Комп’ютерні мережі. Аналіз роботи і оптимізація

2

Міністерство освіти і науки України

Комп'ютерні мережі. Аналіз роботи і оптимізація

Вступ

Розділ І. Огляд і архітектура обчислювальних мереж

1.1 Основні означення і терміни

1.2 Переваги використання мереж

1.3 Архітектура мереж

1.3.1 Архітектура термінал - головний комп'ютер

1.3.2 Однорангова архітектура

1.3.3 Архітектура клієнт - сервер

1.3.4 Вибір архітектури мережі

Розділ ІІ. Пошук несправностей в мережах на базі OC Windows

2.1 Проблеми реєстрації робочої станції

2.1.1 Команда ,,ping»

2.2 Пошук несправностей в мережі з виділеним DHCP сервером

2.2.1 Діалог з DHCP сервером

2.2.2 Аналіз діалогу комп'ютерів у мережі

2.3 Визначення швидкодії мережі

2.3.1 Засоби і способи визначення швидкодії мережі

2.3.2 Виявлення джерела впливу на швидкодію мережі

2.4 Причини помилок журналу подій

2.4.1 Метод пошуку серверних проблем

2.4.2 Фільтр перехоплення, та його використання

2.5 Проблеми, що виникають при широкомовленні

Розділ ІІІ. Методи захисту від несанкціонованого доступу в мережі TCP/IP

3.1 Безпека комп'ютерів на базі Windows 2000/XP

3.1.1 Сканування мережі TCP/IP

3.1.2 Інвентаризація мережі

3.1.3 Нульовий сеанс

3.1.4 Реалізація цілі

3.1.5 Приховування слідів

3.2 Засоби віддаленого керування

3.2.1 Програма pcAnywhere

3.2.2 Протокол SNMP

3.3 Функції брандмауерів

3.4 Перехоплення мережевих даних

3.4.1 Фальшиві ARP запити

3.4.2 Фальшива маршрутизація

3.4.3 Перехоплення ТСР-з'єднання

3.5 Комутований доступ до мереж

3.5.1 Сканер PhoneSweep 4.4

3.5.2 Робота з програмою PhoneSweep 4.4

Висновки

Список скорочень і пояснень

Література

Вступ

Яке призначення мережі? Для того щоб відповісти на це питання, давайте почнемо з її назви. Слово «корпорація» означає об'єднання підприємств, що працюють під централізованим керуванням і вирішують загальні задачі. Корпорація є складною, багатопрофільною структурою і внаслідок цього має розподілену ієрархічну систему керування. Крім того, підприємства, відділення й адміністративні офіси, що входять у корпорацію, як правило, розташовані на великій відстані один від одного. Для централізованого керування таким об'єднанням підприємств використовується корпоративна мережа. У її склад можуть входити магістральні мережі (WAN, MAN), призначені для зв'язку відділень і адміністративних офісів корпорації. Обов'язковими компонентами корпоративної мережі є локальні мережі, зв'язані між собою.

З розвитком комп'ютерних мереж все більше ускладнюється програмне забезпечення яке необхідне для їхнього функціонування, отже все частіше виникають несправності пов'язані з програмним забезпеченням, які виводять комп'ютерну мережу з ладу.

В другому розділі роботи розглядаються питання пошуку несправностей, які часто виникають в мережах на базі архітектури клієнт-сервер.

В третьому розділі розглядаються найбільш поширені види злому комп'ютерних мереж та рекомендації, що до захисту від таких атак.

В даній роботі використовуються операційні системи Windows 2000/XP. Розгляд саме цих систем пов'язаний із їхньою популярністю у світі, а також з тим, що операційні системи сімейства Windows не містять відкритого коду, як наприклад операційна система Linux, це у свою чергу призводить до того, що Windows потребує більш серйозного захисту від атак за допомогою додаткових програм в порівнянні з Linux, оскільки прогалини в Windows закриваються працівниками компанії Microsoft.

Розділ І. Огляд і архітектура обчислювальних мереж

1.1 Основні означення і терміни

Мережа - це сукупність об'єктів, що утворюються пристроями передачі і обробки даних. Міжнародна організація з стандартизації означила обчислювальну мережу як послідовну біт-орієнтовану передачу інформації між пов'язаними один з одним незалежними пристроями.

Мережі зазвичай знаходиться в приватній власності користувача і займають деяку територію і за територіальною ознакою розділяються на:

локальні обчислювальні мережі (ЛОМ) або Local Area Network (LAN), розташовані в одному або декількох близько розташованих будівлях. ЛОМ зазвичай розміщуються в рамках якої-небудь організації (корпорації, установи), тому їх називають корпоративними;

розподілені комп'ютерні мережі, глобальні або Wide Area Network (WAN), розташовані в різних будівлях, містах і країнах, які бувають територіальними, змішаними і глобальними. Залежно від цього глобальні мережі бувають чотирьох основних видів: міські, регіональні, національні і транснаціональні. Як приклад, розподілених мереж дуже великого масштабу можна назвати: Internet, EUNET, Relcom, FIDO.

До складу мережі в загальному випадку включаються наступні елементи:

мережеві комп'ютери (оснащені мережевим адаптером);

канали зв'язку (кабельні, супутникові, телефонні, цифрові, волоконно-оптичні, радіоканали і ін.);

різного роду перетворювачі сигналів;

мережеве устаткування.

Розрізняють два поняття мережі: комунікаційна мережа і інформаційна мережа (рис. 1.1).

Комунікаційна мережа призначена для передачі даних, також вона виконує завдання, пов'язані з перетворенням даних. Комунікаційні мережі розрізняються за типом використовуваних фізичних засобів з'єднання.

Інформаційна мережа призначена для зберігання інформації і складається з інформаційних систем. На базі комунікаційної мережі може бути побудована група інформаційних мереж.

Під інформаційною системою слід розуміти систему, яка є постачальником або споживачем інформації.

Комп'ютерна мережа складається з інформаційних систем і каналів зв'язку.

Під інформаційною системою слід розуміти об'єкт, здатний здійснювати зберігання, обробку або передачу інформації. До складу інформаційної системи входять: комп'ютери, програми, користувачі і інші складові, призначені для процесу обробки і передачі даних. Надалі інформаційна система, призначена для вирішення завдань користувача, називатиметься - робоча станція (client). Робоча станція в мережі відрізняється від звичайного персонального комп'ютера (ПК) наявністю мережевої карти (мережевого адаптера), каналу для передачі даних і мережевого програмного забезпечення.

Під каналом зв'язку слід розуміти шлях, або засіб, по якому передаються сигнали. Засіб передачі сигналів називають абонентським, або фізичним каналом.

Канали зв'язку (data link) створюються по лініях зв'язку за допомогою мережевого устаткування і фізичних засобів зв'язку. Фізичні засоби зв'язку побудовані на основі витих пар, коаксіальних кабелів, оптичних каналів або ефіру. Між взаємодіючими інформаційними системами через фізичні канали комунікаційної мережі і вузли комутації встановлюються логічні канали.

Логічний канал - це шлях для передачі даних від однієї системи до іншої. Логічний канал прокладається по маршруту в одному або декількох фізичних каналах. Логічний канал можна охарактеризувати, як маршрут, прокладений через фізичні канали і вузли комутації.

Інформація в мережі передається блоками даних за процедурами обміну між об'єктами. Ці процедури називають протоколами передачі даних.

Протокол - це сукупність правил, що встановлюють формат і процедури обміну інформацією між двома або декількома пристроями.

Завантаження мережі характеризується параметром, що називається трафіком. Трафік (traffic) - це потік повідомлень в мережі передачі даних. Під ним розуміють кількісну величину у вибраних точках мережі числа блоків даних, що проходять і їх довжини, виражені в бітах в секунду.

Істотний вплив на характеристику мережі надає метод доступу. Метод доступу - це спосіб визначення того, яка з робочих станцій зможе наступною використовувати канал зв'язку і як управляти доступом до каналу зв'язку (кабелю).

У мережі всі робочі станції фізично сполучені між собою каналами зв'язку по певній структурі, яка називається топологією. Топологія - це опис фізичних з'єднань в мережі, що вказує які робочі станції можуть зв'язуватися між собою. Тип топології визначає продуктивність, працездатність і надійність експлуатації робочих станцій, а також час звернення до файлового сервера. Залежно від топології мережі використовується той або інший метод доступу.

Склад основних елементів в мережі залежить від її архітектури. Архітектура - це концепція, що визначає взаємозв'язок, структуру і функції взаємодії робочих станцій в мережі. Вона передбачає логічну, функціональну і фізичну організацію технічних і програмних засобів мережі. Архітектура визначає принципи побудови і функціонування апаратного і програмного забезпечення елементів мережі.

В основному виділяють три види архітектури: архітектура термінал - головний комп'ютер, архітектура клієнт - сервер і однорангова архітектура.

Сучасні мережі можна класифікувати за різними ознаками: по віддаленості комп'ютерів, топології, призначенню, переліку послуг, що надаються, принципами управління (централізовані і децентралізовані), методами комутації, методами доступу, видами середовища передачі, швидкостями передачі даних [1].

1.2 Переваги використання мереж

Комп'ютерні мережі є варіантом співпраці людей і комп'ютерів, що забезпечує прискорення доставки і обробки інформації. Об'єднувати комп'ютери в мережі почали більше 30 років тому. Коли можливості комп'ютерів виросли і ПК стали доступні кожному, розвиток мереж значно прискорився.

Сполучені в мережу комп'ютери обмінюються інформацією і спільно використовують периферійне устаткування і пристрої зберігання інформації (рис. 1.2).

За допомогою мереж можна розділяти ресурси і інформацію. Нижче перелічені основні завдання, які вирішуються за допомогою робочої станції в мережі, і які важко вирішити за допомогою окремого комп'ютера.

· Комп'ютерна мережа дозволить спільно використовувати периферійні пристрої, включаючи:

принтери;

плотери;

дискові накопичувачі;

приводи CD-ROM;

дисководи;

стримери;

сканери;

факс-модеми;

· Комп'ютерна мережа дозволяє спільно використовувати інформаційні ресурси:

каталоги;

файли;

прикладні програми;

ігри;

бази даних;

текстові процесори.

Комп'ютерна мережа дозволяє працювати з розрахованими на багато користувачів програмами, що забезпечують одночасний доступ всіх користувачів до загальних баз даних з блокуванням файлів і записів, що забезпечує цілісність даних. Будь-які програми, розроблені для стандартних ЛОМ, можна використовувати в інших мережах.

Сумісне використання ресурсів забезпечить істотну економію засобів і часу. Наприклад, можна колективно використовувати один лазерний принтер замість покупки принтера кожному співробітникові, або метушні з дискетами до єдиного принтера за відсутності мережі.

Можна використовувати ЛОМ як поштову службу і розсилати службові записки, доповіді і повідомлення інших користувачів [6].

1.3 Архітектура мереж

Архітектура мережі визначає основні елементи мережі, характеризує її загальну логічну організацію, технічне забезпечення, програмне забезпечення, описує методи кодування. Архітектура також визначає принципи функціонування і інтерфейс користувача.

Розглянемо три види архітектури:

архітектура термінал - головний комп'ютер;

однорангова архітектура;

архітектура клієнт - сервер.

1.3.1 Архітектура термінал - головний комп'ютер

Архітектура термінал - головний комп'ютер (terminal - host computer architecture) - це концепція інформаційної мережі, в якій вся обробка даних здійснюється одним або групою головних комп'ютерів.

Дана архітектура припускає два типи устаткування:

головний комп'ютер, де здійснюється управління мережею, зберігання і обробка даних.

термінали, призначені для передачі головному комп'ютеру команд на організацію сеансів і виконання завдань, введення даних для виконання завдань і отримання результатів.

Головний комп'ютер через мультиплексори передачі даних (МПД) взаємодіють з терміналами, як представлено на рис. 1.3.

Класичний приклад архітектури мережі з головними комп'ютерами - системна мережева архітектура (System Network Architecture - SNA).

1.3.2 Однорангова архітектура

Однорангова архітектура (peer-to-peer architecture) - це концепція інформаційної мережі, в якій її ресурси розозподілені по всіх системах. Дана архітектура характеризується тим, що в ній всі системи рівноправні.

До однорангових мереж відносяться малі мережі, де будь-яка робоча станція може виконувати одночасно функції файлового сервера і робочої станції. У однорангових ЛОМ дисковий простір і файли на будь-якому комп'ютері можуть бути загальними. Щоб ресурс став загальним, його необхідно віддати в загальне користування, використовуючи служби віддаленого доступу мережевих однорангових операційних систем. Залежно від того, як буде встановлений захист даних, інші користувачі зможуть користуватися файлами відразу ж після їх створення. Однорангові ЛОМ достатньо хороші тільки для невеликих робочих груп.

Однорангові ЛОМ є найбільш легким і дешевим типом мереж. Вони на комп'ютері вимагають, окрім мережевої карти і мережевого носія, тільки операційної системи. При з'єднанні комп'ютерів, користувачі можуть надавати ресурси і інформацію в сумісне користування.

Однорангові мережі мають наступні переваги:

вони легкі в інсталяції і налаштуванні;

окремі ПК не залежать від виділеного сервера;

користувачі в змозі контролювати свої ресурси;

мала вартість і легка експлуатація;

мінімум устаткування і програмного забезпечення;

немає необхідності в адміністраторові;

добре підходять для мереж з кількістю користувачів, що не перевищує десяти.

Проблемою однорангової архітектури є ситуація, коли комп'ютери відключаються від мережі. У цих випадках з мережі зникають види сервісу, які вони надавали. Мережеву безпеку одночасно можна застосувати тільки до одного ресурсу, і користувач повинен пам'ятати стільки паролів, скільки мережевих ресурсів. При отриманні доступу до ресурсу, що розділяється, відчувається падіння продуктивності комп'ютера. Істотним недоліком однорангових мереж є відсутність централізованого адміністрування.

Використання однорангової архітектури не виключає застосування в тій же мережі також архітектури «термінал - головний комп'ютер» або архітектури «клієнт - сервер».

1.3.3 Архітектура клієнт - сервер

Архітектура клієнт - сервер (client-server architecture) - це концепція інформаційної мережі, в якій основна частина її ресурсів зосереджена в серверах, які обслуговують своїх клієнтів (рис. 1.5). Дана архітектура визначає два типи компонентів: сервери і клієнти.

Сервер - це об'єкт, що надає сервіс іншим об'єктам мережі за їхніми запитами. Сервіс - це процес обслуговування клієнтів.

Сервер працює за завданнями клієнтів і керує виконанням їхніх завдань. Після виконання кожного завдання сервер відсилає отримані результати клієнтові, що відправив це завдання.

Сервісна функція в архітектурі клієнт - сервер описується комплексом прикладних програм, відповідно до якого виконуються різноманітні прикладні процеси.

Процес, який викликає сервісну функцію за допомогою певних операцій, називається клієнтом. Ним може бути програма або користувач. На рис. 1.6 приведений перелік сервісів в архітектурі клієнт - сервер.

Клієнти - це робочі станції, які використовують ресурси сервера і надають зручні інтерфейси користувача. Інтерфейси користувача це процедури взаємодії користувача з системою або мережею.

Клієнт є ініціатором і використовує електронну пошту або інші сервіси сервера. У цьому процесі клієнт запрошує вид обслуговування, встановлює сеанс, отримує потрібні йому результати і повідомляє про закінчення роботи.

У мережах з виділеним файловим сервером на виділеному автономному ПК встановлюється серверна мережева операційна система. Цей ПК стає сервером. Програмне забезпечення (ПЗ), встановлене на робочій станції, дозволяє їй обмінюватися даними з сервером. Найбільш поширені мережеві операційна системи:

NetWare фірми Novel;

Windows NT фірми Microsoft;

UNIX фірми AT&T;

Linux.

Крім мережевої операційної системи необхідні мережеві прикладні програми, що реалізовують переваги, що надаються мережею.

Мережі на базі серверів мають кращі характеристики і підвищену надійність. Сервер володіє головними ресурсами мережі, до яких звертається решта робочих станцій [7].

У сучасній клієнт - серверній архітектурі виділяється чотири групи об'єктів: клієнти, сервери, дані і мережеві служби. Клієнти розташовуються в системах на робочих місцях користувачів. Дані в основному зберігаються в серверах. Мережеві служби спільно використовуються серверами і даними. Крім того служби керують процедурами обробки даних.

Мережі клієнт - серверної архітектури мають наступні переваги:

дозволяють організовувати мережі з великою кількістю робочих станцій;

забезпечують централізоване управління обліковими записами користувачів, безпекою і доступом, що спрощує мережеве адміністрування;

ефективний доступ до мережевих ресурсів;

користувачеві потрібний один пароль для входу в мережу і для отримання доступу до всіх ресурсів, на які розповсюджуються права користувача.

Разом з перевагами мережі клієнт - серверної архітектури мають і ряд недоліків:

несправність сервера може зробити мережу непрацездатною, як мінімум втрату мережевих ресурсів;

вимагають кваліфікованого персоналу для адміністрування;

мають вищу вартість.

1.3.4 Вибір архітектури мережі

Вибір архітектури мережі залежить від призначення мережі, кількості робочих станцій і від виконуваних нею дій [1].

Слід вибрати однорангову мережу, якщо:

кількість користувачів не перевищує десяти;

всі машини знаходяться близько одна від одної;

мають місце невеликі фінансові можливості;

немає необхідності в спеціалізованому сервері, такому як сервер БД, факс-сервер, або який-небудь інший;

немає можливості, або необхідності в централізованому адмініструванні.

Слід вибрати клієнт-серверну мережу, якщо:

кількість користувачів перевищує десяти;

потрібне централізоване управління, безпека, управління ресурсами, або резервне копіювання;

необхідний спеціалізований сервер;

потрібний доступ до глобальної мережі;

потрібно розділяти ресурси на рівні користувачів.

Розділ ІІ. Пошук несправностей в мережах на базі OC Windows

2.1 Проблеми реєстрації робочої станції

Одна з найбільш поширених проблем з'єднання в мережі виникає, коли робоча станція не може зареєструватися в домені. Це може бути через безліч причин:

· конфігурація протоколу;

· дозвіл імені;

· дозвіл імені NetBIOS;

· повноваження.

2.1.1 Команда ,,ping”

Якщо робоча станція має проблеми з реєстрацією в домені, перш за все необхідно перевірити з'єднання. Для цього використовується утиліта ping-. Як показано на роздруківці нижче, спочатку виконується ping за іменем щоб перевірити дозвіл на ім'я. Вона вертається назад з відповіддю. Потім виконується ping за визначеною ІР-адресою, щоб перевірити чи є доступ до того ж місця призначення. В останню чергу посилається великий пакет для перевірки того, що пакети великих розмірів можуть дістатися до місця призначення. Утиліта рing за замовчуванням посилає дуже малий 32-бітний пакет, який може дістатися до місця призначення, в той час як великий за об'ємом трафік реєстрації може не пройти через маршрутизатор.



Якщо великі пакети не доходять до місця призначення, а малі пакети доходять до сервера реєстрації, то можна підкоректувати реєстр і задати менший розмір пакета як тимчасовий захід, поки не буде відомо чи зможуть підтримуватися великі пакети. Це робиться в реєстрі наступним чином.

Додати значення в наступний ключ :

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcipip\Parameters_

Ім'я значення : TcpSendSegmentSize

Тип буде Reg_Dword

За замовчуванням використовується 1460 байт

Ці зміни можуть впливати на всю комунікацію ТСР/ІР і повинні робитися тільки після детального тестування. Перед тим як робити зміни в реєстрі, необхідно переконатися, що існує детально перевірена і актуальна резервна копія. Найпростіше, що можна зробити - це експортувати ключі [2].

Для аналізу проблеми використаємо програму Netmon, вибравши необхідну робочу станцію і сервер. Наступним кроком потрібно повторити команди ping і в додаток до команд ping необхідно також виконати команди:

· net view\\ ім'я_сервера

· net user\\ ім'я_сервера\ipc$

Якщо дві команди повертаються з повідомленням про помилку, то має місце проблема. Необхідно скористатись Netmon і перевірити чи можливо знайти джерело проблеми. Із отриманих даних видно, що команда ping працює фактично без будь-яких проблем. Це показано на роздруківці нижче. Пакет ICMP є ехо-пакетом і його розмір 32 байти. Цей розмір використовується за замовчуванням в команді ping.



За ехо-пакетом ІСМР слідує пакет відповіді ІСМР, який пердставлений на роздруківці нижче. Цей пакет повертається із місця призначення як пакет ехо-відповідь. Він також має 32 байти. Це говорить про те, що існує елементарна комунікація між робочою станцією і сервером.

Після цього командою net view\\ ім'я_сервера перевіряється мережу, що приводить до трьохходового підтвердження прийому даних (квитування) між робочою станцією і сервером. Трьохходове квитування відбувається між робочою станцією і портом 139, службою сеансу NetBIOS на сервері. В даному випадку все працює нормально, тому необхідно подивитися розділ NBT наступного кадру, що показаний на роздруківці нижче. Кадр із робочої станції на сервер виглядає правильним. Видно, що тип пакету вказується як запит сеансу (session request). Він вміщує ім'я викликаного сервера і ім'я робочої станції яка викликає. <00> є унікальним суфіксом NetBIOS, який вказує службу робочої станції. Можна знайти реєстрацію <00> для цієї машини в базі даних WINS. Реєстрація в базі даних WINS полегшує NetBIOS комунікацію між машинами.

Так як запит сеансу NTB пройшов успішно, тоді необхідно подивитись на відповідь, яка приходить з сервера. Вона міститься на роздруківці нижче і дає деяку корисну інформацію.



Отримана відповідь з відмовою сеансу (Negative Session Response), і код помилки служби сеансу говорить про те, що ім'я, яке викликається, відсутнє. Завдяки цьому стає зрозуміло, що проблема не в робочій станції, а в сервері. Інші робочі станції будуть стикатися з такою ж проблемою. Тепер необхідно перевірити, що відбувається на сервері. Але спочатку необхідно глянути, чи можна отримати яку-небудь додаткову інформацію із щойно зробленого трасування Netmon.

На роздруківці нижче наведено декілька запитів контролера первинного домену, але немає відповіді. Це відбувається як SMB C transact в \mailslot\net\netlogon. Можливо існує також проблема із службою netlogon.

Якщо переглянути події на робочій станції, можна побачити наступне повідомлення: "Броузер не зміг отримати список серверів з мастер-броузера \PROX у мережі \Device\NetBT_E100Bl. Дані є кодом помилки". Це повідомлення просто підтверджує, що на сервері є проблема.

На сервері необхідно перевірити наступне:

· Чи служба сервера виконується на комп'ютері місця призначення. Перевірити аплет служб в панелі керування (рис.2.1). Якщо служба сервера не виконується, машина все одно відповідатиме на ping, але сеанс створити неможливо. Якщо служба сервера зупинена, то необхідно запустити її. Це пояснить повідомлення помилок броузера в журналі подій, оскільки служба броузера комп'ютера залежить від служби сервера. Крім того, служба netlogon також залежить від служби сервера. Питання, звичайно, в тому, чому служба сервера зупинена? Деяку інформацію Netmon просто не може повідомити. Можливо, настав час змінити пароль адміністратора.

Рис. 2.1. Перевірка стану служб.

· Чи відповідає сервер місця призначення. Він може бути заблокований. Сервер може відповідати на ехо-пакет ICMP, навіть якщо сеанс неможливо створити. Якщо комп'ютер заблокований і неможливо відновити керування менеджером завдань або будь-яким іншим способом, слід повідомити всіх користувачів про необхідність зберегти свої дані і по можливості вийти з системи. Можна спробувати виконати закриття системи, хоча залежно від того, що відбулося, можливо, доведеться зробити повне завантаження. Якщо відновлення не відбулося, то доведеться перевіряти процедури резервного копіювання.

· Перевірити аплет ліцензії в панелі керування і в журналі подій, щоб переконатися, що обмеження ліцензії не порушені.

· Чи використовується DNS або файл хоста. Методи дозволу імені хоста використовуються першими в ping для дозволу імені. Команди net використовують методи дозволу імені NETBIOS (lmhosts, WINS). Утиліта рing може працювати, тоді як net view може простоювати.

2.2 Пошук несправностей в мережі з виділеним DHCP сервером

Хоча DHCP полегшує життя адміністратора, іноді клієнтська машина стикається з проблемами при отриманні адреси. У таких ситуаціях інформація часто буває мізерною. Крім того факту, що робоча станція не отримала адреси, більше нічого невідомо. Тут починають відігравати роль знання процесів DHCP і Netmon.

2.2.1 Діалог з DHCP сервером

Перш за все, необхідно перевірити, що машина була зконфігурована для запиту адреси. Якщо у вікні властивостей TСР/ІР відмічена властивість "отримувати IP-адресу з сервера DHCP", то це повинно працювати. Якщо ні, необхідно переривати Netmon і проглянути діалог. У ідеалі повинні бути присутніми чотири кадри, перелічені нижче.

1. Пошук DHCP

2. Пропозиція DHCP

3. Запит DHCP

4. DHCP АСК

Якщо один з чотирьох кадрів не присутній, то DHCP не працюватиме, а клієнт не зможе отримати адресу. Якщо немає жодного, то клієнт неправильно сконфігурований для запиту адреси DHCP. Вирішення проблем DHCP є процесом переглядання діалогу і ідентифікація того, що з діалогу, представленого вище, пропущено[2].

2.2.2 Аналіз діалогу комп'ютерів у мережі

Перший крок полягає в перегляді трасування і пошуку пропущеного кадру. Кадр запиту DHCP посилається за допомогою багатоадресової розсилки UDP IP з порту 68 (клієнтський порт ВООТР), в порт 67( серверний порт ВООТР). Magic cookie будуть правильними. Це чотирьохбайтна область в пакеті DHCP, яка ідентифікує початок поля, означеного постачальником для спеціальних параметрів. Якщо використовується дане поле параметрів, це наголошується IP-адресою 99.130.83.99, яка показана в трасуванні Netmon як шістнадцяткова 63 82 53 63. Параметри можуть перелічувати ідентифікатор клієнта, запитану адресу, а також інші позиції. У нашому полі параметрів ідентифікатор клієнта рівний адресі MAC комп'ютера, що робить запит - в даному випадку KENNY. Також видно, що машина KENNY запрошує ту ж адресу, якою вона володіла раніше. Якщо ця адреса доступна, то її можна буде використовувати знову.

У трасуванні нижче запитана адреса недоступна, оскільки вона отримує NACK, що є негативним підтвердженням. Якщо розглянути частину IP в кадрі, то можна побачити машину, яка посилає цей NACK на робочу станцію. Це видно в тій частині пакету, що приходить з порту 67 (порту сервера ВООТР), в порт 68 (порт клієнта ВООТР). Коли робоча станція отримує NACK, вона не ініціалізує TСР/ІР, поки не отримає адресу. Якщо TСР/ІР є єдиним протоколом, машина не зможе спілкуватися в мережі, поки не буде виявлений сервер DHCP.

Оскільки клієнтська машина посилає запити DHCP і отримує NACK (відмову) з сервера DHCP, то можна сказати, що вони спілкуються. Факт, що машина посилає запити, є позитивним, оскільки вона робить все, що повинна робити клієнтська машина. Для перевірки можна використовувати команду ipconfig /renew з вікна CMD, що змусить клієнтську машину створити трафік DHCP. Це один із способів виконати передачу, не перезавантажуючи машину. У трасуванні Netmon повинні бути два кадри DHCP: запит DHCP і DHCP АСК (підтвердження).

У даному випадку трасуванням DHCP можна знайти тільки запити і один NACK і жодного іншого трафіку. Наступний крок полягає в переході до сервера і вивчення властивостей DHCP, де можна виявити, що сервер не має вільних адрес, або що область дії була деактивована. Це, дві найбільш поширені причини[2].

2.3 Визначення швидкодії мережі

Немає нічого незвичайного, коли користувачі скаржаться на те, що мережа працює поволі. Ці скарги мережеві адміністратори чують достатньо часто. Проте користувачі рідко висловлюють інші думки, крім загального спостереження, що мережа повільна. Раніше адміністратор приходив до користувача, спостерігав за його діями і погоджувався або не погоджувався з точністю спостережень. Це не кращий спосіб для нового тисячоліття. У нас є Netmon як засіб порятунку. Розглянемо приклад нижче, щоб зрозуміти, як Netmon працює в цій ситуації[1].

2.3.1 Засоби і способи визначення швидкодії мережі

Простим способом визначити швидкодію мережі є використання експерта середнього часу відповіді сервера, наявного в Netmon 2.0. Перш ніж використати експерта, необхідно перехопити деякий об'єм трафіку між сервером і клієнтською машиною, для цього необхідно сконфігорувати фільтр перехоплення, який ізолює трафік між робочою станцією і даним сервером. Це повинно бути зроблено після перевірки робочої станції на те, скільки в ній відкрито додатків, скільки є вільного простору на диску для віртуальної пам'яті, і т.д. Коли будуть виключені всі можливі проблеми робочої станції, можна починати перехоплення даних[1].

2.3.2 Виявлення джерела впливу на швидкодію мережі

Для аналізу швидкодії необхідно завантажити перехоплений файл в Netmon 2.0 і сконфігорувати експерт часу відповіді (рис.2.2). Конфігурація експерта є дуже важливою для отримання точних результатів. Якщо, наприклад, користувач скаржиться, що повільно працює пошта РОРЗ, то необхідно додати до експерта порт 110.

Змінюючи конфігураційні файли, експерт може повідомити про більшість додатків, що виконуються в мережі. Якщо видалити всі порти, окрім порту даної програми, будуть отримані різні показники продуктивності. Використання Netmon 2.0 в цій області майже не обмежене.

Рис. 2.2. Експерт середнього часу відповіді сервера.

Експерт створює звіт, перелічуючи IP-адреси і середній час відповіді в секундах, як показано на рис.2.3. Якщо результати відповідають базовим показникам, можливо, доведеться знову аналізувати робочу станцію і роботу певного користувача. Якщо вони дійсно повільні, то трасування вимагатиме додаткового аналізу. Звіт розподілу протоколів, звіт верхніх користувачів і експерт пересилки TCP можуть надати цінну допомогу при пошуку причини повільної роботи мережі. Крім перегляду на екрані звіти можна зберегти як текстові файли і роздрукувати або перетворити на файли інших форматів, наприклад файли Microsoft Word[7].

2.4 Причини помилок у журналі подій

Іноді у журналі виникають помилки подій. Однією з них є подія ID 2000, яка говорить Status_no_such_file. Ця подія відбувається, коли мережевий додаток посилає команду видалення файла на загальний диск, а файл вже був видалений. Тобто, в другому рядку розділу даних повідомлення про помилку буде c000000f, яке відповідає Status_no_such_file.

2.4.1 Метод пошуку серверних проблем

Ця проблема пов'язана з SMB. Спочатку потрібно розглянути файл перехоплення. Для спрощення створюється фільтр виводу, який показує тільки команди SMB для видалення файлу. На рис.2.4 показано, як створюється цей фільтр виводу. Знаходячись в режимі виводу, вибирається фільтр з меню виводу (display), після подвійного клацання по рядку протоколу з'являється діалогове вікно вибору, де відключаються всі протоколи. Наступним кроком потрібно вибрати SMB із списку протоколів в правій панелі діалогового вікна, а потім клацнути по кнопці включити (enable). Далі перейти в розділ "S" списку протоколів. Це можна зробити активізувавши на панелі меню "name" і введення "S". В наслідок цього відбудеться переміщення в розділ "S", дозволяючи швидко знайти протокол SMB. Коли протокол SMB буде включений, потрібно знайти команду SMB delete. Щоб це зробити, потрібно вибрати закладку "property" і в ній знайти протокол SMB. Клацнувши на знаку "плюс" поряд з SMB, з'явиться список властивостей протоколу, серед яких потрібно вибрати "command" із діалогово вікна. Коли "command" буде вибрано, появиться список значень. У списку значень потрібно вибрати "delete file" і потім натиснути "ok". Цей фільтр виводу показує команди "SMB delete" будь-якого комп'ютера[6].

При перегляді кадрів "SMB delete" потрібно знайти повідомлення про помилку. Розглянемо взаємодію. Клієнтська машина посилає на сервер команду "C delete file". Параметри включають розміщення файлу.

Відповідь з сервера повертається в наступному кадрі який представлений в роздруківці нижче. В ньому команда "R delete file" з повідомленням про відсутність помилок. Фай успішно видалений з сервера.

В першому файлі перехоплених даних проблема не локалізована. Для того щоб знайти помилку необхідно, створити фільтр перехоплення, що перехоплюватиме тільки один тип пакетів. Щоб отримати необхідну інформацію, яка показана на рис. 2.5, необхідно знайти шаблон, який вказує команду "SMB delete". Як можна побачити з рис.2.6, вибір в панелі виводу командного рядка SMB виводить число 06 в шістнадцятковій панелі в рядку зсуву 03. У рядку статусу Netmon в нижньому правому кутку, точний зсув рівний Зе в шістнадцятковому вигляді. Тепер є зсув і шаблон для фільтру перехоплення команди "delete SMB".

2.4.2 Фільтр перехоплення, та його використання

Виконання програми Netmon можна спланувати за допомогою команди AT яка вводиться у консолі cmd. Оскільки використовується спеціалізований фільтр перехоплення за допомогою якого можна визначити достатньо великий буфер перехоплення, то йому необхідно задати виконання протягом достатньо довгого періоду часу.

Використання фільтру перехоплення

Netmon /autostart /buffersize 1024000 /capturefilter с:/smbdelete.cf /autostop

Приведений вище текст команди необхідно ввести у текстовий редактор і зберегти як файл .bat. Для автоматизації процесу необхідно використати службу "Планувальник завдань".

На рис.2.7 зображено використання служби "Планувальник завдань" для автоматизації сеансу Netmon. Необхідно запустити службу планувальника, використовуючи аплет служби в панелі управління, у вікні CMD ввести необхідну команду AT. В даному випадку планувальник виконуватиме файл .bat з понеділка до п'ятниці в 5:00 після обіду. Приведений вище файл .bat виконуватиметься, поки буфер не заповниться, і потім зупиниться.

Виконуючи автоматичний сеанс Netmon під час прояву серверної проблеми, є можливість знайти неправильно працюючу програму, яка намагається повторно видалити вже видалений файл.

Ретельно створений фільтр перехоплення полегшує знаходження проблемної програми. При виявлені повідомлення про помилку, фільтр покаже, яка програма виконувалася в даний час. Крім того, можна включити перегляд часу при відкритті файлу перехоплення і точно побачити, який кадр відповідає певному повідомленню про помилку в переглядачі подій [6].

2.5 Проблеми що виникають при широкомовленні

Широкомовлення завжди є хорошим об'єктом для моніторингу, оскільки примушує всі машини в підмережі проглядати кадр. Це створює зайву роботу для багатьох машин. Крім того, коли виникає надмірна кількість широкомовних запитів, це створює руйнівний вплив на мережу.

При розгляді трафіку широкомовлення перший крок полягає в створенні фільтру виводу широкомовлення, що вибирає всі широкомовні повідомлення у вікні фільтру виводу, після цього перевірка широкомовних повідомлень достатньо прямолінійна. Якщо виникає широкомовний запит, як на рис.2.8, його легко виявити. Найбільш активному користувачеві звіт може дати уявлення про те, як він впливає на мережу. З рис.2.8 видно що один користувач використовує велику частину трафіку у мережі.

Наступний пакет ARP показує IP-адресу і MAC адресу машини, яка викликає надмірне широкомовлення .

Для отримання імені користувача можна виконати наступні команди:

· використати ping -a 10.0.0.163 для отримання імені хосту;

· використати arp -a для виведення кешу ARP;

· використати nbtstart -a 10.0.0.163 для отримання таблиці імен NetBIOS віддаленої машини.

Для усунення надмірного широкомовлення необхідно дослідити машину і перевірити, яке програмне забезпечення встановлено, які протоколи завантажено, а також вид використовуваного мережевого адаптера. Також, необхідно подивитися, чи існують оновлення для будь-якого з цих об'єктів, драйверів, перевірити оновлення вбудованих програм самого комп'ютера.

Визначивши, коли виникла проблема, можна дізнатись про те, яке програмне забезпечення було додане, видалене або оновлене, тобто що викликало проблему [2].

Розділ ІІІ. Методи захисту від несанкціонованого доступу в мережі TCP/IP

3.1 Безпека комп'ютерів на базі Windows 2000/XP

3.1.1 Сканування мережі TCP/IP

Метою сканування є визначення IP-адрес хостів мережі, що атакуються, і для виконання сканування можна скористатися утилітою ping. На рис.3.1 представлений результат сканування утилітою ping хосту Sword-2000.

Із результату видно, що комп'ютер за вказаною адресою підключений до мережі і з'єднання працює нормально. Це найпростіший спосіб сканування мережі, од-нак, він не завжди при-водить до потрібного резуль-тату, оскільки багато вузлів блокують зворотню відправку пакетів ICMP за допомогою спеціальних засобів захисту.

Якщо обмін даними за протоколом ICMP заблокований, хакерами можуть бути використані інші утиліти, наприклад, hping. Ця утиліта здатна фрагментувати (тобто ділити на фрагменти) пакети ICMP, що дозволяє обходити прості пристрої блокування доступу, які не роблять зворотну збірку фрагментованих пакетів [9].

Інший спосіб обходу блокування доступу - сканування за допомогою утиліт, що дозволяють визначити відкриті порти комп'ютера. Прикладом такої утиліти є SuperScan, яка надає користувачам зручний графічний інтерфейс (див рис.3.2).

На рис. 3.2 приведений результат сканування мережі в діапазоні IP-адрес 1.0.0.1-1.0.0.7. Деревовидний список в нижній частині вікна відображає список всіх відкритих портів комп'ютера Sword-2000 серед яких TCP-порт 139 сеансів NETBIOS. Запам'ятавши це, перейдемо до детальнішого дослідження мережі - до її інвентаризації .

3.1.2 Інвентаризація мережі

Інвентаризація мережі полягає у визначенні загальних мережевих ресурсів, облікових записів користувачів і груп, а також у виявленні програм, що виконуються на мережевих хостах. При цьому хакери дуже часто використовують наступний недолік комп'ютерів Windows NT/2000/XP - можливість створення нульового сеансу NETBIOS з портом 139.

3.1.3 Нульовий сеанс

Нульовий сеанс використовується для передачі деяких відомостей про комп'ютери Windows NT/2000, необхідні для функціонування мережі. Створення нульового сеансу не вимагає виконання процедури аутентифікації з'єднання. Для створення нульового сеансу зв'язку необхідно з командного рядка Windows NT/2000/XP виконати наступну команду:

net use\\l.0.0.l\IPC$"" /user:""

Де1.0.0.1 - це IP-адреса комп'ютера Sword-2000 ,що атакується, IPC$ - це (абревіатура загального ресурсу мережі Inter-Process Communication) міжпроцесна взаємодія, перша пара лапок означає використання порожнього пароля, а друга пара в записі user:"" вказує на порожнє ім'я віддаленого клієнта. Анонімний користувач, що підключився нульовим сеансом за замовчуванням отримує можливість завантажити диспетчер користувачів, який використовується для проглядання користувачів і груп, виконувати програму проглядання журналу подій. Йому також доступні і інші програми віддаленого адміністрування системою, що використовують протокол SMB (Server Message Block - блок повідомлень сервера). Більше того, користувач, що під'єднався нульовим сеансом, має права на перегляд і модифікацію окремих розділів системного реєстру.

Ще один метод інвентаризації полягає у використанні утиліт net view і nbtstat з пакету W2RK. Утиліта net view дозволяє відобразити список доменів мережі.

C:\>net view /domain

Домен

SWORD

Команда виконана вдало.

В результаті відобразилася назва робочої групи SWORD. Якщо вказати знайдене ім'я домену, утиліта відобразить підключені до нього комп'ютери.

C:\>net view /domain : SWORD

\\ALEX-3

\\SWORD-2000

Тепер необхідно визначити зареєстрованого на даний момент користувача серверного комп'ютера Sword-2000 і завантажені на комп'ютері служби. З цією метою використаємо утиліту nbtstat. Результат її використання представлений на рис. 3.3. На цьому рисунку відображена таблиця, в якій перший стовбець вказує ім'я NetBIOS, в слід за ім'ям відображений код служби NetBIOS. Код <00> після імені комп'ютера означає службу робочої станції, а код <00> після імені домену - ім'я домену. Код <03> означає службу розсилки повідомлень, які передаються користувачу, що заходить в систему, ім'я якого стоїть перед кодом <03> в даному випадку Administrator.

На комп'ютері також працює служба браузера MSBROWSE, на що вказує код після імені робочої групи SWORD. Отже ми вже маємо ім'я користувача, зареєстрованого в даний момент на комп'ютері Administrator, за допомогою процедури net view, вказавши їй ім'я віддаленого комп'ютера. Визначаили також мережеві ресурси ком'ютера Sword-2000, які використовує Administrator. Результати пердставлені на рис. 3.4.

Отже, обліковий запис користувача Administrator відкриває загальний мережний доступ до деяких папок файлової системи комп'ютера Sword-2000 і приводу CD-ROM. Таким чином про комп'ютер відомо достатньо багато - він дозволяє нульові сеанси NetBIOS, на ньому працює користувач Administrator, відкриті порти 7, 9, 13, 17, 139, 443, 1025, 1027 комп'ютера, і в число загальних мережних ресурсів входять окремі папки локального диску C: . Тепер необхідно дізнатись пароль доступу користувача Administrator, після чого в розпорядженні буде вся інформація про жорсткий диск С: комп'ютера.

Якщо протокол NetBIOS через TCP/IP буде відключений (комп'ютери Windows 2000/XP надають таку можливість), можна використати протокол SNMP ( Simple Network Management Protocol - простий протокол мережевого управління), який забезпечує моніторинг мереж Windows NT/2000/XP [8].

3.1.4 Реалізація цілі

Виконання атаки на системи Windows NT/2000/XP складається з наступних етапів.

· Проникнення в систему, що полягає в отриманні доступу.

· Розширення прав доступу, що полягає в зломі паролів облікових записів з великими правами, наприклад, адміністратора системи.

· Виконання мети атаки: отримання даних, руйнування інформації і так далі.

Проникнення в систему починається з використання облікового запису, виявленого на попередньому етапі інвентаризації. Для визначення потрібного облікового запису хакер міг скористатися командою nbtstat або браузером MIB, або якими-небудь хакерськими утилітами, удосталь представленими в Інтернеті. Виявивши обліковий запис, хакер може спробувати під'єднається до комп'ютера, використовуючи його для вхідної аутентифікації. Він може зробити це з командного рядка, ввівши таку команду.

D:\>net use\\1.0.0.1\IPC$ * / u: Administrator

Символ «*» у рядку команди указує, що для підключення до віддаленого ресурсу IPC$ потрібно ввести пароль для облікового запису Administrator. У відповідь на введення команди відобразиться повідомлення:

Type password for\\1.0.0.1\IPC$:

Введення коректного пароля приводить до встановлення авторизованого підключення. Таким чином, ми отримуємо інструмент для підбору паролів входу в комп'ютер. Генеруючи випадкові комбінації символів або перебираючи вміст словників, можна, врешті-решт, натрапити на потрібне поєднання символів пароля. Для спрощення підбору існують утиліти, які автоматично роблять всі ці операції, наприклад SMBGrind, яка входить в комерційний пакет CyberCop Scanner компанії Network Associates. Ще одним методом є створення пакетного файлу з циклічним перебором паролів.

Проте віддалений підбір паролів - далеко не наймогутніше знаряддя злому. Всі сучасні сервери, як правило, забезпечені захистом від багатократних спроб входу із зміною пароля, інтерпретуючи їх як атаку на сервер. Для злому системи захисту Windows NT/2000/XP частіше використовується могутніший засіб, що полягає у отриманні паролів бази даних SAM (Security Account Manager -диспетчер облікових даних системи захисту). База даних SAM містить шифровані коди паролів облікових записів, вони можуть витягуватися, зокрема віддалено, за допомогою спеціальних утиліт. Далі ці паролі дешифруються за допомогою утиліти дешифрування, що використовує який-небудь метод злому, наприклад, «грубою силою», або словниковою атакою, шляхом перебору слів із словника.

Найбільш відомою утилітою дешифрування є програма LC4 (скорочення від назви LOphtcrack), яка діє у парі з такими утилітами, як:

· Samdump - отримання шифрованих паролів з бази даних SAM.

· Pwdump - отримання шифрованих паролів з системного реєстру комп'ютера, включаючи віддалені системи. Ця утиліта не підтримує посилене шифрування Syskey бази SAM.

· Pwdump2 - отримання шифрованих паролів з системного реєстру, в якому застосовано шифрування Syskey. Ця утиліта підтримує роботу тільки з локальними системами.

· Pwdump3 - те ж, що і Pwdump2, але з підтримкою віддалених систем.

Для отримання шифрованих паролів з комп'ютера Sword-2000 застосуємо утиліту Pwdump3:

C:\>pwdump3 sword-2000 > password. psw

Вміст отриманого файлу представлений у вікні додатку Блокнот (Notepad) (рис. 3.5).

Як видно, у файлі password.psw міститься обліковий запис Administrator який був знайдений на етапі інвентаризації. Щоб розшифрувати паролі, слід застосувати програму LC4 і хоча пробна версія цієї програми підтримує тільки дешифрування паролів методом словесної атаки, все ж дає можливість взлому паролів комп'ютера Sword-2000 рис. 3.6.

Таким чином, маючи можливість створення нульових сеансів підключення NETBIOS до комп'ютера, в принципі, можна отримати паролі облікових записів комп'ютера, включаючи адміністратора системи.

Для розширення прав доступу в системі використовуються спеціальні програми, що дозволяють виконувати віддалене керування системою, зокрема реєстрацію дій користувача. Для цього на комп'ютер можуть бути впроваджені так звані клавіатурні шпигуни - програми, що реєструють натиснення клавіш. Всі отримані дані записуються в окремий файл, який може бути відісланий на інший комп'ютер в мережі.

Інший варіант - розміщення в системі активного трояна, наприклад, NetBus, або Во2к (Back Orifice 2000), які забезпечують засоби прихованого віддаленого керування і моніторингу за атакованим комп'ютером[8].

Розглянемо роботу NetBus на прикладі двох мережевих комп'ютерів: клієнта - комп'ютер Sword-2000 (ІР-адрес 1.0.0.1), і сервера - комп'ютер Alex-3 (IP-адрес 1.0.0.5).

Для успішної роботи троянського коня NetBus на комп'ютері, що атакується, спочатку потрібно запустити серверний компонент, який називається NBSvr. При запуску програми NBSvr відображається діалог, представлений на рис.3.7.

Перед використанням сервера NetBus утиліту NBSvr необхідно налаштуаати. Для цього виконується така процедура:

· У діалозі NB Server (Сервер NB) клацнути на кнопці Settings (Параметри). На екрані з'явиться діалог Server Setup (Параметри сервера), представлений на рис.3.8.

· Встановити прапорець Accept connections (Приймати з'єднання).

· У полі Password (Пароль) ввести пароль доступу до сервера NetBus.

· Із списку Visibility of server (Видимість сервера) вибрати пункт Full visible (Повна видимість), що дозволить спостерігати за роботою сервера NetBus (але для роботи краще вибрати повну невидимість).

· У полі Access mode (Режим доступу) вибрати Full access (Повний доступ), що дозволить робити на комп'ютері всі можливі операції віддаленого керування.

· Встановити прапорець Autostart every Windows session (Автозавантаження при кожному сеансі роботи з Windows), щоб сервер автоматично завантажувався при вході в систему.

· Клацнути мишею на кнопці ОК. Сервер готовий до роботи.

Тепер необхідно налаштувати роботу клієнта - утиліту NetBus.exe.

· Завантажити утиліту NetBus.exe, після чого відобразиться вікно NetBus 2.0 Pro, представлене на рис. 3.9.

· Вибрати команду меню Host * Neighborhood * Local (Хост * Сусідній хост * Локальний). Відобразиться діалог Network (Мережа), представлений на рис. 3.10.

· Клацнути на пункті Microsoft Windows Network (Мережа Microsoft Windows) і відкрити список мережевих хостів рис. 3.11.

· Вибрати комп'ютер з встановленим сервером NetBus, в даному випадку Sword-2000 і клацнути на кнопці Add (Додати). На екрані з'явиться діалогове вікно Add Host (Додати хост), рис. 3.12.

· В полі Host name/IP (Ім'я хосту/ІР) ввести ІР-адресу серверного хосту 1.0.0.1.

· В полі User name (Ім'я користувача) необхідно ввести ім'я облікового запису Administrator, а в полі Password (Пароль), що дешифрований програмою LC4 пароль 007.

· Клацнути на кнопці ОК. На екрані відобразиться діалог Network (Мережа).

· Закрити діалог Network (Мережа), клацнувши на кнопці Close (Закрити). На екрані відобразиться вікно NetBus 2.0 Pro із записом доданого хосту (рис. 3.13).

· Щоб під'єднатися до хосту Sword-2000 необхідно клацнути правою кнопкою миші на пункті списку Sword-2000 і з контекстного меню, що відобразилося, вибрати команду Connect (Під'єднати). У разі успіху в рядку стану вікна NetBus 2.0 Pro відобразиться повідомлення Connected to 1.0.0.1 (v.2.0) (Підключений до 1.0.0.1 (v.2.0)).

Після успішного з'єднання з серверним компонентом Netbus, використовуючи інструменти клієнта Netbus, можна зробити з атакованим комп'ютером все що завгодно. Практично йому будуть доступні ті ж можливості, що і у локального користувача Administrator. На рис. 3.14. представлений список інст-рументів клієнта NetBus, який відображений в меню Control (Управління).

Серед цих інструментів можна відзначити засоби, зібрані в підменю Spy functions (Засоби шпигунства), що містять такі інструменти, як клавіатурний шпигун, перехоплювачі екранних зображень і інформації, що отримується з відеокамери, а також засобу запису звуків. Таким чином, хакер, що проник у комп'ютер, може підглядати, підслуховувати і читати все, що бачить користувач, говорить, або вводить з клавіатури комп'ютера. Хакер також може модифікувати системний реєстр комп'ютера Sword-2000, завантажувати будь-які програми і перезавантажувати віддалену систему Windows, не кажучи вже про можливості перегляду і копіювання будь-яких документів і файлів.