Термины и определения
ICQ -клиент –программа интернет-пейджера, такие как ICQ, QIP, R&Q, Jimm
«Несанкционированный доступ» или НСД -— доступ к информации в нарушение должностных полномочий сотрудника, доступ к закрытой для публичного доступа информации со стороны лиц, не имеющих разрешения на доступ к этой информации. Так же иногда несанкционированным доступом называют получение доступа к информации лицом, имеющим право на доступ к этой информации в объёме, превышающим необходимый для выполнения служебных обязанностей.
Backdoor(Бэкдор) (от англ. back door, чёрный ход) — программа или набор программ, которые устанавливает взломщик (хакер) на взломанном им компьютере после получения первоначального доступа с целью повторного получения доступа к системе. При подключении предоставляет какой-либо доступ к системе (как правило, это командный интерпретатор: в GNU/Linux — Bash, в Microsoft Windows NT — cmd). Бэкдор — особо важная составляющая руткита. Известные бэкдоры заносятся в базы антивирусных систем. Хакеры высокого класса используют собственноручно написанные либо модифицированные бэкдоры и руткиты, что делает их обнаружение и удаление затруднительным.
IP-адрес (aй-пи адрес, сокращение от англ. Internet Protocol Address) — уникальный идентификатор (адрес) устройства (обычно компьютера), подключённого к локальной сети или интернету. IP-адрес представляет собой 32-битовое (по версии IPv4) или 128-битовое (по версии IPv6) двоичное число. Удобной формой записи IP-адреса (IPv4) является запись в виде четырёх десятичных чисел (от 0 до 255), разделённых точками, например, 192.168.0.1. (или 128.10.2.30 — традиционная десятичная форма представления адреса, а 10000000 00001010 00000010 00011110 — двоичная форма представления этого же адреса). IP-адреса представляют собой основной тип адресов, на основании которых сетевой уровень протокола IP передаёт пакеты между сетями. IP-адрес состоит из двух частей: номера сети и номера узла. В случае изолированной сети её адрес может быть выбран администратором из специально зарезервированных для таких сетей блоков адресов (192.168.0.0/16, 172.16.0.0/12 или 10.0.0.0/8). Если же сеть должна работать как составная часть Интернета, то адрес сети выдаётся провайдером либо региональным интернет-регистратором (Regional Internet Registry, RIR).
Хост – это любая единица компьютерной техники, которая подключена к компьютерной сети. Хостом может быть сервер, компьютер и т.д. Чтобы обозначить имя хоста, используется его сетевое имя – это для локальной сети, или IP-адрес или доменное имя если мы говорим об Интернете.
TCP- (англ. Transmission Control Protocol — протокол управления передачей) — один из основных сетевых протоколов Internet, предназначенный для управления передачей данных в сетях и подсетях TCP/IP. Выполняет функции протокола транспортного уровня упрощённой модели OSI. IP-идентификатор — 6. TCP — это транспортный механизм, предоставляющий поток данных, с предварительной установкой соединения, за счёт этого дающий уверенность в безошибочности получаемых данных, осуществляет повторный запрос данных в случае потери пакетов и устраняет дублирование при получении двух копий одного пакета. В отличие от UDP, TCP гарантирует, что приложение получит данные точно в такой же последовательности, в какой они были отправлены, и без потерь. Реализация TCP, как правило, встроена в ядро операционной cистемы, хотя есть и реализации TCP в контексте приложения.
SNMP(англ.Simple Network Management Protocol — простой протокол управления сетью) — это протоколуправления сетями связина основе архитектуры TCP/IP.
В настоящее время SNMP является базовым протоколом управления сети Internet. SNMP определяет сеть как совокупность сетевых управляющих станций и элементов сети (главные машины, шлюзы и маршрутизаторы, терминальные серверы), которые совместно обеспечивают административные связи между сетевыми управляющими станциями и сетевыми агентами.
UDP (англ. User Datagram Protocol — протокол пользовательских датаграмм) — это транспортный протокол для передачи данных в сетях IP. Он является одним из самых простых протоколов транспортного уровня модели OSI. Его IP-идентификатор — 17. В отличие от TCP, UDP не гарантирует доставку пакета, поэтому аббревиатуру иногда расшифровывают как «Unreliable Datagram Protocol» (протокол ненадёжных датаграмм). Это позволяет ему гораздо быстрее и эффективнее доставлять данные для приложений, которым требуется большая пропускная способность линий связи, либо требуется малое время доставки данных.
Разделяемые Ресурсы (Расшаренные Ресурсы) – ресурсы локального ПК (папки, принтеры), к которым предоставлен сетевой доступ со стороны других пользователей сети.
Инвентаризация Ресурсов (Enumeration) – получение информации с удаленного ПК о существующих общих ресурсах, учетных записях пользователей, работающих сетевых служб и приложений.
Сбор Идентификационных Маркеров (Banner) – Процесс подключения к удаленным сетевым приложениям и наблюдение за результатами их реакции на такое подключение.
CIFS (англ. Common Internet File System — единая файловая система для Internet) основана на протоколе SMB. Протокол CIFS — это новое название будущих версий протокола SMB от Microsoft, который будет использован в продуктах Windows Преемник SMB; обеспечивает непосредственное считывание/запись файлов, хранящихся на удалённых Windows-компьютерах, не требуя копирования их на локальную машину, как это происходит при работе в Интернет с такими протоколами, как FTP.
NetBIOS (Network Basic Input/Output System) был разработан фирмой Sytek Corporation по заказу IBM в 1983 году. Он включает в себя интерфейс сеансового уровня (NetBIOS interface) и протокол транспортного уровня модели OSI. Особенностью NetBIOS является возможность его работы поверх разных протоколов, самыми распространёнными/известными из которых являются NetBEUI, IPX и TCP/IP; причём если старые версии Windows ориентировались на более лёгкие в реализации и менее ресурсоёмкие NetBEUI и IPX, то современные Windows ориентируются на TCP/IP. При использовании NetBEUI и IPX NetBIOS сам обеспечивает надёжность доставки данных (функциональность SPX не использовалась), а при использовании TCP/IP надёжность доставки обеспечивает TCP, за что удостоился отдельного имени "NBT". Интерфейс NetBIOS представляет собой стандартный интерфейс разработки приложений (API) для обеспечения сетевых операций ввода/вывода и управления нижележащим транспортным протоколом. Приложения, использующие NetBIOS API интерфейс, могут работать только при наличии протокола, допускающего использование такого интерфейса.
SMB (сокр. от англ. server message block) — формат сообщений на основе протокола совместного использования файлов Microsoft/3Com, используемый для передачи файловых запросов (open — открыть, close — закрыть, read — прочитать, write — записать и т. п.) между клиентами и серверами. SMB обеспечивает сервис прикладного уровня (уровень 7 «Application layer» в модели OSI) По умолчанию имеет номер порта 139. Данный порт будет использоваться при установке соединения клиента с сервером.
Нулевой сеанс (Null Session) - процесс подключения к IPC$ с пустой парой логин-пароль.
IPC$ ("Inter-Process Communication" - межпроцессное взаимодействие) - одна из важнейших особенностей ОС семейства UNIX (и не только). Она позволяет различным процессам взаимодействовать между собой. IPC подразумевает различные механизмы обмена данными между процессами, стартовавшими в одной системе. На высоком уровне мы можем разделить межпроцессное взаимодействие на следующие наиболее крупные и важные разделы:
- Сообщения: каналы (pipes) и очереди сообщений (pipes and message queues)
- Разделяемая память (Shared memory)
- Удаленный вызов процедур - RPC (remote procedure calls)
- Синхронизация: семафоры и любые виды блокирования
- Сетевое взаимодействие (API сокетов)
ADMIN$- ресурс ADMIN$ ведет к папке %windir% (например, "c:\windows"). Пароль для входа такой же, как пароль администратора того компьютера, у которого этот ресурс открыт.
Таблица Имен Netbios - Таблица имен NetBIOS является списком имен NetBIOS, соответствующих приложениям NetBIOS, работающим на данном компьютере.
Порт 135 используется функцией отображения конечных точек RPC, реализованной во многих технологиях Windows - например, приложениях COM/DCOM, DFS, журналах событий, механизмах репликации файлов, формирования очередей сообщений и Microsoft Outlook. Данный порт должен быть блокирован в брандмауэре на периметре сети, но трудно закрыть его и одновременно сохранить функциональность Windows.
Порт 139 используется сеансовой службой NetBIOS, которая активизирует браузер поиска других компьютеров, службы совместного использования файлов, Net Logon и службу сервера. Его трудно закрыть, как и порт 135.
Порт 445 используется Windows для совместной работы с файлами. Чтобы закрыть этот порт, следует блокировать File and Printer Sharing for Microsoft Networks. Закрытие этого порта не мешает соединению компьютера с другими удаленными ресурсами; однако другие компьютеры не смогут подключиться к данной системе.
NTLM2 – вторая версия NTLM (NT LAN Manager) —протокола сетевой аутентификации, разработанной фирмой Microsoft для Windows NT. NTLM - это результат дальнейшего развития LANMAN
SAM (англ. Security Account Manager) — RPC-сервер Windows, оперирующий базой данных учетных записей. SAM выполняет следующие задачи:
- Идентификация субъектов (трансляции имен в идентификаторы (SID'ы) и обратно);
- Проверка пароля, авторизация (участвует в процессе входа пользователей в систему);
- Хранит статистику (время последнего входа, количества входов, количества некорректных вводов пароля);
- Хранит настройки политики учетных записей и приводит их в действие (политика паролей и политика блокировки учетной записи);
- Хранит логическую структуру группировки учетных записей (по группам, доменам, алиасам);
- Контролирует доступ к базе учетных записей;
- Предоставляет программный интерфейс для управления базой учетных записей.
База данных SAM хранится в реестре (в ключе HKEY_LOCAL_MACHINE\SAM\SAM), доступ к которому запрещен по умолчанию даже Администраторам. SAM-сервер реализован в виде DLL-библиотеки samsrv.dll, загружаемой lsass.exe. Программный интерфейс для доступа клиентов к серверу реализован в виде функций, содержащихся в DLL-библиотеке samlib.dll
DoS-атака (от англ. Denial of Service — «отказ в обслуживании») и DDoS-атака (Distributed Denial of Service — «распределённый отказ обслуживания») — это разновидности атак злоумышленника на компьютерные системы. Целью этих атак является создание таких условий, при которых легитимные (правомерные) пользователи системы не могут получить доступ к предоставляемым системой ресурсам, либо этот доступ затруднён.
ПО – программное обеспечение.
ICMP (англ. Internet Control Message Protocol — межсетевой протокол управляющих сообщений) — сетевой протокол, входящий в стек протоколов TCP/IP. В основном ICMP используется для передачи сообщений об ошибках и других исключительных ситуациях, возникших при передаче данных. Также на ICMP возлагаются некоторые сервисные функции. Протокол ICMP описан в RFC 792 (с дополнениями в RFC 950) и является стандартом Интернета (входит в стандарт STD 5 вместе с IP). Хотя формально ICMP использует IP (ICMP пакеты инкапсулируются в IP пакеты), он является неотъемлемой частью IP и обязателен при реализации стека TCP/IP. Текущая версия ICMP для IPv4 называется ICMPv4. В IPv6 существует аналогичный протокол ICMPv6. Протокол ICMP не делает протокол IP средством надёжной доставки сообщений. Для этих целей существует TCP.
Межсетевой Экран (Firewall) Фаервол - Межсетевой экран или сетевой экран — комплекс аппаратных и/или программных средств, осуществляющий контроль и фильтрацию проходящих через него сетевых пакетов на различных уровнях модели OSI в соответствии с заданными правилами. Основной задачей сетевого экрана является защита компьютерных сетей или отдельных узлов от несанкционированного доступа. Также сетевые экраны часто называют фильтрами, так как их основная задача — не пропускать (фильтровать) пакеты, не подходящие под критерии, определённые в конфигурации. Некоторые сетевые экраны также позволяют осуществлять трансляцию адресов — динамическую замену адресов назначения (редиректы) или источника (мапинг (biNAT), NAT).
Другие названия
Брандмауэр (нем. Brandmauer) — заимствованный из немецкого языка термин, являющийся аналогом английского firewall в его оригинальном значении (стена, которая разделяет смежные здания, предохраняя от распространения пожара). Интересно, что в области компьютерных технологий в немецком языке употребляется слово «firewall».
Файрво́л, файерво́л — образовано транслитерацией английского термина firewall, эквивалентного термину межсетевой экран, в настоящее время не является официальным заимствованным словом в русском языке.
Хэши (Hash), Хеширование (иногда хеширование, англ. hashing) — преобразование входного массива данных произвольной длины в выходную битовую строку фиксированной длины таким образом, чтобы изменение входных данных приводило к непредсказуемому изменению выходных данных. Такие преобразования также называются хеш-функциями или функциями свёртки, а их результаты называют хешем, хеш-кодом или дайджестом сообщения (англ. message digest). Простым примером хеширования может служить нахождение контрольной суммы сообщения: сумма кодов всех входящих в него символов, от которой берётся несколько последних цифр. Полученное число является примером хеш-кода исходного сообщения.
NT Hash и LanMan Hash- Хэши NTLM. В семействе протоколов NTLM могут использоваться 2 типа хэшей: LM (LanManager) хэш, унаследованный от предыдущих реализаций LanManager и NT (New Technology) хэш, созданный для протокола NTLM. Соответственно, при входе пользователя в систему, как правило, от пароля берутся и хранятся оба этих хэша. Первая версия протокола NTLM для совместимости поддерживала оба ключа (NT или LM ключом обычно называют соответствующий хэш пароля). В более поздних реализациях используется только NT ключ, однако по-умолчанию LM хэш все равно создается при входе и помещается в хранилище LSA. LM ключ получается из пароля в 8-битной OEM кодировке (cp866 для России) с помощью алгоритма DES. Поскольку DES позволяет получить хэш лишь от 7-символьного блока, то реально используется пароль из 14 символов (более короткий пароль дополняется нулями), который разбивается на два блока по 7 символов, от каждого из которых независимо вычисляется хэш. В итоге получается 128-битный хэш <склеенный> из двух частей. Недостатки алгоритма очевидны. Независимое вычисление двух блоков позволяет и их независимый взлом, т.е. реально каждый 64 бита хэша можно атаковать с целью восстановления пароля. Причем для генерации LM ключа пароль не чувствителен к регистру символов и символы всегда используются в верхнем регистре. Это делает очень эффективной атаку на восстановление пароля методом последовательного перебора (не более 7 символов из очень ограниченного алфавита). Причем длинный пароль может быть легче восстановить чем более короткий. NT ключ вычисляется с помощью стандартного алгоритма хеширования MD4. Хэш MD4 берется от пароля записанного в 16-битной кодировке Unicode с последовательностью байт low endian (т.е. первым байтом идет номер символа в странице). Пароль вычисляется с учетом регистра. MD4 имеет несколько криптографических проблем, самой большой из них является маленькое время вычисления хэша, что позволяет перебирать достаточно большое количество комбинаций в единицу времени упрощая, например, атаку по словарю или подбор слабой комбинации символов.
DES (англ. Data Encryption Standard) — симметричный алгоритм шифрования, в котором один ключ используется как для шифрования, так и для расшифровки сообщений. Также известен как алгоритм шифрования данных DEA (англ. Data Encryption Algorithm). Разработан фирмой IBM и утверждён правительством США в 1977 году как официальный стандарт (FIPS-46-3). DES имеет блоки по 64 бит и 16-цикловую структуру сети Фейстеля, для шифрования использует ключ в 56 бит. Алгоритм использует комбинирование нелинейного (S-box) и линейного (перестановки E, Р, IP, FP) преобразований.
MD4 (Message Digest 4) — однонаправленная хэш-функция, разработанная Роном Ривестом, и описанная в RFC 1320. Для каждого входного сообщения функция возвращает 128-разрядное хэш-значение, называемое дайджестом сообщения. Этот алгоритм используется (в частности) для создания NT-хеша паролей в системах Windows NT, 2000, XP и Vista.
Kerberos- Протокол Kerberos предлагает механизм взаимной аутентификации клиента и сервера перед установлением связи между ними, причём в протоколе учтён тот факт, что начальный обмен информацией между клиентом и сервером происходит в незащищённой среде, а передаваемые пакеты могут быть перехвачены и модифицированы. Другими словами, протокол идеально подходит для применения в Интернет и аналогичных сетях.
L0phtCrack- Программа L0phtCrack предназначена для взлома паролей операционной системы Windows NT.
|