Network Monitor как средство противодействия AUTH Attack.
Одним из примеров практического применения Network Monitor может служить анализ входящего и исходящего трафика, если возникло подозрение, что сервер подвергается атаке извне. Возможно, многим приходилось сталкиваться с таким типом атаки, когда спамеры бомбардируют сервер Exchange командами SMTP AUTH до тех пор, пока не удается успешно зарегистрироваться на сервере. По умолчанию Microsoft Exchange Server 2003 и Microsoft Exchange 2000 Server позволяют почтовому серверу ретранслировать сообщения, если отправитель смог выполнить аутентификацию, указав правильное имя и пароль. Получить правильное имя и пароль спамер может при помощи атаки на почтовый сервер перебором имен и паролей или используя некоторые специфические типы атак на сеть. Вы можете включить журнал Exchange Diagnostics Logging и установить максимальное значение для параметра MSExchangeTransport Categories, который показывает User ID, используемый для аутентификации на сервере. Однако оснастка Microsoft Management Console (MMC) Event Viewer обычно не отображает IP-адрес спамера. Этот адрес можно получить, отследив трассу пакета.
· Установите Network Monitor на сервер Exchange и начните собирать пакеты. Конечно, для получения искомого IP-адреса нужно дождаться, пока спамер не выполнит аутентификацию на сервере. Может потребоваться увеличить размер буфера, чтобы не потерять пакеты. После аутентификации спамера на сервере перехват пакетов следует остановить.
· Установите фильтр TCPDestination Port 25 (см. Рисунок 8). Для этого выберите Display, Filter и строчку Protocol==Any в окне Display Filter. Щелкните кнопку Edit Expression, затем перейдите на вкладку Property. Дважды щелкните +TCP, затем выберите Destination Port. Щелкните == в окне Relation, выберите Decimal (ниже окна Value), введите значение 25 (SMTP) и щелкните ОК
· Найдите команду Auth Login. Проверяйте данные в каждом SMTP-пакете, пока не отыщите пакет, который содержит Auth Login. В верхней части окна в колонке Src Other Addr покажет IP-адрес спамера. Хотя IP-адрес может быть ложным, вы по крайней мере сможете заблокировать трафик через 25-й порт от этого адреса для предотвращения подобной ситуации в будущем. Еще лучше отключить Basic and Integrated Windows Authentication на любом внешнем сервере Exchange, чтобы не позволить пользователям выполнять аутентификацию на почтовом сервере при отправке почты.
·
Найдите имя пользователя: следующая командная строка в поле данных TCP должна содержать имя и пароль, которые вводились для аутентификации. Однако эти данные зашифрованы кодером Base64, так что нужно воспользоваться декодером Base64 для расшифровки. В Internet есть множество кодер/декодеров Base64. Следует попрактиковаться на декодере Dillfrog и расшифровать с его помощью имя c3BhbW1lcg== и пароль cmVsYXk=. Декодированные ответы приведены в конце статьи. Конечно, как уже отмечалось ранее, можно повысить и уровень собираемой сервером Exchange диагностики для просмотра User ID, который использовался для аутентификации на сервере.
Заключение.
Network Monitor — удобный инструмент для локализации неисправностей в сети, но для достижения наилучших результатов он требует некоторого опыта. Изучить основы работы с Network Monitor желательно до того, как в сети возникнут неполадки. Определите базовые характеристики вашей сети и не дожидайтесь того момента, когда будете вынуждены обучаться работе с Network Monitor в «боевых» условиях. Network Monitor и другие сетевые анализаторы независимых поставщиков программного обеспечения требуют экспертного отношения для быстрой локализации и разрешения проблем.
|
| Рисунок 8. Установка фильтра просмотра трафика SMTP.
|
Литература.
1.
Microsoft Windows Server 2008. Полное руководство / Моримото Автор: Р., Ноэл и др. / Издательство: «Вильямс» / Год выпуска: 2011 / Кол-во страниц:1457.
2. Мониторинг и анализ сетей. Методы выявления неисправностей / Автор: Эд Уилсон / Издательство: «Лори» / Год выпуска: 2002 / Кол-во страниц: 364.
3. Zabbix 1.8 Network Monitoring / Автор: Rihards Olups / Издательство: «Packt Publishing» / Год выпуска: 2010 / Кол-во страниц: 428
4. Microsoft Download Center (Электронный ресурс) – Режим доступа: http://www.microsoft.com/en-us/download/details.aspx?id=4865 (проверено 15.02.2015)
5. Information about Network Monitor 3 - Microsoft Support (Электронный ресурс) – Режим доступа: https://support.microsoft.com/en-us/kb/933741(проверено 18.02.2015)
6. Мониторинг сети с помощью сетевого монитора Network Monitor (Электронный ресурс) – Режим доступа: http://blogs.technet.com/b/ru_forum_support/archive/2010/12/20/network-monitor-3-4-1.aspx(проверено 19.02.2015)
7. Работа с Network Monitor - OSzone.net (Электронный ресурс) – Режим доступа: http://www.oszone.net/5688/Network_Monitor(проверено 19.02.2015)
©2015 arhivinfo.ru Все права принадлежат авторам размещенных материалов.
