Levantamento de informação (Fingerprint)

Transcrição

1 Levantamento de informação (Fingerprint) Continuação... Prof. Pedro Filho

2 Objetivos Mapear hosts ativos na rede Obter versões dos sistemas operacionais Entender aquisição de banners Identificar os serviços em execução

3 Fingerprint

4 O que é fingerprint? É uma das principais técnicas de levantamento de informação antes de efetivamente iniciar o ataque. No fingerprint verdadeiramente usamos ferramentas e técnicas que tocamos. O objetivo é buscar: Versão do sistema operacional e distribuição; Explorar a pilha TCP/IP em busca de portas abertas; Descoberta de serviços e versões (enumeração); Nesta fase, basicamente utilizamos scanners de rede, que pode atuar de maneira passiva ou ativa.

5 Scanner passivo p0f O scanner atua como um farejador na rede, ou seja, fica escutando os pacotes que passam por ela, detectando o formato do pacote que esta passando consegue identificar o sistema operacional. [root@kali ~]$ p0f -i eth0 -o arq.log Com o parâmetro -i definimos em qual dispositivo de rede ele ficará farejando os pacotes, se não definimos nada, ele assume all, farejando todos os dispositivos disponíveis. Com o parâmetro -o, dizemos para o p0f armazenar tudo o que for capturado em um arquivo de saída, com nome definido por nós.

6 Scanner ativo O scanner envia pacotes manipulados e forjados, baseado em uma tabela própria de fingerprint. Com isso, ele analisa a resposta do pacote e compara com a tabela, para definir qual o sistema operacional. O risco desse tipo de fingerprint, é que se o alvo estiver com um firewall bem configurado e um IDS/IPS, nosso acesso pode ser logado em seu sistema e pode ser difícil que consigamos muitas informações. Ferramentas para utilizar Nmap Xprobe2 Ping Traceroute...

7 Varredura Internet Control Message Protocol (ICMP) O 'ping' é um ICMP echo request (type 8) e o 'pong' é um ICMP echo reply (type 0). Além desses tipos, há vários outros do ICMP que podem ser consultados no site da IANA. Ping (type 8) ATACANTE Pong (type 0) ALVO

8 Identificando o sistema operacional ping (icmp) [root@kali ~]$ ping IP_DO_ALVO Cyclades - Normalmente 30 Linux - Normalmente 64 Windows - Normalmente 128 Cisco - Normalmente 255 Linux + iptables - Normalmente 255

9 Varredura ICMP fping Com a ferramenta 'fping' é possível descobrir todos os hosts de uma rede utilizando os tipos apresentados acima. [root@kali ~]$ fping -f <arquivo de ips> 2> /dev/null [root@kali ~]$ fping -c1 -g /24 2> /dev/null > /tmp/lista_ips.txt [root@kali ~]$ nmap -sp /24 Para bloquear esse tipo de varredura no linux, execute essa regra no firewall: iptables -A INPUT -p icmp icmp-type-8 -j DROP

10 Varreduras TCP As varreduras TCP nos informam as portas abertas nos hosts alvos e consequentemente os serviços disponíveis.

11 O que diz a RFC 793 do TCP? Porta aberta: Toda porta aberta deve responder com as flags SYN/ACK Porta fechada Toda porta fechada deve responder com a flag RST Vamos fazer alguns testes...

12 Testando com o hping3 hping3: É uma ferramenta utilizada enviar um pacote TCP customizado ao alvo. Teste com porta aberta Porta utilizada no teste IP do alvo O Alvo retornou a flag SYN/ACK ativado, então a porta está aberta Teste com porta fechada Agora utilizamos a porta 81 O Alvo retornou a flag RST,ACK ativado, então a porta está FECHADA

13 Testando com o nmap Nmap é a principal ferramenta para varredura e enumeração. Testando com porta aberta Veja que está Open Testando com porta fechada Veja que está Close

14 Nmap Alguns métodos de varredura -sp: Ping scan. Nmap pode enviar pacotes ICMP echo request para verificar se determinado host ou rede está ativa. -sv: Version detection de software na porta. O arquivo nmap-service-probes é utilizado para determinar tipos de protocolos, nome da aplicação, número da versão e outros detalhes. -ss: TCP SYN scan: Técnica também conhecida como half-open, pois não abre uma conexão TCP completa. É enviado um pacote SYN, como se ele fosse uma conexão real e aguarda uma resposta. Caso um pacote SYN-ACK seja recebido, a porta está aberta, enquanto que um RST-ACK como resposta indica que a porta está fechada. -st: É a técnica mais básica de TCP scanning. É utilizada a chamada de sistema (system call) connect() que envia um sinal as portas ativas. Caso a porta esteja aberta recebe como resposta connect(). É um dos scan mais rápidos, porém fácil de ser detectado. -su: UDP scan: Este método é utilizado para determinar qual porta UDP está aberta em um host. A técnica consiste em enviar um pacote UDP de 0 byte para cada porta do host. Se for recebida uma mensagem ICMP port unreachable então a porta está fechada, senão a porta pode estar aberta. (Não funciona com Microsoft)

15 Nmap Alguns métodos de varredura -T <Paranoid Sneaky Polite Normal Aggressive Insane> Paranoid (-T0): Espera 5 minutos entre os pacotes e não faz paralelismo Sneaky (-T1 ): Semelhante ao Paranoid, porém espera apenas 15 segundos entre os pacotes Polite (-T2): Serializa os testes e espera 0.4 segundos entre os pacotes Normal (-T3): É o padrão e tenta enviar o mais rápido possível sem sobrecarregar a rede Aggressive (-T4): Espera 5 minutos por hosts e nunca espera mais de 1.25 segundos para testar as respostas Insane (-T5): Só é adequado em redes muito rápidas, espera apenas 0.3 segundos por teste individual e aguarda no máximo 75 segundo por uma resposta do host. Opções Interessantes: -p: Utilizado para especificar postas -O: Mostra a versão do SO -P0 ou -PN: Desativa ICMP tipo 8 e o TCP ACK na porta 80