¿Cuáles son los métodos para defenderse del escaneo de Nmap por parte de piratas informáticos?
En muchos lugares, se trata de una suscripción mensual. En este caso, los piratas informáticos pueden dedicar más tiempo a escanear puertos y vulnerabilidades, e incluso pueden utilizar métodos de descifrado de fuerza bruta en línea para robar contraseñas o. como Simplemente espere y espere a que la otra parte use la herramienta de rastreo para enviar automáticamente el nombre de usuario y la contraseña a su puerta.
Para completar con éxito un ciberataque, generalmente se requieren varios pasos. El primer paso es recopilar diversa información sobre el objetivo. Para analizar exhaustivamente el objetivo, es necesario recopilar la mayor cantidad de información efectiva posible sobre el objetivo del ataque para poder obtener la lista de vulnerabilidades del objetivo en el análisis final. Los resultados del análisis incluyen: tipo de sistema operativo, versión del sistema operativo, servicios abiertos, versiones de servicios abiertos, topología de red, equipo de red, firewalls, intrusos, etc.
El escaneo de piratas informáticos utiliza principalmente el método de huella digital de la pila de protocolos TCP/IP . Hay tres métodos de implementación principales:
1. Muestreo TCP ISN: encuentre si la longitud especificada de la secuencia de inicialización coincide con el sistema operativo específico.
2.Sonda FIN: envía un paquete FIN (o cualquier paquete sin un indicador ACK o SYN) al puerto abierto del destino y espera una respuesta. Muchos sistemas devuelven RESET (indicador de reinicio).
3. Explotación del flag BOGUS: Aprovechando la diferente respuesta del sistema al flag, es posible distinguir ciertos sistemas operativos enviando paquetes SYN que contienen encabezados TCP con flags TCP indefinidos.
4. Aproveche la ventana de inicialización de TCP: simplemente verifique la longitud de la ventana contenida en el paquete de retorno y luego identifique de forma única cada sistema operativo según el tamaño de la ventana.
Aunque existen muchas tecnologías de escaneo, los principios son simples. A continuación se ofrece una breve introducción a la herramienta de escaneo Nmap (Network Mapper). Se dice que esta es la mejor herramienta de escaneo actualmente. Es potente, versátil, admite múltiples plataformas, flexible, fácil de usar, portátil y casi no deja rastros. No solo puede escanear puertos TCP/UDP. Se puede utilizar para escanear/detectar redes grandes.
Tenga en cuenta que aquí se utilizan algunos nombres de dominio reales, lo que hace que el comportamiento de escaneo parezca más específico. Puede reemplazar estas direcciones/nombres con nombres de su propia red, pero es mejor obtener permiso para escanear; de lo contrario, estará solo.
nmap -v target.example.com
Este comando escanea todos los puertos TCP reservados en target.example.com, donde -v es el modo detallado.
nmap -sS -O target.example.com/24
Este comando inicia un escaneo SYN medio abierto de la subred Clase C donde se encuentra target.example.com, y intenta determinar el sistema operativo que se ejecuta en el objetivo. Este comando requiere privilegios de administrador ya que utiliza escaneo medio abierto y espionaje del sistema.
El segundo paso para lanzar un ataque es establecer una conexión con la otra parte y encontrar la información de inicio de sesión. Supongamos que el escaneo encuentra que la máquina de la otra parte tiene IPC$ configurado. IPC$ es un disfrute para un recurso de "canalización con nombre" y es importante para la comunicación entre programas y se utiliza cuando se administra de forma remota una computadora y se ven sus recursos de disfrute. Usando IPC$, un hacker puede establecer una conexión vacía con la otra parte (sin nombre de usuario ni contraseña) y obtener la lista de usuarios de la otra parte a través de esta conexión vacía.
El tercer paso es iniciar sesión utilizando el software de utilidad adecuado. Abra una ventana de línea de comando y escriba el comando: net use 222.222.222.222ipc$ "administrator" /user: 123456
Aquí asumimos que la contraseña del administrador es 123456. Si no conoce la contraseña de administrador, deberá buscar otra.
Una vez que conozca la contraseña de administrador, necesitará encontrar otras herramientas para descifrar contraseñas que le ayuden. Una vez que haya iniciado sesión, todo estará bajo el control del hacker.
Métodos de prevención
Dado que los usuarios de ADSL generalmente pasan mucho tiempo conectados, deben reforzar su concienciación sobre la seguridad. No son pocas las personas que navegan por Internet más de diez horas al día, o incluso encienden sus ordenadores toda la noche. También hay personas que convierten sus máquinas en servidores Web o FTP para que otros puedan acceder. El trabajo preventivo diario generalmente se puede dividir en los siguientes pasos.
El primer paso es desactivar la cuenta de invitado. Hay muchos intrusos que utilizan esta cuenta para obtener la contraseña o los permisos del administrador. Si no quieres utilizar tu computadora como un juguete, lo mejor es desactivarla. Abra el Panel de control, haga doble clic en "Usuarios y contraseñas" y seleccione la pestaña "Avanzado". Haga clic en el botón "Avanzado" para abrir la ventana "Usuarios y grupos locales". Haga clic con el botón derecho en la cuenta de invitado, seleccione Propiedades y, en la página general, marque La cuenta está desactivada.
Paso 2: Deja de joder. Después de instalar Windows 2000, el sistema crea algunos archivos ocultos. Haga clic en "Inicio" → "Ejecutar" → "cmd" y luego escriba el comando "net share" en la línea de comando para verlos. Hay muchos artículos en Internet sobre hacks de IPC utilizando la conexión ***share predeterminada. Para deshabilitarlos, abra Herramientas administrativas → Administración de computadoras → *** Carpetas compartidas → *** Compartir, haga clic con el botón derecho en la *** carpeta compartida correspondiente y luego haga clic en "Dejar de *** compartir".
Paso 3: Intente desactivar servicios innecesarios como Terminal Services, IIS (si no está utilizando su máquina como servidor de red), RAS (Servicio de acceso remoto), etc. También debe desactivar el molesto servicio Messenger; de lo contrario, siempre habrá personas que utilicen los servicios de mensajería para enviar anuncios en línea. Abra "Herramientas administrativas" → "Administración de computadoras" → "Servicios y aplicaciones" → "Servicios" y desactive aquellos servicios que no funcionan.
Paso 4: Deshabilitar las conexiones nulas. De forma predeterminada, cualquier usuario puede conectarse al servidor mediante una conexión nula, enumerar cuentas y adivinar contraseñas. Debemos prohibir la creación de conexiones vacías mediante los siguientes dos métodos:
(1) Modificar el registro:
En HKEY_Local_MachineSystemCurrent-ControlSetControlLSA, cambie el valor DWORD RestrictAnonymous a 1.
(2) Modifique el registro:
En HKEY_Local_MachineSystemCurrent-ControlSetControlLSA, cambie el valor DWORD RestrictAnonymous a 1. p>
(2) Modifique la política de seguridad local de Windows 2000:
En "Política de seguridad local -> Política local -> Opciones", establezca RestrictAnonymous (restricciones adicionales en conexiones anónimas). ) está configurado en "No permitir la enumeración de cuentas SAM y disfrute de ****". En Política de seguridad local → Política local → Opciones, cambie "No permitir la enumeración de cuentas y ****s SAM".
Paso 5: Si el servicio web está activado, también necesita configurar la seguridad del servicio IIS:
(1) Cambie el directorio de inicio del servicio web. Haga clic con el botón derecho en "Sitio web predeterminado → Propiedades → Directorio de inicio → Ruta local" y señale "Ruta local" a otro directorio.
(2) Elimine el directorio Inetpub de la instalación predeterminada.
(3) Elimine los siguientes directorios virtuales: _vti_bin, IISSamples, Scripts, IIShelp, IISAdmin, IIShelp, MSADC.
(4) Elimine las asignaciones de extensiones IIS innecesarias. El método es: haga clic con el botón derecho en "Sitio web predeterminado → Propiedades → Directorio de inicio → Configuración", abra la ventana de la aplicación y elimine las asignaciones de aplicaciones innecesarias. Si no se utiliza ningún otro mapeo, simplemente mantenga .asp, .asa.
(5) Realizar una copia de seguridad de la configuración de IIS. Puede utilizar la función de copia de seguridad de IIS para realizar una copia de seguridad de todas las configuraciones de IIS que se han configurado para poder restaurar la configuración de seguridad de IIS en cualquier momento.
No creas que todo irá bien. No conocemos el sistema operativo de Microsoft. Tiene demasiados errores, por lo que debemos aplicar todos los parches de Microsoft.
Por último, te recomendamos que elijas un cortafuegos práctico. Por ejemplo, Black ICE de Network ICE Corporation es tan fácil de instalar y ejecutar que puede detectar la mayoría de los tipos de hacks usando la configuración predeterminada, incluso si eres nuevo en la seguridad de la red. Para usuarios experimentados, también pueden seleccionar "Configuración avanzada de firewall" en "Herramientas" para configurar si aceptar o rechazar direcciones IP específicas o puertos UDP específicos para lograr efectos de defensa específicos.