Виявлення атаки на протокол smb, все про ремонт і настройку комп’ютера
Протокол SMB / CIFS (Server Message Blocks / Common Internet File System) призначений для з'єднання комп'ютерів з ОС типу Windows 9 * і Windows NT 5. * між собою або з сервером Samba (UNIX-сервером). Протоколі SMB включає в себе всі можливі операції (команди) для роботи з файлами і принтерами (відкриття, закриття, створення і видалення файлів і директорій, читання і запис в файл, пошук файлів, відправка на друк і від- міна друку).
Мал. 2.11. Інтерфейс програми WinNuke
Мал. 2.12. Приклад мережевого пакету програми WinNuke
SMB-повідомлення складається з двох частин: заголовка фіксованого розміру і поля команди, розмір якої змінюється динамічно в завісімо- сті від складу повідомлення. Протокол SMB має кілька версій і діалек тов, кожна з наступних сумісна з попередньою (табл. 2.1).
Діалекти протоколу SMB
Серед особливостей кожної з версій слід зазначити застосовуваний алгоритм аутентифікації, зокрема застосування відкритих або зашіфро- ванних паролів.
Установка з'єднання між сервером (комп'ютером, предоставляю-
щим доступ до ресурсу) і клієнтом (комп'ютером, який бажає скориста-
тися даними ресурсом) відбувається в 4 етапи:
1. Установка віртуального з'єднання. Створюється двонаправлений вір-
туальний канал між клієнтом і сервером.
2. Вибір версії протоколу (рис. 2.13). Клієнт посилає запит, утримуючи щий список всіх версій протоколів SMB, за якими він може створити з- єднання. Сервер відповідає номером запису в списку, запропонованому клієнтом (вважаючи записи з 0), або значенням 0xFF, якщо жоден з варіантів предло- дені протоколів не підходить. Тут же сервер передає необхідний режим безпеки, ознака необхідності шифрування пароля і «виклик» (8 слу- чайних байт), використовуючи який клієнт зашифрує пароль і передасть його серверу у вигляді «відповіді» на наступному кроці.
3. Установка параметрів сесії (рис. 2.14). Клієнт посилає ім'я пользо-
Ватель, пароль (якщо він існує) у вигляді «відповіді», ім'я робочої групи, а також повний шлях до доступної директорії на сервері (перелік доступних
директорій сервер надає клієнту раніше по іншому запиту).
4. Отримання доступу до ресурсу. Сервер видає клієнтові ідентифікатор
До З Л C SMB_COM_NEGOTIATE Е І Список діалектів Р Е R SMB_COM_NEGOTIATE В Н Діалект, режим захисту, виклик Е Т Р
Мал. 2.13. Узгодження SMB-діалекту
До З Л C SMB_COM_SESSION_SETUP_ANDX Е
Ім'я, домен, пароль / відповідь
Е R SMB_COM_SESSION_SETUP_ANDX В
Мал. 2.14. Установка параметрів сесії
13. Увімкніть захоплення трафіку. В основній ОС відкрийте в мережевому оточенні на віртуальному комп'ютері створений текстовий файл. Для чого зарегі-
стріруйтесь, ввівши ім'я та пароль користувача, наявного на віртуаль-
лового обміну? Які номери TCP-портів задіяні на приймачі і джерелі?
15. Знайдіть пакети етапу узгодження SMB-діалекту. Який діалект обраний
16. Знайдіть пакет, в якому передається ім'я користувача. Чи передається па-
роль користувача в відкритому вигляді?
17. Знайдіть пакет, в якому передається текст відкритого вами файлу (опіса- ня пакета починається з «R read X »). Чи передається текст файлу в за- зашифрованому вигляді?
Для встановлення «нульового сеансу» здійснюється підключення до ресурсу IPC $ віддаленого комп'ютера без вказівки імені та пароля при до-
щі стандартної утиліти net:
net use \\ *. *. *. * \ IPC $ "" / user: "",
то); "" - пароль користувача (порожньо).
18. Порвіте всі встановлені раніше з'єднання командою:
net use * / delete
20. Зробіть висновок про можливість виявлення і блокування даної атаки.
Джерело: Андрончик А. Н. Богданов В. В. Домуховскій Н. А. Коллеров А. С. Синадський Н. І. Хорьков Д. А. Щербаков М. Ю. Захист інформації в комп'ютерних мережах. практичний курс