Обзор программ удаленного управления
Каждая программа, предназначенная для работы в сети, ожидает установки соединений, открывая для этого определенные порты узла. Число и тип этих портов полностью определяется самой программой. Сканируя порты какого-то компьютера, можно определить все работающие на нем программы удаленного управления. Остается только удивляться, как много пользователей устанавливают такое программное обеспечение без соответствующих санкций и требуемой поддержки.
В табл. 13.1 перечислены различные программные продукты удаленного управления, а также прослушиваемые порты, используемые этими программами по умолчанию. В этом списке содержатся лишь общие сведения, поскольку многие продукты, как указано в таблице, позволяют использовать для входящих соединений любой свободный порт.
Не забывайте о том, что для использования нужных портов изменить параметры следует как на узле, так и компьютере, с которого устанавливается соединение. Если изменить номер порта только на одном из двух соединяемых компьютеров, в настройках второго все равно останется порт 65301, установленный по умолчанию для соединений TCP. Работая на компьютере под управлением операционной системы Windows, для сканирования портов мы рекомендуем воспользоваться одной из таких замечательных программ, как NetScanTools Pro 2000, SuperScan, NTOScanner, WinScan, ipEye или WUPS, описанных в главе 2. Можно также проверить, как работает программа fscan компании Fundstone, которую можно найти по адресу http://www.foundstone.com. Каждая из этих быстрых, гибких и надежных утилит предназначена для идентификации портов, используемых службами удаленного управления.
Чтобы выполнить сканирование портов с компьютера под управлением системы Linux, всегда можно воспользоваться проверенной программой-сканером nmap (http://www. insecure.org/nmap), с помощью которой поиск требуемого программного обеспечения можно вести по всей подсети, nmap -sS -p 407,799,1494,2000,5631,5800,43188 -n 192.168.10.0/24
Таблица 13.1. Программное обеспечение удаленного управления, обнаруживаемое при сканировании определенных портов
Программа |
TCP |
UDP | Возможность использования альтернативных портов |
Citrix ICA | 1494 | 1494 | Неизвестно |
pcAnywhere | 22,5631,5632,65301 | 22, 5632 | Да1 |
ReachOut | 43188 | Нет | Нет |
Remotely Anywhere | 2000, 2001 | Нет | Да |
Remotely Possible/ControllT | 799, 800 | 800 | Да |
Timbuktu | 407 | 407 | Нет |
VNC | 5800, 5801..., 5900, 5901... | Нет | Да |
Терминальные службы системы Windows | 3389 | Нет | Нет |
Как всегда, для одновременного сканирования нескольких сетей и обнаружения всех систем, от которых можно ждать неприятностей, мы рекомендуем использовать сценарий на языке Perl, который можно найти на Web-узле http://www.hackingexposed.com.