Страница 50 из 70
Эту программу также сложно назвать походным инструментом хакера – размер около 2,5 мегабайт, да и браузер, интерпретатор Perl для работы… Платная, что сужает область использования ПО, ведь не будешь же ты на каждый сканируемый хост заказывать свой ключ!
Неплохо бы иметь. Хоть и платный, но есть и свободно доступные реализации. Работа с программой очень удобная и эффективная, правда, только на стационарной машине, где все настроено и отточено. Кроме этого, есть целый склад миниутилит, которые просто грех не применить в жизни отдельно от всего комплекса.
Вот добрались и до суперпопулярного анализатора сетей. Пожалуй, это самый популярный сканер-уневерсал как среди юниксоидов, так и среди виндузятников.
Самый главный плюс – превосходный поисковик открытых портов с огромным количеством опций для настройки. Вот далеко не полный список возможностей: сканирование диапазонов IP-адресов, целых подсетей, стелс-сканирование портов. Сканирование портов с установкой адреса возврата, то есть происходит корректировка заголовка IP-пакета, что очень удобно при наличии 2 сетевых карт на машине. Стелс-сканирование и простой механизм TCP-подключений, первый способ доступен только пользователю root, что легко можно объяснить с точки зрения IT-безопасности. Программа позволяет также эффективно изучать удаленный хост и по UDP-протоколу. Если говорить о сканировании подсетей, то есть возможность провести простой ping-scan и таким образом найти включенные машины. Как и у младших собратьев? у данной софтины имеется возможность сканирования произвольного диапазона портов, вывод подробных данных в свой лог-файл. Сканер дополнен хорошим механизмом определения удаленной операционной системы. Очень сильные способы определения серверов, висящих на определенных портах хоста. Программа ищет демона на порту и узнает его версию с точностью до третьего знака (например, OpenSSH 3.6.1), что просто не может не радовать скрипткидисов. За счет встроенного fingerprinting'a nmap превращается в мощный комплекс анализа хостов в сети. С каждой новой версией пополняется база данных отпечатков различных систем, и уже сейчас nmap определяет не только версию Виндов, но и номер ядра, если это Linux-машина.
Размер, как у и любого комплекса сетевого анализа nmap, достаточно большой. Хотя и совершенствуется способ «снятия отпечатков», все еще достаточно часто приходится получать аналогичные этому выводы программы: «Это точно Винда. Версия? Или Миллениум, или 2к сервер, возможно, и 2к адванс-сервер, хотя похоже на ХР, даже вроде с первым сервиспаком». При этом Linux определяется достаточно четко.
Однозначный must have. Любой удаленный анализ сильно упрощается при использовании этой софтины. Программа считается одно из основных утилит хакера.
(www.robota.net/download?file=93)
Эта утилита представляет собой набор руткитов для ядер 2.4. Вполне интересная софтина, тем более если учесть, что все еще очень многие сервера крутятся на ядрах серии 2.4.
Основной плюс набора – минимальное изменение системной конфигурации. Работает приложение на уровне ядра, перехватывая некоторые системные вызовы ОС.
Пока возможности этого руткита очень ограниченны. Он способен лишь скрывать сетевую активность некоторых приложений.
Если нужно установить маленький и очень простой руткит – это ПО для тебя. Неплохо, когда эта софтина лежит у тебя в боекомплекте, но и без нее можно спокойно обойтись ;-).
(http://packetstormsecurity.org/UNIX/penetration/log-wipers/vanish2.tgz)
Одна из самых необходимых утилит на захваченной машине – чистильщик лог-файлов. После долгих и упорных тестов я предлагаю использовать Vanish2.
В архиве обнаружился только файл кода на языке С и хедер. Добавить make программистам уже не хватило сил, поэтому компилировать программу следует так: «gcc vanish2.c -o vanish2».
Очень грамотная чистка как текстовых, так и бинарных логов всей системы. Основное внимание следует обратить на чистки журналов messages, secure и httpd.access_log. С этой задачей ПО справилось очень хорошо: все чисто и ровно. Также к сильной стороне чистильщика следует отнести и отсутствие временных файлов после работы, они создаются во время чистки, но удаляются по ее завершении. Если процесс будет прибит, а анализ журнала не закончен, то останутся временные файлы, по которым можно вычислить, что работал логвайпер. Отсутствовали и core-файлы, то есть после работы в системе не остается практически никаких следов.
Пожалуй, единственный недостаток – это скорость работы. Полный анализ двухнедельных логов сервера занял около 10 минут.
Must have. Лучший чистильщик из всех предложенных. С задачей сокрытия следов твоей деятельности справится очень хорошо, правда, затратив на это уйму времени.
(http://www.earth.li/projectpurple/progs/sendip.html)
Размер очень маленький, а возможности интересные. Главная задача данного ПО – это отправлять пакеты на определенный IP с измененным адресом возврата. Возможность отправки пакетов от других IP-адресов поможет тебе скрыть свою активность в сети. Например, если появятся признаки того, что тебя засекли, просто запускаешь программу, указываешь ей необходимые параметры… В результате на жертву обрушиваются пакеты как будто от вполне миролюбивого хоста, что легко может сбить с толку админа. Но следует учитывать, что правильно расставленные админом сниферы выдадут тебя с потрохами «благодаря» этой софтине.
Очень общие настройки параметров исходящих пакетов, что не позволяет использовать эту программу против грамотных админов и IT-специалистов.
Если намечается атака на защищенный UNIX-хост, то запастись программой крайне желательно. При правильном использовании удастся сбить с толку подавляющее большинство администраторов. Запас беды не чинит, поэтому не поленись скачать, скомпилить и научиться пользоваться данной программой – на войне все средства хороши.
(www.p-a-t-h.sourceforge.net)
Это целый набор хакера, написанный на языке Perl. Для работы достаточно иметь на машине интерпретатор Perl, и уже можно исследовать сети.
В дистрибутиве, датированном 09.11.2003, содержатся следующие утилиты: программа-генератор произвольных пакетов, неплохой снифер, ICMP и ARP-роутер. Что интересно, этот комплекс комплектуется как консольной версией, так несложным GUI-интерфейсом. Нас, прежде всего, интересует консоль, которая реализована очень хорошо. А функциональности всего комплекса я бы поставил твердую «троечку». Просто аналогичных утилит очень много, причем они включаются как в состав целых комплексов, так и плавают по интернету в виде отдельных бинарников. Основной плюс (а часто минус) этого комплекта – это использование интерпретируемого языка для выполнения своей работы.
Если тебя интересуют маленькие и могучие программы на Perl или твоя задача – разобраться с работой сниферов, то этот набор для тебя. Если нет – его легко можно заменить бинарниками, описанными выше.