| Перед использованием этой утилиты необходимо получить IP-адрес сервера http://www.idahonews.com/. Для этого выполним команду ping www.idahonews.com: Pinging www.idahonews.com [198.60.102.4] with 32 bytes of data: Request timed out. Request timed out. Request timed out. Request timed out. IP-адрес сервера отображается через DNS, однако ping не проходит. Это означает, что данный сервер прикрыт firewall'ом и сканирование его портов будет неудачным. Однако сканирование данной подсети позволит выявить другие сервера домена idahonews.com. Для тестирования подсети, в которой находится сервер новостей штата Айдахо, введем первый адрес подсети в IP в поле “Starting IP” (Начальный IP-адрес) 198.60.102.1. Затем введем последний адрес подсети в “Ending Octet” 254 (Конечный октет). Для начала сканирования нажмем кнопку “Start scan” (Начать сканирование). После сканирования получим следующие результаты: Scanning — 198.60.102.1 ====================== Commencing Port Scan: Port 21: Closed Port 23: Open Port 25: Closed Port 53: Closed Port 79: Open Port 80: Closed Port 110: Closed Port 111: Closed Port 139: Closed Port 443: Closed Port 1080: Closed Port 8181: Closed Scanning — 198.60.102.2 ====================== *Inactive IP address* Scanning — 198.60.102.3 ====================== *Inactive IP address* Scanning — 198.60.102.4 ====================== *Inactive IP address* Scanning — 198.60.102.5 ====================== Commencing Port Scan: Port 21: Closed Port 23: Closed Port 25: Open Port 53: Open Port 79: Open Port 80: Closed Port 110: Open Port 111: Closed Port 139: Closed Port 443: Closed Port 1080: Closed Port 8181: Closed Scanning — 198.60.102.6 ====================== *Inactive IP address* .... .... Scanning — 198.60.102.38 ======================= *Inactive IP address* Scanning — 198.60.102.39 ======================= Commencing Port Scan: Port 21: Closed Port 23: Closed Port 25: Open Port 53: Open Port 79: Open Port 80: Closed Port 110: Open Port 111: Closed Port 139: Closed Port 443: Closed Port 1080: Closed Port 8181: Closed Scanning — 198.60.102.40 ======================= *Inactive IP address* .... .... Scanning — 198.60.102.54 ======================= *Inactive IP address* Scanning — 198.60.102.55 ======================= Commencing Port Scan: Port 21: Closed Port 23: Closed Port 25: Open Port 53: Open Port 79: Open Port 80: Closed Port 110: Open Port 111: Closed Port 139: Closed Port 443: Closed Port 1080: Closed Port 8181: Closed Scanning — 198.60.102.56 ======================= *Inactive IP address* .... .... Scanning — 198.60.102.254 ======================= *Inactive IP address* Идеальным вариантом при взломе Windows NT были бы открытые порты 135-139. Тогда бы мы смогли получить массу познавательной информации о сервере, его сервисах и прочих ресурсах. Однако при сканировании мы получили: Scanning — 198.60.102.4 ====================== *Inactive IP address* Действительно, данный сервер прикрыт firewall'ом. Попробуем определить его тип, выполнив трейсинг соседних активных хостов. Для этого выполним команду tracert 198.60.102.1 (для UNIX команда traceroute): Tracing route to cisco.idahonews.com [198.60.102.1]over a maximum of 30 hops: 11 240 ms 241 ms 240 ms gbr2-p01.wswdc.ip.att.net [12.123.8.241] 12 261 ms 260 ms 251 ms gbr1-p40.oc-48.sl9mo.ip.att.net [12.122.2.82] 13 330 ms 301 ms 390 ms gbr2-p50.oc-12.sffca.ip.att.net [12.122.3.17] 14 301 ms 320 ms 311 ms ar2-a3120s4.sffca.ip.att.net [12.127.1.145] 15 401 ms 350 ms 351 ms 12.126.207.46 16 381 ms 350 ms 371 ms cisco.idahonews.com [198.60.102.1] Trace complete Еще одной распространенной ошибкой администраторов небольших сетей является манера давать названия хостам, исходя из выполняемой ими функции. Благодаря этому мы получили информацию, что хостом по адресу 198.60.102.1 является Firewall корпорации Cisco. Его так просто не хакнешь. Хотя, конечно, существует шанс, что ленивый админ забыл сменить заводской пароль. У хоста cisco.idahonews.com открытыми являются полученные при сканировании Ogre порты: 23 (Telnet), 79. Затем выполним команду tracert 198.60.102.5: Tracing route to router.idahonews.com [198.60.102.5]over a maximum of 30 hops: 12 260 ms 270 ms 261 ms gbr1-p40.oc-48.sl9mo.ip.att.net [12.122.2.82] 13 321 ms 310 ms 300 ms gbr2-p50.oc-12.sffca.ip.att.net [12.122.3.17] 14 310 ms 321 ms 320 ms ar2-a300s3.sffca.ip.att.net [12.127.5.177] 15 341 ms 340 ms 371 ms 12.126.207.34 16 371 ms * * 198.60.104.181 17 361 ms 361 ms 370 ms router.idahonews.com [198.60.102.5] Trace complete Опять мы получили информацию, что хостом по адресу 198.60. 102.5 является маршрутизатор router (который может быть реализован в виде аппаратного устройства или обычного UNIX-роутера). У хоста router.idahonews.com открыты порты: 25 (SMNP-почта), 53 (DNS-сервер), 110 (POP-сервер). Исходя из открытых портов, можно с уверенностью заявить, что данный сервер является почтовым и DNS-сервером. Можно с большой уверенностью сказать, что данный маршрутизатор передает пакеты во внутреннюю локальную подсетку idahonews.com 192.168.0.*. Трассировка других хостов подсетки 198.60.102.6-253 дала информацию, что другие IP-адреса не имеют никакого отношения к домену idahonews.com. Как мы видим, полученной полезной информации явно не хватает для проникновения в систему. Для взлома www.idahonews.com необходимо собрать наиболее полную информацию обо всех трех хостах. Кроме того, взлом Firewall'ов Cisco и Unix-роутеров выходит за границы данной темы. Поэтому мы рассмотрим идеальный вариант, при котором сервер Windows NT не был бы прикрыт Firewall'ом и порты 135-139 были бы открыты.
| 
