Валерий Васильевич Бондарев - Анализ защищенности и мониторинг компьютерных сетей. Методы и средства : учебное пособие

умол­

чанию

3) num_of_probes
• число маршрутизаторов
цию num_ of_hopes

на пути до узла осуществляющего фильтра­

Таким образом, несложно вычислить начальное значение порта получа­
теля, требуемое для обхода фильтрации:

60

start_destination_ port = (53 - (num_ of_ hopes*num_ of_probes )) - 1
где

53 -

порт разрешенного протокола

DNS.

Однако следующий пакет будет иметь уже другое значение порта полу­
чателя и будет блокирован. Поэтому желательно, чтобы значение порта по­
лучателя было постоянным. Это может быть достигнуто установкой исправ­
ления к утилите

traceroute (к версии

1.4а5). Ее синтаксис после применения

исправления имеет вид

traceroute -S

-р53

6.3.

200 . О . О . 222
Утилита

traceproto

Делая вывод по применению утилиты

работает на сетевом уровне

(IP),

traceroute,

можно сказать, что она

однако в условиях фильтрации трафика

ее применение ограничено транспортным уровнем (тем, что разрешено из
вышележащих протоколов

ты

- UDP, ICMP, ТСР). Поэтому с помощью утили­
traceroute можно определить последний шлюз, от которого пришел ответ.

С точки зрения отслеживания маршрутов важным является значение поля

TTL из заголовка IP, но не более того.

Протоколы

UDP и ICMP лишь транс­

портируют данные, поэтому без ущерба могут быть заменены любым другим
протоколом транспортного уровня, в частности ТСР.

Эта идея реализована в утилите

net/ index.php).
Утилита traceproto

traceproto (http://traceproto.sourceforge.

аналогична утилите

traceroute,

но позволяет исполь-

зовать также и протокол ТСР для отслеживания маршрутов.
Синтаксис утилиты

traceproto:

traceproto [ - cCfhv]
[ -р
protocol ]
[ - d dst_ port]
[- D
max_dst_port ] [-s src_port ] [-S max_ src_ port] [-m min_ttl]
[ -М max_tt l ]
[-w response_ timout ] [-W send_ del ay ]
[-а
account_ level] [ - Р payl oad_ size] [-k ski ps ] [ - Н packets
per_hop] [ - i incr_ pattern] [-о output styl e]
Видно, что протокол выбирается с помощью опции -р (по умолчанию
ТСР) , порт получателя задается опцией - d (по умолчанию 80), разумеется,
можно задать и порт источника. О назначении остальных опций можно уз­
нать из руководства к утилите .

Контрольные вопросы

1.

Опишите прием «отслеживание маршрутов » при определении топологии

2.

В чем заключается специфика задачи отслеживания маршрутов при наличии

сети.

устройств , осуществляющих фильтрацию трафика?

3.

Каково назначение утилиты

traceproto?

61

Глава

7.

ИДЕНТИФИКАЦИЯ СТАТУСА ПОРТА

7 .1.

Сканирование портов

Взаимодействие узлов по протоколам ТСР и

UDP предполагает исполь­

зование портов для идентификации приложений. Следовательно, определив
номера открытых портов на удаленном узле, можно в дальнейшем узнать

о работающих на нем приложениях, сделать вывод о роли этого узла в кор­
поративной сети, узнать версию ОС. Определить состояние портов на уда­

ленном узле можно, например, последовательным перебором. Этот процесс

обычно называют сканированием портов (рис.

7.1).
о

65 535
Рис.

7.1.

Процесс сканирования портов

Фактически порт на удаленном узле может находиться в одном из двух
состояний: открыт, закрыт.

Но при удаленном подключении вследствие влияния межсетевых экра­

нов не всегда можно точно узнать статус порта. В этом случае обычно указы­
вается, что порт фильтруется (рис.

7.2).

Задачу идентификации статуса порта можно решать несколькими спосо­

бами. Рассмотрим некоторые из них.

_п_о_р_т_о_т_кр_ь_1т_ _ _ _ _ _~•-~

•

_п_о_р_т_з_а_кр_ь_1т_ _ _ _ _ _~..- ~

.

Порт фильтруется

'!!lo
:;..i!,.";:I

;!i;....'1=

--...-:::

Рис.

7.2.

Определение статуса порта при удаленном
подключении

62

~.

Сканирование портов ТСР

7 .2.

Сканирование с установлением соединения. Чтобы убедиться в том,
что порт ТСР открыт, достаточно попытаться установить с ним соединение.

Обычно для этой цели используются возможности ОС. В ОС реализация
ТСР, как правило, представляет собой отдельный драйвер, а интерфейс меж­
ду прикладным процессом и ТСР - набор системных вызовов, с помощью
которых можно

открыть

или закрыть

соединение,

отправить

или

принять

данные.

В частности, для установления ТСР-соединения может быть использован
интерфейс сокетов ( функция

connect() ). После установления соединения его

можно тут же разорвать штатной --">