Читать Техника сетевых атак Онлайн и Бесплатно. Библиотека Читка

Содержимое полученного сообщения (механизм получения сообщений на локальный компьютер пользователя рассмотрен в главах «Протокол POP» и «Протокол IMAP4») может выглядеть, например, следующим образом:

· From kpnc@aport.ru Sun Mar 26 17:38:03 2000· Received: from ppp-15.krintel.ru ([195.161.41.239])· by camel.mail.ru with smtp (Exim 3.02 #107)· id 12ZDEd-000Eks-00· for kpnc@aport.ru; Sun, 26 Mar 2000 17:37:59 +0400· Message-Id: «E12ZDEd-000Eks-00@camel.mail.ru»· From: kpnc@aport.ru· Date: Sun, 26 Mar 2000 17:37:59 +0400·· Hello,Sailor!

Ниже будет показано, каким образом злоумышленники находят и используют чужие сервера исходящей почты. Один из способов поиска общедоступных SMTP-серверов заключается в анализе заголовков приходящей корреспонденции. Среди узлов, оставивших свои адреса в поле “Received”, порой встречаются сервера, которые не требуют аутентификации пользователя для отправки писем.

Например, ниже показан заголовок письма, вытащенного автором этой книги из его собственного почтового ящика:

· From irt@chiti.uch.net Wed Mar 22 16:57:03 2000

· Received: from gate.chiti.uch.net ([212.40.40.141])

· by msk2.mail.ru with esmtp (Exim 3.02 #116)

· id 12Xld1-0008jx-00

· for kpnc@aport.ru; Wed, 22 Mar 2000 16:56:59 +0300

· Received: from 13.chiti.uch.net ([192.168.223.13])

· by gate.chiti.uch.net (8.8.8/8.8.8) with SMTP id PAA29678

· for «kpnc@aport.ru»; Wed, 22 Mar 2000 15:51:47 +0200 (EET)

· From: "irt" «irt@chiti.uch.net»

Анализ заголовка позволяет установить, что письмо было отправлено с адреса 13.chiti.uch.net через сервер исходящей почты gate.chiti.uch.net. Если попробовать установить с ним соединение, то результат может выглядеть так:

· 220 gate.chiti.uch.net ESMTP Sendmail 8.8.8/8.8.8; Sun, 26 Mar 2000 16:21:53 +0300 (EEST)

Для проверки возможности пересылки сообщения необходимо послать серверу приглашение, а затем идентифицировать отправителя и получателя письма. Например, это может выглядеть так:

· 220 gate.chiti.uch.net ESMTP Sendmail 8.8.8/8.8.8; Sun, 26 Mar 2000 16:21:53 +0300 (EEST)· HELO kpnc.krintel.ru· 250 gate.chiti.uch.net Hello kpnc.krintel.ru [195.161.41.239], pleased to meet you· MAIL FROM:«kpnc@id.ru»· 250 «kpnc@id.ru»… Sender ok· RCPT TO:«kpnc@aport.ru»· 250 «kpnc@aport.ru»… Recipient ok

Код успешного завершения операции (250) и срока «Recipient ok» свидетельствуют о том, что сервер согласился на пересылку. Остается ввести текст послания и можно отправлять письмо. Спустя какое-то время (обычно не превышающее одной минуты) сообщение должно прийти по назначению. А его заголовок может выглядеть, например, так:

· From kpnc@id.ru Sun Mar 26 17:28:33 2000· Received: from gate.chiti.uch.net ([212.40.40.141])· by camel.mail.ru with esmtp (Exim 3.02 #107)· id 12ZD5a-000Dhm-00· for kpnc@aport.ru; Sun, 26 Mar 2000 17:28:30 +0400· Received: from kpnc.krintel.ru (kpnc.krintel.ru [195.161.41.239])· by gate.chiti.uch.net (8.8.8/8.8.8) with SMTP id QAA02468· for «kpnc@aport.ru»; Sun, 26 Mar 2000 16:22:44 +0300 (EEST)· (envelope-from kpnc@id.ru)· Date: Sun, 26 Mar 2000 16:22:44 +0300 (EEST)· From: kpnc@id.ru· Message-Id: «200003261322.QAA02468@gate.chiti.uch.net»

Жирным шрифтом выделен адрес отправителя, показывая, что он не смог остаться анонимным. Если это оказывается неприемлемо, среди входящих писем своего почтового ящика можно попробовать отыскать такие, в чьих заголовках нет никаких сведений об отправителе, за исключением той информации, которую он пожелал сообщить сам.

Перейти на страницу:

Техника сетевых атак полностью

Поиск

Книга жанров

Похожие книги