भेद्यता स्कैनिंग: अपने डिवाइस की जांच कैसे करें और संभावित खतरों से खुद को कैसे बचाएं। नेटवर्क सुरक्षा स्कैनर: क्षमताएं, संचालन सिद्धांत और उन्नत समाधान अपडेट और पैच

💖क्या आपको यह पसंद है?लिंक को अपने दोस्तों के साथ साझा करें
0

आमतौर पर, प्रवेश परीक्षण भेद्यता स्कैन से शुरू होता है। एक अच्छे स्कैनर में हमेशा ज्ञात कमजोरियों का एक अद्यतन डेटाबेस होता है और, आपके नेटवर्क को स्कैन करके, एक या दूसरे की उपस्थिति की रिपोर्ट करता है। हमारा आगे का काम यह जांचना है कि क्या पाई गई प्रत्येक कमजोरियां वास्तव में शोषण के लिए अतिसंवेदनशील हैं, क्योंकि भेद्यता स्कैनर अक्सर झूठी सकारात्मकता देते हैं।

बाज़ार में सबसे लोकप्रिय भेद्यता स्कैनर में से एक नेसस भेद्यता स्कैनर है। यह भेद्यता स्कैनर के लिए एक प्रकार का मानक बन गया है। यह मूल रूप से एक ओपन सोर्स प्रोजेक्ट के रूप में शुरू हुआ था। इसे बाद में टेनेबल द्वारा अधिग्रहित कर लिया गया और अब यह एक व्यावसायिक उत्पाद (व्यावसायिक संस्करण) है। इसके बावजूद, नेसस स्कैनर का अभी भी एक "होम" संस्करण है, जो निःशुल्क वितरित किया जाता है, लेकिन इसमें 16 आईपी पते की सीमा है। यह वह संस्करण है जिस पर हम इस निर्देश पुस्तिका में विचार करेंगे।

"हैकर" होने के नाते, स्कैन करने के बाद हमें पता चलता है पूरी सूचीकमजोरियाँ जिनके लिए आपको केवल कारनामे खोजने की आवश्यकता है। दुर्भाग्य से, भेद्यता स्कैनर बहुत शोर करते हैं और सतर्क प्रशासक उनके संचालन का पता लगा सकते हैं। हालाँकि, सभी संगठनों के पास ऐसे प्रशासक नहीं होते हैं।

भेद्यता स्कैनर के संबंध में महत्वपूर्ण बिंदुओं को न भूलें। वे 0-दिन की कमज़ोरियों का पता नहीं लगा सकते. एंटीवायरस सॉफ़्टवेयर उत्पादों की तरह, प्रभावी होने के लिए उनके डेटाबेस को हर दिन अद्यतन किया जाना चाहिए।

किसी भी स्वाभिमानी पेंटेस्टर को नेसस स्कैनर से परिचित होना चाहिए। दुनिया भर में कई बड़े संगठन इसका संयोजन में उपयोग करते हैं सूचना सुरक्षा.

हाल ही में, अमेरिकी सरकार ने भी कमजोरियों को स्कैन करने के लिए इसका उपयोग शुरू कर दिया है। दुनिया भर में लगभग हर संघीय कार्यालय और अमेरिकी सैन्य अड्डा अब नेसस का उपयोग करता है।

आइए देखें कि यह कार्यक्रम क्रियान्वित रूप में कैसा है!

चरण 1. नेसस स्कैनर निःशुल्क डाउनलोड करें

टेनेबल पर नेसस होम का मुफ्त होम संस्करण ढूंढना आसान नहीं है। इसलिए, हमने आपके लिए एक सीधा लिंक तैयार किया है।

पाने के लिए निःशुल्क संस्करणपंजीकरण आवश्यक है, इसलिए सक्रियण कोड प्राप्त करने के लिए आपको अपना ईमेल पता प्रदान करना होगा।

चरण 2: नेसस लॉन्च करें

एक बार इंस्टॉलेशन पूरा हो जाने पर, डिफ़ॉल्ट ब्राउज़र एक संदेश के साथ खुलेगा जैसा कि नीचे दिखाया गया है। नेसस क्लाइंट-सर्वर आर्किटेक्चर पर बनाया गया है। आपने सर्वर को लोकलहोस्ट पर स्थापित किया है, और ब्राउज़र क्लाइंट के रूप में कार्य करता है।

आपको संभवतः एक संदेश प्राप्त होगा जिसमें लिखा होगा: "आपका कनेक्शन सुरक्षित नहीं है।" "उन्नत" पर क्लिक करें।

फिर नेसस को पोर्ट 8834 पर कनेक्ट करने के लिए अपवाद जोड़ें।

चरण 3: नेसस होम स्थापित करें

कमजोरियों की खोज के लिए लगभग हर चीज़ तैयार है!

आपको बनाने की जरूरत है खाता. नेसस में लॉग इन करने के लिए आपको यही निर्दिष्ट करना होगा।

अपना उपयोगकर्ता नाम और पासवर्ड दर्ज करने के बाद, आपको उत्पाद को सक्रिय करना होगा। अपने मेल में सक्रियण कोड के साथ पत्र ढूंढें और इसे अपने नेसस पृष्ठ पर उपयुक्त फ़ील्ड में दर्ज करें।

एक बार यह हो जाने के बाद, नेसस आपके नेटवर्क में कमजोरियों को खोजने के लिए आवश्यक सभी नवीनतम अपडेट और प्लगइन्स डाउनलोड करना शुरू कर देगा। इस प्रक्रिया में कुछ समय लग सकता है.

चरण 4: भेद्यता स्कैन चलाएँ

जब नेसस अपडेट पूरा कर लेगा, तो आपको नीचे दी गई स्क्रीन की तरह स्वागत किया जाएगा। "नया स्कैन" पर क्लिक करें।

इससे एक नया पेज खुलेगा जहां आप स्कैन प्रकार का चयन कर सकते हैं। कृपया ध्यान दें कि इसमें हमेशा आज के सबसे मौजूदा खतरे वाले मॉडल शामिल होते हैं।

आइए "बेसिक नेटवर्क स्कैन" पर क्लिक करें।

नीचे जैसा एक पृष्ठ खुलेगा, जो आपसे आपके स्कैन के लिए एक नाम दर्ज करने के लिए कहेगा (आप कुछ भी दर्ज कर सकते हैं जो आपके लिए समझ में आता है, उदाहरण के लिए, पहला स्कैन)। आपको उन नोड्स को भी निर्दिष्ट करना होगा जिन्हें हम स्कैन करेंगे। आप आईपी पते का संपूर्ण सबनेट 192.168.1.0/24 निर्दिष्ट कर सकते हैं। "सहेजें" पर क्लिक करें।

अब भेद्यता स्कैन शुरू करने के लिए "लॉन्च" बटन पर क्लिक करें।

चरण 5: स्कैन परिणाम देखें

स्कैनिंग परिणामों के आधार पर, हमें आईपी पते और उनसे जुड़े जोखिमों की एक सूची प्राप्त होती है। जोखिमों को रंग कोडित किया गया है।

नेटवर्क पर पाई गई सभी कमजोरियों को प्रदर्शित करने के लिए शीर्ष मेनू में "कमजोरियाँ" पर क्लिक करें।

यदि हम किसी विशिष्ट भेद्यता पर क्लिक करते हैं, तो हमें और अधिक मिलेगा विस्तार में जानकारी. नीचे कोडमीटर भेद्यता का एक उदाहरण दिया गया है।

यह ध्यान रखना महत्वपूर्ण है कि भेद्यता के विवरण के अलावा, रिपोर्ट में इसे ठीक करने और बंद करने की एक विधि भी शामिल है (समाधान अनुभाग)।

निष्कर्ष

टेनेबल का नेसस वल्नरेबिलिटी स्कैनर, यहां तक ​​कि फ्री होम संस्करण में भी, उपयोग में काफी आसान है, लेकिन साथ ही शक्तिशाली वल्नरेबिलिटी स्कैनर भी है। इसका मुख्य लाभ यह है कि यह हमेशा अद्यतित खतरे वाले मॉडल ढूंढ सकता है, जिसके शोषण की संभावना के लिए यह आपके नेटवर्क की त्वरित और कुशलता से जांच करेगा।

याद रखें कि उच्च गुणवत्ता वाली सूचना सुरक्षा की सफलता एक नियमित ऑडिट है!

लेकिन यह मत भूलिए कि अन्य लोगों के नेटवर्क को स्कैन करने के परिणाम कानून के साथ समस्याओं के रूप में हो सकते हैं!

यह दूसरी प्रजाति से मिलने का समय है सॉफ़्टवेयर, इंटरनेट खतरों से बचाने के लिए डिज़ाइन किया गया। भेद्यता स्कैनरजटिल समाधान हैं जिनमें हार्डवेयर और दोनों शामिल हो सकते हैं सॉफ़्टवेयर, निरंतर स्थिति स्कैनिंग के लिए डिज़ाइन किया गया कॉर्पोरेट नेटवर्क, वायरस या संदिग्ध प्रक्रियाओं के प्रभाव के लिए। उनका मुख्य कार्य प्रक्रियाओं की सुरक्षा का आकलन करना और कमजोरियों को ढूंढना और उन्हें खत्म करना है।

भेद्यता स्कैनरया भेद्यता स्कैनर, प्रशासक को नेटवर्क में मौजूद "छेद" या "बैकडोर" की खोज करने की क्षमता देता है, जिसकी मदद से हैकर और धोखेबाज कंपनी के नेटवर्क और गोपनीय डेटा तक पहुंच प्राप्त कर सकते हैं। इसके अलावा, स्कैनर में स्कैनिंग उपकरण शामिल होते हैं गतिशील सेवाएंऔर प्रोसेसर, साथ ही पोर्ट स्कैनर।

इसके आधार पर, हम भेद्यता स्कैनर के निम्नलिखित कार्यों पर प्रकाश डाल सकते हैं:

  • कमजोरियों की खोज करें और उनका विश्लेषण करें।
  • नेटवर्क पर सभी संसाधनों, उपकरणों, ऑपरेटिंग सिस्टम, पोर्ट, एप्लिकेशन, प्रक्रियाओं आदि की जाँच करना।
  • ऐसी रिपोर्ट तैयार करें जो भेद्यता, उसके मार्ग और प्रकृति को इंगित करें।

भेद्यता स्कैनर कैसे काम करते हैं?

स्कैनर दो तंत्रों पर आधारित है। प्रथम तंत्र को कहा जाता है - जांच. यह बहुत तेज़ नहीं है, लेकिन यह सबसे प्रभावी सक्रिय विश्लेषण उपकरण है। इसका सार यह है कि यह स्वयं हमले शुरू करता है और निगरानी करता है कि ये हमले कहां तक ​​जा सकते हैं। जांच के दौरान, संभावित अनुमानों और कुछ दिशाओं में हमलों की संभावना की पुष्टि की जाती है।

एक और तंत्र है स्कैनिंग. इस मामले में, उपकरण तेजी से काम करता है, लेकिन नेटवर्क सुरक्षा में सबसे आम और संभावित "छेद" को देखते हुए, नेटवर्क का केवल सतही विश्लेषण किया जाता है। दूसरी विधि के बीच अंतर यह है कि यह भेद्यता की उपस्थिति की पुष्टि नहीं करती है, बल्कि अप्रत्यक्ष संकेतों के आधार पर प्रशासक को इसकी संभावना के बारे में सूचित करती है। उदाहरण के लिए, पोर्ट को स्कैन किया जाता है, उनके हेडर निर्धारित किए जाते हैं और फिर उनकी तुलना संदर्भ तालिकाओं और नियमों से की जाती है। यदि मानों के बीच कोई विसंगति है, तो स्कैनर सूचित करता है कि एक संभावित भेद्यता पाई गई है, जिसे व्यवस्थापक को अधिक विश्वसनीय तरीकों का उपयोग करके जांचना चाहिए।

भेद्यता स्कैनर के बुनियादी सिद्धांत

    नेटवर्क पर सभी सूचनाओं का संग्रह, सभी सेवाओं, उपकरणों और प्रक्रियाओं की पहचान।

    संभावित कमजोरियों की खोज करें

    कमजोरियों की पुष्टि करने के लिए विशेष तरीकों और मॉडलिंग हमलों का उपयोग करना (सभी नेटवर्क स्कैनर में उपलब्ध नहीं)

सर्वोत्तम भेद्यता स्कैनर का चयन

नेसस।काफी समय पहले, 1998 में, कंपनी टेनेबल नेटवर्क सिक्योरिटी ने अपना स्वयं का भेद्यता स्कैनर विकसित करना शुरू किया था, जिसकी बदौलत उसने महान अनुभवऔर अपने क्षेत्र में बहुत आगे है. कई वर्षों से उनका स्कैनर व्यावसायिक सॉफ़्टवेयर रहा है। प्रमुख विशेषतानेसस स्कैनर प्लगइन्स का उपयोग करके कार्यक्षमता का विस्तार करने की क्षमता है। इस प्रकार, शक्तिशाली परीक्षण, जैसे प्रवेश परीक्षण या अन्य, मुख्य मॉड्यूल के साथ एक साथ स्थापित नहीं किए जाते हैं, लेकिन यदि आवश्यक हो तो अलग से जुड़े होते हैं। सभी प्लगइन्स को 42 श्रेणियों में विभाजित किया जा सकता है। इसका मतलब यह है कि, उदाहरण के लिए, पिनटेस्ट (प्रवेश परीक्षण) करने के लिए, पूर्ण स्कैन चलाना आवश्यक नहीं है, लेकिन आप केवल एक निश्चित श्रेणी से परीक्षण का चयन कर सकते हैं या मैन्युअल रूप से परीक्षण का चयन कर सकते हैं। इसके अलावा, नेसस की अपनी विशेष स्क्रिप्टिंग भाषा है, जिससे प्रशासक अपनी ज़रूरत के परीक्षण स्वयं लिख सकते हैं।

सिमेंटेक सुरक्षा जाँच।इस स्कैनर का मुख्य कार्य कीड़े, ट्रोजन, वायरस की खोज करना और स्कैन करना है स्थानीय नेटवर्क, संक्रमण का पता लगाने के लिए। यह उत्पाद आसानी से इंस्टॉल हो जाता है और ब्राउज़र में इसका एक मुख्य नियंत्रण केंद्र होता है। समाधान में दो मॉड्यूल शामिल हैं: सिक्योरिटीस्कैन और वायरसडिटेक्शन। पहला नेटवर्क को स्कैन करता है, दूसरा स्कैन करता है और वायरस के लिए डिवाइस की जांच करता है। कुछ विशेषज्ञ अतिरिक्त स्कैनिंग के लिए सिमेंटेक के समाधान का उपयोग करने की सलाह देते हैं।

एक्सस्पाइडर।डेवलपर के अनुसार, उनका समाधान सभी संभावित कमजोरियों में से एक तिहाई की पहचान कर सकता है, जिसे "शून्य दिन" कहा जाता है। इस स्कैनर का मुख्य लाभ हैकर्स द्वारा सुरक्षा प्रणाली में अधिकतम संख्या में "छेदों" का पता लगाने से पहले उन्हें पहचानने की क्षमता है। इस स्कैनर को अतिरिक्त सॉफ़्टवेयर की आवश्यकता नहीं है. विश्लेषण के बाद, यह पाई गई कमजोरियों के साथ एक पूरी रिपोर्ट तैयार करता है संभावित तरीकेउनका उन्मूलन.

रैपिड 7 नेक्सपोज़।आंकड़ों के मुताबिक रैपिड 7 सबसे तेजी से बढ़ने वाली कंपनी है हाल ही में. हाल ही में, कंपनी ने मेटास्पॉइल्ट फ़्रेमवर्क प्रोजेक्ट खरीदा, जिसने अब लोकप्रिय नेक्सपोज़ बनाया। उत्पाद के व्यावसायिक संस्करण का उपयोग करने के लिए, आपको लाइसेंस के लिए काफी राशि का भुगतान करना होगा, लेकिन एक अधिक सुलभ सामुदायिक संस्करण भी है, जिसकी कार्यक्षमता कम है। उत्पाद मेटास्पॉइल्ट के साथ आसानी से एकीकृत हो जाता है। कार्य योजना यह फैसलासरल नहीं है, पहले आपको NeXpose लॉन्च करना होगा, फिर Metaspoilt प्रबंधन कंसोल, और उसके बाद ही आप स्कैनिंग शुरू कर सकते हैं, जो, एक ही समय में, नियंत्रण कक्ष के माध्यम से नहीं, बल्कि विशेष कमांड का उपयोग करके कॉन्फ़िगर किया गया है। एक विशेष सुविधा NeXpose के साथ विभिन्न मेटास्पॉइल्ट मॉड्यूल चलाने की क्षमता है।

आमतौर पर, पूर्ण पैठ परीक्षण का पहला चरण कमजोरियों के लिए नेटवर्क को स्कैन करना है। सॉफ़्टवेयर स्कैनर किसी विशिष्ट नेटवर्क में समस्याओं की खोज के लिए कमजोरियों के विशेष डेटाबेस (उन्हें अद्यतित होना चाहिए) का उपयोग करते हैं। लेकिन मुख्य काम थोड़ा अलग है. हमारा लक्ष्य यह निर्धारित करना है कि क्या ये खतरे वास्तव में खतरनाक हैं, क्योंकि अक्सर स्कैनर गलत अलार्म बजाते हैं।

कई विशेषज्ञ नेसस प्रोफेशनल (एनपी) चुनते हैं, जो भेद्यता स्कैनर के बीच एक प्रकार का गुणवत्ता मानक बन गया है। एनपी ने मूल रूप से ओपन के विचार का उपयोग किया था सोर्स कोड, लेकिन बाद में टेनेबल ने इसे खरीद लिया। पर इस पलएनपी आंशिक रूप से व्यावसायिक उत्पाद है: यह केवल व्यावसायिक संस्करण पर लागू होता है। हालाँकि, एक मुफ़्त होम संस्करण है, जिसकी सीमा 16 आईपी पते है।

स्कैनिंग के बाद, प्रोग्राम पाई गई कमजोरियों पर एक रिपोर्ट प्रदान करेगा, जिसके वास्तविक खतरे को सत्यापित किया जाना बाकी है। अधिकांश स्कैनर काफी "मैला" तरीके से काम करते हैं, इसलिए एक विशेष रूप से चौकस प्रशासक इसे तुरंत नोटिस कर लेगा। लेकिन सभी कंपनियों के पास ऐसे विशेषज्ञ नहीं होते हैं।

कृपया स्कैनर के उपयोग के संबंध में कई महत्वपूर्ण विवरणों पर ध्यान दें: वे शून्य-दिन की कमजोरियों का पता नहीं लगाते हैं, और सबसे सटीक कार्य के लिए डेटाबेस के निरंतर अद्यतन की भी आवश्यकता होती है।

परीक्षण में शामिल किसी भी व्यक्ति को यह जानना आवश्यक है कि नेसस स्कैनर (एनएस) का उपयोग कैसे किया जाए, क्योंकि दुनिया भर में बड़ी संख्या में कंपनियां अपने आईटी बुनियादी ढांचे में सक्रिय रूप से एनएस का उपयोग करती हैं। ध्यान दें कि अमेरिकी सरकारी एजेंसियां ​​भी अपने नेटवर्क में समस्याओं का पता लगाने के लिए इसका उपयोग करती हैं। इसका मतलब यह है कि वस्तुतः सभी अमेरिकी संघीय और सैन्य एजेंसियां ​​नेसस प्रौद्योगिकियों से अच्छी तरह परिचित हैं।

तो यह किस प्रकार का जानवर है, आइए इसे स्थापित करें और इसकी कार्यक्षमता से परिचित हों?

चरण 1: लाइसेंस खरीदना और नेसस स्कैनर स्थापित करना

अपना स्वयं का लाइसेंस प्राप्त करने के लिए, आपको खरीदना होगा और एक ईमेल पता प्रदान करना होगा जहां सक्रियण कोड भेजा जाएगा।

डाउनलोड शुरू करने से पहले, आप जिस ऑपरेटिंग सिस्टम का उपयोग कर रहे हैं उसका प्रकार और बिटनेस चुनें (समर्थित ओएस: विनसर्वर, मैकओएस एक्स, लिनक्स, फ्रीबीएसडी, जीपीजी कुंजी)।

चरण 2: नेसस के साथ शुरुआत करना

एक बार इंस्टॉलेशन प्रक्रिया पूरी हो जाने पर, आपका डिफ़ॉल्ट ब्राउज़र एक मानक संदेश प्रदर्शित करने के लिए स्वचालित रूप से लॉन्च हो जाएगा। नेसस क्लाइंट-सर्वर मॉडल का उपयोग करता है। क्लाइंट आपका ब्राउज़र है, और सर्वर स्थानीय होस्ट पर स्थापित किया गया था।

निश्चित रूप से संदेश में यह पाठ होगा: "आपका कनेक्शन सुरक्षित नहीं है।" "उन्नत" चुनें.

इसके बाद, नेसस को पोर्ट 8834 पर कनेक्ट करने के लिए एक अपवाद सेट करें।

चरण 3: प्रारंभिक सेटअप

असली मजा आने में बस थोड़ा ही समय बाकी है! अपना लॉगिन और पासवर्ड दर्ज करने के बाद अपना लाइसेंस सक्रिय करें। सक्रिय करने के लिए, आपको एक विशेष कुंजी की आवश्यकता होगी, जिसे भेजा गया था ईमेलआपके ईमेल पर. अब बस इसे नेसस सिस्टम पेज पर आवश्यक फ़ील्ड में दर्ज करें। पहले से सक्रिय प्रोग्राम नवीनतम अपडेट और प्लगइन्स डाउनलोड करना शुरू कर देगा जिनकी नेटवर्क को स्कैन करने के लिए आवश्यकता होगी। यह सबसे तेज़ प्रक्रिया नहीं है.

चरण 4: स्कैनिंग प्रारंभ करें

एक बार अपडेट पूरा हो जाने पर, नेसस स्वचालित रूप से प्रारंभिक स्कैनिंग स्क्रीन खोल देगा। बेझिझक "नया स्कैन" पर क्लिक करें।

यह हमारे सामने प्रकट किया जाएगा नया पृष्ठ, जहां आप स्कैन का प्रकार निर्दिष्ट कर सकते हैं।

"बेसिक नेटवर्क स्कैन" चुनें।

यह चयनित स्कैन को सेट करने के लिए समर्पित एक और पेज खोलता है। प्रक्रिया आईडी निर्दिष्ट करें (पहली बार, आप कुछ अधिक समझने योग्य, जैसे MyFirstScan, चुन सकते हैं)। उस नेटवर्क होस्ट का चयन करें जिसे आपको स्कैन करना है (आप 192.168.1.0/24 के माध्यम से आईपी पते के पूरे सबनेट का चयन भी कर सकते हैं)। "सहेजें" पर क्लिक करें।

स्कैनर शुरू करने के लिए, आपको "लॉन्च" पर क्लिक करना होगा।

चरण 5: परिणाम

परिणामस्वरूप, नेसस आईपी पते और उनसे जुड़े खतरों की एक सूची प्रदान करेगा, जिसमें एक रंग संकेतक होगा।

परीक्षण किए गए नेटवर्क पर पाई गई समस्याओं की पूरी सूची देखने के लिए "कमजोरियाँ" पर क्लिक करें।

जिस मुद्दे में आपकी रुचि है उस पर विस्तृत जानकारी प्राप्त करने के लिए बस उस पर क्लिक करें।

कृपया ध्यान दें कि प्रोग्राम न केवल कमजोरियों का विवरण प्रदान करता है, बल्कि उन्हें खत्म करने के तरीके भी प्रदान करता है (वे समाधान टैब में स्थित हैं)।

सारांश

नेसस स्कैनर, जिसे आप लिंक के माध्यम से खरीद सकते हैं - यह एक सुविधाजनक और प्रभावी उपकरण है जो आपको उपयोग करने पर भी उत्कृष्ट परिणाम प्राप्त करने की अनुमति देता है इसका निःशुल्क संस्करण. इसका मुख्य लाभ सभी प्रकार के शोषण योग्य खतरों का लगातार अद्यतन डेटाबेस है, जिसकी उपस्थिति के लिए यह आवश्यक नेटवर्क की आसानी से जांच कर सकता है।

और याद रखें किसी भी आईटी प्रणाली की सुरक्षा की कुंजी उसका नियमित ऑडिट है!

पी.एस.आपको अन्य लोगों के नेटवर्क को उनके मालिक की सहमति के बिना स्कैन करके कानून के साथ मजाक नहीं करना चाहिए!

नेटवर्क वर्म्स की महामारी की समस्या किसी भी स्थानीय नेटवर्क के लिए प्रासंगिक है। देर-सबेर ऐसी स्थिति उत्पन्न हो सकती है जब कोई नेटवर्क या ईमेल वर्म LAN में प्रवेश कर जाता है और उपयोग किए जा रहे एंटीवायरस द्वारा इसका पता नहीं लगाया जाता है। एक नेटवर्क वायरस पूरे LAN में ऑपरेटिंग सिस्टम की कमजोरियों के माध्यम से फैलता है जो संक्रमण के समय बंद नहीं थे या लिखने योग्य साझा संसाधनों के माध्यम से। एक ईमेल वायरस, जैसा कि नाम से पता चलता है, ईमेल के माध्यम से फैलता है, बशर्ते कि यह क्लाइंट एंटीवायरस और एंटीवायरस द्वारा अवरुद्ध न किया गया हो। डाक सर्वर. इसके अलावा, किसी अंदरूनी सूत्र की गतिविधियों के परिणामस्वरूप LAN पर महामारी भीतर से आयोजित की जा सकती है। इस लेख में हम विभिन्न उपकरणों का उपयोग करके, विशेष रूप से लेखक की AVZ उपयोगिता का उपयोग करके LAN कंप्यूटरों के परिचालन विश्लेषण के लिए व्यावहारिक तरीकों को देखेंगे।

समस्या का निरूपण

यदि नेटवर्क पर किसी महामारी या कुछ असामान्य गतिविधि का पता चलता है, तो व्यवस्थापक को कम से कम तीन कार्यों को तुरंत हल करना होगा:

  • नेटवर्क पर संक्रमित पीसी का पता लगाएं;
  • एंटी-वायरस प्रयोगशाला में भेजने के लिए मैलवेयर के नमूने ढूंढें और एक प्रतिकार रणनीति विकसित करें;
  • LAN पर वायरस के प्रसार को रोकने और संक्रमित कंप्यूटरों पर इसे नष्ट करने के उपाय करें।

अंदरूनी गतिविधि के मामले में, विश्लेषण के मुख्य चरण समान होते हैं और अक्सर LAN कंप्यूटरों पर अंदरूनी सूत्र द्वारा स्थापित तीसरे पक्ष के सॉफ़्टवेयर का पता लगाने की आवश्यकता होती है। ऐसे सॉफ़्टवेयर के उदाहरणों में उपयोगिताएँ शामिल हैं दूरस्थ प्रशासन, कीलॉगर्सऔर विभिन्न ट्रोजन बुकमार्क।

आइए प्रत्येक कार्य के समाधान पर अधिक विस्तार से विचार करें।

संक्रमित पीसी खोजें

नेटवर्क पर संक्रमित पीसी खोजने के लिए, आप कम से कम तीन तरीकों का उपयोग कर सकते हैं:

  • स्वचालित रिमोट पीसी विश्लेषण - चल रही प्रक्रियाओं, लोड की गई लाइब्रेरी और ड्राइवरों के बारे में जानकारी प्राप्त करना, विशिष्ट पैटर्न की खोज करना - उदाहरण के लिए, दिए गए नामों वाली प्रक्रियाएं या फ़ाइलें;
  • स्निफ़र का उपयोग करके पीसी ट्रैफ़िक का अध्ययन करना - यह विधि स्पैम बॉट, ईमेल और नेटवर्क वर्म्स को पकड़ने के लिए बहुत प्रभावी है, हालांकि, स्निफ़र का उपयोग करने में मुख्य कठिनाई इस तथ्य के कारण है कि एक आधुनिक LAN स्विच के आधार पर बनाया गया है और, जैसे परिणामस्वरूप, व्यवस्थापक पूरे नेटवर्क पर ट्रैफ़िक की निगरानी नहीं कर सकता। समस्या को दो तरीकों से हल किया जा सकता है: राउटर पर एक स्निफर चलाकर (जो आपको पीसी और इंटरनेट के बीच डेटा एक्सचेंज की निगरानी करने की अनुमति देता है) और स्विच के मॉनिटरिंग फ़ंक्शन का उपयोग करके (कई आधुनिक स्विच आपको एक मॉनिटरिंग पोर्ट असाइन करने की अनुमति देते हैं) जिसमें व्यवस्थापक द्वारा निर्दिष्ट एक या अधिक स्विच पोर्ट का ट्रैफ़िक डुप्लिकेट किया गया है);
  • नेटवर्क लोड का अध्ययन - इस मामले में, स्मार्ट स्विच का उपयोग करना बहुत सुविधाजनक है, जो आपको न केवल लोड का आकलन करने की अनुमति देता है, बल्कि व्यवस्थापक द्वारा निर्दिष्ट पोर्ट को दूरस्थ रूप से अक्षम करने की भी अनुमति देता है। यह ऑपरेशनयदि व्यवस्थापक के पास एक नेटवर्क मैप है, जिसमें यह जानकारी होती है कि कौन से पीसी स्विच के संबंधित पोर्ट से जुड़े हैं और वे कहाँ स्थित हैं, तो यह काफी सरल हो जाता है;
  • हनीपोट्स का उपयोग - स्थानीय नेटवर्क पर कई हनीपोट्स बनाने की दृढ़ता से अनुशंसा की जाती है जो प्रशासक को किसी महामारी का समय पर पता लगाने की अनुमति देगा।

नेटवर्क पर पीसी का स्वचालित विश्लेषण

स्वचालित पीसी विश्लेषण को तीन मुख्य चरणों में घटाया जा सकता है:

  • संपूर्ण पीसी परीक्षा आयोजित करना - चल रही प्रक्रियाएँ, भरी हुई लाइब्रेरी और ड्राइवर, ऑटोरन;
  • परिचालन अनुसंधान करना - उदाहरण के लिए, विशिष्ट प्रक्रियाओं या फ़ाइलों की खोज करना;
  • कुछ मानदंडों के अनुसार वस्तुओं का संगरोध।

उपरोक्त सभी समस्याओं को लेखक की AVZ उपयोगिता का उपयोग करके हल किया जा सकता है, जिसे सर्वर पर नेटवर्क फ़ोल्डर से लॉन्च करने के लिए डिज़ाइन किया गया है और स्वचालित पीसी निरीक्षण के लिए एक स्क्रिप्टिंग भाषा का समर्थन करता है। उपयोगकर्ता कंप्यूटर पर AVZ चलाने के लिए आपको यह करना होगा:

  1. AVZ को सर्वर पर एक नेटवर्क फ़ोल्डर में रखें जो पढ़ने के लिए खुला है।
  2. इस फ़ोल्डर में लॉग और कुरानटाइन उपनिर्देशिकाएं बनाएं और उपयोगकर्ताओं को उन्हें लिखने की अनुमति दें।
  3. रेक्सेक उपयोगिता या लॉगऑन स्क्रिप्ट का उपयोग करके LAN कंप्यूटर पर AVZ लॉन्च करें।

चरण 3 में AVZ का लॉन्च निम्नलिखित मापदंडों के साथ किया जाना चाहिए:

\\my_server\AVZ\avz.exe प्राथमिकता=-1 nw=Y nq=Y हिडनमोड=2 स्क्रिप्ट=\\my_server\AVZ\my_script.txt

इस मामले में, प्राथमिकता = -1 पैरामीटर AVZ प्रक्रिया की प्राथमिकता को कम करता है, nw = Y और nq = Y पैरामीटर संगरोध को "नेटवर्क रन" मोड में स्विच करते हैं (इस मामले में, संगरोध फ़ोल्डर में एक उपनिर्देशिका बनाई जाती है) प्रत्येक कंप्यूटर के लिए, जिसका नाम पीसी के नेटवर्क नाम से मेल खाता है), हिडनमोड=2 उपयोगकर्ता को जीयूआई और एवीजेड नियंत्रणों तक पहुंच से वंचित करने का निर्देश देता है, और अंत में, सबसे महत्वपूर्ण स्क्रिप्ट पैरामीटर स्क्रिप्ट का पूरा नाम निर्दिष्ट करता है। आदेश जो AVZ उपयोगकर्ता के कंप्यूटर पर निष्पादित करेगा। AVZ स्क्रिप्टिंग भाषा का उपयोग करना काफी सरल है और यह विशेष रूप से कंप्यूटर परीक्षण और उपचार की समस्याओं को हल करने पर केंद्रित है। स्क्रिप्ट लिखने की प्रक्रिया को सरल बनाने के लिए, आप एक विशेष स्क्रिप्ट संपादक का उपयोग कर सकते हैं, जिसमें एक ऑनलाइन प्रॉम्प्ट, मानक स्क्रिप्ट बनाने के लिए एक विज़ार्ड और लिखित स्क्रिप्ट को चलाए बिना उसकी शुद्धता की जांच करने के लिए उपकरण शामिल हैं (चित्र 1)।

चावल। 1. AVZ स्क्रिप्ट संपादक

आइए तीन विशिष्ट स्क्रिप्ट देखें जो महामारी के खिलाफ लड़ाई में उपयोगी हो सकती हैं। सबसे पहले, हमें एक पीसी अनुसंधान स्क्रिप्ट की आवश्यकता है। स्क्रिप्ट का कार्य सिस्टम की जांच करना और किसी दिए गए नेटवर्क फ़ोल्डर में परिणामों के साथ एक प्रोटोकॉल बनाना है। स्क्रिप्ट इस तरह दिखती है:

एक्टिवेटवॉचडॉग(60*10);

// स्कैनिंग और विश्लेषण प्रारंभ करें

// सिस्टम अन्वेषण

ExecuteSysCheck(GetAVZDirectory+

'\LOG\'+GetComputerName+'_log.htm');

//शटडाउन AVZ

इस स्क्रिप्ट के निष्पादन के दौरान, नेटवर्क कंप्यूटर के अध्ययन के परिणामों के साथ HTML फ़ाइलें LOG फ़ोल्डर में बनाई जाएंगी (यह मानते हुए कि यह सर्वर पर AVZ निर्देशिका में बनाई गई है और उपयोगकर्ताओं को लिखने के लिए उपलब्ध है), और यह सुनिश्चित करने के लिए विशिष्टता, जांच किए जा रहे कंप्यूटर का नाम प्रोटोकॉल नाम में शामिल है। स्क्रिप्ट की शुरुआत में वॉचडॉग टाइमर को सक्षम करने के लिए एक कमांड है, जो स्क्रिप्ट निष्पादन के दौरान विफलता होने पर 10 मिनट के बाद AVZ प्रक्रिया को बलपूर्वक समाप्त कर देगा।

AVZ प्रोटोकॉल मैन्युअल अध्ययन के लिए सुविधाजनक है, लेकिन स्वचालित विश्लेषण के लिए इसका बहुत कम उपयोग होता है। इसके अलावा, व्यवस्थापक अक्सर मैलवेयर फ़ाइल का नाम जानता है और उसे केवल उपस्थिति या अनुपस्थिति की जांच करने की आवश्यकता होती है यह फ़ाइल, और यदि उपलब्ध हो, तो विश्लेषण के लिए संगरोध। इस स्थिति में, आप निम्न स्क्रिप्ट का उपयोग कर सकते हैं:

// 10 मिनट के लिए वॉचडॉग टाइमर सक्षम करें

एक्टिवेटवॉचडॉग(60*10);

// नाम से मैलवेयर खोजें

क्वारंटाइनफ़ाइल('%WinDir%\smss.exe', 'LdPइंच.gen के बारे में संदिग्ध');

क्वारंटाइनफ़ाइल('%WinDir%\csrss.exe', 'LdPइंच.gen का संदेह');

//शटडाउन AVZ

यह स्क्रिप्ट निर्दिष्ट फ़ाइलों को क्वारंटाइन करने का प्रयास करने के लिए क्वारंटाइनफ़ाइल फ़ंक्शन का उपयोग करती है। व्यवस्थापक केवल क्वारंटाइन की गई फ़ाइलों की उपस्थिति के लिए क्वारंटाइन (फ़ोल्डर क्वारंटाइन\नेटवर्क_नाम_पीसी\क्वारंटाइन_डेट\) की सामग्री का विश्लेषण कर सकता है। कृपया ध्यान दें कि क्वारेंटाइनफ़ाइल फ़ंक्शन सुरक्षित AVZ डेटाबेस या Microsoft डिजिटल हस्ताक्षर डेटाबेस द्वारा पहचानी गई फ़ाइलों के क्वारेंटाइन को स्वचालित रूप से ब्लॉक कर देता है। के लिए व्यावहारिक अनुप्रयोगइस स्क्रिप्ट को बेहतर बनाया जा सकता है - बाहरी टेक्स्ट फ़ाइल से फ़ाइल नामों की लोडिंग को व्यवस्थित करें, AVZ डेटाबेस के विरुद्ध पाई गई फ़ाइलों की जाँच करें और कार्य के परिणामों के साथ एक टेक्स्ट प्रोटोकॉल तैयार करें:

// निर्दिष्ट नाम वाली फ़ाइल खोजें

फ़ंक्शन CheckByName(Fname: string): बूलियन;

परिणाम:= FileExists(FName);

यदि परिणाम है तो शुरू करें

केस चेकफ़ाइल (FName)।

1: एस:= ', फ़ाइल तक पहुंच अवरुद्ध है';

1: S:= ', मैलवेयर के रूप में पाया गया ('+GetLastCheckTxt+')';

2: S:= ', फ़ाइल स्कैनर द्वारा संदिग्ध ('+GetLastCheckTxt+')';

3: बाहर निकलें; // सुरक्षित फ़ाइलों को नजरअंदाज कर दिया जाता है

AddToLog('फ़ाइल '+NormalFileName(FName)+' का नाम संदिग्ध है'+S);

//जोड़ना निर्दिष्ट फ़ाइलसंगरोध में

क्वारंटाइनफ़ाइल (FName,'संदिग्ध फ़ाइल'+S);

संदिग्ध नाम: TStringList; // संदिग्ध फ़ाइलों के नामों की सूची

// अद्यतन डेटाबेस के विरुद्ध फ़ाइलों की जाँच करना

यदि FileExists(GetAVZDirectory + 'files.db') तो प्रारंभ करें

SuspNames:= TStringList.Create;

SuspNames.LoadFromFile('files.db');

AddToLog('नाम डेटाबेस लोड किया गया - रिकॉर्ड की संख्या = '+inttostr(SuspNames.Count));

// खोज लूप

i:= 0 से SuspNames.Count - 1 के लिए

CheckByName(SuspNames[i]);

AddToLog('फ़ाइल नामों की सूची लोड करने में त्रुटि');

SaveLog(GetAVZDirectory+'\LOG\'+

GetComputerName+'_files.txt');

इस स्क्रिप्ट को काम करने के लिए, आपको AVZ फ़ोल्डर में क्वारंटाइन और लॉग निर्देशिका बनानी होगी, जो उपयोगकर्ताओं के लिए लिखने के साथ-साथ सुलभ हो। पाठ फ़ाइलफ़ाइलें.डीबी - इस फ़ाइल की प्रत्येक पंक्ति में संदिग्ध फ़ाइल का नाम होगा। फ़ाइल नामों में मैक्रोज़ शामिल हो सकते हैं, जिनमें से सबसे उपयोगी %WinDir% (पथ) हैं विंडोज़ फ़ोल्डर) और %SystemRoot% (System32 फ़ोल्डर का पथ)। विश्लेषण की एक अन्य दिशा उपयोगकर्ता कंप्यूटर पर चल रही प्रक्रियाओं की सूची की स्वचालित जांच हो सकती है। चल रही प्रक्रियाओं के बारे में जानकारी सिस्टम रिसर्च प्रोटोकॉल में है, लेकिन स्वचालित विश्लेषण के लिए निम्नलिखित स्क्रिप्ट खंड का उपयोग करना अधिक सुविधाजनक है:

प्रक्रिया स्कैनप्रोसेस;

एस:= ''; S1:= '';

//प्रक्रियाओं की सूची अद्यतन कर रहा है

रिफ्रेशप्रोसेसलिस्ट;

AddToLog('प्रक्रियाओं की संख्या ='+IntToStr(GetProcessCount));

// प्राप्त सूची के विश्लेषण का चक्र

i:= 0 से GetProcessCount - 1 के लिए प्रारंभ करें

S1:= S1 + ',' + ExtractFileName(GetProcessName(i));

// नाम से प्रक्रिया खोजें

यदि pos('trojan.exe', लोअरकेस(GetProcessName(i))) > 0 तो

S:= S + GetProcessName(i)+',';

यदि एस<>''तब

AddLineToTxtFile(GetAVZDirectory+'\LOG\_alarm.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S);

AddLineToTxtFile(GetAVZDirectory+'\LOG\_all_process.txt', DateTimeToStr(Now)+' '+GetComputerName+' : '+S1);

में प्रक्रियाओं का अनुसंधान यह स्क्रिप्टएक अलग स्कैनप्रोसेस प्रक्रिया के रूप में कार्यान्वित किया गया है, इसलिए इसे अपनी स्क्रिप्ट में रखना आसान है। स्कैनप्रोसेस प्रक्रिया प्रक्रियाओं की दो सूचियाँ बनाती है: प्रक्रियाओं की एक पूरी सूची (बाद के विश्लेषण के लिए) और प्रक्रियाओं की एक सूची, जो प्रशासक के दृष्टिकोण से खतरनाक मानी जाती हैं। इस मामले में, प्रदर्शन उद्देश्यों के लिए, 'trojan.exe' नामक प्रक्रिया को खतरनाक माना जाता है। खतरनाक प्रक्रियाओं के बारे में जानकारी टेक्स्ट फ़ाइल _alarm.txt में जोड़ी जाती है, सभी प्रक्रियाओं के बारे में डेटा फ़ाइल _all_process.txt में जोड़ा जाता है। यह देखना आसान है कि आप स्क्रिप्ट को इसमें जोड़कर जटिल बना सकते हैं, उदाहरण के लिए, डेटाबेस के विरुद्ध प्रक्रिया फ़ाइलों की जाँच करना सुरक्षित फ़ाइलेंया किसी बाहरी डेटाबेस के विरुद्ध प्रक्रियाओं की निष्पादन योग्य फ़ाइलों के नामों की जाँच करना। स्मोलेंस्केंर्गो में प्रयुक्त AVZ स्क्रिप्ट में एक समान प्रक्रिया का उपयोग किया जाता है: व्यवस्थापक समय-समय पर एकत्रित जानकारी का अध्ययन करता है और स्क्रिप्ट को संशोधित करता है, इसमें सुरक्षा नीति द्वारा निषिद्ध कार्यक्रमों की प्रक्रियाओं का नाम जोड़ता है, उदाहरण के लिए ICQ और MailRu.Agent, जो अनुमति देता है आप अध्ययन किए जा रहे पीसी पर प्रतिबंधित सॉफ़्टवेयर की उपस्थिति की तुरंत जांच कर सकते हैं। प्रक्रिया सूची का एक अन्य उपयोग उन पीसी को ढूंढना है जिनमें एंटीवायरस जैसी आवश्यक प्रक्रिया नहीं है।

अंत में, आइए अंतिम उपयोगी विश्लेषण स्क्रिप्ट पर नजर डालें - उन सभी फ़ाइलों के स्वचालित संगरोध के लिए एक स्क्रिप्ट जो सुरक्षित AVZ डेटाबेस और Microsoft डिजिटल हस्ताक्षर डेटाबेस द्वारा मान्यता प्राप्त नहीं हैं:

// स्वतः संगरोध करें

निष्पादितऑटोक्वारंटाइन;

स्वचालित संगरोध चल रही प्रक्रियाओं और लोड की गई लाइब्रेरी, सेवाओं और ड्राइवरों, लगभग 45 ऑटोस्टार्ट विधियों, ब्राउज़र और एक्सप्लोरर एक्सटेंशन मॉड्यूल, एसपीआई/एलएसपी हैंडलर, शेड्यूलर जॉब्स, प्रिंट सिस्टम हैंडलर इत्यादि की जांच करता है। संगरोध की एक विशेष विशेषता यह है कि इसमें पुनरावृत्ति नियंत्रण के साथ फ़ाइलें जोड़ी जाती हैं, इसलिए ऑटोक्वारंटाइन फ़ंक्शन को बार-बार कॉल किया जा सकता है।

स्वचालित संगरोध का लाभ यह है कि इसकी मदद से, व्यवस्थापक जांच के लिए नेटवर्क पर सभी कंप्यूटरों से संभावित संदिग्ध फ़ाइलों को तुरंत एकत्र कर सकता है। फ़ाइलों का अध्ययन करने का सबसे सरल (लेकिन व्यवहार में बहुत प्रभावी) रूप अधिकतम अनुमानी मोड में कई लोकप्रिय एंटीवायरस के साथ परिणामी संगरोध की जाँच करना हो सकता है। यह ध्यान दिया जाना चाहिए कि कई सौ कंप्यूटरों पर एक साथ ऑटो-संगरोध लॉन्च करने से नेटवर्क और फ़ाइल सर्वर पर उच्च भार पैदा हो सकता है।

यातायात अनुसंधान

यातायात अनुसंधान तीन तरीकों से किया जा सकता है:

  • स्निफ़र्स का मैन्युअल रूप से उपयोग करना;
  • अर्ध-स्वचालित मोड में - इस मामले में, खोजी जानकारी एकत्र करता है, और फिर इसके प्रोटोकॉल को मैन्युअल रूप से या कुछ सॉफ़्टवेयर द्वारा संसाधित किया जाता है;
  • स्वचालित रूप से घुसपैठ का पता लगाने वाले सिस्टम (आईडीएस) जैसे कि स्नॉर्ट (http://www.snort.org/) या उनके सॉफ़्टवेयर या हार्डवेयर एनालॉग्स का उपयोग करना। सबसे सरल मामले में, आईडीएस में एक खोजी कुत्ता और एक प्रणाली होती है जो खोजी द्वारा एकत्र की गई जानकारी का विश्लेषण करती है।

घुसपैठ का पता लगाने वाली प्रणाली एक इष्टतम उपकरण है क्योंकि यह आपको नेटवर्क गतिविधि में विसंगतियों का पता लगाने के लिए नियमों के सेट बनाने की अनुमति देती है। इसका दूसरा लाभ निम्नलिखित है: अधिकांश आधुनिक आईडीएस ट्रैफ़िक निगरानी एजेंटों को कई नेटवर्क नोड्स पर रखने की अनुमति देते हैं - एजेंट जानकारी एकत्र करते हैं और इसे प्रसारित करते हैं। स्निफ़र का उपयोग करने के मामले में, कंसोल UNIX स्निफ़र tcpdump का उपयोग करना बहुत सुविधाजनक है। उदाहरण के लिए, पोर्ट 25 (एसएमटीपी प्रोटोकॉल) पर गतिविधि की निगरानी करने के लिए, स्निफर को चलाना पर्याप्त है कमांड लाइनप्रकार:

tcpdump -i em0 -l tcp पोर्ट 25 > smtp_log.txt

इस मामले में, पैकेटों को em0 इंटरफ़ेस के माध्यम से कैप्चर किया जाता है; कैप्चर किए गए पैकेटों के बारे में जानकारी smtp_log.txt फ़ाइल में संग्रहीत की जाएगी। इस उदाहरण में प्रोटोकॉल का मैन्युअल रूप से विश्लेषण करना अपेक्षाकृत आसान है, पोर्ट 25 पर गतिविधि का विश्लेषण आपको सक्रिय स्पैम बॉट वाले पीसी की पहचान करने की अनुमति देता है।

हनीपॉट का अनुप्रयोग

एक पुराना कंप्यूटर जिसका प्रदर्शन उसे उत्पादन समस्याओं को हल करने के लिए उपयोग करने की अनुमति नहीं देता है, उसे हनीपोट के रूप में उपयोग किया जा सकता है। उदाहरण के लिए, 64 एमबी वाले पेंटियम प्रो को लेखक के नेटवर्क में एक जाल के रूप में सफलतापूर्वक उपयोग किया जाता है रैंडम एक्सेस मेमोरी. इस पीसी पर आपको सबसे सामान्य LAN स्थापित करना चाहिए ऑपरेटिंग सिस्टमऔर रणनीतियों में से एक चुनें:

  • अपडेट पैकेज के बिना एक ऑपरेटिंग सिस्टम स्थापित करें - यह नेटवर्क पर एक सक्रिय नेटवर्क वर्म की उपस्थिति का संकेतक होगा, जो इस ऑपरेटिंग सिस्टम के लिए किसी भी ज्ञात कमजोरियों का फायदा उठाता है;
  • नेटवर्क पर अन्य पीसी पर इंस्टॉल किए गए अपडेट के साथ एक ऑपरेटिंग सिस्टम स्थापित करें - हनीपोट किसी भी वर्कस्टेशन के अनुरूप होगा।

प्रत्येक रणनीति के अपने पक्ष और विपक्ष दोनों होते हैं; लेखक मुख्यतः बिना अपडेट वाले विकल्प का उपयोग करता है। हनीपोट बनाने के बाद, आपको अपने सिस्टम को मैलवेयर से क्षतिग्रस्त होने के बाद तुरंत पुनर्स्थापित करने के लिए एक डिस्क छवि बनानी चाहिए। डिस्क छवि के विकल्प के रूप में, आप शैडोयूज़र और इसके एनालॉग्स जैसे चेंज रोलबैक सिस्टम का उपयोग कर सकते हैं। हनीपॉट बनाने के बाद, आपको यह ध्यान रखना चाहिए कि कई नेटवर्क वर्म्स संक्रमित पीसी के आईपी पते से गणना की गई आईपी रेंज को स्कैन करके संक्रमित कंप्यूटरों की खोज करते हैं (सामान्य विशिष्ट रणनीतियाँ X.X.X.*, X.X.X+1.* हैं, X.X.X-1.*), - इसलिए, आदर्श रूप से, प्रत्येक सबनेट पर एक हनीपॉट होना चाहिए। अतिरिक्त तैयारी तत्वों के रूप में, आपको निश्चित रूप से हनीपोट सिस्टम पर कई फ़ोल्डरों तक पहुंच खोलनी चाहिए, और इन फ़ोल्डरों में आपको विभिन्न प्रारूपों की कई नमूना फ़ाइलें डालनी चाहिए, न्यूनतम सेट EXE, JPG, MP3 है।

स्वाभाविक रूप से, हनीपॉट बनाने के बाद, प्रशासक को इसके संचालन की निगरानी करनी चाहिए और पाई गई किसी भी विसंगति पर प्रतिक्रिया देनी चाहिए यह कंप्यूटर. ऑडिटरों का उपयोग परिवर्तनों को रिकॉर्ड करने के साधन के रूप में किया जा सकता है; नेटवर्क गतिविधि को रिकॉर्ड करने के लिए एक खोजी उपकरण का उपयोग किया जा सकता है। एक महत्वपूर्ण बात यह है कि यदि किसी निर्दिष्ट नेटवर्क गतिविधि का पता चलता है तो अधिकांश स्निफ़र्स के पास व्यवस्थापक को अलर्ट भेजने को कॉन्फ़िगर करने की क्षमता होती है। उदाहरण के लिए, कॉमव्यू स्निफर में, एक नियम में एक "सूत्र" निर्दिष्ट करना शामिल होता है जो एक नेटवर्क पैकेट का वर्णन करता है, या मात्रात्मक मानदंड निर्दिष्ट करता है (प्रति सेकंड एक निर्दिष्ट संख्या से अधिक पैकेट या बाइट्स भेजना, अज्ञात आईपी या मैक पते पर पैकेट भेजना) - अंजीर। 2.

चावल। 2. नेटवर्क गतिविधि अलर्ट बनाएं और कॉन्फ़िगर करें

चेतावनी के रूप में, भेजे गए ईमेल संदेशों का उपयोग करना सबसे सुविधाजनक है मेलबॉक्सव्यवस्थापक - इस मामले में, आप नेटवर्क के सभी ट्रैप से शीघ्र अलर्ट प्राप्त कर सकते हैं। इसके अलावा, यदि खोजी आपको कई अलर्ट बनाने की अनुमति देता है, तो काम को हाइलाइट करके नेटवर्क गतिविधि को अलग करना समझ में आता है ईमेल द्वारा, एफ़टीपी/एचटीटीपी, टीएफटीपी, टेलनेट, एमएस नेट, किसी भी प्रोटोकॉल के लिए प्रति सेकंड 20-30 पैकेट से अधिक का ट्रैफ़िक बढ़ा (चित्र 3)।

चावल। 3. अधिसूचना पत्र भेजा गया
यदि निर्दिष्ट मानदंडों से मेल खाने वाले पैकेट का पता लगाया जाता है

जाल का आयोजन करते समय, उस पर नेटवर्क पर उपयोग की जाने वाली कई कमजोर नेटवर्क सेवाओं को रखना या उनके लिए एक एमुलेटर स्थापित करना एक अच्छा विचार है। सबसे सरल (और मुफ़्त) मालिकाना एपीएस उपयोगिता है, जो बिना इंस्टॉलेशन के काम करती है। एपीएस का संचालन सिद्धांत इसके डेटाबेस में वर्णित कई टीसीपी और यूडीपी पोर्ट को सुनने और कनेक्शन के समय पूर्व निर्धारित या यादृच्छिक रूप से उत्पन्न प्रतिक्रिया जारी करने पर आधारित है (चित्र 4)।

चावल। 4. एपीएस उपयोगिता की मुख्य विंडो

यह आंकड़ा स्मोलेंस्केंर्गो लैन पर वास्तविक एपीएस सक्रियण के दौरान लिया गया स्क्रीनशॉट दिखाता है। जैसा कि चित्र में देखा जा सकता है, इनमें से किसी एक को जोड़ने का प्रयास किया गया है क्लाइंट कंप्यूटरपोर्ट 21 पर। प्रोटोकॉल के विश्लेषण से पता चला कि प्रयास आवधिक होते हैं और नेटवर्क पर कई जालों द्वारा रिकॉर्ड किए जाते हैं, जो हमें यह निष्कर्ष निकालने की अनुमति देता है कि पासवर्ड का अनुमान लगाकर एफ़टीपी सर्वर को खोजने और हैक करने के लिए नेटवर्क को स्कैन किया जा रहा है। एपीएस लॉग रखता है और मॉनिटर किए गए पोर्ट पर पंजीकृत कनेक्शन की रिपोर्ट के साथ प्रशासकों को संदेश भेज सकता है, जो नेटवर्क स्कैन का तुरंत पता लगाने के लिए सुविधाजनक है।

हनीपोट बनाते समय, विषय पर ऑनलाइन संसाधनों, विशेष रूप से http://www.honeynet.org/ से खुद को परिचित करना भी सहायक होता है। इस साइट के टूल अनुभाग (http://www.honeynet.org/tools/index.html) में आप हमलों को रिकॉर्ड करने और उनका विश्लेषण करने के लिए कई टूल पा सकते हैं।

दूरस्थ मैलवेयर हटाना

आदर्श रूप से, नमूने खोजे जाने के बाद मैलवेयरप्रशासक उन्हें एंटी-वायरस प्रयोगशाला में भेजता है, जहां विश्लेषकों द्वारा उनका तुरंत अध्ययन किया जाता है और संबंधित हस्ताक्षर एंटी-वायरस डेटाबेस में दर्ज किए जाते हैं। इन हस्ताक्षरों के माध्यम से स्वचालित अपडेटउपयोगकर्ता के पीसी पर पहुंचें, और एंटीवायरस प्रशासक के हस्तक्षेप के बिना मैलवेयर को स्वचालित रूप से हटा देता है। हालाँकि, यह श्रृंखला हमेशा अपेक्षा के अनुरूप काम नहीं करती है, विशेष रूप से विफलता के निम्नलिखित कारण संभव हैं:

  • नेटवर्क व्यवस्थापक से स्वतंत्र कई कारणों से, छवियां एंटी-वायरस प्रयोगशाला तक नहीं पहुंच सकती हैं;
  • एंटी-वायरस प्रयोगशाला की अपर्याप्त दक्षता - आदर्श रूप से, नमूनों का अध्ययन करने और उन्हें डेटाबेस में दर्ज करने में 1-2 घंटे से अधिक नहीं लगता है, जिसका अर्थ है कि अद्यतन हस्ताक्षर डेटाबेस एक कार्य दिवस के भीतर प्राप्त किया जा सकता है। हालाँकि, सभी एंटीवायरस प्रयोगशालाएँ इतनी तेज़ी से काम नहीं करती हैं, और आप अपडेट के लिए कई दिनों तक प्रतीक्षा कर सकते हैं (दुर्लभ मामलों में, सप्ताह भी);
  • एंटीवायरस का उच्च प्रदर्शन - कई दुर्भावनापूर्ण प्रोग्राम, सक्रियण के बाद, एंटीवायरस को नष्ट कर देते हैं या अन्यथा उनके संचालन को बाधित कर देते हैं। क्लासिक उदाहरण - में शामिल करना होस्ट फ़ाइलएंटीवायरस ऑटो-अपडेट सिस्टम के सामान्य संचालन को अवरुद्ध करने वाली प्रविष्टियाँ, प्रक्रियाओं, सेवाओं और एंटीवायरस ड्राइवरों को हटाना, उनकी सेटिंग्स को नुकसान पहुँचाना आदि।

इसलिए, उपरोक्त स्थितियों में, आपको मैलवेयर से मैन्युअल रूप से निपटना होगा। ज्यादातर मामलों में, यह मुश्किल नहीं है, क्योंकि कंप्यूटर जांच के नतीजे संक्रमित पीसी, साथ ही मैलवेयर फ़ाइलों के पूरे नाम का खुलासा करते हैं। जो कुछ बचा है वह उन्हें दूर से हटाना है। यदि दुर्भावनापूर्ण प्रोग्राम को हटाए जाने से सुरक्षित नहीं किया गया है, तो इसे निम्नलिखित AVZ स्क्रिप्ट का उपयोग करके नष्ट किया जा सकता है:

// किसी फ़ाइल को हटाना

DeleteFile('फ़ाइलनाम');

ExecuteSysClean;

यह स्क्रिप्ट एक निर्दिष्ट फ़ाइल (या कई फ़ाइलें, क्योंकि एक स्क्रिप्ट में असीमित संख्या में DeleteFile कमांड हो सकती है) को हटा देती है और फिर स्वचालित रूप से रजिस्ट्री को साफ़ कर देती है। अधिक जटिल मामले में, मैलवेयर खुद को डिलीट होने से बचा सकता है (उदाहरण के लिए, अपनी फ़ाइलों और रजिस्ट्री कुंजियों को दोबारा बनाकर) या रूटकिट तकनीक का उपयोग करके खुद को छिपा सकता है। इस मामले में, स्क्रिप्ट अधिक जटिल हो जाती है और इस तरह दिखेगी:

// एंटी-रूटकिट

सर्चरूटकिट(सत्य, सत्य);

// AVZGuard को नियंत्रित करें

SetAVZGuardStatus(सही);

// किसी फ़ाइल को हटाना

DeleteFile('फ़ाइलनाम');

// बूटक्लीनर लॉगिंग सक्षम करें

BC_LogFile(GetAVZDirectory + 'boot_clr.log');

// बूटक्लीनर कार्य में स्क्रिप्ट द्वारा हटाई गई फ़ाइलों की एक सूची आयात करें

BC_ImportDeletedList;

// बूटक्लीनर सक्रिय करें

// अनुमानी प्रणाली की सफाई

ExecuteSysClean;

रीबूटविंडोज(सही);

इस स्क्रिप्ट में रूटकिट्स का सक्रिय प्रतिकार, AVZGuard सिस्टम (यह एक मैलवेयर गतिविधि अवरोधक है) और बूटक्लीनर सिस्टम का उपयोग शामिल है। BootCleaner एक ड्राइवर है जो सिस्टम बूट के शुरुआती चरण में रीबूट के दौरान कर्नेलमोड से निर्दिष्ट ऑब्जेक्ट को हटा देता है। अभ्यास से पता चलता है कि ऐसी स्क्रिप्ट मौजूदा मैलवेयर के विशाल बहुमत को नष्ट करने में सक्षम है। अपवाद मैलवेयर है जो प्रत्येक रिबूट के साथ अपनी निष्पादन योग्य फ़ाइलों के नाम बदलता है - इस मामले में, सिस्टम स्कैनिंग के दौरान पाई गई फ़ाइलों का नाम बदला जा सकता है। इस मामले में, आपको अपने कंप्यूटर को मैन्युअल रूप से कीटाणुरहित करने या अपने स्वयं के मैलवेयर हस्ताक्षर बनाने की आवश्यकता होगी (हस्ताक्षर खोज को लागू करने वाली स्क्रिप्ट का एक उदाहरण AVZ सहायता में वर्णित है)।

निष्कर्ष

इस लेख में, हमने एंटीवायरस उत्पादों के उपयोग के बिना, मैन्युअल रूप से LAN महामारी से निपटने के लिए कुछ व्यावहारिक तकनीकों को देखा। वर्णित अधिकांश तकनीकों का उपयोग उपयोगकर्ता कंप्यूटरों पर विदेशी पीसी और ट्रोजन बुकमार्क खोजने के लिए भी किया जा सकता है। यदि आपको मैलवेयर ढूंढने या उपचार स्क्रिप्ट बनाने में कोई कठिनाई हो रही है, तो व्यवस्थापक फ़ोरम http://virusinfo.info के "सहायता" अनुभाग या फ़ोरम http://forum.kaspersky.com के "फाइटिंग वायरस" अनुभाग का उपयोग कर सकता है। /index.php?showforum= 18. प्रोटोकॉल का अध्ययन और उपचार में सहायता दोनों मंचों पर निःशुल्क की जाती है, पीसी विश्लेषण एवीजेड प्रोटोकॉल के अनुसार किया जाता है, और ज्यादातर मामलों में उपचार इन मंचों के अनुभवी विशेषज्ञों द्वारा संकलित संक्रमित पीसी पर एवीजेड स्क्रिप्ट निष्पादित करने के लिए आता है। .

सुरक्षा स्कैनर: नेटवर्क कमजोरियों का पता लगाता है, अपडेट और पैच का प्रबंधन करता है, समस्याओं को स्वचालित रूप से ठीक करता है, सॉफ्टवेयर और हार्डवेयर का ऑडिट करता है।जीएफआई नेटवर्क सुरक्षा">नेटवर्क सुरक्षा 2080

नेटवर्क सुरक्षा स्कैनर और केंद्रीकृत अद्यतन प्रबंधन

GFI LanGuard एक आभासी सुरक्षा सलाहकार के रूप में काम करता है:

— Windows®, Mac OS® और Linux® के लिए अपडेट प्रबंधित करता है

- कंप्यूटर पर कमजोरियों का पता लगाता है और मोबाइल उपकरणों

- ऑडिट आयोजित करता है नेटवर्क उपकरणऔर सॉफ्टवेयर

GFI Languard किसी भी आकार के नेटवर्क के लिए एक सुरक्षा स्कैनर है: नेटवर्क पोर्ट और भेद्यता स्कैनर, सुरक्षा स्कैनर, स्वचालित रूप से नेटवर्क में छेद ढूंढता है

GFI Languard किसी भी आकार के नेटवर्क के लिए एक सुरक्षा स्कैनर है: नेटवर्क पोर्ट और भेद्यता स्कैनर, सुरक्षा स्कैनर, स्वचालित रूप से नेटवर्क में छेद ढूंढता है

जीएफआई लैनगार्ड क्या है?

एक भेद्यता स्कैनर से भी अधिक!

GFI LanGuard एक नेटवर्क सुरक्षा स्कैनर है: नेटवर्क कमजोरियों का पता लगाता है, पहचानता है और उन्हें ठीक करता है। पूर्ण पोर्ट स्कैन, आपके नेटवर्क की सुरक्षा के लिए आवश्यक सॉफ़्टवेयर अपडेट की उपलब्धता, और सॉफ़्टवेयर और हार्डवेयर ऑडिटिंग सभी एक ही नियंत्रण कक्ष से संभव हैं।

पोर्ट स्कैनर

कई पूर्व-तैयार स्कैनिंग प्रोफ़ाइल आपको सभी पोर्ट का पूर्ण स्कैन करने की अनुमति देती हैं, साथ ही केवल उन्हीं पोर्ट की तुरंत जांच करती हैं जो आमतौर पर अवांछित और दुर्भावनापूर्ण सॉफ़्टवेयर द्वारा उपयोग किए जाते हैं। GFI LanGuard एक साथ कई होस्ट को स्कैन करता है, जिससे आवश्यक समय काफी कम हो जाता है, और फिर व्यस्त पोर्ट पर पाए जाने वाले सॉफ़्टवेयर की तुलना अपेक्षित सॉफ़्टवेयर से करता है।

अद्यतन और पैच

स्थापना से पहले नवीनतम अपडेटआपके नोड्स पूरी तरह से असुरक्षित हैं, क्योंकि यह नवीनतम कमजोरियाँ हैं जो वर्तमान पैच और अपडेट द्वारा कवर की जाती हैं जिनका उपयोग हैकर्स द्वारा आपके नेटवर्क में प्रवेश करने के लिए किया जाता है। ओएस में निर्मित टूल के विपरीत, जीएफआई लैनगार्ड न केवल ओएस की जांच करेगा, बल्कि लोकप्रिय सॉफ़्टवेयर की भी जांच करेगा जिनकी कमजोरियां आमतौर पर हैकिंग के लिए उपयोग की जाती हैं: एडोब एक्रोबैट/रीडर, फ़्लैश प्लेयर, स्काइप, आउटलुक, ब्राउज़र, त्वरित संदेशवाहक।

नोड ऑडिट

GFI LanGuard आपके लिए प्रत्येक कंप्यूटर पर इंस्टॉल किए गए सॉफ़्टवेयर और हार्डवेयर की एक विस्तृत सूची तैयार करेगा, निषिद्ध या गुम प्रोग्रामों के साथ-साथ अनावश्यक कनेक्टेड डिवाइसों का पता लगाएगा। सॉफ़्टवेयर में परिवर्तनों की पहचान करने के लिए एकाधिक स्कैन के परिणामों की तुलना की जा सकती है हार्डवेयर.

नवीनतम ख़तरे की ख़ुफ़िया जानकारी

प्रत्येक स्कैन कमजोरियों पर डेटा अपडेट करने के बाद किया जाता है, जिनकी संख्या GFI LanGuard डेटाबेस में पहले ही 50,000 से अधिक हो चुकी है। खतरे की जानकारी स्वयं सॉफ़्टवेयर विक्रेताओं, साथ ही विश्वसनीय SANS और OVAL सूचियों द्वारा प्रदान की जाती है, इसलिए आप हमेशा नवीनतम खतरों से सुरक्षित रहते हैं, जिनमें हार्टब्लीड, गुप्त, शेलशॉक, पूडल, सैंडवॉर्म और बहुत कुछ शामिल हैं।

स्वचालित सुधार

एक बार जब आप प्रत्येक भेद्यता के विवरण और अतिरिक्त साहित्य के लिंक के साथ एक विस्तृत स्कैन रिपोर्ट प्राप्त कर लेते हैं, तो आप "उपचार" बटन पर एक क्लिक से अधिकांश खतरों को ठीक कर सकते हैं: पोर्ट बंद हो जाएंगे, रजिस्ट्री कुंजियाँ सही हो जाएंगी, पैच इंस्टॉल हो जाएंगे, सॉफ़्टवेयर अपडेट हो जाएगा, निषिद्ध हो जाएगा प्रोग्राम हटा दिए जाएंगे, और गायब प्रोग्राम इंस्टॉल कर दिए जाएंगे.



मित्रों को बताओ
ट्विटर
सैमसंग गेम...
अगला लेख
ये भी पढ़ें
Android के लिए सर्वश्रेष्ठ संगीत प्लेयर
Android के लिए सर्वश्रेष्ठ संगीत प्लेयर
2024-03-13 00:03:49
हब, स्विच और राउटर क्या है?
हब, स्विच और राउटर क्या है?
2024-03-12 00:04:38
JSON संक्षिप्त नाम डिकोडिंग
JSON संक्षिप्त नाम डिकोडिंग
2024-03-11 00:04:21
एक दिलचस्प प्रभाव के साथ jQuery छवि गैलरी
एक दिलचस्प प्रभाव के साथ jQuery छवि गैलरी
2024-03-09 00:04:15