Сбор информации
На этапе сбора информации злоумышленник определяет пул IP-адресов АС организации, доступных из сети общего пользования. Строго говоря, этапы сбора информации, сканирования, идентификации доступных ресурсов и, в какой-то мере, получения доступа могут предприниматься не злоумышленниками, а обычными пользователями (хотя, конечно, трудно назвать “обычным” пользователя, который сканирует все открытые порты АС, чтобы всего-навсего отправить сообщение электронной почты). Только совокупность этих операций с соблюдением некоторых условий (например, массированное неоднократное сканирование всего пула IP-адресов организации с попытками установления соединений на все открытые порты) может говорить о предпринимающихся попытках несанкционированного получения информации.
Каждая же из указанных операций сама по себе не является чем-то из ряда вон выходящим. Именно поэтому в комплект поставки многих современных сетевых ОС входят инструментальные средства, призванные обеспечить выполнение соответствующих задач, в частности, сбора информации.
К таким средствам относятся стандартные утилиты Unix whois, traceroute (в Windows — tracert), nslookup, host, и их аналоги, портированные в другие ОС, а также другие подобные средства, обладающие более дружественным интерфейсом (Web-ориентированные варианты whois, VisualRoute, Sam Spade и т.п.).
С помощью таких вполне безобидных средств можно выяснить:
- тип сетевого подключения организации (единичный компьютер, сеть класса C, сеть класса B);
- имена и адреса серверов доменных имен (DNS — Domain Name System), обеспечивающих трансляцию символьных имен в IP-адреса по запросам АС организации;
- сеть, в которой установлены подключенные к Internet АС организации (сеть провайдера, прямое подключение и т.п.);
- схему подключения маршрутизаторов и брандмауэров;
- реальные имена, телефоны и адреса электронной почты администратора подключения;
- схему распределения IP-адресов внутри сети организации и имена отдельных узлов (с помощью так называемого переноса зоны с помощью утилиты nslookup).
Если сеть организации достаточно обширна и в ней имеется множество компьютеров, подключенных к Internet, тщательно проведенный сбор информации может дать много других интересных для злоумышленника сведений. Чем тщательнее проведен предварительный сбор информации, тем выше вероятность успешного проникновения в АС интересующей злоумышленника организации.