как система будет себя вести. Такой способ наиболее эффективен, но может иметь опасные последствия для всей системы. Альтернативой является следующее: собрать наиболее важную информацию (например, тип службы и версию) и на этом основании принять решение. Этот подход безопасен, но менее точен и часто ведет к большому количеству ложных подозрений.

Сканеры нового поколения используют более интеллектуальные методы сканирования, и помогают уменьшить зависимость от знания предыдущих атак. Интеллектуальное сканирование находится в стадии бурного развития, неудачи автоматических сканеров свидетельствуют о более фундаментальных недостатках в концепции сканирования уязвимостей. Поэтому нужно всегда помнить, что сканер не обнаружит все уязвимости системы, и будет часто сообщать о проблемах, которых, на самом деле, нет. Кроме того, современные сканеры не понимают взаимозависимости между системами, контекст, в котором компьютерные системы существуют, и роль, которую люди играют в действии компьютерных систем.

ОБЗОР СКАНЕРА БЕЗОПАСНОСТИ NMAP

NMap - the Network Mapper. Консольная программа NMap предназначена для сканирования сетей с любым количеством объектов, определения состояния объектов сканируемой сети а также портов и соответствующих им служб. Для этого NMap использует много различных методов сканирования, таких, как UDP, TCP connect(), TCP SYN (полуоткрытое), FTP proxy (прорыв через ftp), Reverse-ident, ICMP (ping), FIN, ACK, Xmas tree, SYN и NULL-сканирование (для определения действий соответствующих служб см. «Справку Windows»).

NMap также поддерживает большой набор дополнительных возможностей, а именно: определение ОС удаленного хоста с использованием отпечатков стека TCP/IP, «невидимое» сканирование, динамическое вычисление времени задержки и повтор передачи пакетов, параллельное сканирование, определение неактивных хостов методом параллельного ping-опроса, сканирование с использованием ложных хостов, определение наличия пакетных фильтров, прямое (без использования portmapper) RPC-сканирование, сканирование с использованием IP-фрагментации а также произвольное указание IP-адресов и номеров портов сканируемых сетей.

Результатом работы NMap является список отсканированных портов удаленной машины с указанием номера и состояния порта, типа используемого протокола а также названия службы, закрепленной за этим портом.

Порт характеризуется тремя возможными состояниями: «открыт», «фильтруемый» и «нефильтруемый». Состояние «открыт» означает, что удаленная машина прослушивает данный порт. Состояние «фильтруемый» означает, что межсетевой экран, пакетный фильтр или другое устройство блокирует доступ к этому порту и NMap не смог определить его состояние. «Нефильтруемый» означает, что по результатам сканирования NMap воспринял данный порт как закрытый, при этом средства защиты не помешали NMap определить его состояние. Это состояние NMap определяет в любом случае.

В зависимости от указанных опций, NMap также может определить следующие характеристики сканируемого хоста: метод генерации TCP ISN, имя пользователя (username) владельца процесса, зарезервировавшего сканируемый порт, символьные имена, соответствующие сканируемым IP-адресам и т.д.

Команда использования NMap (в консольном режиме)

nmap [Метод(ы) сканирования] [Опции] <Хост или сеть #1,[#N]>

Основные методы сканирования

-sT (scan TCP) - использовать метод TCP connect(). Наиболее общий метод сканирования TCP-портов. Функция connect(), присутствующая в любой ОС, позволяет создать соединение с любым портом удаленной машины. Если указанный в качестве аргумента порт открыт и прослушивается сканируемой машиной, то результат выполнения connect() будет успешным (т.е. соединение будет установлено), в противном случае указанный порт является закрытым, либо доступ к нему заблокирован средствами защиты. Для того, чтобы использовать данный метод, пользователь может не иметь никаких привилегий на сканирующем хосте. Этот метод сканирования легко обнаруживается целевым (т.е. сканируемым) хостом, поскольку его log-файл будет содержать запротоколированные многочисленные попытки соединения и ошибки выполнения данной операции. Службы, обрабатывающие подключения, немедленно заблокируют доступ адресу, вызвавшему эти ошибки.

-sS (scan SYN) - использовать метод TCP SYN. Этот метод часто называют полуоткрытым сканированием, поскольку при этом полное TCP-соединение с портом сканируемой машины не устанавливается. NMap посылает SYN-пакет, как бы намереваясь открыть настоящее соединение, и ожидает ответ. Наличие флагов SYN|ACK в ответе указывает на то, что порт удаленной машины открыт и прослушивается. Флаг RST в ответе означает обратное. Если NMap принял пакет SYN|ACK, то в ответ немедленно отправляет RST-пакет для сброса еще не установленного соединения (реально эту операцию выполняет сама ОС). Очень немного сайтов способны обнаружить такое сканирование. Пользователь должен иметь статус root для формирования поддельного SYN-пакета.

-sF,-sX,-sN (scan FIN, scan Xmas, scan NULL) - «невидимое» FIN, Xmas Tree и NULL-сканирование. Эти методы используются в случае, если SYN-сканирование по каким-либо причинам оказалось неработоспособным (некоторые межсетевые экраны и пакетные фильтры ожидают и блокируют поддельные SYN-пакеты на защищенные ими порты).

-sP (scan Ping) - ping-сканирование. Иногда вам необходимо лишь узнать адреса активных хостов в сканируемой сети. NMap делает это, послав ICMP-сообщение «запрос эха» на каждый указанный IP-адрес. Хост, отправивший ответ на эхо, является активным.

-sV (scan Version) - включение режима определения версий служб, за которыми закреплены сканируемые порты. После окончания сканирования будет получен список открытых TCP и/или UDP-портов. Без этой опции в списке напротив каждого порта будет указана служба, которая обычно использует данный порт (эта информация берется из базы данных общеизвестных портов, файл nmap-services).

-sU (scan UDP) - сканировать UDP-порты. Этот метод используется для определения, какие UDP-порты (RFC 768) на сканируемом хосте являются открытыми. На каждый порт сканируемой машины отправляется UDP-пакет без данных. Если в ответ было получено ICMP-сообщение «порт недоступен», это означает, что порт закрыт. В противном случае предполагается, что сканируемый порт открыт. Надо помнить, что сканирование UDP-портов проходит очень медленно, поскольку практически все ОС следуют рекомендации RFC 1812 (раздел 4.3.2.8) по ограничению скорости генерирования ICMP-сообщений «порт недоступен». Например, ядро Linux ограничивает генерирование таких сообщений до 80 за 4 секунды с простоем 0,25 секунды, если это ограничение было превышено. У ОС Solaris ограничение составляет 2 сообщения в секунду, и поэтому сканирование Solaris проходит еще более медленно. Microsoft не использует в своих ОС никаких ограничений, поэтому можно достаточно быстро просканировать все 65535 UDP-портов хоста, работающего под управлением ОС Windows.

-sO (scan Open protocol) - сканирование протоколов IP. Данный метод используется для определения IP-протоколов, поддерживаемых сканируемым хостом.

-sI <zombie_хост[:порт]> (scan Idle) - позволяет произвести «абсолютно невидимое» сканирование портов. Атакующий может просканировать цель, не посылая при этом пакетов от своего IP-адреса. Вместо этого используется метод IdleScan, позволяющий просканировать жертву через так называемый хост-«зомби». Кроме абсолютной невидимости, этот тип сканирования позволяет определить политику доверия между машинами на уровне протокола IP.

-sA (scan ACK) - использовать ACK-сканирование. Этот дополнительный метод используется для определения набора правил (ruleset) межсетевого экрана. В частности, он помогает определить, защищен ли сканируемый хост таким экраном или просто пакетным фильтром, блокирующим входящие SYN-пакеты.

-sW (scan Window) - использовать метод TCP Window. Этот метод похож на ACK-сканирование, за исключением того, что иногда с его помощью можно определять открытые порты точно так же, как и фильтруемые/нефильтруемые.

-sR (scan RPC) - использовать RPC-сканирование. Этот метод используется совместно с другими методами сканирования и позволяет определить программу, которая обслуживает RPC-порт, и номер ее версии.

-sL (scan List) - получить список сканируемых адресов. Эта опция позволяет вам получить список адресов хостов, которые будут просканированы NMap, до начала процесса сканирования. Опция может использоваться в случае, когда вам необходимо определить имена большого количества хостов по их адресам и т.д.

-b <ftp_relay хост> (bounche scan) - использовать атаку «прорыв через FTP». Интересной возможностью протокола FTP (RFC 959) является поддержка «доверенных» (proxy) ftp-соединений. Другими словами, с доверенного хоста можно соединиться с целевым ftp-сервером и отправить файл, находящийся на нем, на любой адрес Internet! Данная возможность известна с 1985 года (когда был написан этот RFC). NMap использует эту уязвимость для сканирования портов с «доверенного» ftp-сервера. Итак, злоумышленник можете подключиться к ftp-серверу «над» файрволлом и затем просканировать заблокированные им порты (например 139-й). Если ftp-сервер позволяет читать и записывать данные в какой-либо каталог (например /incoming), он также может отправить любые данные на эти порты. Аргумент, указываемый после -b, представляет собой URL сервера ftp, используемого в качестве «доверенного». Формат URL следующий: имя_пользователя:пароль@сервер:порт. Адрес сервера нужно указать обязательно, остальное можно не указывать.

Дополнительные опции

Эти опции не обязательные (т.е. нормальная работа NMap возможна и без их указания).

-h (show help) - печатает справку по использованию Nmap с указанием опций и краткого их описания, не запуская саму программу.

-P0 (Ping 0) - не производить ping-опрос хостов перед их непосредственным сканированием.

-PT (Ping TCP) - использовать TCP-ping. Вместо посылки запроса ICMP-эха, Nmap отправляет TCP ACK-пакет на сканируемый хост и ожидает ответ. Если хост активен, то в ответ должен прийти RST-пакет.

-PS (Ping SYN) - опция, также используемая для ping-опроса. При этом вместо ACK-пакета TCP-ping используется SYN-пакет. Активные хосты посылают в ответ RST-пакеты (реже SYN|ACK).

-PU [portlist] (Ping UDP) - использовать UDP-ping. NMap отправляет UDP-пакеты на указанный хост и ожидает в ответ ICMP «port unreachable» (или ответы от открытых портов UDP) если хост активен.

-PE (Ping ICMP) - эта опция использует в качестве ping-запроса нормальный ping-пакет (запрос ICMP-эха). Опция применяется для поиска активных хостов а также адресов сетей с возможностью широковещания. Такие сети пересылают прибывший ICMP-пакет всем своим объектам. Как правило, такие сети представляют собой «живую мишень» для злоумышленника.

-PP - использует пакет ICMP «timestamp request (code 13)» для определения активных хостов.

-PB (Ping Both) - режим ping-опроса по умолчанию. Использует одновременно запросы типа ACK и ICMP.

-O (Operating system detection) - эта опция позволяет определить операционную систему сканируемого хоста с помощью метода отпечатков стека TCP/IP. Другими словами, NMap активизирует мощный алгоритм, функционирующий на основе анализа свойств сетевого программного обеспечения установленной на нем ОС. В результате сканирования получается формализованный «отпечаток», состоящий из стандартных тестовых запросов и ответов хоста на них. Затем полученный отпечаток сравнивается с имеющейся базой стандартных ответов известных ОС, хранящейся в файле nmap-os-fingerprinting, и на основании этого принимается решение о типе и версии ОС сканируемого хоста. Этот метод требует наличия хотя бы одного закрытого и одного открытого порта на целевом хосте. сканер безопасность xspider

-A - Эта опция включает режим additional advanced aggressive, и разрешает опции -O, -sV, -T4, -v.

-I (Ident scan) - использовать reverse-ident сканирование. Протокол Ident (RFC 1413) позволяет вскрыть имя пользователя (username) процесса, использующего TCP, даже если этот процесс не инициализировал соединение. Так, например, вы можете подключиться к порту http и затем использовать identd для поиска на сервере пользователя root. Это может быть сделано только при установлении «полного» TCP-соединения с портом сканируемой машины (т.е. необходимо использовать опцию -sT). NMap опрашивает identd сканируемого хоста параллельно с каждым открытым портом. Естественно, этот метод не будет работать, если на целевом хосте не запущен identd.

-f (use fragmentation) - эта опция используется совместно с SYN, FIN, Xmas или NULL-сканировании и указывает на необходимость использования IP-фрагментации с малым размером фрагментов. Это значительно усложняет фильтрацию пакетов, работу систем обнаружения и других подобных средств защиты, и позволяет NMap скрыть свои действия.

-v (verbose output) - использовать режим «подробного отчета». Эту опцию рекомендуется использовать в любых случаях, поскольку при этом NMap подробно сообщает о ходе выполнения текущей операции.

-iR (input Random) - если вы укажете эту опцию, NMap будет сканировать случайно выбранные им хосты, адреса которых получены с помощью генератора случайных величин. Этот процесс будет длиться, пока вы его не остановите. Функция может пригодиться для статистического исследования Internet.

-p <диапазон(ы)_портов> (ports) - эта опция указывает NMap, какие порты необходимо просканировать. Например, -p 23 означает сканирование 23 порта на целевой машины. По умолчанию Nmap сканирует все порты в диапазоне 1-1024, поскольку все они перечислены в файле services.

-F (Fast scan) - быстрое сканирование.

--data_length <число> - эта опция добавляет к большинству пакетов (кроме пакетов для определения ОС) указанное число нулевых байт. Повышает конспирацию, т.к обычно NMap посылает пакет, содержащий только заголовок. Таким образом, TCP-пакет имеет длину 40 байт, а ICMP «echo requests» 28 байт.

--packet_trace Показывать все принимаемые и передаваемые пакеты в формате TCPDump.

Задание цели

Все, что не является опцией или ее аргументом, NMap воспринимает как адрес или имя целевого хоста (т.е. хоста, подвергаемого сканированию). Простейший способ задать сканируемый хост - указать его имя или адрес в командной строке после указания опций и аргументов.

Для сканирования подсети IP-адресов, необходимо указать параметр

/<mask>

- маска, после имени или IP-адреса сканируемого хоста.

Маска может принимать следующие значения:

/0 - сканировать весь Интернет;

/16 - сканировать адреса класса B;

/24 - сканировать адреса класса С;

/32 - сканировать только указанный хост.

NMap позволяет также гибко указать целевые IP-адреса, используя списки и диапазоны для каждого их элемента. Например, необходимо просканировать подсеть класса B с адресом 128.210.*.*. Задать эту сеть можно любым из следующих способов:

128.210.*.*

128.210.0-255.0-255

128.210.1-50,51-255.1,2,3,4,5-255

128.210.0.0/16

Все эти строки эквивалентны.

Если необходимо просканировать, например, все IP-адреса, оканчивающиеся на 5.6 либо 5.7, то можно указать в качестве целевого IP-адреса строку:

Примечание

Более подробно о сканере безопасности NMap читайте в файле-приложении к лабораторной работе:

Волков_Сетевой_сканер_NMap_Руководство_пользователя_2003.htm

ОБЗОР СКАНЕРА БЕЗОПАСНОСТИ XSPIDER

Сканер безопасности XSpider является разработкой фирмы Positive Technologies. В отличии от сканера NMap, сканер XSpider имеет удобный графический интерфейс, более интеллектуальные алгоритмы поиска уязвимостей, большую обновляемую базу уязвимостей, а также возможность создания полноценных отчетов по безопасности системы и многое другое.

Особо стоит упомянуть эвристические алгоритмы, использующиеся в XSpider. Он не только занимается простым перебором уязвимостей из базы, но и выполняет дополнительный анализ по ходу работы, исходя из особенностей текущей ситуации. Благодаря этому, XSpider может иногда обнаружить специфическую уязвимость, информация о которой еще не была опубликована.

Центральной концепцией XSpider является Задача. Она включает в себя набор проверяемых хостов. В одну Задачу имеет смысл объединять хосты, которые следует проверять сходным образом. Как только Задача сформирована, ей можно присвоить Профиль - набор настроек, которые определяют нюансы сканирования. Если этого не сделать - будет использоваться Профиль по умолчанию.

Выполнение Задачи можно автоматизировать, то есть присвоить ей расписание, по которому она будет выполняться. Для каждой Задачи хранится полная история всех сканирований. Результаты любого из них можно загрузить и работать с ними, как со «свежими». Это удобно и для анализа развития ситуации, и для того, чтобы случайно не потерять какие-то результаты работы. Задачи, как файлы, можно открывать, сохранять и т.п. Каждой Задаче соответствует файл на диске, находящийся по умолчанию в стандартном каталоге XSpider (Tasks).

Одновременно XSpider может обрабатывать много Задач, каждая из которых может содержать много хостов. Единственное, что стоит учесть - пропускную способность канала, связывающего XSpider с проверяемыми компьютерами. Учитывая, что трафик, создаваемый XSpider на один хост, невелик, то перегрузка канала возможна либо при очень большом (сотни) числе одновременно сканируемых хостов, либо, если канал очень узкий. Через настройки можно регулировать максимальное число проверяемых хостов на одну Задачу. То есть, даже если в Задаче, например, 100 хостов, можно указать, что одновременно должны сканироваться 50. При этом остальные будут стоять в очереди и проверятся последовательно.

Примечание

Более подробно о сканере безопасности XSpider читайте в файле-приложении к лабораторной работе:

Киреев_XSpider_7_5_2006.chm

КОНТРОЛЬНЫЕ ВОПРОСЫ

1. Что такое уязвимость и угроза сетевого узла?

2. В связи с чем возникают уязвимости?

3. Что такое сканер безопасности и для чего он служит?

4. Законно ли применение сканера безопасности?

5. В чем принцип работы сканера безопасности?

6. Какие сложности могут возникнуть при оценке безопасности?

7. Перечислите классы сканеров безопасности и охарактеризуйте их.

8. Перечислите недостатки сканеров безопасности.

9. Являются ли сканеры безопасности абсолютно надежным способом анализа безопасности сетевой компьютерной системы?

10. Каковы основные возможности программы NMap?

11. К какому классу сканеров возможно отнести программу NMap?

12. Перечислите основные методы сканирования программы NMap.

13. Какие дополнительные возможности присутствуют в NMap?

14. Каковы результаты работы программы NMap?

15. Каковы отличительные особенности сканера XSpider от других?

ПРИЛОЖЕНИЕ 1. СПИСОК ПОРТОВ И СЛУЖБ

Порты, приведенные в этой таблице, очень часто служат для сбора информации или получения доступа к компьютерным системам.

Служба или приложение	Порт / Протокол
Echo systat chargen ftp-data ssh telnet SMTP nameserver whois tacacs xns-time xns-time dns-lookup dns-zone whois++ bootps bootps oracle-sqlnet tftp gopher finger http Альт. порт Web (http) kerberos или альт. порт Web (http) pop2 рорЗ sunrpc sqlserv nntp ntp ntrpc-or-dce (epmap) netbios-ns netbios-dgm netbios imap snmp snmp-trap xdmcp bgp snmp-checkpoint Idap netware-ip timbuktu https/ssl ms-smb-alternate ipsec-internet-key-exchange (ike) exec rlogin rwho rshell syslog printer printer talk ntalk route netware- ncp irc-serv uucp klogin mount remotelypossible rsync samba-swat службы w2k rpc socks kpop bmc-patrol-db note's timbuktu-sn/1 ms-sql citrix sybase-sql-anywhere funkproxy Ingres-lock oracle-srv oracle-tli pptp winsock-proxy radius remotely-anywhere cisco-mgmt nfs compaq-web Sybase openview realsecure nessusd ccmail ms-active-dir-global-catalog bmc-patrol-agent mysql ssql ms-termserv cisco-mgmt nfs-lockd rwhois postgress secured pcanywhere vnc vnc-java xwindows cisco-mgmt arcserve ape ire font-service web web web web blackice-icecap cisco-xremote jetdirect dragon-ids Агент системного сканирования iss Консоль системного сканирования iss stel netbus trinoo_bcast trinoo_master quake backorifice rpc-solaris snmp-solaris reachout bo2k bo2k netprowler-manager pcanywhere-def	7/tcp 11/tcp 19/tcp 21/tcp 22/tcp 23/tcp 25/tcp 42/tcp 43/tcp 49/udp 52/tcp 52/udp 53/udp 53/tcp 63/tcp/udp 67/tcp/udp 68/tcp/udp 66/tcp 69/udp 70/tcp/udp 79/tcp 80/tcp 81/tcp 88/tcp 109/tcp 110/tcp 111/tcp 118/tcp 119/tcp 123/tcp/udp 135/tcp/udp 137/tcp/udp 138/tcp/udp 139/tcp 143/tcp 161/udp 162/udp 177/tep/udp 179/tcp 256/tcp 389/tcp 396/tcp 407/tcp 443/tcp 445/tcp/udp 500/udp 512/tcp 513/tcp 513/udp 514/tcp 514/udp 515/tcp 515/udp 517/tcp/udp 518/tcp/udp 520/udp 524/tcp 529/tcp/udp 540/tcp/udp 543/tcp/udp 645/udp 799/tcp 873/tcp 901 /top 1024-1030/tcp, 1024-1030/udp 1080/tcp 1109/tcp 1313/tcp 1352/tcp 1417-1420/tcp/udp 1433/tcp 1494/tcp 1498/tcp 1505/tcp/udp 1524/tcp 1525/tcp 1527/tcp 1723/tcp 1745/tcp 1812/udp 2000/tcp 2001 /tcp 2049/tcp 2301/tcp 2368 2447/tcp 2998/tcp 3001/tcp 3264/tcp/udp 3268/tcp/udp 3300/tcp 3306/tcp 3351 /tcp 3389/tcp 4001 /tcp 4045/tcp 4321/tcp/udp 5432/tcp 5500/udp 5631/tcp 5800/tcp 5900/tcp 6000/tcp 6001/tcp 6050/tcp 6549/tcp 6667/tcp 7100/tcp/udp 8000/tcp 8001/tcp 8002/tcp 8080/tcp 8081/tcp 9001 /tcp 9100/tcp 9111/tcp 9991 /tcp 9992/tcp 10005/tcp 12345/tcp 27444/tcp 27665/tcp 27960/udp 31337/udp 32771/tcp 32780/udp 43188/tcp 54320/tcp 54321/udp 61440/tcp 65301/tcp

Размещено на Allbest.ru