Internet-hacking
Start Omhoog In een andere computer binnendringen Internet-hacking Trojaanse paarden

 

Start

Als u een website wilt aanvallen, moet u inbreken in de computer waarop die webpagina's zijn opgeslagen. Een van de meest gebruikte hulpmiddelen om een website aan te vallen, is een scanner (soms ook een poortscanner of netwerkscanner genoemd). Deze vorm van scannen vertoont veel gelijkenissen met war-dialing, waarbij verschillende telefoonnummers worden gebeld om de modemlijn te vinden. Scanners overspoelen internet met gegevenspakketten om na te gaan welke computers reageren. Op basis van deze antwoorden weet een scanner welke computers kunnen worden aangevallen.

Wanneer een computer gegevens verstuurt naar een andere computer, wordt gewoonlijk een zogeheten SYN-pakket ('synchronize') met gegevens verzonden. Zodra de doelcomputer dit pakket ontvangt, stuurt deze SYN/ACK-pakket terug naar de doelcomputer om de verbinding te voltooien.  Poortscanners gebruiken deze opeenvolging van pakketten om open poorten te vinden en extra informatie te verzamelen over die poorten.

Met een scanner kunt u computers zoeken die kwetsbaar zijn voor een aanval en nagaan welke services (FTP, Telnet, finger enz.), besturingssystemen en serversoftware beschikbaar zijn  op die computers. Enkele voorbeelden van populaire scanners zijn NetScan (http://www.nwpsw.com),   SATAN (http://www.cs.ruu.nl/cert%2Duu/satan.html), AGNetTools (http://www.aggroup.com) en Nmap (http://www.insecure.org/nmap). Op de website van yippee (http://yippee.net) of Tucows (http://www.tucows.com) kunt u nog meer scanners downloaden.

Andere computers pingen

Pingen (vaal met de Engelse term 'ping sweeping' aangeduid) is het proces waarbij kleine gegevenspakketten naar een specifiek IP-adres op een andere computer worden gestuurd.            Deze computer stuurt dan als antwoord gegevens terug, wat erop wijst dat die computer is ingeschakeld en bereikbaar is. Als de scanner geen antwoord ontvangt, betekent dit dat er geen computer is met dat Diepladers of dat die computer tijdelijk off line is.

Voor een gewone ping wordt het Internet Control Message Protocol (ICMP) gebruikt. Dit protocol bepaalt hoe twee computers berichten met elkaar kunnen uitwisselen. ICMP-pings zijn onschuldig en hoeven niet noodzakelijk op een aanval te wijzen. Er zijn echter firewalls die ICMP-pings naar bepaalde poorten blokkeren om ping-flooding te voorkomen. (Ping-flooding, ook de 'Ping of Death' genoemd, is een van de oudste en meest primitieve denial of service-aanvallen om een computer te laten vastlopen. Hierbij zendt de aanvaller meer ping-opdrachten dan de ontvangende computer kan verwerken.

Als u via een ICMP-ping geen verbinding kunt maken met een computer waarvan u zeker weet dat die beschikbaar is, moet u een poortscanner zoals Nmap gebruiken. Hiermee kunt u een ACK-bericht (ping) naar de doelcomputer sturen. Op die manier kunt u firewalls soms om de tuin leiden. Met deze berichten laat u de doelcomputer geloven dat hij een bevestiging heeft ontvangen via een geldige verbinding die hij reeds tot stand heeft gebracht met een andere computer.            Denk eraan dat een reeks IP-adressen pingen erg veel tijd vergt, aangezien uw computer na het versturen van elk pakket iedere keer een antwoord moet wachten. Sommige scanners proberen dit proces te versnellen door een hele reeks te versturen zonder op een antwoord te wachten. Elk pakket dat wordt bevestigd, verwijst hierbij naar een computer die kwetsbaar is voor een aanval.

Poortscanners gebruiken

Zodra u het IP-adres van de doelcomputer kent, moet u open poorten zoeken die geschikt zijn om die computer aan te vallen. (U kunt dit IP-adres achterhalen door de computer te pingen of door een domeinnaam op te zoeken op de website van Network Solutions op http://www.networksolutions.com/cgi-bin/whois/whois).  Poorten maken verschillende services beschikbaar voor andere computers. Dit zijn achterpoortjes die hackers gebruiken om toegang te krijgen tot een systeem. Houd er rekening mee dat er veel meer poortjes zijn en dat er honderden poorten open kunnen zijn op een computer.

Service Poort
File Transfer Protocol (FTP) 21
Telnet 23
Simple Mail Transfer Protocol (SMTP) 25
Gopher 70
Finger 79
Hypertext Transfer Protocol (HTTP) 80
Post Office Protocol versie 3 (POP3) 110

Hierna vindt u enkele technieken die poortscanner vaak toepassen:

TCP-scanning: hierbij wordt verbinding gemaakt met een poort door een SYN-pakket te versturen en op een bevestigingspakket (SYN/ACK-pakket) zit te wachten. Vervolgens wordt een ander bevestigingspakket (ACK-pakket) naar die poort gestuurd om de verbinding tot stand te brengen. Deze vorm van scannen kan gemakkelijk worden ontdekt en wordt vaak geregistreerd door de doelcomputer om de gebruiker op een mogelijke aanval attent te maken.
TCP SYN-scanning: bij deze techniek wordt verbinding gemaakt met een open poort door een SYN-pakket te versturen en op een bevestigingspakket (SYN/ACK-pakket) te wachten, wat erop wijst dat die poort naar pakketten luistert. Deze techniek wordt halfscanning genoemd. De kans dat deze vorm van scannen wordt ontdekt en geregistreerd door de doelcomputer is veel kleiner dan TCP-scanning.
TCP FIN-scanning: deze techniek maakt verbinding met een poort door een FIN-pakket te versturen (een bericht met de mededeling dat de broncomputer geen gegevens meer zal verzenden). Een gesloten poort reageert op dit pakket met een Reset-bericht (RST), terwijl een open poort het FIN-pakket gewoon negeert en zo aangeeft dat deze beschikbaar is.
Fragmentatiescanning: bij deze techniek wordt de oorspronkelijke SYN-pakket in kleinere gegevenspakketten ingedeeld om te voorkomen dat de aanval wordt ontdekt door een pakketfilter of firewall. Deze techniek wordt vaak in combinatie met andere scantechnieken zoals TCP-scanning, TCP SYN-scanning of TCP FIN-scanning gebruikt.
FTP bounce-aanval: bij deze techniek wordt een bestand opgevraagd van een FTP-server. Aangezien dit verzoek het IP-adres en poortnummer van een doelcomputer bevat, is de bron van de aanval hierbij niet bekend. Op die manier kunt u alle firewalls of andere beveiligingsmaatregelen omzeilen die voorkomen dat onbevoegden (met uitzondering van computers in hetzelfde netwerk) toegang krijgen tot de doelcomputer. Een succesvolle bestandsoverdracht wijst hierbij op een open poort.
UDP-scanning (User Datagram Protocol): deze techniek maakt gebruik van UDP in plaats van TCP. Gesloten poorten sturen de foutmelding ICMP_PORT_UNREACH terug. Poorten die deze foutmelding niet terugsturen, zijn open.

Controleren welk besturingssysteem is geïnstalleerd op de doelcomputer

Een IP-adres en een open poort vinden, volstaat om in een computer binnen te dringen, maar een open poort is op zich niet voldoende. U moet ook proberen te achterhalen welk besturingssysteem op die computer is geïnstalleerd, zodat u weet welke opdrachten u moet gebruiken en hoe u voordeel kunt halen uit bekende beveiligingslekken in de software. Op die manier hoeft u wellicht niet naar het wachtwoord van de computer te raden. Op de meeste webservers is een of andere UNIX-variant geïnstalleerd (bijvoorbeeld Linux, Digital UNIX of Solaris), maar op veel webservers wordt ook gewoon een versie van Microsoft Windows uitgevoerd. Op de aantal webservers is mogelijk zelfs OS/2 of MacOS geïnstalleerd.

Het type besturingssysteem achterhalen

Als u wilt nagaan welk besturingssysteem op een webserver is geïnstalleerd moet u naar verschillende poorten gegevens versturen. Aangezien elk besturingssysteem op een andere manier reageert op de gegevens die het op een bepaalde poort ontvangt, kunt u via dit type aanval achterhalen welk besturingssysteem wordt gebruikt. Door na te gaan hoe besturingssystemen reageren op verschillende soorten tests, kunnen hackers het type besturingssysteem achterhalen dat op een computer is geïnstalleerd. Hierbij voeren hackers vaak een van deze tests uit:

FIN-test: bij deze test wordt een FIN-pakket naar een poort gestuurd en op een antwoord gewacht. Windows beantwoord FIN-paketten met een reset-bericht (RST).
FIN/SYN-test: hierbij wordt een FIN/SYN-pakket naar een poort gestuurd en op een antwoord gewacht. Linux-systemen beantwoorden dit pakket met een FIN/SYN/ACK-pakket.
TCP initial window checking: bij deze test worden de vensterafmetingen gecontroleerd van de pakketten die door de doelcomputer worden teruggestuurd. Bij AIX is de grootte van dit venster 0x3f25, bij OpenBSD en FreeBSD is dat 0x402E.
ICMP message quoting: deze test verstuurt gegevens naar een gesloten poort en wacht op een foutmelding. Alle computers zenden normaal gesproken de oorspronkelijke IP-header van de gegevens terug, waarvan acht bytes werden toegevoegd. Computers met Solaris en Linux sturen echter meer dan acht bytes terug.

Met een programma zoals QueSO of Nmap kunnen hackers een externe computer scannen en het type besturingssysteem (en eventueel zelfs het versienummer ervan) achterhalen.

Deze tests zijn soms moeilijk te onderscheppen, aangezien dit type aanvallen van hackers moeilijk te onderscheiden is van geldige verbindingen met andere computers. Deze tests worden meestal niet opgemerkt door firewalls of systeembeheerders, aangezien die onschuldig lijken.

Een wachtwoord