 |
ToolsHackertools?Das einzig wirklich gefährliche Hackertool sitzt zwischen den Ohren und vor dem Bildschirm.Welche Tools liegen auf meiner Platte?
| bash, perl | Werkzeuge zur Steuerung von Komponenten für denNetzwerkzugriff, mit dem Ziel, aus vorgefertigtenBauteilen schnell massgeschneiderte Angriffstoolszusammenstellen zu können. | | ldaplib | Bibliothek zum Erstellen von Programmen zum Auslesenvon fremden Passwortservern (Active Directory-Angriffe) | | wipe | Werkzeug zur Datenlöschung, spezifisch mit dem Zweck spätere Rekonstruktion der gelöschten Datenzu erschweren. | | mysqllib | Unabdingbare Bibliothek zum Auslesen fremder Datenbankserver. | | sash | "System Administrator Shell", kleines Tool, mit dem einEindringling auch dann viele Sysadmin-Funktionen aufrufen kann, wennder Eigentümer des Systems die notwendigen Administrationswerkzeugeeigentlich nicht installiert hat. | |
net_tool | enthält mit "arp" ein Werkzeug zum Fälschen der
Mac-Adressen von Systemen und damit zum Address-Spoofing.
| |
rzsz, kermit | Werkzeuge zum übertragen von binären Dateien
über Datenkanäle, die eigentlich nur zur
Übertragung von Text geeignet sind.
| |
lsof | Werkzeug zur Systemanalyse, kann verwendet werden, um
versteckte Systemmonitore zur erkennen, Auditing zu unterlaufen.
| |
bindutil | Alle notwendigen Werkzeuge, um DNS-Anfragen zu
simulieren, fremde DNS-Zonen auszuspionieren und
ggf. auch einen Nameserver mit falschen Informationen
zu füttern.
| |
tcpdump, etherreal | Netzwerksnooper, ideal geeignet, um in einem
fremden Netz Passworte aufzuschnappen.
| |
netcat | DAS Tool zum Faken von Serverdiensten, zum Redirect von
legitimen Servern auf illegale Dienste und zum Tricksen
und Tarnen schlechthin. Zusammen mit nmap und tcpdump
essentielle Bestandteile in jedem Hackerwerkzeugkasten.
| |
nmap | Portscanner zum Ausschnüffeln von offenen Serverdienste
und zum Erstellen von Netzwerkplänen in Opfernetzwerken.
| |
saint, nessus | Vulerability Scanner.
| |
wget | Werkzeug zum Raubkopieren fremder Websites und
geeignet, um DDOS-Angriffe auf fremde Websites zu treiben.
| |
cracklib | Bibliothek zum Schreiben und Betreiben von Passwortcrackern.
| |
gdb, ddd, strings | Werkzeuge zur Analyse fremder Binärprogramme.
|
tcpdump
tcpdump ist ein Sniffer, der alle Pakete im LAN mitlesen und auswerten kann. Das Programm
ist in nahezu allen UNIX- und Linux-Distributionen enthalten. Es ist ein Standard-Tool, das
auch schon viele Filterfunktionen implementiert hat.
ethereal
Ethereal ist ein Freewaresniffer mit grafischer Oberfläche, der alle Pakete im LAN
mitlesen und auswerten kann. Die abgehörten Pakete werden übersichtlich dargestellt,
definierte Filter sortieren die gewünschten Pakete. Ethereal analysiert alle Pakete
des ISO/OSI-Layers vom Ethernetframe bis zur telnet-Session.
Crack
Der Standard Passwort-Cracker für Unix. Benutzeraccounts, die nicht oder nur
unzureichend geschützt sind, bieten einen möglichen Angriffspunkt in
das System. Das Programm Crack versucht, mit verschiedenen Methoden,
Paßwörter zu raten und gibt bei Erfolg Warnmeldungen aus.
Dem Programm werden als Eingabe ein oder mehrere Paßwortdateien, sowie
Wörterbücher (z. B. /usr/dict/words) übergeben. Crack
sortiert die Wörter aus den Wörterbüchern, verschlüsselt sie
nach dem Standardverfahren (crypt) und vergleicht die so erhaltenen Wörter mit
den Einträgen aus den Paßwortdateien. Dabei wird jeder Eintrag mehrfach
überprüft; basierend auf einer Reihe von Regeln, welche auf die
Wörterbücher angewendet werden (z.B. Wortkombinationen, etc.).
Diese Regeln können vom Anwender beliebig verändert bzw. ergänzt
werden. Crack versucht nicht, in Benutzeraccounts einzubrechen! Es hält
auch keinen Benutzer davon ab, "leicht" zu ratende
Paßwörter zu benutzen!
Bezugsquelle: http://www.users.co.uk/~crypto/
Hinweise:
Das Verzeichnis Dicts steht für zusätzliche Wörterbücher
zur Verfügung.
Das Programm wird von der Kommandozeile aus gestartet. Es werden ein oder mehrere zu
überprüfende Paßwortdateien übergeben. Es ist günstig,
mit einer Kopie von /etc/passwd zu arbeiten. Da in der Regel die
Datei /etc/shadow die Paßwörter enthält, gibt
es Programme, welche die Shadow-Paßwörter in die /etc/passwd
integriert. Crack läuft im Hintergrund und schreibt seine Ausgaben in Dateien,
die in vorher festgelegten Verzeichnissen stehen.
Einige der Programm-Optionen sind:
- -f
Crack läuft nicht im Hintergrund. Diese Option ist nur bei sehr kleinen
Paßwortdateien sinnvoll.
- -m
Falls das Paßwort eines Benutzers geraten wurde, wird diesem eine Nachricht
gesendet. Der Text dieser Nachricht ist in der Datei
Scripts/nastygram individuell veränderbar.
- -v
Stellt den "verbose"-Modus ein. Es werden sehr(!) viel mehr Ausgaben erzeugt.
- -network
Läßt das Programm im Netzwerk-Modus laufen. Die zu untersuchende
Paßwortdatei wird gesplittet und Crack wird auf mehreren im Netzwerk
angeschlossenen Hosts gestartet. Dies erfordert eine Anpassung der Datei
Scripts/network.conf.
Nmap
Nmap ist ein äusserst mächtiger Portscanner unter Linux und Windows.
Er wurde entwickelt, um Systemadministratoren eine Möglichkeit zu bieten,
Netzwerke zu analysieren, festzustellen, welche Hosts aktiv sind
und welche Dienste sie anbieten. Portscanner prüfen IP-Komponenten auf geöffnete
oder geschlossene TCP/UDP-Ports. Mit Hilfe von unterschiedlichen Analysen können
Rückschlüsse auf das untersuchte Betriebsystem und die eingestellten Paketfilterregeln
gezogen werden. Die FIN-Analyse verschickt TCP-Pakete an die Zieladresse, um zu testen,
ob ein Port aktiv ist, aber nicht auf einen Verbindungsaufbau (angezeigt durch ein
SYN-Paket) reagiert. Ein Stealth-Scan führt keinen kompletten Verbindungsaufbau
durch, so dass die Kommunikation nicht in Logdateien vermerkt wird. Pingscans
überprüfen die Aktivität in Netzen und geben dem User einen Überblick über die Anzahl
der eingesetzten Hosts.
Nmap unterstützt viele Abtastverfahren:
- UDP- und TCP Connects
- TCP SYN-Scans
- FTP-Proxy (Bounce-Attacks)
- Reverse-Ident
- ICMP-Scans (Ping-Schleife)
- FIN-Scans
- ACK Schleifen (Antwortpakete)
- Weihnachtsbaum
- SYN-Schleifen
- Null-Scan
Zudem kann Nmap Remote-OS-Abfragen über
einen TCP/IP Fingerabdruck, Stealth-Scans, dynamische Verzögerung
und Übertragungsberechnungen, Parallel-Scans, Abfragen von
inaktiven Hosts über parallele Pings, Portfilter-Identifikation,
RPC-Scans, Scans auf fragmentierte Pakets sowie Ziel- und Port-Scans
durchführen. Das Resultat der Scans ist immer eine
Auflistung von interessanten Ports, die für Einbrüche
benutzt werden können. Nmap gibt dabei stets die Portzahl und
den Namen des Services an. Der Zustand des Ports wird mit "geöffnet",
"gefiltert" oder "ungefiltert" angegeben. "Offen"
heißt dabei, der Port kann beliebig angesprochen werden. "Gefiltert"
heißt, ein Firewall verhindert den Zugriff auf den angepeilten
Port. "Ungefiltert" heißt, ein Firewall ist am Ziel-Host zwar
installiert, blockiert aber den Zugriff auf den angepeilten Port nicht.
Abhängig von den verwendeten Parametern können das benutzte
Betriebssystem, die TCP-Sequenz, angemeldete Benutzer, der DNS-Namen und
einige andere Informationen ermittelt werden.
Der kostenlose Port-Scanner unterstützt beispielsweise:
- -sT TCP connect port scan (default)
- -sS TCP SYN stealth port scan
- -sU UDP port scan
- -sP Ping Scan
- -sF, -sX, -sN Stealth FIN, XMAS, Null scan
- -O use TCP/IP fingerprint to guess remote os
- -p ports to scan
- -P0 don't ping hosts
Beispiel für einen nmap-Scan:
nmap -sS -O -p 1-65535 IP -oN Ausgabe.on -oM Ausgabe.om
Bezugsquelle:
- http://www.insecure.org/nmap/
- http://www.eeye.com/html/Research/Tools/nmapNT.html (Windows Version)
Die Installation erfolgt nach Standard-Schema:
gzip -cd nmap-VERSION.tgz | tar xvf -
cd nmap-VERSION
./configure
make
su root
make install
Für Linux gibt es passende RPM-Archive.
Nmap wird über zahlreichen Kommandozeilenparameter gesteuert.
Sind angebene Kombinationen nicht sinnvoll, gibt Nmap eine entsprechende
Warnmeldung aus und informiert den Nutzer darüber. Wenn Sie
sich nicht sicher sind, können Sie sich die einzelnen Parameter
auch anzeigen lassen. Dies geschieht über die Eingabe von:
nmap -h.
Scan-Arten
- -sT
Der TCP-Connect-Scan ist der grundlegendste Scan und er wird dazu
benutzt, um einen Port zu öffnen. Ein großer Vorteil
hierbei ist, dass der Nutzer keine besonderen Privilegien für
die Ausführung benötigt, da der TCP-Connect-Scan auf den
meisten Unix-Maschinen privileglos ausgeführt werden kann.
- -sS
Der TCP-SYN-Scan ist ein halb offener Scan, weil keine vollständige
TCP-Verbindung aufgebaut wird. Es wird lediglich ein SYN-Paket (SYN=Synchronisation)
geliefert, dass eine Antwort erwartet, um dann eine Verbindung zu
öffnen. Ein SYN/ACK (ACK=Empfangsbestätigung) setzt den
Port auf "listening", also horchend. Wird ein SYN/ACK
empfangen, wird von dort sofort ein RST (zurücksetzen) der
Verbindung signalisiert. Auf die Weise erhält der Angreifer
eine Bestätigung, dass dieser Port ansprechbar ist. Der Nachteil
hierbei ist, dass viele Firewalls diesen Kunstgriff nicht bemerken
und entsprechend nicht loggen.
- -sF -sX -sN
Stealth FIN (beenden), Xmas tree (weil einige Hardware-Firewalls
dabei wie ein Weihnachtsbaum aufleuchten) oder ungültige Null-Scans
werden eingesetzt, wenn Firewalls oder Paketfilter explizit auf
SYNs achten, die auf überwachte Ports oder Programme treffen.
Die Idee dabei ist, dass ein geschlossener Port in jedem Fall mit
einem RST (zurücksetzen der Verbindung) reagiert, während
ein offener Port das Paket ignorieren muss (RFC 793 pp 64). Der
Vorteil liegt hier eindeutig bei NT-Maschinen, da Microsoft diesen
Standard völlig ignoriert.
- -sP
Die Ping-Abtastung ermöglicht es zu ermitteln, welche Hosts
in einem Netzwerk ansprechbar sind. Nmap sendet dazu einfach ein
ICMP-Echo und wartet auf eine Antwort. Erfolgt die Antwort als Block-Echo-Paket,
so kann alternativ auch ein TCP-ACK (Empfangsbestätigung) gesendet
werden. Erfolgt ein RST (zurücksetzen), ist der angepingte
Host ansprechbar.
- -sU
Der UDP Scan ist eine gute Methode, um zu ermitteln, welche UDP-Ports
an der betroffenen Maschine offen sind (User Datagram Protocol,
RFC 768). Gesendet wird dabei ein 0 Byte UDP-Paket. Erfolgt eine
ICMP-Meldung (Destination unreachable), ist der Port geschlossen.
Anderenfalls ist davon auszugehen, der Port ist geöffnet. Einige
Leute sind übrigens der Ansicht, Scans von UDP-Ports sind sinnlos,
weil sie keine Gefahr darstellen. Solaris zum Beispiel besitzt jedoch
ein bekanntes Sicherheitsloch, bei dem rcpbind über einen undokumentierten
UDP-Port oberhalb von 32770 entdeckt und genutzt werden. So macht
es nichts, wenn Port 111 vom Firewall blockiert wird, der Angreifer
kann trotzdem über den UDP-Port darauf zugreifen.
Nach einem Vorschlag in RFC 1812 (Abschnitt 4,3,2,8) wurde die Anzeigerate
der "Destination unreachable" zwar verlangsamt (z.B. im
Linux-Kernel bei 80 pro Sekunde und bei Solaris sogar nur bei 2
pro Sekunde), allerdings ist nmap dann in der Lage, die Rate zu
ermitteln und bremst den Scan dann entsprechend ab, statt das Netz
mit ungültigen Pakets zu überschwemmen, die durch die
Zielmaschine ignoriert werden. So zeigt sich allerdings an der Zielmaschine
ein scheinbar normaler Datenverkehr, der von unachtsamen Administratoren
falsch interpretiert werden könnte.
Microsoft übrigens hat, wie so oft, die Empfehlung ignoriert
und entsprechend keine Begrenzung der Rate im System von Windows
integriert. Es können also in schnellst möglicher Geschwindigkeit
sämtliche Ports gescannt werden.
- -sA
Der ACK-Scan (ACK=Emfpangsbestätigung) ist eine gute Methode
zum Test von Rulesets (Filterregeln) am eingesetzten Firewall. Auf
die Weise lässt sich ermitteln, ob ein Firewall sicher ist
oder ob es nur ein einfacher Paketfilter ist, der ankommende SYN-Pakets
blockiert. Es wird hierzu von nmap ein ACK-Paket mit einer zufälligen
Sequenzzahl abgeschickt, um zu ermitteln, ob und wie die Ports spezifiziert
sind. Erfolgt als Antwort ein RST (zurücksetzen), ist der Port
ungefiltert. Erfolgt keine Antwort oder ein ICMP "Destination
unreachable", ist der Port gefiltert.
- -sW
Der Fenster-Scan ist ein erweiterter Scan, der dem ACK-Scan sehr
ähnlich ist, aber im Gegensatz zum ACK-Scan auch offene Ports
ermitteln kann. Der Scan nutzt dazu eine Sicherheitslücke in
diversen Systemen wie AIX, Amiga, BeOS, BSDI, Cray, Tru64 Unix,
DG7ux, OpenVMS, Digital Unix, FreeBSD, OpenStep, QNX, Rhapsody,
SunOS 4.x, Ultrix, VAX und VxWorks.
- -sR
Der RPC-Scan arbeitet mit verschiedenen Portscan-Methoden von nmap.
Er ermittelt alle offenen Ports und überschwemmt sie mit SunRPC-NULL-Befehlen,
um zu ermitteln, ob es RPC-Ports sind und welches System mit welcher
Versionsnummer sich dahinter verbirgt.
- -b
Die FTP-Bounce-Attacke nutzt eine Eigenschaft des FTP-Protokolls,
dass Unterstützung auch für Proxy-FTP-Ports besitzt. Mit
anderen Worten heißt das, wenn es gelingt, von evil.com auf
den FTP-Server von target.com zuzugreifen, können von dort
aus Daten überall hin ins Netz verschickt werden. Als das RFC
1985 geschrieben wurde, dachte noch niemand an diese Möglichkeit.
Im heutigen Internet kann dieser Protokollfehler aber dazu genutzt
werden, eine bestehende FTP-Verbindung zu "hijacken" und
von dort aus Daten überall ins Internet zu versenden.
Allgemeine Optionen
- -PT
Mit einem TCP Ping können erreichbare Maschinen ermittelt werden,
auch wenn ein Firewall ICMP Pings oder Echos blockiert werden. Hierzu
verwendet diese Scan-Methode ein TCP-Paket mit ACK (Empfangsbestätigung).
Ist die Zielmaschine ansprechbar, antwortet sie mit einem RST (zurücksetzen).
In der Regel wird hierzu der Port 80 benutzt, da er nur sehr selten
von Firewalls gefiltert wird.
- -PS
Diese Option sendet SYN-Pakets, also eine Aufforderung zum Verbindungsaufbau,
statt eines Pakets mit ACK (Empfangsbestätigung). Hier antwortet
der Zielrechner mit einem RST (zurücksetzen) und es wird klar,
der Rechner ist vorhanden und ansprechbar.
- -PI
Die PI-Option sendet einfach nur Pings und hofft auf Server, die
ansprechbar sind und im eigenen Netz auch nach Broadcast-Adressen
suchen. Dies sind IP-Adressen, die von außen erreichbar sind
und Broadcasts (es wird kein festes Ziel definiert sondern an alle
im Netz befindlichen Rechner gesendet) bei ankommenden IP-Paketen
absenden. Sollte dies der Fall sein, sollte das Loch schnell beseitigt
werden, denn der PI-Scan kann eine erste Vorbereitung zu einer Denial
of Service Attacke sein. Genauer gesagt, zu einem Smurf-Angriff.
- -PB
Diese Option stellt den Default-Ping dar. Er verwendet sowohl ACK-
wie auch ICMP Pakets parallel. Auf diese Weise können Firewalls
überwunden werden, die nur eins von beiden filtern.
- -O
Diese Option aktiviert die Identifikation des Zielrechners über
einen TCP/IP-Fingerabdruck. Sie benutzt dazu eine Reihe von Techniken,
die die notwendigen Informationen aus dem Netzwerk-Stack des Zielrechners
ziehen und diese Informationen dann mit denen in einer Datenbank
mit bekannten OS-Fingerabdrücken vergleichen.
- -I
Mit der Option I lässt sich die TCP-Rückkennungs-Abtastung
aktivieren. Aufgrund eines Bugs im Kennzeichnungsprotokoll (RFC
1413) erfolgt über das Protokoll die Freigabe des Usernamens,
der jedem Prozess angefügt ist, der eine TCP-Verbindung aufgemacht
hat.
- -f
Die Option f verursacht die benötigten SYN- FIN oder NULL Pakets
zur Nutzung von fragmentierten IP-Pakets. Die Idee hierbei ist,
die TCP-Header auf mehrere kleine Pakete zu verteilen, um sie schwerer
sichtbar zu machen. Einige Firewalls haben und Intrusion-Detection-Systeme
haben in der Tat Probleme mit der Erkennung fragmentierter Pakets.
- -oN
Mit der Option -oN können die Scan-Ergebnisse in eine Datei
geschrieben werden.
- -p
Mit der Option -p lassen sich Folgen von zu scannenden Ports oder
einen Bereich von zu scannenden Ports angeben.
- -D
Die Option -D ist besonders gerissen, denn mit Hilfe dieser Option
können weitere Maschinen als Lockvögel eingesetzt werden,
die alle den gleichen Zielrechner scannen. Auch wenn an der Zielmaschine
die Abtastversuche registriert werden, kann in der Regel keine Zuordnung
erfolgen, von wo aus der Scanversuch startete.
- -S
Mit der Option -S können gesendete Pakets gespooft, also mit
einer falschen Absender IP-Adresse versehen werden. Auch wenn die
Schutzsysteme des Zielrechners Scans registrieren, können Sie
ihn nicht zum Ursprung zurückverfolgen.
- -g
Die Option -g setzt einen Quellport in die verschickten Pakets.
Viele naive Firewalls und Paketfilter bilden eine Ausnahme in ihren
Filterregeln, erlauben DNS (53) und FTP-Data ( 20) Pakets und akzeptieren
eine Verbindung. Dieser Umstand führt die Sicherheit ad absurdum,
denn Angreifer markieren den Zugriff als DNS oder FTP und verändern
darunter ihren Quellport.
- -r
Diese Option gibt nmap die Anweisung, bis zu 2048 zufällige
Maschinen für einen Scan zu benutzen, um die Sicherungssystem
der eigentlichen Zielmaschine zu verwirren. Besonders dann, wenn
diese Option mit anderen Optionen zum Verlangsamen des Timings der
Scans kombiniert wird.
- -m
Mit der Option -m (max sockets) lässt sich die Höchstzahl
der Sockets einstellen, die parallel benutzt werden. Diese Option
wird gerne dazu benutzt, um die Scans langsamer zu machen und zu
verhindern, dass die Zielrechner abstürzen.
Timing-Einstellungen
Nmap ist an sich schon ein Werkzeug, mit dem Scans weitestgehend
unentdeckt bleiben. In einigen Fällen kann mit zusätzlichen
Optionen das Timing noch feiner abgestimmt werden.
-T (Paranoid, Sneaky, Polite, Normal, Aggressive, Insane)
Mit den -T Optionen lässt sich das Timing der Scans passgenau
auf das Zielsystem einstellen.
Der Paranoid-Modus verlangsamt den Scan
sehr, um eine Entdeckung mittels Intrusion-Detection-System zu vermeiden.
Er serialisiert alle Scand und wartet allgemein 5 Minuten bis zur
Sendung des Folgepaketes.
Der Sneaky-Modus ist mit dem Paranoid-Modus
vergleichbar, nur sendet er die Pakete im Abstand von 15 Sekunden.
Der Polite-Modus erleichtert die Netzlast
und verkleinert die Gefahr des Crashs der Zielmaschine. Er serialisiert
die zu senden Paktes ebenfalls und wartet ca. 0.4 Sekunden bis zum
Folgepaket.
Der Normal-Modus scannt so schnell, wie
es möglich ist, ohne das Netz zu überlasten.
Der Aggressive-Modus setzt einen 5-Minuten-Timeout
pro Maschine, wartet aber nie länger als 1,25 Sekunden auf
eine Antwort.
Insane ist eigentlich nur für sehr
schnelle Netze verwendbar oder wo akzeptiert werden kann, wenn einzelne
Informationen dabei verloren gehen. Der Insane-Modus wartet nur
0.3 Sekunden bis zum nächsten Paket.
hunt
hunt von Pavel Krauz ist ein weiterer Sniffer, der sich anbietet, wenn Sie weniger
Wert auf pure Datenkolonnen als auf eine einfach lesbare, direkte Aufzeichnung von
Befehlseingaben und Sitzungen legen.
Bezugsquelle: http://lin.fsid.cvut.cz/~kra/index.html#HUNT
Der Autor von hunt hat neben dem Quellpaket auch dynamisch/statisch gelinkte
Binärdateien zur Verfügung gestellt. hunt erhalten Sie als tarball. Als Erstes
müssen Sie das komprimierte Archiv dekomprimieren und auspacken. Als Ergebnis dieses
Vorgangs erhalten Sie die Quellcode-Distribution und die vorkompilierten Binärdateien.
Die statische Binärdatei für Linux heißt hunt-static. Ich empfehle Ihnen, diese Datei
zu verwenden, da es beim Kompilieren des Quellcodes zu Problemen kommen kann, wenn
Ihnen die erforderlichen Bibliotheken fehlen.
hunt basiert auf Curses und ist deshalb recht benutzerfreundlich. Das Startmenü sieht
folgendermaßen aus:
--- Main Menu --- rcvpkt 0, free/alloc 63/64
l/w/r) list/watch/reset connections
u) host up tests
a) arp/simple hiiack (avoids ack storm if arp used)
s) simple hijack
d) daemons rst/arp/srliff/mac
o) options
x) exit
* >
hunt liefert in der Regel Klartextausgaben der gescannten Verbindung. Das sind
zwar weniger Informationen als bei tcpdump, reicht aber oft vollkommen aus.
Man kann sich bestimmte Verbindungen für die Überwachung aussuchen. hunt
erkennt nicht nur neu gestartete Verbindungen, sondern auch solche, die beim
Starten von hunt schon etabliert waren. Außerdem verfügt das Programm über
Spoofing-Tools und es kann Verbindungen übernehmen.
SAINT (Security Administrator's Integrated Network Tool)
SAINT wurde von World Wide Digital Security, Inc. (WWDSI) herausgebracht
und ist eine aktualisierte, stark verbesserte Version von SATAN, die viele
neuere Schwachstellen erkennen kann. Voreinstellungen werden in den
Konfigurationsdateien config/saint.cf und paths.pl abgelegt.
Bezugsquelle: http://www.wwdsi.com/saint/
Bislang war der eigentliche Scanner kostenlos, seit September 2001 gibt es allerdings
eine (neuere) Version, die nur in Verbindung mit den kommerziellen
Auswertungsprogrammen (Saintwriter, Saintexpress) erhältlich ist.
Die frei verfügbare Version von Saint ist dementsprechend nicht mehr ganz aktuell
und wird wohl zukünftig immer etwas hinter der kommerziellen Version hinterher hinken
(was für Security-Scanner extrem ungünstig ist).
Benutzer von Linux mit einer Kemel-Version ab 2.4 benötigen einen zusätzlichen
Patch, um Fehlalarme zu vermeiden (diesen Patch finden Sie unter
https://www.wwdsi.com/saint/patches.html#linux24). Bei anderen Problemen mit der
Kompilierung von SAINT sollten Sie sich an die Autoren wenden oder Mitglied der SAINT-Mailingliste werden (Eintrag unter https://www.wwdsi.com/saint/list-server.html).
Unter anderem überwacht SAINT folgende Schwachstellen:
- CGI-basierter Web-Angriffe
- Denial-of-Service-Angriffe
- POP-Serverangriffe
- SSH-Schwachstellen
- Remote-Pufferüberläufe
Bei der Installation von SAINT gehen Sie genauso vor wie bei den meisten Programmen.
Auspacken, "make linux" aufrufen, installieren. SAINT kommuniziert per Webbrowser
mit dem Anwender. Zur Konfiguration ist ein Wenig Studium der Dokumentation nötig.
WWDSI bietet auch WebSAINT an, einen benutzerfreundlicheren fähigen Scanner, der
grafische Java-basierte Netzwerkstatistiken generiert. Er ist für weniger
technisch orientierte Anwender gedacht, die keine Zeit oder Lust haben, sich mit
der SAINT-Konfiguration auseinander zu setzen. WebSAINT verwendet SSL zur
Verschlüsselung Ihrer Datenübertragung und ist zahlreichen Berichten zufolge recht
sicher.
Ein Ergebnis von Saint sieht folgendermaßen aus; im Normalfall gibt SAINT
eine HTML-Datei aus, so muß man sich die Unterpunkte als Link vorstellen.
Results - victim.provider.de
General host information:
Host type: Linux 2.4.2
Subnet 192.168.220
Scanning level: heavy
Last scan: Wed Jun 26 13:42:23 2002
Network Services:
FTP server
Finger server
POP server
R Series server
SSH server
Telnet server
WWW (non-standard port 1043) server
X Windows server
8 other services (show all services)
Vulnerable Services:
rshd is enabled
pop receives password in clear
rlogin is enabled
Neben der normalen Suche die sich hauptsächlich auf Dienste bezieht, kann man die
Möglichkeiten von Saint noch weiter ausbauen, indem man weitere Scanmöglichkeiten
einstellt.
Saint bietet zu erkannten Problemen recht ausführliche Hintergrundinfos und
Lösungsmöglichkeiten. Angenommen, SAINT hat ein rlogin-Sicherheitsloch gefunden,
dann kommt folgende Info:
Remote Login on the Internet
Impact
If configured to trust all remote hosts, the remote login service could allow
any remote user to gain shell access to a target system without ever being
prompted for a password.
Background
The rlogin service allows remote users, using an rlogin client, to log on to an
rlogin server without the need for a password. The rlogin process is similar to
telnet, in that it gives users shell access to a remote computer. But, unlike
telnet, rlogin does not prompt the user for a username (although, in most cases,
the user is prompted for a password). The rlogin process uses the .rhosts file
to list trusted hosts (those machines allowed to use the service). If the .rhosts
file is not configured properly, it is possible for a hacker to gain access to a
target machine, via the rlogin process, without being prompted for a password.
The Problem
This service, if misconfigured, allows unauthorized, untrusted users to gain shell
access to a target machine without being prompted for a password. In other words,
hackers exploiting this vulnerability can gain access to a target machine as a trusted
user and then delete system files, change configuration files and generally wreak
havoc on the target machine. Another problem with this service is that even when
passwords are prompted for, they are transmitted plaintext and in the clear (in other
words, they are sent to and from the machine unencrypted), so that any hacker using a
password sniffer program can "grab" them and then access the target system as a
trusted user.
Resolution
One fix for this vulnerability is to disable login in /etc/inetd.conf. If that is not
practical, be sure that /etc/hosts.equiv and users' .rhosts files contain only trusted
hosts, and contain no "+" characters. The risks of password sniffing may be minimized
by using an encrypted version, such as Kerberos. Or, you may use TCP wrappers to help
secure your network.
Where can I read more about this?
Search your system's man pages for information on the rlogind or in.rlogind service for
more information.
nessus - Security Scanner
Nessus gehört zur Gruppe der Securityscanner. Nessus ist Freeware und arbeitet auf der
Basis einer regelmäßig aktualisierten Datenbank, die die neuesten Schwachstellen enthält.
Ähnlich wie bei nmap gibt man die gewünschten IP-Adressen oder -bereiche an, und erhält
kurze Zeit später eine Analyse über geöffnete Ports, Softwareversionen dieser und eine
nach Dringlichkeit sortierte Liste aller Schwachstellen, welche über Links zu näheren
Informationen des Certs verbunden sind. Über Plugins sind eine Reihe von weiteren
Tests wie Denial of Service-Tests u.ä. möglich.
Bezugsquelle: http://www.nessus.org/download.html
hping2
hping2 ist ein Paketgenerator, der dem User Zugriff auf alle Eigenschaften von
TCP/UDP/ICMP/IP erlaubt. Über Optionen der Kommandozeilen ist so möglich einzelne
Flags von TCP-Paketen zu setzen, die Payloadgröße festzulegen und den Ziel- und
Quellport zu wählen. Mit diesem Tool lassen sich sogar Source-IP-Adressen fälschen.
-1 Protokoll tcp
-2 Protokoll udp
-3 Protokoll icmp
-a Source IP-Adresse
-s Source Port (-> Ethereal)
-p Destination Port
-d Datenpaketgröße
--fast Flooding der Pakete
Bezugsquelle: http://www.hping.org/download.html
ISIC - IP Stack Integrity Checker
ISIC testet die Stabilität des implementierten IP-Stacks. Es generiert je nach Angabe
zufällige TCP, UDP, IP oder ICMP- Pakete. Über Prozentangaben hat der User Einfluss auf
die jeweiligen Paketeigenschaften wie gesetzte Flags, falsche Paketprüfsumme,
fragmentierte Pakete usw.
-p Protokoll
-s Source IP Adresse,
Option rand erzeugt zufällige IP-Adressen
-d Destination IP-Adresse
Bezugsquelle: http://www.packetfactory.net/Projects/ISIC/
Warning: ISIC may break shit, melt your network, knock out your firewall, or singe
the fur off your cat.
iftop: display bandwidth usage on an interface
iftop does for network usage what top(1) does for CPU usage. It listens to
network traffic on a named interface and displays a table of current bandwidth
usage by pairs of hosts. Handy for answering the question "why is our ADSL
link so slow?".
Whisker
Whisker ist ein freier Scanner der speziell für Webserver-Tests ausgelegt
ist und zahlreiche CGI-Tests durchführt.
Bezugsquelle: http://www.wiretrip.net/rfp/p/doc.asp?id=21&iface=2
Eine Liste der Top 75 Security Tools finden Sie bei
http://www.insecure.org/tools.html.
|
| |
DIENSTE
