Сетевая разведка — получение и обработка данных об информационной системе клиента, ресурсов информационной системы, используемых устройств и программного обеспечения и их уязвимостях, средств защиты, а также о границе проникновения в информационную систему.
Сетевая разведка проводится в форме запросов DNS, эхо-тестирования (ping sweep) и сканирования портов. Запросы DNS помогают понять, кто владеет тем или иным доменом и какие адреса этому домену присвоены. Эхо-тестирование адресов, раскрытых с помощью DNS, позволяет увидеть, какие хосты реально работают в данной среде. Получив список хостов, хакер использует средства сканирования портов, чтобы составить полный список услуг, поддерживаемых этими хостами. И, наконец, хакер анализирует характеристики приложений, работающих на хостах. В результате добывается информация, которую можно использовать для взлома.
Современная сетевая разведка в зависимости от целей деятельности, масштаба, и характера, поставленных для выполнения задач делится на:
Тактическая разведка обеспечивает действия атакующих. К ним относятся как злоумышленники, так и специалисты, проводящие тестирование информационной системы. Тактическая разведка выявляет данные о:
Эти сведения добываются перехватом информации, передаваемой радиоэлектронными средствами.
Содержание |
Далее действия хакера зависят от задачи, поставленной им, будь то изменения информации, кража, повышение полномочий и удержание системы.
Возможные пути получения данных:
После определения границ атаки атакующие переходят к получению данных о целевой почтовой системе. Для этого используются чаще всего: сканирование портов (сервисов) на выявленных внешних серверах. Проводится с целью определить:
Полностью избавиться от сетевой разведки невозможно. Если, к примеру, отключить эхо ICMP и эхо-ответ на периферийных маршрутизаторах, можно избавиться от эхо-тестирования, но при этом теряются данные, необходимые для диагностики сетевых сбоев. Кроме того, сканировать порты можно без предварительного эхо-тестирования. Этой займет больше времени, так как сканировать придется и несуществующие IP-адреса. Системы IDS на уровне сети и хостов обычно хорошо справляются с задачей уведомления администратора о ведущейся сетевой разведке, что позволяет лучше подготовиться к предстоящей атаке и оповестить провайдера (ISP), в сети которого установлена система.Из всего сказаного можно сделать вывод что должна присутствовать техническая защищенность информационных ресурсов.
Сетевая разведка.