document14

Агуулга

l. Диплотийн ажлын зорилго .................... ............................5

ll. Судалгааны хэсэг

1.1 Үндсэн асуудал

1.1.1 Юунаас хамгаалах вэ? .................................................... 7

1.1.2 Хакер ба Кракер гэж хэн бэ? ........................................ 7

1.1.3 Системийн Администратор гэж хэн бэ? ......................... 8

1.1.4 Бусад хэрэглэгдэх нэр томъѐо ........................................ 8

1.2 Орчноо ойлгохуй

1.2.1 Интернетийн үүсэл .......................................................... 10

1.2.2 Нууцлагийн тухай ............................................................ 11

1.2.3 TCP/IP протокол ...............................................................14

1.2.4 Нэвтрэх , довтлохын ийн онолын үндэслэл ...................26

1.3 Интернетийн дайн дахь зэвсэглэл

1.3.1 Энгийн хэрэгслүүд............................................................ 39

1.3.2 Сканер гэж юу вэ? ........................................................... 40

1.3.3 Паспорт тайлагчдийн тухай ............................................ 48

1.3.4 Трояны тухай ................................................................... 50

1.3.5 Шинжлэгчдийн тухай ........................................................52

1.3.6 Firewall сайн хамгаалалт биш! ....................................... 54

1.4 Платформууд ба тэдгээрийн нууцлаг байдал

1.4.1 Нүх гэж юу вэ? ................................................................. 56

1.4.2 Майкрософтийн бүтээгдэхүүний шинжилгээ .................. 60

1.4.3 Unix үйлдлийн систем ...................................................... 63

www.zaluu.comwww.zaluu.com

1.5 Дотоод болон Гадаад халдлага.

1.5.1 Root гэж хэн эсвэл юу вэ? .............................................. 65

1.5.2 Дотоод хэрэглэгчдийн аюултай тал ................................69

1.5.3 Гадаад довтолгоог хэрэгжүүлэх нь ................................ 70

1.5.4 „IP хуурах“ хэмээх нууцлаг аргачлал ............................. 77

1.5.5 Телнет үндэслэсэн довтолгоо..........................................75

lll. Системийн зохиомжийн хэсэг

2.1 Системийн шинжилгээ

2.1.2 Обьект холбоосын диаграмм .........................................83

2.1.3 Өгөгдлийн урсгалын диаграмм ......................................84

2.1.4 Өгөгдлийн толь ...............................................................88

2.2 Зохиомжийн хэсэг

2.2.1 Бүтцийн схем ...................................................................90

2.2.2 Бүтэцлэгдсэн англи хэл...................................................91

2.2.3 Модулиудын загвар .........................................................93

2.3 Дүгнэлт .............................................................................. 95

2.4 Хавсралт ..............................................................................96


ОООррршшшиииллл

Төвлөрсөн удирдлагаггүй сүлжээ нь 1969 онд бодит байдлаа олсон бөгөөд энэ

шинэ системийг Арпанет гэж нэрлэсэн юм. Энэ нь одоогийн Интернеттэй адилтгах

зүйлгүй маш энгийн зохион байгуулалттай хамгаалалтгүй систем байлаа. Интернет

бол түүний алдааг засварлан өөрчилсөн , нэмэлт маш олон төрлийн үйлчилгээтэй

нэгдсэн удирдлагаггүй сүлжээ гэж болно. Интеретэд холбогдсон хэн бүхэнд үйл

ажиллагааны маш өргөн хүрээ нээгддэг бөгөөд энэ байдлыг бусдын бие даасан байдлын

эсрэг ашиглах боломж тодорхой хэмжээгээр байдаг юм. Хэдийгээр Интернетийг

ашиглаж байгаа үед мэдээлэл олж авах асар өргөн боломж нээгддэг боловч тэр чиний

найз биш. Ялангуяа ямар нэг юм нуух гэсэн үед. Үүнтэй холбогдуулан дурдахад

сүүлийн үед Hack , Crack гэх мэт нэр томъѐонууд улам танил болон гарч ирж байгаа

бөгөөд түүнтэй холбогдсон бүх зүйл бүрхэг тодорхойгүй байгаагаараа олны анхаарлыг

тун ихээр татаж байгаа юм. Хакер нэвтэрсэн гэх сервер, хакерүүдээс болж

ажиллагаагүй болсон толгой машинуудын тухай мэдээллүүд хэвлэлд үргэлж харагдах

болжээ. Баримтаас үзэхэд АНУ-ын хамгаалалтын алба сүүлийн жилд 250000 удаа (1997

оны байдлаар) ийм халдлагад өртсөн байгаа бөгөөд үүнээс ердөө 500 г нь илрүүлсэн

байна. Энэ бол хангалттай хамгаалалттай хуудсууд дээр болсон халдлага юм.

Шалгалтын журмаар DISA аас халдлага хийж үзэхэд бүх оролдлогын 65% нь

амжилттай болсон байна. АНУ-ын засгийн газар энэ бүх мэдээллийг нууцлахыг

оролддог боловч зарим онцгой тохиолдлууд нь олны сонорт хүрсээр байна . Тухайлбал

1994 онд Ром болон Нью-Иорк хот дахь зэвсгийн судалгааны лабараторид кракерүүд

нэвтэрсэн нь илэрсэн. Тэд хоѐр өдрийн дотор үндэсний чухал нууц мэдээллүүд тэр

дундаа дайны хугацааны мэдээллийн протокол зэргийг хуулж авсан байна. Хэрэв

кракерүүд энгийн хэрэгсэл ашиглаад ийм мэдээлэлд хүрч чадаж байгаа бол өөр юунд ч

хүрч болно. Гэвч эсрэг тэсрэгийн үйлчлэлийн дүнд хөгжил дэвшил явагддаг нь

тодорхой билээ. Кракерүүдийн довтолгоо өсөхийн хэрээр түүний эсрэг хамгаалалтын

асуудал өндөр төвшинд тавигдаж эхэлсэн бөгөөд улмаар сүлжээний протоколуудын

нууцлалт, үйлдлийн системийн найдвартай байдал сайжирч эхэлсэн ба үүний тод

жишээ нь сая гарч ирсэн Windows 2000 программ болж байна. Энэ систем нь Windows

NT- н аюулгүйн технологи дээр үндэслэгдсэн байгаа нь Майкрософтоос асуудлыг


шийдвэрлэх оролдлого хийсэн анхны тохиолдол болж байна. Гэвч АНУ-ын

хамгаалалтын албаас жил болгон гаргадаг EPL (Evoluated Prodact List буюу Үнэлэгдсэн

бүтээгдэхүүний Жагсаалт) –д Windows NT 3.51 нь “С2” үнэлгээ авсан байгаа нь тун

хангалтгүй үзүүлэлт юм. Хэдийгээр тийм боловч энэ нь кракерүүд үнэхээр хүчтэй ер

бусын хүмүүс гэсэн гэсэн үг ч биш юм. Асуудал нь үйлдлийн системдээ ч биш,

кракеруудад ч биш харин ихэнх тохиолдолд хэрэглэгчдийн нууцлагийн (нэр томъѐоны

хэсгээс харж болно) ядмаг мэдлэгээс болж байдаг. Хэрхэн энэ байдлаас гарах вэ? гэсэн

асуултад хариулах нь энэ дипломийн ажлын зорилго юм.

l. Дипломийн ажлын зорилго

Нэвтрэлт хийх ба тайлалт нь олны сонирхлыг хүчтэй татсан сэдэв болж байна.

Компьютерийн болон сүлжээний талаарх хангалтгүй мэдлэгийн улмаас ихэнх хүмүүс

нэвтрэлт болон тайлалт нь онцгой авьяас шаардсан цөөн тооны мэргэжилтнүүд л хийж

чадах нууц үйл ажиллагаа гэсэн буруу ойлголттой болсон байна. Яг үнэндээ бол

нэвтрэх болон тайлалт нь хууль ѐсны үйл ажиллагаа бөгөөд түүнийг системийн

администраторууд өөрийн сүлжээний найдвартай байдлыг шалгахад ашигладаг байна.

Мөн кракерүүдийн хэрэглэдэг программ хангамжууд ч бас энэ л зорилгоор анх

бүтээгдсэн юм. Энэ төслийг гүйцэтгэх судалгааны явцад сайн хамгаалалт гэдэг бол

дараах хоѐр зүйлийг эзэмшсэн тохиолдолд бий болдог гэсэн дүгнэлтэд хүрсэн юм.

Үүнд:

1. Сайн “ нууцлаг “ мэдлэг.

2. Халдлагын болон хамгаалалтын үед хэрэглэгдэх программууд.

Нэгдүгээр хэсэг нь интернетийн хамгаалалтад 80%-г эзэлдэг. Төсөл үндсэндээ хоѐр

хэсгээс бүрдэх бөгөөд эхний хэсэг буюу системийн шинжилгээний хэсэг нь үндсэн

мэдлэгийг олгох болно. Хэрэв чи системийн администратор бол хоѐрдугаар хэсгийг


эзэмших нь зайлшгүй хэрэгтэй. Төслийн системийн зохиомж хэсэгт хамгаалалтын

хамгийн үндсэн программын (шинжлэгч буюу шинжлэгч ) зохиомжийг гүйцэтгэсэн

байгаа. Энэ программд дараах чадваруудыг тусгасан байх ѐстой. Үүнд:

Дотоод сүлжээгээр тархаж буй пакетуудыг барьж авах.

Пакетуудыг шинжлэн бүртгэл явуулах.

Өгөгдлийн бааз дээрээс сэжигтэй пакетуудыг харуулах, хайх,

эрэмбэлэх , хэвлэх функцууд.

Төслийн үндсэн зорилго бол Кракеруудын хэрхэн үйл ажиллагаа явуулдагийг судалсны

үндсэн дээр хамгаалалтын аргачлалыг боловсруулах явдал юм.

Судалгааны хэсэг


1.1 Үндсэн асуудал

1.1.1 Юунаас хамгаалах вэ?

Тойруулалгүй хэлбэл интернетээр дамжуулан хийгдэх хууль бус, хандах эрхгүй

хүмүүсийн халдлагаас хамгаалах юм. Үүнийг тодруулахын тулд дараах жишээг авч

үзье. Чухал нууц өгөгдлийн сан бүхий байгууллага тухайлбал сүлжээгээр үйл

ажиллагаагаа явуулдаг банкны хувьд хамгаалалт зайлшгүй шаардлагатай. Банкны

байшингаа маш орчин үеийн дохиоллын систем, харуул манаа хүн хүчээр хамгаалсан

мөртлөө сүлжээний хандалтыг зохих хэмжээнд хянаж чаддаггүй нь дээрх асуудлыг

үүсгэдэг. Үүний үр дүнд шаардагдах мэдлэг зохих програмаар зэвсэглэсэн бяцхан жаал

хэдхэн минутын дотор уг банкны бүртгэлийн системд нэвтэрч өөрийн нэр дээр бичлэг

үүсгэн хүрэлцээтэй мөнгөө бичээд орхидог. Гэвч энэ бол байдлыг ойлгуулах гэсэн

энгийн л жишээ л дээ. Үнэндээ инэнх ийм газрууд сайн хамгаалалттай байдаг боловч

хангалттай хамгаалалт маш ховор байна.

1.1.2 Хакер болон кракер гэж хэн бэ?

Тэд хоорондоо ялгаатай.


Хакер (Haker) бол компьютерийн систем дэх хүний үйл ажиллагаа мөн системийн

найдвартай байдлыг шалгадаг, нууцлагийг сонирхон судалдаг хүмүүс юм. Ихэнх

тохиолдолд хакерүүд нь програмистууд байдаг. Тэд системд орших нүхнүүд

тэдгээрийн учир шалтгааныг мэддэг байж болно. Тэд мэдлэгээ үргэлж нэмэгдүүлж

байхыг эрмэлзэж байдаг бөгөөд юу нээснээ бусадтай чөлөөтэй (үнэгүй) хуваалцаж

мөн хэзээ ч өгөгдөлд хохирол аюул учруулдаггүй хүмүүс юм. Хакерүүд нь

системийг шалгах (голдуу доод төвшинд), программ хангамжид нүх, логик адармаа

алдааг хайж олох, системийн нэгтгэлийг шалгасан программ бичиж байдаг. Тэгэхээр

хакерүүд нь гадаад машины нууцлагийн тогтцыг автоматаар шалгадаг программыг

хийдэг бөгөөд энэ нь одоо байгааг сайжруулах хүсэл эрмэлзлээс болдог.

Кракер (Cracker) нь бусдын машинд нэвтрэх устгах эсвэл гадаад машинуудын

нэгдлийг хорт муу санааны үүднээс зөрчилдүүлж буй хүмүүс юм. Тэд зориулалтын

бус нэвтрэлтийн аргыг эзэмшсэн , чухал өгөгдөл устгадаг, хууль ѐсны хэрэглэгчийн

хэсэгт хандаж байдаг. Хакеруудын эсрэгээр кракерүүд нь өөрийн гэх программыг

ховорхон бичдэг. Харин үүний оронд бусдаас программ , утилитуудийг гуйх зээлэх

,эсвэл хулгайлах замаар олж авдаг. Яг жинхэнэ кракер нь юу ч үүсгэдэггүй харин их

устгаж байдаг. Кракерийн нийтлэг төрх :

C,C++ эсвэл ПЕРЛ дээр бичих чадвартай.

TCP/IP- н сайн мэдлэг. Ядаж интернет яаж ажилладгийг

ойлгосон байх шаардлагатай.

Интернетэд сард 50-с доошгүй цаг ажилладаг.

Ядаж хоѐр үйлдлийн системийг сайн мэддэг байх ѐстой. Үүний

нэг нь мэдээж UNIX эсвэл VMS байх ѐстой.

Компьютертой холбоотой мэргэжилтэй байдаг.

Хуучин программ хангамж болон техник хангамжийн

цуглуулгатай байх. Зарим хуучны программууд орчин үеийн

хийж чаддагүйг хийх нь байдаг. Тухайлбал hdscrub.com нь

нэлээд сайн дискний утилит юм.

Системийн админстратор нь өөрийн хариуцах сүлжээний бүрэн бүтэн байдал,

хэрэглэгчдийн зохицуулалтын асуудал, сүлжээн дэх нөөцийн хуваарилалтыг

хариуцсан хүн юм. Мэдлэг , эрх мэдэл, ажиллах байгууллагаасаа хамаараад янз


бүрийн хүн байдаг. Том байгууллагын том сүлжээг хариуцсан СА-ууд нь ихэвчлэн

хакерууд байдаг.

1.1.4 Хэрэглэгдэх нэр томъѐонуудын тайлбар

Account -- Системд нэвтрэх эрхтэй хэрэглэгч бүрд системээс олгодог команд

биелүүлэх орчин юм. Шинээр хэрэглэгч үүсгэх үед түүний ассount –г СА үүсгэдэг.

Acknowledge – Хоѐр машин хоорондоо сүлжээгээр пакет солилцох үед нэгнийхээ

явуулсан пакетийг хүлээн авснаа илтгэсэн пакет нөгөөдөх машин нь явуулдаг

бөгөөд үүнийг acknowledge гэж нэрлэдэг.

Authentication – Хэрэглэгчийн системд хандах эрхтэй эсэхийг шалгах процесс.

CA – Системийн Администратор.

Daemon – Хүлээгч . Daemon-ууд бол өөр процессуудыг тасралтгүй хүлээж байдаг

программууд юм. ( энэ тохиолдолд холбогдох хүсэлтийг харж байдаг). Daemon-ууд

нь Майкрософт платформ дээрх резидент программуудтай төстэй байна.

Datagram – TCP/IP протоколын пакет.

Encrypt -- Өгөгдлийг кодлон шууд уншигдахгүй болгох технологи.

Gateway – сүлжээнд орж ирэх сүлжээнээс гарах бүх пакетууд үүгээр гарч бусад

сүлжээнүүд рүү дамждаг.

IP -- Сүлжээнд байгаа машин бүр өөрийгөө төлөөлсөн IP хаягтай байдаг

бөгөөд үүнийгээ ашиглан хоорондоо мэдээлэл солилцдог.

Login -- Хэрэглэгч системд ажиллахын тулд эхлээд хэрэглэгчийн нэр, нууц үгээ

шалгуулдаг бөгөөд энэ процессийг login гэнэ.

Host -- Сүлжээнд холбогдсон компьютер.

Perl – Practical Extraction and Report Language . Сүлжээний орчинд ажиллах жижиг

туслах программуудыг бичих үүрэгтэй интерпретатор юм.

Root -- Системд хамгийн өндөр эрхтэй хэрэглэгч. Бусад хэрэглэгчээ хянаж ,

өөрчлөх эрхтэй.

Remote host -- Гадаад машин. Чиний компьютерийн холбогдсон сүлжээнд байгаа

бүх машинуудыг Дотоод машин гэдэг бол энэ сүлжээнээс бусад сүлжээнд байгаа

машинууд чиний хувьд гадаад машин болно.

RFC – Интернэтэд тавигдсан тусламжийн баримтууд.


Script -- Бүлэг үйлдлийг гүйцэтгэх үүрэгтэй СА эсвэл бусад хүмүүсээр бичигдсэн

ажиллах код юм. Түүнийг ажиллуулахын тулд түүний өөрийнх нь хөрвүүлэгч байх

шаардлагатай.

Security – Нууцлаг буюу нууц далд бүтэц, хувийн онцлог, аюулгүй байдал.

Router -- Пакетуудыг зэргэлдээх сүлжээнүүдэд дамжуулах үүрэгтэй төхөөрөмж

эсвэл компьютер.

Target машин – Бай машин. Хэрэв чи интернэт дэх нэг машиныг довтлохоор

шийдсэн бол энэ нь чиний бай машин болох юм.

Trust -- Нэг сүлжээнд байгаа машинууд хоорондоо итгэлцлийн холбоо үүсгэсэн

байдаг бөгөөд энэ холбоог trust гэж нэрлэнэ. Хэрэв кракерийн машин энэ холбоонд

нэгдэж чадвал уг сүлжээг эзлэн авч чадна.

Пакет -- Хоѐр машин хоорондоо сүлжээгээр мэдээлэл солилцохдоо мэдээллээ

пакетад байрлуулаад дараа нь бие бие рүүгээ илгээдэг. Пакет нь очих машины IP

хаяг, илгээсэн машины хаяг зэрэг шаардлагатай мэдээллүүдийг агуулсан

мэдээллийн цогц юм.

1.2 Орчноо ойлгохуй

1.2.1 Интернетийн үүсэл

Интернетэд өгөгдөл нь дамжихдаа уг эгшинд боломжтой байгаа ямар нэг сувгаар

дамжина. (зөвхөн энэ сувгаар гэсэн хязгаарлалтгүй) Үүний гол утга нь өгөгдөл нь

аяллынхаа алхам бүрт өөрийн явах замыг динамикаар тодорхойлж байдаг гэсэн үг.

Хэрэв аль нэгэн замд асуудалтай байвал өөр замыг хайж олдог. Baran-ы (Интернетийг

зохиогч) санаа интернетийн бүх зүйлд тусгалаа олсон байна. Жишээ нь сүлжээний нэг

зангилаа (node) нь дохио хүлээн авахдаа хэрэв түүнийг хадгалах зай байвал л авдаг.

Үүнтэй ижлээр хэрэв өгөгдлийн дохио нь бүх зангилаанууд яг одоо идэвхгүй байгааг

тогтоовол уг өгөгдөл зам онгойтол байгаа зангилаа дээрээ хүлээдэг. Энэ талаараа

сүлжээ нь “intelligent-ухамсартай” өгөгдлийн дамжуулалтыг гаргадаг юм. Baran мөн

интернетийн доорх төрхүүдийг тодорхойлжээ.

Нууцлаг.

Scheme-үүдийн эрх, мөн сүлжээг халилтын байдалд орохоос

сэргийлэгч төхөөрөмжүүд.

Техник хангамж.

Үнэ өртөг.


Энэ бүх төслийг 1962 оноос хийж гаргасан боловч засгийн газар түүнийг түр хойш нь

тавьсан байна. Гэвч удалгүй 1965 онд Төвлөрсөн удирдлагаггүй сүлжээний асуудал

дахин гарч ирж санхүүжүүлэгдээд 1969 онд бодит байдлаа олжээ. Энэ бол АРПАНЕТ

байгаа юм. АРПАНЕТ нь энгийн байсан бөгөөд одоогийн интернеттэй огт адилгүй

байлаа. Анх түүнд 4 компьютер л байсан бөгөөд 1978 оны үед 40 машин байв. Энэ үед

Tomlinson цахилгаан шууданг зохиосон юм. цахилгаан шуудан нь сүлжээний олон

зангилааны хооронд энгийн ашигтай холбоог хангаж байлаа. 1974 онд тэр мөн хоѐр

хүний хамт TCP-ийг зохиожээ. Энэ нь өгөгдлийг бит битээр нь дамжуулан дараа нь

өөр цэгээс түүнийг нэгтгэх санаатай байсан юм. 1975 онд гэхэд АРПАНЕТ бүрэн

функциональ сүлжээ болоод байв.

1980 онд бидний мэдэх интернет төржээ. Анхандаа түүнд судлаачид, засгийн

газрын нэлээд хэдэн зуун компьютер байлаа. 1986 онд анхны нийтийн хандалтат сервер

сүлжээнд тавигдсан. 1988 онд 50.000 илүү комьпютерүүд холбогдсон байлаа. 1990 онд

300.000 . Одоо 10 сая-с илүү машин холбогдсон байна (97 оны байдлаар). Үүнд 40 сая

хүнд үйлчилж байна. Энэ маягаар үргэлжилбэл 2001 онд дэлхий даяар бүгд холбогдоно

гэж судлаачид үздэг.

1.2.2 Нууцлагийн тухай

Нууцлаг бол аюулгүй байдал юм. Хэн нэг хүн ямар нэг системийн нууцлаг онолыг

сайн мэддэг бол тэр нэг бол аюултай хүн нэг бол аюулаас сэргийлж чадах хүн байна

гэж хэлж болно. Сүлжээнд нууцлаг байх гэдэг нь уг сүлжээнд найдвартай

хамгаалалтын системийг ашиглаж байна гэсэн үг. Жишээ нь Майкрософт Windows нь

анхнаасаа нууцлаг гэсэн зорилгоор хийгдээгүй бөгөөд харин „хэрэглэгчдэд хялбар“

гэсэн зарчим дээр үндэслэгдсэн тул түүнийг ашиглаж буй компьютерууд довтолгоонд

хялбар өртдөг. Үүний эсрэгээр Unix бол сүлжээнд нууцлаг байх зорилгоор гарч ирсэн

систем юм. Түүний файлын систем, санах ой зохион байгуулалт , олон бодлогын горим

зэрэг бүх атрибутууд нь дээрх зорилгыг бодолцон хийгдсэн байна. Гэхдээ Unix –ийн

тохируулгын асуудал төвөгтэй том хэмжээг хамарсан зүйл тул бүрэн нууцлаг

байлгахад маш их туршлага шаардагддаг.

Хэн , яагаад халдлагад өртдөг вэ?


Интернетэд холбогдсон хэн боловч халдлагад өртөх боломжтой. Ер нь учирч буй

аюулын ихэнх шалтгаан нь гаднаас биш дотроосоо байдаг. Үүнд :

1. Хохирогч машины буруу тохируулга

2. Системийн нүх эсвэл программ зохиогчийн алдаа дутагдал

1. Зөрчлийн ихэнхийг эзэлдэг. Тодорхой сүлжээний утилитууд идэвхжсэн тохиолдолд

нэлээд ноцтой эрсдлийг үүсгэж байдаг. Үүссэн риск нь СА-ыг уг утилитыг зөв

тохируулах эсвэл идэвхгүй болготол үлдсээр байдаг. Үүний нэг жишээ нь сүлжээн

дэх хэвлэх тохируулгууд байна. Эдгээр тохируулгууд нь шинээр суулгах үед

идэвхжин системийн найдваргүй байдлыг үүсгэж болох бөгөөд тэдгээрийг

хэрэглэгч эсвэл системийн администратор илрүүлэн хүчингүй болгох хүртэл

оршсоор байдаг. Хэдийгээр тийм боловч түүнийг хүчингүй болгохын тулд

тэдгээрийн оршиж байгааг эхлээд анзаарах хэрэгтэй болдог. Ийм байдлаар

тохируулагдсан машин сүлжээнд холбогдвол түүнд кракер нэвтрэх боломжтой

болно. Энэ төрлийн асуудлуудыг хялбархан засдаг. Үндсэн арга нь зөрчилтэй

утилитуудыг хаах , эсвэл зөв тохируулах хэрэгтэй. Энд дараах төрлийн

тохируулгууд ихэвчлэн байдаг. Үүнд :

Сүлжээн дэх хэвлэх утилитууд

Файл sharing хийгч утилитууд

Default нууц үгийн ийн тохиолдол

Сүлжээний жишээ программууд

Эдгээрээс Default нууц үг нэлээд элбэг тохиолддог. Ихэнх олон хэрэглэгчийн горимтой

үйлдлийн системүүд нь (зах зээл дээрх) ядаж нэг default нууц үг тай байдаг(эсвэл нууц

үг шаарддаггүй account байдаг).

Мөн үйлдлийн системд өөрт нь байдаг идэвхжсэн тохиолдолд системийн

хамгаалалт, үйл ажиллагаанд сайнаар нөлөөлдөг утилитууд бас байдаг.Тэд СА ыг

түүнийг идэвхжүүлтэл хэрэггүй зүйл болон байж байдаг. Энд гарч ирэх асуудал нь

хэрэглэгч эсвэл СА нь эдгээр утилуутуудыг байдгийг ердөөсөө мэддэггүй байдал юм.

Үүний нэг жишээ нь Windows 95 ын logging утилит юм. Системийг анх суулгах үед

түүний идэвхждэггүйн шалтгаан нь программыг зохиогчид нь хэрэглэгчийн машины

техник хангамжийг тааварлаж чадахгүйтэй холбоотой байдаг. Иймд түүнийг хэрэглэгч

өөрөө тохируулах хэрэгтэй болдог. Гэвч зарим тохиолдолд ийм утилит нь хэрэггүй байх

нь бий. Жишээ нь чи жижиг сүлжээнд “Файлд хандах хэрэглэгчийн эрхийг хязгаарлагч”


төрлийн утилитийг хэрэглэсэн бол энэ нь чиний сүлжээний үйл ажиллагааг бага

хүрээнд хатуу хязгаарлах дутагдалтай. Энэ тохиолдолд чи өөр нууцлаг программаар

хангаж байдлыг тэнцвэржүүлэх хэрэгтэй болно. Дээрх шалтгаанууд нь хэрэглэгчийн

нууцлаг мэдлэг дутагдсанаас гарч байгааг харж болно.

2. Программын нүх нь программыг дараах байдалд хүргэдэг программын

элемент юм.

Буруу ажиллах

Кракеруудад энэ сулралыг ашиглан аюул учруулах эсвэл системийн

удирдлагыг олж авах боломжийг олгох.

Ийм нүхнүүдийг хоѐр ангилж болох юм.

A . Цэвэр нүх. 1996 оны 1 сард Калифорнийн их сургуулийн

Компьютерийн ухааны салбарын хоѐр оюутан Netscape

Navigator ын тогтолцооноос ноцтой согог олж илрүүлжээ.

Тэд Netscape ийн гол багаж болох “ Secure Sockets Layer “

протокол нь угийн согогтой бөгөөд энэ согог нь түүний

WWW дэх холболтод Нэвтрэлт хийх боломжийг олгож байсныг

илрүүлсэн юм. Энэ бол цэвэр нүхний сайн жишээ болно.

Б. Энэ нь цэвэр нүхнээс хамаагүй олон тохиолддог. Энэ

нүхний жишээ нь үйл ажиллагаагаа дуусгахын тулд

хандалтын тусгай эрх шаарддаг ( ө.х зөвхөн root эрхээр

ажиллахыг шаарддаг программ) программ юм. Хэрэв энэ

программыг хакер довтолбол тэр уг программыг ашиглан

файлуудад хандах тусгай эрхийг авч чадах болно.

Халдлага буюу Unautorized access гэж юу юэ? Үүний жишээг доор харууллаа.

Үйлчлүүлэгч хандалт олно. Өөр юм хийхгүй. (Үүнд хандалт гэдэг нь login, нууц

үгийг үл ашиглан орсон тохиолдлууд болно.)

Үйлчлүүлэгч хандалт олоод устгах гэмтээх ..г.м үйл ажиллагаа явуулах.

Үйлчлүүлэгч хандалт олж системийн удирдлагыг бүхэлд нь эсвэл хэсгийг нь

гартаа авах, магадгүй мөн өөр хэрэглэгчид хандах.


Үйлчлүүлэгч хандалт хийлгүйгээр уран нууц арга хэрэглэн сүлжээг унтраах

гацаах, буруу ажиллуулахыг тогтмол эсвэл түр хугацаатайгаар зохион

байгуулах.

Сүүлийн жилүүдэд сүлжээний нууцлаг технологи их хэрэгжигдэж байгаагаас халдлага

хийхэд улам хэцүү болсон боловч халдах боломж хангалттай байгааг оршлын хэсэгт

дурдсан баримт харуулна.

Энд бас нэг зүйл нөлөөлж байгааг хэлэхгүй өнгөрөх аргагүй. Америкийн

хамгаалалтын албад “Үнэлэгдсэн Бүтээгдэхүүнүүдийн Жагсаалт ” буюу EPL

(Evaluated Prodact List) гэж зүйл байдаг бөгөөд түүндээ гарч буй наймааны болон

Засгийн газрын хэрэглэх бүтээгдэхүүнүүдийг оруулж нууцлагийн төвшнийг

шалгуулсан байх ѐстой гэж үздэг. Жагсаалт дахь бүтээгдэхүүнүүд нь нууцлагийн

төвшний үнэлгээтэй байдаг бөгөөд туайлбал Windows NT 3.51 хувилбар С2 гэсэн

сертификаттай байна. Энэ нь маш хязгаарлагдмал үзүүлэлт юм байна. Хэрвээ

жагсаалтыг сайн үзвэл тэнд байгаа ихэнх бүтээгдэхүүнүүд нь хуучирсан болохыг харж

болно. Өөрөөр хэлбэл бүтээгдэхүүнүүд нь жагсаалтад очихдоо аль хэдийн хуучирсан

байдаг. Харин засгийн газар нь жагсаалтад “тэнцсэн” бүтээгдэхүүнийг авч хэрэглэх

боловч эдгээр нь ихэвчлэн шаардлага хангахгүй болсон байдаг юм. (Хуучирсан учраас

нүх нь судлагдчихсан байдаг. )

Харин том компани корпорациудын хувьд байдал засгийн газраас өөр байдаг.

Тэд өөрсдийн Нууцлаг үйлчилгээг их анхаарч хангалттай мөнгө хаяж сүүлийн үеийн

технологиудыг хэрэглэдэг. Жижиг компаниуд нь Unix үйлдлийн системгүй оронд нь

Novell Netware, LANtastic, Windows NT, Windows 95 г.м ийг ашигладаг нь тэднийг хүнд

байдалд заримдаа оруулдаг.

1.2.3 TCP/IP протоколын тухай

Энэ бүлэгт TCP/IP буюу Дамжуулалт удирдах протокол ба Интернет

протоколийн тухай авч үзье.

TCP/IP нь интернетэд хэрэглэгдэх хоѐр протоколд хамаарагдана. Эдгээр нь

дотроо олон тооны протоколуудыг агуулах бөгөөд TCP/IP бүрдэлийг үүсгэнэ. Тэд

нийлээд Интернет дэх бараг бүх үйлчилгээнүүдийг хангадаг бөгөөд заримыг нь дурдвал

:

Цахилгаан шуудангийн дамжуулалт


Файл дамжуулалт

Usenet шинэ мэдээг хүргэх түгээх

WWW-д хандалт

TCP/IP бүрдэлд үндсэн 2 ангиллын протоколууд бий.

1. Сүлжээ төвшний протоколууд

2. Хэрэглэгчийн программ төвшний протоколууд

Сүлжээ төвшний протоколууд

Энэ төвшний протоколууд нь өгөгдлийн дамжуулалтын механизмыг хариуцдаг.

Эдгээр протоколууд нь системийн гүнд ажиллаж хэрэглэгчдэд харагддаггүй. Жишээ нь

IP протокол нь мэдээллийг хэрэглэгч ба гадаад машинд хүргэх пакетыг гаргадаг.

Үүнийгээ олон төрлийн мэдээлэлд ялангуяа хоѐр машины IP хаягуудыг үндэслэн

гаргадаг. Эдгээр ба бусад мэдээлэлд үндэслэн IP нь мэдээлэл очих машиндаа хүрэх

баталгааг гаргадаг. Энэ процессийн явцад IP нь Сүлжээ төвшний бусад протоколуудтай

хамтран ажиллаж өгөгдлийн дамжуулалтыг олж авна. Хэрэглэгч сүлжээний

утилитуудыг ашиглан IP-ийн систем дэх ажиллагааг хэзээ ч харахгүй (Шинжлэгч ба

бусад IP датаграммийг уншдаг программуудаас бусад ).

Хэрэглэгчийн программ төвшний протоколууд

Урвуугаар энэ төвшний протоколууд нь ямар нэг байдлаар хэрэглэгчдэд харагдана.

Жишээ нь FTP (File Transfer Protocol буюу Файл дамжуулах протокол ) нь хэрэглэгчдэд

харагддаг. Хэрэглэгч өөр машинд файл дамжуулалт хийхийн тулд холболтыг хүсдэг ба

холболт үүсэнгүүт дамжуулалт эхэлдэг. Дамжуулалтын явцад хэрэглэгчийн машин ба

Гадаад машины хоорондох солилцооны хэсэг нь харагддаг( ихэвчлэн алдааны мэдээлэл

ба мөн хэдэн байт дамжуулагдаад байна г.м мэдээллүүд). Эндээс үзэхэд TCP/IP нь

интернетээр дамжуулан (эсвэл TCP/IP ажиллах сүлжээнд) хоѐр машины хооронд

холбоог үүсгэхэд тусалдаг протоколуудын цогц юм.

TCP/IP ийн түүх

1969 онд Хамгаалалтын Сайжруулсан Судалгааны Төслийн Агентлаг нь шинэ

сүлжээг үүсгэн хөгжүүлэх даалгавар авчээ. Энэ ажлын гол зорилго нь цөмийн

довтолгоонд тэсэж үлдэх сүлжээг бэлтгэх асуудал байв.Товчоор хэлэхэд хэрэв Орос

цөмийн дайралт хийвэл сүлжээ дайралтын дараа ажиллаж байх ѐстой байлаа. Энэ


төсөлд өөр хэдэн чухал шинжүүд агуулагдаж байсан бөгөөд гол нь харилцан

хамааралгүй ямар ч төвлөрсөн удирдлаггүй үйл ажиллагааг үүсгэх асуудал байлаа.

Өөрөөр хэлбэл 1 эсвэл 10 ,100 ,1000 машин устгагдсан ч сүлжээ бүтэн үлдэх боломжийг

олгож байлаа.

Энэ сүлжээний бэлтгэл судалгаа нь 1962 , 1963 онд хийгдсэн ажлууд дээр

үндэслэгдсэн байсан бөгөөд энэ ажлууд нь Арпанет байв. Арпанет нь сайн ажиллаж

байсан боловч системийн үе үе гацалтууд тохиолдож байсан ба гол нь ийм системийг

нэвтрүүлэх нь өртөг их шаардсан ажил болох байлаа. Судалгаа нь үүнээс илүү

найдвартай протоколыг гаргасан бөгөөд 1970-д оны дундуур TCP/IP-ын бүрдлийг

гаргажээ. TCP/IP нь бусад протоколуудаас олон талаараа давуу байв. Тухайлбал TCP/IP

нь сүлжээний багахан нөөцийг шаарддаг, бусад ямар ч протоколоос хямдхан тусч

байлаа. Иймээс ч тун хурдан тархжээ. 1983 онд TCP/IP нь Berkeley Software Distribution

(BSD) Unix-ийн 4.2 хувилбарт нэгтгэгдсэн байна.

Зарим судлаачид Интернетэд холбогдох хурд өгөгдөл дамжуулах хурдыг

сайжруулахын тулд TCP/IP-ыг хиймэл дагуулын дамжуулалтад хэрэглэхийг санал

болгодог. Гэвч TCP/IP–ыг энэ зорилгоор хэрэглэхэд тохиромжгүй нь илэрхий юм.

Өнөө үед TCP/IP нь зөвхөн интеретэд биш өөр олон зорилгоор ашиглагдаж

байна. Өөр нэг давуу тал нь TCP/IP нь олон төрлийн техник хангамж, үйлдлийн

системтэй зохицож ажилладаг байдал юм. Иймээс ч хэн нэгэн нь TCP/IP-ыг ашиглан

олон төрлийн сүлжээг үүсгэж чадна. Ийм сүлжээ нь дотроо Макинтош, IBM

компьютер, Sun SparcStation ууд, MIPS зэрэг машинуудыг агуулж чадна.

Ямар платформуудтай зохицдог вэ?

Ихэнхтэй нь зохицно. Доор жагсаалтад харууллаа. Хэрэв платформ нь TCP/IP –г

бүрнээр нь агуулсан бол бүрэн ,үгүй бол агуулсан TCP/IP программын нэрийг

харууллаа.

Unix Бүрэн

Dos Piper/IP ( Ipswitch-н гаргасан)

Windows Tcpman

Windows95 Бүрэн

Windows NT Бүрэн

Macintosh MACTCP эсвэл OpenTransport ( Sys 7.5+)


OS/2 Бүрэн

AS/400 OS/400 Бүрэн

TCP/IP-ыг бүрнээр нь агуулаагүй платформууд дахь TCP/IP программуудын зарим нь

дутагдалтай байдаг. Жишээ нь зарим нь сервертээ өөрийгөө гаргаж өгдөггүй ( ө.х

дутагдал). Иймээс хэдийгээр хэрэглэгч гадаад машинаас файл дамжуулахаар холбогдож

чадах боловч хэрэглэгчийн машин нь өөрөө ийм хүсэлтийг хүлээж авдаггүй. Ө.х жишээ

нь TCPMAN-ыг хэрэглэж байгаа Win 3.11 нь нэмэлт программ хангамж суулгалгүйгээр

гадаад машинаас ирсэн хүсэлтийг хүлээн авч чадахгүй.

TCP/IP хэрхэн ажилладаг вэ?

TCP/IP нь стекийг ашиглан үйл ажиллагаа явуулдаг. Энэ стект хоѐр машины

хооронд энгийн өгөгдөл дамжуулахад шаардагдах бүх протоколуудыг агуулсан байна

(мөн энд нэг машинаас нөгөө машинд хүрэх зам байна). Стек нь мөн төвшнүүдэд

хуваагдах бөгөөд тус бүрдээ өөрийн гэсэн үүрэгтэй байдаг. Энэ үеүүд нь пакет дахь

иарерхи бүтцийг үүсгэдэг. Өгөгдөл нь энэ бүтцээр дамжаад сүлжээ эсвэл өөр машинд

хүрдэг. Тэнд очоод энэ процесс нь урвуугаар биелэгдэн нэвтэрдэг байна. Энэ

процессийн явцад алдаа шалгалтын иж бүрэн систем хоѐуланд нь ажиллаж байдаг.

Төвшин бүр нь олон протоколтой хамтрана. Энэ стекийн давхар бүрд эдгээр

протоколууд хэрэглэгчдэд олон тооны үйлчилгээ үзүүлж завгүй ажиллаж байдаг.

Түлхүүр протоколууд

Одоо стект байдаг түлхүүр протоколуудыг авч үзье. Сүлжээ төвшнөөс эхэлье.

Дараах чухал протоколууд байна.

Хаяг тогтоогч протокол (Adress Resolution Protocol)

Интернетийн хяналтын мэдээллийн протокол (Internet Control Message

Protocol буюу ICMP)

Интернет протокол (IP)

Дамжуулалтыг хянах протокол (TCP)

Эдгээрийг товч тайлбарлая.

ARP

Энэ протокол нь физик хаягт интернетийн хаягийн байршлыг тогтоогч (mapping)

үйлчилгээг гаргана. Энэ нь мэдээллийг интернетээр чиглүүлэхэд амин чухал юм. Дохио


(эсвэл өөр өгөгдөл) илгээгдэхийн өмнө интернетийн дамжуулалт тээвэрлэлтэд

зориулагдсан IP пакетуудад өөрөөр мэдээллийн блок болон багцлагддаг. Эдгээр нь

үүсгэсэн болон очих машинуудын хоѐулангийнх нь интернет хаягийг (IP) агуулдаг.

Эдгээр багцууд нь үүсгэсэн машинаа орхин явахын өмнө хүрэх машиных нь физик хаяг

нь мөн тодорхойлогдсон байх ѐстой (физик хаяг нь IP хаягаас ялгаатай). Энэ бол ARP –

ын ажлын эхний хэсэг юм. ARP-ын хүсэлтийн дохио дотоод сүлжээгээр ( subnet )

тархана. Энэ хүсэлт нь чиглүүлэгчээр дамжигдах ба хариуд нь ирэх физик хаяг нь мөн

түүгээр дамжигдан ирнэ. Энэ хариулт нь хүсэлт үүсгэсэн машинд баригдаж

дамжуулалт эхэлдэг. ARP-ын дизайнд КЭШ ойн (cash )загвар багтсан байдаг. Үүнд

ихэнх орчин үеийн броузерууд (Netscape Navigator, Internet Explorer) кэшийг ашигладаг.

Кэш нь дискний (эсвэл санах ойн) хэсэг бөгөөд түүнд зорчсон Web хуудсуудын

элементүүд (товчнууд, хуудсын толгойнууд, ба энгийн графикууд) хадгалагддаг. Энэ

нь уг хуудаст буцан орох (back) орох үед дахин гадаад машинаас ачаалах шаардлаггүй

болох юм. Хэрэв энэ хуудас нь чиний дотоод кэшт байгаа бол тэндээс улам хурдан

дуудагддаг. Бидний тохиолдолд дуудагдсан машины физик хаяг нь хадгалагдах бөгөөд

энэ нь цаг хугацаа нөөцийг хэмнэнэ. Гэвч энэ нь кракеруудад ямар нэг машины кэш

дэх хаягуудын нэгийг ашиглан гадаад машинтай холбоо тогтоох боломжийг ямар нэг

хэмжээгээр олгодог юм.

ICMP

Энэ протокол нь хоѐр эсвэл хэд хэдэн комьпютер ба машинуудын хооронд

дажуулалтын процесс явагдах үед алдааны ба хяналтын дохионуудыг удирдана. Энэ нь

уг машинуудад мэдээллийг хуваалцах боломжийг олгоно. Энэ утгаараа ICMP нь

сүлжээний проблемуудыг оношлоход чухал үүрэгтэй. Жишээ нь

Машин унтрахад

сүлжээний үүд ачаалалтай эсвэл ажиллахгүй үед

Сүлжээн дэх бусад алдааны үед

Магадгүй ICMP-ийн хамгийн өргөн хэрэглээ нь Ping хэмээх сүлжээний программ байж

болох юм. Ping нь гадаад машин идэвхтэй сүлжээнд байгаа эсэхийг тодорхойлоход

хэрэглэгддэг. Ping-ийн ажиллах зарчим нь энгийн :

Хэрэглэгч гадаад машиныг Ping хийхэд хэрэглэгчийн машинаас гадаад машин руу

пакетууд илгээгдэнэ. Энэ пакетууд хэрэглэгчийн машинд эргэн ирдэг. Хэрэв ирэхгүй

бол Ping нь гадаад машинийг унтарсан байна гэсэн алдааны мэдээлэл хэвлэдэг.

IP


IP нь TCP/IP бүрдэл доторх бүх протоколуудад хүрэх пакетийг гаргадаг. Иймээс ч

IP нь энэ процессуудын зүрх нь юм. Энэ процессийг задлахын тулд IP датаграммыг авч

үзье.

Misk.Толгойн

мэдээлэл

Үүсгэгчийн IP хаяг Хүрэх IP хаяг Өгөгдөл

IP датаграммын толгой Илгээгдэх өгөгдөл

IP-ын гайхмаар нэг зүйл нь хэрэв датаграмм нь арай бага пакет шаарддаг сүлжээнд

орвол датаграммын цээж хэсэг нь уг хүлээн авагч сүлжээтэй зохицон өөрчлөгддөг

явдал юм. Иймд эдгээр датаграммууд аяллынхаа явцад тасарч хэдэн хэсэг болдог

бөгөөд хүрэх газартаа зөвөөр буцаж нийлдэг (явуулсан дарааллаараа ирээгүй байсан ч

гэсэн). Мөн дээрхээс илүү өөр мэдээллүүд ч хадгалагдаж байдаг. Зарим ийм мэдээлэл

нь ашиглагдаж байсан протоколын тодорхойлолт (identification), толгойн хэмжээ, мөн

амьдрах цаг хугацааны заалт зэргийг агуулсан байж болно. Энэ заалт нь тоон утга байх

ба датаграммын эмх замбараагүйн дунд зорчин байх зуур утга нь үргэлж хорогдож

байдаг. Тэгээд эцэст нь 0 болонгуут датаграмм “үхдэг”. Олон төрлийн пакетууд ийм

заалтыг ашигладаг. Харин зарим сүлжээний утилитууд (жш TraceRoute ) “цагийн

амьдрал ” талбарыг шинжлэх удирдлагын үе дэх тэмдэглэгчээр ашигладаг.

TCP

TCP нь интернет дэх гол протокол юм. Тэр файл дамжуулалт, гадаад үйлчилгээнүүд

зэргийг гүйцэтгэнэ. TCP энэ үйлдлүүдийг өгөгдлийн найдвартай дамжуулалт (reliable


data transfer) хэмээх аргачлалаар гүйцэтгэдэг. Энэ талаараа TCP нь бүрдэл дэх бусад

протоколуудаас ялгаатай. Найдваргүй дамжуулалтад өгөгдөл бүрэн ирэх баталгаа

байхгүй. Эсрэгээр TCP нь баталгаат байдлыг гаргах бөгөөд энэ нь өгөгдлүүд ямар

дарааллаар гарсан тэр дарааллаараа ирэх баталгааг өгнө. TCP-ийн үйл ажиллагаа нь

хоѐр машины хоорондох виртуаль холбоонд үндэслэгдэнэ. Энэ холбоо нь 3 процессоор

үүсэх бөгөөд ихэвчлэн three part handshake гэдэг. Түүнийг хэрхэн үүсдэгийг доор

харуулав.

Хэлхээ холбоо нээгдсэний дараа өгөгдөл нь аль ч чиглэлд зэрэг зорчих боломжтой. Энэ

үр дүнг заримдаа full –duplex дамжуулалтын зам гэж нэрлэдэг. Энэ замд ямар нэг

дамжуулалтын процесс (эсвэл өөр гадаад үйлчилгээ ) байвал үүссэн ямар ч алдааны

мэдээлэл нь хүсэлт илгээсэн машинд очдог.

TCP нь мөн алдааг шалгах чадвартай. Тэр илгээгдсэн өгөгдлийн блок бүрд тоон

утга үүсгэдэг.Хоѐр машин дамжуулагдсан блок бүрийг энэ тоогоор нь таньдаг. Блок

амжилттай дамжигдах бүр хүлээн авагч машин нь илгээгч машинд дамжуулалт

амжилттай болсон гэсэн мэдээг дамжуулна. Хэрвээ алдаатай дамжигдсан бол дараах

хоѐрын аль нэг болдог.

Хүсэгч машин алдааны мэдээлэл хүлээн авна

Хүсэгч машин юу ч хүлээн авахгүй

Алдаа ирэх тохиолдолд өгөгдөл дахин дамжуулагдах бөгөөд хэрэв алдаа нь fatal

төрлийнх бол дамжуулалт хаагддаг. Хэрэв холбоо тасарвал fatal алдаа үүснэ. Хариу

ирэхгүй бол өгөгдлөө дахин дамжуулна.Энэ процесс дамжуулалт бүрэн гүйцтэл

давтагдана. Ингэж өгөгдөл дамжигдахын өмнө хоболтын хүсэлт хийгдсэн байх ѐстой.

Одоо энэ хүсэлт уг машин дээр очиход яахыг үзье. Нэг машин нөгөөдөө холбогдох

хүсэлт гаргах бүр очих тодорхой чиглэл заагдсан байх ѐстой. Энэ чиглэл бол хүрэх

машины интернет хаяг IP ба физик хаяг юм. Бүр нарийвчлан хэлбэл хүсэгч машин нь

хүрэх машин дээрх хүрэх программыг зааж өгдөг. Энэ нь дараах хоѐр элементийг

оролцуулдаг.

Inetd хэмээх программ

Портууд дээр үндэслэгдсэн систем

Inetd: Утга нь бүх чөтгөрүүдийн (хүлээгч) эх. Inetd-ийг авч үзэхийн өмнө хүлээгчийг

тайлбарлая. хүлээгчид бол өөр процессуудыг тасралтгүй хүлээж байдаг программууд

юм ( энэ тохиолдолд холбогдох хүсэлтийг харж байдаг). хүлээгчид нь Майкрософт


платформ дээрх резидент программуудтай төстэй байна. Inetd бол тусгай онцлогтой

хүлээгч юм. Түүнийг маш олон янзаар нэрлэдэг. Жишээ нь Шилдэг сервер, бүх

процессуудын өвөө г.м. Үүний учир нь Inetd бол Unix дээрх үндсэн хүлээгч юм. Ихэнх

мэргэжилтнүүд систем дэх олон хүлээгч нь системийн нөөцийг бардгийг мэдэж байгаа.

Яагаад бусад бүх процессуудаа хүлээж байдаг нэг хүлээгч процесс хийдэггүй юм бэ?

Энэ бол Inetd-ийн хийдэг зүйл юм. Тэрээр холбогдох хүсэлтийг (хаанаас ч хамаагүй)

ирэхийг хүлээж байдаг. Хэрэв тэр хүсэлт гарч ирвэл тэр түүнийг үнэлдэг. Энэ үнэлгээ

нь нэг л зүйлийг тодруулдаг. Хүсэгч машин ямар үйлчилгээ хүсч байна вэ? Жишээ нь

FTP-ийг үү? Хэрэв тийм бол Inetd FTP сервер процессийг эхлүүлдэг. Иймд FTP сервер

нь санамсаргүй хүсэлтээр ажиллаж болно. Энэ тохиолдолд файл дамжуулалт эхэлж

байна. Энэ бүхэн нь секундын дотор л болно. Ерөнхийдөө Inetd процесс нь машины

асахад резидентээр үүсээд машиныг унтрах эсвэл түүнийг root операторч (хамгийн

өндөр эрхтэй хүн) унтраах идэвхгүй болгох хүртэл байж байдаг. Inetd-ийн шинж чанар

нь Inetd.conf файлаар тохируулагддаг (Unix-ийн /etc директорт байдаг). Энэ файл нь

ямар үйлчилгээ нь Inetd-ээр дуудагдахыг зааж өгдөг. Ийм зарим процессууд нь FTP,

Телнет, SMTP, TFTP, Finger, Systat, Netstat эсвэл өөр ямар нэгэн процессууд байна.

Портууд

Олон TCP/IP программууд интернетээр ачаалагдаж болно. Эдний ихэнх нь

Клиент/Сервер зарчимд үндэслэгдсэн байдаг. Холбогдох хүсэлт ирэх бүр Inetd нь

сервер программыг эхлүүлж шаардсан гадаад машинтай нь холбоог үүсгүүлдэг. Энэ

бүхэнд туслахын тулд үйлчилгээ программ бүр (FTP эсвэл Телнет … г.м) өөрийн ганц

хаягтай байна. Энэ хаягийг порт гэдэг. Дундаж интернет серверт олон мянган порт

байдаг. Хэдийгээр СА нь программуудыг өөрийн сонгосон портуудад оруулдаг боловч

ерөнхийдөө программууд нь танил портдоо байдаг. Эдгээр портууд нь стандарт болсон

байдаг юм. Үүнийг доор үзүүлэв.

Сервер Порт

FTP 21

Телнет 23

Simple Mail Transfer Protocol 25

Gopher 70

Finger 79


HTTP 80

Networks News Transfer Protocol 119

Энд байгаа бүх программуудийг авч үзнэ. Эд бүгд хэрэглэгчийн программ төвшний

үйлчилгээ эсвэл протоколууд юм. (Иймээс эдгээр нь хэрэглэгчдэд харагдах бөгөөд

эдгээртэй console-р харьцаж чадна)

Телнет

Телнетийг RFC 854-д хамгийн сайн тодорхойлсон байдаг. Телнет протоколын зорилго

нь нэлээд ерөнхий, хоѐр чиглэлд удирдлагатай, найман бит үндэстэй холболтын чадвар

юм. Түүний үндсэн санаа нь терминалууд ба терминал үндэстэй процессуудын хооронд

дахь интерфэйсийн стандартыг бий болгох явдал юм. Телнет нь хэрэглэгчдэд зөвхөн

гадаад машинд нэвтрэх (log on) биш мөн түүн дээр команд биелүүлэх боломжийг

олгоно. Иймээс Лос Анжелос дахь хүн Нью Иорк дахь машин руу Телнетээр хандан

түүн дээр хүн байгаа эсэхээс үл хамааран программ ажиллуулж чадна. Ө.х энэ нь

Bulletin Board System (BBS)-тэй ижил зарчмаар ажилладаг. Телнет нь терминал

үндэстэй front end to өгөгдлийн санд хандахад сайн программ юм. Жишээ нь бүх их

сургуулийн 80%-с дээшхийнх нь номын сангийн каталог нь Телнетээр хандагдана.

Хэдийгээр GUI (Graphic User Interface) программууд ноѐрхсон боловч Телнет нь

текст үндэстэй маш өргөн тархацтай программ юм. Үүнд олон янзын шалтгаан

нөлөөлдөг. Нэгт Телнет нь олон төрлийн үүрэг гүйцэтгэж чадна (цахилгаан шуудан г.м

) . Ингэхдээ сүлжээний хамгийн бага нөөцийг ашигладаг. Хоѐрт secure Телнетийг

хэрэглэх нь маш энгийн үйлдлүүдтэй. Үүнийг гүйцэтгэх хэдэн программ бий. Үүний

нэг нь Secure Shell (үүний тухай хожим авч үзнэ) юм.

FTP

FTP нь нэг системээс нөгөөд файл дамжуулахад хэрэглэгддэг стандарт арга юм.

Түүний зорилго нь RFC 0765- д:

1. Файл хуваалцахыг дэмжих (to promote file sharing).

2. Гадаад комьпютеруудын шууд бус далд хэрэглээг дэмжих.

3. Хэрэглэгчийг машинууд дээрх файл хадгалах системийн өөрчлөлт (variation) уудаас

халхлах тусгаарлах.

4. Өгөгдлийг найдвартай хурдан зөөх гэж тодорхойлсон байдаг.


FTP нь терминал дээрх хэрэглэгчдэд шууд хэрэглэгдэх боломжтой боловч энэ нь

үндсэндээ программуудын хэрэглээнд зориулагдсан юм. Түүнийг анх 1971 онд

тодорхойлсон бөгөөд энэ хугацаанд их өөрчлөгдсөн бүрэн тодорхойлолтыг RFC 114-с

олж үзэж болно.

FTP хэрхэн ажилладаг вэ?

FTP дамжуулалт нь Клиент/Сервер орчинд явагддаг. Хүсэгч машин нь дээрх хүснэгтэд

буй слиентүүдийн нэгийг эхэлдэг. Энэ нь түүний хандсан файл серверт (өөр сүлжээн

дэх машин) хүсэлтийг хүргэдэг. Энэ хүсэлт нь ихэвчлэн inetd-ээр 21-р порт руу

тлгээгддэг. Холболт үүсэх хооронд файл сервер нь FTP сервер хүлээгч эсвэл FTP

хүлээгч ажиллуулж байх ѐстой. FTPD бол стандарт FTP сервер хүлээгч юм. Түүний

үүрэг нь энгийн : Inetd-р ирүүлсэн холбогдох хүсэлтэд хариу өгч файл дамжуулалтаар

хангах үүрэгтэй. Энэ хүлээгч нь unix-ийн ихэнх дискт байдаг. Доор бусад үйлдлийн

системүүд дэх FTP серверүүдийг харуулав.

Operating System Client

UNIX Native (FTPD)

Майкрософт Windows 95 WFTPD, Майкрософт FrontPage, WAR

FTP Хүлээгч, Vermilion

Майкрософт Windows NT Serv-U, OmniFSPD, Майкрософт Internet

Information Сервер

Майкрософт Windows 3.x WinQVT, Serv-U, Beames & Whitside

BW Connect, WFTPD FTP Сервер,

WinHTTPD

Macintosh Netpresenz, FTPD

OS/2 Penguin

FTPD нь холбогдох хүсэлтийг хүлээж байдаг. Ийм хүсэлт ирмэгц FTPD нь хэрэглэгчийг

login хийхийг хүсдэг. Хэрэглэгч нь өөрийн зөв хэрэглэгчийн login ба паспортыг өгөх

эсвэл anonymously (дурын ) –р холбогдож болно. Нэгэнт login хийгдсэн бол файл татаж

болно. Зарим онцгой тохиолдолд хэрэв серверийн нууцлаг тийм боломж олгож байвал

серверт файл илгээж болно.

SMTP


RFC 821-д SMTP –г: SMTP-ийн үүрэг бол шууданг найдвартай үр ашигтай

дамжуулах явдал юм гэсэн байдаг. SMTP бол үнэхээр үр ашигтай хямд төсөр протокол

юм. Хэрэглэгч (ямар нэгэн SMTP г ашиглан) SMTP-д хүсэлт илгээнэ. Үүний дараа хоѐр

талт холбоос үүснэ. Клиент нь интернетийн хаа нэгтэй байгаа хүлээн авагч серверт

шуудан илгээхийг хүсч буй мэйл зааварыг тараана. Хэрэв SMTP энэ үйлдлийг

зөвшөөрвөл зөвшөөрсөн мэдээллийг клиент машинд буцаан илгээдэг. Эндээс үйл

ажиллагаа эхэлнэ. Клиент нь хүлээн авагчийн тодорхойлогч , түүний IP хаяг ба дохиог

текстээр илгээнэ. SMTP серверүүд Unix –г “төрөлхөөс” байдаг. Бусад ихэнх үйлдлийн

системд SMTP-ийн хэлбэрүүд бий.

Гопер (Gopher)

Гопер нь тархсан баримтыг буцаах (гаргах) систем юм. Баримтуудыг (үйлчилгээ)

серверт оршиж байхад Гопер нь items ба director-уудын шатлалыг файлын системтэй

төстэйгөөр үүсгэдэг. Яг үнэндээ Гоперийн дизайн нь файл системтэй ижил бөгөөд учир

нь баримт ба үйлчилгээнүүдийг байрлуулах хамгийн тохиромжтой загвар мөн юм.

Гопер нь маш хүчирхэг үйлчилгээ билээ. Тэр текст баримт , дуунууд,мөн бусад

медиагаар үйлчилж чадна. Тэр бас текст горимд ажилладаг тул броузер дахь HTTP-с

хурдан байдаг. Үйлдлийн системүүд Гоперийн клиентүүдийг агуулдаг. Хэрэглэгч

Гоперийн клиентийг ачаалж өгөгдсөн Гопер сервертэй холбогддог. Хариуд нь Гопер

серверээс сонголтын цэсийг ирүүлдэг. (энд файлын цэс , байрлал тодорхойлогч эсвэл

файл директорууд байж болно.)

Гопер нь бүхэлдээ клиент/сервер загварт үндэслэгдсэн юм. Хэрэглэгч log хийнэ

гэсэн ойлголтгүй бөгөөд үүний оронд клиент нь Гопер серверт одоо түүнд байгаа бүх

баримтуудыг хүсдэг. Гопер энэ мэдээллээрээ хариу өгөх ба хэрэглэгч хүсэлт ирүүлтэл

юу ч хийхгүй.

Hypertext Transfer Protocol

Хэрэглэгчдэд сүлжээгээр аялах боломжийг олгодог тул бусдаасаа илүү нэртэй

протокол юм. Зарим талаараа тэр Гопертэй төстэй. Жишээ нь тэр мөн хүсэлт хариулт

зарчмаар ажиллана. Энэ бол чухал. Учир нь Телнет мэтийн программ хэрэглэгч системд

log on хэвээр үлдэхийг хүсдэг ба (энэ үед тэр серверийн нөөцийг ашиглана) Гопер ба

HTTP нь энэ үзэгдлийг арилгадаг. Хэрэглэгч клиент нь тэр зөвхөн өгөгдөл хүсэж

байгаа эсвэл хүлээн авч байгаа тохиолдолд системийн нөөцийг хэрэглэнэ. Үүнийг

Netscape–р эсвэл Internet Explorer-р харж болно. WWW хуудас дахь өгөгдөл бүрт чиний


броузер уг сервертэй нэг л удаа холбоо барьдаг. Тиймд энэ эхний удаа л текст , зураг

,дуу .. г.м –ийг хүлээж авдаг. (дараа нь done байдалд ордог.) Ямар төрлийн өгөгдлийг

хүсч байгаад HTTP нь ихэвчлэн санаа тавьдаггүй. Саяхан болтол Unix ганцаараа HTTP

серверийг гаргадаг байлаа. (Энэ нь NCSA HTTP байсан , Одоо Apache нь зах зээлд маш

өрсөлдөөнтэй хүчтэй нэвтэрч байна.) Энэ жижигхэн авсаархан программ нь хүлээгчийн

зарчмаар ажилладаг байв. Орчин үед бараг бүх үйлдлийн систем HTTP сервертэй

болсон байна.

Operating System HTTP Сервер

Майкрософт Windows 3.x Website, WinHTTPD

Майкрософт Windows 95 OmniHTTPD, Сервер 7, Nutwebcam,

Майкрософт Personal Web Сервер,

Fnord, ZB Сервер, Website, Folkweb

Майкрософт Windows NT HTTPS, Internet Information Сервер,

Alibaba, Espanade, Expresso, Fnord,

Folkweb,Netpublisher,Weber,

OmniHTTPD, WebQuest, Website,

Wildcat

Macintosh MacHTTP, Webstar, Phantom, Domino,

Netpresenz

UNIX HTTPD, Apache

OS/2 GoServe, OS2HTTPD, OS2WWW, IBM

Internet Connection Сервер ,

Bearsoft, Squid & Planetwood

Network News Transfer Protocol

NNTP нь хамгийн өргөн хэрэглэгддэг протоколуудын нэг юм. Энэ нь ихэвчлэн Usenet

News гэж нэрлэгддэг News үйлчилгээнүүдэд хүрэх хандалтыг гаргаж өгдөг. NNTP

ARPA сүлжээнд news-г тараах, хайх цуглуулах үйлдлийг reliable stream based

(найдвартай stream-д үндэслэсэн) дамжуулалтыг ашиглан гүйцэтгэдэг протокол юм.

NNTP нь SMTP ба TCP-н хоѐулангийнх нь шинж чанараас агуулсан байдаг. Командын

мөрөөр англи команд хүлээн авдгаараа SMTP той ижил бол stream-д үндэслэсэн

дамжуулалт явуулдгаараа TCP –тэй төстэй.


TCP/IP бол интернет

TCP/IP нь хэрэглэгчдэд ч үл харагдах олон тооны протоколуудыг агуулдаг. Ихэнх

интернетийн серверүүд дээр хамгийн багадаа дараах протоколууд оршино.

TCP

IP

ICMP Internet Control Message Protocol

ARP Address Resolution Protocol

FTP

Телнет

Гопер

NNTP Network News Transfer Protocol

SMTP Simple Mail Transfer Transfer Protocol

Hypertext Transfer Protocol

Эдгээр нь интернет дэх үндсэн протоколууд юм. Яг үнэндээ тэд олон зуугаараа байдаг.

Үндсэн протоколуудын талаас илүү нь нэг эсвэл нэгээс олон нууцлаг нүхтэй. Эндээс

интернет нь холболтын олон зуун мянган гарцтай болох нь харагдаж байна. Иймээс

өгөгдлийг сүлжээгээр зөөх олон зуун арга байдаг гэж хэлж болно.

1.2.4 Нэвтрэлт болон Тайлалтийн онолын үндэслэлүүд

Хакерууд болон Кракерууд ихэвчлэн тусгай программуудыг ( сканнер , шинжлэгч ,

нууц үг довтлогч, ... ) ашиглан үйл ажиллагаагаа явуулдаг боловч эдгээр програмууд нь

хүний долоо хоног сараар хийх ажлыг автоматжуулсан хэрэгслүүд юм. Ямар нэг

системд нэвтэрч орохын тулд дараах маягаар ажилдаг.

Нэвтрэх машиныхаа талаар үндсэн мэдээлэл олж авна. Үүнд :

Уг машины IP хаяг.

Ямар үйлдлийн систем ашиглаж байгаа тухай.

Машин дээр ажилладаг хүний тухай мэдээлэл.

Сүлжээний чухал машинуудын (Чиглүүлэгч, сүлжээний үүд,

нэрний сервер, файл сервер, мэйл сервер, прокси сервер г.м)

талаарх үндсэн мэдээллүүд.

Уг машины портууд дээр ямар үйлчилгээнүүд тухайн агшинд ажиллаж

байгааг олж тогтооно.


Үйлчилгээ бүрт өөрийн гэсэн сулрал байдаг бөгөөд түүнийг ашиглан

туршина.

Дээрх оролдлого бүтвэл зарим тохиолдолд root эрхтэйгээр холбогддог бөгөөд

гэхдээ энэ нь цөөн байна. Ихэнх тохиолдолд энэ эрх нь etc/passwd файлын

агуулгыг хуулж авахад хүрэлцдэг.

Олж авсан файлаас root –н нууц үгийг нууц үг тайлагч утилитыг хэрэглэн

тайлна.

Хэрэв дээрхээр чадахгүй бол “Итгэлт” холбоог уг сүлжээтэй үүсгэхийг

оролддог. Үүний тулд ихэвчлэн IP хуурах аргыг хэрэглэдэг.

Хойно дурдах бусад аргуудаас хэрэглэнэ.

Ингээд зарим шатыг нь тайлбарлая.

Машиныг илрүүлэх байршлыг нь тогтоох

Интернет агуу том түүнд олон сая машинууд байдаг. Орчин үеийн довтлогчдод

тулгардаг асуудал нь бай машиныг үр ашигтай хурдан хэрхэн олох асуудал юм.

Сканнерууд нь энэ зорилгод сайн нийцнэ. Энд нэг жишээ авч үзье. 1995 оны сүүлээр

Silicon Graphic Interface SGI нь WWW хуудсуудад медиа үүсгэх зорилгоор хүчтэй

компьютеруудыг интернетэд холбосон юм. Эдгээр нь Unix-ийн нэг хэлбэр болох IRIX-

ийг ашиглаж байв. IRIX-ийн тодорхой хувилбарууд нь line принтерт зориулсан default

login-ыг агуулдаг. Иймээс хэрэв довтлогч Телнет холболт үүсгэн эдгээр SGI машинууд

руу “lp”-р холбогдвол ямарч паспорт шаардагдахгүй. Ингээд довтлогчид shell орчинд

орж ирэх бөгөөд тэдэнд хязгаарлагдмал үндсэн хэдэн командуудыг биелүүлэх (уг SGI

дээр) боломж олдох юм. Тухайлбал директоруудын жагсаалтыг харах , файлын

агуулгыг харах гэх мэт. Эдгээр командыг ашиглан довтлогчид Paswd файлын агуулгыг

дэлгэцэнд хэвлэн уг агуулгыг нь тэмдэглэж байгаад өөрсдийн машин дээрх текст

едитор руу хуулж чадна. Ийм маягаар тайлагдсан паспортыг ашиглан тэд SGI-ыг

нэвтэрч чадах юм. Одоо тэдэнд дээрх машинуудыг олох дараагийн алхам тулгарна.

Дээрх нүхийг ашиглахын тулд тэд эдгээр машинуудыг олох ѐстой юм. Нэг арга нь

өөрөө хайх. Altavista.digital.com зэрэг хайлтын систем нь ийм машины байршлыг

тогтооход хэрэглэгдэж болно. Учир нь SGI–ын хүмүүс графикын хүчтэй мэдлэгтэй

боловч нууцлагийн муу мэдлэгтэй байсан бөгөөд тэд хамгийн энгийн нууцлаг арга

хэмжээг авч хэрэглээгүй байсан байна. Үүнд эдгээр машинуудын олонх нь уншигдам

(харагдахуйц) FTP директоруудыг агуулж байв. Эдгээр директорууд нь харагдаж буй

тул интернетийн хайлтын системд мөн харагдана. Энэ FTP директорууд нь

стандартаараа /etc/passwd файлуудыг агуулна. Тэдгээрийн дотор системийн


хэрэглэгчдийн login нэр нь агуулагдсан байдаг. Хэдийгээр тийм боловч паспорт

файлууд нь нэг л login нэр-д багтсан байв. Тодруулбал тэд тэдний программ хангамжид

орсон тодорхой утилитууд болон demo программуудад зориулагдсан login names-т

багтсан байлаа. Эдний нэг нь EZSetup нэртэй login байв. Иймээс довтлогчид нь дараах

байдлаар хайна.

EZSetup+root : lp:

Энэ нь тэдгээр машинуудын жагсаалтыг буцаана. Довтлогч энэ жагсаалтыг аваад

машин бүрийг тайлалт хийхийг оролдоно.

Зарим нь ийм машинуудыг олохдоо InterNIC өгөгдлийн санг ашигладаг(WHOIS

үйлчилгээ юм). Энэ бол InterNIC.net-д байдаг интернетэд холбогдсон бүх машинуудын

тухай мэдээлэлтэй өгөгдлийн сан юм. Хувь хүн unix-ийн команд мөрөнд whois

командыг бичиж энэ өгөгдлийн сантай холбогдож чадна(ямар нэг машины интернетийн

дугаар эсвэл эзэмшигчийн хаягийг олох гэж ). Энэ командын хэлбэр нь

Whois mci.net

Unix-гүй хүмүүс Телнетээр InterNIC.net рүү холбогдож чадах ба эсвэл сүүлд үзэх

утилитуудыг ашиглаж болно. Олон машинууд өөрсдийн бүртгүүлсэн нэрэнд SGI-ийнх

байж болох дараах үгнүүдийг агуулсан байж болно.

*.Graphics , *Art, *Indy , *.Indigo г.м Indy ба Indigo нэрс SGI-н директор бүтцэд мөн

бусад олон WEB хуудсуудад байж болно. Зарим InterNIC-н бичлэгүүд нь уг машин

дээрх ү/с-ийг заасан байдаг. Иймээс IRIX бичлэгээр хайвал цөөн тооны машиныг

гаргаж болно. Гэвч энэ нь найдваргүй. Жишээ нь олон IRIX-ийн хувилбарууд lp-ийн

дутагдалыг агуулдаггүй. Иймээс довтлогчид сканнерийг ашигладаг. Энэ нь хялбар арга

юм. Санааатай эсвэл санамсаргүйгээр хэсэг хаягийн интервал авъя (жш 199.171.190.0-

199.171.200.0). Довтлогч зарим тохируулгыг хийж өгнө. Үүргээ гүйцэтгэхэд хэрэгтэй

бүх зүйл нь хаяг бүрийг Телнет холболтоор шалгах явдал. Амжилттай холболт бүрд

сканнер бичлэгүүдийг нь текст файлд хадгална. Энэ нь дараах байдалтай харагдана.

Trying 199.200.0.0

Connected to 199.200.0.0

Escape Character is "]"

IRIX 4.1

Welcome to Graphics Town!

Login:


Авьяаслаг довтлогчид бүх процессийг автоматжуулсан программ бичдэг. Доор ийм

программын хийх минимум функцийг харуулав.

Шинжилгээг эхлэх (lp login –р Телнет холболтыг шалгана).

Шинжилгээ дууслаа гэсэн дохио иртэл хүлээх

Амжилттай нэвтэрсэн үр дүнгүүдийг үр дүнгийн файлд бичих

Энэ файлуудыг ойлгомжтой өгөгдлийн сангийн хэлбэрт хөрвүүлэх

Шинжилгээ нь хэдэн цаг үргэлжилж болох бөгөөд үүний дараа довтлогч нь нэвтэрч

болох машинуудын жагсаалтыг хүлээн авна. Дараа нь магадгүй шөнөөр довтлогч эргэн

ирж Телнетээр хандаад паспорт файлыг олзлон авна. IRIX-ийн дээрх дутагдлыг засахын

тулд passwd файлыг нээн lp хэрэглэгчийн эхний ба хоѐрдугаар талбарт * оруулна. Ө.х

lp::4:7:lp:/var/spool/lpd:

үүний оронд

lp:*:4:7:lp:/var/spool/lpd:

гэж өөрчлөх хэрэгтэй.

Сүлжээ болон машины талаарх үндсэн мэдээллийг олж авахын тулд дараах

хэрэгслүүдийг ихэвчлэн ашигладаг.

Сүлжээний утилитууд

Олон хүмүүс сүлжээний утилитуудыг сканнер гэж боддог. Энэ бол хийхэд амархан

алдаа юм. Бид сканнеруудыг сүлжээний утилитаас юугаараа ялгаатайг авч үзэх

хэрэгтэй болно. Доор олон янзын үйлдлийн системүүдийн сүлжээний утилитуудыг

харууллаа. Эдний ихэнх нь Unix–д хамаарагдана. Яг бодит байдалд бол эдний ихэнх нь

бай машиндаа мэдрэгдэхгүйгээр үйл ажиллагаагаа явуулж чаддаг юм. Энэ бол том том

мөр үлдээдэг , оршин буй шинж тэмдэг нь мэдэгддэг сканнеруудаас тэдний ялгарах гол

ялгаа нь юм. Үүгээрээ ч тэднийг энгийн машиныг мөрдөн шинжлэхэд ашиглахад

тохиромжтой нь мэдэгдэж байгаа биз дээ. (өөр үгээр хэлбэл эдгээр утилитуудын үйл

ажиллагаа нь автоматчилагдаагүй тул тэднийг ажиллуулахад хүний гар бие оролцоо

ихээр шаардагддаг юм.) Бүгд Unix-ийн утилитууд боловч (Linux дээрээс ажиллана! )

одоо бүх үйлдлийн системд ажилладаг хувилбарууд хэдийн гарсан байна. Ингээд

тэдэнтэй танилцъя.

1. Host


Машин бол стандарт nslookup функцтэй ижил үүрэг гүйцэтгэдэг unix орчны утилит

юм. Ялгаа нь машин илүү дэлгэрэнгүй нэвтэрхий гэж болно. машинтой ижил үүрэг

гүйцэтгэдэг unix-ийн биш олон утилитуудыг бид дараагийн хуудсуудад авч үзэх болно.

Машин нь хамгийн аюултай арван командын нэгэнд зүй ѐсоор орно. Яагаад гэдгийг

харуулахын тулд бид Бостоны их сургууль (BU.EDU) дээр авч үзье. Доорх командыг

өглөө.

host -l -v -t any bu.edu

Гарч ирэх үр дүн нь гайхалтай харагдана. Үйлдлийн систем дэх өгөгдөл, машинууд, ба

сүлжээ нь ерөнхийдөө харагдана. Эхлээд үндсэн мэдээллүүд харагдана.

Found 1 addresses for BU.EDU

Found 1 addresses for RS0.INTERNIC.NET

Found 1 addresses for SOFTWARE.BU.EDU

Found 5 addresses for RS.INTERNIC.NET

Found 1 addresses for NSEGC.BU.EDU

Trying 128.197.27.7

bu.edu 86400 IN SOA BU.EDU HOSTMASTER.BU.EDU(

961112121 ;serial (version)

900 ;refresh period

900 ;retry refresh this often

604800 ;expiration period

86400 ;minimum TTL

)

bu.edu 86400 IN NS SOFTWARE.BU.EDU

bu.edu 86400 IN NS RS.INTERNIC.NET

bu.edu 86400 IN NS NSEGC.BU.EDU

bu.edu 86400 IN A 128.197.27.7

Энэ мэдээлэл нь аюултай биш байна. Энд хэсэг машин ба тэдний нэрний серверийг

тодорхойлж байна. Ийм мэдээллийн ихэнх нь стандарт whois командаар олддог. Гэвч

дараах зүйлд юу гэж хэлэх вэ?

bu.edu 86400 IN HINFO SUN-SPARCSTATION-10/41 UNIX

PPP-77-25.bu.edu 86400 IN A 128.197.7.237

PPP-77-25.bu.edu 86400 IN HINFO PPP-HOST PPP-SW

PPP-77-26.bu.edu 86400 IN A 128.197.7.238


PPP-77-26.bu.edu 86400 IN HINFO PPP-HOST PPP-SW

ODIE.bu.edu 86400 IN A 128.197.10.52

ODIE.bu.edu 86400 IN MX 10 CS.BU.EDU

ODIE.bu.edu 86400 IN HINFO DEC-ALPHA-3000/300LX OSF1

Эндээс бид OSF/1 үйлдлийн системтэй DEC Alpha машин байгааг мэдэж авна

(ODIE.bu.edu).

STRAUSS.bu.edu 86400 IN HINFO PC-PENTIUM DOS/WINDOWS

BURULLUS.bu.edu 86400 IN HINFO SUN-3/50 UNIX (Ouch)

GEORGETOWN.bu.edu 86400 IN HINFO MACINTOSH MAC-OS

CHEEZWIZ.bu.edu 86400 IN HINFO SGI-INDIGO-2 UNIX

POLLUX.bu.edu 86400 IN HINFO SUN-4/20-SPARCSTATION-SLC UNIX

SFA109-PC201.bu.edu 86400 IN HINFO PC MS-DOS/WINDOWS

UH-PC002-CT.bu.edu 86400 IN HINFO PC-CLONE MS-DOS

SOFTWARE.bu.edu 86400 IN HINFO SUN-SPARCSTATION-10/30 UNIX

CABMAC.bu.edu 86400 IN HINFO MACINTOSH MAC-OS

VIDUAL.bu.edu 86400 IN HINFO SGI-INDY IRIX

KIOSK-GB.bu.edu 86400 IN HINFO GATORBOX GATORWARE

CLARINET.bu.edu 86400 IN HINFO VISUAL-X-19-TURBO X-СЕРВЕР

DUNCAN.bu.edu 86400 IN HINFO DEC-ALPHA-3000/400 OSF1

MILHOUSE.bu.edu 86400 IN HINFO VAXSTATION-II/GPX UNIX

PSY81-PC150.bu.edu 86400 IN HINFO PC WINDOWS-95

BUPHYC.bu.edu 86400 IN HINFO VAX-4000/300 OpenVMS

Би үлдэх бичлэгүүдийг нь орхилоо (яг иймэрхүү 1500 мөр орчим). Хэлэх гэж буй санаа

нь энгийн команд мөрнөөс (Dos ийн биш жш unix-ээс) хэн ч гэсэн нэг домайн доторх

бүх машинуудын тухай эгзэгтэй мэдээллийг олж авч чадаж байна гэсэн зүйл юм.

Довтлогчид дээрх мэдээллийг хараад тэд үнэндээ доорх зүйлийг мэдэх болно.

Хэрэв –d –s командууд бие биеээсээ секундын зайтай илгээгдвэл (мөн тэдний

хооронд өөр машин команд орж ирэхгүй бол) ODIE.bu.edu машинд -d -s нүхийг

ашиглаж болно гэсэн үг.

CHEEZEWIZ.bu.edu нь lp login нүх эсвэл Телнетийн нүхтэй байх болзошгүй машин

байна. Эсвэл бид хуудсан дээр нь байвал бид түүний / usr / etc / msdos директорт

floppy mounter нүхийг ашиглаж болох юм.

POLLUX.bu.edu нь хуучин машин байна . Магадгүй Sun Patch-ID# 100376-01

хэрэглэгддэггүй байж болох юм. Магадгүй тэд SunOS 4.1.x ийн шинэ тархалтын

программийг хадгалдаг ч байж болно.


Би PSY81-PC150.bu.edu машин дээр Windows 95 байгааг харж байна. Би тэнд SMB

протокол ажилллаж байгаа эсэхийг мэдэхийг хүсч байна. Хэрэв байгаа бол ямар

нэгэн дотоод директоруудаас share хийсэн болов уу? Тэгвэл Linux –ийн Samba-г

ашиглан би интернетийн хаанаас ч эдгээр директоруудын аль нэг рүү довтолж

чадна.

Эндээс харахад үйлдлийн системийн тухай хамгийн энгийн мэдээллүүд нь ч ямар нэгэн

проблеммийг үүсгэж байна. Бостон сургуулийнхан дээр дурдсан бүх нүхнүүдийг хаасан

юм. Гэвч энэ нь бүх машинууд ингэдэг гэсэн үг биш. Харин ихэнх нь ингэдэггүй юм.

Машин команд нь сүлжээг ачаалалтай байхад ч ердөө л 3 сек авдаг.

Түүнээс хамгаалах хэдэн арга байдгийн нэг нь firewall ажиллуулах явдал юм. Өөрөөр

нэрний серверийн дуудалтад тодорхой хаягийн хязгаараар хязгаарлаж өгөх хэрэгтэй.

Өөр нэг арга нь нэрний серверт гаднаас ямарч хандалттгүй болгох юм.

2. Traceroute

Товчоор энэ программ нь хоѐр машины хооронд дахь замыг олдог. Өөрийн пакетуудын

замыг мөрдөх нь (өөрөөр чиний пакетуудыг хаяж буй өөдгүй сүлжээний үүдүүдийг

олох нь ) хэцүү байж болох юм. Traceroute нь IP протоколын “хугацаагаар амьдрах”

талбарыг өөрчлөн ашиглаж ямар нэгэн машин хүртэлх замд буй сүлжээний үүд бүрээс

ирж байгаа ICMP TIME_EXCEEDED хариултыг илрүүлэх тогтоохыг оролддог. Энэ

утилит нь машины байршлыг олж тогтооход хэрэглэгддэг. Жишээ нь өөрийн ISP дээ

PPP-р холбогдсон хэн нэгнийг олох мөрдөх хэрэгтэй болжээ гэж үзье. Whois командаар

зөвхөн түүний IP хаяг л олдсон байг. Чи энэ машиныг traceroute-р олж чадна. Жишээ

нь доорх мэдээлэл нь францд байгаа машинаас уг машиныг traceroute –р хайсан болог.

1 193.49.144.224 (193.49.144.224) 3 ms 2 ms 2 ms

2 gw-ft.net.univ-angers.fr (193.49.161.1) 3 ms 3 ms 3 ms

3 angers.or-pl.ft.net (193.55.153.41) 5 ms 5 ms 5 ms

4 nantes1.or-pl.ft.net (193.55.153.9) 13 ms 10 ms 10 ms

5 stamand1.renater.ft.net (192.93.43.129) 25 ms 44 ms 67 ms

6 rbs1.renater.ft.net (192.93.43.186) 45 ms 30 ms 24 ms

7 raspail-ip2.eurogate.net (194.206.207.18) 51 ms 50 ms 58

8 raspail-ip.eurogate.net (194.206.207.58) 288 ms311 ms 287 ms

9 * Reston.eurogate.net (194.206.207.5) 479 ms 469 ms

10 gsl-sl-dc-fddi.gsl.net (204.59.144.199) 486 ms 490 ms 489 ms


11 sl-dc-8-F/T.sprintlink.net (198.67.0.8) 475 ms * 479 ms

12 sl-mae-e-H2/0-T3.sprintlink.net (144.228.10.42)498 ms 478 ms

13 mae-east.agis.net (192.41.177.145) 391 ms 456 ms 444 ms

14 h0-0.losangeles1.agis.net (204.130.243.45)714 ms 556 ms714 ms

15 pbi10.losangeles.agis.net (206.62.12.10) 554 ms 543 ms 505 ms

16 lsan03-agis1.pbi.net (206.13.29.2) 536 ms 560 ms *

17 * * *

18 pm1.pacificnet.net (207.171.0.51) 556 ms 560 ms 561 ms

19 pm1-24.pacificnet.net (207.171.17.25) 687 ms 677 ms 714 ms

Эндээс эхлэн тэр Лос-Анжелес, Калифорнид байгаа нь тодорхой болж байна

pbi10.losangeles.agis.net (206.62.12.10) 554 ms 543 ms 505 ms

тэгээд pacificnet.net –д ажилладаг :

pm1.pacificnet.net (207.171.0.51) 556 ms 560 ms 561 ms

Traceroute нь хаа нэгтээ байгаа машины оршин буй харьцангуй сүлжээний байршлыг

олж тогтооход хэрэглэгдэж болно. Тэмдэглэн хэлэхэд traceroute-ийг ажиллуулахад чамд

заавал Unix байх шаардлаггүй. Интернетийн хаа сайгүй Traceroute gateway (үүд хаалга)

байдаг.

3. rusers ба finger

rusers ба finger нь хоѐул сүлжээн дэх хэрэглэгчдийн тухай мэдээллийн олж авахад

хэрэглэгддэг. Жишээ нь wizard.com домайн дээр rusers командаар

доорх зүйлийг буцаана.

gajake snark.wizard.com:ttyp1 Nov 13 15:42 7:30 (remote)

root snark.wizard.com:ttyp2 Nov 13 14:57 7:21 (remote)

robo snark.wizard.com:ttyp3 Nov 15 01:04 01 (remote)

angel111 snark.wizard.com:ttyp4 Nov14 23:09 (remote)

pippen snark.wizard.com:ttyp6 Nov 14 15:05 (remote)

root snark.wizard.com:ttyp5 Nov 13 16:03 7:52 (remote)

gajake snark.wizard.com:ttyp7 Nov 14 20:20 2:59 (remote)

dafr snark.wizard.com:ttyp15Nov 3 20:09 4:55 (remote)

dafr snark.wizard.com:ttyp1 Nov 14 06:12 19:12 (remote)


dafr snark.wizard.com:ttyp19Nov 14 06:12 19:02 (remote)

сонирхолтой дасгал болгож яг үүний дараа finger командыг бичиж үзье.

user S00 PPP ppp-122-pm1.wiza Thu Nov 14 21:29:30 - still logged in


user S04 PPP ppp-121-pm1.wiza Fri Nov 15 00:03:22 - still logged in





user S-1 0.0.0.0 Sat Aug 10 15:50:03 - still logged in


user S12 PPP ppp-111-pm1.wiza Wed Nov 13 16:58:12 - still logged in

Анхандаа ийм мэдээлэл нь тийм ч хэрэгтэй биш мэт санагдаж болно. Хэдийгээр тийм

боловч ийм аргаар чи хэрэглэгчийг зөв тодорхойлж чадна. Жишээ нь интернетийн

тодорхой хэсэг нь ямар нэг хэмжээний anonymity (санамсаргүй)байдлыг гаргадаг.

Internet Relay Chat (IRC) бол ийм системийн нэг юм. Unix төрлийн үйлдлийн системтэй

хувь хүн өөрийн IRC хаягийг аятайхан нууж чадах боловч IP хаягаа тийм амархан

нуучихаж чадахгүй . Finger болон rusers командуудыг дарааллуулан ашигласнаар чи уг

хэрэглэгчийг яг жинхэндээ хэн болохыг мэдэж чадна.

Ямар нэгэн машинд одоо холбогдоод байгаа хэрэглэгчдийн төлөвийг тэд илрүүлдэг.

Жишээ нь уг хэрэглэгчийн жинхэнэ нэр (хэрэв байгаа бол), түүний хамгийн сүүлд login

хийсэн огноо, мөн ямар команд мөрний хэлбэрийг хэрэглэж байгааг нь мэдэж болно.

Ихэнх PC үндэслэсэн үйлдлийн системд тусгай сервер программ хангамж

суулгалгүйгээр тэд ажиллахгүй.

Хувь хүн хэрэглэгчийг finger хийхтэй ижлээр хэдэн түлхүүр процессуудыг

finger хийж чадна.

Finger хийгдэх процессууд :

Процесс Зорилго

lp Line Printer даемон

UUCP UNIX to UNIX copy

root Root оператор


mail Mail System даемон

finger утилитыг ашигласнаар чи эдний тухай чухал мэдээлэл тухайлбал тэдний үндсэн

директор, тэд хамгийн сүүлд хэрэглэгдсэн эсвэл login хийгдсэн хугацааг олж мэдэж

болно.

Эдгээр мэдээлэл нь кракерийн ертөнцөд ч хэрэг болно. Ийм мэдээллийг ашиглан

бай машиныхаа талаар хүчтэй мэдлэгийн сан үүсгэж болох юм. Login-уудыг ажиглан чи

машинуудын хоорондох итгэлцлийн холбоог хялбар харж болно. Мөн дотоод

хэрэглэгчдийн зан заншил зуршлыг тэндээс харж болно.

4. Showmount

Showmount нь гадаад хэрэглэгчдийн талаар зарим сонирхолтой мэдээллийг илрүүлж

өгдөг. Хамгийн чухал нь – е аргументтайгаар хэрэглэвэл тэрээр заасан машины бүх

хуваалцсан (shared) директоруудын жагсаалтыг гаргадаг. Эдгээр директорууд нь

интернетийн хаа нэгтээгээс харагдаж ч болно харагдахгүй ч байж болно. Дээрх UNIX

утилитуудын аль нь ч сканнер биш юм. Хэдийгээр тийм боловч тэд бай машины талаар

үнэтэй мэдээллүүдийг өгч байна.

Үндсэн мэдээллийг олж нэвтрэлт хийх

Хувь хүнийг хайхад хайлтын системүүд шаардагдана. Хэрэглэгчийн хоѐр төрлийн хаяг

байдгийн эхнийх нь цахилгаан шуудан хаяг, дараах нь IP хаяг болно. Энэ хоерын нэг

нь нууцлагдсан байхад нөгөөг нь олж чадахгүй гэсэн онол байдаг. Энэ бол худал.

Эхлэхийн өмнө дараахыг авч үзье. Бид дараах утилитыг ашиглана.

Finger

Энэ нь Unix-т байдаг өгөгдсөн сүлжээн дэх хэрэглэгчдийн тухай мэдээллийг гаргах

зориулалттай утилит юм. Finger нь Клиент/Сервер загварт үндэслэгдсэн. Зарчмыг нь

тайлбарлая. Сервер машин нь (бараг үргэлж UNIX байдаг) fingerd нэртэй серверийг

ажиллуулж байдаг. Энэ нь finger хүлээгч юм. Түүний үүрэг нь санамсаргүйгээс

(Интернет) ирэх finger хүсэлтэд хариулах явдал юм. Тэрээр серверийн тохируулга,

хэрэглэгчийн хувийн тохируулганаас хамаарч ялгаатай мэдээллүүдийг буцаадаг.

Жишээ нь зарим нээлттэй (firewall ажиллуулаагүй) UNIX систем нь finger хандалтыг

хэрэгсэхгүй болгосон байдаг. Үүнийг хийхдээ finger хүлээгчийг file/etc/inetd.conf

файлаас зайлуулах замаар гүйцэтгэдэг. Олон байгууллагууд ихэвчлэн засгийн газрын,

хувийн корпорациуд finger-ийг хүчингүй болгосон байдаг. Жишээ нь Finger серверийн


оригиналь (default) тохируулга нь “Нээлттэй Систем”-ийг хийх чадвартай байдаг. Ийм

finger идэвхжсэн бол хэн нэгэн хүн уг машинд холбогдсон бүх хэрэглэгчдийн

мэдээллийг олж авч чадна. Үүнийг UNIX-т гүйцэтгэхдээ дараах командыг өгнө.

Finger@миний_дайрах_хост.com

@ нь хайлт хийх үед хэрэглэгддэгтэй ижил үүрэг гүйцэтгэнэ. Үүниийг цөөн

хэрэглэгчтэй системд эсвэл шөнө орой хэрэглэхэд тохиромжтой байдаг. Finger нь

UNIX , WinNT-д байдаг ба бусад үйлдлийн системийн хувьд интернетээс авч ашиглаж

болно. Finger нь чиний цахилгаан шуудан хаягийг индексээр ашигладаг. Зарим хүмүүс

өөрийн броузерынхаа тохируулгын цонхноос өөрсдийн цахилгаан шуудан хаягийг

өөрчилснөөр өөрийн аюулгүй байдлыг хангана гэж үздэг . Энэ бол үнэн биш. Энэ нь

зөвхөн чиний цахилгаан шуудан хаягийг олж авахад л илүү түвэгтэй болгох юм. Finger

–ийг зөв зохистой зорилгоор СА-ууд ашигладаг. Жишээ нь Finger сервер нь мэдээллийн

хялбар түгээлтийг бий болгоно. Үүнийг хийхийн тулд хэрэглэгчдэд нь plan файл байх

ѐстой. Ихэнх UNIX –д хэрэглэгчдийн директор нь / home эсвэл /usr директорт байдаг.

(Үүнийг өөрөөр СА нь тохируулж болно). Энэ хэрэглэгчийн директорт хэрэглэгч анх

удаа орж ажиллахад бүлэг файл автоматаар үүсдэг. Гэвч plan файл нь үүсэхгүй бөгөөд

түүнийг хэрэглэгч өөрөө үүсгэх хэрэгтэй. Энэ файл нь UNIX –д plan.txt гэж

хадгалагддаг. Түүний зорилго нь уг хэрэглэгч finger командад өртөх үед түүнд

хэрэглэгчийн заасан мэдээллийг буцаах явдал юм. Plan файл нь finger серверээр

мэдээлэл тархах нэг зам юм.

Finger-ийн хүсэлт нь уг хостын 79-р портоор дамжигддаг. Finger-ийн эсрэг

MasterPlan утилит байдаг. Тэр чамд хэн finger хийгээд байгааг илрүүлж чадна. Finger-

ийн хүсэлт ирэх бүр уг ирүүлсэн машины hostname болон UserID г нь бүртгэн авдаг.

Мөн тэрээр чамайг хэн нэг нь Clock хийх гэж буй эсэхийг хялбархан мэддэг. Үүнд

Clock хийх гэдэг нь хэн нэгэн хүн чиний сүлжээгээр ихэвчлэн юу хийж байдаг

,ихэвчлэн хэзээ log хийдэг , цахилгаан шуудан-ээ ямар давтамжтай шалгадаг, зэргийг

чинь finger болон r команд г.м утилит ашиглан мэдэхийг оролдохыг хэлнэ. (Жич:

[email protected] руу finger хийж үзээрэй.)

Чиний ISP чинь finger-ийг хаагаагүй бол чиний тухай ямар ч мэдээллийг олж

болно. Хэн нэг нь чам руу finger хйитэл чи түүнийг хаасан байжээ гэж бодъѐ. Тэгвэл

тэр чиний ISP-ийн мэйл сервер рүү Телнетээр хандаад (25-р портоор хандах ба хэрэв


ISP чинь paranoid эсвэл firewall ажиллуулаагүй л бол хүлээн авдаг.) дараах маягийн

зүйл гарчээ.

220 Shell . Sendmail SMI-8.6/SMI-SVR4 ready at Wed, 19 Feb 1997 07:17:18 –0800

Хэрэв тэр ийм промптой тулгарвал тэрээр 80% магадлалтайгаар чиний мэдээллийг олж

авч чадна. Мэдээллийг

Expn username командаар олж авна.

Энэ программ нь мэйл цуглуулгаас хэрэглэгч нэрийг түүний мэйл хаяг, жинхэнэ

нэрийг нь гаргаж өгөхийг хүсдэг. Үүний хариуд дараах мэдээлэл гарна.

Хэрэглэгчийн нэр <хэрэглэгчийн_нэр@target_of_probe.com> Жинхэнэ нэр

Expn функцийг СА хааж болох боловч ингэх нь цөөн байдаг. Учир нь Sendmail

программ нь төгс том программ бөгөөд зөвхөн түүний тохируулгын талаар бүхэл

ном байдаг. Иймээс ч Sendmail нь интернет дэх Нууцлаг нүхний эх булаг болж

байдаг.

Гэвч маш өргөн тархсан , хамгийн сайн программ тул түүнийг ашиглахгүй

байхын аргагүй. Хэрэв expn функц хаагдсан бол төвөгтэй залуу Vrfy функцээр чиний

account байгаа эсэхийг шалгаж чадна. Иймд хэрэв чи Интернетэд нууцаа алдахгүйг

хүсвэл жинхэнэ нэрээ хэзээ ч /etc/passwd файлын талбарт бичихийг зөвшөөрөхгүй байх

хэрэгтэй.

Чиний жинхэнэ нэр цахилгаан шуудан хаяг зэргийг олсны дараа тэр чамайг

хаана оршин суудгийг мэдэх хэрэгтэй . Үүний тулд Whois үйлчилгээг ашиглана.

Whois үйлчилгээ

Whois үйлчилгээ нь (төв нь rs.internic.net) бүх интернет site-уудын домайны

бичлэгүүдийг агуулж байдаг. Энэ өгөгдлийн сан нь site бүрийн сервер хаягуудын

домайн нэр , техник холбоонууд ( цахилгаан шуудан), утасны дугаар ба хаяг зэрэг

мэдээллээс тогтоно. Эндээс чиний ISP-ийн хаяг Монголд гэдгийг мэдэж авна. Одоо

тэрээр


http://www.worldpages.com-д хандана . Энэ бол дундаж хэмжээний white page- тэй маш

төстэй. Тэнд олон сая интернет хэрэглэгчдийн цахилгаан шуудан хаяг утасны дугаар

хадгалагдаж байдаг. Энд чиний нэр ба хаягийг өгөөд хайлгана. Тэр 3 ижил нэр олжээ

гэж бодъѐ. Дарханд нэг, УБ-д нэг ,Эрдэнэтэд бас нэг нь байг. Аль нь чи вэ? Гэдгийг

мэдэхийн тулд host команд ашиглана. Host нь өгөгдсөн сүлжээн дэх бүх машиныг

тэдний оршин байх газартай нь харуулдаг. Машин нь хотынхоо оршин байгаа

газрынхаа нэрээр хаяа нэрлэгдчихсэн байдаг. Иймд дараах зүйлийг чи харж болох юм.

UB.target_provider.com

Эндээс УБ-д байна гэж дүгнэнэ. Дараа нь тэр чиний Usenet илгээмжийг дахин үзнэ.

Энэ илгээмжийн толгойн бичлэгийг үзээд түүнийг олж авсан замыг харж болно. Энэ

замыг шалгаад ямар сервер энэ мэдээг илгээснийг тодорхойлно. Нөгөө хүн

Илгээмжийн серверийн нэрийг задлана. Энэ нь бараг үргэлж оршин буй газрынхаа

нэрээр нэрлэгдсэн байх ба IP хаяг нь байдаггүй. Уг хүн ажлаа дуусгасан боловч IP хаяг

хэрэгтэй. Тиймээс дахин Илгээмжийн сервер рүү очиж Телнетээр хандана. Телнет

ачаалагдахад Ip хаягийг DNS –с хайна. Ийм үйл ажиллагаагаар машин нь ямар хотод

байгааг олж болно. Мөн өөр аргаар олж болохын нэг нь Traceroute хүсэлт юм.

Энэ мэдээллийг олж аваад тэр World Page-д буцан очиж чиний нэрийг сонгоно.

Хэдэн секундын дараа чиний орчны график газрын зураг гарч ирнэ. Яг байгаа газар

чинь дугуйлагдсан байна. Эндээс тэр улам сонирхолтой мэдээлэл цуглуулж эхэлнэ.

Чиний улс төрийн төлөв, санал өгсөн байдлыг мэднэ.

http://www.wdia.com/lycos/voter-records.html

Чиний төрсөн өдөр болон нийгмийн мэдээллийг чинь http://kadima.com-с

харна.

Асуудал нь интернетийн дизайнд өөрт нь байна. Ихэнх үйлчилгээнүүд хэрэглэгчийнхээ

нэрийг ил гаргаж байна. Жишээ нь цахилгаан шуудан нь илгээгчийн хаягийг толгойн

хэсэгт нь хийчихдэг, Файлын дамжуулалт (FTP), гадаад login (ө.х Телнет) , HTML

Browsers (ө.х WWW) нь өөрсдийн хэрэглэгчдийн hostname, ID зэргийг нь ил авч явдаг.

Энэ процесс нь холболтын эхний мөчид л эхэлдэг.

1.3 Интернетийн дайн дахь зэвсэглэл


1.3.1 Энгийн утилитууд

Корпорацийн болон засгийн газар нь өөрсдийн мэдээллээ хадгалах үнэтэй сайн

программ хангамжийг (тэдгээрийн зарим нь нийтэд зарагддаггүй.) ашигладаг. Эдгээр нь

ерөнхийдөө хамгаалах үүрэгтэй. Нийтийн хэсэг нь арай бага чадалтай ихэнх нь

интернетэд үнэгүй эсвэл shareware-р байдаг утилитуудийг ашигладаг. Тэдгээрийн

ихэнхийг компьютерийн ухааны сургуулийн оюутнууд зохиосон байдаг. Энд

хэрэглэгддэг зарим утилит нь

Цахилгаан шуудан бөмбөг

Энэ программыг ашиглаж тодорхой зааж өгсөн хаягийг хэрэгтэй хэрэггүй цахилгаан

шуудангаар булж болдог. Зарим хүмүүс нь ирж буй захиа бүрт тодорхой мөнгө төлдөг

тул тэдэнд ийм дайралт үнэтэй тусах талтай. Хэрэв уг хүний компьютерийн санах

байгууламж нь дутмаг бол энэ программыг ашиглан уг хүнд өөр мэдээлэл ирэх аргагүй

болгож болно. Windows орчны нэг ийм программ нь Mail Bomber юм. Тэрээр заагдсан

серверийн 25-р порттой холбоо барьж бөмбөгддөг.

Жагсаалтад холбох (List Linking)

Жагсаалтад холболт нь нэлээд өссөөр байна.Үүний санаа нь цахилгаан шуудан

бөмбөгтэй ижил боловч ялгаатай захиагаар дардгаараа өөр юм. Жагсаалт үйлчилгээг

гаргах сервер цахилгаан шуудан хаяг зохион байгуулагдана. Энэ цахилгаан шуудан

хаяг нь биелэх программын заагч юм. Энэ программ нь хэрэглэгчдийн цахилгаан

шуудан хаягуудын жагсаалтыг өөртөө агуулсан 2-тын файл эсвэл script байдаг. Тэгээд

ямар нэг мэдээлэл уг хаягаар гарах үед уг мэдээлэл хаягийн жагсаалт дах бүх

хэрэглэгчдэд хүрдэг. Энэ нь интернетээр хэрэглэгчиддээ мэдээлэл зарлах үед

хэрэглэгддэг. Жагсаалтад холболт нь дунджаар өдөрт 30 орчим захиа явуулах бөгөөд

энэ нь бүгд хэрэглэгчдэд хүргэгддэг. Ийм хаягын жагсаалтад машиныг хоѐр аргаар

оруулдаг. Өөрөө гар аргаар эсвэл цахилгаан шуудангаар оруулж болно. Уг хаягаар

цахилгаан шуудангаар “subscribe” гэсэн үгтэй захиа явуулдаг(захианы биенд эсвэл

subject хэсэгт). Сервер уг мэдээллийг хүлээн аваад бүртгэдэг. Нөгөөх арга нь ихэвчлэн

уг серверийн 25-р портоор Телнетээр хандана. Тэнд Hello командаар мэйл холболт

үүсгэнэ. Тэгэнгүүт ирүүлсэн хаягаа зааж өгнө.


Internet Relay Chat

Энэ системд flash хэмээх утилитыг хэрэглэн

Заасан машины IRC сувгийг хаах

Заасан машины сувгийг ашиглан үргэлжлүүлэх чадварыг устгах

зэргийг хийж болно. Энэ утилит нь С дээр бичигдсэн бөгөөд Интернетийн олон зуун

хуудсууд дээр байдаг. Энэ программыг ашиглан заасан машин руу олон тооны

тэмдэгтийг илгээдэг. Энэ үед уг машины дэлгэцэн дээр олон төрлийн хачин тэмдэгтүүд

харагдаж холболтоо хаахаас өөр аргагүй болно. Ийм программ болох flash ийг харах

авахыг хүсвэл хайгч броузеруудад flash.c, flash.c.g2 , flash.g2, megaflash-н аль нэгийг

эсвэл бүгдийг бичиж хайлгах хэрэгтэй. Өөр өргөн хэрэглэгддэг утилит бол nuke юм.

Тэр flash-с илүү чадалтай. Хэн нэгэнд хандахын оронд серверт буй бүх үйлчлүүлэгчид

хүрч чадна. Түүнийг nuke.c гэж хайж олж болно.

Одоо ашиглагдаж буй түлхүүр утилитууд нь

Ls : DOS,Unix ийн директор бүтцийг шинжлэн тэнд буй бүх файлын

мэдээллийг бичиж авна(бүртгэнэ). Энэ нь файлын сэжигтэй өөрчлөлтийг

тодорхойлоход хэрэглэгдэнэ (трояныг илрүүлэхэд тус болно).

Clog : Гаднаас довтлогчид системд нүх олохыг оролдож буй эсэхийг

мэдэрнэ.

Logcheck : log файлыг ашиглан системийн харшил гарсан эсэхийг тогтооно.

Netlog : TCP/IP холболтыг хүлээх ба хийнэ (түүн доторх сэжигтэй үйлдлийг

хайна).

DumpAcl : Хандалтын хяналтын мэдээллийг уншиж болмоор хэлбэрт

хөрвүүлэн системийн нууцлаг шинжилгээг хийх боломж олгох Windows NT

орчны программ.

1.3.2 Сканнер гэж юу вэ?

Энэ хэсэгт жинхэнэ сканнерүүд тэдгээр нь сүлжээ оношлогч бусад утилитуудаас

ямар ялгаатай болох зэрэг асуудлуудыг авч үзнэ. сканнер бол гадаад эсвэл дотоод

машин дахь нууцлаг сулралыг автоматаар илрүлдэг программ юм.

Сканнерүүд хэрхэн ажилладаг вэ?


Жинхэнэ сканнерүүд бол TCP/IP портыг шинжилдэг, ө.х TCP/IP порт руу эсвэл

TCP/IP үйлчилгээнүүд рүү (Телнет, FTP ) довтолдог ба “бай” машинаас ирэх

хариултуудыг бичдэг программууд юм. Энэ замаар тэд “бай” машины тухай хэрэгтэй

мэдээллүүдийг цуглуулж авдаг. Мөн зөвхөн Unix сүлжээний утилитууд байдаг . Эдгээр

нь ихэвчлэн уг гадаад машин дээр тодорхой үйлчилгээнүүд зөв ажиллаж буй эсэхийг

мэдэхэд ажиглахад хэрэглэгддэг. Тэд жинхэнэ сканнер биш боловч “бай” машины

тухай мэдээлэл цуглуулахад хэрэглэж болох юм (ийм утилитын жишээ нь rusers мөн

Unix –т байдаг host команд болно). Rusers нь “бай”-д одоо холбогдоод байгаа

хэрэглэгчдийн тухай мэдээллийг олж авдаг бөгөөд үүгээрээ unix-н finger командтай

ижил юм. сканнерууд нь ихэвчлэн Unix дээр ажиллахад зориулагдан бичигдсэн боловч

одоо бараг бүх үйлдлийн системүүд дээр ажилладаг болсон юм. Unix-н биш сканнерүүд

улам түгээмэл болжээ. Cканнер ажиллахад шаардлагатай системийн нөөц нь уг

сканнерээс , үйлдлийн системээс мөн интернетэд холбогдсон байдлаас нь хамаарна.

Зарим сканнерүүд зөвхөн Unix-ийн нөөцийг шаарддаг. Гэвч ихэнх нь дараах

нөхцлийг шаардана.

Хэрэв чи хуучин Макинтошоос эсвэл интернетэд бага хурдаар холбогдсон

IBM төрлийн машинтай (ү/c тэй) бол (жишээ нь 14.4 хурдтай модемоор

TCP/IP стекийг TCPMAN-р ажиллуулж буй Windows 3.11 –г ашиглаж буй

бол) ийм тохируулга нь стекийн дүүрэлт (overflow), эсвэл хамгаалалтын

алдаа эсвэл энгийнээр чиний машиныг эвгүй байдалд оруулж болно.

Ерөнхийдөө хурдтай холбогдсон байх тусмаа илүү сайн. (Цэвэр 32 битийн

систем нв сайн хурдыг хангадаг.)

RAM нь нэн ялангуяа windows-т үндэслэгдсэн сканнеруудад үндсэндээ

хамаатай. Жирийн командын мөрнөөс ажиллах утилитууд бага санах ойг

шаарддаг. Жишээ нь ISS-ыг авч үзье. Түүний команд мөрөөр ажиллах хуучин

хувилбар ба unix-ийн орчинд ажиллах шинэ хувилбар XISS нь нэн их

ялгаатай байна.

Сканнерыг хийхэд TCP/IP-н сайн мэдлэг мөн С, ПЕРЛ хэлний мэдлэг, Клиент/Сервер

программ зохиох дэвсгэр мэдлэг шаардагдана. Сканнер нь нууцлаг хөгжүүлэх

зорилгоор бичигдсэн байдаг тул хууль ѐсны программ хангамж юм.

War dialer нь хэрэглэгчээс зааж өгсөн утасны дугааруудаас залгаж холболт хийх

боломжийг хайдаг программ хангамжаас бүрдэнэ. (ө.х гадаад хэрэглэгчийг орох


боломж (login) олгох машиныг хайх) Ийм утилитуудыг ашиглан довтлогчид нь бүхэл

бүтэн бизнесийн солилцоо үйл ажиллагааг хэдэн цагийн дотор хянаж (scan хийж) энэ

хүрээнд холбогдож буй бүх машиныг тэмдэглэж ялгана. Ийм замаар байнуудыг

илрүүлэх үйлдлүүд нь автоматчилагдана. War dialer-үүд нь холболт бүрээс ирэх

хариултуудыг бичээд хүн уншиж болмоор файлд хөрвүүлнэ. Иймд хүн уг файлаас

зөвхөн ямар дугаарууд холбогдсоныг ч биш мөн ямар төрлийн холбоос үүссэнийг харж

болдог (2400 модемоор эсвэл fax машинаар г.м). Яг үнэндээ сканнерууд нь дараах

зүйлээр тэднээс ялгарна.

Сканнер нь зөвхөн интернетэд эсвэл TCP/IP сүлжээнд хэрэглэгдэнэ.

Сканнер нь War dialer-с илүү ухаалаг.

Сканнер ийн атрибутууд

Сүлжээ ба машиныг хайж олох чадвар.

Машиныг олсныхоо дараа ямар үйлчилгээнүүд уг машин дээр ажиллаж байгааг

тогтоох чадвар.

Уг үйлчилгээнүүд дэх урьд нээгдсэн нүхнүүдийг шалгах чадвар.

Энэ процесс нь тийм бүрэн төгс байдаггүй. Гол үндэс нь хувь хүн тодорхой нэг

үйлчилгээнд холбогдохыг оролдох үед үүсгэгдсэн дохиог барьж авахтай холбоотой.

Одоо түгээмэл байдаг сканнерүүдийн тухай авч үзнэ.

NSS (Network Security Scanner)

NSS нь маш нууцлагдсан сканнер юм. Хэрэв хайгч системүүдээр хайвал түүнтэй

холбоотой хуудсын тоо 20-с хэтрэхгүй байгааг харж болно. Гэвч энэ нь түүнийг цөөхөн

хэрэглэдэг гэсэн үг биш.Ихэнх FTP хуудсуудад түүнийг халхавчилсан эсвэл WWW

хайлтад харагдахгүй болгосон байдаг. Түүнийг ПЕРЛ хэлээр бичсэн ( Satan-ыг мөн энэ

хэлээр бичсэн ба харин ISS ба Strobe –ыг бол үгүй). ПЕРЛ нь интерпретатор тул

хэрэглэгчдэд зарим мөр хэсгийг нь өөрчлөх боломж олгодог. Мөн түүний кодыг

уншаад ойлгоход хялбар байна.

Түүнийг DEC платформ дээр (DecStation 5000 and Ultrix 4.4) бичсэн. Тэр ерөнхийлдөө

SunOS 4.1.3 ба IRIX 5.2 үйлдлийн системүүд дээр ажиллах ба бусад систем дээр үндсэн

эсвэл нэмэлт хэсгийг шаардаж болно. Түүний нэг онцлог нь үнэхээр хурдан ажилладаг

явдал юм.

Түүний хийх шалгалтын хүрээ нь

* sendmail


* Anon FTP

* NFS Exports

* TFTP

* Hosts.equiv

* Xhost

Root эрхгүйгээр чи Host.equiv ийг ажиллуулж чадахгүй. Хэрэв чамд үнэхээр үүнийг

ажиллуулах хэрэгтэй байгаа бол чи Linux, Solaris X86 эсвэл FreeBSD ийн аль нэгийн

хуулбарыг авч гэртээ суулгаснаар чи эндээ root эрхтэй болох юм. Энэ бол бусад

сканнерүүдтэй ажиллахад ч гардаг асуудал юм. Тэрээр хүний долоо хоногоор хийх

зүйлийг автоамтжуулдаг гэдгийг өмнө дурдсан билээ.

Strobe

Энэ бол өгөгдсөн машин дахь бүх нээлттэй портыг бүртгэдэг tcp/ip порт шинжлэгч юм.

Түүний түлхүүр онцлог нь уг машин дээр ямар үйлчилгээнүүд ажиллаж байгааг хурдан

тодорхойлдог явдал юм. Кракерүүд түүнийг ашиглан ашиглаж болох (довтолж болох)

үйлчилгээнүүдийн жагсаалтыг олж авдаг. Үр дүн нь ихэвчлэн дараахтай төстэй зүйл

харагдана.

localhost echo 7/tcp Echo [95,JBP]

localhost discard 9/tcp Discard [94,JBP]

localhost systat 11/tcp Active Users [89,JBP]

localhost daytime 13/tcp Daytime [93,JBP]

localhost netstat 15/tcp Netstat

localhost chargen 19/tcp Character Generator [92,JBP]

localhost ftp 21/tcp File Transfer [Control] [96,JBP]

localhost telnet 23/tcp Telnet [112,JBP]

localhost smtp 25/tcp Simple Mail Transfer [102,JBP]

localhost time 37/tcp Time [108,JBP]

localhost finger 79/tcp Finger [52,KLH]

localhost pop3 0/tcp Post Office Protocol-Version 3 122

localhost sunrpc 111/tcp SUN Remote Procedure Call [DXG]

localhost auth 113/tcp Authentication Service [130,MCSJ]

localhost nntp 119/tcp Network News Transfer Protocol 65,PL4

дээрхээс ямар нэгэн нүхний тухай зүйл олж харахгүй боловч strobe-ийг тусгай

параметртэйгээр ашиглан ашигтай үр дүнтэйгээр хэрэглэж болно.

Энэ параметр нь


Эхлэх ба төгсөх портыг зааж өгөх

Хэрэв машины портоос хариу ирэхгүй бол хүлээх хугацааг заах

Хэдэн сокет ашиглахыг заах

Мэдээллээ хадгалах файлыг заах

SATAN

Сатан бол гадаад машин дээрх нууцлагийн сул талыг автоматаар илрүүлдэг

хүчирхэг программ (үнэндээ сканнер) юм.Түүнийг 1995 оны 4 сард интернэтэд

чөлөөтэй тавьсан. Түүний зохиогчид болох Дан Фармер , Вэйтс Венема нарыг

интернетийн одууд гэж хэлж болно. Сатан нь HTML броузерууд дээр ажиллахад

зохицсон тул кракеруудаас системийн бага мэдлэг шаарддаг. Гэвч түүнийг хэрэглэх нь

амар зүйл биш. Юуны өмнө тэр Unix дээр ажилладаг . Уламжлал ѐсоор ийм үйлдлийн

систем нь хотын дэлгүүрүүдэд тэр болгон зарагддаггүй үнэтэй компьютер техник

хангамжийг шаарддаг.Хэдийгээр тийм боловч зарим хүмүүс үүний хариуд одоо IBM-н

компьютеруудад зориулсан UNIX-н үнэгүй хувилбаруудыг дурдаж байгаа. Эдгээрийн

нэг нь Linux юм. Linux бол 32 битийн ,олон хэрэглэгчийн горимтой олон үйлдлийн

горимтой Unix төрлийн үйлдлийн систем юм. Linux нь зөвхөн IBM компьютерүүд дээр

ч биш мөн Motorola 68k, Digital Alpha, Motorola power PC, Sun Microsystems SPARC-т

зохицон ажилладаг.

Unix ийн бага сага мэдлэгтэй хүн Linux-д Сатаныг амжилттай хэрэглэж

чадахгүй. Учир нь ийм программ хөрвүүлэгдсэн (binary) хэлбэрээрээ ховорхон ирдэг.

Иймээс хэрэв AIX-ийг(Unix-ийн нэг хувилбар) ашиглаж байгаа бол сатан нь AIX-т

зориулж хөрвүүлэгдэх ѐстой. Мөн ихэнх PC хэрэглэгчид (Unix-ийн мэргэжилтнээс

бусад )Linux-ыг суулгах оролдлого нь горьдлоггүй байдаг. Иймээс Linux-ын шинэ

хэрэглэгч нь нэлээд туршлагатай болохын тулд дахин нэг жил зарна. Үүнд: MIT-ийн

Xwindow системийг хэрхэн ашигладаг, TCP/IP –ийг хэрхэн тохируулдаг, яаж

интернэтэд зөв холбогдох, хэрхэн задгай программын нэгтгэн хөрвүүлэх зэргийг сурна.

Жилийн дараа энэ бүхнийг сурсны дараа мөн л Сатаныг ашиглаж чадахгүй байж болно.

Учир нь Сатан Linux дээр сайн хөрвөдөггүй . Үүний тулд хэрэглэгч ПЕРЛийн хамгийн

орчин үеийн хувилбарыг суулгасан байх ѐстой. Харин Linux-ийн саяхны хувилбарууд л

үүнийг зөвшөөрнө. Иймд хэрэглэгч мөн л ПЕРЛийг хэрхэн олох , яаж суулгахыг судлах

хэрэгтэй байж болно. Иймд Unix-гүй хэрэглэгч Сатаныг хэрэглэгч хоѐрын хооронд

үнэхээр хол зай байна. Сатан нь засгийн газрын хуудсуудад асуудал болж чадахгүй .

Тэгээд ч тэр цорын ганц ийм хэрэгсэл ч биш. Түүнээс гадна дараах утилитууд байна.


ISS ( Internet Security Scanner)

Strobe

NSS (Network Security Scanner)

IdenTCPscan

Jakal

Эдгээр утилит нь ажиллаж буй TCP/IP үйлчилгээнүүд руу довтлон портыг нээж

гадаад дээр ажилладаг. Эд бүгд нэг л зарчмаар ажиллах бөгөөд : “Тэд мэдэгдэж байгаа

нүхнүүдийг л шалгадаг. ”

Сатаны онцлог нь HTML интерфэйстэй, заасан машинд нэвтрэх хэлбэрээр төгс,

үр дүнг үзүүлэх хүсэнгтүүд мөн нүх илрэх үед түүнийг ашиглах текст сургалттай

программ юм. Түүнийг root эрхтэй хэрэглэгчид ажиллуулж чадна. Satan нь гадаад

машины нүхний шалгалтыг хийдэг. Үүнд :

FTPD-н сулрал ба writable FTP директорууд

NFS-ийн сулралууд

NIS-ийн сулралууд

RSH-ийн сулралууд

Sendmail

Xсервер-ийн сулралуудүүгээр хязгаарлагдахгүй

Мэдээж эдгээр нь урьд өмнө нээгдсэн нүхнүүд юм. сканнер нь кракерийн гараар хийж

чадах тэр бүх зүйлийг л хийдэг гэж болно.

JAKAL

Jakal бол stealth (хулгайн) сканнер юм. Өөрөөр хэлбэл тэрээр домайнийг ямар ч ул мөр

үлдээлгүйгээр (firewall-д мэдэгдэлгүйгээр) шинжилдэг. Ерөнхийдөө тэрээр firewall-ийг

тойруулан ажиллах ба илрүүлэгчийн шалгаж буй портуудыг өнгөрөн ямар

үйлчилгээнүүд уг firewall-ийн цаана ажиллаж байгааг таньж мэдэж авдаг. Stealth

сканнер бол шинэ үзэгдэл юм.

IdentTCPscan

Энэ бол улам сайжруулагдсан сканнер юм. Түүнд өгөгдсөн TCP порт дахь

процессуудын эзэмшигчдийг харуулах чадвар нэмэн суулгагдсан . Энэ нь дараах

байдалтай харагдана.


Port: 7 Service: (?) Userid: root

























Ийм үр дүнгээс уг машины тохируулгагүй байдлыг хурдан тодорхойлж чадах юм.

Жишээ нь дээрх үр дүнг шалгая. Мэргэжилтэн хүн уг жагсаалтыг хараад түүний 12-р

мөр нь нэлээд ноцтой зүйлийг мэдэх болно. Порт 80 нь root үйлчилгээг ажиллуулж

байна. Энэ нь HTTPD-ийг ажиллуулах үед гардаг. Энэ дутагдлыг ашигласан гадны

довтлогч нь өөрийн процессоо root эрхтэйгээр ажиллуулж чадна. Энэ сканер нь маш

хурдан бөгөөд linux, BSDI, SunOS зэрэг үйлдлийн системүүд дээр маш сайн ажилладаг.

Gobbler

Gobbler нь Win 95, DOS орчинд ажилладаг сайн сканнер юм.

1.3.3 Паспорт тайлагчдын тухай судалгаа


Эдгээр нь нууц үгийн хамгаалалтыг арилгагч программ юм (энэ хамгаалалт нь

тусгай аргаар кодлогдсон нууц үг юм). Жинхэн ѐсоор хамгаалагдсан нууц үгийг тэд

тайлж чадахгүй. Нууц үгийн текст хэлбэрээр олоод авчихдаг программ байхгүй. Үүний

оронд нууц үгийг оригиналь нууц үгтэй тулгах замаар ажилладаг утилитууд

хэрэглэгддэг. Хэрэв хэрэглэгч толь бичиг дээрх үгийг хэрэглэвэл ямарч хамгаалалт

хэрэглэсэн дорхноо тайлагдана.

Unix-ийн бүх хэрэглэгчдийн Login ID болон паспорт нь etc/passwd файлд

байдаг. Энэ файл нь дотроо олон талбараас тогтоно . LoginID нь ил текст (уншигдам

англиар) бичигдсэн байна. Түүнийг хамгаалалтын түлхүүр үгээр ашигладаг (unix-д).

Нууц үг нь шифрлэгдсэн хэлбэрээр оршино. Энэ хамгаалалт нь Crypt(3) буюу DES(data

encryption standard) аргад үндэслэгдсэн программыг ашиглана. IBM нь DES-ийн эртний

хувилбарыг гаргасан бөгөөд одоо энэ нь Unix-ийн бүх платформд өгөгдлийг кодлоход

хэрэглэгдэж байна. 1977 оноос ашиглагдаж ирсэн.

Ерөнхийдөө :

Чиний нууц үг текст хэлбэрээр өгөгдөнө.

Чиний нууц үг нь хэд хэдэн тэгүүдийг (нийт 64 тэг) шифрлэхэд түлхүүрээр

ашиглагдана.

Энэ шифрлэгдсэн тэгүүд нь чиний нууц үгийн код болох юм.

Доор ROT 13 хэмээх кодлолтын аргачлалыг харуулав. Гэвч түүнийг ихэвчлэн

дор нь тайлдаг.

Зарим арга нь (тухайлбал Crypt(3) нь) нэмэлт алхамтай. Жишээ нь өгөгдөл

шифрлэгдсэний дараа дахин чиний нууц үгийг ашиглан шифрлэдэг. Энэ бол тайлахад

үнэхээр хэцүү хүчтэй арга юм. DES нь хамгаалах өгөгдлийг one-way заримдаа hash

хэмээх аргаар шифрлэдэг. Энэ аргаар ижил өгөгдлийг 4096 ялгаатай замаар кодлодог.


Үүнийг тайлахыг оролдсон энэ системийн тухай мэдлэггүй хүн амьдралаа үрж таарна.

DES нь 64 бит хоѐртын тоог мөн 64 бит тоонд 56 битийн хувьсагч ашиглан хөрвүүлдэг.

Хэрэв оролтын 64 бит бүрэн ашиглагдвал (ө.х ямарч оролтын бит нь блокоос блокт

урьдчилан тодорхойлогдоогүй ) мөн 56 бит хувьсагч нь санамсаргүйгээр сонгогдвол

бүх боломжит түлхүүрээр оролдохоос өөр технологиор олж чадахгүй. Харин 56 битийн

түлхүүрийн бүх боломжит хувилбар нь 70,000,000,000,000,000-с багагүй байна. Эндээс

үндэслээд харахад DES нь тайлагдашгүй мэт байна. Хэдийгээр мэдээллийн кодыг

тайлж чадахгүй боловч түүнийг харьцуулах аргаар зарим үед тайлж болдог. Энэ

процесс дараах маягаар ажиллана.

Чи үгнүүдээс өөр зүйлгүй толь бичгийн файл олж авна.

Энэ үгнүүдийг DES-р хувиргана.

Хөрвүүлэгдсэн үг бүрийг нууц үгтэй тулгана. Хэрэв тохирвол зөв паспортыг

олж авсан байх магадлал нь 90%-с илүү байна.

Сүүлийн хэсгийг паспорт тайлагч программууд хийх бөгөөд түүнд орж ирэх үгнүүдийг

эхлээд янз бүрээр хувиргадаг байж болно. Үүнд

үсгийг нь том жижиг болгох

хойноос нь унших эсвэл түүнийг анхны үгтэй нь залгуулах. Жишээ нь (сан –

саннас)

Ийм олон тохируулгыг хийх тусам тайлах үйл ажиллагаа удааширдаг. Гэвч олон арга

байх тусам амжилтын магадлал ихэснэ. Учир нь Unix-д том жижиг үсгийг ялгаатайд

тооцдог. Зөвхөн энэ л гэхэд Unix-ийн нууц үгийг DOS-ынхоос илүү найдвартай болгож

байгаа юм. Ийм үгийн жагсаалттай файл нь олон төрлийн хэл дээр интернет дээр

байдаг. Том хэмжээний файлаар тайлалт хийхэд хэдэн өдөр болдог. Гэхдээ файлыг хоѐр

хуваан хоѐр өөр компьютераар хийлгэх нь дээр байдаг. Ийм утилитуудаас доор дурдав.

Crack –Unix ийн паспортыг тайлдаг хамгийн алдартай утилит

CrackerJack

PaceCrack95

Qcrack

John the Ripper

Pcrack

Hqdes

Star Cracker

ExCrack Excel-ийн нууц үгийг тайлна.


Гэх мэтчилэн маш олон утилитууд байна. Гэвч сайн нууц үг өгвөл эдгээр программууд

тайлж чадахгүй. Толь бичигт байдаг үгс нь муу нууц үг болно.

1.3.4 Троянууд буюу нууц кодын тухай

Энэ хэсэгт би Интернет нууцлагт маш ихээр нөлөөлдөг троян эсвэл Trojan

horse- н талаар танилцуулна. Өөр ямар ч программ эдэн шиг их системийг тайлалт

хийхэд хэрэглэгддэггүй ба өөр ямар ч утилит эдэн шиг илрүүлэхэд төвөгтэй байдаггүй.

Юуны өмнө Троян яг юу вэ гэдгийг тодруулъя. Үүнд :

Хууль ѐсны программ дотор оршсон нууцлагдмал программын код юм. Энэ

код нь үл мэдэгдэх (ихэвчлэн хэрэглэгчийн үл хүсмээр) функцийг

гүйцэтгэдэг.

Ямар нэгэн хэрэгтэй зүйтэй программ мэт харагдах боловч (дотор нь байгаа

тодорхойгүй кодоос болж ) өөр үйл ажиллагаа явуулах программ.

Энэ тодорхойгүй функц нь заримдаа өөрийгөө өөр программын кодонд хуулах зэрэг

үйлдлийг гүйцэтгэдэг. Жишээ нь зарим вирусууд энэ төрөлд багтдаг . Trojan-ууд жишээ

нь нууц үгийг чамаас , чиний мэдлэгээс үл хамааран хуулж авах гэх мэт үл анзаарагдам

үйлдлүүдийг гүйцэтгэдэг гэж болно. Trojan-ыг програмистууд бичдэг. Системд

нэвтрэхэд чухал шаардлагатай мэдээллүүдийг олж авахын тулд тэднийг зохиодог гэж

болно. Зарим нь зүгээр л устгах, хорлох үйл ажиллагаа явуулдаг. Жишээ нь чиний

хатуу дискийг кодлох, эсвэл форматлах зэргийг хийж болно. Интернет дэх shareware

болон freeware төрлийн програмууд нь эдгээрээр халдварласан байх магадлал өндөр

байдаг. Trojan –г илрүүлэхэд хэцүү байдаг. Учир нь тэдний ихэнх нь хөрвүүлэгдсан

машины код (binary) хэлбэрээр байдаг тул түүнийг хүн гаднаас нь хараад trojan

болохыг танихгүй. Харин программын код дотор байгаа trojan –г шалгаж чадах боловч

энэ нь програмчлалын хэлний өндөр мэдлэг, цаг шаардсан ажил болно. Ихэвчлэн

үйлдлийн системийн өндөр мэдлэг шаардлагатай болдог. Эдгээрийг илрүүлэхдээ

файлын системийг хуучин хэлбэртэй нь тулгах утилитуудыг хэрэглэдэг. Хэрэв файлын

он сар, хэмжээ нь өөрчлөгдсөн бол тэр сэжигтэй файлд тооцогдоно. Энд нэг хүндрэлтэй

тал бий. Системийн ажиллах явцад системийн файлууд нь шинээр орж ирж байгаа

программ хангамжуудаас шинэ хувилбараар сайжруулагдсан байх нь олонтаа

тохиолддог. Ингэж сайжруулагдсан тохиолдолд тэдний мэдээлэл өөрчлөгдөх тул


тэднийг сэжигтэй файл болгон гаргаж ирдэг. Гэхдээ үнэхээр ч тэдний дунд сэжигтэй

файл байж болно. Мөн маш чухал өөрчлөгддөггүй файлууд тухайлбал DOS-ын

command.com Unix-ийн csh зэрэг файлуудын он сар ,хэмжээ нь өөрчлөгдсөн бол тэр

шууд л халдварлагдсан байна гэж тооцож болно.

Гэхдээ арай найдвартай дөнгүүр арга бий. Энэ бол MD5 хэмээн нэрлэгдсэн арга

юм. Түүний үүрэг нь орж ирсэн файлыг шалган түүний 32 битийн гарын үсгийг үүсгэх

явдал юм. Доор үзүүлэв.

2d50b2bffb537cc4e637dd1f07a187f4

Олон сайтуудад үйлдлийн системүүдийн эх файлуудын гарын үсгийг агуулсан

өгөгдлийн сан байдаг . Хэрэв чи тэр сангаас өөрийн системийн файлуудын гарын

үсгийг татаж аваад өөрийн файлуудын гарын үсэгтэй тулгасны дараа өөр байх нь

мэдэгдвэл энэ нь чиний файл 99.9% -р халдвалдварлагдсан байх боломжтой гэсэн үг

байна. Энд нэг зүйлийг дурдахад тухайлбал ght.fff файлын гарын үсгийг тэндээс авах

болбол тэнд уг файлын бүх боломжит (шинэ, хуучин) хувилбаруудын гарын үсгүүд

байх тул чиний файл эдгээрийн нэгтэй л тохирох ѐстой гэсэн үг. Хэрэв тохирохгүй бол

түүнд Trojan байна гэж үзэж болно. Үүнийг автоматжуулсан утилитыг MD5 гэж

нэрлэсэн байгаа юм. Мөн дараах утилитууд trojan-аас хамгаалахад маш тохиромжтой

сайн хэрэгслүүд байгаа юм. Үүнд :

TripWire

TAMU

ATP

Hobgoblin

ftp://freebsd.cdrom.com/.20/security/coast/tools/unix/hobgoblin/hobgoblin.shar.Z.uu.Z. –с

олж болно.

1.3.5 Sniffers буюу Шинжлэгчид


Шинжлэгчид нь сүлжээгээр явж байгаа мэдээллийг барьж авах зориулттай

техник эсвэл программын аль нь ч байж болно. Энэ сүлжээ нь Етернет, TCP/IP, IPX ба

бусад ямарч протоколуудаас (мөн тэдний хослолуудыг) ашиглаж байж болно.

Сүлжээний promoscuous горим гэдэг нь сүлжээн дэх бүх компьютер зөвхөн

өөрийн эзэмшдэгийг биш бусад бүх дохиог сонсдог горим юм. Өөр үгээр хэлбэл

promoscuous биш горимд компьютерууд зөвхөн өөрийнх нь хаягт нөлөөлөх дохиог

сонсдог. шинжлэгчийн зорилго нь сүлжээг promoscuous горимд сүлжээний бүх дохиог

эзэмших замаар тавих явдал юм. шинжлэгч нь сүлжээний дохиог барьдаг. Энэ дохио нь

(ямар протокол байгаагаас үл хамааран ) пакетуудаас тогтдог. Энэ пакетууд нь

үйлдлийн системийн маш доод төвшинд солилцогдож байдаг бөгөөд эдний зарим нь

маш чухал мэдээллийг агуулсан байдаг. Шинжлэгч нь эдгээр мэдээллийг барих ба дараа

олж авахын тулд архивлах зэрэг зүйлийг хийдэг.

1976 онд Етернетийг Xerox-ийн Palo Alto Research Center-т бүтээжээ. Етернетийг

үүсэхээс өмнө том сүлжээнүүд майнфрэм компьютерүүдэд холбогддог байв. Өнөөдөр

Етернетээр хоорондоо холбогдсон бүлэг компьютеруудыг LAN гэж байна. Эдгээр

машинууд нь хоорондоо маш хурдан кабелиар (дамжуулах хурд нь ихэнх хатуу дискээс

хурдан) холбогддог. Өмнөх бүлэгт дурдсанчлан TCP/IP-ийн нэг элемент бол хоѐр талт

зам өөрөөр хэлбэл мэдээллийг нэг агшинд хоѐр зүгт хоѐуланд нь дамжуулах чадвар (энэ

нь гол нь дамжуулалтын явцад алдаа гарсан тохиолдолд чухал) гэж байсан. Тэгвэл

Етернет нь яг ийм чадваргүй боловч дамжуулалтын маш өндөр хурдтай . Етернет

сүлжээний карт нь хаа нэгтээ байгаа картаас нягт шахацтай өгөгдөл хүлээн авахдаа

өөрийнх нь өгөгдөл гаргах үйл ажиллагаа тасалдаж байгааг харж болно. Энэ нь

сонирхолтой санааг төрүүлж байна.Жишээ нь Етернет карт нь өгөгдлөөр бөмбөгдүүлж

байх үедээ ARP хүсэлтэд хариулт өгч чадах уу? Хэрэв үгүй бол Кракерууд ийм нөхцөл

байдлаас ARP-ийг түр зуур удирдаж чадахгүй гэж үү? Зарим карт нь 10mb/s хурдтай

бол 100mb/s хүртэл хурдтай байх нь бий. TCP/IP нь Етернет картад IPX эсвэл бусад

протоколоор холбогддог. Машин мэдээлэл илгээх болмогц “Та нарын хэн нь энэ

мэдээллийг хүлээн авах машин бэ?” гэсэн мэдээллийг бүх сүлжээгээр цацна. Энэ

хүсэлтэд зөвхөн уг мэдээллийг хүлээн авах ѐстой машин нь л хариу илгээх ба бусдад

нь хүрсэн пакетууд “үхдэг”.гэхдээ энэ нь зөвхөн уг сүлжээний сегментэд л болдог.

Хариу илгээсэн машин нь хариундаа өөрийн физик хаягаа оруулдаг. Тэгээд уг хоѐр

машины хооронд холбоо тогтоно. Энэ үед бусад компьютерууд энэ өгөгдлүүдийг

(пакетуудыг) анхаардаггүй боловч хүсвэл чагнаж болно. Өөрөөр хэлбэл сүлжээгээр

дамжигдаж буй ямар ч мэдээлэл уг сегментдээ “сонсогдом” байдаг. Sniffer бол эдгээр


бүх пакетуудыг чагнадаг хэрэгсэл юм. Энэ утгаараа машин бүр, чиглүүлэгч бүр sniffer

юм. Өөрийнхөө машиныг sniffer болгохын тулд тусгай программ хангамж (Етернетэд

зориулсан promoscuous driver) эсвэл promoscuous горимыг олгогч сүлжээний программ

хангамж шаардлагатай. Sniffer-үүд дараах чадвартай:

Паспорт барьж авна.

чухал , өмчлөгдсөн мэдээллийг барьж авна

зэргэлдээ сүлжээний нууцлагийг илрүүлнэ.

Sniffer-ийг олон паспорт хүлээн авч байдаг машин, сүлжээний зэргэлдээ байлгах нь

кракерт ашигтай. Кракерууд чиний сүлжээнд sniffer байрлуулсан бол тэр чиний

сүлжээнд өөрийн замаа аль хэдийн оруулчихсан байна гэсэн хэрэг бөгөөд одоо улам

сулруулах арга зам хайж байна гэсэн үг. Үүний тулд тэр бүх хэрэглэгчийн ID ба

паспортыг барьж авахаар эхлэх ѐстой. Энэ зорилгод sniffer тусалж маш том рискийг

үүсгэдэг. Sniffer нь эдгээр мэдээллээс гадна эдийн засгийн өгөгдөл (кредит картны

дугаар), цахилгаан шуудан зэргийг олж авч чадна. Хэдийгээр тийм боловч зарим

үйлдлийн систем нь пакетийн төвшинд шифрлэлт хийдэг бөгөөд энэ нь пакет алдагдавч

мэдээлэл нууцаа алдахгүй гэсэн үг.

Sniffer нь машиныг биш пакетыг шинжилдэг тул бүх үйлдлийн систем дээр

ажиллана. Sniffer-ийг ашиглах нь тийм ч хялбар биш. Түүнийг зүгээр залгаад орхиод

явбал жирийн 5 компьютертэй сүлжээ нь л гэхэд цагийн дотор 1000 орчим пакет үүсгэх

тул пакет бүрийг бүртгээд байвал хатуу диск нь дороо л дүүрнэ. Иймд Кракер нь

ихэвчлэн пакет бүрийн эхний 200-300 байтыг шинждэг. Энэ хэсэгт хэрэглэгч нэр, нууц

үг зэрэг гол мэдээлэл нь байдаг. Дараах sniffer-үүд байна.

Ethload

Gobbler MSDOS,WIN95 дээр ажиллана.

Netman Unix-ийн

Esniff.c SunOs-д зориулсан

Sunsniff 513 мөр С программ

Niwit.c 159 мөр С программ

Linux_Sniffer.c 175 мөр эндээс сурч болно.

Сүлжээнд буй Sniffer-ийг хэрхэн илрүүлэх вэ?

Богино хариулт нь чи илрүүлж чадахгүй. Тэд маш идэвхгүй программууд бөгөөд юу ч

үүсгэдэггүй. Ө.х системд ул мөр үлдээдэггүй. Sniffer-ийг илрүүлэх хайх нэг арга нь


ажиллаж буй бүх процессуудыг хянах явдал юм. Энэ нь бүхэлдээ найдваргүй боловч чи

мэдээж ядаж өөрийнхөө машин дээрх процессуудыг хянаж болно. Үүнийг хийх нь

үйлдлийн систем бүрд өөр. DOS, Windows-д асуудалтай. Харин Unix болон Win NT –д

үүнийг хялбархан шийднэ. Unix-т ps-aux эсвэл ps-augh гэсэн команд өгнө. Sniffer нь

чиний диск дээр далдуур (нууцаар) байрласан байдаг. Шинэ файл системд үүссэн

эсэхийг reconcile (өмнөх өдрийн бүх файлыг бүртгэн авч дараа өдөр нь дахин бүртгэн

тулгах замаар) хийх замаар илрүүлж sniffer-ийг барьж болох юм. Зарим утилит нь

сүлжээг promiscuous горимд байгаа эсэхийг таньдаг. Ядахдаа энэ нь чиний тохируулган

дээр sniffer ажиллаж буй эсэхийг илрүүлж болно. Sniffer-ийн довтолгоог таслах нь тийм

ч хэцүү биш. Чиний үндсэн зорилго нь чухал мэдээллүүдийн (хэрэглэгч ID, нууц үг)

дамжуулалт юм. Эдгээр нь сүлжээгээр шууд текст хэлбэрээр явж байдаг.

Secure Shell буюу SSH нь Телнет гэх мэт программуудын орчинд аюулгүй

холболтыг гаргаж өгдөг протокол юм. Бүх процедур нь бүрэн болмогц бүх дараалалсан

дохионууд нь IDEA технологиор шифрлэлт хийгддэг. Миний мэдэхээр түүнийг тайлсан

кракер одоогоор гараагүй л байна. Sniffer-ээс хамгаалах нэг арга нь сүлжээг

сегментчлэх явдал юм. Энд нэг сегментэд буй sniffer зөвхөн уг сегментдээ л хүрч

чадна.Системийн администраторын зорилго нь аль болох бага “итгэлт холбоо” үүсгэх

явдал юм. Системд шинэ файл үүссэн эсэхийг илрүүлдэг программ хангамжийн

тусламжтайгаар sniffer-ийг барьж болох юм.

1.3.6 Firewall гэж юу вэ?

Firewall бол сүлжээнд гаднаас халдлага орохоос сэргийлэх ямар нэгэн хэрэгсэл

юм. Ихэвчлэн техник болон программ хангамжийн хослол байдаг. Түүнийг хэрхэн

ажилладгийг ойлгохын тулд юуны өмнө өмнөх ойлголтуудыг сэргээе.

IP хаяг нь интернет дэх индексийг тодорхойлдог. Дотроо динамик статик гэсэн

хоѐр янз байна.

Статик нь тогтмол ба үргэлж интернетэд холбоотой байгаа машины хаяг юм.

Энэ төрлийн хаягийн олон хэлбэр бий.

Динамик хаяг нь машин интернетэд холбогдох бүрдээ өөр хаяг авч байвал

тэр хаяг юм. Энэ хаяг нь ISP-д Dial-up холболтод зориулан хэрэглэгддэг.


Машин гадаад машинтай холбогдоход гурван шатат ажиллагаа явагддаг. Хэрэв firewall

эсвэл түүнийг орлох утилит (тухайлбал TCP_WRAPPER) суулгагдаагүй бол чиний ба

гадаад машины хооронд харилцаа шууд үүснэ.

1. Чиний сүлжээнээс мэдээлэл чиний ISP-н сүлжээнд хүрнэ.

2. Тэндээс уг сүлжээний серверт хүрнэ.

3. Сервер өгөгдлийг чиглүүлэгч 1-р дамжуулна.

4. Мэдээлэл сүлжээгээр дамжсаар чиглүүлэгч 2-т хүрч тэндээс тэдний серверт

хүрч тэдний сүлжээнд орно.

чиглүүлэгч 2 нь ямарч хаягаас ирсэн пакетыг өөрийн сервер дотор улмаар сүлжээн

дотроо нэвтрэх боломжийг олгож байна. Энэ бол бүрэн insecure байдал юм. Үүнийг

шийдвэрлэх нэг арга нь firewall юм. Firewall-н санаа нь хэн эсвэл юу сүлжээнд орж

болохыг шийдэх. Firewall-г байрлуулагч нь машин сүлжээнд WEB сервер байх ѐстойг

мэддэг гэж үзье. Уг сервер нь бараг ямар ч IP-н холбогдолтод нууцаар хандана. Иймээс

уг серверт зориулан хязгаарлагдмал талбай байх ѐстой. Өөрөөр хэлбэл машин

сүлжээнээс WEB үйлчилгээ гарахад зохиогч сүлжээний үлдсэн хэсэгт WEB сервер нь

аюул тохиолдуулахгүй байхад баталгаа өгөх ѐстой. Хэрэв firewall нь зөвхөн техник

хэрэгсэл бол энэ нь чиглүүлэгчүүдээс бүрддэг. Энэ чиглүүлэгч нь IP хаягуудыг

харуулах чадвартай байдаг. Энэ харагдалт нь СА-д ямар IP хаяг орохыг зөвшөөрөх ,

ямарыг нь үл зөвшөөрөхийг ялгахад хэрэг болно. Ямар ч firewall нь явуулсан хаяг дээр

үндэслэн хандалтыг хаах эсвэл ялгаж үзэх чадалтай байдаг.


Firewall-н төрлүүд

Хамгийн их нь Network_level_firewall юм. Тэд чиглүүлэгчид үндэслэсэн байдаг.

Хандалтыг хязгаарлах удирдлага нь чиглүүлэгчийн төвшинд хийгдсэн байдаг. Үүнийг

пакет шүүх аргаар хийдэг. Зөвхөн IP хаягаар ч биш уг пакетууд дахь цаг хугацаа,

протокол, порт г.м атрибутаар нь хязгаарлалт хийж болдог. Зарим байгууллагуудад

firewall хэрэггүй . Жишээ нь үүнд ISP орно. Хатуу чанга байдлаасаа болоод

хэрэглэгчидээ алдаж болдог. Үүний оронд сайн СА хэрэгтэй.

1.4 Платформууд ба тэдгээрийн Нууцлаг

1.4.1 Нүх гэж юу вэ?

Нүх бол урилгагүй хэрэглэгчид хандалт олох эсвэл хандалтынхаа төвшинг

сайжруулах боломжийг стандарт (зориулсан арга бусаар) олох боломжийг олгодог

программ хангамж эсвэл техник хангамжийн онцлог шинж юм. Тухайлбал баттерейг

салгахад CMOS –ийн паспорт арилдаг нь IBM-ийн нэг нүх юм. Товчоор бүх зүйл

нүхтэй. (компьютерт холбоотой хоѐр зүйл л одоогоор нүхгүй байна гэж тооцогддог.

Үүний нэг нь Gemini Computers-с гарсан Gemini процессор юм. Энэ бүтээгдэхүүн нь

NSA-ийн “Үнэлэгдсэн бүтээгдэхүүний жагсаалтад ” А1 ангиллад орж байна.Тэр мөн

энэ ангилалд орох ганц Boeling MLS LAN (2.1 хувилбар)-ийг дагалдуулан явдаг.)

Дараах төрлийн нүхнүүд байна.

Үйлчилгээг устгагч (DOS буюу Denial of Service) боломж олгогч нүхнүүд

Бага эрхтэй хэрэглэгчдэд эрхээ өсгөх боломж олгох нүхнүүд


Гадаад машинд сүлжээнд хандалт олгогч нүхнүүд

Хандалтын төвшин

Эхний төрлийн нүх нь хор уршгаараа хамгийн бага. Энэ довтолгоо нь бараг

үргэлж үйлдлийн систем дээр үндэслэгдсэн байна. Том хэмжээний сүлжээнд түүний

нөлөө бага байна. Ийм довтолгоо нь интернетийн протоколын бүрдлийг ашиглан хууль

ѐсных нь хэрэглэгчийг сүлжээндээ ороход нь саад учруулдаг. Өөрөөр хэлбэл серверийг

холбогдох хүсэлтээр булахад сервер удааширч гацаж хэрэглэгч орж чадахгүй болно.

Энэ бол TCP/IP протоколд угаасаа байдаг засахад хялбар нүх юм. Тухайлбал

чиглүүлэгчийн зөв тохируулга нь ийм довтолгоог багасгана. Майкрософт-ийн NT-ийн

зарим хувилбарт Телнетээр тусгай портоор орж энгийн хэдэн тэмдэгт оруулахад тэр нь

төв процессорыг 100% ажилтай болгож машиныг бүхэлд нь гацаана.

Хоѐр дахь буюу локал хэрэглэгчдэд Нууц Хандалт (урилгагүй хандалт ) олгодог

нүхнүүд нь уг платформ дээр байгаа программ дотор олддог. (Гэвч заавал ийм биш

байж болно. Жишээ нь муу паспорт г.м) Локал хэрэглэгч гэдэг нь уг машин эсвэл уг

сүлжээн дээр account-тай хэрэглэгчийг хэлнэ. Ийм хэрэглэгчийн энгийн жишээ нь

өөрийн ISP дээр shell хандалттай хэрэглэгч юм. Ө.х локал хэрэглэгч гэдэг нь

байршлаасаа биш хандалтын эрхээсээ хамаарах ойлголт юм. Дараах жишээг үзье.

Sendmail

Ийм төрлийн нүхний сайн мэдэгдсэн жишээ юм. Sendmail бол цахилгаан мэдээ

дамжуулах дэлхийд хамгийн өргөн тархсан арга юм. Энэ бол интернетийн цахилгаан

шуудан системийн зүрх нь гэж хэлж болно. Энэ нь машин асахад үүсдэг хүлээгчээр

үүсгэгддэг бөгөөд машиныг идэвхтэй байх бүх хугацаанд оршино. Тэрээр 25-р портоор

дамжуулах хүсэлтийг хүлээж байдаг. Тэгээд sendmail эхлэнгүүт тэр хэрэглэгчийн ID-

ийг шалгадаг ба учир нь зөвхөн Root л Sendmail программыг эхлүүлж цааш нь

удирддаг. Root-тэй ижил эрхтэй процессууд мөн тэгж болно. Гэвч хүлээгчийн

кодчилолын алдаанаас болж Sendmail программыг шалгалтгүйгээр дуудаж болох юм.

Шалгалтыг алгасаад ямарч хэрэглэгч нь Sendmail-ыг хүлээгч горимд ажиллуулж чадна.

8.7 хувилбарт sendmail нь SIGHUP дохиог аваад өөрийгөө дахин эхлүүлдэг. Ингэж

эхлүүлэхдээ системийн exeс функцийг дуудаж гүйцэтгэдэг. Дахин биелүүлэлт нь root

хэрэглэгч болж дуусна. Sendmail орчныг аргалснаар энэ хэрэглэгч дурын программыг

root эрхээр биелүүлэх sendmail-тэй болно. Sendmail-ийн хуучин хувилбар нь буферт


сулрал агуулдаг. Хүн Sendmail-ийн debug тохируулгыг ашиглан буферыг дүүргэж

халилт үүсгэн системийг нэвтэрч чадна . Энэ нь

-d

тохируулгаар хийгдэнэ. Хэрэв локал хэрэглэгч иймэрхүү нүхийг амжилттай ашиглаж

чадвал СА түүнийг хэзээ ч олохгүй байж болох юм. Энэ нь локал хэрэглэгчид

ашиглагдвал гадны халдлагаас хавьгүй аюултай. Учир нь локал хэрэглэгч үндсэн

стандарт хэрэгслийг ашиглан локал сүлжээг судлах боломжтой. Ийм утилит нь гаднаас

ирэх ямарч сканнераас илүү ажиллана. (Локал хэрэглэгч нь firewall-ийн цаана нь

байна.) Sendmail нь сүлжээнд байх бүх хэрэглэгчдэд байх ба тэд хамгийн багадаа

түүнийг ашиглах стандарт эрхтэй байх болно. Иймд Sendmail дахь нүх маш аюултай.

Ганц нааштай зүйл нь ийм төрлийн нүхийг ашигласан хүн хангалттай туршлагатай биш

бол түүнийг барих боломж их байдаг. Хэрэв СА хүчтэй log утилит ашиглаж байвал

хэрэглэгчдэд түүнийг аргалах туршлага хэрэгтэй болно. Алдаатай програмчлал нь ийм

төрлийн нүхэд хүргэж болно. Жишээ нь С программ дахь тэмдэгтийн буфер юм.

Жишээ нь

char first_name[20]; үед түүнд 35 үсэгтэй нэр өгвөл яах вэ? Тэд халилтыг

үүсгэнэ. Энэ үлдсэн 15 үсэг нь санах ойн хаа нэгтээ програмист түүнд зориулаагүй

хэсэгт орчихдог. Эдгээр нэмэлт тэмдэгтүүдийг хаана байгааг тодорхойлж удирдсанаар

Кракерууд үйлдлийн системээр гүйцэтгэгдэх дурын командыг үүсгэж чадна. Ихэнхдээ

энэ техник нь локал хэрэглэгчдэд root shell хандалт олж авах зорилгоор хэрэглэгддэг.

Харамсалтай нь өргөн хэрэглээний олон програмууд энэ аргад өртөмтгий байдаг.


Програмистууд болгоомжтой програмчлах замаар энэ аргаас зайлж болно. Fingerd

хүлээгч нь С-ийн Gets() функцийг ашигладаг. Энэ функц нь оруулах өгөгдлийн

хязгааргүй, буферт тохирох эсэхийг шалгадаггүй тул түүнд халилт үүсгэх замаар өөр

кодыг стект оруулах ба энэ кодыг хүн эсвэл програмаар хийлгэн оруулдаг. Иймд ийм

функцүүдийг ашиглахгүй байсан нь дээр.

Гадаад хэрэглэгчдэд Нууц Хандалт олгогч нүхнүүд

Энэ нь туршлагагүй Са ба тохируулгагүй байдлаас үүсдэг. Тохируулгагүй байдлын

түгээмэл жишээ нь ямар нэгэн тусламж документ нь алга болсон жишээ скриптүүд диск

дээр үлдсэн байх явдал юм. Зарим WEB Browser-ууд нүхтэй байдаг. Жишээ нь Novell

дээр HTTP сервер convert.bas нэртэй жишээ скриптийг агуулж байсан бөгөөд энэ нь

гадаад хэрэглэгчдэд систем дээрх ямарч файлыг унших боломжийг олгож байв.

Майкрософт Мэдээлэл Сервер (IIS) 1.0 нь гадаад хэрэглэгчдэд дурын команд биелүүлэх

боломж олгосон нүхтэй байв. Харамсалтай нь netscape communication ба Netscape

Commerce Сервер-үүд иймэрхүү нүхтэй Энэ төрлийн алдааг агуулсан

бүтээгдэхүүнүүдээс үзүүлбэл:

FTP, Гопер, Telnet , Sendmail , NFS , ARP , Portmap , Finger...

Энэ бол жагсаалтын нэг л хэсэг нь юм. Эд бүгд 2-р төрлийн нүхийг бас агуулсан.

Кракерийн илрүүлсэн ямар ч нүх нь өөр нүхт хүргэж болно. Тэр өөрийн account-гүй

сүлжээнд ажиллаж байг. Энэ тохиолдолд тэр хандалтын ямар нэг төвшинг олж авах

ѐстой. (SATAN, ISS,.. эсвэл өөр сканнераар цуглуулсан шинжилгээний мэдээллээр)

Түүний эхний бай нь сүлжээнд дэх нэг хэрэглэгч болно. Хэрэв түүний account-ийг

тайлж чадвал (бусад нь гарт нь орлоо гэсэн үг) тэр ядаж shell хандалтыг олж авч чадна

гэсэн үг. Эндээс л бүх үйл ажиллагаа эхэлнэ.

1.4.2 Майкрософтийн бүтээгдэхүүний шинжилгээ

Майкрософтийн бүтээгдэхүүнүүд хэзээ ч нууцлаг платформ байгаагүй бөгөөд

түүхэн явцдаа ч ийм байх шаардлага байгаагүй юм. Цаг өөрчлөгдөж одоо тийм байх

шаардлагатай болжээ. Майкрософтийн нууцлаг проблемм нь дараах хоѐр үгэнд

нэгтгэгдэнэ.

„Хэрэглэгч friendliness“


Зөөлтийн санах ой буюу „swap“ ийг хэрэглэсэн нь хурдыг өсгөсөн боловч ямарч

төрлийн зөөгдсөн санах ой нь нууцлаг байж чадахгүй. Учир нь өгөгдлийн ул мөр уг

swap файлд үлддэг. Хэрэглэгч friendliness нь Майкрософтийн нууцлаг хөгжлийг барьж

байдаг. Win NT нь сайн нууцлаг загвар боловч энэ талаар Unix - тэй нэг загварт

орохгүй. Майкрософтоос өөрийн хэрэглэгч friendliness ба нууцлагийн хооронд

зохицуулах арга олтол Интернетэд удирдлага авна гэж найдах хэрэггүй юм. Дараах

төрлийн утилитуудыг кракерууд өргөн хэрэглэдэг.

CMOS-н нyуц үгийг баригч программууд.

Гараас бичсэн тэмдэгтүүдийг баригч утилитууд. (Үүнд: keycopy,

playback, plantom2 , doslog2)

Хамгаалалтын утилитуудаас

Sentry – файлын нууцлалт хамгаалалт

Secure 1.0 – директорын хандалтыг хязгаарлана.

Secure file system

Secure Shell

Safe guard

Иймэрхүү утилитууд сүлжээнд олон байх боловч MS-DOS хэзээ ч secure байж

чаддаггүй. Сүлжээн дэх нэг л компьютер MS-DOS той бол чиний паспортыг хялбархан

барьж авч чадна. Мөн зарим С++ -д MS-DOS-н хэрэглэгчдэд системийн процессуудыг

харах боломж олгодог программууд байдаг. Нэг ийм программ нь Pcwatch юм. Энэ нь

биелэх файлуудыг ажиллуулж тэдний шинж чанарыг шалгадаг программ юм. Энэ

программыг ашиглаж кракер нь программын сул тал, ашиглаж болох нүх хаана нь

байгааг (жш нь программын ямар хэсгээс дискинд хандалт хийж байна, хаана санах ойн

зөөлт явагдаж байна, ямар регистерт эдгээр үйлдлүүд хийгдэж байна г.м)

Windows ба windows for workgroup

Паспорт файл нь swap файлд байдаг. Паспортын санг олон паспортыг өндөр хурдаар

нэмэхэд (Claymore г.м утилит ашиглан) паспортод зориулсан боломжит зайг (үнэндээ

255) дүүргэн халилт үүсгэдэг. Ингэснээр хуучин нууц үг хэрэгсэгдэхгүй болдог. Энэ

нууц үгийн файлыг Glide утилитаар тайлж болдог.


Win NT бол нууцлаг загвар бөгөөд сайн ч юм. Энэ загварын хамгийн орчин үеийн

элемент нь хандалтын хяналт гэж болно. Энэ нь хэн файл болон үйлчилгээнд хандаж

чадахыг тодорхойлж өгдөг. Мөн зарим тохиолдолд ийм хандалт хийх хугацааг нь

тогтоож өгдөг. Энэ нь дараах санаанд үндэслэн хийгдсэн . Хэрэв кракерууд файлд

хандалтгүй бол крак хийж чадахгүй. Зөв файлд зөвшөөрөл олгох нь Win NT-г аюулгүй

болгох эхний алхам юм. Харин үүнийг гүйцэтгэхийн тулд NTFS тохируулгыг

суулгалтын явцад тохируулж өгөх хэрэгтэй. NTFS бол Win NT-н сайжруулсан файлын

систем бөгөөд суулгалтын явц эхлэхэд л FAT эсвэл NTFS-н аль нэгийг сонгодог. Энэ

хоѐрын хооронд хурц ялгаа бий. FAT файлын систем нь чамд хэрэглэгчийн хандалт ба

authentication-г хянах боломж олгодог. Хэдийгээр тийм боловч жижиг хяналтын ( файл

ба директор бүр дээрх хяналт) хувьд чи partition-г нь NTFS рүү хөрвүүлэх ѐстой.

Үүнийг шинэ СА-ууд ихэвчлэн мэдэхгүй өнгөрдөг.

Хэдийгээр partition- г нь NTFS хөрвүүлснээр нууцлаг болох боловч осолдохооргүй

болно гэсэн үг биш.

Жишээ нь Linux -н boot дисктэй залуу NT-н файлын бүх хязгаарлалтыг хялбархан

алгасч байсан тохиолдол бий.

Мөн энэ бол үүнийг хийж чадах ганц төрлийн boot диск ч биш юм. DOS эсвэл Winn95

–н boot диск дээр байрлуулсан NTFSDOS.exe (интернетээр өргөн тархсан) файл

ажиллахад Кракерт дээрх бүх хязгаарлалтуудыг зайлуулах боломжийг олгодог. Энэ нүх

хаагдтал Win NTнь хэзээ ч EPL-д С2-с дээш үнэлгээ авахгүй. NTFS төгс загвар биш.

Жишээ нь (тухайлбал 3.51 хувилбарт) “эрхгүй ”хэрэглэгчид файлуудыг устгаж чаддаг.

Үүсгэсэн файлд зохиогчоос нь өөр хүн хүрч чаддаггүй байх нь зүгээр байдаг .

Харамсалтай нь одоог хүртэл тодорхойгүй шалтгаанаар урилгагүй хэрэглэгч түүнийг

устгаж чаддаг. Хэдийгээр түүнийг текст едитороор нээх эсвэл засахыг оролдох үед

“Хандалтыг хориглоно” гэсэн мэдээлэл гарч ирдэг боловч түүнийг ямарч асуудалгүй

устгаж орхидог. Мөн бусад дутагдлууд ч байна . Жишээ нь чи 3.51 хувилбар дахь Файл

manager-г office toolbar ашиглан нээвэл файлын зөвшөөрлүүдийг алгасч чадна. Энэ нь

зөвхөн office 97 программуудад төрөлхийн байдаг нүх юм. Энэ проблемууд дараах

хувилбарууддаа засагдсан.


80-р порт дахь гадаад нүх

Internet explorer 2.0 эсвэл өмнөх хувилбарыг нь ашиглаж буй Win NT нь гаднаас чиний

WEB сервер-г гэмтээх нүхийг агуулж байдаг. Үүнийг туршихын тулд 80-р портоор

Телнет гэж ороод дараах командыг өг.

Get ../..

Хэрэв чи ийм нүхтэй бол Web сервер зогсож чиний компьютер гацна. Асуудлыг

засахын тулд Майкрософтооc үйлчилгээ цуглуулга 1 ба үйлчилгээ цуглуулга 2-г олох

хэрэгтэй. 80-р порт бол web сервер-д нормалиар ажилладаг стандарт порт юм. Мөн

хэрэв нүхтэй хувилбар бол 135, 1031-р портоор ороод хэсэг текст оруулахад уг машин

гацдаг. Ер нь маш олон порт ийм дутагдалтай нь илэрч байна. (1997 оны 2 сарын

байдлаар) Иймд СА нь зөвхөн пакет шүүлтүүрийг биш бас deep login-г идэвхжүүлэх

ѐстой. Win NT 4.0 нь мөн DNS –н нүхтэй. Кракер нь NT DNS-ийн DNS рүү хариултын

пакетыг илгээдэг. Сервер пакетыг хүлээж аваад үйл ажиллагаагаа үргэлжлүүлж

чадахгүй болж гацна. Үйлчилгээ цуглуулга 3 нь үүнийг засна. Мөн NBTSTAT

командыг ашиглан гадаад хэрэглэгч NT машины талаар чухал мэдээлэл цуглуулж

чадна. Үүнд sharing хийсэг директорууд, хэрэглэгчдийн жагсаалт ба бусад чухал

сүлжээний мэдээллүүдийг олж авна.

SMB дахь проблемм

Майкрософт платформууд SMB буюу сервер message block протоколыг ашигладаг.

Бусад ихэнх протоколуудтай ижил Клиент/Сервер зарчмаар ажилладаг. Энэ нь

директор , файл ,принтер сериал холболтын шугамуудыг share хийхэд ашиглагддаг.

*TCP/IP , * Netbios, * IPX/SPX зэрэг протоколууд дээр ажиллана. Авьяаслаг кракерууд

SMB протоколыг задалж NT3.5, 3.51 машин дээрх sharing хийсэн директоруудад

хандалт олж авч чадна. Хоѐр ялгаатай арга бий. Эхнийх нь бай машиныг ажилгүй

болгох DOS довтолгоо. Үүнийг хийхдээ SMB-н клиент package-ийг ашиглан ( SAMBA)

дараах дохиог гадаад NT дээрх SMB серверт илгээнэ.

DIR ..\

Энэ нь байг гацаана. Хоѐр дахь нүх нь илүү нарийн бөгөөд энгийн кракерууд

хэрэглэдэггүй. Share хийгдсэн директоруудад гадаад машинаас SAMBA клиентийг

ашиглан хандаж болно. Энэ бол маш нарийн арга юм. Цөөхөн кракерууд энэ зүйлийг

мэдэж ашигладаг. Сүлжээнд пакетуудыг тодорхой клиентааc ирж байгаа мэтээр серверт

оруулж чадсан ямарч довтлогч уг клиентийн холбоог ашиглаж чадна. Нэгэнт холбоо


үүссэн бол дараагийн пакетууд жинхэнэ биш байсан ч довтлогч уг клиентийн хандаж

файлыг уншиж , бичиж устгахаар хандаж чадна.

1.4.3 Unix үйлдлийн системийн тухай

1969 онд Bell-ийн лабораторийн Кен Томпсон зохиожээ. 1970-1971 хооронд С

хэлээр сайжруулан гаргажээ. 1980 онд Майкрософт Unix-ийн шинэ хувилбар Xenix –

ийг гаргав. Өнөөдөр Unix-ийн худалдааны олон хувилбар гарсан.

UNIX хувилбар Программ хангамжийн компани

SunOS & Solaris Sun Microsystems

HP-UX Hewlett Packard

AIX IBM

IRIX Silicon Graphics (SGI)

DEC UNIX Digital Equipment Corporation

Эдгээр хувилбарууд нь Workstation хэмээх өндөр хурдтай машинууд дээр ажилладаг.

Workstation нь PC ээс ялгаатай. Жишээ нь Workstation ууд нь онцгой сайн техник

хангамжуудыг агуулах тул тэд нэлээд үнэтэй. Энэ нь Workstation цөөн тоотой байдгийн

(PC тэй харьцуулбал) шалтгаан юм. Unix шиг Интернетийн орчинд загварчлагдсан

үйлдлийн систем байхгүй (хэдийгээр тийм боловч BELL-ийн лабораторт

боловсруулагдаж буй 9-р төсөл гэгч нь Unix ийг энэ талаар хол орхино гэж үзэж байна.

Энэ төслийн талаар хойно нарийн авч үзнэ). Орчин үеийн UNIX нь олон төрлийн

платформ дээр суудаг. Unix-т зарим өргөн системийн процессууд системийг

ачаалагдахад даган ачаалагддаг. Үүнд


Шуудан илгээгч

RPC (Remote Procedure Call)

TCP/IP

Системийн ачаалалт амжилттай болсны дараа хэрэглэгчдэд login мөр тулгарна. Login-ы

дараа хэрэглэгчид Shell орчинд ордог. Shell бол түүнд бичигдсэн командууд биелдэг

орчин гэж болно. Жишээ нь DOS той харьцангуйгаар:

DOS Unix

cd <directory> cd <directory>

dir ls -l

type|more more

help <command> man <command>

edit vi

Unix нь олон цонхны системийг гаргадаг. Бүх орчин үеийн Unix нь X Window System-

гагуулдаг. X Window нь зөвхөн интерфэйс биш Клиент/Сервер загварт үндэслэсэн

протокол юм. Тэрээр хэрэглэгчдэд өөрийнхөө бүх шинж чанарыг тохируулах

боломжийг олгодог, сүлжээний холболтын явцад өндөр дүрслэлтэй графикийг өндөр

хурдаар гаргадаг бөгөөд урьд өмнө гарч байсан ямарч цонхны системээс (жишээ нь

windows ) илүү төгс,тал бүрийн чадвартай юм. (Түүний цөөхөн хувилбар нь IBM-ийн

машинд DOS, Windows орчинд ажиллаж болно)

X системийг эхлүүлэхдээ

StartX

командийг өгдөг. X нь хэд хэдэн цонх гаргаж болно. Цонх бүр нь харагдац үүргээрээ

өөр өөр. Зарим нь тун өөд муутай зарим нь тун аятайхан харагдаж байдаг.

Ямар программууд Unix дээр ажилладаг вэ?

Нормаль бүх программууд ажиллана.Ер нь маш олон төрлийн программууд ажилладаг.

Жишээ нь Adobe Photoshop, Word,… Мөн судалгаа шинжилгээний том том

программууд байж болно (SGI ). Зөвхөн Unix-т зориулсан олон программ тоглоомууд

байдаг.

Unix ба Интернетийн нууцлаг холбоо

Unix нь интернеттэй холбогдох олон үүдийг агуулж байдаг тул Unix серверийг аюулгүй

найдвартай болгох нь тун төвөгтэй ажил. Харин Macintosh эсвэл IBM машинуудад

суулгагдсан үйлдлийн системүүдийн хувьд байдал тэс өөр. Эдгээрт байдаг үйлдлийн


системүүдийн аль нь ч Unix -н агуулдаг хэмжээний протоколуудтай дөхөх хэмжээний

протоколуудыг агуулдаггүй (ө.х цөөн). Unix нь өөрөө нээлттэй систем (түүний С код нь

чөлөөтэй тархсан) тул бүх нууцлаг нүх судлагдчихсан түүн дээр Unix маш олон

хэрэглэгчийн загвараар хийгдсэн. Энэ нь Unix-ийг хамгийн өргөн тархсан үйлдлийн

систем болгосон. Unix-ийн Нууцлаг-ийг өсгөн сайжруулдаг олон зуун программууд

интернетэд байдаг. Ийм утилит хоѐр ангид хуваагдана.

1. Нууцлаг хянагч шалгагч утилит Автоматаар системийн нүх хайгч.

2. System logging утилит

Нэг нь ихэвчлэн байдаг урьд илэрсэн нүхнүүдийг шалгах, тохируулгануудыг (нууцлаг

сулралд хүргэдгийг нь) хянадаг.Гэвч буруу гарт орвол эдгээр нь кракеруудын хүчирхэг

зэвсэг болдог.

Хоѐрдахь нь хэрэглэгчдийн идэвхжилтүүд ( жагсаалтыг), дохиог бүртгэнэ бичнэ. Энэ

log ууд нь автоматаар файлд бичигддэг. Энэ нь кракер эсвэл бусад үйлчлүүлэгчдийг

мөрдөхөд хэрэг болно. Гэвч энэ нь дискний зайг хороох муу талтай.

1.5 Дотоод болон Гадаад халдлага

1.5.1 Root гэж хэн эсвэл юу вэ?

Ихэнх хүмүүс сүлжээнд холбогдсон өөрийн машинаа сүлжээн дэх бусад

машинуудын төрх байдал г.м-с хамаарахгүй тусдаа оршин байдаг (эсвэл байж чаддаг)

мэтээр бодож байдаг. Ихэнх тохиолдолд энэ нь үнэн байна. Workstation-уудын үндэс нь

тэд өөрийн дотоод дисктэй түүн дээрээ өөрийн үйлдлийн систем програмуудтай байдаг.

Зөвхөн зарим сүлжээнүүдэд дискгүй клиентууд байдаг. Ийм машинуудын boot хийх

нэг арга нь Етернет карттай ажиллахад хүрэлцэх зайлшгүй драйверуудыг агуулсан уян

дискийг ашигладаг. Энэ карт нь сүлжээгээр login хүсэлтийг гаргадаг. Энэ нь Novell

Netware сүлжээнд ихэвчлэн тохиолддог ба уян диск нь Етернет программ хангамж, Lan

adapter-н программ хангамж ба жижиг shell-г агуулдаг. Өөр нэг арга нь уг машин

өөрийн дотор суулгасан (firmware) программыг ашиглан сүлжээнд Етернет эсвэл өөр

протоколоор boot хийх чадвартай байдаг. Энэ нь X терминалуудыг эсвэл гадаад booting

үйлчилгээнүүдийг ашигласан Unix сүлжээнд өргөн тохиолддог. Ихэнх хэрэглэгчид

өөрийн гэрийн гэрийн компьютерийг хэрэглэж тэндээ бүрэн эрхтэй байж сурсан тул

сүлжээний талаар харанхуй ойлголттой байдаг. Сүлжээнд зөвхөн хүмүүст ч биш бас

машинуудад зориулсан зарим төвлөрсөн хяналт байх ѐстой. Нэрний серверийг авч үзье


. Энэ сервер нь нэрнээс IP хаягийг гаргах үйлчилгээг үзүүлдэг. Интернет дэх бодит

сүлжээ бүр нэг ийм сервертэй байна. Хэрэв сүлжээн дэх ямар ч машин уг серверийн

хаягийг мэдэхгүй бол уг машин интернет машины нэрүүдийг физик хаягт хөрвүүлж

чадахгүй болно. Иймээс ч нэрний серверийн хаяг нь хатуу дискний хаа нэгтээ оршиж

байх ѐстой. Unix сүлжээнд энэ мэдээлэл ерөнхийдөө /etc/resow.conf файлд

байдаг.Machintosh-д Mactcp (Control Panel дахь) тохируулганд байдаг. Харин Windows-т

бол хувийн холболт бүрийн dial-up networking тохируулганд байдаг. Энэ нь холбооны

TCP/IP тохируулганд заагддаг. Мэдээллийг хүрэхэд хялбар болгон төвлөрүүлөх арга

бол нэрний серверийн хэрэглээ юм. Archie сүлжээг авч үзье. Archie серверүүд дэлхий

даяар файл хайхад хэрэглэгдэж болох ба жишээ нь ганцхан Израйлд байдаг файлыг

хайж олж чадна. Archie систем нь бүх компьютеруудаар явж файлыг хайдаггүй.

Үүний оронд СА-ууд өөрийн драйверын агуулгыг Archie серверүүдэд илтгэдэг. Энэ нь

Archie сервер дэх энгийн бичлэгийг хайх нь бүх дэлхийн компьютеруудаас хайхаас

хялбар гэсэн үг. Үүнтэй төстэйгээр жижиг сүлжээ нь олон төвлөрсөн нөөцүүдтэй

байдаг. Үүнд файлын сангууд, программууд ,эсвэл өгөгдлийн сангийн хаягууд гэх мэт

орж болно. Ийм нөөцүүдийн төвлөрөл нь системийг тасралтгүй үр ашигтай ажиллах

бололцоог бүрдүүлнэ. Тухайлбал сүлжээн дэх хүн бүр өөрсдийн workstation –д ямар

нэгэн Етернет эсвэл IP хаягийг тодорхойлж чадна гэж үзье. Тэгвэл бусад машинууд энэ

ямар хаяг байсныг хэрхэн мэдэх вэ? Энэ нь сүлжээн дэх будлиан самуурлын эх үүсвэр

болно. Мэдээж ийм орчинд мэдээлэл найдвартай дамжиж чадахгүй. Орчин үеийн

сүлжээнд экономикийг тусгасан байдаг. Жишээ нь нэгэнт нэг нь бусаддаа хандагдах

бол заавал бүх машин дээр С компилятор байлгах албагүй гэх мэт. Эдгээр share

нөөцүүд бүх хэрэглэгчдэд хүрэх боловч нэг л удаа суулгагдсан байна. Харин хэн нэг нь

энэ нөөцөд хэн , хаана, хэзээ хэрхэн хэрэглэхийг хянадаг байх ѐстой бөгөөд энд л бид

root, supervisor, администратор ба оператор гэх мэт ойлголтуудыг авч үздэг. Энэ хүн

эсвэл account нь бүх сүлжээний үйлдлийн системд бараг ижилхэн ажилладаг. Энэ

account нь унших, бичих, биелүүлэх, устгах , үүсгэх, жагсаалт хийх эсвэл диск дэх

файлуудыг өөр ямар нэгэн байдлаар зохион байгуулах эрхтэй. Үүгээрээ энэ хүн их эрх

хүчтэй юм. Хэдийгээр энэ эрх нь системийг удирдахад зайлшгүй боловч туршлагагүй

гарт орвол аюултай. Харин СА нь уг системийг зав ажиллуулаад зогсохгүй уг

системийн дутагдлыг сайжруулах шинэ программ хангамж үүсгэдэг байх ѐстой.

Хамгийн багадаа файл директоруудын хандалтын хяналтыг хэрхэн зөвөөр тохируулах

гэдгийг мэддэг байх ѐстой. Олон үйлдлийн системд хэсэг директор файлууд анхнаасаа

СА эсвэл root-д хүрэхээр л тохируулагдсан байдаг. Энд уг системийн ажиллахад


шаардлагатай тохируулгын файлууд байдаг. Unix сүлжээнд чи бүх зөвшөөрлийг уг

директор доторх файлуудын директор бүтцийг жагсаан хялбархнаар тогтоож болно.

Энэ нь хэсэг баганаас тогтох ба багана бүр нь жагсаалт хийгдсэн файл эсвэл

директорыг дэлгэрэнгүй дүрсэлнэ. Өөрөөр хэлбэл атрибутууд болно. Энэ

атрибутуудыг авч үзье.

Атрибут #4 : Файлын статистик. Файл ба директорын хэмжээ үүсгэгдсэн он

сар гэх мэт.

Атрибут #3 : Бүлэг. Файлын оршиж байгаа бүлгийг заана. Бүлгүүд нь хувь

хүмүүсийн кластерууд юм. Хэдийгээр тийм боловч системийн процессууд

энэ бүлэгт орж болно.

Атрибут #2 : Эзэмшигч.

Атрибут #1 Зөвшөөрөл.

Бид атрибут #1 –г анхаарна. Зөвшөөрөл нь гурван ялгаатай хандалтын элементийг

үзүүлнэ. Атрибут #1-г зүүнээс баруун руу уншина.

1. Эзэмшигчид зориулсан зөвшөөрөл.

2. Бүлэгт зориулсан зөвшөөрөл.

3. Атрибут #3 дахь бүлгээс бусдад үзүүлсэн зөвшөөрөл. (ө.х системийн

үлдсэн хэсэг)

Root-г тайлалт хийх.

Root-г өндөр програмчлалын аргаар олж авах нь /etc/passwd файлыг тайлахаас илүү

олон тохиолддог. Ихэнх тохиолдолд СА-ууд нь өөрсдийн нууц үгийг тайлахад үнэхээр

хэцүүгээр өгсөн байдаг. Сайн СА-ууд өөрийн нууц үгийг олон аргаар тайлалт хийж

туршсан байдаг. Иймээс нууц үгээр оролдох нь цагаа үрсэн ажил болно. Хэрэв уг

машин дээр root-р ажилладаг процессууд байвал root-ийг хурдан олж чадна. Үүнийг

ихэнхдээ буферын дүүргэлтээр гүйцэтгэдэг. Энэ тухай арга замыг олон мэйл

жагсаалтуудад зааж байдаг. Кракерүүд нь яаж компиляци хийхийг сурмагцаа ctrl+c,

ctrl+v замаар хуулж аваад компилятораар хөрвүүлчихдэг. Тэгээд үүнийгээ төстэй

үйлдлийн систем дээр туршиж үзээд бэлэн болно. Ердөө л хэдхэн секундэд амжуулдаг.

Тэгээд ч ихэнх хуучин нүхнүүд системд байж л байдаг.

Интернет дэх олон нууцлаг асуудлын үндэс болж байгаа root буюу өндөр эрхт

account-н байх явдлыг үгүйсгэж байна. Тун удалгүй root технологи нь хоцрогдсон

технологи болох шинжтэй байна. Bell-н лабораторийн 9-р төлөвлөгөө нь супер

хэрэглэгчийн технологи юм. Сервер бүр нь өөрийнхөө нууцлагийг хариуцаж зөвхөн


нууц үгээр хамгаалагдсан console-уудаар хандалт орж ирнэ. Жишээ нь файл сервер нь

уг серверийн физик console-р бичигдсэн командыг гаргадаг тусгай эрхүүдтэй adm

гэгдэх ганцхан хэрэглэгчтэй байх жишээтэй. Энэ эрхүүд нь серверийн өдөр тутмын үйл

ажиллагааг гүйцэтгэхэд (шинэ хэрэглэгч нэмэх, сүлжээг тохируулах г.м) хэрэглэгдэнэ.

Эдгээр эрхэнд өөрчлөх , шалгах эсвэл ямар нэгэн файлын зөвшөөрлийг өөрчлөх эрхүүд

байхгүй юм. Хэрэв файл хэрэглэгчээр унших хамгаалалттай болсон бол зөвхөн уг

хэрэглэгч л бусдад нь хандалтыг өгч чадна.

Майкрософт NT нь мөн администратор хэмээх root –н хувилбарыг ашигладаг.

Төстэйгөөр Novell нь supervisor нэртэй root ашиглана. Эдгээр нь хоѐул бараг ижил

хандалтын зөвшөөрлийг гаргадаг боловч Netware-г арай илүү гэж үзэж байна. PC дээр

Linux эсвэл FreeBSD-г суулган түүний root болж болно. Кракерт ингэх нь зарим жижиг

давуу талуудыг өгнө.

Энэ нь кракерт өөр үйлдлийн систем дээр олдохгүй чухал программуудад

хандах боломжийг өгнө (root эрхтэй тул)

Нууцлаг мэргэжилтнүүд программ бичин интернетэд тавьсан байдаг бөгөөд

түүний ихэнх нь буруу гарт орвол аюултай тул ажиллахаасаа өмнө root

эрхийг шаардахаар хийгдсэн байдаг. Энэ тохиолдолд мөн хэрэг болох юм.

Кракер нь logging хэрхэн ажилладгийг судлах завшаантай болно. Тэд root

учраас өөрийн машинд тайлалт хийн үрд дүнг нь судалж болно.

Root кракер нь СА-н үндсийг судалдаг. Энэ бол ямарч чухал мэдлэг , нууцлаг

мэдлэгээс илүү сайн дадлага болох юм.

1.5.2 Дотоод хэрэглэгчдийн аюултай тал

Дотоод буюу дотоод хэрэглэгч нь байршлаас үл хамаарсан ойлголт бөгөөд сервер

дээр өөрийн account-тай хэрэглэгчийг хэлдэг. Ийм хэрэлэгч нь гадаад хэрэглэгчээс илүү

аюултай байдаг. Учир нь тэр гадаад хэрэглэгчийн арайхийж олсон мэдээллийг дор нь

олдог. Жишээ нь Unix –н хэрэглэгчдийн жагсаалтыг үүсгэхийн тулд хэдхэн мөр

биччихдэг. Энэ нь

ypcat passwd || cat /etc/passwd) sed –e „s/:.*// ‟

Хрэв гаднаас ийм жагсаалт үүсгэе гэвэл finger ба ruser хүсэлтийг дамжуулан outfile-н

эсрэг өгөгдлийг тэмдэглэх скриптийг бичих шаардлагатай болно. Дотоод хэрэглэгч нь

мөн гадаад хэрэглэгчид үл зөвшөөрөгдөх утилит рүү хандах эрхтэй байдаг. Энэ утилит

нь ихэвчлэн системийн төрлөөс хамаарах боловч Unix-т ихэвчлэн shell хэлний хандалт

мөн ПЕРЛ хандалт байж болно. Хэрэв ISP сүлжээ бол мөн С компилятор


зөвшөөрөгдөнө. Хэрэв ISP нь Linux-г ашиглаж байгаа бол өөр олон компильяторыг

ашиглах эрхтэй болно. Shell хэлнүүд дангаараа хангалттай. Awk ба sed нь хослон

хүчтэй програмчлалын орчныг бүрдүүлнэ. Энэ нь Unix-с бусдад нь үл үйлчилнэ. NT нь

зөв суулгагдсан үедээ хүчтэй хандалтын хяналттай харин эсрэгээр Win 95-д байдаггүй.

Иймээс дотоод хэрэглэгч уг хэлнүүдээс (C,C++,assembler, pascal, ПЕРЛ, Envelop,

Qbasic, VB) дурын цагтаа суулгаж чаддаг. Харин Unix болон NT-д байдал өөр. Дотоод

хэрэглэгч эдгээрээс суулгавал хандалтын хяналт нь хэрэглэгчийг тодорхой директороос

программ ажиллуулахыг хаадаг. Мөн дискний хэмжээ нь ийм сүлжээнд хязгаарлагдмал.

Win 95 –н хэрэглэгч нь сүлжээнд нэвтрэх өргөн чөлөөтэй. Үүнийг ашиглан тэд

шинжлэгч тавьж чаддаг. Энэ нь тэдэнд тэдний сегментэд байгаа UserID болон нууц

үгийг олж авах боломжийг олгоно. Дотоод хэрэглэгчийн кракераас ялгаатай тал нь тэд

яарах шаардлаггүй. Тэд netstat, arp, ifconfig ба бусдыг нь олон бодолгүй ажиллуулж

болно. Иймээс тэд хэзээ ч бүртгэгдэхгүй (log-д харагдахгүй) аргуудыг ашиглан

системийн талаар чухал мэдээллүүд олж чадна. Мөн дотоод хэрэглэгчид нь өөрийн сул

талтай. Хэрэв СА нь уг хэрэглэгчийн үйл ажиллагааг log хийж чадсан бол уг

хэрэглэгчийг хялбархан барина. Мөн цаашилбал дотоод хэрэглэгчид нь өөрийн үйл

ажиллагааны гэрч болох компаниа орхиж явахаас зайлсхийх бол гадаад хэрэглэгчдэд

ийм асуудал гарахгүй.

Мэдээлэл цуглуулах

Дотоод хэрэглэгчид нь сканнер болон бусад утилитуудийг хэрэглээд байх шаардлаггүй.

Түүнд ердөө систем ба түүний нүхнүүдийг мэдэх хэрэгтэй. Энэ нь тийм нарийн

төвөгтэй биш байдаг. Ямар төрлийн үйлдлийн системийг тайлалт хийхээс л ихэвчлэн

хамаарна. Гэвч нэг л зүйл бүгдэд нь ижил: тэрээр мэдэгдэж байгаа нүхнүүдтэй л

ажиллана. Ийм нүхнүүдийг олж авахын тулд кракер нь бага эсвэл их судалгаа хийж

болно. Мөн дотоод хэрэглэгч PC-аа задлан түүнд LINUX тай диск холбоод root эрхээр

нь орж дуртай зүйлээ хийж болдог байна.

Гадаад дотоод хэрэглэгч

Энэ төрлийн хэрэглэгч нь чиний системд account-тай боловч түүндээ физик хандалтгүй

байна. Зарим талаар бид бүгд ийм хэрэглэгч бөгөөд учир нь бид өөрсдийн ISP-н box –т

account-тай юм. Орчин үед ажилчид ажлаа гэрээсээ дамжуулан хийх нь ихэссэн бөгөөд

энэ бол гадаад дотоод хэрэглэгч юм. Зүгээр дотоод, гадаад дотоод хэрэглэгчийн аль нь

ч байсан тэдний давуу тал нь ижил. СА-н хэрэглэх хэрэгсэл нь :


Kane нууцлаг monitor: Win Nt- д ажилладаг дотоод хэрэглэгчдийн

довтолгоог бүртгэдэг СА-н сайн утилит юм.

NetXRay : Тэр олон сегменттэй сүлжээг шинжлэн харуулж пакетуудыг барьж

чадна.

LanWatch : DOS-н орчинд сүлжээ шинжлэгч. LAN- ы пакетад 400 янзын

шүүлтүүр тавьж чадна.

1.5.3 Гадаад довтолгоог хэрэгжүүлэх нь

Гадаад ямар довтолгоо байдаг, зарим түлхүүр аргуудыг нь авч үзнэ.

Эхний алхам.

Эхний алхамд өөрийнхаа бай машинтай их холбоог аль болох үүсгэхгүй байна.

(Ухаантай кракерууд ийм байдаг.) Кракерийн эхний асуудал бол (сүлжээний төрлийг

тогтоон өөрийн бай машинуудаа тодорхойлсны дараа) хэнтэй (ө.х хэн рүү) ажиллахаа

тогтоох явдал байдаг. Ийм төрлийн ихэнх мэдээллийг байндаа сэжиг авахуулалгүйгээр

авч болдог. (Бид одоогоор бай машин дээр firewall ажиллуулаагүй гэж үзнэ. Ихэнх

сүлжээнүүд ажиллуулдаггүй.) Ийм мэдээллээс дараах аргаар заримыг нь олж авч болно.

Host команд ашиглах. Үүгээр кракер нь домэйн серверүүд дэх “бай”-ы тухай

байгаа бүх мэдээллийг авч чадна. Үүгээр уг сүлжээний нягтаас хамааран их

эсвэл бага хэмжээний мэдээлэл авч болно.

Нэлээд сайн зохион байгуулагдсан байг судлахдаа эдгээр машинуудын

сүлжээн дэх байршил, IP хаягийн талаар маш тодорхой мэдээллийг

домайнээс авна. Эдгээр машинуудын нэрс нь кракерт аль нэрсууд NIS-т

хэрэглэгдэж байна вэ? гэдгээрээ чухал түлхүүр учигийг өгдөг. Хэрэв сүлжээ

нь жижиг тухайлбал ердөө л хоѐр машин байвал ийм мэдээлэл хомс байна.

Эндээс нэрний сервер мөн хоѐр машины IP хаягийг авч болох юм.

Whois команд. Энэ нь техник холбоог тогтооно. Ийм мэдээлэл хоргүй мэт

санагдаж болно. Тийм биш. Техник холбоо нь байн захиргаатай холбоотой.

Үүгээр ба host-г ашиглан уг байн жинхэнэ box эсэх, сүлжээний навч эсэх, өөр

үйлчилгээнд host-сэн виртуаль домэйн эсэхийг мэдэж чадна.

Зарим Usenet ба Web хайгчдыг ажиллуулах. Техник холболтынх нэрийг Web

хайгчдаар хайлгадаг. (хайх параметрийг ашиглан) Кракер нь администратор

эсвэл техник холбоог usenet-д байгаа эсэхийг хайна. Мөн эдгээрийг

нууцлагийн мэйл жагсаалтуудаас хайдаг.


Эдгээрийн ач холбогдлыг ойлготол дээрх техникүүд нь илүү ажил юм шиг санагдаж

болно. Байн талаар мэдээлэл цуглуулах олон үйлчилгээ байдаг. Үүнд finger,

showmount, rpcinfo нь эхлэлийн сайн цэгүүд юм. Гэвч чи DNS, Whois, Sendmail (Smtp),

ftp, uucp ба бусад олж чадах үйлчилгээнүүдээ ашиглахгүй байх хэрэггүй. СА-н талаар

мэдээлэл цуглуулах нь хамгийн чухал. СА-ууд өөрийн проблемуудын талаар мэйл

жагсаалтаас хариулт хүссэн байх тохиолдлууд байдаг ба түүний хаягийг мэдсэнээр

түүний боловсрол сүлжээнийх нь талаар мэдэж болно. Хэрэв СА-н хаяг ийм

жагсаалтуудад байхгүй бол ихэнхдээ тийм СА-ууд нь нууцлагийн талаар муу

мэдлэгтэй гэсэн үг. СА-н хоѐр төрлийн хаяг байж болно. Эхнийх нь тухайн хүний

хувийн хаяг. Энэ бол СА нь өөрийн эзэмшдэг сүлжээнээс өөр сүлжээнд хаягтай байх

тохиолдол юм. (Зарим СА-ууд ийм хаягуудаа Internic-хаягт гаргадаг бичлэгт

оруулчихсан байх ч бий.) Тэгээд СА-ууд судлах ,суралцахдаа өөрийн ажлын хаягаар

биш дээрх хаягаар эсвэл гэрийнхээ хаягаар дамжуулж байж болно. Са-н хаягийн

нөгөө хэлбэр нь түүний нэртэй ижил хаягтай түүний сүлжээн дэх бүх машинууд юм.

Сайн хяналттай системд root-г аль болох бага хэрэглэдэг. Su болон бусдыг нь ашиглан

root-г аль болохоор орлуулж байдаг. (Харин NT-н хувьд өөр . Энэ тохиолдолд чи box

бүрээс root-г ө.х администраторыг хайх хэрэгтэй. NT-н дизайн нь зайлшгүй

администраторыг ашиглахыг шаарддаг.) Root шууд холбогдоогүй тул Са –н ID нь юу ч

байж болно. Чи энэ ID –г мэддэг гэж үзье. Тэр нь walras (далайн морь) болог. Чамайг

host –г бичихэд 150-д машин гарсан гэе. Машин бүр ялгаатай нэртэй байна. Жишээ нь

mail.victim.net, news.victim.net, shell.victim.net,... г.м (яг практикт эдгээр нэр нь ихэвчлэн

машины юу хийхтэй холбоогүй байдаг.) Кракер СА-н хаягийг машин бүрт туршина.

Үүнд [email protected], [email protected] г.м-р. Хэрэв уг сүлжээ нь ISP бол

чи СА-н тухай тодорхой мэдээллийг түүнийг хаанаас орж ирэхийг нь мэдсэнээр олж

болно. Хэрэв Са-н сүүлийн login нь Netcom-с орсон бол тэр тэнд account-тай гэсэн үг.

Түүний login-г олохдоо finger ба rusers-г хослон ашиглаж олж болно. Уг ID-г даган

зарим мэдээллийг олж болно.

Finger утилитын тухай

Энэ утилитыг ашиглах нь зарим тохиолдолд аюултай байдаг. Хэрэв СA нь MasterPlan-г

ажиллуулж байсан бол яах вэ? (Энэ нь finger хийсэн бүх хэрэглэгчийн IP-г бүртгэдэг.

Мөн СА нь заавал түүнийг ашиглах шаардлаггүй өөрийн нэвтрэлт хийсэн finger

хүлээгчийг ашиглаж болно.) Энэ байдлаас зайлсхийхийн тулд кракерууд finger

gateway-г ашигладаг. Энэ нь Гадаад серверийн драйвер дээрх CGI программыг ( Энэ


CGI нь finger –г гүйцэтгэдэг.) заадаг нэг талбартай WEB хуудас юм. Finger gateway-г

ашиглан кракер нь өөрийн IP хаягийг нууж чаддаг. Гэвч үнэхээр мэргэжлийн СА нь уг

gateway-н хаягийг мөрдөж олоод түүний СА-тай холбоо барьж түүний log файлыг үзэн

уг finger хийсэн хүнийг барьж болох юм. Гэвч каркер нь бүх ажлаа найдвартай

“гараараа” хийхийг хүсвэл finger хийх бүрдээ өөр сүлжээний үүдийг ашиглах ба

сүлжээний үүд бүр дээр нэлээд хугацаанд байж болох юм. (Энэ хугацаанд олон хүн

тэнд орно.) интернет-д 3000-с дээш ийм gateway байх учир энэ нь тун найдвартай ажил

болох юм. Мөн кракер нь дахин чиглүүлэгдэх finger хүсэлтийг ашиглаж болно.Ө.х жш

нь primenet.com-г finger хийхдээ delta.net.com-н finger серверийг ашиглаж болно.

Ингэхдээ:

Finger [email protected]@delta.net.com

Дараа нь уг бай сүлжээнд ашиглагдаж байгаа үйлдлийн систем түүний

хувилбарыг нь тогтоох хэрэгтэй. Бай сүлжээн дэх машинууд нь үйлдлийн системээрээ

ялгаатай байх тусам олон нууцлаг нүхтэй байдаг. Уг сүлжээн дэх үйлдлийн

системүүдийг мэдсэний дараа машины төрөл , түүн дээрх үйлдлийн системийн төрөл

бүрт харгалзах нууцлаг нүхийн жагсаалтыг олох хэрэгтэй. Зарим нь ISS эсвэл

SATAN-г ашиглан уг нүхнүүдийг автоматаар олчихдог. Гэвч нүхнүүдийг зөвхөн

ашиглах биш тэднийг ойлгох хэрэгтэй. Тухайлбал хуучин AIX үйлдлийн системтэй

машинуудад rlogin –г -froot флагтай үүсгэвэл тэнд чи хүчтэй эрхтэй хандалт олж чадна.

Энэ бол нүх юм. Ингээд тэр дараах байдалд хүрнэ.

СА нь хэн болох.

Уг сүлжээн дэх машинууд, магадгүй тэдний үүрэг ба домайн

серверүүд.

Тэдний үйлдлийн систем.

Тэдний нүхнүүд.

Уг СА-н сүлжээний талаар хийсэн ярилцлага, асуулт, хүсэлт гэх

мэтийг нь олж авсан байх.

Одоо тэр дараагийн алхамдаа орно. Мөн нэг сонирхолтой зүйл нь уг сүлжээний

машинуудаас co-located машин байгаа эсэхийг тодорхойлох нь чухал. Хэрэв уг co-

located машин нь администраторт орохгүй байвал уг машинд нүх бий гэсэн үг. Үүнийг

ашиглан уг сүлжээг эзэлж болдог. (Администраторт байгаа гэдэг нь уг машиныг ISP нь

шууд өөрийн hab эсвэл чиглүүлэгчид холбосон гэсэн үг.) Үүнийг traceroute эсвэл

whois-р тодорхойлж болно.


Турших алхам

Энэ нь туршлагатай кракеруудад шаардлагатай алхам биш. Энэ алхамд уг бай

машинтай ижил зохион байгуулалттай нэг машин үүсгэх хэрэгтэй. Хэрэв бай нь

Sparcstation машин дээр Solaris 2.4 ажиллаж буй бол кракер үүн шиг машиныг

байгуулж Интернетэд тохирох аргаар нь (модемоор, ISDN, frame relay, T1, эсвэл чамд

байгаа ямар ч хамаагүй зүйлээр) холбоно. Ингээд кракер түүний эсрэг довтолж эхэлнэ.

Эндээс тэр хоѐр зүйлийг олж хардаг.

Довтолгоонууд довтлогчийн талаас ямархуу харагдах вэ?

Довтолгоонууд хохирогчийн талаас яаж харагдах вэ?

Үүнийг мэдэх олон шалтгаанууд бий. Довтлогчийн login –уудыг судалж кракер нь

хэрэв бай машин нь хамгаалалтгүй бол (өөрөөр хэлбэл СА-н өөрийн хүлээгч

ажиллуулаагүй бол) довтолгоо нь ямаршуухан харагдвал зохих вэ? гэдэг талаар санаа

төрж , олж авч болох юм. Хохирогчийн log-г судлаж өөрийн үйл ажиллагааны ул

мөрийг шалгаж болно. Өөрөөр хэлбэл түүний үйл ажиллагааг илчилж болох бүх

файлыг олж мэдэх хэрэгтэй. Бодит довтолгооны үед root эсвэл ямар нэгэн өндөр эрхийг

олж авах нь хэдхэн секунд (ихдээ хэдэн минут) болдог. Иймээс мөн л уг файлуудыг

устгахад цөөхөн хэдэн секунд зарцуулдаг. Эндээс түүнд хэрэгтэй бүх зүйл нь log

файлууд юм. Тэрээр үйлдлийн системүүдийн log, довтолгоо бүрийн log файлуудаас

бүтсэн өгөгдлийн санг үүсгэн ашиглаж байх нь олонтаа байдаг. Үүний дараа ашиглах

программ утилитуудаа бэлтгэх хэрэгтэй. Эдгээрийн ихэнх нь магадгүй сканнерууд

байдаг. Кракер яг одоо уг бай машин дээр ажиллаж буй үйлчилгээнүүдийг

тодорхойлох боно. Тэгээд өмнөх үйлдлийн системийн судалгаа болон бусад судалгаан

дээр утилитаа ашиглаад тэдгээр үйлчилгээнүүд дээр ямар сулрал байгааг тодорхойлно .

Хэрэв уг үйлчилгээ нэг утилитаас нь хамгаалагдсан бол өөр утилитыг туршдаг.

Заримдаа өөр утилитуудыг нэг утилитад тухайлбал SATAN-д нэг модуль болгон

залгаад дахин хөрвүүлж түүнийгээ ашигладаг. Энэ нь үйл ажиллагааг өргөжүүлэх

боломж олгохын зэрэгцээ скан хийж байх явцад гацах эсэхийг урьдчилан мэдэх зэргийг

турших давуу талтай. Скан хийсний дараа үр дүнгийн файлыг судална. СА нь log

файлаас хакерийн үлдээсэн ул мөрийг ялган авдаг script зохиож болно. (Үүнд ПЕРЛ

хамгийн их тохирно.) Энэ script нь ийм довтолгоонуудын дараа үлддэг олон тохиолддог

ерөнхий тэмдэгт мөрүүдийг log файлаас хайдаг байх ѐстой. Энэ тэмдэгтүүд платформ

бүр дээр өөр өөр байна. Win 95 сүлжээний үед бүрэн нууц биш байдалтай байдаг. Учир

нь Win 95 нь хандалтын хяналтгүй. Бүх sharing процесс явагддаг 137-139 портоор

дамжигдан буй бүх дохионуудыг хянах хэрэгтэй. Мөн хэрэглэгчиддээ WEB эсвэл FTP


серверүүдийг суулгахыг хатуу хорих хэрэгтэй. Дотоод хэрэглэгчийн довтолгоо бараг

үргэлж Телнетээр хийгддэг. Бүх shell account-ууд нэг машин дээр байсан нь зүгээр

бөгөөд энэ үед бүх login-ууд зөвхөн уг машин дээр ирэх бөгөөд энэ үед log хийх

,хандалтын хяналт , пакетын алдагдал зэргийг ба бусад нууцлагийг хянахад хялбар

болно. Хэрэв чиний систем хандалтын хяналтын системтэй бол дараах хоѐр зүйл нь

кракерт боломж олгож болно.

Тохируулгагүй байдал.

ПХ-д байдаг нүхнүүд.

Энэ нь ихэвчлэн зөвшөөрлийн зарчмыг ойлгоогүйгээс болж үүсдэг. Тохируулгагүй

байдлыг шалгадаг утилитууд байдаг. Хэрэв чам руу халдаж байгаа нь мэдэгдвэл 1-р

төвшний довтолгооны үед уг орж ирж буй хаягуудад шүүлтүүр тавьж ISP-тэй нь

холбоо барь. 2-р төвшнийх бол уг хэрэглэгчийн account-г идэвхгүй болго. 3,4,5

төвшнийх бол

Уг халдлага бага хүрээнд болж байхаар сүлжээний сегментүүдэд

оруул.

үйл ажиллагааг нь үргэлжлүүлэх боломж олго.

Үйл ажиллагааг маш нухацтай log хийж эхэл.

Довтолгооны эх үндсийг ол.

Халдлагын төвшинийг доор харуулав.


1.5.4 Телнет үндэслэсэн довтолгоо

1980 онд Телнет анх гарсан ба зорилго нь терминал хооронд , терминал үндэстэй

процессууд хооронд дахь интерфэйс болох явдал юм. Телнет нь хэрэглэгчдэд гадны

машинд хандаж тэнд команд биелүүлэх боломж олгодог. Ингэхдээ хийсвэр

терминалыг ашиглана. Телнет холбоо тогтоход хоѐр үзүүрт хоѐуланд нь ийм терминал

үүсдэг. Хийсвэр терминал нь хоѐр компьютерийн хооронд шууд сериалаар холболт

хийсэнтэй ижил юм. NCSA- н Телнет программууд нь хэрэв FTP сервер идэвхжүүлсэн

бол нүхтэй гэсэн үг Хэрэв кракерууд Хэрэглэгч нэр болон нууц үгийг бай машинаас

олбол кракер нь FTPPASS файлыг барьж авч чадна. Энэ бол Хэрэглэгч нэр болон нууц

үгийг агуулсан authentication файл юм. Энэ файл дээрх шрифтлэгдсэн нууц үгс нь

хялбархан тайлагддаг. Харин хэрэглэгч нэр нь кодлогдоогүй байдаг. Жишээ нь хэрэв

нууц үг нь 6-с доош үсэгтэй бол түүнийг тайлахад ердөө л секунд орно. Үүнийг хийх 14

мөрт программыг хэн ч хийж чадна. Unix-н орчинд терминал mapping (дэлгэц гарных

нь тохируулга) нь termcap файлд байдаг. Энэ бол маш хэрэгтэй файл бөгөөд

түүнгүйгээр машинууд хоорондоо сайн холбогдож чаддаггүй. Тухайлбал Linux- г

суулгачихаад TERM хувьсагчийг өгөөгүй тохиолдолд өөр нэг ийм компьютерт

холбогдоод дэлгэцээ цэвэрлэх команд өгвөл дэлгэц цэвэрлэгдэхгүй. Мөн pine командыг

биелүүлэх гэсэн үед алдаатай байна гэсэн мэдээлэл гарч ирдэг.

Үйлдлийн системийн төрлийг нь эдгээр портуудаар нь довтлон мэдэж болдог.

21 : FTP

23 : Телнет

25 : Mail

70 : Гопер

80 : HTTP

Мөн нэг сонирхолтой зүйл нь Телнетийг бай машин нь бодит эсвэл хийсвэр домайны

алин болохыг тогтооход хэрэглэж болно. Энэ нь кракерт чиний нөөцүүдэд хүрэхийн

тулд ямар машиныг тайлалт хийхийг мэдэхэд тусална. Бодит Домайн гэдэг нь Internic –

т бүртгэгдсэн өөртөө зориулагдсан сервертэй домайн юм. Хийсвэр гэдэг нь бодит

сервер дээрх домайнээр хэрэглэгдэх энгийн директорууд байдаг. Хувь хүн ISP-д мөнгө

төлөөд тэдний диск дээр өөрийн хийсвэр домайнд зориулж директор үүсгэж болно

гэсэн үг. Энэ нь Чиний_site.com –г жинхэнэ сервер мэт болгодог. Энэ арга нь уг

компани нь жинхэнэ сервертэй болохоос зайлсхийсэн (үнэ өртгөөс болоод) тохиолдолд


хэрэглэгддэг. Кракер үүнийг мэдсэн байх нь чухал учир нь тэр чиний сүлжээн дэх

домайныг тайлалт хийх гэж оролдохдоо том нэртэй ISP рүү дайрсан байж болох ба энэ

нь түүнд аюултай байх нь мэдээж. Үүнийг тэр чиний _site.com руу Телнетээр орж

машины нэрийг харж мэдэж чадна. Мөн Телнет нь тодорхой порт нээлттэй байгаа эсэх

эсвэл сервер нь тодорхой үйлчилгээг ажиллуулж байгаа эсэхийг тодорхойлоход

хэрэглэгддэг. Бас DOS (Denial of Service -үйлчилгээг үгүйсгэх) довтолгоонд

хэрэглэгдэж болно. Тухайлбал NT-н 135-р портоор Телнет хийвэл уг машиныг гацаадаг.

Мөн Майкрософт Мэдээлэл сервер рүү 80-р портоор Телнет хийгээд Get.. бичин

гацааж болдог. Эцэс нь Телнет нь fakemail, fakenews-г үүсгэхэд хэрэглэгддэг.

1.5.5 Хуурах хэмээх аргын тухай

Энэ арга нь компьютерийн системд урилгагүй хандалт олгодог хамгийн их яригддаг

маргаантай арга юм. Энэ талаар IP Хуурах нь маш нарийн бөгөөд нэлээд чадварлаг

кракеруудад ч ойлгомжгүй байх нь бий. Энэ аргыг тайлбарлахын тулд ойлгомжтой

энгийн жишээнээс эхлэе.

IP хууралт бол хэн нэгний хаягийг дууриах давтах арга юм. Өөрөөр хэлбэл нэг

машиныг өөр машины дүрд ашиглах явдал юм. Яаж явагддагийг ойлгохын тулд

authentication хэмээх ойлголтыг тухай авч үзье. Хэрэглэгч бүр ямар нэгэн хэмжээгээр

түүнтэй тулгарч байсан гэж болно. Ийм жишээ нь FTP эсвэл Телнетэд орох үед нууц үг

ба хэрэглэгчийн нэр гарч ирдэг ба эдгээр нь шалгагдаад хэрэглэгчид хандалт өгнө. Энэ

бол хэрэглэгчийн программ төвшний хяналт юм. Интернетэд ийм төвшний хяналтууд

цөөнх байдаг. Энэ төвшний хяналтын үед таниулах үйл явцад нь хэрэглэгч өөрөө

оролцдог. Үүний нөгөөх хяналт нь машин хооронд болдог. Нэг машин нөгөөгөөсөө

ямар нэг төрлийн ID шаардах ба энэ нь шалгагдаж дуустал хоѐр машины хооронд ямарч

дамжуулалт болохгүй. Энэ машины хоорон дахь солилцоо нь үргэлж хүний

оролцоогүйгээр явагддаг. IP хуурах аргаар кракер нь энэ процесст оролцдог. Энэ арга

нь Хэрэглэгч нэр болон нууц үггүйгээр хандалт олж авах боломжийг бүрдүүлдэг.

IP хууралтыг ямар тохиолдолд хийдэг вэ?

Энэ аргаар зөвхөн үнэн TCP/IP ажиллаж буй тодорхой машинуудын бүлгийн эсрэг

хэрэглэж болно. DOS Windows 95 зэрэг үйлдлийн системүүдтэй машинуудын эсрэг энэ

аргыг хэрэглэж чадахгүй гэсэн үг. Үнэн TCP/IP бол TCP/IP-ийн бүрэн хэрэглээ эсвэл


TCP/IP-н бүх боломжит портууд ба үйлчилгээнүүдийг агуулсан тохиолдол юм. Өөрөөр

хэлбэл ийм машинууд нь Unix-н ямар нэг төрөл үйлдлийн системтэй байдаг. IP хууралт

хэрэглэж болох үйлчилгээнүүд:

Sun RPC call-г ашиглаж буй ямарч тохируулга.

IP хаяг шалгах (authentication хийх) ямарч сүлжээний үйлчилгээ.

MIT-с X Window систем.

R үйлчилгээнүүд.

Sun RPC нь Sun MicroSystems-н сүлжээний орчинд ажиллах Гадаад процедур

юм. (Гадаад машин эсвэл сүлжээнд команд биелүүлэх) IP хаяг authentication нь IP

хаягийг индексээр ашигладаг. Бай машин нь өөрөө болон хүсэлт ирүүлсэн машины

хоорон дахь хяналтыг IP хаягийг шалгах замаар хийдэг.

R үйлчилгээ

Unix-н орчинд энэ нь rlogin ба rsh юм. Үүнд r нь relmote гэсэн үг. Эдгээр нь

хэрэглэгчийг интернет дэх өөр машинд хандалт олж өгөх зорилготой юм.

Rlogin - Өөр машинд гадаад log хийнэ. Энэ нь Телнеттэй төстэй байна. Өнөө

үед rlogin нь дотоод хэрэглээнд ерөнхийдөө хязгаарлагдсан. Учир нь тэр

нууцлагийн хохирол учруулах магадлалтай байна.

Rsh – гадаад машин дээр shell эхлүүлнэ. Энэ нь гадаад машин дээр команд

биелүүлэхэд ашиглагддаг.

Ийм R үйлчилгээг IP spoof-р довтолж болдог.

Хуурах довтолгоо яаж ажилладаг вэ?

Энэ төрлийн довтолгоо нь Сканнер болон бусдаас ялгагдах ялгаа нь зөвхөн уг машин

довтолгоонд өртөгдөх сул талтай гэдгийг мэдсэний дараа хийгддэг. Кракер нь энэ

сүлжээний аль машин нь ийм боломжтой вэ? гэдгийг урьдчилан тодорхойлсон байх

ѐстой. Бараг бүх төрлийн Хуурах нь (IP хуурах-с өөр төрлийн хуурах байдаг.) бай

сүлжээн дэх итгэлцлийн холбоог ашигладаг. Энэ холбоо нь сүлжээн дэх машинуудын

хоорон дахь холбоо юм. Сүлжээн дэх физик хаягийг хууралт хийж болдог. Гэхдээ

программаар өөрчлөгдсөн хаягийг зөвшөөрдөггүй картууд энд орохгүй . Хуучин

картууд ийм байдаг.

Сүлжээний нэг сегмэнт дэх бүх компьютерууд хоорондоо итгэлцэж байдаг.

Машин бүрд ямар нэг өгөгдлийн санд бусад машиных нь жагсаалт байдаг тул тэд бие

биеээ мэддэг. IP үндэстэй сүлжээнд энэ нь IP хаягууд эсвэл машины нэрүүд байдаг.

(host нэр нь өөрөө нууцлагийн проблемм үүсгэдэг тул энд IP хаягийг ашиглах нь


зүйтэй.) Эдгээр машинуудыг бие биедээ итгэж байна гэж ярьдаг. Харин ийм холбоо

оршиж байвал тэд бие биедээ ямар ч IP хаягаас authentication шалгалтгүйгээр команд

биелүүлж болдог. Кракерүүд машины хоорон дахь энэ холбоог олон төрлийн

командууд эсвэл сканнер ашиглан тогтоодог. Тэрээр сканнер ашиглан уг машин дээр R

үйлчилгээ ажиллаж байгаа эсэхийг хялбархан тогтооно. Ямарч арга хэрэглэж байсан

кракер нь бай сүлжээний итгэлцлийн зургийг гаргаж авахаар ажилладаг. Бид кракерүүд

итгэлцлийн холбоог тогтоочихжээ гэж үзье. Эндээс кракер дараах хоѐр сонголтын

нэгийг хийнэ.

итгэл

итгэл

Тэр 2 дахийг нь сонгосон гэж үзье. Иймээс тэр 3 руу довтлон түүнийг түр зуур

чадваргүй болгоно. (Гаднаас ирэх хүсэлтэд хариулах чадваргүй болгоно. Ингэх нь

заавал албагүй боловч ингэхгүй бол Етернет сүлжээнд бол сүлжээг гацааж болно.)

Үүний тулд уг машины хүсэлтэд хариулт өгдөг портод “time out” хийнэ. Жирийн үед 3-

с хүсэлт 2-руу очиход 2 нь 3 руу өгөгдсөн портоор хариу илгээдэг. Энэ хариулт нь 3-с

хариу үүсгэдэг. Хэдийгээр тийм боловч кракер нь 3-г хариулт өгөхийг хүсэхгүй бөгөөд

учир нь тэр өөрийн пакетыг 3-н орноос өөрөө явуулах сонирхолтой байдаг.

Довтолгоог амжилттай болгохын тулд тэр 3-г гацаах хэрэгтэй. Үүний тулд маш их TCP

SYN пакетыг (зориулалтын программ ашиглан ) холбогдох хүсэлтээр илгээдэг. Энэ

холбогдох хүсэлтэд 3 хариулж чадахгүй болж (учир нь холбогдох хусэлт бүрт 3- н

явуулсан хариултад кракерийн машин хариулт өгөхгүй. Харин TCP/IP холбогдолтод

заавал 3 шатат процесс хэрэгтэй байдаг тул 3-с холбогдох хүсэлт болгоны хариу

хүсэлтийг хүлээж эхэлдэг.) гацна. Энэ үед тэрээр 2-с ирсэн хүсэлтэд хариулт өгөх

чадваргүй болно.

Хоѐрдугаар алхам бол кракер нь 2-н пакетын дарааллын дугаарыг илрүүлэх

явдал юм. Энэ алхамд кракер нь хэсэг холбогдох хүсэлтийг 2 руу явуулж мөн хэсэг

пакетийг хариултад нь хүлээн авна. Энэ хариулт пакетуудыг ашиглах нь IP хуурахын

2-г ашиглан 1 ба 3-г алиныг нь ч хууралт

хийнэ.

3 эсвэл 1-г орлон 2-г хууралт хийнэ.


түлхүүр гэж болно. 2 нь хэсэг дарааллын дугаарыг үүсгэдэг. Энэ тоонууд нь түүний

үүсгэсэн процессын төлөвийг илэрхийлж байдаг. Эдгээр нь өгөгдөл ирснийг хүлээн

зөвшөөрөхөд хэрэглэгддэг. TCP холболтын эхэнд клиент (хүсэгч нь ) нь дарааллын

дугаар бүхий пакетийг илгээдэг. Хэрэв холболтын нөгөө төгсгөлд ажиллаж буй сервер

программ байвал уг сервер өөрийн анхны дарааллын дугаар бүхий TCP пакетийг

буцаан илгээдэг. Үүн дотроо клиентийн пакетын дарааллын дугаар дээр нэгийг нэмээд

хийсэн байдаг. Клиент систем нь энэ пакетийг хүлээж аваад өөрийн acknowledge-г

серверийн дарааллын дугаар дээр 1 ийг нэмээд хамтад нь илгээдэг. Иймээс TCP

холболт үүсгэхийн тулд 3 пакет үүсгэнэ. (BSD Unix TCP/IP программ хангамжид бол

BSD нь секунд бүрт 128-р , холболт эхлэх бүрт 64-р нэмэгддэг глобаль дарааллын

дугаартай.) Кракер нь 2-н ирүүлсэн дарааллын дугаарыг уншина. Түүнийг судлаад 2 нь

түүнийг хэрхэн ихэсгэж (нэмэгдүүлж) байгааг харж чадна. Энэ нэмэгдэх процесс нь

ямар нэг алгоритмд үндэслэгдсэн тул түүнд өөрийн загвар байна. Гол түлхүүр нь энэ

нэмэгдээд байгаа тоонуудыг олж мэдэх явдал юм. Тэгээд кракер нь эдгээр дугааруудыг

өсгөж байгаа загварыг мэдсэний дараа довтолгооны хамгийн хэцүү хэсэгтээ ирнэ.

Энэ бол сохроор залах гэж нэрлэж болохоор алхам юм. Өмнөх алхмын дараа

кракер нь 3-н өмнөөс 2 руу дахин холбогдох хүсэлт явуулна. 2 нь 3 руу ердийнхөөрөө

дарааллын дугаарыг холболтод хариулан явуулна. Харин 3 нь үүнийг хүлээн авч

чадахгүй байгаа тул хариулахгүй бөгөөд түүний оронд кракер хариулах юм. Энэ бол

довтолгооны хамгийн хэцүү хэсэг юм. Энд кракер нь (дарааллын дугаарын өөрийн

олсон зарчим дээр үндэслэн ) ямар дарааллын дугаарыг 2 анзаарахыг тааварлах ѐстой

болно. Өөр үгээр хэлбэл кракер нь холболтыг “Үүсгэгдсэн –Established ” төлөвт

оруулахыг хүснэ. Үүний тулд тэр зөв дарааллын дугаараар хариулах ѐстой. Гэвч

холболтын солилцоо идэвхтэй байхад тэрээр 2-н ирүүлж буй дарааллын дугааруудыг

харж чаддаггүй. Иймээс кракер нь өөрийн хүсэлтээ сохроор илгээх хэрэгтэй болдог. (2

нь дарааллын дугааруудаа 3 –т илгээж байгаа бөгөөд 3 нь үнэн IP хаягтай тул тэд 3 руу

чиглүүлэгдэж байдаг. Кракер нь зөвхөн 3 мэт дүр үзүүлж байдаг. Ийймээс тэр уг

дугааруудыг харж чаддаггүй.) Хэрэв кракер нь зөв дугаарыг тааж чадвал тэдний

хооронд холбоо үүсэх бөгөөд бүх тохиолдолд 2 нь 3-с ирж байна гэж итгэдэг. Үлдсэн

хэсэг нь нэлээд энгийн юм.

Илүү тохиромжтой нүхийг онгойлгох

Холболт үүссэн үед кракер нь системийг гартаа оруулах илүү тохиромжтой нүхийг

үүсгэх ѐстой. (Тэр холбогдох бүртээ хууралт хийхийг хүсэхгүй нь лав.) Хамгийн хялбар

арга нь .rhosts файлыг 2 нь ямар ч хаягаас ямар нэгэн шалгалт буюу authentication


шаардалгүй холбогддог байхаар дарж бичих арга юм. Одоо кракер бүх холбоогоо

таслаад шинээр холбогдож болно. Тэгээд нууц үг шаардалгүйгээр системд орох эрхтэй

болсон байдаг. Хуурах төрлийн довтолгоо нь ховор боловч хийгдсээр л байгаа юм.

Windows-н орчноос автомат spoof хийх программ удахгүй гарах төлөвтэй байгаа юм.

Зарим тохиолдолд СА-ууд тодорхой зорилгоор хууралт хийж үздэг. Энэ довтолгооноос

чиглүүлэгчийг ашиглан хамгаалж болно. чиглүүлэгч нь орж ирж буй пакетууд дээр

шүүлтүүр тавина. Хэдийгээр тийм боловч эдгээр нь мөн ирэх IP хаягийг шалгаж

ажилладаг. Хэрэв СА нь firewall ашиглаж байгаа бол тэр автоматаар IP хуурах-с

хамгаалагддаггүй. Хэрэв тэр дотоод хаягуудыг firewall-н гадаад хэсэгт хандахаар

болгосон бол сүлжээ довтолгоонд өртөнө! Мөн сүлжээг харуулах хэрэгслүүдээр

пакетуудыг шалгаж сэргийлж болно. СА-н шалгавал зохих цөөн хэдэн пакет бий. Гол

нь эх болон хүрэх хаягийнх нь сүлжээний хэсэг нь ижил байх бүх TCP пакет юм. (

Чиний сүлжээнээс гарсан байсан ч ялгаагүй.) Өөр төрлийн хуурахын жишээ нь DNS

хуурах байдаг. Энэ нь нэлээд хэцүү. Үүний нэг шалтгаан нь кракер ямар ямар хаяг

DNS Клиент нь холбогдох хүсэлт хийж байна вэ? нгэдгийг шууд тааж чадахгүй байж

болох юм. Кракер нь DNS –н “host name”---- “IP хаяг ” чиглүүлэлтийн хүснэгтийг нь

өөрчилж болно. Иймд хэрэглэгч орж ирээд кракерийн хяналтад буй машины IP хаягийг

авдаг. Сүлжээний нэрийн серверийг гартаа оруулах нь бүх сүлжээг эзэлж авсан гэсэн үг

биш.

Хамгаалалтын үндсэн алхмууд

Үүнээс өмнө нь бид хэрхэн сүлжээг довтолж болох талаар нарийн авч үзсэн. Дээр

үзсэн довтолгооны аргууд дээр дүгнэлт хийгээд дараах хамгаалалтын алхмуудыг

зайлшгүй авсан байх ѐстой гэж үзэж байна. Үүнд :


Сүлжээнд Windows, DOS төрлийн үйлдлийн системтэй машинуудыг байлгахгүй

байх. Учир нь эдгээр нь нууцлаг биш үйлдлийн системүүд юм.

Сүлжээнд байгаа PC дээр WEB сервер суулгахыг хориглох.

Ажиллаж буй программуудын кэщийг цэвэрлэх хэрэгтэй. Тэндээс чухал мэдээлэл

алдагдахаас сэргийлнэ.

Inetd –н тохируулгыг өөрчлөх хэрэгтэй. Default үедээ тэр олон төрлийн мэдээллийг

гадагш нь гаргах боломжийг олгож байдаг Түүнийг тохируулахдаа /etc дотор

байдаг inetd.conf –файлыг засварлана. Ямар үйлчилгээ нь inedt-р дуудагдахыг зааж

өгдөг. (21-р хуудас)

Server-т файл илгээх боломжгүй болгох (Өөрөөр хэлбэл uploading хийх боломжийг

хаах.)

File sharing хийх болон FTP сангуудад хяналт тавих.

Жишээ нь зарим нээлттэй (firewall ажиллуулаагүй) UNIX систем нь finger хандалтыг

хэрэгсэхгүй болгосон байдаг. Үүнийг хийхдээ finger хүлээгчийг file/etc/inetd.conf

файлаас зайлуулах замаар гүйцэтгэдэг. Ер нь finger –г хаасан байх нь ихэнх

тохиолдолд ашигтай байна.

Irix ийн зарим хувилбаруудад default line printer т зориулсан нууц үггүй хандах эрх

олгогдсон байдаг нь системд хандалт олгох нэг зам болж байдаг.

IRIX-ийн дээрх дутагдлыг засахын тулд passwd файлыг нээн lp хэрэглэгчийн

эхний ба хоѐрдугаар талбарт * оруулна. Ө.х

lp::4:7:lp:/var/spool/lpd:

үүний оронд

lp:*:4:7:lp:/var/spool/lpd:

Дотоод хэрэглэгчдэд сүлжээний чухал утилитуудыг хэрэглэх эрхийг нь хязгаарлэх.

Үүнд С болон С++, PERL, мөн чухал командууд (host, finger,traceroute...)

Win 95 тай машин ашиглаж байгаа бол SMB протоколыг бүү ашигла. Үүнийг

Linux-с SAMBA –г ашиглаж довтолж чадна.


Хэрэв сүлжээ чинь ISP биш бол firewall ажиллуулахад сайн хамгаалалт болдог. ISP

бол хатуу чанга байдал нь хэрэглэгчдээ алдахад хүргэж болзошгүй.

Нэрний серверийн дуудалтад тодорхой хаягийн хязгаараар хязгаарлаж өгөх

хэрэгтэй.

эсвэл нэрний серверт гаднаас ямарч хандалттгүй болгох юм.

Finger хийгээд байгаа хүнийг илрүүлэхдээ MasterPlan утилитыг ашиглана.

EXPN функцийг хааж өгөх нь зүйтэй. (Sendmail configuration)

Иймд хэрэв чи Интернетэд нууцаа алдахгүйг хүсвэл жинхэнэ нэрээ хэзээ ч

/etc/passwd файлын талбарт бичихийг зөвшөөрөхгүй байх хэрэгтэй.

Secure Shell зэрэг найдвартай шифрлэдэг протоколуудыг ашиглах хэрэгтэй. Энэ нь

доод төвшинд дамжигдаж буй пакетуудад агуулагдаж байгаа мэдээллүүдийг

найдвартай кодлодог тул түүнийг тайлах бараг боломжгүй байна.

Системийн нууц үгийг хамгийн багадаа 8 тэмдэгттэй ямар ч утгагүй тэмдэгт

тоонуудын дарааллаар өгөх хэрэгтэй. Үүнд нууц үг гаргагч программыг ашиглаж

болно.

Вирус шалгагч программыг тогтмол ашигладаг байх хэрэгтэй. Энэ нь Трояныг

барихад хэрэг болно.

MD5 аргыг хэрэглэн Трояныг илрүүлж болно. Энэ нь бүх файлыг түүний гарын

үсэгтэй нь тулгах арга бөгөөд энэ гарын үсгийн сан нь интернетэд чөлөөтэй байдаг.

Хэрэв энэ гарын үсгээс зөрж байвал тэр файл сэжигтэй байх магадлал 99 хувьтай

байна. (52 хуудас)

Sniffer-с хамгаалах хэрэгтэй. Тэд маш идэвхгүй программууд бөгөөд юу ч

үүсгэдэггүй. Ө.х системд ул мөр үлдээдэггүй. Sniffer-ийг илрүүлэх хайх нэг арга нь

ажиллаж буй бүх процессуудыг хянах явдал юм. Энэ нь бүхэлдээ найдваргүй боловч

чи мэдээж ядаж өөрийнхөө машин дээрх процессуудыг хянаж болно. Үүнийг хийх

нь үйлдлийн систем бүрд өөр. DOS, Windows-д асуудалтай. Харин Unix болон Win

NT –д үүнийг хялбархан шийднэ. Unix-т ps-aux эсвэл ps-augh гэсэн команд өгнө.

Sniffer нь чиний диск дээр далдуур (нууцаар) байрласан байдаг. Шинэ файл системд

үүссэн эсэхийг reconcile (өмнөх өдрийн бүх файлыг бүртгэн авч дараа өдөр нь дахин

бүртгэн тулгах замаар) хийх замаар илрүүлж sniffer-ийг барьж болох юм. Зарим


утилит нь сүлжээг promiscuous горимд байгаа эсэхийг таньдаг. Ядахдаа энэ нь

чиний тохируулган дээр sniffer ажиллаж буй эсэхийг илрүүлж болно. Sniffer-ийн

довтолгоог таслах нь тийм ч хэцүү биш. Чиний үндсэн зорилго нь чухал

мэдээллүүдийн (хэрэглэгч ID, нууц үг) дамжуулалт юм. Эдгээр нь сүлжээгээр шууд

текст хэлбэрээр явж байдаг.

Secure Shell буюу SSH нь Телнет гэх мэт программуудын орчинд аюулгүй

холболтыг гаргаж өгдөг протокол юм. Бүх процедур нь бүрэн болмогц бүх

дараалалсан дохионууд нь IDEA технологиор шифрлэлт хийгддэг. Миний мэдэхээр

түүнийг тайлсан кракер одоогоор гараагүй л байна. Sniffer-ээс хамгаалах нэг арга нь

сүлжээг сегментчлэх явдал юм. Энд нэг сегментэд буй sniffer зөвхөн уг сегментдээ л

хүрч чадна.Системийн администраторын зорилго нь аль болох бага “итгэлт холбоо”

үүсгэх явдал юм. Системд шинэ файл үүссэн эсэхийг илрүүлдэг программ

хангамжийн тусламжтайгаар sniffer-ийг барьж болох юм.

Internet explorer 2.0 эсвэл өмнөх хувилбарыг нь ашиглаж буй Win NT нь гаднаас

чиний WEB сервер-г гэмтээх нүхийг агуулж байдаг. Үүнийг туршихын тулд 80-р

портоор Телнет гэж ороод дараах командыг өг.

Get ../..

Хэрэв чи ийм нүхтэй бол Web сервер зогсож чиний компьютер гацна. Асуудлыг

засахын тулд Майкрософтооc үйлчилгээ цуглуулга 1 ба үйлчилгээ цуглуулга 2-г

олох хэрэгтэй. 80-р порт бол web сервер-д нормалиар ажилладаг стандарт порт юм.

Мөн хэрэв нүхтэй хувилбар бол 135, 1031-р портоор ороод хэсэг текст оруулахад уг

машин гацдаг. Ер нь маш олон порт ийм дутагдалтай нь илэрч байна. (1997 оны 2

сарын байдлаар) Иймд СА нь зөвхөн пакет шүүлтүүрийг биш бас deep login-г

идэвхжүүлэх ѐстой.

Win NT 4.0 нь мөн DNS –н нүхтэй. Кракер нь NT DNS-ийн DNS рүү хариултын

пакетыг илгээдэг. Сервер пакетыг хүлээж аваад үйл ажиллагаагаа үргэлжлүүлж

чадахгүй болж гацна. Үйлчилгээ цуглуулга 3 нь үүнийг засна.

СА нь сканнер ашиглан сүлжээгээ шалгах ѐстой. Өөрөөр хэлбэл өөрийнхөө сүлжээг

өөрөө нэвтрэх хэрэгтэй гэсэн үг. Амжилттай болсон довтолгоо бүрийн үндсийг хаа.


Хэрэв чам руу халдаж байгаа нь мэдэгдвэл 1-р төвшний довтолгооны үед уг орж

ирж буй хаягуудад шүүлтүүр тавьж ISP-тэй нь холбоо барь. 2-р төвшнийх бол уг

хэрэглэгчийн account-г идэвхгүй болго. 3,4,5 төвшнийх бол

Уг халдлага бага хүрээнд болж байхаар сүлжээний сегментүүдэд оруул.

үйл ажиллагааг нь үргэлжлүүлэх боломж олго.

Үйл ажиллагааг маш нухацтай log хийж эхэл.

Довтолгооны эх үндсийг ол.

char first_name[20]; үед түүнд 35 үсэгтэй нэр өгвөл яах вэ? Тэд халилтыг үүсгэнэ.

Энэ үлдсэн 15 үсэг нь санах ойн хаа нэгтээ програмист түүнд зориулаагүй хэсэгт

орчихдог. Эдгээр нэмэлт тэмдэгтүүдийг хаана байгааг тодорхойлж удирдсанаар

Кракерууд үйлдлийн системээр гүйцэтгэгдэх дурын командыг үүсгэж чадна.

Ихэнхдээ энэ техник нь локал хэрэглэгчдэд root shell хандалт олж авах зорилгоор

хэрэглэгддэг. Харамсалтай нь өргөн хэрэглээний олон програмууд энэ аргад

өртөмтгий байдаг. Програмистууд болгоомжтой програмчлах замаар энэ аргаас

зайлж болно. Fingerd хүлээгч нь С-ийн Gets() функцийг ашигладаг. Энэ функц нь

оруулах өгөгдлийн хязгааргүй , буферт тохирох эсэхийг шалгадаггүй тул түүнд

халилт үүсгэх замаар өөр кодыг стект оруулах ба энэ кодыг хүн эсвэл програмаар

хийлгэн оруулдаг. Иймд ийм функцүүдийг ашиглахгүй байсан нь дээр.

Зөв файлд зөвшөөрөл олгох нь Win NT-г аюулгүй болгох эхний алхам юм. Харин

үүнийг гүйцэтгэхийн тулд NTFS тохируулгыг суулгалтын явцад тохируулж өгөх

хэрэгтэй.


Системийн зохиомжийн хэсэг


Обьект холбоосын диаграмм

илгээнэ

Êîìïüþòåðóóä

Ïàêåòóóä


Өгөгдлийн урсгалын диаграмм

Ерөнхий диаграмм (CAD)

Төвшин 0

Ñ¿ëæýýíèé ôðýéì

¯éë àæèëëàãààíûá¿ðòãýë

Êîìïüþòåðóóä

Øèíæëýã÷

Õýðýãëýã÷èä



Төвшин 1

Äèàãðàì 0

Ïàêåòóóäûí ñàí Ôðýéì Ïàêåò

¯éë àæèëëàãàà- íû á¿ðòãýë

1

Õºðâ¿¿ëýã÷

2 Áîëîâñðóó- ëàã÷


Төвшин 2

Äèàãðàì 1

Ñ¿ëæýýíèé íººö Ôðýéì

Á¿õ ôðýéì Ñ/î- í çààã÷

Ïàêåòûí ìýäýýëýë

1.1 Ñ¿ëæýýã ñîíñîã÷

ãîðèìä òàâèõ

1.2 Ïàêåòûí îðîí çàéã èíèöèà÷ëàõ

1.3 Ôðýéìýýñ ïàêåòûí

ìýäýýëëèéã ÿëãàõ



Төвшин 2

М

Äèàãðàì 2

Ïàêåòóóä Á¿õ ìýäýýëýë Ïàêåòóóä Òîëãîéí ìýäýýëýë Ïàêåòóóä Ï ¯ Õàÿãóóä Õàÿãèéí æàãñààëò Õàÿãóóä IP õàÿãóóä Êîìïüþòåðóóä

2.1 Õàéëò

2.2 Äàâõàðäëûã

àðèëãàõ

2.5 Ïàêåòóóäààñ

ìýäýýëýë ñàëãàæ àâàõ

2.6 ¯ð ä¿íã á¿ðòãýõ


Өгөгдлийн толь

П: Пакетууд

Ү: Үйл ажиллагааны тайлан

Процесс:

Дугаар Нэр Зориулалт Оролт Гаралт Нэмэлт

тайлбар

1 Хөрвүүлэгч Сүлжээгээр тарж буй

фрэймүүдийг барьж

пакетад хөрвүүлэх

фрэйм Пакет

2 Боловсруулагч Пакетийн сангаас Пакет Үйл

2.3 Ãðàôèêèéí ìýäýýëýë áýëòãýõ

2.4 Ñ¿ëæýýí äýõ PC-

óóäûí ìýäýýëëèéã ÿëãàõ


мэдээллийг авч

хэрэглэгчдэд

ойлгомжтой хэлбэрээр

дүрслэх

ажиллаг

ааны

мэдээлэл

1.1 Сүлжээг сонсогч

горимд тавих

Энэ функц ажилласнаар

уг сүлжээний карт нь

зөвхөн өөртөө

зориулсан пакетийг биш

бүх пакетийг хүлээн авч

эхэлнэ.

Өөрт нь

зориулсан

фрэймүүд

Бүх

фрэймүү

д

Энэ бол

сниферт

зайлшгүй

байх ѐстой .

1.2 Пакетын орон

зайг

инициачлах

Етернет пакетийн

стандарт толгойн

мэдээллийн сангаас

мэдээлэл авч пакетийг

байрыг санах ойд

бэлтгэнэ.

Стандарт

толгой

Санах

ойн

заагч

1.3 Фрэймээс

пакетын

мэдээллийг ялгах

Тусгай бүтэц төрлийг

ашиглан пакетийн чухал

мэдээллүүдийг салган

авна.

Санах ойн

заагч,

фрэймүүд

Пакет

2.1

Хайх

Пакетуудаас хайлтын

нөхцөлд тохирсон

пакетуудыг буцаана.

пакет Пакет

2.2 Давхардлыг

арилгах

Ижил мэдээлэлтэй

пакетуудыг хасна.

Толгойн

мэдээлэл

Пакет

2.3 График

мэдээллийг

бэлтгэх

Пакетуудад буй

машинуудын тоог

буцаана.

Хаягууд Хаягийн

жагсаалт

2.4 Сүлжээн дэх PC-

уудын

мэдээллийг ялгах

Пакетын толгойн

хэсгээс хаягуудыг

давхардуулалгүйгээр

салган авна.

Хаягууд Хаягууд

2.5 Сүлжээн дэх PC- Хэрэглэгчийн үйлдлээс Пакетууд янз бүр


уудын


ялгах

хамаарч пакетуудаас

мэдээллүүдийг салган

авна.

байна

2.6 Үр дүнг бүртгэх Процессуудын буцаасан

өгөгдлүүдийг нэгтгэн

харуулна.

янз бүр

байна

үйл

ажиллаг

ааны

тайлан

Урсгал:

Дугаар Нэр Зориулалт Оролт Гаралт Хэмжээ

1 Фрэйм Тодорхой

физик

сүлжээнд


зөөгч

1.3 1.1 1024- дээш

2 Пакет Дурын

сүлжээнд


зөөгч

2.1 1.3 15-с дээш

3 Хаягийн

жагсаалт

IP хаягийн

жагсаалтыг

дамжуулна.

2.3 2.6 18*x

4 Стандарт

толгой

Етернет

пакетын

толгойн

бүтцийг

дамжуулна.

1.2 Сүлжээний

нөөц

15 byte

5 хаягууд Пакетаас IP

болон физик

хаягуудыг

2.3 2.4 2.5 Текст 18 dyte


зөөнө.

Файл:

Дугаар Нэр Зориулалт Хэмжээ

1

Sniffer.log

Сүлжээгээр дамжигдаж

байгаа пакетуудын

мэдээллийг хадгална.

Пакетын протокол болон

агуулгаас хамааран бичлэг бүр

нь янз бүрийн хэмжээтэй байна.

Дунджаар 250 байт.

2 *.adr IP болон физик хаягуудыг

хадгалдаг файл.

Хэмжээ нь дурын , бичлэг

төрлийн файл юм.

Бүтцийн схем

М

А М

SIGINT

М

А

А

М Т PRO Т S T Б М М М Буфер Фр Фр Фр S S S S

S

S

Èíèöèà÷ëàõ

Ctrl + c ñèãíàëûã

çàðëàõ

Êàðòûã íýýõ

Ñ¿ëæýýíèé êàðòóóäûí

ìýäýýëëèéã àâàõ


Т

Дэлгэцэнд үзүүлэх мэдээлэл.

S Stream.

М Массив хэлбэрт мэдээллийн орон зай.

А Алдааны мэдээлэл.

SIGINT ctrl+c тасалдлын код.

PRO Promiscuous горимын код.

ФР фрэйм

Бүтэцлэгдсэн англи хэл

Function Main

For j=1 to аргументийн урт do

{ P= аргументын i дүгээр заагч

IF P=f эсвэл P=F THEN

LogPath=P+1

IF P=r эсвэл P=R THEN

{Loopmax=(INT) P+1

IF Loopmax<0 эсвэл Loopmax=0 THEN Break;

}

IF P=? эсвэл P=h THEN Call

{PRINTHELP()

BREAK

}

}

IF ((Одоо байгаа картуудын тоо нь = j ) <1) THEN

{Printf(„Сүлжээний карт олдсонгүй“)


Break}

Else { While(True)

{

For i=1 to j do

{Printf (i дүгээр картын тодорхойлолт)

}

Printf(Нэгийг нь сонгоно уу?)

I=Cонгосон картын дугаар

break

}

}

CALL SIGNAL

I дүгээр картыг нээ.

Printf (I дүгээр картын тодорхойлолт)

I дүгээр картын MAC хаягийг тодорхойл.

CALL SET_PROMISCUOUS

CALL ALLOCATE_PACKET

Logpath замаар log файлыг нээ.

Count=0

WHILE(TRUE)

{Хүлээлт=TRUE

PACKET_ХҮЛЭЭН_АВАХ

Count=count+1

Хүлээлт=FALSE

IF Хэрэглэгчийн тасалдал=TRUE THEN break

Printf (count дахь пакетийг хүлээн авлаа)

CALL Пакет_Салгах

IF Loopmax=0 THEN CONTINUE

ELSE IF loopmax<count THEN break

}

Printf („Нийт count пакет хүлээн авлаа“)

Close (log файл)

CALL FREE_PACKET


Close (ADAPTER)

Return 0

}

Function Пакет_Салгах

{ size=пакетийн хэмжээ

Print_file(Пакетийн хэмжээ=size)

Буферээс Эх MAC хаягийг салган SOURCE –д оноо

Print_file(Sourse Mac address =SOURCE)

Буферээс Хүрэх компьютерийн MAC хаягийг салган DEST –д оноо

Print_file(Destination Mac address =DEST)

IF Протокол_type<0x05DC THEN

{ Print_file(Протоколын төрөл нь =IEEE802.3 урт нь length)

}

ELSE

Print_file(Протоколын төрөл нь = MAC User Protocol)

IF (Протокол_Type == PROTO_IP)

{ IP=Буфер дахь өгөгдлийг IP толгой ашиглан хөрвүүлнэ.

Print_file(SOURSE IP ADDRESS= IP.source)

Print_file(DESTINATION IP ADDRESS= IP.dest)

}

} Модулиудын загвар

Пакет_Салгах

Ýõëýë

Áóôåð äàõü ïàêåò

Ïàêåò =( ETH ) Áóôåð

Size=length(Ïàêåò) Source=Ïàêåò.source Destin= Ïàêåò.dest Proto= Ïàêåò.ïðîòîêîë

IF Proto <0x05DC


1 0

MAIN

Ýõëýë

Àðãóìåíòèéí æàãñààëò

Arg=àðãóìåíò

LOGPATH, LoopMax-ã àðãóìåíòààñ ñàëãàæ

àâàõ õýñýã.

Îäîî áàéãàà êàðòóóäûí òîî íü <1

„Ñ¿ëæýýíèé êàðò îëäñîíã¿é“

Õýðýãëýã÷ýýñ îðóóëñàí êàðòûí ñîíãîëòûã õ¿ëýýí àâíà.

Õýðýãëýã÷èéí òàñàëäëûã áîëîâñðóóëàõ.

Ñîíãîñîí êàðòûã íýý. Ò¿¿íèé MAC õàÿãèéã òîäîðõîéë


0

1

Дүгнэлт

80-д оны үеээс “Сүлжээний хамгаалалт”- ын асуудал хурцаар тавигдаж эхэлсэн

бөгөөд олон янзын үйлдлийн системүүдэд зориулсан хамгаалалтын утилитууд

зохиогдсон юм. Эдгээр утилитууд нь бүгд хууль бусаар ашиглагдвал маш хүчирхэг

зэвсэг болж чадах аюултай байна. Тиймээс ч эдгээр нь хөрвүүлэгдсэн буюу binary

хэлбэрээрээ маш ховорхон ирдэг бөгөөд тэднийг компиляци хийхэд ихэнх тохиолдолд

маш нарийн параметрийн тохируулгыг хийж өгөгх шаардлагатай болдог тул зөвхөн

мэргэжлийн хүмүүс л тэднийг ашиглах боломжтой байдаг. Гэвч энэ байдлыг үгүйсгэсэн

хандлагууд сүүлийн жилүүдэд гарч ирж байна . Энэ нь эдгээр утилитуудын ихэнхийг нь

ямарч үйлдлийн системүүд дээр ажиллах чадвартай binary хувилбарууд гарч ирж байгаа

явдал юм. Харин мэргэжилтнүүд энэ байдлыг дүгнэн үзсэний эцэст Интернетийн гол

зүрх болсон TCP/IP протоколыг огт өөр технологиор солихыг санал болгож байгаа

бөгөөд энэ нь хэрэгжвэл дээрх бүх утилитуудаас амжилттай сэргийлж чадах юм байна.

Мөн авч буй өөр нэг чухал арга хэмжээний нэг нь ” BELL-ийн лабораторийн 9- р

төлөвлөгөө” хэмээх төсөл болж байна. Энэ нь шинэ үйлдлийн систем бөгөөд түүний

зорилго нь сүлжээнд нууцлаг байх явдал юм. Түүнд администратор болон өөр ямар

нэгэн өндөр эрхтэй хүн байхгүй бөгөөд хэрэглэгч бүр өөрийн үүсгэсэн файлдаа хандах

эрхтэй байна. 9-р төлөвлөгөөн дээр BERKELEY UNIX системийг зохиосон


мэргэжилтнүүд 15 жилийн турш ажиллаж байгаа бөгөөд одоогоор энэ системийн betta

хувилбар гарсныг та бүхэн интернетээр сонирхож болох юм. Эдгээр арга хэмжээнүүд

нь биелсний дараа нэг хэсэг тайван байх болно гэж мэргэжилтнүүд дүгнэж байгаа

бөгөөд энэ нь кракерүүдийн зөвхөн ур чадвараас хамаарах ч зүйл биш юм гэсэн байна.

Энэхүү төслийн ажлын хүрээнд Интернетийн хамгаалалтын үндсэн мэдлэгийг

багтаасан бөгөөд энэ мэдлэг дээрээ тулгуурлан хамгаалалтыг амжилттай хэрэгжүүлэх

боломжтой гэж дүгнэж байна. Хамгаалахын тулд бид хэрхэн халддагийг нарийвчлан

судалсан байх ѐстой нь мэдээж. Энэ тухай өөрөөр хэлбэл хэр хэн нэвтрэлт хийдэгийг

бүх төслийн явцад улам нарийвчлан харуулсан байгаа. Эцэст нь бид хамгаалалтын

хамгийн түгээмэл утилит болох сүлжээг шинжлэгч буюу sniffer –г хэрхэн

програмчлахыг харуулсан бөгөөд энэ нь сүлжээн дэх нууцлаг байдлыг хадгалахад сайн

туслагч болох болно.

Хавсралт

#include <windows.h>

#include <windowsx.h>

#include <tchar.h>

#include <stdio.h>

#include <stdlib.h>

#include <signal.h>

#include "packet32.h"

#include "protohdr.h"

BOOLEAN UserBreak = FALSE;

BOOLEAN Wait = FALSE;

LPADAPTER pAdapter = NULL;

HANDLE LogFile = NULL;

////////////////////////////////////////////////////////////////////////////////////////////////////////////

//

void

PrintUsage(LPTSTR szAppName)

{

LPTSTR lpszAppName = szAppName + strlen(szAppName) - 1;

while(lpszAppName != szAppName && *lpszAppName != '.') lpszAppName--;

if(lpszAppName != szAppName) *lpszAppName = 0;


while(lpszAppName != szAppName && *lpszAppName != '\\') lpszAppName--;

if(lpszAppName != szAppName) lpszAppName++;

fprintf(stderr,_T("SNOWING ver 1 Sniffer for Windows95, May 5, 2000\n"));

fprintf(stderr,_T("Author: Ts.Amarbat ([email protected])\n\n"));

fprintf(stderr,_T("USAGE:\t\t%s [-fFile_Path] [-r#Sons_Packet]\n"), lpszAppName);

fprintf(stderr,_T("EXAMPLE:\t%s -fcsms.log -r100\n\n"), lpszAppName);

fprintf(stderr,_T("DESCRIPTION:\tFile_Path: Packetiig burtgeh file ner,opt.

\n\t\t\t(default=snowing.log)\n"));

fprintf(stderr,"\t\t#Recv_Packets: Huleen avah packetiin too , opt. \n\t\t\t(default=Hereglegchiig

tasaltal\n");

(void)fflush(stderr);

return;

}

////////////////////////////////////////////////////////////////////////////////////////////////////////////

// sighandle for Ctrl+C

//

void

BreakHandler(int sig)

{

bUserBreak = TRUE;

if(bPending == TRUE) {

if(pAdapter != NULL) {

//Herev huleelt baival tuuniig duusgah heregtei.

PacketResetAdapter(pAdapter);

}

}

signal(SIGINT, BreakHandler);

}

////////////////////////////////////////////////////////////////////////////////////////////////////////////

//

void

FatalError(LPTSTR pFormat, ...)

{

va_list vaError;

va_start(vaError, pFormat);


vfprintf(stderr, pFormat, vaError);

(void)fflush(stderr);

exit(1);

}

////////////////////////////////////////////////////////////////////////////////////////////////////////////

//

typedef struct tagTRANSPORT_PROTOCOLS {

UCHAR Protocol;

TCHAR szName[20];

TCHAR szDescription[MAX_PATH];

} TRANSPORT_PROTOCOLS, *LPTRANSPORT_PROTOCOLS;

//see rfc1340.txt

TRANSPORT_PROTOCOLS transProtos[] = {

{1 , "ICMP", "Internet Control Message" },

{2 , "IGMP", "Internet Group Management"},

{3 , "GGP" , "Gateway-to-Gateway"},

{4 , "IP" , "IP in IP (encasulation)"},

{5 , "ST" , "Stream"},

{6 , "TCP" , "Transmission Control"},

{8 , "EGP" , "Exterior Gateway Protocol"},

{9 , "IGP" , "any private interior gateway"},

{17, "UDP" , "User Datagram"},

{27, "RDP" , "Reliable Data Protocol"},

{28, "IRTP", "Internet Reliable Transaction"},

{29, "ISO-TP4" , "ISO Transport Protocol Class 4"},

{35, "IDPR" , "Inter-Domain Policy Routing Protocol"},

{37, "DDP" , "Datagram Delivery Protocol"},

{38, "IDPR-CMTP", "IDPR Control Message Transport Proto"},

{88, "IGRP" , "IGRP"},

{89, "OSPFIGP" , "OSPFIGP"},

{92, "MTP" , "Multicast Transport Protocol"},

{94, "IPIP" , "IP-within-IP Encapsulation Protocol"},

{97, "ETHERIP" , "Ethernet-within-IP Encapsulation"},

{98, "ENCAP" , "Encapsulation Header"}

};

#define TRANSPROTOS_MAX (sizeof(transProtos)/sizeof(TRANSPORT_PROTOCOLS))

void


ParsePacket(

HANDLE hFile,

DWORD nIndex,

UCHAR *uBuffer,

DWORD dwBytes)

{

PETHERNET_HDR pEthFrame;

TCHAR szMsg[1024];

DWORD dwWBytes, dwWrittenBytes;

USHORT usLengthType;

register int i;

if(hFile==NULL) return;

if(dwBytes == 0) return;

pEthFrame = (PETHERNET_HDR)uBuffer;

//MAC Header

wsprintf(szMsg,_T("\n[%u th packet, size of %u]\r\n"), nIndex, dwBytes);

dwWBytes = lstrlen(szMsg);

WriteFile(hFile, szMsg, dwWBytes, &dwWrittenBytes, NULL);

//mac source address

wsprintf(szMsg,_T("MAC Source : %02X:%02X:%02X:%02X:%02X:%02X (in Hex)\r\n"),

pEthFrame->Source[0],pEthFrame->Source[1],pEthFrame->Source[2],

pEthFrame->Source[3],pEthFrame->Source[4],pEthFrame->Source[5]);



//mac destination address

wsprintf(szMsg,_T("MAC Destination : %02X:%02X:%02X:%02X:%02X:%02X (in Hex)\r\n"),

pEthFrame->Destination[0],pEthFrame->Destination[1],pEthFrame->Destination[2],

pEthFrame->Destination[3],pEthFrame->Destination[4],pEthFrame->Destination[5]);



//mac type or ieee802.3 length field

usLengthType = TOUSHORT(pEthFrame->Protocol);

if(usLengthType <= 0x05DC) { // rfc1340 : assigned numbers-g haraarai.

wsprintf(szMsg,_T("IEEE802.3 Length : %u\r\n"), usLengthType);

} else {

wsprintf(szMsg,_T("MAC User Protocol : 0x%02X%02X\r\n"),

pEthFrame->Protocol[0],pEthFrame->Protocol[1]);


}



//0x0800 gesen mac-n toroltei bol ene ni ip datagram bogood,

//packet-g ulam nariin shinjilne.

if(usLengthType == PROTO_IP) {

PIP_RHDR pIP = (PIP_RHDR)pEthFrame->Data;

//ip source

wsprintf(szMsg,_T("IP Source : %u.%u.%u.%u\r\n"),

pIP->Source[0],pIP->Source[1],pIP->Source[2],pIP->Source[3]);



//ip destination

wsprintf(szMsg,_T("IP Destination : %u.%u.%u.%u\r\n"),

pIP->Destination[0],pIP->Destination[1],pIP->Destination[2],pIP->Destination[3]);



//uppper layer protocol type

for(i=0; i<TRANSPROTOS_MAX; i++) {

if(transProtos[i].Protocol == pIP->Protocol) break;

}

if(i==TRANSPROTOS_MAX) {

wsprintf(szMsg,_T("Upper Layer Protocol : %u\r\n"), pIP->Protocol);



} else {

wsprintf(szMsg,_T("Upper Layer Protocol : %s(%u;%s)\r\n"),

transProtos[i].szName,transProtos[i].Protocol, transProtos[i].szDescription);



if(transProtos[i].Protocol==6) {

PTCP_RHDR pTCP = (PTCP_RHDR)(pEthFrame->Data+20);

wsprintf(szMsg,_T("TCP Seq : %u\r\n"), TOULONG(pTCP->Seq));



wsprintf(szMsg,_T("TCP Ack : %u\r\n"), TOULONG(pTCP->Ack));




wsprintf(szMsg,_T("TCP FLAG : 0x%x\r\n"), pTCP->Flags);



wsprintf(szMsg,_T("TCP Window : %u\r\n"), TOUSHORT(pTCP-

>Window));



}

}

}

}

////////////////////////////////////////////////////////////////////////////////////////////////////////////

// main

//

int

main(int argc, char *argv[])

{

TCHAR szLogPath[MAX_PATH] = {0,};

DWORD dwRxLoop = 0, dwRxLoopMax = 0;

int i, j;

char *p;

ADAPTER_DESC adapterDescs[5];

UCHAR uMac[6] = {0,}; //Mac Address

UCHAR uBuffer[1520]; //Max. Ethernet PDU (Header Len(14)+Payload Len(1504))

DWORD dwRxBytes;

LPPACKET pPacket;

//argumentiin jagsaaltiig zadlah

for(i=1; i<argc; i++) {

if(*argv[i]=='-' || *argv[i]=='/') {

p=argv[i]+1;

switch(*p) {

case 'f' :


case 'F' :

if(lstrlen(p+1) > 0)

lstrcpy(LogPath,p+1);

break;

case 'r' :

case 'R' :

LoopMax = atoi(p+1);

if(LoopMax < 0) LoopMax = 0;

break;

case '?' :

case 'h' :

default :

Print1(argv[0]);

return 0;

}

} else {

Print1(argv[0]);

return 0;

}

}

if(lstrlen(LogPath) < 1) {

lstrcpy(LogPath,_T("snowing.log"));

}

fprintf(stdout,_T("SNOWING ver 1 Sniffer for Windows95, May 9, 2000\n"));

fprintf(stdout,_T("Author: Ts.Amarbat ([email protected])\n"));

fprintf(stdout,_T("Tuslamj avahdaa -? bicheerei.\n"));

fflush(stdout);

//adapteruudiin jagsaaltiig olj avah.

//Herev adapteriin too ni negees olon bol hereglegchdee songoh bolomj olgono.

if(PacketGetAdapterNames(adapterDescs, 5, &j) == FALSE) {

FatalError(_T("NIC oldsongui\n"));

} else if(j>1) {

while(TRUE) {

fprintf(stdout,_T("\nFound %u NICs:\n"),j);

for(i=0; i<j; i++) {

fprintf(stdout, _T("\t[%u] %s\n"), i, adapterDescs[i].szAdapterDesc);

}

fprintf(stdout,_T("\t[%u] Bolih\n"), i);


fprintf(stdout,_T("Songoltoo hii :"));

fflush(NULL);

fscanf(stdin,"%u", &i);

if(i==j) return 0;

if((i>=0) && (i<j)) break;

}

} else {

i = 0;

}

//signal handler for Ctrl+C

signal(SIGINT, BreakHandler);

//adapteriig neene.

pAdapter = (LPADAPTER)PacketOpenAdapter(adapterDescs[i].szAdapterName);

if(pAdapter==NULL) {

FatalError(_T("Adapter %s neeh aldaa.\n"), adapterDescs[i].szAdapterName);

}

//

if(PacketAdapterDesc(pAdapter, uBuffer, sizeof(uBuffer), &i)==TRUE) {

fprintf(stdout,_T("NIC says, 'This is %s.'\n"), uBuffer);

}

//Get the current MAC address

if(PacketGetAddress(pAdapter, uMac, 6, &i) == TRUE) {

fprintf(stdout,_T("Mac address: %02X:%02X:%02X:%02X:%02X:%02X\n"),

uMac[0],uMac[1],uMac[2],uMac[3],uMac[4],uMac[5]);

}

//packet huleen avah gorimiig songoh

//ene tohioldold promiscuous gorim ni buh packetiig huleen avah bolomj olgono.

if(PacketSetFilter(pAdapter, NDIS_PACKET_TYPE_PROMISCUOUS)==TRUE) {

fprintf(stdout,_T("Promiscuous gorim idevhjiv\n"));

}

//allocate packet

pPacket = PacketAllocatePacket(pAdapter);

if(pPacket == NULL) {

PacketCloseAdapter(pAdapter);

FatalError(_T("Packet allocation failed.\n"));


}

//set the packet's buffer and its max. length

PacketInitPacket(pPacket, uBuffer, 1520);

fprintf(stdout,_T("Packetiig sonsoj ehlev...\n"));

fprintf(stdout,_T("Logs are stored into %s file\n"), szLogPath);

fprintf(stdout,_T("Ctrl+C darj sonsoh protsesiig duusgana.\n"));

//create the log file

LogFile = CreateFile(LogPath, GENERIC_WRITE, 0, NULL,

CREATE_ALWAYS, FILE_ATTRIBUTE_NORMAL,

NULL);

//PacketResetAdapter(pAdapter);

while(TRUE) {

Bytes = 0;

Wait = TRUE;

//receive a packet

PacketReceivePacket(pAdapter, pPacket, TRUE, &Bytes);

Wait = FALSE;

if(UserBreak == TRUE) break;

fprintf(stdout,_T("\r%u\t\t"), ++Loopnum);

ParsePacket(hLogFile, Loopnum, uBuffer, Bytes);

if(LoopMax==0) {

continue;

} else if(LoopMax<=Loopnum){

break;

}

}

fprintf(stdout,_T("\nNiit %u packetuud irlee \n\nBye."), Loopnum);

fflush(stdout);

if(hLogFile != NULL)

CloseHandle(hLogFile);

PacketFreePacket(pPacket);


PacketCloseAdapter(pAdapter);

return 0;

}


document14

Documents

network security

upper layer

secure shell

unix win nt

internet explorer

win nt

win nt 4

war dialer