Комп’ютерні мережі. Аналіз роботи і оптимізація

Міністерствоосвіти і науки України
Комп’ютернімережі. Аналіз роботи і оптимізація

Вступ
Розділ І. Огляд і архітектура обчислювальних мереж
1.1 Основні означення і терміни
1.2 Переваги використання мереж
1.3 Архітектура мереж
1.3.1 Архітектура термінал – головнийкомп'ютер
1.3.2 Однорангова архітектура
1.3.3 Архітектура клієнт – сервер
1.3.4 Вибір архітектури мережі
Розділ ІІ. Пошук несправностей вмережах на базі OC Windows
2.1 Проблеми реєстрації робочоїстанції
2.1.1 Команда ,,ping»
2.2 Пошук несправностей в мережіз виділеним DHCP сервером
2.2.1 Діалог з DHCPсервером
2.2.2 Аналіз діалогу комп’ютерів умережі
2.3 Визначення швидкодії мережі
2.3.1 Засоби і способи визначенняшвидкодії мережі
2.3.2 Виявлення джерела впливу на швидкодію мережі
2.4 Причини помилок журналу подій
2.4.1 Метод пошуку серверних проблем
2.4.2 Фільтр перехоплення, та його використання
2.5 Проблеми, що виникають приширокомовленні
Розділ ІІІ. Методи захисту віднесанкціонованого доступу в мережі TCP/IP
3.1 Безпека комп’ютерів на базіWindows 2000/XP
3.1.1 Сканування мережі TCP/IP
3.1.2 Інвентаризація мережі
3.1.3 Нульовий сеанс
3.1.4 Реалізація цілі
3.1.5 Приховування слідів
3.2 Засоби віддаленого керування
3.2.1 Програма pcAnywhere
3.2.2 Протокол SNMP
3.3 Функції брандмауерів
3.4 Перехопленнямережевих даних
3.4.1 Фальшиві ARP запити
3.4.2 Фальшива маршрутизація
3.4.3 Перехоплення ТСР-з’єднання
3.5 Комутований доступ до мереж
3.5.1 Сканер PhoneSweep 4.4
3.5.2 Робота з програмою PhoneSweep 4.4
Висновки
Список скорочень і пояснень
Література

Вступ
Яке призначення мережі? Для того щобвідповісти на це питання, давайте почнемо з її назви. Слово «корпорація»означає об'єднання підприємств, що працюють під централізованим керуванням івирішують загальні задачі. Корпорація є складною, багатопрофільною структурою івнаслідок цього має розподілену ієрархічну систему керування. Крім того,підприємства, відділення й адміністративні офіси, що входять у корпорацію, якправило, розташовані на великій відстані один від одного. Для централізованогокерування таким об'єднанням підприємств використовується корпоративна мережа. У її склад можуть входити магістральні мережі (WAN,MAN), призначені для зв'язку відділень і адміністративних офісів корпорації.Обов'язковими компонентами корпоративної мережі є локальні мережі, зв'язані міжсобою.
З розвитком комп’ютернихмереж все більше ускладнюється програмне забезпечення яке необхідне для їхньогофункціонування, отже все частіше виникають несправності пов’язані з програмнимзабезпеченням, які виводять комп’ютерну мережу з ладу.
В другому розділі роботирозглядаються питання пошуку несправностей, які часто виникають в мережах набазі архітектури клієнт-сервер.
В третьому розділірозглядаються найбільш поширені види злому комп’ютерних мереж та рекомендації,що до захисту від таких атак.
В даній роботі використовуютьсяопераційні системи Windows 2000/XP. Розгляд саме цих систем пов’язаний ізїхньою популярністю у світі, а також з тим, що операційні системи сімействаWindows не містять відкритого коду, як наприклад операційна система Linux, це усвою чергу призводить до того, що Windows потребує більш серйозного захисту відатак за допомогою додаткових програм в порівнянні з Linux, оскільки прогалини вWindows закриваються працівниками компанії Microsoft.

РозділІ. Огляд і архітектура обчислювальних мереж
1.1 Основні означення і терміни
Мережа — цесукупність об'єктів, що утворюються пристроями передачі і обробки даних.Міжнародна організація з стандартизації означила обчислювальну мережу якпослідовну біт-орієнтовану передачу інформації між пов'язаними один з однимнезалежними пристроями.
Мережізазвичай знаходиться в приватній власності користувача і займають деякутериторію і за територіальною ознакою розділяються на:
- локальні обчислювальні мережі (ЛОМ) або Local Area Network (LAN),розташовані в одному або декількох близько розташованих будівлях. ЛОМ зазвичайрозміщуються в рамках якої-небудь організації (корпорації, установи), тому їхназивають корпоративними;
- розподілені комп'ютерні мережі, глобальні або Wide Area Network (WAN),розташовані в різних будівлях, містах і країнах, які бувають територіальними,змішаними і глобальними. Залежно від цього глобальні мережі бувають чотирьохосновних видів: міські, регіональні, національні і транснаціональні. Як приклад,розподілених мереж дуже великого масштабу можна назвати: Internet, EUNET, Relcom, FIDO.
Доскладу мережі в загальному випадку включаються наступні елементи:
- мережеві комп'ютери (оснащені мережевим адаптером);
- канали зв'язку (кабельні, супутникові, телефонні,цифрові, волоконно-оптичні, радіоканали і ін.);
- різного роду перетворювачі сигналів;
- мережеве устаткування.
Розрізняютьдва поняття мережі: комунікаційнамережа і інформаційна мережа (рис.1.1).
Комунікаційна мережа призначенадля передачі даних, також вона виконує завдання, пов'язані з перетвореннямданих. Комунікаційні мережі розрізняються за типом використовуваних фізичнихзасобів з'єднання.
Інформаційна мережа призначена для зберіганняінформації і складається з інформаційних систем. На базі комунікаційної мережіможе бути побудована група інформаційних мереж.
Під інформаційною системою слідрозуміти систему, яка є постачальником або споживачем інформації.
Комп'ютернамережа складається з інформаційнихсистем і каналів зв'язку.
Під інформаційною системою слідрозуміти об'єкт, здатний здійснювати зберігання, обробку або передачуінформації. До складу інформаційної системи входять: комп'ютери, програми,користувачі і інші складові, призначені для процесу обробки і передачі даних.Надалі інформаційна система, призначена для вирішення завдань користувача,називатиметься — робоча станція (client). Робоча станція в мережі відрізняється від звичайногоперсонального комп'ютера (ПК) наявністю мережевої карти (мережевого адаптера),каналу для передачі даних і мережевого програмного забезпечення.
Під каналом зв'язку слідрозуміти шлях, або засіб, по якому передаються сигнали. Засіб передачі сигналівназивають абонентським, або фізичним каналом.
Канали зв'язку (data link) створюються по лініях зв'язку задопомогою мережевого устаткування і фізичних засобів зв'язку. Фізичні засобизв'язку побудовані на основі витих пар, коаксіальних кабелів, оптичних каналівабо ефіру. Між взаємодіючими інформаційними системами через фізичні каналикомунікаційної мережі і вузли комутації встановлюються логічні канали.
Логічний канал — цешлях для передачі даних від однієї системи до іншої. Логічний каналпрокладається по маршруту в одному або декількох фізичних каналах. Логічнийканал можна охарактеризувати, як маршрут, прокладений через фізичні канали івузли комутації.
Інформаціяв мережі передається блоками даних запроцедурами обміну між об'єктами. Ці процедури називають протоколами передачіданих.
Протокол — цесукупність правил, що встановлюють формат і процедури обміну інформацією міждвома або декількома пристроями.
Завантаженнямережі характеризується параметром, що називається трафіком. Трафік(traffic) — цепотік повідомлень в мережі передачі даних. Під ним розуміють кількісну величинуу вибраних точках мережі числа блоків даних, що проходять і їх довжини,виражені в бітах в секунду.
Істотнийвплив на характеристику мережі надає методдоступу. Метод доступу – це спосіб визначення того, яка з робочих станцій зможенаступною використовувати канал зв'язку і як управляти доступом до каналузв'язку (кабелю).
Умережі всі робочі станції фізично сполучені між собою каналами зв'язку попевній структурі, яка називається топологією. Топологія- це опис фізичних з'єднань в мережі, що вказує які робочі станції можутьзв'язуватися між собою. Тип топології визначає продуктивність, працездатність інадійність експлуатації робочих станцій, а також час звернення до файловогосервера. Залежно від топології мережі використовується той або інший методдоступу.
Складосновних елементів в мережі залежить від її архітектури. Архітектура — це концепція, що визначає взаємозв'язок,структуру і функції взаємодії робочих станцій в мережі. Вона передбачаєлогічну, функціональну і фізичну організацію технічних і програмних засобівмережі. Архітектура визначає принципи побудови і функціонування апаратного іпрограмного забезпечення елементів мережі.
Восновному виділяють три види архітектури: архітектура термінал — головний комп'ютер, архітектураклієнт — сервер і однорангова архітектура.
Сучаснімережі можна класифікувати за різними ознаками: по віддаленості комп'ютерів,топології, призначенню, переліку послуг, що надаються, принципами управління(централізовані і децентралізовані), методами комутації, методами доступу,видами середовища передачі, швидкостями передачі даних [1].
1.2 Перевагивикористання мереж
Комп'ютернімережі є варіантом співпраці людей і комп'ютерів, що забезпечує прискореннядоставки і обробки інформації. Об'єднувати комп'ютери в мережі почали більше 30років тому. Коли можливості комп'ютерів виросли і ПК стали доступні кожному,розвиток мереж значно прискорився.
Сполученів мережу комп'ютери обмінюються інформацією і спільно використовуютьпериферійне устаткування і пристрої зберігання інформації (рис. 1.2).
Задопомогою мереж можна розділяти ресурси і інформацію. Нижче перелічені основнізавдання, які вирішуються за допомогою робочої станції в мережі, і які важковирішити за допомогою окремого комп'ютера.
· Комп'ютерна мережа дозволить спільно використовувати периферійніпристрої, включаючи:
- принтери;
- плотери;
- дискові накопичувачі;
- приводи CD-ROM;
- дисководи;
- стримери;
- сканери;
- факс-модеми;
· Комп'ютерна мережа дозволяє спільно використовуватиінформаційні ресурси:
- каталоги;
- файли;
- прикладні програми;
- ігри;
- бази даних;
- текстові процесори.
Комп'ютернамережа дозволяє працювати з розрахованими на багато користувачів програмами, щозабезпечують одночасний доступ всіх користувачів до загальних баз даних зблокуванням файлів і записів, що забезпечує цілісність даних. Будь-які програми,розроблені для стандартних ЛОМ,можна використовувати в інших мережах.
Сумісневикористання ресурсів забезпечить істотну економію засобів і часу. Наприклад,можна колективно використовувати один лазерний принтер замість покупки принтеракожному співробітникові, або метушні з дискетами до єдиного принтера завідсутності мережі.
Можнавикористовувати ЛОМяк поштову службу і розсилати службові записки, доповіді іповідомлення інших користувачів [6].
1.3 Архітектура мереж
Архітектурамережі визначає основні елементи мережі, характеризує її загальну логічнуорганізацію, технічне забезпечення, програмне забезпечення, описує методикодування. Архітектура також визначає принципи функціонування і інтерфейскористувача.
Розглянемотри види архітектури:
- архітектура термінал — головний комп'ютер;
- однорангова архітектура;
- архітектура клієнт — сервер.

1.3.1 Архітектуратермінал — головний комп'ютер
Архітектуратермінал — головний комп'ютер (terminal — host computer architecture) – цеконцепція інформаційної мережі, в якій вся обробка даних здійснюється одним абогрупою головних комп'ютерів.
Данаархітектура припускає два типи устаткування:
- головний комп'ютер, де здійснюється управліннямережею, зберігання і обробка даних.
- термінали, призначені для передачі головномукомп'ютеру команд на організацію сеансів і виконання завдань, введення данихдля виконання завдань і отримання результатів.
Головний комп'ютер черезмультиплексори передачі даних (МПД)взаємодіють з терміналами, як представлено на рис. 1.3.
Класичнийприклад архітектури мережі з головними комп'ютерами — системна мережеваархітектура (System Network Architecture — SNA).
1.3.2 Одноранговаархітектура
Одноранговаархітектура (peer-to-peer architecture) –це концепція інформаційної мережі, в якій її ресурси розозподілені по всіхсистемах. Дана архітектура характеризується тим, що в ній всі системирівноправні.
До однорангових мережвідносяться малі мережі, де будь-яка робоча станція може виконувати одночаснофункції файлового сервера і робочої станції. У однорангових ЛОМ дисковийпростір і файли на будь-якому комп'ютері можуть бути загальними. Щоб ресурсстав загальним, його необхідно віддати в загальне користування, використовуючислужби віддаленого доступу мережевих однорангових операційних систем. Залежновід того, як буде встановлений захист даних, інші користувачі зможутькористуватися файлами відразу ж після їх створення. Однорангові ЛОМ достатньохороші тільки для невеликих робочих груп.
Однорангові ЛОМ єнайбільш легким і дешевим типом мереж. Вони на комп'ютері вимагають, окріммережевої карти і мережевого носія, тільки операційної системи. При з'єднаннікомп'ютерів, користувачі можуть надавати ресурси і інформацію в суміснекористування.
Одноранговімережі мають наступні переваги:
- вони легкі в інсталяції і налаштуванні;
- окремі ПК незалежать від виділеного сервера;
- користувачі в змозі контролювати свої ресурси;
- мала вартість і легка експлуатація;
- мінімум устаткування і програмного забезпечення;
- немає необхідності в адміністраторові;
добрепідходять для мереж з кількістю користувачів, що не перевищує десяти.
Проблемою однорангової архітектури є ситуація, коли комп'ютеривідключаються від мережі. У цих випадках з мережі зникають види сервісу, які вони надавали. Мережеву безпекуодночасно можна застосувати тільки до одного ресурсу, і користувач повиненпам'ятати стільки паролів, скільки мережевих ресурсів. При отриманні доступу доресурсу, що розділяється, відчувається падіння продуктивності комп'ютера.Істотним недоліком однорангових мереж є відсутність централізованогоадміністрування.
Використанняоднорангової архітектури не виключає застосування в тій же мережі такожархітектури «термінал — головний комп'ютер» або архітектури «клієнт — сервер».
1.3.3 Архітектураклієнт – сервер
Архітектура клієнт — сервер (client-server architecture) –це концепція інформаційної мережі, в якій основна частина її ресурсівзосереджена в серверах, які обслуговують своїх клієнтів (рис. 1.5). Данаархітектура визначає два типи компонентів: сервери і клієнти.
Сервер – це об'єкт,що надає сервіс іншим об'єктам мережі за їхніми запитами. Сервіс – це процесобслуговування клієнтів.
Серверпрацює за завданнями клієнтів і керує виконанням їхніх завдань. Після виконаннякожного завдання сервер відсилає отримані результати клієнтові, що відправив цезавдання.
Сервіснафункція в архітектурі клієнт — сервер описується комплексом прикладних програм,відповідно до якого виконуються різноманітні прикладні процеси.
Процес,який викликає сервісну функцію за допомогою певних операцій, називається клієнтом. Нимможе бути програма або користувач. На рис. 1.6 приведений перелік сервісів вархітектурі клієнт — сервер.
Клієнти – це робочістанції, які використовують ресурси сервера і надають зручні інтерфейси користувача.Інтерфейси користувача це процедури взаємодії користувача з системою абомережею.
Клієнтє ініціатором і використовує електронну пошту або інші сервіси сервера. У цьомупроцесі клієнт запрошує вид обслуговування, встановлює сеанс, отримує потрібнійому результати і повідомляє про закінчення роботи.
У мережах з виділенимфайловим сервером на виділеномуавтономному ПК встановлюється серверна мережеваопераційна система. Цей ПК стає сервером. Програмнезабезпечення (ПЗ),встановлене на робочійстанції, дозволяє їй обмінюватися даними з сервером. Найбільш поширені мережевіопераційна системи:
- NetWare фірми Novel;
- Windows NT фірми Microsoft;
- UNIX фірми AT&T;
- Linux.
Кріммережевої операційної системи необхідні мережеві прикладні програми, що реалізовуютьпереваги, що надаються мережею.
Мережіна базі серверів мають кращі характеристики і підвищену надійність. Серверволодіє головними ресурсами мережі, до яких звертається решта робочих станцій [7].
Усучасній клієнт — серверній архітектурі виділяється чотири групи об'єктів:клієнти, сервери, дані і мережеві служби. Клієнти розташовуються в системах наробочих місцях користувачів. Дані в основному зберігаються в серверах. Мережевіслужби спільно використовуються серверами і даними. Крім того служби керуютьпроцедурами обробки даних.
Мережіклієнт — серверної архітектури мають наступні переваги:
- дозволяють організовувати мережі з великою кількістюробочих станцій;
- забезпечують централізоване управління обліковимизаписами користувачів, безпекою і доступом, що спрощує мережевеадміністрування;
- ефективний доступ до мережевих ресурсів;
- користувачеві потрібний один пароль для входу в мережуі для отримання доступу до всіх ресурсів, на які розповсюджуються правакористувача.
Разомз перевагами мережі клієнт — серверноїархітектури мають і ряд недоліків:
- несправність сервера може зробити мережунепрацездатною, як мінімум втрату мережевих ресурсів;
- вимагають кваліфікованого персоналу дляадміністрування;
- мають вищу вартість.
1.3.4 Вибір архітектуримережі
Вибірархітектури мережі залежить від призначення мережі, кількості робочих станцій івід виконуваних нею дій [1].
Слідвибрати однорангову мережу, якщо:
- кількість користувачів не перевищує десяти;
- всі машини знаходяться близько одна від одної;
- мають місце невеликі фінансові можливості;
- немає необхідності в спеціалізованому сервері, такомуяк сервер БД, факс-сервер, або який-небудь інший;
- немає можливості, або необхідності в централізованомуадмініструванні.
Слідвибрати клієнт-серверну мережу, якщо:
- кількість користувачів перевищує десяти;
- потрібне централізоване управління, безпека,управління ресурсами, або резервне копіювання;
- необхідний спеціалізований сервер;
- потрібний доступ до глобальної мережі;
- потрібно розділяти ресурси на рівні користувачів.

РозділІІ. Пошук несправностей в мережах на базі OCWindows
 
2.1Проблеми реєстрації робочої станції
Одна з найбільшпоширених проблем з’єднання в мережі виникає, коли робоча станція не можезареєструватися в домені. Це може бути через безліч причин:
· конфігураціяпротоколу;
· дозвілімені;
· дозвілімені NetBIOS;
·  повноваження.
 
2.1.1Команда ,,ping”
Якщо робочастанція має проблеми з реєстрацією в домені, перш за все необхідно перевіритиз’єднання. Для цього використовується утиліта ping-. Як показано на роздруківці нижче,спочатку виконується ping за іменем щоб перевірити дозвіл на ім’я. Вона вертається назад звідповіддю. Потім виконується ping за визначеною ІР-адресою, щоб перевірити чи є доступ до того ж місцяпризначення. В останню чергу посилається великий пакет для перевірки того, щопакети великих розмірів можуть дістатися до місця призначення. Утиліта рing за замовчуванням посилає дуже малий32-бітний пакет, який може дістатися до місця призначення, в той час як великийза об’ємом трафік реєстрації може не пройти через маршрутизатор.
/>
/>

/>
Якщо великіпакети не доходять до місця призначення, а малі пакети доходять до серверареєстрації, то можна підкоректувати реєстр і задати менший розмір пакета яктимчасовий захід, поки не буде відомо чи зможуть підтримуватися великі пакети.Це робиться в реєстрі наступним чином.
Додати значення внаступний ключ :
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcipip\Parameters_
Ім’я значення: TcpSendSegmentSize
Тип буде Reg_Dword
За замовчуваннямвикористовується 1460 байт
Ці зміни можутьвпливати на всю комунікацію ТСР/ІР і повинні робитися тільки після детальноготестування. Перед тим як робити зміни в реєстрі, необхідно переконатися, щоіснує детально перевірена і актуальна резервна копія. Найпростіше, що можназробити – це експортувати ключі [2].
 Для аналізупроблеми використаємо програму Netmon, вибравши необхідну робочу станцію і сервер. Наступнимкроком потрібно повторити команди ping і в додаток до команд ping необхідно також виконати команди:
· netview\\ ім’я_сервера
· netuser\\ ім’я_сервера\ipc$
Якщо дві командиповертаються з повідомленням про помилку, то має місце проблема. Необхідноскористатись Netmon іперевірити чи можливо знайти джерело проблеми. Із отриманих даних видно, щокоманда ping працює фактично без будь-якихпроблем. Це показано на роздруківці нижче. Пакет ICMP є ехо-пакетом і його розмір 32 байти. Цей розмірвикористовується за замовчуванням в команді ping.

/>
За ехо-пакетомІСМР слідує пакет відповіді ІСМР, який пердставлений на роздруківці нижче. Цейпакет повертається із місця призначення як пакет ехо-відповідь. Він також має32 байти. Це говорить про те, що існує елементарна комунікація між робочоюстанцією і сервером.
/>
Після цього командоюnet view\\ ім’я_сервера перевіряєтьсямережу, що приводить до трьохходового підтвердження прийому даних(квитування) між робочою станцією і сервером. Трьохходове квитуваннявідбувається між робочою станцією і портом 139, службою сеансу NetBIOS на сервері. В даному випадкувсе працює нормально, тому необхідно подивитися розділ NBT наступного кадру, що показаний нароздруківці нижче. Кадр із робочої станції на сервер виглядає правильним.Видно, що тип пакету вказується як запит сеансу (session request). Він вміщує ім’я викликаногосервера і ім’я робочої станції яка викликає. є унікальним суфіксом NetBIOS, який вказує службу робочоїстанції. Можна знайти реєстрацію для цієї машини в базі даних WINS. Реєстрація в базі даних WINS полегшує NetBIOS комунікацію між машинами.
Так як запитсеансу NTB пройшов успішно, тодінеобхідно подивитись на відповідь, яка приходить з сервера. Вона міститься нароздруківці нижче і дає деяку корисну інформацію.

/>
Отриманавідповідь з відмовою сеансу (Negative SessionResponse), і код помилки службисеансу говорить про те, що ім’я, яке викликається, відсутнє. Завдяки цьому стаєзрозуміло, що проблема не в робочій станції, а в сервері. Інші робочі станціїбудуть стикатися з такою ж проблемою. Тепер необхідно перевірити, щовідбувається на сервері. Але спочатку необхідно глянути, чи можна отриматияку-небудь додаткову інформацію із щойно зробленого трасування Netmon.
/>
На роздруківцінижче наведено декілька запитів контролера первинного домену, але немаєвідповіді. Це відбувається як SMB C transact в \mailslot\net\netlogon. Можливо існує також проблема із службою netlogon.
 
/>
Якщо переглянути події на робочій станції, можна побачити наступнеповідомлення: «Броузер не зміг отримати список серверів з мастер-броузера \PROXу мережі \Device\NetBT_E100Bl. Дані є кодом помилки». Це повідомленняпросто підтверджує, що на сервері є проблема.
На сервері необхідно перевірити наступне:
· Чи службасервера виконується на комп'ютері місця призначення. Перевірити аплет служб впанелі керування (рис.2.1). Якщо служба сервера не виконується, машина все одновідповідатиме на ping, але сеанс створитинеможливо. Якщо служба сервера зупинена, то необхідно запустити її. Це пояснитьповідомлення помилок броузера в журналі подій, оскільки служба броузера комп'ютера залежить від служби сервера. Крім того, служба netlogon також залежить від служби сервера.Питання, звичайно, в тому, чому служба сервера зупинена? Деяку інформацію Netmon просто не може повідомити. Можливо,настав час змінити пароль адміністратора.
 
/>
Рис. 2.1. Перевірка стану служб.
 
· Чивідповідає сервер місця призначення. Він може бути заблокований. Сервер можевідповідати на ехо-пакет ICMP, навіть якщо сеанс неможливостворити. Якщо комп'ютер заблокований і неможливо відновити керуванняменеджером завдань або будь-яким іншим способом, слід повідомити всіхкористувачів про необхідність зберегти свої дані і по можливості вийти зсистеми. Можна спробувати виконати закриття системи, хоча залежно від того, щовідбулося, можливо, доведеться зробити повне завантаження. Якщо відновлення невідбулося, то доведеться перевіряти процедури резервного копіювання.
·  Перевіритиаплет ліцензії в панелі керування і в журналі подій, щоб переконатися, щообмеження ліцензії не порушені.
· Чивикористовується DNS або файл хоста. Методи дозволу імені хоста використовуються першими в ping для дозволу імені. Команди net використовують методи дозволу імені NETBIOS (lmhosts, WINS). Утиліта рing може працювати, тоді як net view можепростоювати.
 
2.2Пошук несправностей в мережі з виділеним DHCPсервером
Хоча DHCP полегшує життяадміністратора, іноді клієнтська машина стикається з проблемами при отриманніадреси. У таких ситуаціях інформація часто буває мізерною. Крім того факту, щоробоча станція не отримала адреси, більше нічого невідомо. Тут починають відіграватироль знання процесів DHCP і Netmon.
 
2.2.1Діалог з DHCPсервером
Перш за все,необхідно перевірити, що машина була зконфігурована для запиту адреси. Якщо увікні властивостей TСР/ІР відмічена властивість «отримувати IP-адресу з сервера DHCP», то це повинно працювати. Якщоні, необхідно переривати Netmon і проглянути діалог. Уідеалі повинні бути присутніми чотири кадри, перелічені нижче.
1. Пошук DHCP
2. ПропозиціяDHCP
3. Запит DHCP
4. DHCP АСК
Якщо один з чотирьох кадрів не присутній, то DHCP не працюватиме, а клієнт не зможеотримати адресу. Якщо немає жодного, то клієнт неправильно сконфігурований длязапиту адреси DHCP. Вирішення проблем DHCP є процесом переглядання діалогу іідентифікація того, що з діалогу, представленого вище, пропущено[2].

2.2.2Аналіздіалогу комп’ютерів у мережі
Перший крок полягає в перегляді трасування і пошуку пропущеного кадру.Кадр запиту DHCP посилається за допомогоюбагатоадресової розсилки UDP IP з порту 68 (клієнтський порт ВООТР), в порт 67( серверний порт ВООТР). Magic cookieбудуть правильними. Це чотирьохбайтна область в пакеті DHCP, яка ідентифікує початок поля, означеного постачальником для спеціальнихпараметрів. Якщо використовується дане поле параметрів, це наголошується IP-адресою 99.130.83.99, яка показана втрасуванні Netmon як шістнадцяткова 63 82 5363. Параметри можуть перелічувати ідентифікатор клієнта, запитану адресу, атакож інші позиції. У нашому полі параметрів ідентифікатор клієнта рівнийадресі MAC комп'ютера, що робить запит- в даному випадку KENNY. Також видно, що машина KENNY запрошує ту ж адресу, якою вонаволоділа раніше. Якщо ця адреса доступна, то її можна буде використовуватизнову.
У трасуванні нижче запитана адреса недоступна, оскільки вона отримує NACK, що є негативним підтвердженням.Якщо розглянути частину IP в кадрі, то можна побачитимашину, яка посилає цей NACK на робочу станцію. Це виднов тій частині пакету, що приходить з порту 67 (порту сервера ВООТР), в порт 68(порт клієнта ВООТР). Коли робоча станція отримує NACK, вона не ініціалізує TСР/ІР, поки неотримає адресу. Якщо TСР/ІР є єдиним протоколом, машина не зможе спілкуватися вмережі, поки не буде виявлений сервер DHCP.
Оскільки клієнтська машина посилає запити DHCP і отримує NACK(відмову) з сервера DHCP, то можна сказати, що вониспілкуються. Факт, що машина посилає запити, є позитивним, оскільки вона робитьвсе, що повинна робити клієнтська машина. Для перевірки можна використовуватикоманду ipconfig /renew з вікна CMD, що змусить клієнтську машинустворити трафік DHCP. Це один із способіввиконати передачу, не перезавантажуючи машину. У трасуванні Netmon повинні бути два кадри DHCP: запит DHCP і DHCP АСК (підтвердження).
У даному випадку трасуванням DHCP можна знайти тільки запити і один NACK і жодного іншого трафіку. Наступний крок полягає в переході до сервера івивчення властивостей DHCP, де можна виявити, що серверне має вільних адрес, або що область дії була деактивована. Це, дві найбільшпоширені причини[2].
 
2.3Визначенняшвидкодії мережі
Немає нічого незвичайного, коли користувачі скаржаться на те, що мережапрацює поволі. Ці скарги мережеві адміністратори чують достатньо часто. Протекористувачі рідко висловлюють інші думки, крім загального спостереження, щомережа повільна. Раніше адміністратор приходив до користувача, спостерігав зайого діями і погоджувався або не погоджувався з точністю спостережень. Це некращий спосіб для нового тисячоліття. У нас є Netmon як засіб порятунку. Розглянемо приклад нижче, щоб зрозуміти,як Netmon працює в цій ситуації[1].
 
2.3.1 Засоби і способи визначення швидкодії мережі
Простим способом визначити швидкодію мережі є використання експертасереднього часу відповіді сервера, наявного в Netmon 2.0. Перш ніж використати експерта, необхідно перехопитидеякий об'єм трафіку між сервером і клієнтською машиною, для цього необхідносконфігорувати фільтр перехоплення, який ізолює трафік між робочою станцією іданим сервером. Це повинно бути зроблено після перевірки робочої станції на те,скільки в ній відкрито додатків, скільки є вільного простору на диску длявіртуальної пам'яті, і т.д. Коли будуть виключені всі можливі проблеми робочоїстанції, можна починати перехоплення даних[1].

2.3.2 Виявлення джерела впливу на швидкодію мережі
Для аналізу швидкодії необхідно завантажити перехоплений файл в Netmon 2.0 і сконфігорувати експерт часувідповіді (рис.2.2). Конфігурація експерта є дуже важливою для отримання точнихрезультатів. Якщо, наприклад, користувач скаржиться, що повільно працює поштаРОРЗ, то необхідно додати до експерта порт 110.
Змінюючи конфігураційні файли, експерт може повідомити про більшістьдодатків, що виконуються в мережі. Якщо видалити всі порти, окрім порту даноїпрограми, будуть отримані різні показники продуктивності. Використання Netmon 2.0 в цій області майже не обмежене.
/>
Рис. 2.2. Експерт середнього часу відповіді сервера.
Експерт створює звіт, перелічуючи IP-адреси і середній час відповіді в секундах, як показано на рис.2.3.Якщо результати відповідають базовим показникам, можливо, доведеться зновуаналізувати робочу станцію і роботу певного користувача. Якщо вони дійсноповільні, то трасування вимагатиме додаткового аналізу. Звіт розподілупротоколів, звіт верхніх користувачів і експерт пересилки TCP можуть надати цінну допомогу при пошукупричини повільної роботи мережі. Крім перегляду на екрані звіти можна зберегтияк текстові файли і роздрукувати або перетворити на файли інших форматів,наприклад файли Microsoft Word[7].

2.4 Причини помилок у журналі подій
Іноді у журналі виникають помилки подій. Однією з них є подія ID 2000, яка говорить Status_no_such_file. Ця подія відбувається, колимережевий додаток посилає команду видалення файла на загальний диск, а файл вжебув видалений. Тобто, в другому рядку розділу даних повідомлення про помилкубуде c000000f, яке відповідає Status_no_such_file.
 
2.4.1 Метод пошуку серверних проблем
Ця проблема пов'язана з SMB.Спочатку потрібно розглянути файл перехоплення. Для спрощення створюєтьсяфільтр виводу, який показує тільки команди SMB для видалення файлу. На рис.2.4 показано, як створюється цей фільтрвиводу. Знаходячись в режимі виводу, вибирається фільтр з меню виводу (display), після подвійного клацання по рядкупротоколу з'являється діалогове вікно вибору, де відключаються всі протоколи.Наступним кроком потрібно вибрати SMB із списку протоколів в правій панелі діалогового вікна, а потім клацнутипо кнопці включити (enable). Далі перейти в розділ«S» списку протоколів. Це можназробити активізувавши на панелі меню «name» і введення «S». В наслідокцього відбудеться переміщення в розділ «S», дозволяючи швидко знайти протокол SMB. Коли протокол SMB буде включений, потрібно знайтикоманду SMB delete. Щоб це зробити, потрібно вибрати закладку «property» і в ній знайти протокол SMB. Клацнувши на знаку «плюс»поряд з SMB, з'явиться списоквластивостей протоколу, серед яких потрібно вибрати «command» із діалогово вікна. Коли «command» буде вибрано, появитьсясписок значень. У списку значень потрібно вибрати «delete file» і потім натиснути «ok». Цей фільтр виводу показуєкоманди «SMB delete» будь-якого комп’ютера[6].
При перегляді кадрів «SMB delete» потрібно знайти повідомлення про помилку. Розглянемовзаємодію. Клієнтська машина посилає на сервер команду «C delete file». Параметри включають розміщення файлу.
Відповідь з сервера повертається в наступному кадрі який представлений вроздруківці нижче. В ньому команда «R delete file» з повідомленням про відсутність помилок. Фай успішновидалений з сервера.
В першому файлі перехоплених даних проблема не локалізована. Для того щобзнайти помилку необхідно, створити фільтр перехоплення, що перехоплюватиметільки один тип пакетів. Щоб отримати необхідну інформацію, яка показана на рис.2.5, необхідно знайти шаблон, якийвказує команду «SMB delete». Як можна побачити з рис.2.6, вибір в панелі виводу командного рядка SMB виводить число 06 в шістнадцятковійпанелі в рядку зсуву 03. У рядку статусу Netmon в нижньому правому кутку, точний зсув рівний Зе вшістнадцятковому вигляді. Тепер є зсув і шаблон для фільтру перехопленнякоманди «delete SMB».
 
2.4.2 Фільтр перехоплення, та його використання
Виконання програми Netmon можна спланувати задопомогоюкоманди ATяка вводиться уконсолі cmd. Оскільки використовується спеціалізованийфільтр перехоплення задопомогою якого можна визначити достатньо великийбуфер перехоплення, то йому необхідно задати виконання протягом достатньодовгого періоду часу.
Використання фільтру перехоплення
Netmon/autostart /buffersize 1024000 /capturefilter с:/smbdelete.cf /autostop
Приведений вище текст команди необхідно ввести у текстовий редактор ізберегти як файл .bat. Дляавтоматизації процесу необхідно використати службу «Планувальник завдань».
На рис.2.7 зображено використання служби «Планувальник завдань» для автоматизації сеансу Netmon. Необхідно запустити службу планувальника, використовуючиаплет служби в панелі управління, у вікні CMD ввести необхідну команду AT. В даному випадку планувальник виконуватиме файл .bat з понеділка доп'ятниці в 5:00 після обіду. Приведений вище файл .bat виконуватиметься, покибуфер не заповниться, і потім зупиниться.
Виконуючи автоматичний сеанс Netmon під час прояву серверної проблеми, є можливість знайтинеправильно працюючу програму, яка намагається повторно видалити вже видаленийфайл.
Ретельно створений фільтр перехоплення полегшує знаходження проблемноїпрограми. При виявлені повідомлення про помилку, фільтр покаже, яка програмавиконувалася в даний час. Крім того, можна включити перегляд часу при відкриттіфайлу перехоплення і точно побачити, який кадр відповідає певному повідомленнюпро помилку в переглядачі подій [6].
 
2.5 Проблеми що виникають при широкомовленні
Широкомовлення завжди є хорошим об'єктом для моніторингу, оскількипримушує всі машини в підмережі проглядати кадр. Це створює зайву роботу длябагатьох машин. Крім того, коли виникає надмірна кількість широкомовнихзапитів, це створює руйнівний вплив на мережу.
При розгляді трафіку широкомовлення перший крок полягає в створенніфільтру виводу широкомовлення, що вибирає всі широкомовні повідомлення у вікніфільтру виводу, після цього перевірка широкомовних повідомлень достатньопрямолінійна. Якщо виникає широкомовний запит, як на рис.2.8, його легковиявити. Найбільш активному користувачеві звіт може дати уявлення про те, яквін впливає на мережу. З рис.2.8 видно що один користувач використовує великучастину трафіку у мережі.
Наступний пакет ARP показує IP-адресу і MAC адресу машини, яка викликає надмірнеширокомовлення .
Для отримання імені користувача можна виконати наступні команди:
· використатиping –a 10.0.0.163 для отримання імені хосту;
·  використатиarp –a для виведення кешу ARP;
· використатиnbtstart –a 10.0.0.163 для отримання таблиці імен NetBIOS віддаленої машини.
Для усунення надмірного широкомовлення необхідно дослідити машину іперевірити, яке програмне забезпечення встановлено, які протоколи завантажено,а також вид використовуваного мережевого адаптера. Також, необхідно подивитися,чи існують оновлення для будь-якого з цих об'єктів, драйверів, перевіритионовлення вбудованих програм самого комп'ютера.
Визначивши, коли виникла проблема, можна дізнатись про те, яке програмнезабезпечення було додане, видалене або оновлене, тобто що викликало проблему [2].

РозділІІІ. Методи захисту від несанкціонованого доступу в мережі TCP/IP
 
3.1Безпека комп’ютерів на базі Windows 2000/XP
 
3.1.1 Сканування мережіTCP/IP
Метою скануванняє визначення IP-адрес хостів мережі, щоатакуються, і для виконання сканування можна скористатися утилітою ping. На рис.3.1 представлений результат скануванняутилітою ping хосту Sword-2000.
Із результату видно, щокомп’ютер за вказаноюадресою підключений до мережі і з’єднання працює нормально. Це найпростіший спосіб сканування мережі, од­нак, він не завжди при­водить до потрібного резуль­тату, оскільки багато вузлівблокують зворотнювідправку пакетів ICMPза допомогою спеціальних засобів захисту.
Якщо обмін даними за протоколом ICMP заблокований, хакерами можуть бути використані іншіутиліти, наприклад, hping. Ця утиліта здатна фрагментувати (тобто ділити нафрагменти) пакети ICMP, що дозволяє обходити прості пристрої блокуваннядоступу, які не роблять зворотну збірку фрагментованих пакетів [9].
Інший спосібобходу блокування доступу – сканування за допомогою утиліт, що дозволяютьвизначити відкриті порти комп'ютера. Прикладом такої утиліти є SuperScan, яка надає користувачам зручнийграфічний інтерфейс (див рис.3.2).
На рис. 3.2приведений результат сканування мережі в діапазоні IP-адрес 1.0.0.1-1.0.0.7. Деревовидний список в нижній частинівікна відображає список всіх відкритих портів комп'ютера Sword-2000 серед яких TCP-порт 139 сеансів NETBIOS. Запам'ятавши це, перейдемо додетальнішого дослідження мережі – до їїінвентаризації .

3.1.2Інвентаризаціямережі
Інвентаризація мережіполягає у визначенні загальних мережевих ресурсів, облікових записів користувачів і груп, а також у виявленні програм, що виконуються на мережевих хостах.При цьому хакери дуже часто використовують наступний недолік комп'ютерівWindows NT/2000/XP – можливість створення нульового сеансу NETBIOS з портом 139.
 
3.1.3 Нульовий сеанс
Нульовий сеансвикористовується для передачі деяких відомостей про комп'ютери Windows NT/2000,необхідні для функціонування мережі. Створення нульового сеансу не вимагаєвиконання процедури аутентифікації з'єднання. Для створення нульового сеансузв'язку необхідно з командного рядка Windows NT/2000/XP виконати наступну команду:
net use\\l.0.0.l\IPC$""/user:""
Де1.0.0.1 – це IP-адреса комп'ютера Sword-2000, що атакується, IPC$ – це (абревіатура загального ресурсумережі Inter-ProcessCommunication) міжпроцесна взаємодія, перша пара лапок означає використання порожнього пароля, а друга пара в записі user:"" вказує на порожнє ім'я віддаленогоклієнта. Анонімний користувач, що підключився нульовим сеансом за замовчуванням отримує можливість завантажити диспетчер користувачів, який використовується для проглядання користувачів і груп, виконувати програму проглядання журналу подій. Йому також доступні і інші програми віддаленого адміністрування системою, що використовують протокол SMB (Server Message Block — блок повідомлень сервера). Більшетого, користувач, що під'єднався нульовим сеансом, має права на перегляд і модифікаціюокремих розділів системного реєстру.
Ще одинметод інвентаризації полягає у використанні утиліт net view і nbtstat з пакету W2RK. Утиліта net viewдозволяє відобразити список доменів мережі.
C:\>net view /domain
Домен
SWORD
Команда виконана вдало.
В результаті відобразилася назва робочої групиSWORD. Якщо вказати знайдене ім’я домену, утиліта відобразить підключені донього комп’ютери.
C:\>net view/domain: SWORD
\\ALEX-3
\\SWORD-2000
Тепер необхідно визначити зареєстрованого на даний момент користувачасерверного комп’ютера Sword-2000 і завантажені на комп’ютеріслужби. З цією метою використаємо утиліту nbtstat. Результат її використання представленийна рис. 3.3. На цьому рисункувідображена таблиця, в якій перший стовбець вказує ім’я NetBIOS, в слід заім’ям відображений код служби NetBIOS. Код після імені комп’ютераозначає службу робочої станції, а код після імені домену – ім’ядомену. Код означає службу розсилки повідомлень, які передаютьсякористувачу, що заходить в систему, ім’я якого стоїть перед кодом в даному випадку Administrator.
На комп’ютерітакож працює служба браузера MSBROWSE, на що вказує код після імені робочої групи SWORD. Отже ми вже маємо ім’я користувача,зареєстрованого в даний момент на комп’ютері Administrator, за допомогоюпроцедури net view, вказавши їй ім’я віддаленого комп’ютера. Визначаили такожмережеві ресурси ком’ютера Sword-2000, які використовує Administrator.Результати пердставлені на рис. 3.4.
Отже, обліковийзапис користувача Administrator відкриває загальний мережний доступ до деяких папок файлової системикомп’ютера Sword-2000 і приводу CD-ROM. Таким чином про комп’ютервідомо достатньо багато – він дозволяє нульові сеанси NetBIOS, на ньому працюєкористувач Administrator, відкриті порти 7, 9, 13, 17, 139, 443, 1025, 1027комп’ютера, і в число загальних мережних ресурсів входять окремі папкилокального диску C:. Тепер необхідно дізнатись пароль доступу користувачаAdministrator, після чого в розпорядженні буде вся інформація про жорсткий дискС: комп’ютера.
Якщо протокол NetBIOS через TCP/IP буде відключений (комп’ютери Windows2000/XP надають таку можливість), можна використати протокол SNMP ( Simple Network Management Protocol – простий протокол мережевогоуправління), який забезпечує моніторинг мереж Windows NT/2000/XP [8].
3.1.4Реалізація цілі
 Виконання атаки насистеми Windows NT/2000/XP складається з наступних етапів.
·  Проникнення в систему, що полягає в отриманні доступу.
·  Розширення прав доступу, що полягає взломі паролів облікових записів з великими правами,наприклад, адміністратора системи.
·  Виконання мети атаки: отримання даних, руйнування інформації і такдалі.
Проникнення в системупочинається з використання облікового запису, виявленого на попередньому етапіінвентаризації. Для визначення потрібного облікового запису хакер мігскористатися командою nbtstat або браузером MIB, або якими-небудь хакерськими утилітами, удостальпредставленими в Інтернеті. Виявивши обліковий запис, хакер може спробуватипід'єднається до комп'ютера, використовуючи його для вхідної аутентифікації. Він може зробити це з командногорядка, ввівши таку команду.
D:\>netuse\\1.0.0.1\IPC$ * / u: Administrator
Символ «*» у рядку команди указує, що для підключення до віддаленого ресурсу IPC$ потрібно ввести пароль для обліковогозапису Administrator. У відповідь на введеннякоманди відобразиться повідомлення:
Type passwordfor\\1.0.0.1\IPC$:
Введення коректногопароля приводить до встановлення авторизованого підключення. Таким чином, миотримуємо інструмент для підбору паролів входу в комп'ютер. Генеруючи випадкові комбінації символів або перебираючи вмістсловників, можна, врешті-решт, натрапити на потрібне поєднання символів пароля.Для спрощення підбору існують утиліти, які автоматично роблять всі ці операції,наприклад SMBGrind, яка входить в комерційний пакет CyberCopScanner компанії Network Associates. Ще одним методом є створенняпакетного файлу з циклічним перебором паролів.
Проте віддалений підбір паролів – далеко не наймогутніше знаряддя злому. Всі сучасні сервери, як правило, забезпечені захистом відбагатократних спроб входу із зміною пароля, інтерпретуючи їх як атаку насервер. Для злому системи захисту Windows NT/2000/XP частіше використовуєтьсямогутніший засіб, що полягає у отриманні паролів бази даних SAM (Security Account Manager –диспетчер облікових данихсистеми захисту). База даних SAM містить шифровані коди паролів обліковихзаписів, вони можуть витягуватися, зокрема віддалено, за допомогою спеціальних утиліт. Далі ці паролідешифруються за допомогою утиліти дешифрування, що використовує який-небудь метод злому, наприклад, «грубою силою», абословниковою атакою, шляхом перебору слів ізсловника.
Найбільш відомоюутилітою дешифрування є програма LC4 (скорочення від назви LOphtcrack),      яка діє у парі з такими утилітами, як:
· Samdump — отримання шифрованихпаролів з бази даних SAM.
· Pwdump — отримання шифрованихпаролів з системного реєстру комп'ютера, включаючи віддалені системи. Цяутиліта не підтримує посилене шифрування Syskey бази SAM.
·  Pwdump2 — отримання шифрованих паролів зсистемного реєстру, в якому застосовано шифрування Syskey. Ця утиліта підтримує роботу тількиз локальними системами.
· Pwdump3 — те ж, що і Pwdump2, але з підтримкою віддаленихсистем.
Для отриманняшифрованих паролів з комп'ютера Sword-2000 застосуємо утиліту Pwdump3:
C:\>pwdump3 sword-2000 > password. psw
Вміст отриманогофайлу представлений у вікні додатку Блокнот (Notepad) (рис. 3.5).
Як видно, у файліpassword.psw міститься обліковий запис Administrator який був знайдений на етапіінвентаризації. Щоброзшифрувати паролі, слід застосувати програму LC4 і хоча пробна версія цієї програми підтримуєтільки дешифрування паролів методом словесної атаки, все ж дає можливістьвзлому паролів комп’ютера Sword-2000 рис. 3.6.
Таким чином,маючи можливість створення нульових сеансів підключення NETBIOS до комп'ютера, в принципі, можнаотримати паролі облікових записів комп'ютера, включаючи адміністратора системи.
Для розширенняправ доступу в системі використовуються спеціальні програми, що дозволяютьвиконувати віддалене керування системою, зокрема реєстрацію дій користувача.Для цього на комп'ютер можуть бути впроваджені так звані клавіатурні шпигуни – програми,що реєструють натиснення клавіш. Всі отримані дані записуються в окремий файл, який може бутивідісланий наінший комп'ютер в мережі.
Інший варіант –розміщення в системі активного трояна, наприклад, NetBus, або Во2к (Back Orifice 2000), які забезпечують засоби прихованого віддаленого керуванняі моніторингу за атакованим комп'ютером[8].
Розглянемо роботуNetBus на прикладі двох мережевих комп'ютерів:клієнта — комп'ютер Sword-2000 (ІР-адрес 1.0.0.1), і сервера — комп'ютер Alex-3 (IP-адрес 1.0.0.5).
Для успішної роботитроянського коня NetBus на комп'ютері, що атакується, спочатку потрібнозапустити серверний компонент, який називається NBSvr. При запуску програми NBSvrвідображається діалог, представлений на рис.3.7.
Перед використаннямсервера NetBus утиліту NBSvr необхідно налаштуаати. Для цього виконується така процедура:
·Удіалозі NB Server (Сервер NB) клацнути на кнопці Settings (Параметри). На екрані з'явиться діалог Server Setup(Параметри сервера), представлений на рис.3.8. 
·Встановити прапорець Accept connections (Приймати з'єднання).
·У полі Password(Пароль) ввести пароль доступу до сервера NetBus.
·Із спискуVisibility of server (Видимість сервера) вибрати пункт Fullvisible (Повна видимість), що дозволить спостерігати за роботою сервера NetBus(але для роботи краще вибрати повну невидимість).
·У полі Accessmode (Режим доступу) вибрати Full access (Повний доступ), щодозволить робити на комп'ютері всі можливі операції віддаленого керування.
·Встановити прапорець Autostart every Windowssession (Автозавантаження при кожному сеансі роботи з Windows), щоб серверавтоматично завантажувався при вході в систему.
·Клацнути мишею на кнопці ОК. Сервер готовий до роботи.
Тепер необхідноналаштувати роботу клієнта — утиліту NetBus.exe.
·Завантажити утиліту NetBus.exe, післячого відобразиться вікно NetBus 2.0 Pro, представлене на рис. 3.9.
·Вибрати команду меню Host * Neighborhood * Local (Хост * Сусідній хост * Локальний). Відобразиться діалог Network (Мережа), представлений на рис. 3.10.
·Клацнути на пункті Microsoft WindowsNetwork (Мережа Microsoft Windows) і відкритисписок мережевих хостів рис. 3.11.
·Вибрати комп’ютер з встановленим сервером NetBus, в даному випадку Sword-2000 і клацнути на кнопці Add (Додати). На екрані з’явитьсядіалогове вікно Add Host (Додати хост), рис. 3.12.
·Вполі Host name/IP (Ім’я хосту/ІР) ввести ІР-адресу серверного хосту 1.0.0.1.
· В поліUser name (Ім’я користувача) необхідно ввести ім’я облікового записуAdministrator, а в полі Password (Пароль), що дешифрований програмою LC4 пароль 007.
· Клацнути на кнопці ОК. На екранівідобразиться діалог Network (Мережа).
· Закрити діалог Network (Мережа), клацнувшина кнопці Close (Закрити). На екрані відобразиться вікно NetBus 2.0 Pro іззаписом доданого хосту (рис. 3.13).
·  Щоб під’єднатися до хостуSword-2000 необхідно клацнути правою кнопкою миші на пункті списку Sword-2000 і з контекстного меню, щовідобразилося, вибрати команду Connect(Під'єднати). У разі успіху в рядку стану вікна NetBus 2.0 Pro відобразиться повідомленняConnected to 1.0.0.1 (v.2.0) (Підключений до 1.0.0.1 (v.2.0)).
Після успішного з'єднання з серверним компонентом Netbus, використовуючи інструменти клієнта Netbus, можна зробити з атакованимкомп'ютером все що завгодно. Практично йому будуть доступні ті ж можливості, щоі у локального користувача Administrator. На рис. 3.14. представлений список інст­рументів клієнта NetBus, який відображений в меню Control (Управління).
Серед цихінструментів можна відзначити засоби, зібрані в підменю Spy functions(Засоби шпигунства), що містять такі інструменти, як клавіатурний шпигун,перехоплювачі екранних зображень і інформації, що отримується з відеокамери, атакож засобу запису звуків. Таким чином, хакер, що проник у комп'ютер, можепідглядати, підслуховувати і читати все, що бачить користувач, говорить, абовводить з клавіатури комп'ютера. Хакер також може модифікувати системний реєстркомп'ютера Sword-2000, завантажувати будь-які програми іперезавантажувати віддалену систему Windows, не кажучи вже про можливості перегляду і копіюваннябудь-яких документів і файлів.
Як уже згадувалося,описана в цьому розділі утиліта сервера NetBus, вимагає попереднього запуску на комп'ютері,що атакується. Останнє завдання складає цілу окрему область хакінгу і полягає в пошуку відкритих через недогляд каталогівінформаційного сервера IIS, а також у використанні методів «соціальної інженерії», що використовується для впровадження в комп'ютертроянських коней або вірусів.
3.1.5Приховування слідів
Аудит, позасумнівом, є одним з найбільш серйозних засобів захисту від взлому комп'ютерноїсистеми, і відключення засобів аудиту – одна з перших операцій, яку виконуютьхакери при зломі комп'ютерної системи. Для цього застосовуються різні утиліти, що дозволяютьочистити журнал реєстрації і/або відключити аудит системи перед початкомроботи.
Для відключення аудитухакери можуть відкрити консоль ММС і відключитиполітику аудиту, скориставшись засобами операційної системи. Іншим, могутнішимзасобом, є утиліта auditpol.exe комплекту інструментів W2RK. З її допомогоюможна відключати (і включати) аудит як локального, так і віддаленого комп'ютера. Для цього необхідно з командного рядка ввести такукоманду.
C:\Auditpol>auditpol \\sword-2000 /disable
На екрані з'являтьсярезультати роботи:
Running...
Auditinformation changed successfully on \\sword-2000...
New auditpolicy on \\sword-2000...
(0) AuditDisabled
System       =No
Logon         = No
Object Access      =No
Privilege Use        =No
ProcessTracking = Success and Failure
Policy Change      = No
AccountManagement   = No
DirectoryService Access        = No
Account Logon    = No
Параметр команди \\sword-2000 — це ім'я віддаленого комп'ютера, а ключ /disable задає відключення аудиту на цьому комп’ютері. Утиліта auditpol.exe є досить ефективним засобом для управління мережевимиресурсами і також може бути інструментом який використовується при взломі. Такожця утиліта дозволяє включати і відключати аудит бази даних SAM, що є передумовою використанняутиліти pwdump3.exe для отримання паролів з бази SAM.
Очищення журналів безпекиможна виконати або за допомогою утиліти проглядання журналів Windows 2000/XP,або за допомогою спеціальних утиліт. У першому випадкуслід виконати наступні дії.
·  Клацнути на кнопці Пуск(Start) і в головному меню, що з'явилося, вибрати команду Налаштування * Панель управління (Settings* Control Panel).
·  У панелі управління, відкрити теку Адміністрування (AdministrativeTools).
·  Двічі клацнути на аплеті Управління комп'ютером (ComputerManagement). На екрані з'явиться діалог консолі ММС.
·  Послідовно відкрити теки Службові програми * Перегляд подій (System Tools | EventViewer).
·  Клацнути правою кнопкою миші на пункті Безпека (Security Log).
·  Вибрати командуконтекстного меню Стерти всі події (Clear all Events). На екрані з'явитьсядіалог Проглядання подій (Event Viewer) з пропозицією зберегти журнальні подіїу файлі.
·  Клацнути на кнопці Ні (No), якщо більше не потрібнізафіксовані в журналі події. Журнал буде очищений.
При очищенні журналубезпеки з нього витираються всі події, але відразувстановлюється нова подія — тільки що виконане очищення журналу аудиту! Такимчином, хакер все ж таки залишить свій слід — порожній журнал із зафіксованою подією очищення журналу[9].
 
3.2Засоби віддаленого керування
Засоби віддаленого керування комп'ютерами сьогодні набули великої популярності. Поступово, крок за кроком, зінструменту віддаленого адміністрування, що використовувалися суто в технологічних цілях, програмні засоби цього типу почаливикористовуватися співробітниками різних організацій для роботи зі своїмофісним комп'ютером не виходячи з будинку, з домашнього комп'ютера. Сучасніпрограми віддаленого керування офісним комп'ютером надають цілийнабір засобів для підключення — прямого, модемного і мережевого. Все це надаєвеликі зручності для співробітників організацій, проте і хакерам також відкриваються можливості для досягнення своїх цілей.
Інсталюючи засобивіддаленого керування, існує можливість його несанкціонованого використання.Якщо встановити на офісний комп'ютер модем і підключити його до телефонноїлінії для подальших сеансів зв'язку з домашнього комп'ютера, то хакер при виявленнітелефонів організації і протестувавши на наявність з'єднання за допомогоюспеціальних програм ідентифікує засоби віддаленого керування та взламує їх.

3.2.1Програма pcAnywhere
Програма pcAnywhere корпорації Symantec є одним з кращих інструментіввіддаленого керування хостами мережі TCP/IP. pcAnywhere встановлюється на комп'ютерах,зв'язаних локальною мережею, модемною лінією зв'язку або безпосередньо, черезпослідовні і паралельні порти. Комп'ютери, керовані засобами pcAnywhere, називаються хостами, акомп'ютери, що керують, називаються абонентами. Взаємодія хостів і абонентівpcAnywhere відбувається наступним чином, після встановлення зв'язку на екрані віддаленого комп'ютера відображаються ті ж засоби призначеногодля користувача інтерфейсу і діалоги програм, що і на моніторі хосту. При цьому дії користувача в діалозіабонента pcAnywhere негайно копіюються наекрані хоста pcAnywhere.
Таким чином,користувач комп'ютера-абонента pcAnywhereотримує в своє розпорядження консоль віддаленого керування хостом pcAnywhere, практично співпадаючу з локальноюконсоллю хосту (рис. 3.15).
Для керуванняроботою своїх хостів і абонентів програма pcAnywhere надає диспетчер, робоче вікно якого, pcAnywhere Manager (Диспетчер pcAnywhere),представлене на рис. 3.16.
Версія 10.5.1програми pcAnywhere не дозволяє поповнюватисписок абонентів хоста без вказівки логіна і пароля вхідної реєстрації. Новомуабонентові при створенні надаються за замовчуванням обмежані права.        
Отже, на перший погляд, все, що можна запропонувати для злому доступу до хосту pcAnywhere – це спробувативгадати логін і пароль, часто співпадаючі з логіном і паролем вхідноїреєстрації. Для цього можна скористатися програмою Brutus. Ця програма дозволяє настроюватисвої засоби злому паролів. Проте це трудомісткий і ненадійний шлях, оскільки користувачвстановить надійний пароль для реєстрації, а система захисту зафіксує численніспроби вхідної реєстрації [8].
Існує обхіднийшлях – підміна профілю підключення абонента до хосту. В цьому випадку необхідностворити хост pcAnywhere, ім'я якого співпадає з тим,що відображається в діалозі очікування з'єднання. Наступним кроком є створенняабонента для підключення до цього хосту, цьому абонентові надаються необмеженіправа доступу до хосту, встановлюючи перемикач Superuser (Суперкористувач) на вкладці Privileges (Привілеї) діалогу властивостей абонента.
Після створенняхосту pcAnywhere в папці Системний диск:/Documents and Settings/All Users/Application Data/Symantec/pcAnywhere (або в іншій папці, вказаній в списку діалогу диспетчера pcAnywhere), створюється файл профілю абонентацього хоста з передбаченим ім'ям. У даному випадку для хосту Sword-2000 після створення абонента pcAnywhere з логіном А1ех-3 був створений файлпрофілю з ім'ям PCA.Alex-3.CIF — тобто з ім'ям, що містить логін абонента в серединізапису, і з розширенням .CІF.
Створивши задопомогою диспетчера pcAnywhere нового абонента наприклад, Hacker, профіль якого буде збережений уфайлі PCA.Hacker.CIF на комп'ютері хакера. Якщо цей файл РСА.Hacker.CIF помістити на хост Sword-2000 в теку Системний диск:/Documents and Settings/All Users/Application Data/Symantec/ pcAnywhere, то в діалозі абонентів хоста Sword-2000 з'явиться новий обліковий запис ( рис. 3.17).
Тепер до хосту pcAnywhere можна підключитися, знаючи логін іпароль нового абонента Hacker, в даному випадку — хакер,що трохи попрацював для створення і перенесення файлу профілю накомп'ютер-жертву.
Існує декількашляхів для запису файлу на атакований комп’ютер. Одним з них це атака напротокол NETBIOS, або підготувавши івідправити лист з активним вкладенням, яке завантажить на хост файл, скажімо, звикористанням клієнта TFTP. Можнатакож вдатися до методів соціальної інженерії і змусити ламера клацнути напосиланні для завантаження безкоштовної программи (це найкращий метод для людей із специфічними схильностями).Якщо хост pcAnywhere функціонує як Web-сервер, є сенс атакувати сервер IIS, і якщо це програма IIS 5, не оброблена сервісними пакетами, то шанси на успіх майжестовідсоткові[8].
Щоб віддаленовизначити, чи встановлений на комп'ютері хост pcAnywhere і чи працює він в даний момент, слід звернутися до засобівінвентаризації ресурсів локальної мережі, які повинні виявити на комп'ютерівідкриті порти віддаленого управління. Проте в мережах Windows є і ще одна можливість –використання засобів інвентаризації, вбудованих в системи Windows NT/2000/XP, які спираються на протокол SNMP (SimpleNetwork Management Protocol -простий протокол мережевогоуправління).
 
3.2.2Протокол SNMP
Протокол SNMP призначенийдля віддаленого адміністрування хостівлокальної мережі. Для хакерів протокол SNMP забезпечує великі можливості з інвентаризації мережі, на вразливостях SNMP базується багато хакреських атак. Томурозроблено безліч програм управління мережами зопорою на протокол SNMP, з яких виділимо пакет SOLARWINDS. Ці утиліти мають подвійне застосування. Системні адміністратори використовуютьїх для адміністрування мережі, а хакери – для проникнення в мережу і заволодінняїї ресурсами. Отже, перейдемо до знайомстваз пакетом SOLARWINDS з врахуваннямзавдань злому і захисту.
Протоколом SNMP єстандарт управління мережами TCP/IP (а також мережами IPX). На основі протоколуSNMP створюються програмні засоби віддаленогоуправління мережевими серверами, робочими станціями і іншими пристроями, що дозволяють налаштовувати роботу мережевих хостів, спостерігати за їх роботою,відстежувати збої і поточну діяльність користувачів в мережі.
Для роботивищезгаданих програмних засобів SNMP використовуються системи управління SNMP (або консолі SNMP) і агенти SNMP, тобто служби SNMP, що збирають інформацію про вузли, іпоміщають її в бази даних MIB (Management Information Base — база керуючої інформації).База MIB містить таблицю запущенихслужб, звіт про спосіб розмежування доступу, перелік сеансів і обліковихзаписів користувачів, набір загальних ресурсів сервера і іншу інформацію. Дляпроглядання бази МІВ застосовуються системи управління SNMP, наприклад, утиліта snmputil з пакету W2RK або ж спеціальне програмне забезпечення, прикладом якого є застосуванню IP Network Browser, що входить в пакет SOLARWINDS 2002 Engineer's Edition. Хости, на яких функціонують консоліі агенти SNMP, об'єднуються в співтовариства SNMP, що ідентифікуються іменамиспівтовариства. Агенти SNMP кожного хосту співтовариства можуть передаватиповідомлення у відповідь на запити консолей SNMP тільки «свого» співтоваристваі тих співтовариств, які вказані в списку, що створюється при конфігураціїслужби SNMP. Для обміну інформацією використовується транспортний протокол UDP,а передача пакетів SNMP виконується через сокети Windows з портами 161 і 162.
Якщо хакерові вдаєтьсявизначити ім'я співтовариства SNMP, інвентаризація мережевих ресурсів комп'ютерів співтовариства невикликає жодних проблем. Длявирішення цього завдання можна скористатися пакетом SOLARWINDS, що включає у себе найрізноманітніші утиліти для збору відомостей пролокальну мережу.
На рис. 3.18.представлений діалог браузера MIB з пакету Solar Winds 2001 Engineer’s Edition, що відображає записи бази даних MIB комп’ютера А1ех-3, що входять в розділ відомостей прооблікові записи і загальні ресурси комп’ютера.
На рис. 3.18.можна відмітити, що дані, які відображаються браузером МІВ аналогічні таким, щовиявлені з бази SAM задопомогою утиліти LC4.Таким чином, база МІВ не менш інформативна, ніж база SAM, крім того, що в ній відсутні пароліоблікових записів.
Існує й інша утилітадля проглядання ресурсів мережевих хостів – NetworkBrowser, яка представляєінформацію бази даних МІВ мережі, що інвентаризується в доступнішій формі ( рис.3.19).
Проблема у використанні бази MIB дляцілей інвентаризації полягає в отриманні імені співтовариства, яке по суті єпаролем для доступу до інформації в базі MIB. Це завдання зовсім не безнадійне,оскільки засоби пакету SOLARWINDS 2001 Engineer's Edition включають утилітиSNMP Brute Force Attack і SNMP Dictionary Attack для злому доступу до бази МІВ підбором імені співтовариства, щовиконується, відповідно, прямим перебором символів і шляхом словникової атаки.
Дуже часто длянадання імен співтовариствам, SNMPадміністратори використовують встановлені за замовчуванням імена public, або private, або їх варіації. Тому утиліти SNMP Brute Force Attack і SNMP Dictionary Attack для злому доступу до співтовариства SNMP враховують таку особливість. Вонидозволяють хакерові вводити початкові імена співтовариства SNMP типу public або private в стартовий рядок пошуку завтоматичною генерацією варіантів рядків, що випробовуються. Це дозволяє швидкознаходити імена типу public2 і інші, що базуються настандартному імені public[8].
Для захисту від атаки на протокол SNMP, слід закрити доступ до портів 161 і 162, які використовуються агентами і консоллю SNMP, вдавшись до засобів фільтрації ТСР/ІР, або засобамиаплета Служби (Services) комп'ютера Windows 2000/XP, щоб відключити на хості службу SNMP. У будь-якому випадкуім'я співтовариства SNMP повинно бутидостатньо складним для злому методом грубої сили, оскільки ім'я співтоваристваслужить фактично паролем доступу до агента SNMP.
Встановлені намережевому хості засоби віддаленого управління, як від незалежного виробника(програма pcAnywhere). так і вбудовані (служба SNMP) можуть стати справжніми знахідкамидля хакера, оскільки дуже часто після інсталяції цих засобів їх система захистуне настроєтна належним чином. Це стосується практично всіх загальнопоширених програм віддаленогокерування, особливо ранніх версій. Щоб виявити комп'ютер зівстановленою програмою віддаленого керування, можна скористатися засобамипротоколу SNMP, що забезпечує роботуагентів і консолі SNMP управління ресурсамикомп'ютера. Браузер IP NetworkBrowser, розглянутий в цьомурозділі, надійно ідентифікує відкриті порти програми віддаленого управління pcAnywhere, після чого хакер може скористатисярізними засобами для віддаленого злому доступу до хосту pcAnywhere.
Не слід нехтуватитакож можливостями SNMP для вирішення загальногозавдання інвентаризації систем, що атакуються. Засоби захисту агентів і консоліSNMP, вбудовані в систему Windows не забезпечують належноїй безпеки длякомп'ютерів співтовариства SNMP. Для хакера це надає обширні можливості для інвентаризації ресурсівмережевих хостів і подальших спроб злому доступу до комп'ютерів.
Для запобіганнявзлому, паролі доступудо хостів pcAnywhere мають бути досить складними, щоб їх не можна було зламатисловниковою атакою, або простим перебором. Описаній вище атаці на хост pcAnywhere можна також запобігти, обмежившидоступ до папок комп'ютера, що зберігають інформацію для налаштування. Тому налаштування системи захисту Windows – найкращий спосіб запобігання атакам на засоби віддаленого управління[7].
3.3Функції брандмауерів
Брандмауеромназивають спеціальний програмно-апаратний комплекс, що забезпечує захистлокальної мережі від вторгнень з локальної або глобальної мережі, наприклад,Інтернету, в точці їх з'єднання. Брандмауери дозволяють пропускати черезмережеве з'єднання тільки авторизований трафік, контролюючи тим самим мережевувзаємодію між комп'ютерами глобальної і локальної мережі. Високорозвинуті брандмауеридозволяють виконувати дуже точну настройку доступудо мережевих служб, надаючи для цього зручний графічний інтерфейс. Добренастроєний брандмауер не просто блокує неавторизовані запити з боку зовнішніхкомп'ютерів, але і намагається ідентифікувати авторів запиту разом з негайнимповідомленням адміністратора системи про спроби таких запитів.
Брандмауери дозволяютьуправляти мережевим трафіком, що проходить усередині локальної мережі. Задопомогою брандмауерів можна розділити локальну мережу на домени безпеки — групи комп'ютерів з одним рівнем захищеності. На комп'ютерах найбільшзахищеного домена слід зберігати конфіденційну інформацію, наприклад, обліковізаписи користувачів, документи фінансової звітності, відомості про поточнувиробничу діяльність і тому подібне. Розділеннядоступу користувачів до мережевих ресурсів різного ступеня секретності вже самопо собі різко підвищує рівень безпеки мережі. Якщо до того ж набудуватибрандмауер так, щоб доступ до виділеного мережевого сегменту був максимальнообмеженим, то можна значною мірою забезпечити інформацію, що зберігається в сегменті, від розкриттяконфіденційності[6].
Узагальному випадку методика Firewall, тобто брандмауерів, реалізує наступніосновні три функції:
1.Багаторівнева фільтрація мережного трафіка.
Фільтраціязвичайно здійснюється на трьох рівнях OSI:
• мережному(IP);
• транспортному(TCP, UDP);
• прикладному(FTP, TELNET, HTTP, SMTP ).
Фільтраціямережевого трафіка є основною функцією систем Firewall і дозволяєадміністратору безпеки мережі централізовано здійснювати необхідну мережевуполітику безпеки у виділеному сегменті IP-мережі. Тобто,настроївши відповідним чином Firewall, можна дозволити чи заборонитикористувачам як доступ із зовнішньої мережі до хостів, що знаходяться всегменті, який захищається, так і доступ користувачів із внутрішньої мережі довідповідного ресурсу зовнішньої мережі.
2. Proxy-схема здодатковою ідентифікацією й аутентифікацією користувачів на Firewall — хості.
Proxy-схема дозволяє,по-перше, при доступі до захищеного Firewall сегменту мережіздійснити на ньому додаткову ідентифікацію й аутентифікацію віддаленогокористувача. По-друге, є основою для створення приватних мереж з віртуальними IP-адресами. Proxy-схема призначенадля створення з'єднання з кінцевим адресатом через проміжний proxy-сервер (proxy від англ.повноважний) на хості Firewall. На цьому proxy-сервері і можездійснюватися додаткова ідентифікація абонента.
3.Створення приватних віртуальних мереж (Private Virtual Network — PVN) з«віртуальними» IP-адресами (NAT — Network Address Translation).
Увипадку, якщо адміністратор безпеки мережі вважає за доцільне приховати топологіюсвоєї внутрішньої IP-мережі, то йому необхідно використовувати системи Firewall для створенняприватної мережі (PVN-мережа). Хостам у PVN-мережі призначаються будь-які«віртуальні» IP-адреси. Для адресації в зовнішню мережу (через Firewall) необхідне використанняна хості Firewall proxy-серверів, або застосування спеціальних системроутінгу (маршрутизації). Це відбувається через те, що віртуальна IP-адреса, якавикористовується у внутрішній PVN-мережі, не придатна для зовнішньої адресації(зовнішня адресація — це адресація до абонентів, що знаходиться за межами PVN-мережі). Тому proxy-сервер, чи засіброутінгу повинен здійснювати зв'язок з абонентами з зовнішньої мережі зі своєїдійсної IP-адреси. Ця схема зручна в тому випадку, якщо для створенняІР-мережі виділили недостатню кількість IP-адрес, тому длястворення повноцінної IP-мережі з використанням proxy-схеми доситьтільки однієї виділеної IP-адреси для proxy-сервера.
Будь-якийпристрій, що реалізує хоча б одну з цих функцій Firewall-методики, і є Firewall-пристроєм.Наприклад, ніщо не заважає використовувати в якості Firewall — хостукомп'ютер зі звичайною ОС FreeBSD чи Linux, у якоївідповідним чином необхідно скомпілювати ядро ОС. Firewall такого типу будезабезпечувати тільки багаторівневу фільтрацію ІР-трафіка. Пропоновані на ринку Firewall-комплекси,створені на базі ЕОМ звичайно реалізують усі функції Firewall-методики і єповнофункціональними системами Firewall. На рис. 3.20 зображений сегмент мережі,відділений від зовнішньої мережі повнофункціональним Firewall — хостом.
Однакадміністраторам IP-мереж треба розуміти, що Firewall це не гарантіяабсолютного захисту від віддалених атак у мережі Internet. Firewall — не стількизасіб забезпечення безпеки, скільки можливість централізовано здійснюватимережну політику розмежування віддаленого доступу до доступних ресурсів мережі.Firewall не зможезапобігти таким видам атак як: аналізу мережного трафіку, помилковий ARP-сервер,помилковий DNS-сервер, підміна одного із суб'єктів TCP-з'єднання, порушенняпрацездатності хосту шляхом створення спрямованої атаки помилковими запитами чипереповнення черги запитів. В таких випадках використання Firewall не допоможе. Длятого, щоб вивести з ладу (відрізати від зовнішнього світу) усі хости усерединізахищеного Firewall-системою сегмента, досить атакувати тільки один Firewall. Це пояснюєтьсятим, що зв'язок внутрішніх хостів із зовнішнім світом можливий тільки через Firewall.
Зусього вищесказаного аж ніяк не випливає, що використання систем Firewall є абсолютнобезглуздим, на даний момент цій методиці немає альтернативи. Однак треба чіткорозуміти і пам'ятати її основне призначення. Застосування методики Firewall для забезпеченнямережної безпеки є необхідною, але аж ніяк не достатньою умовою. Не потрібновважати, що поставивши Firewall вирішуються всі проблеми з мережноюбезпекою і усунуться усі можливі віддалені атаки з мережі Internet [7].
3.4 Перехоплення мережевих даних
Для сніфінгу мереж Ethernet зазвичайвикористовуються мережеві карти, переведені в режим прослуховування.Прослуховування мережі Ethernet вимагає підключення комп'ютера із запущеною програмою-сніфером до сегментумережі, після чого хакерові стає доступним весь мережевий трафік, щовідправляється і отримується комп'ютерамив даному мережевому сегменті. Ще простіше виконати перехоплення трафікурадіомереж, що використовують безпровідні мережеві ретранслятори. В цьомувипадку не потрібнонавіть шукати місця для підключеннядо кабелю.
Для технології сніфінгу можна використати программу-сніфер SpyNet, яку можна знайти на багатьох Web-сайтах. ПрограмаSpyNet складається з двох компонентів — CaptureNet і PipeNet. ПрограмаCaptureNet дозволяє перехоплювати пакети, передавані по мережі Ethernet на мережевому рівні, тобто у вигляді кадрівEthernet. Програма PipeNet дозволяє збирати кадри Ethernet в пакети рівня прикладних програм, відновлюючи, наприклад,повідомлення електронної пошти, повідомлення протоколу HTTP (обмін інформацієюз Web-сервером) і виконувати інші функції.
Для захисту відпрослуховування мережі застосовуються спеціальні програми, наприклад AntiSniff, які здатні виявляти в мережі комп'ютери,зайняті прослуховуванням мережевого трафіку. Програми антисніфери для вирішення своїх завданьвикористовують особливу ознаку наявності в мережі прослуховуючих пристроїв. Мережева плата комп’ютера-сніфера повинна знаходитися вспеціальному режимі прослуховування. Знаходячись в режимі прослуховування,мережеві комп'ютери особливим чином реагують на IP-дейтаграми, що посилаються на адресу тестованого хосту. Наприклад, хости, що прослуховують як правило,обробляють весь трафік, що поступає, не обмежуючись тільки відісланими на адресу хосту дейтаграммами. Є і інші ознаки, що вказують напідозрілу поведінку хоста, якіздатна розпізнати програма AntiSniff [11].
Поза сумнівом,прослуховування дуже корисне з погляду зловмисника, оскільки дозволяє отриматибезліч корисної інформації: передавані по мережі паролі, адреси комп'ютерівмережі, конфіденційні дані, листи і інше. Проте просте прослуховування не дозволяє хакерові втручатисяв мережеву взаємодію міждвома хостами з метою модифікації і спотворення даних. Для вирішення такогозавдання потрібна складніша технологія.
 
3.4.1Фальшиві ARPзапити
Щоб перехопити ізамкнути на себе процес мережевої взаємодії між двома хостами А і В зловмисникможе підмінити IP-адреси взаємодіючих хостівсвоєю IP-адресою, направивши хостам Аі В сфальсифіковані повідомлення ARP (Address Resolution Protocol — протокол дозволу адрес).
Для перехоплення мережевого трафіку між хостами А і В хакер нав'язує цимхостам свою IP-адресу, щоб А і В використовували цю фальсифіковануIP-адресу при обміні повідомленнями. Длянав'язування своєї IP-адресихакер виконує наступні операції.
·Зловмисниквизначає МАС-адреси хостів А і В, наприклад, за допомогоюкоманди nbtstat з пакету W2RK.
·Зловмисниквідправляє на виявлені МАС-адреси хостів А і В повідомлення, що є сфальсифікованими ARP-відповідями на запити дозволу IP-адресів хостів в МАС-адресикомп'ютерів. Хосту А повідомляється, що IP-адресі хосту В відповідає МАС-адреса комп'ютера зловмисника; хосту Вповідомляється, що IP-адресі хосту А також відповідає МАС-адреса комп'ютера зловмисника.
·Хости А і Взаносять отримані МАС-адреси всвої кеші ARP і далі використовують їх для відправки повідомлень один одному.Оскільки IP-адресам А і Ввідповідає МАС-адреса комп'ютеразловмисника, хости А і В, нічого не підозрюючи, спілкуютьсячерез посередника, здатного робити з їх посланнями що завгодно.
Для захисту відтаких атак мережеві адміністратори повинні підтримувати базу даних з таблицеювідповідності МАС-адрес і IP-адрессвоїх мережевих комп'ютерів. За допомогою спеціального програмногозабезпечення, наприклад, утиліти arpwatch періодично обстежувати мережу і виявляти невідповідності[11].

3.4.2Фальшива маршрутизація
Щоб перехопитимережевий трафік, зловмисник може підмінити реальну ІР-адресу мережевогомаршрутизатора своєю, виконавши це, наприклад, з допомогою сфальсифікованих ICMP-повідомлень Redirect. Отримане повідомлення Redirect хост А сприймає як відповідь надейтаграмму, відіслану іншому хосту, наприклад, В. Свої дії на повідомлення Redirect хост А визначає, виходячи з вмістуотриманого повідомлення Redirect, і якщо в Redirect задати перенаправлення дейтаграм з Ав В по новому маршруту, саме це хост А і зробить.
Для виконанняпомилкової маршрутизації зловмисник повинен знати деякі подробиці проорганізацію локальної мережі, в якій знаходиться хост А, в тому числі, IP-адресу маршрутизатора, через якувідправляється трафік з хосту А у В. Знаючи це, зловмисник сформує IP-дейтаграмму, в якій IP-адреса відправника означена як IP-адреса маршрутизатора, а одержувачемвказаний хост А. Також в дейтаграму включається повідомлення ICMP Redirect зполем адреси нового маршрутизатора, встановленим як IP-адреса комп'ютера зловмисника. Отримавши таке повідомлення, хост Авідправлятиме всі повідомлення заIP-адресою комп'ютера зловмисника [10].
Для захисту від такоїатаки слід відключити (наприклад, за допомогою брандмауера) на хості А обробку повідомлень ICMP Redirect,а виявити ІР-адресу комп'ютера зловмисника може команда tracert. Ці утиліти здатнізнайти в локальній мережі додатковий, непередбачений при інсталяції, маршрут,якщо звичайно адміністратор мережі проявить пильність.
Приведені вище прикладиперехоплень (якими можливості зловмисників далеко не обмежуються) переконують внеобхідності захисту даних, що передаються по мережі, якщо в даних міститьсяконфіденційна інформація. Єдиним методом захисту від перехоплень мережевоготрафіку є використання програм, що реалізовують криптографічні алгоритми іпротоколи шифрування, що дозволяють запобігти розкриттю і підміні секретноїінформації. Для вирішення таких завдань криптографія надає засоби дляшифрування, підпису і перевірки достовірності повідомлень, що передаютьсяпо захищених протоколах [12].
 
3.4.3 Перехоплення ТСР-з’єднання
Найбільшвитонченою атакою перехоплення мережевого трафіку слід вважати захоплення TCP-з’єднання (TCP hijacking),коли хакер шляхом генерації і відсилання на хост, що атакується TCP-пакетів, перериває поточний сеансзв'язку з хостом. Далі, користуючись можливостями протоколу TCP по відновленню перерваного TCP-з’єднання, хакер перехоплюєперерваний сеанс зв'язку і продовжує його замість відключеного клієнта.
Протокол TCP (Transmission Control Protocol — протокол управління передачею) є одним з базовихпротоколів транспортного рівня OSI, щодозволяє встановлювати логічні з'єднання по віртуальному каналу зв'язку. Поцьому каналу передаються і приймаються пакети з реєстрацією їх послідовності,здійснюється управління потоком пакетів, організовується повторна передачаспотворених пакетів, а в кінці сеансу канал зв'язку розривається.
Протокол TCP є єдиним базовим протоколом зсімейства TCP/IP, що має складну системуідентифікації повідомлень і з'єднання.
Для ідентифікаціїTCP-пакету в TCP-заголовку існують два 32-розрядніідентифікатори, які також відіграють роль лічильника пакетів, що називаютьсяпорядковим номером і номером підтвердження. Поле TCP-пакета включає наступні біти керування (впорядку зліва направо):
URG — біт терміновості;
АСК — біт підтвердження;
PSH — біт перенесення;
RST — біт поновлення з'єднання;
SYN — біт синхронізації;
FIN — біт завершення з'єднання.
Розглянемо порядокстворення TCP-з’єднання.
1. Якщо хосту А необхідно створити TCP-з’єднання з хостом В, то хост А посилає хостуВ наступне повідомлення: A-> B: SYN, ISSa
Це означає, що в повідомленні, якепередається хостом А встановлений біт SYN (Synchronize sequence number — номер послідовності синхронізації), ав полі порядкового номера встановлено початкове 32-бітне значення ISSa (Initial Sequence Number — початковий номер послідовності).
2.      У відповідь наотриманий від хосту А запит хост В відповідає повідомленням, в якомувстановлений біт SYN і встановлений біт АСК. У полі порядкового номера хост В встановлює своє початкове значеннялічильника – ISSb. Поле номера підтвердження при цьому міститиме значення ISSa, отримане в першому пакеті від хосту А і збільшене наодиницю. Такимчином, хост В відповідає таким повідомленням: B-> A: SYN, ACK, ISSb, ACK(ISSa+1)
3.      Нарешті, хост Апосилає повідомлення хосту В, в якому: встановлений біт АСК; поле порядковогономера містить значення ISSa + 1; поле номера підтвердженнямістить значення ISSb + 1. Після цього ТСР-з’єднання між хостами А і В вважаєтьсявстановленим:
A-> B: ACK,ISSa+1, ACK(ISSb+1)
4.      Тепер хост А можепосилати пакети з даними на хост В по тільки що створеному віртуальномуTCP-каналу:
А -> В: АСК, ISSa+1, ACK(ISSb+1);DATA
Тут DATA позначаєдані.
Із розглянутоговище алгоритму створення TCP-з’єднання видно, що єдиними ідентифікаторами TCP-абонентів і TCP-з’єднання є два 32-бітні параметрипорядкового номера і номера підтвердження — ISSa і ISSb. Отже, якщо хакерові вдастьсядізнатися поточні значення полів ISSa і ISSb, то йому ніщо не перешкодитьсформувати сфальсифікований TCP-пакет. Це означає, що хакерові досить підібрати поточні значення параметрівISSa і ISSb пакету TCP для даного TCP-з’єднання, послати пакет збудь-якого хосту Інтернету від імені клієнта даного TCP-підключення, і даний пакет будесприйнятий як дійсний.
Таким чином, дляздійснення описаної вище атаки необхідною і достатньою умовою є знання двохпоточних 32-бітових параметрів і ISSb, що ідентифікують TCP-з’єднання. Розглянемо можливі способи їх отримання. У разі, колихакреський хост підключений до мережевого сегменту, що атакується, завдання отримання значень ISSa і ISSb є тривіальним і вирішується шляхом аналізу мережевоготрафіку. Отже, потрібно чітко розуміти, що протокол TCP дозволяє захистити з'єднання тількиу випадку-неможливості перехоплення хакером повідомлень, які передаються поданому з'єднанню, тобто тільки у разі, коли хакреський хост підключений домережевого сегменту, відмінного від сегменту абонента TCP-з’єднання [4].
Тому найбільший інтересдля хакера представляють міжсегментні атаки, коли він і його мета знаходяться в різних сегментах мережі. Вцьому випадку завдання отримання значеньISSa і ISSb не є тривіальним. Для вирішення даної проблеми на сьогодні придумано тільки два способи.
·Математичний прогнозпочаткового значення параметрів TCP-з'єднання за екстраполяцією попередніх значень ISSa і ISSb.
·Використання вразливостей ідентифікації абонентів TCP-з’єднання на rsh-серверах Unix.
Перше завданнявирішується шляхом поглиблених досліджень реалізації протоколу TCP в різнихопераційних системах і сьогодні має тільки теоретичне значення. Друга проблемавирішується з використанням вразливостей системи Unix ідентифікації довірених хостів. Довіреним по відношенню до даногохосту А називається мережевий хост В, користувач якого може підключитися дохосту А без аутентифікації за допомогою r-служби хосту А.Маніпулюючи параметрами TCP-пакетів,хакер може спробувати видати себе за довірений хост і перехопити TCP-з’єднання з хостом, що атакується [5].
Єдиним порятункомвід перехоплення даних є їх шифрування, тобто криптографічні методи захисту.Посилаючи в мережі повідомлення, слід заздалегідь припускати, що кабельнасистема мережі абсолютно уразлива, і будь-який хакер, що підключився до мережі,зможе виловити з неї всі передані секретні повідомлення. Є дві технологіївирішення цієї задачі — створення мережі VPN і шифрування самих повідомлень. Всі ці завдання можна вирішити за допомогою пакету програм PGP Desktop Security [12].
3.5Комутований доступ до мереж
Телефонні лінії зв'язку, підключені до корпоративної мережі,по суті є якнайкращим способом вторгнення в комп'ютерну систему організації. На входах в підключений до Інтернетусервер сьогодні, як правило, встановлені брандмауери, а ось телефонні лінії, невідомо як і ким підключені докомп'ютерів за допомогою модемів – це реаліїсьогодення. Дуже багато співробітників організаційпідключають до своїх офісних комп'ютерів модеми для організації входів зі своїхдомашніх комп'ютерів.
Після такогопідключення вся система захисту комп'ютерної системи фактично обнуляється, адженемає нічого простішого, ніж визначення телефонної лінії з модемом, що працюєна іншому кінці. Набравши відповідний номер, можна почути характерні звуки, щовидаються модемом на іншому кінці лінії зв'язку.
Ці звуки є не що інше, яксигнали, за допомогою яких модеми зв'язуються один з одним. Знаючи протокол взаємодіїмодемів, частоти, послідовності і тривалість сигналів — для фахівців секретівтут немає, можна написати програму, що автоматизує процес пошуку модемнихліній зв'язку, здатну перебирати набори телефонних номерів із заданого діапазону, виявляти модемні лінії зв'язку і записуватиотримувані повідомлення в спеціальний журнал [4].
На сьогоднішнійдень існує безліч програм-сканерів, найвідоміші з них – це утиліта Login Hacker, щодозволяє застосовувати для завдань сканування сценарії, утиліта THN-Scan і ToneLock компанії Minor Threat&Mucho Maas. Дві останні утиліти запускаються зкомандних рядків і не мають графічного інтерфейсу.
Серед усіхпрограм сканерів можна виділити програму PhoneSweep компанії Sandstorm. Ця утиліта дозволяє сканувати відразу декілька телефоннихліній, працюючи з декількома модемами одночасно, виявляти віддалену програму,що приймає телефонні дзвінки, і навіть підбирати пароль для доступу до цієївіддаленої програми. Демо-версія програми PhoneSweep дозволяє робити майже все, окрім виконанняреальних дзвінків, замінюючи їх імітацією.
Щоб приступити дозлому ліній зв'язку, хакерові необхідно знати телефони організації, тому першезавдання хакера — визначити, хоч би приблизно, діапазон номерів організації,комп'ютерну систему якої хакер буде атакувати.
Перед виконанняатаки кваліфікований хакер завжди виконує попередній збір даних проорганізацію, який полягає в пошуку всіх відомостей, які хакер може зібрати прокомп'ютерну систему, що атакується. Мається на увазі інформація, що містить звіт про комп'ютерну мережу організації. На хакреських сайтах можна знайтифайли з результатами сканування широкого діапазону телефонних номерів. У цихфайлах можна знайти безліч відомостей про телефони різних організацій звказівкою програми, що приймає дзвінки, і навіть відомостей про паролі доступу [12].
3.5.1СканерPhoneSweep4.4
Утиліта PhoneSweep — по суті, перший по справжньомуфункціональний інструмент для аналізу систем захисту телефонних ліній.Програмні інструменти, що використовувалися до цих пір були складні вуправлінні, створені програмістами-любителями і позбавлені підтримки виробника.Проте основним їхнімнедоліком є погана сумісність з сучаснимисистемами Windows.
Програма PhoneSweep позбавлена цих недоліків і пропонуєвсім користувачам могутні засоби тестування модемних ліній на предмет їхзахищеності від несанкціонованого доступу. Програма PhoneSweep володіє такими можливостями.
·Працює наопераційних системах Windows 95/98/NT/2000/XP.
·Забезпеченазручним графічним інтерфейсом.
·Дозволяєтестувати системи захисту на стійкість до атак «грубою
силою» з генерацією парлогін/пароль для злому з'єднань запротоколом РРР (Point-to-Point protocol — Протокол двоточкового з'єднання).
·Дозволяєстворювати звіти, що налаштовуються.
·Дозволяє працюватиз декількома модемами, від 1 до 4.
·Дозволяєзупиняти і перезапускати сканування з різними налаштуваннями, причому без всякої втрати отриманихданих.
3.5.2Робота з програмою PhoneSweep 4.4
Щоб почати сканування телефоннихномерів за допомогою програми Phone-Sweep, слід зробити три операції.
·У робочому вікні програми PhoneSweepвідкрити вкладку Setup (Параметри),представлену на рис. 3.22 і налаштувати поточний профіль програми.
·Відкрити вкладку PhoneNumbers (Телефонні номери), представлену на Рис. 3.21 і, клацнувши на кнопці Add (Додати). В діалозі Add Phone Numbers (Додати номери телефону), представленому на рис. 3.23,ввести діапазон телефонних номерів для прозвону.
·У робочому вікні програми PhoneSweepклацнути на кнопці Start (Старт) і дочекатися результатів.
Основною процедурою є налаштування профілю програми, яка в термінахдовідкової системи програми називається створенням правил прозвону(dialing riles).
Правила прозвону програми PhoneSweep дозволяють керувати порядком, часом і частотою дзвінків,що виконуються в процесі сканування телефонних номерів організації. Пристворенні правил прозвону слід добитися такої поведінки програми PhoneSweep, яка, зоднієї сторони, не приверне зайвої уваги системи захисту лінійзв'язку, а з іншої — дозволитьвирішити поставлене завдання змінімальними зусиллями.
Для ідентифікації і злому доступу до віддаленої системи слід відкрити вкладку Effort (Режим) (рис.3.24).
Як видно з рис. 3.24, тут є всенеобхідне, щоб злом віддаленої системипройшов якомога ефективніше. У списку Set Level (Встановіті рівень), можна вибрати, чи слід простопід'єднатися до телефону (пункт Connect (З'єднатися)), або ж спробувати ідентифікувати віддалену систему (пункт Identity (Ідентифікація)), або ж спробувати зламати доступ до системи(пункт Penetrate (Проникнути)). При цьому список Scan For (Сканувати), дозволяє вибрати режим пошукумодемів факсимільних апаратів, що важливо для різних застосувань (безглуздо, намагатисязламати доступ до факсимільного апарату).
Телефонні лінії,підключені через модем до комп'ютерної системи – найнадійніший шлях дляпроникнення в локальну мережу організації. Причинаполягає в масовому характерінелегального встановлення модемів для роботи з робочим комп'ютером сидячи вдома. Додати сюди наявність множини забутих і покинутих ліній, повна зневага правиламикомп'ютерної безпеки, що панує в більшості організацій, ось чому досить часто відбуваються зломимереж різних фінансових установ.
Описана в цьому питанні програма PhoneSweep – це найбільш могутній засіб длявирішення завдань проникнення у віддаленусистему. Програма PhoneSweep корисна як хакерові, так і антихакерові, оскількитестування телефонних номерів організації – це надійний спосіб перевірки наявності недоліків в системі захисту комп'ютерної системивід віддаленого проникнення [4].

Висновки
В даній кваліфікаційній роботі вивчено основні види архітектуриобчислювальних мереж, встановлено, що існують такі види архітектури:архітектура термінал – головний комп’ютер, однорангова архітектура, архітектураклієнт – сервер. Розглянуті особливості їхнього використання.
В роботі також проаналізовано методи пошуку несправностей в мережі, тавиявлено їхні основні причини. Встановлено, що до найбільш поширених несправностей можна віднести:реєстрацію робочої станції, надання DHCP сервером ІР-адреси робочій станції, швидкодіямережі, помилки у журналі подій, та надмірне широкомовлення. Також вивченіможливості їхнього вирішення.
В третьомурозділі роботи досліджені методи несанкціонованого доступу до мереж та захиствід них. Виявлено, що отримати несанкціонований доступ до комп’ютерної мережіможна за допомогою засобів віддаленого керування, перехопленням мереживихданих, за допомогою комутованого доступу, при зломі брандмауера, та іншимиметодами. Встановлено, що для захисту мережі адміністратору необхідно регулярно проглядати журнал безпеки, що допоможе виявити незрозумілі події, такі як очищення журналу безпеки, або доступ до захищених ресурсів. Для запобігання взлому, паролі доступу мають бути досить складними, щоб їх не можна було зламатисловарною атакою, або простим перебором. Розділення доступу користувачів до мережевихресурсів різного ступеня секретності також різко підвищує рівень безпекимережі.

Списокскорочень і пояснень
 
Netmon (Microsoft Network Monitor- мережевий монітор) програма дляопераційних систем сімейства Windows, призначена для перегляду пакетів даних в комп’ютерніймережі.
IP (Internet Protocol –протокол Internet). Протокол стека TCP/IP, що забезпечує адресну інформацію іінформацію про маршрутизацію. Протокол IP забезпечує обмін дейтаграмами міжвузлами мережі і є протоколом, що не встановлює з'єднання і що використовує дейтаграмидля відправки даних з однієї мережі в іншу.
TCP (Transmission ControlProtocol – протокол управління передачею). Протокол стека TCP/IP, що відповідаєза надійну передачу даних від одного вузла мережі до іншого. Він створює сеансзі встановленням з'єднання, тобто віртуальний канал між машинами.
NETBIOS (Базова мережева системавводу виводу). NETBIOS встановлює з'єднання між комп'ютерами, а NETBEUI надаєпослуги передачі даних для цього з'єднання.
NETBEUI (NETBIOS Extended UserInterface – розширений призначений для користувача інтерфейс базової мережевої системивводу виводу). Розроблений спільно IBM і Microsoft, цей протокол забезпечуєтранспортні послуги для NETBIOS.
ICMP (Internet Control MessageProtocol – протокол керуючих повідомлень Internet) використовується протоколомIP і іншими протоколами високого рівня для відправки і отримання звітів про станпереданої інформації. Цей протокол використовується для контролю швидкості передачіінформації між двома системами. Якщо маршрутизатор, що сполучає дві системи,переобтяжений трафіком, він може відправити спеціальне повідомлення ICMP –помилку для зменшення швидкості відправлення повідомлень.
UDP (User Datagram Protocol –протокол призначених для користувача дейтаграм ) призначений для відправкиневеликих об'ємів даних без установки з'єднання і використовується програмами,які не потребують підтвердження адресатом їх отримання.
WINS (Windows Internet Name Service –Служба інтернет іменWindows, інша назва — NetBIOS Name Server, NBNS) — cлужба зіставлення NetBIOS-імен комп'ютерів з IP-адресами вузлів. Сервер WINS здійснює реєстрацію імен, виконаннязапитів і звільнення імен. При використанні NetBIOS поверх TCP/IP необхідний WINS сервер длявизначення коректних IP-адрес.
TCP/IP — (Transmissіon Control Protocol / Internet Protocol – протокол керування передачею / протокол Internet )розбиває вихідне повідомлення на пакети (TCP), доставляє пакети навузол адресата(IP) і збирає (відновлення)вихідного повідомлення з пакетів (TCP).
DNS(Domain Name System – домена системаімен uk.wikipedia.org/wiki/%D0%90%D0%BD%D0%B3%D0%BB%D1%96%D0%B9%D1%81%D1%8C%D0%BA%D0%B0_%D0%BC%D0%BE%D0%B2%D0%B0 ) — розподілена системаперетворення імені хоста (комп'ютера або іншого мережевого пристрою) вIP-адресу.
DHCP (http://uk.wikipedia.org/wiki/%D0%90%D0%BD%D0%B3%D0%BB%D1%96%D0%B9%D1%81%D1%8C%D0%BA%D0%B0_%D0%BC%D0%BE%D0%B2%D0%B0 Dynamic Host Configuration Protocol — протокол динамічної конфігураціївузла) мережний протокол, щодозволяє комп'ютерам автоматично одержувати IP-адресу й інші параметри, необхідні для роботи в мережі TCP/IP. Для цьогокомп'ютер звертається до спеціального серверу, під назвою серверDHCP.Мережний адміністратор може задати діапазон адрес, що розподіляють середкомп'ютерів. Це дозволяє уникнути ручного налаштування комп'ютерів мережі й зменшуєкількість помилок. Протокол DHCP використовується в більшості великих мережTCP/IP.
BOOTP ( Bootstrap Protocol) мережевий протокол, щовикористовується для автоматичного отримання клієнтом IP-адресаи. Це зазвичай відбувається вчас завантаження комп'ютера. BOOTPдозволяє бездисковим робочим станціям отримувати IP-адресу перш, ніж буде завантажена повноцінна операційнасистема.
РОР3 (Post Office Protocol -поштовий офісний протокол) протокол, що використовуєтьсяклієнтом для доступу до повідомлень електронної пошти на сервері.
SMB(ServerMessage Block — протокол прикладного рівня в моделі OSI), зазвичай використовується для надання розділеного доступудо файлів, принтерів, послідовних портів передачі даних, та іншої взаємодії міжвузлами в комп'ютерній мережі. Також надає можливості міжпроцесної взаємодії заутентифікацією.
Host(Хост). В термінології ІР будь-якийпристрій з ІР-адресом. В загальному розумінні це або джерело, або місцепризначення повідомлення в мережі.
ARP ( Address Resolution Protocol — протокол визначення адрес) —мережевий протокол, призначений для перетворення IP-адрес (адрес мережевого рівня) в MAC-адреси (адреси канального рівня) вмережах TCP/IP.
ARP – RARP (Reverse Address ResolutionProtocol – реверсивний протокол дозволу адреси) знаходить ІР-адресу за відомоюлокальною адресою.
NETLOGON (Мережений вхід в систему)служба для перевірки дійсності користувачів і служби які входять в систему.
Мастер-броузер– відповідаєза збір інформації для створення і підтримки списку перегляду, який містить всісервери в домені мастер-броузера, або робочої групи, а також перераховує всідомени мережі.
SAM (Security Account Manager–диспетчер облікових даних системизахисту). База данихSAM містить шифровані коди паролівоблікових записів.
MIB (Management Information Base — база керуючої інформації). Базаданих MIB містить таблицю запущенихслужб, звіт про спосіб розмежування доступу, перелік сеансів і обліковихзаписів користувачів, набір загальних ресурсів сервера і іншу інформацію.

Література
 
1. Бормотов С.В.Системное администрирование на 100%. – СПб.; Питер, 2006. – 256.: ил.
2. Єд Уілсон,, Моніторинг і аналіз мереж” Москвавидавництво ,, Лори” 2002р.
3. http://www.uk.wikipedia.org.
4. AlexWebKnacKer Быстро и легко. Хакинг и антихакинг: защита и нападение. Учебноепособие.— М.: Лучшие книги, 2004 — 400 с.: ил.
5. http://www.xakep.ru.
 6. Локальная сеть своими руками.100% самоучитель: [учеб.пособие] / И.Я.Минаев. – М.: ТЕХНОЛОДЖИ – 3000, 2004 – 368 с.: ил.
7. Поляк-Брагинский А.В.Администрирование сети на примерах. — СПб.: БХВ-Петербург, 2005. — 320 с: ил.
8. Мак-Клар С., Скембрей Д., Курц Д.Секреты хакеров. Безопасность сетей -готовые решения, 2-е изд.: Пер. с англ. — М.: Издательский дом «Вильяме», 2001.- 656 с.: ил. — Парал. титл. англ.
9. Р. Браг. Система безопасности Windows 2000.: Пер. с англ. — М.:Издательский дом «Вильяме», 2001. – 592 с.: ил. — Парал. тит. англ.
10.М. Мамаев, С. Петренко «Технологиязащиты информации в Интернете. Специальный справочник» — СПб.: Питер. 2002. — 848 с.: ил.
11.Лукацкий А.В. Обнаружение атак — СПб.: «БХВ-Петербург», 2001. — 624 с.: ил.
12.Alex JeDaev Я люблю компьютерную самооборону. Учебное пособие — М.:Только для взрослых, 2002 — 432 с.: ил.