Скажем «Стоп!» враждебным программам!
Среди вопросов, на которые часто приходится отвечать специалистам в области безопасности, есть такой: «Если я обнаружил на своей системе открытый порт, означает ли это, что у меня уже появился «троянский конь»?». Всевозможными вариациями на эту тему пестрят списки почтовых рассылок по проблемам безопасности, и на все подобные вопросы неизменно следует один ответ: проследите номер порта до той программы, которая открыла его, и исследуйте эту программу. Процесс трассировки открытого порта до открывшей его программы именуется поиском соответствия. Разумеется, такой ответ предполагает, что пользователь достаточно хорошо разбирается во всем, что касается номеров портов, что у него имеется подходящее средство для получения списка открытых портов и что он может определить, является ли найденная программа опасной. Рассмотрим сначала проблему выявления открытых портов в общих чертах, а затем я представлю 11 средств проверки портов для среды Windows.
Пособие по протоколам TCP/UDP
Чтобы исследовать состояние портов, нужно иметь некоторое представление о протоколе TCP/IP и сетевых соединениях. В настоящее время для организации связи между компьютерами почти повсеместно используется сетевой протокол TCP/IP. Два важнейших транспортных протокола верхнего уровня TCP/IP (Open System Interconnection, OSI, Layer 4) — это TCP и UDP. На один из этих двух протоколов обычно возлагается задача передачи информации, которой обмениваются два компьютера (или два процесса на одной системе). Функцию маршрутизации пакетов от одного компьютера к другому как TCP, так и UDP препоручают протоколу IP низшего уровня. Среди прочих данных заголовок IP-пакета содержит исходный IP-адрес, а также IP-адрес назначения (или, когда это необходимо, групповые либо широковещательные адреса) двух компьютеров, а также номер протокола (скажем, 6 для TCP и 17 для UDP). Протокол нижнего уровня — IP — осуществляет маршрутизацию пакета по логической сети от исходного устройства к устройству-получателю. Когда пакет прибывает в пункт назначения, ассоциированный с сетевой интерфейсной платой стек IP удаляет кадр пакета IP и исследует протокол верхнего уровня (т. е. TCP или UDP). О различиях между протоколами TCP и UDP рассказано во врезке «UDP и TCP».
О портах
Пакеты TCP и UDP содержат номера исходного порта и порта назначения. Порт — это точка ввода/вывода, связывающая сеть с приложением (или со службой либо демоном). Порты имеют номера от 0 до 65535. Такая схема нумерации выбрана потому, что в заголовках пакетов TCP и UDP на номера исходных портов и портов назначения выделяется 16 (216) разрядов (216 соответствует 65336 возможным номерам портов). Нумерация точек ввода/вывода — удобный способ, позволяющий как компьютерам, так и пользователям следить за тем, какой порт какой программе принадлежит.
Еще на заре эпохи Internet организация Internet Assigned Numbers Authority (IANA), ответственная за распределение номеров, решила зарезервировать первые 1024 номера портов (т. е. номера от 0 до 1023) для направляющих запросы объектов. IANA назначает эти так называемые хорошо известные номера портов (некоторые типичные хорошо известные номера портов приведены в табл. 1). Хотя почти все списки хорошо известных номеров портов ныне устарели и уже не являются на 100% точными, популярные номера портов для наиболее широко распространенных служб и протоколов остаются неизменными на протяжении более 10 лет.
Номера портов от 1024 до 49151 называются зарегистрированными номерами портов, а порты от 49152 до 65535 именуются динамическими или частными номерами портов. На практике порты от 1024 до 65535 генерируются динамически, и ими может пользоваться любая прикладная программа. Когда запускается какая-либо прикладная программа или служба, она обычно выясняет, можно ли использовать тот или иной номер порта, и если номер еще не занят, эта программа либо служба открывает данный порт. Номера портов, открываемых приложением, могут всегда быть одними и теми же, но могут и генерироваться произвольно. Чем популярнее приложение, тем выше вероятность того, что разработчики программных средств для Internet дадут этой программе возможность пользоваться эксклюзивным номером порта. В табл. 2 приводятся некоторые номера портов для популярных приложений, а табл. 3 содержит список типичных номеров портов для Windows.
Пример коммуникации
Важно понимать, что порт происхождения и порт назначения — это не одно и то же. В большинстве случаев, когда администратор анализирует трафик порта, его интересуют номера портов назначения. Порт назначения — это обычно хорошо известный порт, тогда как порты происхождения (иначе говоря, исходные порты) могут иметь произвольно сгенерированные номера свыше 1023. На практике, однако, произвольные номера генерируются обычно в диапазоне от 1024 до 3000. Так, когда пользователь с помощью браузера Microsoft Internet Explorer (IE) соединяется с Web-сайтом, порт назначения имеет номер 80, тогда как номер порта происхождения является случайно сгенерированным числом. На рисунке представлен демонстрационный сеанс, который был начат, когда мой браузер установил связь с узлом http://www.secadministrator.com. IP-адрес назначения — 63.88.172.127, а номер порта — TCP 80. IP-адрес системы происхождения — 192.168.168.160, а номер порта — TCP 2335.
Частный IP-адрес 192.168.168.160 указан потому, что мой компьютер расположен за брандмауэром, который соединяет его с Internet с присвоением общедоступного IP-адреса. При каждом установленном посредством браузера соединении или обновлении генерируется новый (обычно выраженный имеющим большее значение числом) номер исходного порта. Кроме того, поскольку на Web-странице могут быть встроенные ссылки и рекламные объявления, размещенные на других Web-сайтах, одна страница браузера может иметь несколько открытых портовых соединений; все они могут указывать на один и тот же IP-адрес или на различные IP-адреса.
Тайна Svchost
Кроме того, Windows 2000 и более поздние версии операционной системы открывают многие другие порты (например, 500 или 123), которые предназначены для службы svchost.exe. Этот генерируемый процесс размещается в папке \%windir%system32. Он запускается всякий раз, когда Windows инициализирует и загружает в память одну или несколько служб, определенных в разделе реестра HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionSvchost.
В процессе выявления открытых портов администраторы часто обнаруживают, что инициатором открытия нескольких отдельных портов является служба svchost.exe. К примеру, сейчас, когда я пишу эту статью, svchost.exe загружена в память моего компьютера четыре раза; она поддерживает службы RPCSS, EventSystem, Netman, NtmsSvc, RasMan, SENS, а также TapiSrv и открыла порты 123, 135, 1025, 1026, 1900 и 5000. В процессе поиска вредоносных программ, возможно, вас будет согревать мысль о том, что порты, связанные с svchost.exe, недоступны для тех, кто замышляет недоброе. Впрочем, разумеется, нельзя исключать возможность внешних атак против этих портов (например, атак, использующих вызовы удаленных процедур, RPC).
Порты «троянских коней»
Мы знаем, что есть программы, использующие хорошо известные порты, и что есть порты, активно применяемые системой Windows. «Троянские» программы тоже часто используют определенные номера портов. К сожалению, счет широко распространенных «троянский коней» идет уже на сотни, так что описать их в одной статье невозможно. Но тем, кто собирается выявлять вредоносные программы с помощью утилиты, выводящей список открытых портов, будет полезно иметь под рукой список портов «троянских коней» на тот случай, если попадутся незнакомые номера портов. Со списком Web-сайтов, где размещаются полные списки портов «троянских коней», можно ознакомиться во врезке «Ресурсы, посвященные портам «троянских коней»».
Поскольку портам свыше 1023 номера официально не назначаются, такие номера могут использоваться любой программой. Чаще всего программы задействуют порты по принципу «первым пришел — первым обслужили». Поэтому, если для новой программы разработчик использует номер порта популярной программы, возможно, эта новая программа не будет функционировать корректно. Две программы могут одновременно пользоваться одним и тем же портом, но если это не предусмотрено в коде, они могут конфликтовать друг с другом. Если два приложения пользуются одним и тем же портом, протоколы TCP и UDP могут «потерять ориентировку» и в сети возникнут проблемы со связью. Однако известно, что некоторые программы, в том числе вредоносные, внедряются в компьютерные системы таким образом, что получают возможность использовать тот или иной порт совместно с другой программой.
Две программы одним и тем же номером порта пользоваться не должны. Порт 80 — важное исключение из этого правила. В большинстве брандмауэров данный порт открыт; это необходимо для того, чтобы клиенты могли исследовать ресурсы Web. Многие программы направляют свой трафик через порт 80 с тем, чтобы обойти экраны сетевой защиты. Так, программы мгновенного обмена сообщениями часто автоматически направляют свой трафик на порт 80 (с использованием протокола HTTP), если их стандартные порты заблокированы. Эти программы могут даже содержать подпрограммы, сканирующие брандмауэры в поисках открытых портов для исходящего трафика, которые они могут использовать.
Netstat
Во всех версиях Windows, начиная с Windows 95 (и включая Windows 3.11 с дополнительным модулем Microsoft TCP/IP32), имеется добротная утилита TCP/IP, именуемая Netstat. Она была разработана (как для Windows, так и для UNIX) еще в начале эпохи Internet. С помощью Netstat можно определить, какие порты UDP и TCP открыты и активны. Более подробные сведения о Netstat читатели могут получить из врезки «Искусство интерпретации Netstat». В системах Windows Server 2003 и Windows XP предусмотрена возможность с помощью утилиты Netstat просмотреть список открытых портов и связанных с ними программ.
|
| Сессия TCP |
Чтобы активизировать Netstat, нужно открыть окно командной строки, для чего следует открыть меню Start и выбрать пункт Run. В окне командной строки нужно ввести команду
cmd
и нажать клавишу Enter. Чтобы получить список параметров Netstat, можно использовать команду Nestat -?, но для целей настоящей статьи мы введем команду
netstat -ano
где параметр -a отображает активные соединения, параметр -n показывает соединения с IP-адресами и номерами портов вместо имен, а параметр -o отображает идентификатор процесса (PID) приложения, владеющего данным портом.
Если параметр -n не использовать, система выдаст имена доменов компьютеров, к которым она подключена. Команда Netstat -ao обеспечивает замену номеров портов именами их обычных приложений или служб, но эта функция не всегда выполняется точно (например, всем видам трафика, использующим порт 80, присваивается имя HTTP, даже если контент трафика содержит элементы, не имеющие к HTTP никакого отношения). Кроме того, Nestat -ao меняет все локальные IP-адреса на NetBIOS-имена соответствующих локальных систем. Без параметра -n невозможно определить, с помощью какого интерфейса программа в данный момент ведет «прослушивание». Netstat -ao следует запускать лишь в тех случаях, когда необходимо знать имя удаленного компьютера (например, www.yahoo.com). Если на системе установлена более ранняя, чем XP, версия Windows, параметр -o не будет выполнять своей функции, и определить, какими программами какие порты используются, с помощью Netstat не удастся.
|
| Экран 1. Вывод команды Netstat -ano |
На экране 1 показаны результаты выполнения команды Netstat -ano, как они были отображены моим компьютером. Команда выдает пять колонок данных. В первой колонке перечислены все сетевые протоколы, отображающие вначале все TCP-соединения. Во второй колонке указаны локальный IP-адрес и номер порта соответствующего соединения. В третьей колонке перечислены IP-адреса и номера портов назначения. Если номер порта еще не определен, в колонке ставится звездочка (*). В четвертой колонке обозначены состояния портов TCP. Состояния ESTABLISHED, LISTENING и SYN_SENT означают открытые и активные сеансы, все остальные состояния к этим категориям не относятся. Для портов UDP состояния не перечисляются, поскольку протокол UDP не предусматривает сохранения данных о состоянии. В табл. 4 показаны различные состояния Netstat (сервером в таблице именуется локальная программа или служба, владеющая портом).
В пятой колонке данных, предоставляемых утилитой Netstat, приводятся идентификаторы PID процессов, открывших соответствующий порт. Можно связать данную информацию с определенной программой или службой при помощи диспетчера Task Manager. Тем, кому еще не доводилось исследовать идентификаторы PID с помощью Task Manager, хочу напомнить, что в окне Task Manager необходимо создать дополнительную колонку PID. Для этого нужно нажать комбинацию клавиш Ctrl+Alt+Del; на экране появится окно Task Manager. Следует перейти на закладку Task Manager Processes, затем щелкнуть на View и Select Columns. Выбрав переключатель нужного идентификатора процесса PID, нажмите OK. Теперь диспетчер Task Manager отобразит идентификатор PID рядом с названием владеющей портом программы (Image Name), как показано на экране 2. Чтобы установить соответствие между идентификаторами процессов и их именами, можно переключаться между экраном Netstat и окном Task Manager.
|
| Экран 2. Идентификаторы процессов PID в менеджере задач |
Netstat -ano — неплохая утилита для вывода списка открытых портов, но у нее есть несколько недостатков. Она функционирует только на системах Windows 2003 и Windows XP, а если пользователь хочет установить соответствие портов с программами, он должен переключаться между двумя экранами. На системах, где открыто множество портов, Netstat может иметь исключительно низкое быстродействие, а по точности она уступает некоторым конкурентам. Netstat — это утилита командной строки, она не оснащена удобным для пользователя графическим интерфейсом и не предоставляет данные в реальном времени. Этот инструмент следует запускать всякий раз, когда необходимо обновить сведения о том или ином порте. Наконец, Netstat не отображает удаленных IP-адресов и номеров портов (иначе именуемых конечными точками), подключенных к активным портам UDP.
Все эти проблемы побуждают многих пользователей обращаться к отображающим списки открытых портов утилитам от независимых поставщиков. Перейдем к рассмотрению изделий этой категории. Далее я отмечу несколько наиболее интересных из них и упомяну утилиты, которые не заслуживают внимания.
Утилиты для исследования открытых портов от независимых компаний
Существует множество бесплатно распространяемых и коммерческих средств, среди которых есть как утилиты командной строки, так и профессионально оформленные инструменты с графическим интерфейсом пользователя. Я протестировал 10 таких программ на системе Windows 2000 Professional. На компьютере был представлен стандартный набор служб и портов (конкретно речь идет о портах 135, 137, 138, 139, 445 и 500), характерный для только что введенной в строй системы.
Я решил перенять тактику «троянских коней», которые используют в своих именах не выводимые на печать символы (чтобы не попасть в листинги открытых портов), и приложил максимум усилий для того, чтобы сделать невидимым имя службы Telnet Server. Используя такой трюк, злоумышленники надеются, что администраторы, занятые исследованием длинных списков процессов, увидят пустое пространство и не станут выяснять, что за этим кроется. Чтобы убрать службы Telnet Server «с глаз долой», мне пришлось основательно потрудиться. Сначала с помощью ряда шестнадцатеричных символов ASCII (ASCII 32h — это символ пробела) я дал файлу tlntsvr.exe имя .exe. Затем я внес изменения в реестр, чтобы при инициализации Windows вместо обычного файла с именем службы запускался файл с новым именем.
Кроме того, я запустил два широко известных «троянских коня» — Back Orifice 2000 (BO2K) и NetBus с целью создания враждебных открытых портов. Я хотел выяснить, сочтут ли утилиты подозрительными упомянутых «троянцев» — и это сделала по меньшей мере одна из программ (Port Explorer). Я внимательно следил за тем, чтобы в ходе испытаний были запущены одни и те же приложения и процессы. В целом у меня выполнялось 14 активных процессов TCP и 7 процессов UDP. Затем я запускал тестируемые продукты и проводил испытания.
Active Network Monitor
Созданная специалистами фирмы SmartLine утилита Active Network Monitor — это простое и весьма эффективное средство проверки портов. Ее установка выполняется без каких-либо затруднений и не требует перезагрузки системы. Главное окно оснащено небольшим числом функций, зато изделие отличается стабильностью работы и эффективностью. Active Network Monitor предоставляет пользователю основную информацию: идентификаторы PID, локальные и удаленные IP-адреса и порты, протоколы, а также имена программ, включая маршруты доступа. Утилита может экспортировать список процессов во внешний файл .txt ил .csv с разделителями в виде запятых или знаков табуляции. Чтобы привлечь внимание к новым видам использования портов, утилита выделяет изменения в состоянии с помощью цветных маркеров. Active Network Monitor дает возможность прекращать процессы. Немного раздражает применяющаяся по умолчанию настройка Always on Top («Всегда показывать поверх других окон»). Разумеется, ее легко изменить, но вообще такой режим мешает работать.
Port Traffic Analyzer
Когда-то утилита Port Traffic Analyzer от компании Atelier Web (цена 32,50 долл.) была одним из моих любимых инструментов. Она входила в число первых графических утилит для поиска открытых портов. Ее было легко устанавливать и эксплуатировать. К сожалению, когда я устанавливал текущую версию на тестовой системе, программа Port Traffic Analyzer не сумела зафиксировать какую-либо активность портов, хотя процесс установки, судя по всему, прошел гладко. Я несколько раз удалял эту утилиту и устанавливал ее снова, я пробовал перезагружать систему — все напрасно. На Web-узле компании Atelier в первой — и самой объемной — части раздела, посвященного часто задаваемым вопросам, документируются проблемы установки. Похоже, что у большинства пользователей проблемы возникают потому, что для сбора информации в рассматриваемой утилите используется предложенный Microsoft API Layer Service Provider (LSP). Техническая поддержка предоставляется только через Web, но вы можете быстро получить ответ. Как ни восхищал меня этот продукт в прошлом, сейчас мне трудно рекомендовать его из-за постоянных проблем, связанных с установкой.
Fport
Бесплатно распространяемую программу Fport компании Foundstone, пожалуй, можно считать наиболее часто рекомендуемой в масштабах всей отрасли утилитой командной строки, предназначенной для проверки портов. Это надежное и компактное изделие, которое к тому же быстро устанавливается. Fport генерирует списки идентификаторов PID, имен процессов, номеров локальных портов, протоколов, исполняемых модулей процессов и маршрутов доступа. Но хотя многие до небес превозносят эту утилиту, надо сказать, что в ней не хватает некоторых важных функций. Так, она не способна генерировать списки локальных IP-адресов, не отображает удаленных IP-адресов и номеров портов и не отражает состояния или происходящие в данный момент процессы. С удаленного компьютера я подключился к своей машине через зараженный «троянцем» BO2K-клиент, а программа Fport при этом не отметила каких-либо изменений. Мне и раньше доводилось быть свидетелем того, как Fport пропускает определенные открытые порты. Когда-то Fport был для меня достойным дополнительным средством, но, познакомившись с некоторыми продуктами-конкурентами, я пришел к выводу, что в дальнейшем в своих изысканиях я, скорее всего, буду пользоваться другим инструментом.
Inzider
Самая примечательная особенность бесплатно распространяемой компанией NTSecurity.nu программы Inzider — это простая процедура удаления. У меня начались проблемы в тот момент, когда я активизировал эту утилиту. Интерфейс показался мне графической вариацией на тему окна командной строки DOS. Когда я запустил программу на выполнение, быстродействие системы тут же снизилось, и я подумал, уж не зависла ли она. Однако спустя несколько минут программа Inzider начала отображать на экране перечень процессов. К сожалению, первый процесс в этом списке не имел открытого сетевого порта; приводились только идентификатор PID, имя процесса и путь доступа. Может быть, утилита должна была представить номер порта или IP-адрес спустя какое-то время, но мне так и не довелось увидеть их. По прошествии пяти минут Inzider отобразил только два процесса, и я прервал его выполнение.
Очевидно, такая медлительность связана с тем уникальным способом, с помощью которого Inzider составляет перечень процессов, — этот метод называется DLL injection. Неудивительно, что данный прием не используется ни в одном другом средстве проверки портов. Ведь даже сами разработчики утилиты Inzider отмечают в документации, что программа функционирует нестабильно. Кроме того, они признают, что Inzider не обеспечивает проверку процессов, которые инициировались как службы. Иными словами, получается, что это решение мало что дает.
Net-Scope
Net-Scope, разработка фирмы Delta Design UK, — еще один аутсайдер. В ходе испытаний она включала в перечень множество процессов, которые не являлись программами с сетевыми соединениями. Это средство пропустило несколько открывающих порты программ, ошибочно регистрировало программы, которые портов не открывали, и допускало неточности в сообщениях об использовании портов. К примеру, хотя в процессе тестирования утилита Net-Scope включила IE в число программ, имеющих открытые порты, в качестве как исходного, так и целевого IP-адреса она назвала адрес 127.0.0.1. При установлении соединения IE с сервером http://www.google.com программа не отобразила ни активного соединения, ни удаленного IP-адреса. Без дополнительных манипуляций графический интерфейс утилиты мало что отображает. Чтобы получить подробную информацию о том или ином процессе, необходимо выполнить на значке этого процесса двойной щелчок и подождать, пока в нижней части экрана будут выведены результаты. Часто правильные результаты так и не появляются. Бесплатная демонстрационная версия дает право воспользоваться программой 15 раз, но дело в том, что одним сеансом считается каждое обновление экрана, так что отведенные мне возможности бесплатного использования утилиты были исчерпаны очень быстро.
Port Explorer
Вне всякого сомнения, поставляемое фирмой Diamond Computer Systems (DiamondCS) средство проверки портов Port Explorer (цена 40 долл.) является лучшим из продуктов, представленных в данном обзоре. Оно наделено прекрасно разработанным пользовательским интерфейсом, отличается легкостью в установке, высокой стабильностью, предоставляет большой объем полезной информации (в которой пользователь может без особых усилий найти нужные сведения), поставляется с набором тестовых инструментов и обеспечивает выделение цветом подозрительных программ. Если Port Explorer находит странности в поведении той или иной программы, ее порт помечается красным цветом. В ходе испытаний изделие выделило цветом порты обоих «троянских коней» — как BO2K, так и NetBus. Когда Port Explorer активизируется в первый раз после установки, открывается справочный файл программы, что явно следует отнести к числу ее достоинств. Это единственное средство проверки портов, имеющее собственную дискуссионную доску. Похоже, что его разработчики полны решимости превратить Port Explorer в лучший продукт в своем классе.
По-видимому, для отслеживания и идентификации процессов Port Explorer использует не менее пяти отдельных методов — SNMP, LSP, недокументированный прием Transport Driver Interface (TDI), а также документированные и недокументированные методы IPHelper. На моих тестах утилита Port Explorer показала себя как самое точное инструментальное средство и была одним из двух средств проверки портов, которые отображали удаленные IP-адреса и соединения UDP как на экране, так и в журнале.
Port Explorer обеспечивает обновление информации о трафике на портах в реальном времени, но программу можно настроить и таким образом, что обновления будут приостановлены и представление данных станет статическим. Кроме того, надо отметить, что данное средство записывает сведения обо всем, что происходит, в локальный файл, который пользователь может просматривать с помощью графического интерфейса. Я подвергал Port Explorer серьезным нагрузкам, которых обычно бывало достаточно для того, чтобы заставить Netstat работать черепашьими темпами или вовсе останавливаться, но Port Explorer сразу после запуска без промедления отображал данные по каждому порту.
Графический интерфейс и функции Port Explorer допускают возможность настройки. В зависимости от желания пользователя утилита может отображать имя файла или полный маршрут доступа к файлу программы, владеющей данным портом. Последняя возможность очень удобна в тех случаях, когда приходится «выкуривать» неуловимую программу. В главном окне имеется несколько столбцов с данными, которые можно сортировать щелчком мыши на верхней строке столбца сортировки; кроме того, колонки можно перетаскивать мышью на различные участки экрана, не прерывая работы программы. Переходя на ту или иную из закладок, расположенных в верхней части основного экрана, пользователь может выбрать один из нескольких методов просмотра. Имеется возможность настройки цветов, частоты регенерации изображения и даже выбора языка. Port Explorer может представлять информацию на восьми языках; если не считать Netstat, это единственная утилита для поиска открытых портов, оснащенная такими средствами. Кроме того, программа может отображать статистические данные сети.
В состав пакета Port Explorer входит несколько диагностических и тестовых утилит, облегчающих поиск удаленного компьютера. В их число входят Ping, Lookup, Whois, Traceroute и даже анализатор пакетов под названием Socket Spy. Вводя с клавиатуры соответствующие идентификаторы PID, пользователь может дать анализатору Socket Spy команду перехватывать информацию из пакетов локальных программ. К тому же можно прекращать любой процесс, распознаваемый Port Explorer. Вне всякого сомнения, Port Explorer — это самое производительное, самое стабильное и самое впечатляющее из протестированных мною средств для поиска открытых портов.
OpenPorts
Фирма DiamondCS недавно выпустила утилиту командной строки OpenPorts, которой могут бесплатно пользоваться владельцы домашних компьютеров и пользователи из сферы образования. Принцип действия данного инструмента такой же, как и у программы FPort; более того, в окне командной строки пользователь может ввести команду fport, и тогда утилита начнет отображать данные в том же представлении, что и Fport. Кроме того, формат представления данных OpenPorts можно менять с помощью ключа -netstat. Любопытно, что в стандартном режиме функционирования OpenPOrts при перечислении портов сортирует их по именам процессов — очень удобная возможность, позволяющая видеть все порты (TCP и UDP), ассоциированные с той или иной программой. Чтобы понять, насколько полезна эта функция, достаточно представить ситуацию, когда браузер устанавливает соединение с Web-узлом, который содержит ссылки на 15 других узлов, и каждый из них открывает свой порт. Программа OpenPOrts выдает имя процесса (но не путь доступа к нему), локальный IP-адрес и номер порта, удаленный IP-адрес и номер порта, а также сведения о состоянии. Кроме того, это средство может экспортировать данные в файлы трех форматов. И поскольку OpenPorts предъявляет данные об удаленных IP-адресах, номерах удаленных портов и о состоянии, эта бесплатно распространяемая утилита по эффективности превосходит изделие Fport.
Socket Port Owner
Поставляемая фирмой Fly Ya Software программа Socket Port Owner (цена 14,99 долл.) предоставляет чуть больше информации, нежели Fport. Незатейливый графический интерфейс этого продукта напоминает мне главное окно Active Network Monitor. Утилита Socket Port Owner отображает сведения об идентификаторах PID, о пути к исполняемому модулю, локальных и удаленных IP-адресах и портах, а также о протоколах. В интерфейсе имеется колонка Remote Location, в которой программа, как ни странно, ошибочно идентифицировала мой частный IP-адрес как расположенный в Голландии (впрочем, возможно, что эта ошибка характерна только для демонстрационной версии). Другая колонка, Listen, содержит лишь два значения, yes или no, что трудно назвать наилучшим вариантом представления информации о состоянии. Наконец, Socket Port Owner не имеет справочного файла.
TCPView
Утилита TCPView компании Sysinternals (распространяется бесплатно) —«спартанское» изделие без каких-либо излишеств. Оно спроектировано в виде одного исполнимого модуля. Графический интерфейс утилиты в реальном времени предоставляет необходимые сведения, причем отображает их там, где пользователю нужно их увидеть. Программа приводит имя процесса, его идентификатор, протокол, локальный и удаленный IP-адреса, а также номера портов и данные о состоянии. Щелкнув на значке соединения процесса, пользователь может получить полный путь доступа к месту его выполнения и принять меры для прекращения этого процесса. Чтобы пользователю было удобнее отслеживать новые события, программа выделяет их цветом.
Бесплатное изделие, способное обеспечить базовые функции, — казалось бы, что может быть лучше? Но должен сказать, что в ходе испытаний программа TCPView в среде NT Server 4.0 не всегда выполнялась стабильно. Так, когда я пытался сохранить результаты экрана в текстовом файле, она исчезала или «зависала». Кроме того, с аналогичными проблемами я сталкивался и в прошлом. Бывало, что при установке TCPView на рабочих станциях NT 4.0 отмечались явления нестабильности: в частности, сразу же после первой перезагрузки возникали проблемы с «голубым экраном». Однако на современных платформах Windows программа функционирует стабильно. Sysinternals и Wininternals Software выпустили большое число высококачественных бесплатно распространяемых и коммерческих пакетов, но если кто-то решит использовать рассматриваемую утилиту в среде Windows NT, придется делать это на свой страх и риск.
Приступая к подготовке статьи, я намеревался написать рецензию на программу TCPView Pro, наделенную более богатым набором функций и являющуюся коммерческой «кузиной» утилиты TCPView. Но оценочная версия этого продукта так и не была размещена на Web-узле компании. Похоже, что TCPView Pro можно получить лишь в составе пакета Administrator?s Pak (т. е. в числе комплекта из пяти утилит).
X-NetStat Professional 4.0
Разработанная специалистами Fresh Software программа X-NetStat Professional 4.0 (цена 20 долл.) устанавливается быстро и легко, но у нее неудобный графический интерфейс. Трудно определить, как добраться до нужной информации. В верхней части экрана содержится список соединений, а также локальные и удаленные адреса, локальные и удаленные порт, протокол и состояние (которое создатели программы обозначают с помощью термина Status). В нижней части экрана — несколько окон; каждое из них содержит открытый порт (в одних случаях это порт UDP, в других — TCP). Чтобы получить общую информацию о том, какая программа пользуется данным портом, нужно щелкнуть на одном из этих окон правой кнопкой мыши и в раскрывшемся меню выбрать пункт Port Information. В целом надо сказать, что программа содержит много ошибок и пользоваться ею неудобно. Единственное преимущество состоит в том, что X-NetStat Professional 4.0 обеспечивает захват заголовков пакетов по портам, что, как оказалось, иногда может быть полезным при идентификации портов.
На Web-узле фирмы Fresh Software я нашел объявление о выпуске в ноябре 2002 года версии продукта 5.0, но эта версия так и не появилась. Зато сайт буквально забросал меня целой грудой всплывающих рекламных объявлений. Я полагаю, что фирма прекратила работу над этим продуктом и пытается извлечь прибыль из других направлений своей деятельности.
Лучшие
Когда занимаешься поиском программ, способных нанести системе ущерб, полезно иметь под рукой список открытых TCP/IP-портов, а также открывших их программ или служб. Возможности утилиты Netstat ограничены, но она устанавливается вместе с каждой версией Windows, поэтому данным инструментом всегда можно воспользоваться в процессе поиска причины неполадок. К сожалению, он не облегчает решения проблемы установления соответствия между открытым портом и исходной программой. И все же в случае необходимости операторы компьютеров Windows 2003 и Windows XP могут воспользоваться командой Netstat-ano — данные, полученные с ее помощью, можно сравнить со списком идентификаторов PID диспетчера Task Manager. Но тем, кто работает на других платформах Windows, придется подыскивать альтернативные решения. Если говорить о продуктах, представленных в нашем сравнительном обзоре, самым сильным претендентом является фирма DiamondCS и ее программы — продукт на базе графический интерфейс Port Explorer и утилита командной строки OpenPorts. Изделие TCPView компании Sysinternals — претендент номер два, но только для тех, кто может избежать проблем со стабильностью, с которыми я столкнулся, работая на платформе Windows NT. Среди утилит командной строки альтернативой OpenPorts является разработанная компанией Foundstone программа Fport. Но те, кто профессионально занимается проблемами сетевой безопасности или администрированием систем, непременно должны иметь у себя копию программы Port Explorer.
Роджер Граймз — консультант по антивирусной защите. Имеет сертификаты CPA, MCSE, CNE, A+ и является автором книги «Malicious Mobile Code: Virus Protection for Windows» (изд-во O?Reilly & Associates). Его адрес: roger@rogeragrimes.com
UDP и TCP
Почти все программы используют для связи один из двух протоколов — UDP или TCP. Протокол TCP — более эффективный инструмент. Он ориентирован на соединения и обеспечивает надежную передачу данных. Прежде всего, TCP следит за тем, чтобы получающий данные компьютер был готов к их приему. Протокол проводит предусматривающий передачу трех пакетов сеанс согласования, в ходе которого отправитель и получатель договариваются о том, что они готовы к обмену данными. Для этого в состав пакета TCP вводятся флаги состояния; с их помощью узлы обмениваются данными о текущем состоянии передачи (начало, завершение, продолжение). Трафик TCP предусматривает сохранение данных о состоянии. Далее TCP следит за тем, чтобы данные попали в пункт назначения. Если получатель не подтверждает прием того или иного пакета, протокол TCP автоматически возобновляет его передачу — обычно это повторяется три раза. При необходимости TCP разделяет крупные пакеты на пакеты меньших размеров, так чтобы обмен информацией между отправителем и получателем происходил без риска потери данных. TCP отбрасывает пакеты-дубликаты и восстанавливает очередность пакетов, прибывающих не в свою очередь.
Протокол UDP не ориентирован на соединения. Он больше подходит для передачи пакетов ограниченной емкости. UDP не наделен механизмом самопроверки, который подтверждал бы получение данных или следил бы за тем, чтобы они приходили в том же порядке, в каком были посланы. Однако такую проверку часто осуществляет использующее UDP приложение; оно же может направить компьютеру-отправителю запрос на повторную передачу утерянной информации. Кроме того, рассматриваемый протокол не предусматривает сохранение данных о состоянии; следовательно, UDP не проводит сеанса согласования, а пакеты UDP не имеют флагов состояния.
Некоторые программы задействуют оба протокола — и UDP, и TCP. Так, сервер RealAudio фирмы RealNetworks использует порт TCP 7070 с целью инициализации соединения для последующей загрузки данных для клиента RealAudio Player. После установления связи сервер RealAudio передает поток данных через порты UDP от 6980 до 7170. Другой пример: для обмена данными между DNS-серверами Microsoft DNS использует порт UDP 53. Если один сервер DNS определяет, что и другой сервер DNS также является сервером Microsoft DNS, он может принять решение о переключении сетевого соединения на порт 53 TCP, чтобы иметь возможность передавать более значительные объемы данных об именах в домене.
Искусство интерпретации Netstat
Читать распределенные по пяти колонкам показания Netstat — это в некотором роде искусство. Прежде всего следует обратить внимание на колонку Local Address. Как правило, в ней будут отображаться данные типа 0.0.0.0 или 127.0.0.1, а может быть, IP-адрес одного из физических сетевых интерфейсов (скажем, сетевой интерфейсной платы или модема). Если данное приложение связано с 0.0.0.0, программа готова принимать соединения с любого интерфейса. Если приложение привязано к конкретному IP-адресу, программа намерена принимать соединения с этим портом только от данного локального интерфейса. Адрес 127.0.0.1 — это адрес локальной кольцевой проверки; т. е. данное приложение будет принимать соединения, инициированные лишь конкретным компьютером. Адрес 127.0.0.1 часто используется при обмене данными в процессе удаленного вызова процедур между процессами и при соединениях с PDA. Как правило, соединения 127.0.0.1 являются безопасными, так как вредоносные программы никогда не открывают для себя только локальное соединение. Поэтому следует обратить внимание на оставшиеся соединения.
На следующем этапе администраторы, как правило, обращаются к исследованию состояния. Сеансы связи в режиме Listening mode не должны иметь ассоциированных с ними удаленных IP-адресов, а сеансы в режиме Established mode (или в другом активном состоянии), напротив, должны иметь такие адреса. Обычно удаленный IP-адрес — это 127.0.0.1 или адрес какого-либо внешнего компьютера. Опять-таки соединение 127.0.0.1 можно оставить без внимания, но следует сосредоточиться на анализе активных сеансов с удаленными IP-адресами. Есть ли среди них адреса, которые показались вам необычными? Если да, то необходимо сопоставить сеанс с его идентификатором процесса PID и исследовать эту программу. Нужно отметить номер удаленного порта назначения и попытаться привязать его к хорошо известному протоколу (например, HTTP).
В поисках вредоносных программ рекомендую обращать особое внимание на следующие порты: необъяснимые соединения Established с удаленными Internet-адресами, неизвестные порты TCP в режиме Listening mode и неизвестные порты UDP. Многие порты UDP имеют «дублирующую» запись в режиме TCP Listening mode, потому что открывающее порт приложение может, в зависимости от ситуации, использовать любой из протоколов UDP или TCP. Если порт UDP не имеет соответствующей записи в TCP, нужно исследовать его. Если же порт UDP имеет дублирующую запись TCP, можно сделать главным объектом своего исследования порт TCP.
Ресурсы, посвященные портам «троянских коней»
Списки портов, в которые могут попадать «троянские кони», полезно иметь под рукой в ситуациях, когда внезапно обнаруживаются открытые порты. Такие списки можно найти по следующим адресам:
SANS (http://www.sans.org/resources/idfag/oddports.php )
G-Lock Software (http://www.glocksoft.com/trojan_port.html)
Simovits Consulting (http://www.simovits.com/sve/nyhetsarkiv/1999/ nyheter9902.html)
Doshelp.com (http://www.doshelp.com/trojanports/html)