2006.06_Application Mapping.pdf

Application Mapping

Teoria

Marc Ruef

stopień trudności

Za pomocą skanowania portów można poznać usługi oferowane

przez system. Chcąc dowiedzieć się jaka usługa kryje się

za danym portem, można skorzystać z techniki Application

Mapping (pol. odwzorowywanie aplikacji), która identyikuje

rodzaj i protokół badanej usługi. W niniejszym artykule opiszemy

sposoby użycia i ochrony przed Application Mapping.

ważną część analizy bezpieczeństwa

sieci. Proces rozpoznawania udostęp-

nianej usługi i używanego przez nią protoko-

łu aplikacji jest jednak często powierzchowny.

Application Mapping udostępnia metodę peł-

nego, szybkiego i efektywnego pozyskiwania

tych informacji.

Prawdziwie klasyczną dyscypliną bezpie-

czeństwa komputerowego jest skanowanie

portów. Dzięki zautomatyzowanym próbom po-

łączeń oraz ocenie reakcji systemu docelowe-

go można określić statystyki portu. Wiele ła-

twych w obsłudze i od lat doskonalonych na-

rzędzi – np. nmap lub SuperScan – sprawia, że

czynność ta jest efektywna i łatwa [Ruef 1999,

Ruef et al. 2002, McClure et al. 2005]. W przy-

padku sieciowych ataków oraz tych na apli-

kacje sieciowe, bardzo duże znaczenie mają

wspomniane informacje. Otwarte porty i ofero-

wane przez nie usługi stanowią podstawę ata-

ków – deiniują one w znacznej mierze obszar

hosta narażony na atak.

Często jednak do przeprowadzenia ata-

ku na aplikację sieciową nie wystarcza samo

ustalenie statystyk portu przy pomocy skano-

wania. Bezpośrednio po skanowaniu portu na-

leży określić, jaki protokół aplikacji jest wyko-

rzystywany na danym porcie. Wprawdzie wie-

lu administratorów wciąż przydziela usługom

standardowe porty zalecane przez IANA, jed-

nak nie można zawsze na tym polegać. W wie-

lu przypadkach spotyka się serwery WWW

na portach takich jak 81 lub 8000 zamiast na

oczekiwanym porcie TCP 80. Mogą również

występować warianty egzotyczne, np. 12345 i

55555 [Ruef 2004, 2006].

Z artykułu dowiesz się...

• czym jest Application Mapping i gdzie znajduje

zastosowanie,

• jakie techniki są wykorzystywane,

• jak wygląda automatyzacja przy pomocy na-

rzędzia amap,

• jak zaimplementować własne narzędzie,

• jak utrudnić tego rodzaju identyikację.

Powinieneś wiedzieć...

• czym jest port;

• znać protokół TCP/IP oraz model komunikacji

klient/serwer.

hakin9 Nr 6/2006

www.hakin9.org

A naliza statystyk portu hosta stanowi

Application Mapping

W celu ustalenia użytego pro-

tokołu aplikacji stosuje się technikę

nazywaną ogólnie Application Map-

ping [Ruef 2003]. W zasadzie powin-

na ona nosić nazwę Application Pro-

tocol Mapping ewentualnie Protocol

Mapping, ponieważ celem nie jest

ustalenie właściwej implementacji

aplikacji sieciowej, a jedynie określe-

nie użytego protokołu aplikacji [Pac-

ketwatch 2004]. Nazwa Application

Mapping przyjęła się przede wszyst-

kim dzięki narzędziu amap (Applica-

tion Mapper) umożliwiającemu auto-

matyzację niektórych technik omó-

wionych w dalszej części artykułu.

W przypadku połączeniowych im-

plementacji dostępnych we wszyst-

kich popularnych systemach opera-

cyjnych, można to wykonać wpisując

telnet <host docelowy> <port doce-

lowy> [Ruef 2004, 2006] . Na przy-

kład do nawiązania połączenia z ser-

werem mail.computec.ch na porcie

TCP 25 (smtp) wystarcza wprowa-

dzenie telnet mail.computec.ch 25 .

Po nawiązaniu połączenia na pozio-

mie protokołu TCP na wyjściu przy-

kładowej sesji Telnet można zaob-

serwować sposób wyświetlenia ba-

nera tego serwera e-mail. Znajduje

się tu nazwa Sendmail oraz numer

wersji 8.12.6 serwera SMTP.

wierszy należą celowo do treści pli-

ku w celu lepszego zilustrowania za-

gadnienia):

01 To jest pierwszy wiersz

02 To jest drugi wiersz

03 To jest trzeci wiersz

04 To jest koniec pliku

Polecenie grep umożliwia w Uni-

xie przeszukanie treści pliku. Wyko-

rzystuje się w tym celu zwyczajną

składnię polecenia grep <wzorzec>

<plik> . W tym przykładzie wyszu-

kamy w pliku data.txt ciąg znaków

To . Ponieważ wzorzec odpowiada

wszystkim czterem wierszom, zosta-

ną zwrócone w wyniku wszystkie:

Automatyczne

powitanie

Zasada działania Application Map-

ping bazuje na modelu komunika-

cji klient/serwer. Serwer udostęp-

nia aplikację sieciową, którą wią-

że z portem TCP lub UDP. Port ta-

ki znajduje się w trybie nasłuchiwa-

nia. Klient, który chce skorzystać z

danej usługi sieciowej, łączy się z

odpowiednim portem docelowym

serwera [Stevens 1994]. Najpopu-

larniejszym przykładem jest serwer

WWW, który zgodnie z zalecenia-

mi IANA jest udostępniany na porcie

TCP 80 (HTTP). Przeglądarka inter-

netowa, w tym przypadku klient, wy-

wołuje cel i docelowy port, żeby po-

brać dokumenty stron WWW. Po-

dobnie przebiega to w przypadku

serwera i klienta e-mail oraz innych

usług sieciowych opartych na mo-

delu klient/serwer.

Niektóre tekstowe aplikacje siecio-

we zostały stworzone z myślą o in-

teraktywności. Po ustanowieniu połą-

czenia witają one klienta specjalnym

banerem zawierającym informacje

dotyczące implementacji oraz innych

możliwości technicznych. Do aplika-

cji tego typu zaliczają się znane, kla-

syczne serwery usług SMTP (tcp/25)

i FTP (tcp/21). Połączenia tego typu

można łatwo inicjować przy pomocy

klienta Telnet, a następnie odczyty-

wać banery powitalne. Proces ten jest

w literaturze anglojęzycznej określa-

ny terminem Banner-Grabbing [Ru-

ef 1999, Ruef et al. 2002, McClure et

al. 2005].

C:\Documents and Settings\mruef>

telnet mail.computec.ch 25

220 mail.computec.ch ESMTP

Sendmail 8.12.6/8.12.6/taifun-1.0;

Wed, 30 Nov 2005 15

:54:54 +0100

mruef@debian:~$ grep To data.txt

01 To jest pierwszy wiersz

02 To jest drugi wiersz

03 To jest trzeci wiersz

04 To jest koniec pliku

Automatyczne powitanie klienta ba-

nerem jest cechą charakterystycz-

ną wielu aplikacji sieciowych. Jest

to wskazówką przy identyikacji nie-

których znanych implementacji, su-

gerującą takie popularne usługi, jak

SMTP lub FTP. Z drugiej strony auto-

matyczna odpowiedź przemawia ra-

czej przeciwko wykorzystaniu ser-

wera sieciowego HTTP. Taka infor-

macja nie wystarcza jednak do okre-

ślenia użytych aplikacji sieciowych.

Konieczne są dodatkowe szczegóły,

którymi zajmiemy się w dalszej czę-

ści artykułu.

Jeśli wyszukiwalibyśmy ciągu zna-

ków występującego tylko w jednym

wierszu, zostałby zwrócony odpo-

wiedni wiersz. Przykładem są wzor-

ce wiersz (wiersze 01, 02 i 03) lub

koniec (tylko wiersz 04). W systemie

Windows można to zrobić przy po-

mocy polecenia ind wykorzystują-

cego podobną składnię:

C:\Documents and Settings\mruef>

ind data.txt "koniec"

04 To jest koniec pliku

Zastosujmy technikę Pattern-Mat-

ching do odpowiedzi nawiązanego

połączenia. Wynik próby połączenia

z portem TCP 21 hosta ftp.compu-

tec.ch wygląda w następujący spo-

sób:

Proste Pattern-Matching

W obrębie komunikatów zwrot-

nych najprostszą w użyciu techni-

ką jest Pattern-Matching. Angiel-

ski termin Pattern-Matching jest na-

zwą techniki polegającej na wyszu-

kiwaniu łańcucha znaków lub dopa-

sowaniu (ang. to match) do okre-

ślonego wzorca (ang. pattern). Naj-

prostszą realizacją jest wyszukiwa-

nie łańcuchów znaków. W celu do-

kładnego wyjaśnienia podstawowej

zasady Application Mapping posłu-

żę się złożonym przykładem. Mamy

plik o nazwie data.txt, w którym za-

pisano następujące wiersze (numery

C:\Documents and Settings\mruef>

telnet ftp.computec.ch 21

220 ProFTPD 1.2.10 Server

(ftp.computec.ch) [80.74.129.35]

Prostą metodą Pattern-Matching

użytą w Application Mapping jest

skorzystanie z nazwy protokołu

[Ruef 2004, 2006]. Ciąg znaków

FTP wskazuje np. na usługę FTP

(File Transfer Protocol) na porcie

www.hakin9.org

hakin9 Nr 6/2006

Teoria

Tabela 1. Proste wzory rozpoznawania usług

Aby temu zapobiec, należy wprowa-

dzić bardziej złożone metody w obrę-

bie Pattern-Matching. Wyrażenia re-

gularne umożliwiają wprowadzenie

wyraźnych ograniczeń, dzięki cze-

mu samo wystąpienie określonego

ciągu znaków nie jest równoznaczne

ze zgodnością. (Implementacja funk-

cji amap dodatkowo pomaga w roz-

wiązaniu tego problemu przy pomo-

cy analizy długości odpowiedzi. Bliż-

sze informacje na ten temat w roz-

dziale dotyczącym funkcji amap.)

W obrębie Application Mapping

dla SMTP można ograniczyć wy-

szukiwanie np. do pierwszych wier-

szy odpowiedzi. Nagłówek SMTP

jest zwracany po ustanowieniu po-

łączenia jako pierwszy baner powi-

talny zawierający żądane informacje

(ok. 100 pierwszych bajtów). W przy-

padku połączenia HTTP z serwerem

sieciowym udostępniającym doku-

ment strony WWW z ciągiem zna-

ków SMTP w treści, zostanie on zna-

leziony dopiero po nagłówku HTTP

(po ok. 250 bajtach). Umożliwia to

eliminację lub przynajmniej znaczne

zminimalizowanie komplikacji.

Istnieją jednak sytuacje wymaga-

jące użycia bardziej rozbudowanych

wyrażeń regularnych. Jest tak np.

w przypadku dynamicznych ciągów

znaków o podobnej strukturze pod-

stawowej. Dobrym przykładem jest

usługa daytime, oferowana zarów-

no na TCP jak i UDP, na przydzielo-

nym przez IANA porcie 13. W przy-

padku daytime, po ustanowieniu po-

łączenia serwer przesyła do klienta

ciąg znaków informujący o aktualnej

godzinie oraz dacie. Forma jest czy-

telna również dla człowieka. W przy-

padku Unixa, odpowiedź wygląda

następująco (wiersz 02):

Nazwa Protokół Port Wyzwalacz

Cisco PIX Firewall

SMTP

tcp

^220.*\**\**\**\**

Dict

tcp

2628 ^220 .* dictd

FTP

tcp

^220.*\n || ^220.*FTP

ftp-darwin

tcp

^220 Inactivity timer

Glftp

tcp

^220.*SSH

Hylafax

tcp

4559 ^220 .*hylafax

NNTP

tcp

119 ^200.*NNTP

Oracle HTTPS tcp

1526 ^220- ora

POP3

tcp

110 ^220.*poppassd || 500 Pas-

sword

SMTP

tcp

^220.*\n250 || ^220.*SMTP

TrendMicro Inter-

Scan SMTP

tcp

^220.*InterScan

vmware-authd tcp

902 ^220 VMware Authentication

docelowym. Podobnie jest ze skró-

tami SMTP dla usług mailowych i

HTTP przy implementacjach ser-

werów sieciowych. Jeśli wykorzy-

stamy wspomniane trzy akroni-

my jako wzorce do dopasowania,

stwierdzimy zgodność w przypad-

ku FTP i brak zgodności odnośnie

SMTP i HTTP. Tak więc we wcze-

śniej nawiązanym połączeniu przy-

puszczalnie jest używany protokół

FTP (File Transfer Protocol). Przy-

puszczenie to pokrywa się również

z użytym portem docelowym, gdyż

IANA przewiduje dla tego rodzaju

komunikacji port TCP 21 (ftp-con-

trol).

Problem uprzednio znanej bazy da-

nych ma w odniesieniu do Applica-

tion Mapping ma mniejsze znaczenie

niż w przypadku oprogramowania

antywirusowego, czy automatycz-

nego rozpoznawania włamań. Dzięki

specyikacjom i ścisłemu przestrze-

ganiu standardów, deinicja danych

wejściowych jest prosta. Większe

problemy mogą się pojawić w związ-

ku z dokładnością wyrażeń wzorców

(ang. expressions).

Załóżmy, że w komunikacie

zwrotnym przyjmujemy ciąg znaków

SMTP jako odniesienie do Simple

Mail Transfer Protocol (RFC 821).

Jest to standardowy przypadek, po-

nieważ wiele implementacji SMTP

identyikuje się nazwą i żądaną wer-

sją protokołu aplikacji. Co się jednak

stanie, jeśli zastosujemy SMTP-

Mapping na serwerze WWW. W ja-

kiś sposób skłonimy go do odesła-

nia nam danych – dokumentu strony

WWW. Dokument ten zawiera rów-

nież ciąg znaków SMTP, ponieważ

przypadkowo jego treścią są połą-

czenia e-mailowe i ich standardy.

W tym przypadku Pattern-Matching

wskaże nieprawidłowo na SMTP ja-

ko potencjalnie zastosowany proto-

kół aplikacji.

Zafałszowanie wyników występu-

je w przypadku automatyzacji więk-

szości procesu Application Mapping.

False Positives

w Pattern-Matching

Technologia Pattern-Matching ma

wiele zastosowań. We wszystkich

pojawiają się dwa podstawowe pro-

blemy:

• [baza danych] można rozpoznać

jedynie te wzorce, które wcze-

śniej już zostały jako takie rozpo-

znane,

• [rozbieżności] w zależności od

dokładności zdeiniowania wzor-

ca, zgodności mogą zostać prze-

oczone (false negatives) lub

stwierdzone nieprawidłowo (fal-

se positives).

01 C:\Documents and Settings\

mruef>telnet 192.168.0.10 13

02 Mon Nov 28 13:42:23 2005

W amap, pierwszej zautomatyzo-

wanej implementacji dla Application

Mapping, w pliku odpowiedzi app-

defs.resp wykorzystuje się następu-

jący wiersz, który dzięki regularne-

mu wyrażeniu jest w stanie zapisać

odpowiedź:

hakin9 Nr 6/2006

www.hakin9.org

Teoria

Tabela 2. Polecenia wspierane przez popularne protokoły aplikacji

200[0-9] [0-9][0-9]:

[0-9][0-9]:[0-9][0-9] .*

05 daytime:::26-45:^

[A-Z][a-z][a-z]*,

[A-Z][a-z][a-z]* [0-9]+, 200

FTP SMTP POP3 NNTP

HELP

USER

PASS

Trzycyfrowe

kody statusu

Wiele aplikacji sieciowych stworzo-

nych w celu umożliwienia bezpo-

średniej interaktywności użytkowni-

ka korzysta z kodów statusu. Pole-

ga to na uprzednim przyznaniu każ-

demu wejściu i wyjściu liczbowego

kodu statusu, z reguły trzycyfrowe-

go. Np. FTP, SMTP oraz inne kla-

syczne protokoły wykorzystują war-

tość 220 do potwierdzenia pomyśl-

nego przetworzenia zapytania. Pro-

ducenci kierują się zasadą, wg której

pierwsza cyfra trzycyfrowego kodu

statusu określa kategorię (np. sku-

teczne), druga deiniuje rodzaj ko-

munikatu (np. znaleziono zasób), a

ostatnia zróżnicowany opis (np. ode-

słano żądany zasób). Powodem za-

stosowania wartości liczbowej całko-

witej jako kodów statusu jest ich ła-

twe przetwarzanie przez klienta. Mu-

si on tylko wczytać trzy pierwsze baj-

ty zwrotu w celu uzyskania informacji

o aktualnym stanie rzeczy (w innym

przypadku konieczne byłoby rozpo-

znawanie pełnych słów).

Na kolejnej pozycji w tym samym

wierszu znajduje się oddzielony spa-

cją tekst statusu. Jest on wykorzysty-

wany w sytuacjach, kiedy usługa jest

używana bez odpowiedniego klienta,

i kiedy rezygnuje się z automatycz-

PORT

STOR

HELO

VRFY

EXPN

RSET

NOOP

QUIT

daytime-unix:::26:^[A-Z].*

[A-Z].* [0-3].

[0-9][0-9]:[0-9][0-9]:

[0-9][0-9] 200.\rn

wierających bezpośrednich odnośni-

ków do wykorzystywanego syste-

mu operacyjnego. Z kolei baza da-

nych sygnatur (ingerprint) funkcji

amap prowadzi pięć różnych wpisów

dla daytime, przy czym dwa dotyczą

systemu Unix (wiersze 01 i 03), a je-

den Windows (wiersz 02). Pozostałe

wpisy są ogólne.

Wzorzec ten jest właściwie bardzo

dokładnie, ale nie bezbłędnie przy-

stosowany do odpowiedzi daytime

w środowisku unixowym. Możliwo-

ści optymalizacji są niewielkie. W od-

powiedzi daytime-unix na pierwszym

miejscu znajduje się dzień tygodnia

jako ciąg trzech znaków (np. Mon

dla poniedziałku (Monday) i Tue dla

wtorku (Thuesday). Wyrażenie re-

gularne jest w stanie rozpoznać ten

ciąg znaków, jednak nie uwzględnia

długości napisu. Teoretycznie zosta-

łyby więc rozpoznane również roz-

szerzone zwroty postaci „Monday

Nov 28 15:03:23 2005“. To samo do-

tyczy przedstawienia miesiąca przy

pomocy trzech liter (np. Nov dla listo-

pada (November) i Dec dla grudnia

(December). Ponieważ implementa-

cje unixowe są pod tym względem

dość usystematyzowane, nieprawi-

dłowe rozpoznania w tym obszarze

należą do rzadkości. Bardziej pro-

blematyczne jest ograniczenie cyfry

roku od 2000 do 2009. W przypadku

systemu o błędnej koniguracji (np. w

roku 1984) prawidłowe sprawdzenie i

rozpoznanie nie jest możliwe.

Dodatkowym interesującym

aspektem tej procedury analizy jest

możliwość uzyskania informacji do-

tyczących systemu operacyjnego tyl-

ko przy pomocy odpowiedzi tak nie-

pozornych usług jak daytime, nie za-

01 daytime-unix:::26:^[A-Z].* [A-Z]

[0-3].* [0-9][0-9]:[0-9][0-9]:

[0-9][0-9] 200.\rn

02 daytime-windows:::26-50:^

[A-Z][a-z]+, [A-Z][a-z]+ [0-9]+,

200[0-9] [0-9]+:[0-9]+:[0-9]+

\x0a\x00

03 daytime-unix:::20-36:^

[A-Z][a-z]+ [A-Z][a-z]+

[0-9 ][0-9] [0-9]+:[0-9]+:

[0-9]+ 200[0-9]\x0d\x0a

04 daytime:::25-30:^

[0-9][0-9] [A-Z][A-Z][A-Z]

Tabela 3. Typowe zachowania timeout różnych usług

Zachowanie timeout Przykłady

Brak funkcji timeout

Telnet, SSH, NNTP, Echo, Discard, Chargen

Zerwanie połączenia po

poleceniu timeout

FTP, netbios-ssn (ca. 30 Sek)

Zerwanie połączenia po

dowolnym poleceniu(ach)

HTTP, HTTPS/SSL, Finger, Time

Zerwanie połączenia po

ostatnim poleceniu(ach)

HTTP, HTTPS/SSL, Finger, Time

Zerwanie połączenia po

nieprawidłowym polece-

niu(ach)

Niektóre implementacje SMTP, niektóre auto-

ryzacje terminala (n[p. telnet lub SSH), Proxy z

listami dostępu (Access Lists)

Polecenie NOOP po po-

leceniu timeout

FTP

hakin9 Nr 6/2006

www.hakin9.org

Application Mapping

nej interpretacji trzycyfrowego kodu

statusu (np. w przypadku wykorzy-

stania interaktywnej sesji telnet). W

przypadku udanej komunikacji inte-

raktywnej przy pomocy FTP, pierw-

szy wiersz mógłby mieć postać 220

Found . Inne kody statusu wskazu-

ją na błędy serwera lub klienta, albo

brakujące implementacje. Spójrzmy

na krótki przykład sesji FTP:

Linux-ftpd-0.17) ready.

04 User (192.168.0.10:(none)): mruef

05 331 Password required for mruef.

06 Password: xxxxxxxx

07 230- Linux debian 2.6.12-1-386 #

1 Tue Sep 27 11:02:18 JST

2005 i686 GNU/Linux

08 230 User maru logged in.

09 ftp>

gło pomyślnie (wiersz 02). W pierw-

szym zwrocie serwera FTP (wiersz

03) wyświetlany jest baner powitalny.

Warunkiem wstępnym jest trzycyfro-

wy kod statusu 220, wskazujący na

udany dostęp. Po wprowadzeniu na-

zwy użytkownika mruef (wiersz 04),

konieczne jest wprowadzenie odpo-

wiedniego hasła (wiersz 05). Widzi-

my tutaj kod statusu 331, wskazujący

na konieczność autoryzacji.

Zasada działania Application

Mapping może być tutaj użyteczna

właśnie ze względu na wykorzysty-

wany przez różne systemy (trzycy-

frowy) kod statusu. Zasady seman-

tyczne tego rodzaju wskazują na

interaktywne protokoły ASCII NVT,

np. FTP, SMTP lub POP3 [Stevens

1994, Ruef et al. 2002]. Tabela 1 za-

wiera popularne protokoły warstwy

aplikacji wykorzystujące klasycz-

ną zasadę kodów statusu. W ostat-

niej kolumnie zamieszczono wyzwa-

lacz (trigger) umożliwiający identy-

ikację odpowiedniego rodzaju pro-

tokołu. Ich forma została możliwie

uproszczona aby ułatwić zrozumie-

nie zagadnienia. Istnieje możliwość

ich dodatkowej optymalizacji i dzię-

ki temu ograniczenia ilości błędnych

komunikatów.

01 C:\Documents and Settings\mruef>

ftp 192.168.0.10

02 Connected to 192.168.0.10.

03 220 debian.computec.ch FTP server

(Version 6.4/OpenBSD/

Jako pierwsze z naszego windowso-

wego komputera nawiązujemy połą-

czenie FTP z systemem docelowym

o adresie IP 192.168.0.10 (wiersz

01). Nasz klient FTP pokazuje nam,

że nawiązanie połączenia przebie-

Tabela 4. Pełne wzory programu amap

Nazwa Proto-

kół

Dłu-

gość

Wzorce

Dante tcp 2 \x05\x02

Daytime-unix tcp/udp 26 ^[A-Z].* [A-Z].* [0-3].* [0-9][0-9]

Daytime-windows tcp/udp 26-50 ^[A-Z][a-z]+, [A-Z][a-z]+ [0-9]+,

200[0-9] [0-9]+

Daytime-unix tcp/udp 20-36 ^[A-Z][a-z]+ [A-Z][a-z]+ [0-9 ][0-9]

[0-9]+

Daytime

tcp/udp 25-30 ^[0-9][0-9] [A-Z][A-Z][A-Z] 200[0-

9] [0-9][0-9]

Daytime

tcp/udp 26-45 ^[A-Z][a-z][a-z]*, [A-Z][a-z][a-z]*

[0-9]+, 200

Dhcp3d-isc

tcp

8 ^\x00\x00\x00\x64\x00\x00\x00\

x18

Najpierw złożenie

formalnego zapytania

Istnieją również usługi nie posiadają-

ce funkcji powitania klienta po usta-

nowieniu połączenia. Tego rodza-

ju implementacje można ze wzglę-

du na zachowanie gospodarza na-

zwać niegrzecznymi lub nieuprzej-

mymi. Komunikacja tego rodzaju wy-

gląda przeważnie w taki sposób, że

po ustanowieniu połączenia ekran

po stronie klienta pozostaje pusty.

Serwer (aplikacja sieciowa) oczeku-

je na pierwsze zapytania zanim sam

zareaguje. Jeśli nie otrzyma zapytań

w ciągu kilku sekund lub minut, może

przy pomocy funkcji Timeout dopro-

wadzić do automatycznego zerwa-

nia połączenia, co zapobiega niepo-

trzebnemu wykorzystywaniu zaso-

bów trwających połączeń.

Z pewnością najbardziej znaną

implementacją protokołu aplikacji,

oczekującą formalnego zapytania,

Dns-pdnsd

tcp/udp 2 ^\x00\x0c

Finger

tcp

1 \x66

http-compaqinsi-

ghtmanager

tcp

6 ^HTTP/1

http-iis

tcp

34 ^<h1>Bad Request .Invalid

URL.</h1>

Mailhurdle

udp 10 \x00\x08\x06\x9f\x7a\x06\x00\

x00\x00\x00

Mldonkey

tcp

1 \x31

ms-distribution-

transport

tcp(/udp) 6 ^..\x0a\x00

Ms-dtc

tcp/udp 3 ..\n

Netmeeting

tcp

4 ^\x03\x00\x00\x11

NTP

udp 48 ^....\x00\x00..\x00\x00

QOTD

tcp/udp 5-

1000

^"[A-Z].* .* .*[!?.]"\rn[A-Za-z].*\rn

SNMP

tcp

3 \x41\x01\x02

Spamd

tcp

1 \x32

SSL

tcp

1 \n

Time

tcp/udp 4 ^\xc[2-5]

www.hakin9.org

hakin9 Nr 6/2006

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: