← Стек TCP/IP под углом безоп…Сканирование портов nmap (с… →

Сетевая разведка: почему она работает

Урок объясняет, что нарушитель узнаёт о сети до атаки и как уменьшить эту видимость.

Разведка (reconnaissance) — этап, на котором собирают информацию о сети: какие хосты живы, какие сервисы открыты, как устроена топология.

Зачем защитнику понимать разведку

Атака начинается с разведки. Чем больше нарушитель узнаёт бесплатно, тем точнее бьёт. Если вы понимаете, что именно «светится» наружу, вы можете это убрать или хотя бы заметить, что кто-то интересуется вашей сетью.

Базовые инструменты диагностики

Те же команды, что использует администратор для проверки своей сети, дают и разведданные. Проверять только свою сеть.

# жив ли хост (свой!)
ping -c 4 192.168.1.1

# путь до узла своей сети
traceroute 192.168.1.1

ping отвечает на вопрос «хост в сети?», traceroute показывает цепочку маршрутизаторов до цели. Для нарушителя это карта подходов; для вас — инструмент диагностики и понимания собственной топологии.

Пассивная и активная разведка

ТипКакЗаметность
Пассивнаясбор из открытых источников, прослушиваниепочти незаметна
Активнаясканирование, запросы к хостамоставляет следы в логах

Как работает под капотом

Активная разведка опирается на то, что сервисы отвечают на запросы. Живой хост отвечает на ping (если ICMP не закрыт), открытый порт отвечает на попытку соединения. Каждый ответ — крупица информации. Защита уменьшает количество «бесплатных» ответов: закрытые порты, фильтрация ICMP на периметре, отсутствие лишних баннеров.

Запрос ----> [ Хост ]
         <---- ответ = улика о сервисе

Как защититься и обнаружить

  • Закрыть на периметре всё лишнее (минимум привилегий).
  • Логировать и мониторить всплески подключений к множеству портов — признак сканирования.
  • Использовать IDS (разберём позже), чтобы получать оповещения о разведке.
  • Не публиковать наружу внутреннюю топологию и версии ПО в баннерах.

Частые ошибки

  • Считать, что «нас никто не сканирует». Публичные адреса сканируются непрерывно автоматикой.
  • Полностью блокировать ICMP «ради безопасности» и ломать диагностику — фильтруйте разумно.
  • Не собирать логи подключений, лишая себя возможности заметить разведку.

Итоги

  • Разведка работает, потому что сервисы отвечают на запросы.
  • Защита уменьшает видимость и фиксирует попытки сканирования.
  • ping/traceroute — это диагностика своей сети, применять к чужим нельзя.
Проверьте себя
1. Чем активная разведка отличается от пассивной?
AАктивная незаметна, пассивная шумит
BАктивная отправляет запросы к хостам и оставляет следы в логах
CОни не отличаются ничем
DПассивная всегда требует разрешения, активная нет
2. Почему активное сканирование вообще даёт информацию?
AПотому что хосты и сервисы отвечают на запросы
BПотому что firewall всегда выключен
CПотому что IP-адреса публичны
DПотому что DNS раскрывает всё