DIPLOMSKA NALOGA

Oblikovano: Obroba: Spodaj: 

(Ni obrobe) 

Oblikovano: Zgoraj: 3,5 cm 

ŠOLSKI CENTER ZA POŠTO, EKONOMIJO IN TELEKOMUNIKACIJE 

LJUBLJANA 

VIŠJA STROKOVNA ŠOLA 

DIPLOMSKA NALOGA 

GAŠPER HRIBAR 

Ljubljana, april 2006 

Izbrisano: A 

Izbrisano: januar


(Ni obrobe)


(Ni obrobe) 

ŠOLSKI CENTER ZA POŠTO, EKONOMIJO IN TELEKOMUNIKACIJE 

LJUBLJANA 

VIŠJA STROKOVNA ŠOLA 

smer: telekomunikacije 

DIPLOMSKA NALOGA 

HEKERSKA ORODJA 

Diplomant: 

Mentor: 

Lektor: 

Gašper Hribar 

mag. Boštjan Fele 

Nina Heferle, prof. slov. 

Vpisna številka: 12130081276 

Ljubljana, april 2006 

Izbrisano: A 

Izbrisano: januar

HRIBAR, Gašper. Hekerska orodja: dipl. nal. Ljubljana, ŠC PET, VSŠ, 2006 2 

IZVLEČEK 

Diplomska naloga opisuje postopke in orodja, ki ji hekerji uporabljajo pri vdorih v 

računalniške sisteme. V prvem delu diplomske naloge je predstavljen okviren 

postopek, ki ga hekerji uporabljajo pri vdorih v računalniške sisteme. Prva faza 

vsakega vdora je sledenje, to je tehnika, ki jo heker uporabi za pridobivanje 

informacij o omrežnih naslovih in topologijah omrežij. Naslednja faza je skeniranje 

in vohljanje v omrežju. Skeniranje je postopek, ki avtomatično zaznava varnostne 

luknje v lokalnem ali oddaljenem sistemu, vohljanje prometa pa je postopek, s 

pomočjo katerega napadalec zbira informacije, ki potujejo prek omrežja. 

V naslednjem delu naloge so opisani postopki in orodja, ki jih napadalec uporabi, 

ko je že vdrl v sistem. To so hekerska orodja za razbijanje gesel, programi za 

beleženje tipk, trojanci, virusi in različne vrste zlonamernih napadov na 

računalniške sisteme (DoS napad, prekoračitev vmesnika, ugrabitev seje, napad s 

slepljenjem). 

Nadalje je predstavljena uporaba spletnega iskalnika Google kot hekerskega 

orodja in napadi na brezžična omrežja, dve vrsti orodij, ki v zadnjem času spadata 

med najbolj priljubljene tehnike hekerjev. 

Zadnji del naloge predstavlja opis najpogostejših tehnik zaščit in orodij za zaščito 

pred napadi na računalniške sisteme. 

Oblikovano: Zgoraj: 3,5 cm 

Izbrisano: z 

Izbrisano: e 

Izbrisano: sledenje 

Izbrisano: , 

Izbrisano: o 

Izbrisano: 

Izbrisano: -a, 

Izbrisano: spadata 

Ključne besede: 

Vdor, sledenje, skener, vohljanje, hekerska orodja. 

Izbrisano:


ABSTRACT 

Dissertation describes procedures and use of tools that hackers use at intrusion 

into computer systems. First part of dissertation describes approximate procedure 

of the intrusion. First phase of every intrusion is footprinting, footprinting is 

technology that hackers use for gathering informations about network addresses 

and network topologies. Next phase is network scanning and network sniffing. 

Network scanning is procedure, that automatically searches safety holes in local or 

remote system, traffic sniffing is procedure by the help of which, attacker gathers 

information that travels over network. 

Next part od dissertation describes procedures and tools that attacker uses, when 

he already broke in to system. These are hacking tools for cracking passwords, 

keyloggers, trojans, viruses and different types malicious attacks on computer 

systems (DoS attack, buffer overflow, session hijacking, spoofing attack). 

Further there is introduced the use of web search engine Google, and attacks on 

wireless networks, two of the most popular techniques that hackers use. 

Last part of dissertation represents description of most frequent technologies for 

protections and tools for protection before attacks on computer systems. 

Keywords: 

Intrusion, footprinting, scanner, sniffing, hacking tools

Izbrisano: 13 

Izbrisano: 12 

Izbrisano: 14 


KAZALO VSEBINE 

SEZNAM KRATIC.................................................................................................. 7 

1 Uvod ............................................................................................................... 8 

2 Sledenje ....................................................................................................... 10 

2.1 NIC poizvedovanje................................................................................. 12 

2.2 DNS poizvedovanje................................................................................ 13 

2.2.1 Podrobna DNS poizvedba...................................................................................... 13 

2.2.2 Prenos cone ........................................................................................................... 13 

2.2.3 SMTP preiskovanje ................................................................................................ 13 

3 Skeniranje .................................................................................................... 14 

3.1 Tehnike skeniranja................................................................................. 14 

3.2 ICMP preiskovanje sistema.................................................................... 15 

3.3 Echo request.......................................................................................... 15 

3.4 Timestamp request ................................................................................ 16 

3.5 Address mask request ........................................................................... 16 

3.6 TCP skeniranje ...................................................................................... 16 

3.7 Izogibanje IDS sistemom in preprečevanje filtriranja.............................. 17 

3.7.1 Fragmentacija paketov ........................................................................................... 18 

3.7.2 Zavajanje z več naslovi .......................................................................................... 18 

3.7.3 Izvorno usmerjanje................................................................................................. 19 

3.7.4 Uporaba določenih TCP ali UDP vrat..................................................................... 19 

3.8 Programi za skeniranje omrežja............................................................. 21 

3.8.1 Nmap network scanner .......................................................................................... 21 

3.8.2 Nessus.................................................................................................................... 21 

4 Omrežni vohljač .......................................................................................... 21 

4.1 Ethereal.................................................................................................. 22 

4.2 Dsniff...................................................................................................... 22 

4.3 Ettercap.................................................................................................. 23 

5 Pridobivanje in razbijanje gesel................................................................. 23 

5.1 Razbijanje (krekanje) gesel.................................................................... 23 

5.2 Programi za razbijanje gesel.................................................................. 24 

5.2.1 John the Ripper ...................................................................................................... 24 

5.2.2 THC-hydra.............................................................................................................. 24 

5.2.3 LC5 (L0phtcrack).................................................................................................... 25 

5.2.4 Crack ...................................................................................................................... 25 

5.2.5 MDcrack ................................................................................................................. 25 

5.2.6 Isadump2................................................................................................................ 25 

5.3 Programi za beleženje tipk..................................................................... 25 

5.3.1 Invisible keylogger.................................................................................................. 25 

5.3.2 FakeGINA............................................................................................................... 26 

6 Vrste Napadov ............................................................................................. 27 

6.1 Trojanec ................................................................................................. 27 

6.1.1 Primer trojanca ....................................................................................................... 27 

6.2 Rootkit.................................................................................................... 28 

6.3 Virus....................................................................................................... 29 

6.4 Črv ......................................................................................................... 29 

6.5 Phishing ................................................................................................. 30 

6.6 Napadi prek elektronske pošte............................................................... 31 

6.7 DOS – denial of service ......................................................................... 31 

Izbrisano: 13 

Izbrisano: 16 

Izbrisano: 15 

Izbrisano: 16 

Izbrisano: 15 

Izbrisano: 16 

Izbrisano: 15 

Izbrisano: 18 

Izbrisano: 17 

Izbrisano: 19 

Izbrisano: 18 

Izbrisano: 21 

Izbrisano: 20 

Izbrisano: 21 

Izbrisano: 20 

Izbrisano: 21 

Izbrisano: 20 

Izbrisano: 21 

Izbrisano: 20 

Izbrisano: 23 

Izbrisano: 22 

Izbrisano: 23 

Izbrisano: 22 

Izbrisano: 23 

Izbrisano: 22 

Izbrisano: 25 

Izbrisano: 24 

Izbrisano: 25 

Izbrisano: 24 

Izbrisano: 25 

Izbrisano: 24 

Izbrisano: 25 

Izbrisano: 24 

Izbrisano: 26 

Izbrisano: 25 

Izbrisano: 27 

Izbrisano: 26 

Izbrisano: 27 

Izbrisano: 26 

Izbrisano: 28 

Izbrisano: 27 

Izbrisano: 29 

Izbrisano: 28 

Izbrisano: 30 

Izbrisano: 29 

Izbrisano: 31 

Izbrisano: 30 

Izbrisano: 31 

Izbrisano: 30


6.8 DdoS napad ........................................................................................... 32 

6.8.1 Nuke ....................................................................................................................... 32 

6.8.2 Winnuke.................................................................................................................. 33 

6.8.3 SYN Flood .............................................................................................................. 33 

6.8.4 SMURF................................................................................................................... 33 

6.9 Spoofing napad...................................................................................... 34 

6.10 Ugrabitev seje ........................................................................................ 35 

6.11 Prekoračitev vmesnika ........................................................................... 36 

7 Google – hekersko orodje .......................................................................... 37 

8 Napadi na brezžična omrežja ..................................................................... 41 

8.1 Wardriving.............................................................................................. 42 

8.1.1 NetStumbler ........................................................................................................... 43 

8.1.2 Kismet..................................................................................................................... 43 

8.1.3 AirSnort................................................................................................................... 43 

9 Zaščita pred napadi..................................................................................... 43 

9.1 Požarna pregrada .................................................................................. 43 

9.2 Antivirusni program ................................................................................ 44 

9.3 IDS – sistem za zaznavanje vdorov ....................................................... 46 

10 Sklep ......................................................................................................... 48 

11 Viri in literatura ........................................................................................ 49 

Izbrisano: 32 

Izbrisano: 31 

Izbrisano: 33 

Izbrisano: 32 

Izbrisano: 33 

Izbrisano: 32 

Izbrisano: 33 

Izbrisano: 32 

Izbrisano: 34 

Izbrisano: 33 

Izbrisano: 35 

Izbrisano: 34 

Izbrisano: 36 

Izbrisano: 35 

Izbrisano: 37 

Izbrisano: 36 

Izbrisano: 41 

Izbrisano: 40 

Izbrisano: 42 

Izbrisano: 41 

Izbrisano: 43 

Izbrisano: 42 

Izbrisano: 43 

Izbrisano: 42 

Izbrisano: 43 

Izbrisano: 42 

Izbrisano: 43 

Izbrisano: 42 

Izbrisano: 43 

Izbrisano: 42 

Izbrisano: 44 

Izbrisano: 43 

Izbrisano: 46 

Izbrisano: 45 

Izbrisano: 48 

Izbrisano: 47 

Izbrisano: 49 

Izbrisano: 48 

Izbrisano: SEZNAM 

KRATIC 7 

1 Uvod 8 

Izbrisano: o 

Izbrisano: elektronske 

Izbrisano: 

... [1] 

... [2] 

... [3]


KAZALO SLIK 

Slika 1: Pridobivanje podatkov o strežnikih prek spleta....................................... 10 

Slika 2: Pridobivanje podatkov s pomočjo funkcije tracert................................... 11 

Slika 3: Sledenje z uporabo programa SamSpade.............................................. 12 

Slika 4: Skeniranje s programom Nmap .............................................................. 15 

Slika 5: Analiziranje prometa z uporabo programa Ethereal ............................... 22 

Slika 6: Razbijanje gesel s programom John the Ripper ..................................... 24 

Slika 7: Ekranska slika Invisible keylogger-ja ...................................................... 26 

Slika 8: Namestitev programa FakeGINA v sistem.............................................. 27 

Slika 9: Uporabniški vmesnik trojanca Back Orifice............................................. 28 

Slika 10: Računalnik, okužen z virusom sasser................................................... 29 

Slika 11: Shema DdoS napada ........................................................................... 32 

Slika 12: SMURF napad...................................................................................... 34 

Slika 13: IP spoofing napad................................................................................. 35 

Slika 14: Potek prekoračitve vmesnika................................................................ 37 

Slika 15: Posnetek nadzornih kamer v gostinskem lokalu................................... 39 

Slika 16: Posnetek nastavitvenega vmesnika tiskalnika...................................... 40 

Slika 17: Spletni vmesnik za konfiguracijo usmerjevalnika.................................. 40 

Slika 18: Spletni vmesnik za nadzor UPS naprav................................................ 41 

Slika 19: Pripomočki za vojno vožnjo .................................................................. 42 

Slika 20:Implementacija požarne pregrade ......................................................... 44 

Slika 21: Širjenje zlonamerne programske opreme ............................................. 45 

Slika 22: Sistem za ugotavljanje in preprečevanje vdorov................................... 46 

Izbrisano: 15 

Izbrisano: 14 

Izbrisano: 22 

Izbrisano: 21 

Izbrisano: 24 

Izbrisano: 23 

Izbrisano: 26 

Izbrisano: 25 

Izbrisano: 27 

Izbrisano: 26 

Izbrisano: 28 

Izbrisano: 27 

Izbrisano: 29 

Izbrisano: 28 

Izbrisano: 32 

Izbrisano: 31 

Izbrisano: 34 

Izbrisano: 33 

Izbrisano: 35 

Izbrisano: 34 

Izbrisano: 37 

Izbrisano: 36 

Izbrisano: 39 

Izbrisano: 38 

Izbrisano: 40 

Izbrisano: 39 

Izbrisano: 40 

Izbrisano: 39 

Izbrisano: 41 

Izbrisano: 40 

Izbrisano: 42 

Izbrisano: 41 

Izbrisano: 44 

Izbrisano: 43 

Izbrisano: 45 

Izbrisano: 44 

Izbrisano: 46 

Izbrisano: 45 

Izbrisano: Slika 1: 

Izbrisano: o 

Izbrisano: spleta 7 

Izbrisano: - 

Izbrisano: ja 23 

Izbrisano: 

... [4] 

... [5] 

... [6]


SEZNAM KRATIC 

Kratica Angleški pomen Slovenski pomen 

ARP Adress Resolution Protocol Protokol za prevajanje naslovov 

DDoS Distributed Denial Of Service Zavrnitev storitve pri porazdeljenem 

napadu 

DHCP Dynamic Host Configuration Protocol Protokol za dinamično dodeljevanje 

naslovov 

DLL Dynamic Link Library Knjižnica dinamičnih povezav 

DNS Domain Name System Sistem domenskih imen 

DoS Denial Of Service Zavrnitev storitve 

FTP File Transfer Protocol Protokol za prenos datotek 

HTML HyperText Markup Language Jezik za označevanje hiperteksta 

http HyperText Transfer Protocol Protokol za prenos hiperteksta 

ICMP Internet Control Message Protocol Protokol za nadzor internetnih sporočil 

IDS Intrusion Detection System Sistem za zaznavanje vdorov 

IMAP Internet Message Access Protocol Internetni protokol za dostop do e-pošte 

IP Internet Protocol Internetni protokol 

LAN Local Area Network Lokalno omrežje 

LDAP Lightwight Directory Access Protocol Enostaven protokol za dostop do 

imenika 

OS Operating System Operacijski sistem 

POP PostOffice Protocol Poštni protokol 

PIN Personal Identification Number Osebna identifikacijska številka 

SMTP Simple Mail Tranfer Protocol Enostavni protokol za prenos pošte 

SSID Service Set Identifier Identifikator nabora storitev 

SSH Secure Shell Protocol Protokol varne lupine 

SSL Secure Socket Layer Sloj varnih vtičnic 

TCP Transport Control Protocol Transportni kontrolni protokol 

TKIP Temporal Key Integrity Protocol Protokol neokrnjenosti začasnega 

ključa 

UDP User Datagram Protocol Protokol uporabniškega datagrama 

URL Uniform Resource Locator Naslov vira v enotni obliki 

VNC Virtual Network Connection Navidezna omrežna povezava 

WEP Wireless Encryption Protocol Brezžični šifrirni protokol 

WLAN Wireless Local Area Network Brezžično lokalno omrežje 

WPA Wi-Fi Protective Access Zaščiten brezžični dostop 

XML Extensible Markup Language Razširljivi označevalni jezik 

Izbrisano: HTTP 

Izbrisano: ko 

Izbrisano:


1 Uvod 

Hekerska orodja uporabljajo tisti, ki pišejo kode in tisti, ki jih izkoriščajo. Čeprav 

imata ti dve skupini pri uporabi programskih orodij različne cilje, obe uporabljata 

iste tehnike reševanja problemov. Razumevanje programiranja pomaga tistim, ki 

izkoriščajo programe, razumevanje izkoriščanje programov pa pomaga tistim, ki 

pišejo programe. 

Prva skupina hekerjev so torej ljudje, ki v nasprotju z večino uporabnikov niso 

zadovoljni z osnovnim znanjem računalništva in uživajo v programiranju. Drugo 

skupino programerjev, ki izkorišča računalniške kode in uporablja programska 

orodja za vdiranja v tuje sisteme, za zabavo in za dobiček, imenujemo kriminalni 

hekerji ali krekerji (crackers). Po zaslugi nezadostne informiranosti sta se ta dva 

izraza začela prepletati in tako je danes tudi izraz heker dobil negativni prizvok. 

Izkoriščanje programov za hekerska orodja ponavadi temelji na uporabi pravil v 

računalniških sistemih na način, za katerega le-ta niso bila namenjena. V praksi se 

ta pravila izkoristijo za obhajanje varnostnih mehanizmov računalniških sistemov. 

Hekanje (hacks), ki se uporablja pri pisanju programov, prav tako izkorišča 

računalniška pravila, vendar pa se ta pravila uporabljajo za čim bolj efektivno 

doseganje zadanih opravil, ki jih opravljajo različni programi. 

Podobno, kot velja tudi za računalniške sisteme, so tudi hekerska orodja vse bolj 

dodelana in enostavna za uporabo, z razširitvijo interneta pa so ta orodja danes 

dostopna praktično vsakomur in zato prihaja do vedno večjega števila vdorov. 

Za vdor v določen sistem mora heker najprej pridobiti čim več informacij o svojem 

cilju, zbiranje takih informacij imenujemo sledenje (footprinting). Hekerji najprej 

analizirajo izvorno kodo spletne strani podjetja ali organizacije, iz katere pridobijo 

mnoge koristne informacije o omrežju in njegovi zgradbi. Naslednji korak je 

preverjanje posameznih računalnikov v omrežju, ta postopek imenujemo 

skeniranje (scanning). Skeniranje se lahko izvede z različnimi orodji, ki uporabljajo 

protokole, kot so ICMP, TCP in UDP. 

V zadnjem času je prišlo do velikega razmaha brezžičnih tehnologij, kar pomeni, 

da so se hekerjem odprle nove možnosti in priložnosti pri vdorih v brezžična 

Izbrisano: kode 

Izbrisano: različne cilje 

Izbrisano: boji 

Izbrisano: jo 

Izbrisano: 

Izbrisano: , 

Izbrisano: 

Izbrisano: danes 

Izbrisano: l


omrežja. Največja težava brezžičnih omrežij je v tem, da se informacije prenašajo 

po zraku in da varnost še ni dovolj dodelana. 

Zaradi nevarnosti, ki na naše računalnike prežijo zaradi zlonamerne uporabe 

hekerskih orodij, je treba uporabiti zaščito, ki nam zagotavlja vsaj določen nivo 

varnosti. Najpomembnejši element zaščite pred vdori v računalniške sisteme je 

požarni zid. Požarni zid je naprava, ki preprečuje dostop do našega lokalnega 

omrežja. Naprava je ponavadi kombinacija programske in strojne opreme. Požarni 

zid uporablja pravila, na osnovi katerih se določa dovoljene in nedovoljene 

naslove. Poleg požarnih zidov pogosto dodajamo tudi detektorje vdorov, saj sam 

požarni zid ponavadi ne zagotavlja zadostnega nivoja varnosti. 

Izbrisano: prežijo 

Izbrisano: potrebno 

Izbrisano: ponavadi 

Izbrisano: h 

Izbrisano: 

 

Izbrisano:


2 Sledenje 

Sledenje (footprinting) je prvi postopek hekerja, če hoče izvesti vdor v sistem. 

Sledenje je iskanje informacij po spletnih straneh podjetij. V izvorni kodi spletne 

strani se navadno nahaja mnogo informacij, ki pomagajo pri vdoru v računalniške 

sisteme organizacij ali podjetij. Pridobivanje informacij lahko poteka tudi prek 

najbolj razširjenih spletnih brskalnikov, kot sta Google ali Altavista, lahko pa se 

uporabijo tudi naprednejša orodja. 

Naslednji korak je iskanje domen in omrežij, ki pripadajo posameznim podjetjem. 

Vsi ti podatki so javno dostopni na spletnih straneh www.networksolutions.com, 

www.allwhois.com in www.internic.net/alpha.html. 

Izbrisano: ki ga mora heker 

izvesti, 

Izbrisano: o 

Izbrisano: g 

Izbrisano: a 

Izbrisano: a 

Slika 1: Pridobivanje podatkov o strežnikih prek spleta 

Izbrisano: o 

Nato se pridobi blok mrežnih naslovov, ki pripadajo določeni organizaciji, pri čemer 

je možno, da niso vsi naslovi v bloku naslovov zasedeni, vendar pa so rezervirani 

za bodoče uporabnike.


Nadalje se podatke lahko pridobi s prebiranjem domenskega strežnika DNS. 

Podatki se lahko prenesejo, če se hekerju dovoli izvesti prenos cone. Sekundarni 

domenski strežniki s prenosom cone primerja svojo zbirko podatkov s primarnim 

domenskim strežnikom. Prenos cone je najbolj nevaren, če notranji strežniki niso 

ločeni od zunanjih internetnih strežnikov. Napadalec tako pridobi IP naslove 

računalnikov v omrežju, nato pa poskušajo ugotoviti topologijo omrežja in 

povezave, ki vodijo do posameznih računalnikov v omrežju. 

Izbrisano: 

Izbrisano: S 

Izbrisano: sekundarni 

domenski strežnik 

Slika 2: Pridobivanje podatkov s pomočjo funkcije tracert 

Z raziskovanjem omrežnih povezav heker pridobi informacije o usmerjevalnikih, 

požarnih pregradah in napravah, ki filtrirajo pakete. Sledenje povezavi se lahko 

enostavno izvede prek ukazne vrstice CommandPrompt z uporabo ukaza tracert 

(slika 2). Sledenje se lahko izvede tudi z uporabo programskih orodij, ki vsebujejo 

vse funkcionalnosti, ki so potrebne za pridobivanje informacij. Tak program je 

program SamSpade (slika 3). 

SamSpade ponuja GUI in ima implementirano vrsto orodij za analiziranje omrežij. 

Orodje je bilo prvotno namenjeno odkrivanju Spammerjev, vendar je uporabno tudi 

za vrsto ostalih mrežnih opravil. SamSpade vključuje orodja, kot so ping, 

nslookup, whois, dig, traceroute, finger, HTTP brskalnik, DNS zone transfer in 

SMTP relay preverjanje. 

Izbrisano: , 

Izbrisano: o 

Izbrisano: pa 

Izbrisano: 

Izbrisano: " 

Izbrisano: " 

Izbrisano: : 

Izbrisano: ,


Slika 3: Sledenje z uporabo programa SamSpade 

2.1 NIC poizvedovanje 

Omrežni informacijski centri NIC vsebujejo uporabne informacije v WHOIS 

podatkovnih bazah. WHOIS podatkovna baza definira, katera področja 

internetnega prostora so registrirana za določene organizacije. Možno je pridobiti 

informacije o IT osebju, IP omrežnih naslovih in fizični lokaciji podjetja. Obstajajo 

tri regije, na katere so razdeljeni IP naslovni prostori: 

• American Registry for Internet Numbers (ARIN); http://www.arin.net za 

področje Amerike, 

• Asia Pacific Network Information Centre (APNIC); http://www.apnic.net za 

področje Azije, 

• Réseaux IP Européens (RIPE); http://www.ripe.net za področje Evrope. 

Vsak register vsebuje podatke samo za svojo regijo. 

Izbrisano: . 

Izbrisano: . 

Izbrisano: ar


2.2 DNS poizvedovanje 

Z uporabo orodij, kot so nslookup, host in dig, lahko pošljemo zahteve z DNS 

poizvedbo na domene in bloke IP naslovov, ki jih pridobimo prek omrežnih 

informacijskih centrov. Na ta način lahko z večine DNS strežnikov, ki se nahajajo 

na internetu, pridobimo koristne informacije o domenah, poddomenah, strežniških 

in gostiteljskih imenih. V primeru slabe konfiguracije strežnika lahko pridobimo 

celo podatke o operacijskem naslovu in IP naslove uporabnikov. 

Tak način DNS preiskave je neopazen, ker ne uporabljamo aktivnega skeniranja 

omrežja in izvedemo samo poizvedbo na DNS strežnikih, ki jo pogosto izvajajo 

tudi ponudniki internetnih storitev. 

Izbrisano: o 

2.2.1 Podrobna DNS poizvedba 

Organizacije in podjetja morajo imeti objavljene DNS podatke za normalno 

delovanje prek interneta. Primer legalne poizvedbe DNS je, ko uporabnik dostopa 

do spletne strani ali ob prejemu elektronske pošte. Napadalec uporablja DNS 

poizvedbo za identifikacijo strežnikov elektronske pošte in drugih sistemov. 

Izbrisano: o 

Izbrisano: , 

Izbrisano: pa 

2.2.2 Prenos cone 

Najbolj popularna metoda za zbiranje informacij o vseh računalnikih znotraj 

domene je zahteva za prenos cone. Datoteka DNS cone vsebuje vsa imenske 

informacije, ki ji vsebuje imenski strežnik te domene. Večina organizacij ima zaradi 

delitve bremena in redundance več imenskih strežnikov. Glavni imenski strežnik je 

primarni imenski strežnik, vsi drugi imenski strežniki so sekundarni. Sekundarni in 

primarni strežniki v določenih intervalih med seboj prenašajo popoln seznam 

računalnikov, za katere je sekundarni strežnik odgovoren. Tak prenos se imenuje 

prenos cone. 

Izbrisano: , 

Izbrisano: ostali 

Izbrisano: e 

2.2.3 SMTP preiskovanje 

Podjetja morajo imeti za poslovanje z elektronsko pošto postavljene SMTP 

prehode in omrežja, ki omogočajo pošiljanje in sprejemanje elektronske pošte. S 

pošiljanjem elektronske pošte na neobstoječ naslov v določeni domeni pogosto 

lahko pridemo do koristnih informacij o omrežju.


3 Skeniranje 

Skener je program, ki avtomatično zaznava varnostne luknje v lokalnem ali 

oddaljenem sistemu in lahko služi kot orodje za preverjanje varnosti omrežja. 

Skenerji TCP vmesnikov so programi, ki napadajo TCP/IP vmesnike in storitve 

(Telnet ali FTP) in beležijo odziv napadenega sistema. Skenerji so bili 

najpogosteje napisani za delovanje na UNIX delovnih postajah, danes pa 

obstajajo skenerji za skoraj vse znane operacijske sisteme. Največ skenerjev se 

danes napiše za Microsoft Windows NT platformo, ki se dandanes največ 

uporablja kot platforma za internetne strežnike. 

3.1 Tehnike skeniranja 

Skenerji razpošiljajo pakete po omrežju, nato pa poslušajo in spremljajo odziv z 

različnih vmesnikov. Najbolj razširjeni skenerji, kot sta programa Nmap (slika 4) ali 

Nessus, uporabljajo za pregledovanje vmesnikov in protokolov, naslednje tehnike 

skeniranja:


Slika 4: Skeniranje s programom Nmap 

3.2 ICMP preiskovanje sistema 

ICMP (Internet Control Message Protocol) protokol identificira potencialno šibke in 

slabo zaščitena omrežja. ICMP je kratek sporočilni protokol, ki se uporablja za 

testiranje omrežij (uporaba ukazov ping ali traceroute). Prednost ICMP sporočil je, 

da se ICMP sporočil ne filtrira, ker se pogosto uporabljajo pri odpravljanju napak v 

omrežju. Za pregledovanje in preiskovanje omrežja so uporabna naslednja ICMP 

sporočila: 

3.3 Echo request 

Echo request sporočila so znana tudi kot ping paketi. Z uporabo orodja za 

skeniranje, kot je nmap, izvedemo obsipavanje s pingi (ping sweep) in tako 

enostavno identificiramo aktivne uporabnike.


3.4 Timestamp request 

Timestamp request sporočila zahtevajo informacijo o sistemski uri ciljnega 

sistema. Odgovor je podan v decimalni obliki (pretečen čas od polnoči GMT – 

Greenwich Mean Time) v milisekundah. 

Izbrisano: v milisekundah 

3.5 Address mask request 

Sporočilo razkrije masko podomrežja, v katerem se nahaja ciljni računalnik. 

Informacija je koristna pri mapiranju omrežij, pri določanju velikosti podomrežij in 

naslovnega prostora, ki ga uporablja podjetje. 

Izbrisano: o 

3.6 TCP skeniranje 

• Skeniranje TCP vrat. Je najosnovnejša tehnika skeniranja. S to metodo 

skeniranja preizkusimo, katera TCP vrata so odprta. 

• TCP SYN skeniranje. To tehniko skeniranja imenujemo tudi polodprto ali 

prikrito skeniranje, ker pri tem načinu skeniranja ne vzpostavimo polne TCP 

povezave, temveč pošljemo le SYN paket. SYN paket se pošlje tako, kot bi 

vzpostavljali polno povezavo in čakali, da računalnik odgovori z odgovorom 

SYN/ACK, kar pomeni, da so vrata aktivna. Takoj za tem hekerski program 

pošlje paket RST, kar pomeni, da nima namena vzpostaviti polne 

povezave. Če računalnik odgovori s paketom RST/ACK pomeni, da so tista 

vrata zaprta. 

• TCP FIN skeniranje. Nekatere požarne pregrade in paketni filtri omogočajo 

tudi pregledovanje pošiljanja SYN paketov na določena vrata. Poleg tega 

so na voljo programi, ki lahko zaznajo TCP SYN skeniranje. TCP paket z 

vključeno FIN zastavico se lahko izogne takšnemu pregledovanju. FIN 

zastavica se uporablja v primeru sporazumne prekinitve povezave. Zaprta 

vrata na ciljnem računalniku morajo odgovoriti na zastavico FIN s paketom 

RST, medtem ko odprta vrata ignorirajo zastavico FIN. 

• Skeniranje po delih. Pri tem tipu skeniranja se namesto pošiljanja celega 

paketa pošlje paket, razdeljen na manjše IP delce. To pomeni, da 

Izbrisano: , 

Izbrisano: mo 

Izbrisano: pa 

Izbrisano: ,


porazdelimo TCP glavo na več paketov, da paketni filtri težje zaznajo 

dogajanje. 

• Xmas Tree skeniranje. Pri tej vrsti skeniranja je vklopljenih več različnih 

tipov zastavic. Vključene so zastavice URG, PSH in FIN. Skeniranje poteka 

na enak način kot pri TCP SYN in TCP FIN skeniranju. 

• TCP identifikacijsko skeniranje. Identifikacijski protokol razkrije 

uporabniško ime vsakega procesa, ki poteka prek TCP povezave, tudi če ta 

proces ni vzpostavil povezave. 

• FTP napad. Funkcije FTP protokola je tudi podpora proxy FTP povezavam. 

FTP napad je izkoriščanje FTP protokola za posreden dostop do vrat 

napadenega računalnika, tako da sam računalnik izkoriščamo kot 

posrednika, ki izvede zahtevo. 

• UDP ICMP skeniranje. Skeniranje temelji na prej omenjenih metodah, s to 

razliko, da namesto TCP protokola uporablja UDP protokol. UDP protokol ni 

tako kompleksen, vendar pa je skeniranje prometa zahtevnejše kot pri TCP 

protokolu. Če je odgovor sporočilo ICM_PORT_UNREACH so preizkušena 

vrata zaprta, če ni odgovora, so vrata lahko odprta ali jih ščiti požarni zid. 

Rezultati, ki jih dobimo, so lahko nezanesljivi, če so omrežje in sistem 

preobremenjeni. 

Izbrisano: o 

Izbrisano: a 

Izbrisano: , 

3.7 Izogibanje IDS sistemom in preprečevanje filtriranja 

Izogibanje IDS (Intrusion Detection System) sistemom se lahko izvede na dva 

načina: 

• Z uporabo fragmentacije paketov, ki se sestavijo, ko pridejo do ciljnega 

računalnika. 

• Uporaba zavajanja z IP naslovi, ki oponaša več lažnih uporabnikov, ki 

izvajajo skeniranje omrežja. Med te naslove je vstavljen tudi resničen IP 

naslov. 

Izbrisano: a 

Filtriranju Paketov se lahko izognemo z uporabo fragmentiranih ali deformiranih 

paketov. Vseeno se največ uporabljata dve tehniki za izogibanje paketnih filtrov: 

Izbrisano: .


• uporaba izvornega usmerjanja, 

• uporaba določenih TCP ali UDP vrat. 

Izbrisano: U 

Izbrisano: . 

Izbrisano: U 

3.7.1 Fragmentacija paketov 

Pakete se fragmentira z uporabo programa fragroute za fragmentacijo vseh 

paketov, ki se pošiljajo v omrežje ali pa z omrežnim skenerjem, ki podpira 

enostavno fragmentacijo (nmap). Večina IDS senzorjev ne more procesirati tako 

velikega števila fragmentiranih paketov, ker zahteva veliko porabo spomina in 

obremenitev centralne procesne enote senzorja. 

Izbrisano: , 

# nmap -sS -f 192.168.102.251 

Starting nmap 3.45 ( www.insecure.org/nmap/ ) 

Interesting ports on cartman (192.168.102.251): 

(The 1524 ports scanned but not shown below are in state: closed) 

Port State Service 

25/tcp open smtp 

53/tcp open domain 

8080/tcp open http-proxy 

Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds 

3.7.2 Zavajanje z več naslovi 

Pri oponašanju več napadalcev hkrati postanejo vsi IDS zaščitni mehanizmi in 

beleženje prometa neuporabni. Orodje nmap omogoča vnašanje več naslovov, ki 

zavajajo IDS sistem. 

Izbrisano: , 

# nmap -sS -P0 -D 62.232.12.8,ME,65.213.217.241 192.168.102.251 


Interesting ports on cartman (192.168.102.251): 




53/tcp open domain


8080/tcp open http-proxy 

Nmap run completed -- 1 IP address (1 host up) scanned in 0 seconds 

3.7.3 Izvorno usmerjanje 

Izvorno usmerjanje se ponavadi uporablja pri odpravljanju napak v omrežju. Pri 

izvornem usmerjanju paketu že na izvoru določimo pot skozi omrežje. Če požarna 

pregrada ali prehod pošljeta informacijo o izvornem usmerjanju nazaj skozi 

omrežje, lahko na enem od hopov z uporabo sleparjenja (spoofing) spremljamo 

promet. 

Naprave, ki vračajo informacijo o izvornem usmerjanju, lahko določimo s 

programom isrscan. 

Izbrisano: no 

Izbrisano: - 

# lsrscan 217.53.62.0/24 

217.53.62.0 does not reverse LSR traffic to it 

217.53.62.0 does not forward LSR traffic through it 

217.53.62.1 reverses LSR traffic to it 

217.53.62.1 forwards LSR traffic through it 

217.53.62.2 reverses LSR traffic to it 

217.53.62.2 does not forward LSR traffic through it 

Ker nekateri prehodi vračajo informacijo o izvornem usmerjanju, lahko uporabimo 

orodje Isrtunnel za napad s sleparjenjem (spoofing). 

# lsrtunnel -i 192.168.102.2 -t 217.53.62.2 -f relay2.ucia.gov 

Izbrisano: l 

Izbrisano: 

Isrtunnel sledi prometu na IP naslovu (192.168.102.2) z uporabo drugega sistema 

v omrežju. Vsako TCP skeniranje na tem IP naslovu je preusmerjeno na ciljni 

naslov in se zdi, da izvira iz verodostojnega vira. 

3.7.4 Uporaba določenih TCP ali UDP vrat 

Pri uporabi orodij, kot je nmap za skeniranje UDP ali TCP vrat, je pomembno 

določiti specifične izvorne vrata. Pri UDP, polodprtem SYN in obratnem FIN 

skeniranju se uporabljajo sledeča vrata:


• TCP ali UDP vrata 53 (DNS), 

• TCP vrata 20 (FTP), 

• TCP varata 80 (HTTP), 

• TCP ali UDP varata 88 (Kerberos). 

S programom nmap lahko izvajamo polodprto TCP SYN skeniranje vrat, ki 

uporabljajo vrata 88. Skeniranje je izvedeno na strežniku z operacijskim sistemom 

Windows 2000 Server, ki omogoča IPsec filtriranje. 

# nmap -sS -g 88 192.168.102.250 


Interesting ports on kenny (192.168.102.250): 



7/tcp open echo 

9/tcp open discard 

13/tcp open daytime 

17/tcp open qotd 

21/tcp open ftp 


42/tcp open nameserver 

53/tcp open domain 

80/tcp open http 

88/tcp open kerberos-sec 

135/tcp open loc-srv 

139/tcp open netbios-ssn 

443/tcp open https 

445/tcp open microsoft-ds 

464/tcp open kpasswd5 

548/tcp open afpovertcp 

593/tcp open http-rpc-epma 

636/tcp open ldapssl 

1026/tcp open nterm 

2105/tcp open eklogin 

6666/tcp open irc-serv 

Nmap run completed -- 1 IP address (1 host up) scanned in 1 secondsecond 

Izbrisano: 

Izbrisano:


3.8 Programi za skeniranje omrežja 

3.8.1 Nmap network scanner 

Izbrisano: 

Oblikovano: Označevanje in 

oblikovanje 

Nmap (Network mapper) je orodje, ki temelji na odprti kodi. Uporablja za 

raziskovanje omrežij. Nmap uporablja IP pakete za odkrivanje gostiteljev v 

omrežju, odkrivanje storitev na gostitelju (imena in verzije aplikacij), odkrivanje 

operacijskih sistemov in verzij operacijskih sistemov. Zazna tudi požarne pregrade 

in paketne filtre, ki so v uporabi na določenem sistemu. 

3.8.2 Nessus 

Nessus je orodje za odkrivanje varnostnih pomanjkljivosti na oddaljenih sistemih. 

Orodje deluje na Linux, BSD, Solaris in ostalih UNIX-ih. Zasnovano je na vtičnikih, 

ima grafični uporabniški vmesnik in je sposobno preveriti več kot 1200 varnostnih 

ranljivosti. Rezultati skeniranja so uporabniku lahko predstavljeni v HTML, XML, 

LaTeX in ASCII, pri tem pa uporabnik dobi tudi nasvete za odpravo odkritih 

varnostnih težav. 

Izbrisano: , 

4 Omrežni vohljač 

Vohljač prometa (sniffer) je katero koli orodje, ki zbira informacije, ki potujejo prek 

omrežja. Namen vohljača je postaviti omrežni vmesnik v stanje poslušanja 

celotnega prometa v omrežju. 

Vohljač zajema ves promet v omrežju. Promet je zgrajen iz paketov, ki prenašajo 

vitalne in včasih zelo občutljive podatke. Vohljač je zasnovan tako, da zajema in 

shrani analizo prometa za kasnejše pregledovanje. 

Vohljač omrežja se lahko implementira v katero koli točko v omrežju. Obstaja pa 

nekaj strateških točk, na katere krekerji postavljajo vohljače. Ena takih točk je kjer 

koli v bližini sistema ali omrežja, v katerega se vnaša veliko število gesel. Posebno 

priljubljene so naprave, ki so vstopna točka v omrežje ali prometne poti, prek 

katerih se prenašajo podatki iz zunanjih omrežij. 

Vohljač, nameščen v omrežju, pomeni, da je kreker že vdrl v omrežje in išče 

naslednje informacije (uporabnika imena in gesla), ki mu bodo pomagale pri 

vdiranju. Vohljači lahko pridobijo tudi druge informacije, ki se nahajajo v omrežju, 

Izbrisano: a 

Izbrisano: o 

Izbrisano: , 

Izbrisano: p 

Izbrisano: od 

Izbrisano: i 

Izbrisano: , 

Izbrisano: o


kot so občutljivi finančni podatki (številke kreditnih kartic), zaupne informacije 

(elektronska pošta) in zakonsko zaščitene informacije. To pomeni, da analizator 

omrežja lahko pridobi vsako informacijo, ki se prenaša prek omrežja. 

Izbrisano: o 

Slika 5: Analiziranje prometa z uporabo programa Ethereal 

4.1 Ethereal 

Ethereal je program za analiziranje mrežnih protokolov, namenjen Unix in 

Windows okoljem. Omogoča filtriranje zajemanja podatkov tako, da naredi 

prestrezanje gesel izredno enostavno opravilo. 

Izbrisano: 


oblikovanje 

4.2 Dsniff 

Je zbirka orodij za analizo in varnostno preizkušanje omrežij. Orodja Dsniff, 

filesnarf, mailsnarf, msgsnarf, urlsnarf in webspy so sposobna pasivno nadzirati 

omrežje in odkrivati zanimive podatke (gesla, e-mail, datoteke, ipd.). Arpspoof, 

dnsspoof in macof družno sodelujejo pri prestrezanju mrežnega prometa, ki je z 

Izbrisano: s


običajnimi orodji nedosegljiv zaradi layer-2 stikal ipd. Sshmitm in webmitm imata 

vgrajeno sposobnost izvedbe »monkey-in-the-middle« napadov na SSH in HTTPS 

seje. 

4.3 Ettercap 

Ettercap je tako imenovan »terminal-based« mrežni sniffer/interceptor/logger 

namenjen ethernet LAN omrežjem. Orodje podpira aktivno in pasivno analiziranje 

vrst protokolov (tudi SSH in HTTPS). Orodje je sposobno tudi »data injection« 

napadov in sinhroniziranja vzpostavljenih povezav. Orodje ima sposobnost 

preverjanja, v kakšnem okolju se nahajate in ima vgrajeno sposobnost 

prepoznavanja vrste operacijskih sistemov (OS fingerprinting). 

Izbrisano: " 

Izbrisano: " 

Izbrisano: " 

Izbrisano: " 

Izbrisano: e 

Izbrisano: " 

Izbrisano: " 

5 Pridobivanje in razbijanje gesel 

Heker za pridobitev gesel v napadeni računalnik prekopira več hekerskih 

programov. Če gre za računalnik z operacijskim sistemom Windows, bo v 

računalnik naložil program Pwdump2, z njim je mogoče iz SAM (Security Account 

Manager) in AD (Active Directory) izvleči uporabniška imena in gesla, čeprav so 

128-bitno šifrirana. 

Izbrisano: Z 

Izbrisano: izvlačenje 

Izbrisano: , 

Izbrisano: heker 

Izbrisano: e 

5.1 Razbijanje (krekanje) gesel 

Krekerji gesel so programi, ki odstranijo zaščito z geslom ali pa dešifrirajo geslo. 

Vendar taki programi v resnici ne znajo dešifrirati gesel, ker se pravilno šifriranih 

gesel ne da dešifrirati. Večina današnjih šifrirnih procesov je enosmernih, kar 

pomeni, da z nobenim orodjem ne moremo izvesti obratnega procesa, ki bi 

dešifriral geslo. Namesto tega se uporabljajo orodja za simuliranje, ki uporabljajo 

isti algoritem kot originalni program, s katerim je bilo geslo ustvarjeno. Programi 

uporabljajo primerjalno analizo gesel, to pomeni, da preizkušajo besedo za 

besedo in jo primerjajo z originalnim geslom. Analiza gesel s primerjanjem se je 

izkazala za uspešno predvsem zaradi človeške naivnosti ali neznanja, saj večina 

uporabnikov uporablja enostavna gesla, ki jih taki programi zlahka odkrijejo. 

Eden takih programov je John the Ripper, ki omogoča razbijanje gesel, zapisanih 

v različnih formatih, v različnih operacijskih sistemih Linux/Unix in Windows. 

Izbrisano: i 

Izbrisano: i 

Izbrisano: i


Programu dodamo datoteko z gesli, nato lahko program začne z razbijanjem 

gesel. 

Slika 6: Razbijanje gesel s programom John the Ripper (http://www.netsecurity.org/images/reviews/i-hack/7.jpg) 

5.2 Programi za razbijanje gesel 

Izbrisano: 

 

Oblikovano: Obojestransko 

5.2.1 John the Ripper 

John the Ripper je hitro orodje, namenjeno lomljenju gesel, delujoče na številnih 

operacijskih sistemih od DOS, Win32, BeOS do OpenVMS. Primaren namen 

orodja je odkrivanje šibkih UNIX gesel, pri čemer orodje podpira vrsto crypt(3) 

gesel, značilnih za sisteme, kot so: Unix, Kerberos AFS in Windows NT/2000/XP. 

Izbrisano: pa vse 

5.2.2 THC-hydra 

Orodje omogoča napade s pomočjo slovarja na prijavne sisteme kot so: FTP, 

POP3, IMAP, Netbios, Telnet, HTTP Auth, LDAP NNTP, VNC, ICQ, Socks5, 

PCNFS. Vključuje tudi SSL podporo.


5.2.3 LC5 (L0phtcrack) 

L0phtCrack je namenjen lomljenju Windows in UNIX gesel. Orodje pridobi podatke 

potrebne za lomljenje gesel, tudi iz Windows NT/2000/XP delovnih postaj, mrežnih 

strežnikov, primarnih kontrolorjev domen in Aktivnega Direktorija. V nekaterih 

primerih lahko orodje pridobi podatke tudi s pomočjo prisluškovanja omrežja. 

Izbrisano: 

 


oblikovanje 

5.2.4 Crack 

Crack je najbolj pogosto orodje, ki se uporablja za razbijanje šifriranih UNIX gesel. 

Največkrat ga uporabljajo administratorji omrežij za preverjanje šibkih gesel v 

omrežju. 

Izbrisano: se 

5.2.5 MDcrack 

Program za razbijanje gesel lahko razbije tudi NTML-hashe gesla. Ima tudi grafični 

vmesnik in poleg razbijanja gesel omogoča izdelavo hasha za podani niz in 

tvorjenje močnih gesel. 

Izbrisano: , 

Izbrisano: el 

Izbrisano: , 

Izbrisano: 

5.2.6 Isadump2 

Program omogoča iz vnosov v registru, v katerih so računi za različne storitve 

Windows, gesla za storitve FTP in HTTP, gesla za domeno ter hashi gesla za 

zadnjih deset prijavljenih uporabnikov. 

5.3 Programi za beleženje tipk 

Možnost pridobivanja zaupnih podatkov in gesel se lahko izvede tudi s programi 

za beleženje tipk. Ti programi se namestijo med tipkovnico in operacijskim 

sistemom ter beležijo vsako pritisnjeno tipko. 

Izbrisano: n 

Izbrisano: e 

Izbrisano: , 

Izbrisano: el 

Izbrisano: 

Izbrisano: in 

5.3.1 Invisible keylogger 

Invisible Keylogger je program za beleženje pritisnjenih tipk, ki omogoča tudi 

spremljanje drugih dejanj. Program je legalen in se uporablja kot orodje za 

spremljanje dejavnosti v izbranem računalniku doma ali na delovnem mestu. 

Invisible Keylogger omogoča nevidno beleženje gesel, saj deluje na najnižjem 

nivoju operacijskega sistema Windows in zabeleži tudi vnose v sistemsko prijavno 

Izbrisano: , 

Izbrisano: ker


okno, na skrivaj beleži pogovore uporabnika v spletnih klepetalnicah, beleži 

obiskana spletna mesta, ima sposobnost zajema ekranskih slik, zbrane podatke 

lahko pošlje napadalcu prek žrtvine elektronske pošte. Program ima možnost 

zaščite z geslom, šifrirati je mogoče tudi zbrane podatke. 

Izbrisano: , 

Izbrisano: p 

Izbrisano: rog 

Slika 7: Ekranska slika Invisible keylogger-ja 

(http://monitor.infomediji.si/images/clanki/slika/Hekerji4_slika3.jpg) 

5.3.2 FakeGINA 

Program FakeGINA je trojanska različica programa GINA (The Graphical 

Identification and Authorization). GINA je posrednik med uporabnikom in 

operacijskim sistemom, ki izvaja na primer začetno prijavo v sistem (to je program, 

ki se prikaže, ko pritisnemo kombinacijo tipk Ctrl+Alt+Del). Na ta način zabeleži 

vsa prek njega vnesena gesla. Program je mogoče namestiti prek omrežja. Heker 

najprej prekopira knjižnico fakegina.dll v imenik %SystemRoot%\system32, nato 

uporabi orodje reg.exe iz zbirke Resource Kit in doda ustrezen vnos v register. 

Potem mora zgolj znova zagnati sistem, za kar lahko uporabi še eno od orodij iz 

zbirke Resource Kit - shutdown.exe. Zajeta uporabniška imena in gesla shrani v 

datoteko passlist.txt.


Slika 8: Namestitev programa FakeGINA v sistem 

(http://kb.winantiviruspro.com/winantivirus.com/uploads/1System32-dll-files.gif) 

6 Vrste Napadov 

6.1 Trojanec 

Trojanec ima navidez zaželeno in uporabno funkcijo, čeprav v večini primerov ta 

funkcija ni zaželena, a tudi to ne vedno. Ta uporabna funkcija programa služi za 

prikrivanje resničnega namena programa. Večina trojancev vsebuje funkcije 

uporabne za skeniranje prometa ali funkcije, ki omogočajo namestitev stranskih 

vrat, ki jih hekerji uporabljajo za oddaljen nadzor računalniškega sistema. Bistvena 

razlika med računalniškim virusom in trojancem je, da je trojanec tehnično 

popolnoma normalen računalniški program in se ne razširja sam. 

Izbrisano: j 

Izbrisano: vendar 

Izbrisano: j 

Izbrisano: vendar 

Izbrisano: , 

Izbrisano: m 

Izbrisano: n 

Izbrisano: 

 

 

6.1.1 Primer trojanca 

Eden najbolj priljubljenih trojancev je Back Orifice. Sestavljen je iz dveh delov. 

Prvega, BOserver, namestimo na računalnik, ki ga želimo nadzorovati, z drugim, 

BOclientom, pa računalnik, kamor smo namestili BOserver, nadzorujemo. 

Računalnik, kamor želimo namestiti BOserver, mora biti stalno ali pa vsaj občasno 

priključen na internet. Program se namesti tako, da se ob vsakem novem zagonu 

računalnika avtomatično aktivira, izvajanje programa je nevidno (program v 

opravilni vrstici ni viden), po namestitvi pa se namestitveni program sam izbriše. 

Izbrisano: sestavljen 

Izbrisano: imenuje 

Izbrisano: se 

Izbrisano: , 

Izbrisano:


Slika 9: Uporabniški vmesnik trojanca Back Orifice 

(http://www.microsoft.com/technet/images/security/virus/images/virus02_BIG.gif) 

6.2 Rootkit 

Orodja, ki omogočajo in ob tem prikrivajo hekerske dejavnosti, imenovane rootkit 

(korenski komplet), so bolj prikrita oblika trojanskih konjev, saj v sistem ne 

dodajajo novih programov, temveč spremenijo obstoječe sistemske izvršilne 

datoteke, s katerimi si tako zagotovijo dostop v sistem. Z zamenjavo sistemskih 

komponent so programi rootkit precej bolj nevarni za sistem kot običajni trojanski 

konji. Na začetku so bili namenjeni predvsem za sisteme Unix, zdaj pa se 

uporabljajo tudi na sistemih Windows, kjer običajno zamenjajo datoteke DLL 

(Dynamic Link Library) ali pa drugače spremenijo sistem. Ko je napadalec v 

sistemu, mu rootkit omogoča, da ohrani svoj dostop do sistema in hkrati prikrije 

sledove vdora.


6.3 Virus 

Virus je računalniška koda, ki se pripne na program ali datoteko, tako da se lahko 

razširi iz enega računalnika v druge in jih tako okuži. Virusi lahko poškodujejo 

programsko opremo, strojno opremo in datoteke. Virus se poskuša razširiti iz 

računalnika v računalnik tako, da se pripne na gostiteljski program. Lahko 

poškoduje strojno opremo, programsko opremo ali podatke. Virus je pri širjenju v 

večini odvisen od človeškega faktorja, kot je dajanje datoteke v skupno rabo ali 

pošiljanje elektronske pošte. 

6.4 Črv 

Slika 10: Računalnik, okužen z virusom sasser (http://www.pcexperience.de/Bilder-Artikel/sasser.5.gif) 

Črv je prav tako kot virus zasnovan z namenom širjenja v druge računalnike, 

vendar to naredi samodejno, tako da prevzame nadzor nad računalniškimi 

funkcijami za prenos datotek in podatkov. Ko se črv naseli v sistemu, lahko potuje 

sam. Nevaren je prav zaradi izjemne sposobnosti hitrega širjenja: svoje kopije 

lahko na primer pošlje na vse naslove, ki se nahajajo v imeniku, računalniki 

naslovnikov pa naredijo isto, kar povzroči učinek domin. Velik omrežni promet, ki 

je posledica širjenja črva, lahko upočasni poslovna omrežja in celo internet kot 

celoto. Črv se ponavadi širi brez dejanja uporabnika in po omrežjih pošilja lastne 

Izbrisano: adresarju


kopije (včasih celo spremenjene). Črv lahko uporablja pomnilnik ali omrežno 

pasovno širino, zaradi česar se lahko računalnik preneha odzivati. 

Ker se črvom ni treba širiti prek gostiteljskega programa ali datoteke, se lahko 

naložijo v sistem in omogočijo drugim osebam, da prevzamejo nadzor nad 

računalnikom. Pred kratkim razvit črv MyDoom je bil zasnovan tako, da je odprl 

stranska vrata v okuženih sistemih in jih uporabil za napade na spletne strani. 

6.5 Phishing 

Beseda Phishing je skovanka besed »password« in »fishing«. Cilj tako imenovanih 

phishing napadov je pridobivanje gesel in uporabniških imen internetnih 

uporabnikov s pomočjo elektronske pošte in lažnih spletnih strani. Napadalec 

naredi popolne kopije spletnih strani znanega podjetja (banke in druge finančne 

ustanove), s pomočjo skript zagotovijo, da se v naslovni vrstici uporabnikovega 

brskalnika prikaže nepravi URL naslov, ki je podoben pravemu naslovu podjetja, 

nato pa uporabnika s sporočilom, ki mu ga pošljejo na elektronski naslov, 

pozovejo k spremembi njegovih podatkov na lažni spletni strani. V lažni elektronski 

pošti uporabljajo uveljavljena imena bank, plačilnih kartic in drugih finančnih 

organizacij. Zaradi spletnega naslova, ki se v začetku ujema s pravim naslovom 

(npr. www.visa.com/xyz/xyz/), uporabnik ne opazi, da se nahaja na lažni strani in 

napadalcu zaupa občutljive podatke, kot so: številka plačilne kartice, PIN koda, 

gesla in uporabniška imena za dostop in podobno. 

Izbrisano: - 

Izbrisano: s 

Izbrisano: - 

Primer napada: 

• datum: 11. oktober 2004 

• pošiljatelj: eBay 

• naslov pošiljatelja: eBay@reply3.ebay.com 

• naslov sporočila: New and improved account protection! 

• format sporočila: html 

• cilj prevare: pridobitev gesel in uporabniških imen eBay-evih uporabnikov 

• poziv k akciji: »eBay is introducing a new account verification method...To 

confirm your identity with us click here...»


• vidna (lažna) povezava: 

https://signin.ebay.com/ws2/eBayISAPI.dll?SignIn&favoritenav=&sid=&rupr 

oduct 

• prikrita povezava: 

http://67.154.85.178/.ws2/safeharbor.verify.ebay.com/login.php 

• IP naslov strežnika lažne spletne strani: 67.154.85.178 

6.6 Napadi prek elektronske pošte 

Napad prek elektronske pošte se navadno odraža v pošiljanju nezaželene pošte 

različnim uporabnikom. Napadalec poišče nezavarovan poštni strežnik in prek 

njega pošlje milijone sporočil na naslove, ki jih pridobi na različne načine. 

Nezavarovani poštni strežniki zahtevajo vnos uporabniškega imena in gesla samo 

za prihajajočo pošto. Ker ne zahtevajo gesla za prihajajočo pošto, lahko 

napadalec pošilja elektronsko pošto na veliko število naslovov, s tem pa pogosto 

onemogoči poštni strežnik, ki največkrat ne zmore takšne obremenitve. 

Prav tako se prek elektronske pošte, navadno v priponkah, širijo tudi virusi in 

trojanci, kar pomeni, da je varnost elektronske pošte v veliki meri odvisna od 

uporabnika računalniškega sistema. 

6.7 DOS – denial of service 

Napad DoS lahko začasno onesposobi celotno omrežje. DoS izkorišča ranljivost 

implementacije IP protokola, zaradi česar tak napad deluje na vseh platformah od 

UNIX-a pa vse do Windowsov. DoS napad se lahko izvede na več načinov. 

Poznamo več tipov in programov za izvajanje DoS napadov: 

Izbrisano: o 

Izbrisano: o 

Izbrisano: j 

Izbrisano: o 

Izbrisano: o 

Izbrisano: ranljivost 

Izbrisano: - 

Izbrisano: N 

• napad, ki porablja računalniške vire, kot so pasovna širina, prostor na disku 

in procesor, 

• vplivanje na konfiguracijo (npr. informacija o usmerjanju), 

• vplivanje na fizične komponente sistema.


6.8 DdoS napad 

DdoS (Distributed Denial Of Service) napad, pri katerem večje število sistemov, ki 

si jih podredi napadalec, napade eno tarčo in s tem povzroči napad DoS. Poplava 

prihajajočih sporočil na ciljni sistem povzroči, da se sistem preneha odzivati. 

Napadalec prične z DdoS napadom tako, da izkoristi ranljivosti enega sistema in 

ga postavi kot glavni sistem v DdoS napadu. Iz tega sistema napadalec identificira 

in komunicira z drugimi sistemi (zombiji), ki jih uporabi za napad. Na te sisteme 

napadalec naloži orodja za proženje napada. Z enim samim ukazom sproži napad 

z vseh podrejenih sistemov na ciljni sistem. DdoS napad je v veliki meri podoben 

DoS napadu, le da se pri Ddos napadu uporabi več računalniških sistemov. 

Lastniki sistemov, ki se uporabijo za napad, se ponavadi niti ne zavedajo, da je bil 

njihov računalnik uporabljen za DdoS napad. 

Izbrisano: 

Napadalec 

glavni sistem 

glavni sistem 

zombi zombi zombi zombi zombi zombi zombi zombi 

Žrtev 

Slika 11: Shema DdoS napada 

6.8.1 Nuke 

Nuke napad pošlje nepravilen ali razdrobljen ICMP paket, ki sproži hrošča v 

operacijskem sistemu in podre sistem. Tak napad je znan kot ping smrti. 

Izbrisano: 


oblikovanje 

Izbrisano: 

Izbrisano: 

Izbrisano:


6.8.2 Winnuke 

Winnuke je napad, ki izkorišča ranljivost starejših sistemov Windows. Na napadeni 

računalnik je poslan niz podatkov na vrata 139, kar povzroči zaklep računalnika in 

prisili uporabnika k ponovnemu zagonu računalnika. 

6.8.3 SYN Flood 

SYN Flood za svoje delovanje izkorišča pomanjkljivosti TCP povezav. Vsaka TCP 

povezava vsebuje threeway handshake, ki ga odjemalec začne s SYN paketom, 

strežnik pošlje odgovor SYN-ACK. Strežnik si mora zapomniti sekvenčno številko 

odjemalca, za kar mora rezervirati določen del pomnilnika. Napad SYN Flood 

postopek izkoristi tako, da strežniku pošlje veliko količino SYN paketov, pri čemer 

je strežnik zasut s podatki in ne more več sprejemati povezav od ostalih 

uporabnikov. 

6.8.4 SMURF 

SMURF izkorišča nepravilno konfigurirana omrežja s tem, da pošlje ping paket 

nepravilno konfiguriranemu usmerjevalniku, ki te pakete pošlje naprej vsem 

napravam v lokalni mreži. Te naprave se nato odzovejo in usmerijo pakete na 

sistem, ki je napaden (SMURF ojačenje) ter tako zasičijo lokalno omrežje. 

Izbrisano: ,


Slika 12: SMURF napad 

(http://www.networkdictionary.com/images/SmurfAttack.gif) 

6.9 Spoofing napad 

Spoofing napad ali slepljenje je tehnika, pri kateri se napadalčev sistem 

napadenemu sistemu prek ponarejanja komunikacijskih paketov predstavi kot 

zaupanja vreden sistem. Obstajata dva temeljna elementa medsebojne 

identifikacije: zaupanje in proces overjanja (avtentikacije). Zaupanje je odnos med 

sistemi, ki so avtorizirani za medsebojno povezavo, overjanje pa je proces, ki ga 

sistemi uporabijo za medsebojno identifikacijo. Zato velja, da v primeru, če med 

dvema sistemoma obstaja visoka raven zaupanja, potem overjanje za 

vzpostavitev povezave ni potrebno. S prilagajanjem datoteke etc/rhosts se da 

sistem prepričati, da je napadalčev sistem vreden zaupanja, zato se lahko 

napadalec izogne vnašanju uporabniškega imena in gesla. 

Izbrisano: ,


Ciljni računalnik 

Požarni zid 

Verodostojno omrežje 

Privzeta pot 

Pot z izvornim usmerjanjem 

Omrežje s ponarejenim virom 

Slika 13: IP spoofing napad 

(http://www.oreilly.com/catalog/nettroubletools/chapter/ntt_0403.gif) 

Potek napada: 

• napadalec pridobi podatke o sistemu, 

• začasno onemogoči delovanje strežnika, ki ga bo oponašal, 

• ponaredi IP naslov strežnika, 

• vzpostavi povezavo z napadenim sistemom, 

• ugotovi sekvenčno številko tarče. 

6.10 Ugrabitev seje 

Ugrabitev seje je dejanje, pri katerem napadalec prevzame nadzor, potem ko je 

uporabnik že uspešno vzpostavil in avtentificiral povezavo. Napadalec mora za 

ugrabitev seje pridobiti ID (identifikacijsko) številko seje, ki se uporablja za 

avtentikaciranje seje. ID številka seje je navadno alfanumerični niz številk, ki se


prenaša med uporabnikom in strežnikom. Številka seje je pogostokrat shranjena v 

piškotkih (cookies), URL naslovih in na skritih mestih na spletnih straneh. 

URL naslov, ki vsebuje številko: 

http://www.gasper.com/view/7AD30725122120803 

ID številka skrita na spletni strani: 

 

Napadalec lahko ID številke seje ukrade na različne načine: z analizo omrežnega 

prometa, z namestitvijo trojanca na ciljni računalnik, iz HTTP glave, kjer je 

shranjena ID številka, in z uporabo skriptiranih napadov, kjer napadalec uporabi 

zlonamerno skripto, ki preusmeri zasebne uporabniške informacije na napadalčev 

računalnik. 

Izbrisano: napadalec lahko 

Izbrisano: 

6.11 Prekoračitev vmesnika 

Za napade s prekoračitvijo vmesnika so lahko ranljive točke vsaka slabo napisana 

aplikacija in vsak sestavni del operacijskega sistema. S preiskovanjem teh ranljivih 

točk lahko napadalec v sistemu izvrši določene ukaze, s katerimi lahko prevzame 

nadzor nad sistemom. Napadalec pri napadu vpiše v aplikacijo več podatkov, kot 

je v aplikaciji prostora. V aplikacijo vnese strojno kodo in procesorju ukaže, da 

izvrši dodano strojno kodo, s tem pa se izvede želeni ukaz, ki ga želi napadalec 

izvesti. Težava pri napadu s prekoračitvijo vmesnika je, da aplikacije ne preverjajo 

količine podatkov, ki so bili vneseni. 

V operacijskih sistemih Windows NT/2000/XP se prekoračitev vmesnika 

največkrat izvaja tako, da se omogoči izvršitev datotek DLL (Dynamic Link 

Library). DLL so datoteke, ki se uporabljajo za opravljanje različnih opravil v 

operacijskem sistemu. 

Izbrisano: ukaže 

Izbrisano: š


Slika 14: Potek prekoračitve vmesnika 

7 Google – hekersko orodje 

Uporaba spletnega iskalnika Google je sposobnost iskalnika, da prikaže velike 

količine podatkov, ki omogočajo vstope v direktorije, odkrivanje skrivnosti na 

internetu in celo pridobivanje informacij, kot so uporabniška imena in gesla. 

Internetni iskalnik www.google.com ima vgrajene tudi možnosti uporabe naprednih 

iskalnih parametrov, ki lahko pomagajo pri zmanjševanju števila zadetkov našega 

iskanja. Google beleži celotne spletne strani, ne samo naslovov in opisov. Dodatni 

ukazi imenovani sintakse omogočajo uporabniku Googla določiti specifične dele 

spletnih strani ali točno določene tipe informacij. Možnost takega iskanja je zelo 

Izbrisano: e- 

Izbrisano: , 

Izbrisano: e


priročna, saj imamo pri iskanju opravka s prek dvema bilijonoma spletnih strani, 

ukazi v Googlu pa nam omogočajo celo skrčiti rezultate iskanja. 

Najpomembnejši iskalni parametri: 

Izbrisano: o 

Izbrisano: 2 

Izbrisano: a 

Izbrisano: e- 

• intitle: omogoča iskanje po naslovih spletni strani, 

• inurl: omogoča iskanje po URL naslovih spletnih strani, 

• filetype: omogoča določiti točno določen tip datoteke npr. pdf, txt, cfg itd., 

• allintext:iskanje točno določenega teksta na spletnih straneh, 

• site: preiskovanje določenega spletnega mesta, 

• link: iskanje povezav do določenega spletnega mesta, 

• numrange: določanje razpona iskanja številk, 

• daterange: iskanje datumov v razponu, 

• author: iskanje po avtorju, 

• group: iskanje po skupinah. 

Izbrisano: . 

Posamezni parametri se lahko uporabljajo v različnih kombinacijah, pri čemer nam 

lahko izid iskanja poda točno tisti dokument, ki ga iščemo. 

Izbrisano: z 

Posebni iskalni znaki: 

• ( + ) izid vsebuje še nekaj dodatnega, 

• ( - ) izločimo iskalni niz, 

• ( " ) omogočimo iskanje celotnega niza, 

• ( . ) zamenjava celotne besede, 

• ( * ) zamenjava za katero koli besedo, 

• ( l ) znak za ali (OR). 

Primeri iskanja s kombinacijo iskalnih parametrov in iskalnih znakov: 

Iskalni niz: allinurl:auth_user_file.txt nam vrne gesla, uporabniška imena in 

poštne naslove. 

3aZxWw.P0DoAA|denny|admin|denny|schreiber|dasjr900@zbzoom.net|on 

eyhE4HvdF586Q|dogwood|normal|debby|smith|denny@inhometutor.com|on


79VqjblMzZcKI|tiamasam|member|Debby|Hein|tiamasam@aol.com|on 

izldC5qAmDRcc|Tippy|normal|Robin|Harms|Tippytay@aol.com|on 

fkoQRvM1vQYkA|BKGRL9580|normal|Mary|Ritchie-Harps|Vain40@aol.com|on 

0oXi40EnH94Wo|DGM|normal|Don |Maier|dmaier1317@aol.com|on 

Iskalni niz "Webthru User Login" vrne povezave do različnih nadzornih kamer. 

Izbrisano: z 

Izbrisano: . 

Slika 15: Posnetek nadzornih kamer v gostinskem lokalu 

Iskalni niz "RICOH Network Printer D model-Restore Factory" vrne povezave 

do nastavitvenega vmesnika tiskalnikov raznih podjetij. 

Izbrisano: e


Slika 16: Posnetek nastavitvenega vmesnika tiskalnika 

Iskalni niz intitle:"Setup home" "You will need" * log in before ** chnage * 

settings" vrne povezave od strani do usmerjevalnika Belkin. 

Izbrisano: do 

Izbrisano: k 

Slika 17: Spletni vmesnik za konfiguracijo usmerjevalnika


Iskalni niz intitle: "Multimon UPS status page" vrne povezave do spletnih 

vmesnikov za nadzor UPS naprav. 

Izbrisano: intitle: 

Slika 18: Spletni vmesnik za nadzor UPS naprav 

8 Napadi na brezžična omrežja 

Omrežje WLAN je brezžično lokalno omrežje, ki ima eno ali več dostopnih točk 

AP, ki so vmesnik med žičnim in brezžičnim omrežjem. Dostopna točka sporoča 

svojo dostopnost z oddajanjem SSID (System Set Identifier) omrežnih imen. 

WLAN povezave so zaščitene s standardom WEP. WEP omogoča šifriranje 

podatkov in overitev med računalniki in dostopnimi točkami. Šifriranje se izvaja na 

osnovi deljenega skritega ključa. Ključ ima dolžino 40 ali 104 bite in 24-bitni 

inicializacijski vektor (IV). IV se spremeni ob vsakem poslanem sporočilu in ključ je 

sestavljen iz deljenega skrivnega ključa, IV je njegova dolžina, in sicer 64 ali 128 

bitov in se zaradi IV neprestano spreminja. Storitve temeljijo na overitvi ž, določeni 

s specifikacijo 802.1x. 

Naslednja vrsta zaščite, ki je bila uvedena, je WPA (Wi-Fi Protected Access) 

brezžični zaščiten dostop, ki je sestavljena iz overjanja s specifikacijo 802.1x in 

Izbrisano: jo 

Izbrisano: i 

Izbrisano: ker je 

Izbrisano: in 

Izbrisano: ć


protokola TKIP (Temporary Key Integrity Protocol). TKIP je odgovoren za 

generiranje šifrirnega ključa, šifriranje sporočil in preverjanje njihove integritete. 

Brezžične komunikacije, kot je WLAN, uporabljajo javno dostopne frekvence, ki so 

tako dostopne praktično vsakomur, kar še povečuje tveganje za vdor v sistem. 

8.1 Wardriving 

Wardriving ali vojna vožnja je način odkrivanja brezžičnih omrežij z vožnjo v 

avtomobilu. Napadalec na svoj avtomobil namesti zunanjo anteno, ki se poveže 

PCMCIA brezžično kartico v prenosnem računalniku. Na prenosnem računalniku 

mora imeti heker nameščena še ustrezna orodja, kot so brezžični skenerji in 

vohljači omrežja. Ti programi med vožnjo iščejo brezžične dostopne točke in 

pridobijo dovolj informacij, ki so potrebne za vdor v brezžično omrežje. Napadalec, 

ki vdre v nezavarovano brezžično omrežje, obide tudi požarni zid, ki je ob takem 

napadu brez funkcije. Zaščititi se je možno fizično tako, da signalu preprečimo 

prehajanje iz zgradbe ali pa s postavljanjem lažnih dostopnih točk. 

Izbrisano: , 

Slika 19: Pripomočki za vojno vožnjo (http://www.wardriving.com/oldnews/fiva.jpg) 

Oblikovano: Napis 

Izbrisano:


8.1.1 NetStumbler 

Netstumbler je najboljše Windows orodje za odkrivanje ranljivih brezžičnih 

dostopnih točk (wardriving). Obstaja tudi WinCE različica, namenjena PDA 

računalnikom, imenovana Ministumbler. Nima sposobnosti pregledovanja TCP/IP 

povezav, ima pa možnost odkrivanja brezžičnih omrežij. NetStumbler ni pasiven 

program, zato je njegova prisotnost v omrežju vidna. 

Izbrisano: 


oblikovanje 

Izbrisano: " 

Izbrisano: " 

8.1.2 Kismet 

Kismet je sniffer, namenjen brezžičnim omrežjem in prilagojen za sodelovanje z 

velikim številom brezžičnih kartic. Orodje je sposobno samodejnega odkrivanja 

omrežij UDP, ARP in DHCP paketov, odkrivanja Cisco opreme. 

8.1.3 AirSnort 

AirSnort je brezžično (WLAN) orodje, ki je sposobno odkriti enkripcijske ključe. 

Program pasivno nadzira povezave in ob zadostni količini prometa izračuna 

enkripcijski ključ. 

9 Zaščita pred napadi 

9.1 Požarna pregrada 

Požarna pregrada ali požarni zid je naprava, ki preprečuje nepooblaščen dostop 

do zasebnih omrežij. Požarni zid se lahko implementira v obliki strojne in 

programske opreme ali pa kot kombinacija obeh. Najpogosteje požarne pregrade 

uporabljajo za preprečevanje dostopa uporabnikov interneta do zasebnih omrežij 

(intranet), ki so priključena na internet. Vsa sporočila, ki vstopajo ali izstopajo iz 

intraneta, gredo čez požarno pregrado. Požarna pregrada pregleda vse pakete in 

bloke sporočil, ki ne ustrezajo določenim varnostnim kriterijem. Na podlagi 

preverjanja vsebine paketov požarna pregrada dovoli ali prepreči vse poizkuse 

povezovanja prek določenega vmesnika v ali iz omrežja. Obstaja več različic 

požarnih pregrad: 

Izbrisano: a 

Izbrisano: se 

Izbrisano: m 

Izbrisano: dostop 

Izbrisano: o


Slika 20:Implementacija požarne pregrade (http://www.smartcom.si/index.php?sv_path=7,14,68,205) 

• Paketni filter: Pregleduje vsak izvorni ali ponorni paket in ga sprejme ali 

zavrne glede na uporabniško določena pravila. Filtriranje paketov je precej 

učinkovito in neopazno za uporabnike, vendar potrebuje zahtevno 

konfiguracijo. Poleg tega pa je dovzetno za IP spoofing. 

• Aplikacijski prehod: Ponuja varnostne mehanizme za določene aplikacije, 

kot so FTP in Telnet strežniki. Učinkovita zaščita, ki pa zmanjša 

zmogljivost. 

• Prehod na nivoju voda: Zagotavlja varnostne mehanizme pri 

vzpostavljanju TCP ali UDP povezave. Ko je povezava vzpostavljena, se 

paketi lahko prenašajo med uporabniki brez nadaljnjega preverjanja. 

• Proxy strežnik: Prestreza vsa sporočila, ki izhajajo iz omrežja ali prihajajo 

v omrežje. Proxy strežnik učinkovito skriva resničen naslov omrežja. 

Izbrisano: , 

V praksi požarne pregrade uporabljajo eno ali več tehnik za zaščito omrežja. 

Požarna pregrada predstavlja prvi nivo zaščite omrežja. Za nadaljnjo zaščito služi 

šifriranje podatkov. 

9.2 Antivirusni program 

Antivirusni programi so programi, ki poskušajo identificirati, preprečiti in uničiti 

računalniške viruse in drugo zlonamerno programsko opremo (trojanski konji, 

Izbrisano: ostalo


vohljači), ki se prenaša z elektronsko pošto ali pa s pregledovanjem internetnih 

strani ter s prenašanjem okuženih datotek iz interneta. 

Izbrisano: I 

Slika 21: Širjenje zlonamerne programske opreme (http://www.smartcom.si/index.php?sv_path=7,14,68,204) 

Antivirusni program navadno uporablja več različni načinov za zaščito 

računalniškega sistema. 

Odkrivanje virusov s pomočjo baze virusnih definicij 

Antivirusni program pri pregledovanju datotek zanaša na bazo že poznanih 

virusov. Če se del kode v datoteki ujema z definicijo v bazi virusnih definicij, 

antivirusni program najprej poskuša popraviti program z odstranitvijo virusa, 

prestavi datoteko v karanteno in s tem prepreči širjenje virusa na druge datoteke 

ali izbriše datoteko. Za zagotavljanje uspešne zaščite, moramo bazo virusnih 

definicij periodično obnavljati. Vendar pa odkrivanje virusov s pomočjo baze 

virusnih definicij ni nujno vedno uspešna, saj so avtorji virusov začeli pisati viruse, 

ki šifrirajo del svoje kode, tako da ne ustrezajo vedno virusnim definicijam in jih 

antivirusni program ne zazna. 

Izbrisano: , 

Izbrisano:


Odkrivanje virusov na osnovi delovanja sistema 

Tako odkrivanje virusov ne temelji na osnovi identifikacije že znanih virusov, 

temveč opazuje vedenje programov. Če eden od programov poskuša zapisati 

podatke v izvršljivo datoteko, lahko antivirusni program to dejanje zazna in 

uporabnika obvesti ter ga vpraša, kaj storiti v takem primeru. Tako lahko 

antivirusni program odkrije tudi nove viruse, ki jih še ne vsebuje v bazi virusnih 

definicij. Vendar pa se v današnjem času ta tehnika uporablja vse manj, saj je 

velikokrat prihajalo do lažnih obvestil antivirusnega programa, ker se vse več 

legalnih programov včasih prav tako spreminja izvrševalne datoteke. 

Izbrisano: in 

Izbrisano: j 

9.3 IDS – sistem za zaznavanje vdorov 

Sistem za zaznavanje in preprečevanje vdorov pregleduje ves vhodni in izhodni 

promet v omrežju in razpozna nenavadne aktivnosti v omrežju, ki bi lahko 

naznanjale napad in vdor v sistem ali v omrežje. Sistem deluje na 

omrežno/aplikacijskem nivoju. Ugotavljanje napadov in njihovo preprečevanje je 

pomembno, saj je na tak način možno preprečiti vdore še preden bi lahko 

povzročili kakršno koli škodo. 

IDS sistem se razlikuje od požarnega zidu v tem, da požarni zid išče napade in 

prepreči njihovo izvajanje. Požarni zid prepreči dostop napadom do omrežja in ne 

zazna napada znotraj omrežja. IDS sistem zazna napad, ko napad že poteka in 

nato sproži opozorilo. Poleg tega pa IDS sistem zaznava napade, ki izvirajo iz 

računalnikov znotraj omrežja. 

Izbrisano: , 

Izbrisano: , 

Izbrisano: , 

Izbrisano: 

Slika 22: Sistem za ugotavljanje in preprečevanje vdorov (http://www.smartcom.si/index.php?sv_path=7,14,68,206) 

Izbrisano:


IDS sistem deluje na več načinov: 

Izbrisano: 

 

Izbrisano: 

Zaznavanje zlorab 

IDS sistem zbira in analizira informacije in jih primerja z bazo podatkov v kateri se 

nahajajo vsi znane vrste napadov. Enako kot v primeru antivirusnih programov, je 

učinkovitost sistema odvisna od baze napadov, s katero primerja promet. 

Zaznavanje nepravilnosti 

Pri preprečevanju napadov na osnovi zaznavanja nepravilnosti, administrator 

omrežja določi normalno stanje v omrežju, kot je prometna obremenitev, izpadi 

delovanja, protokoli v omrežju in tipična velikost paketov v omrežju. Detektor išče 

nepravilnosti v omrežju, tako da primerja dejansko stanje v omrežju s stanjem, ki 

ga določi administrator. 

Izbrisano: nepravilnosti 

Omrežni in gostiteljski nivo zaščite 

Pri omrežnem nivoju zaščite se analizira posamezne pakete, ki potujejo prek 

omrežja. IDS sistem zazna zlonamerne pakete, ki so navadno zasnovani tako, da 

se izognejo požarni pregradi. Pri gostiteljskem nivoju zaščite, IDS sistem 

pregleduje aktivnosti na vsakem posameznem računalniku ali strežniku, ki se 

nahaja v omrežju. 

Izbrisano: o 

Pasivni in aktvni način delovanja 

V pasivnem načinu delovanja, IDS sistem zazna potencialno varnostno kršitev, 

zabeleži informacijo in sproži opozorilo. V aktivnem načinu delovanja se IDS 

sistem odzove na sumljive aktivnosti v omrežju. Računalnik, iz katerega prihaja 

grožnja, se odklopi iz omrežja, tako da preprogramira požarni zid, ki nato blokira 

ves promet iz tega računalnika. 

Izbrisano: l


10 Sklep 

Do pred kratkim se ljudje niso zavedali nevarnosti, ki prežijo na računalniške 

sisteme z interneta. Večina računalnikov je bila nezaščitenih in tudi danes je 

povprečen uporabnik interneta premalo osveščen o nevarnostih, ki prežijo z 

interneta, kar hekerjem v veliki meri olajša delo. 

Hekerska orodja razvijajo posamezniki in jih širijo prek spleta. Uporabniki teh 

orodij so ponavadi mladi računalničarji, ki tudi če imajo omejeno znanje lahko 

uporabljajo ta orodja. Razlog za povečanja uporabe takih orodij je v razmahu 

interneta in dostopnosti širokopasovnih povezav. Hekerska orodja se navadno 

uporabijo v zlonamerne cilje, čeprav niso vedno ustvarjena s takim namenom. 

Heker tako orodje poskuša neopazno vključiti v računalnik žrtve, da pridobi nadzor 

na daljavo. Za pridobitev nadzora na daljavo se uporabljajo virusi in trojanci, ki 

okužijo računalnik in naložijo program, ki hekerju nato omogoča nemoten dostop 

do sistema. Virusi in trojanci se navadno prenašajo prek elektronske pošte in 

programov za klepetanje. Pri takih vrstah napadov je še vedno največji problem 

človeški faktor in nepoznavanje potencialnih nevarnosti. Zato se je vedno treba 

prepričati, ali datoteka, ki smo jo prejeli, prihaja od zaupanja vrednega vira. 

Naslednji novo zaščite je dober antivirusni program, ki pa ga je treba stalno 

posodabljati z novimi virusnimi definicijami. Vendar pa antivirusni program 

navadno ni zadostna zaščita, ker vse kode niso nujno opredeljene za zlonamerne 

in jih antivirusni programi ne zaznajo, odkritje zlonamernih programov pa je 

potrebno, preden se namestijo v sistem. Zato so proizvajalci varnostnih rešitev 

začeli ponujati varnostne pakete, ki vključujejo več različni orodij združenih skupaj. 

Taki paketi programske opreme navadno vsebujejo antivirusni program požarni 

zid, zaščito pred nezaželeno pošto in zaščito pred raznimi vohunskimi in oglasnimi 

programi. Vedno pa je na koncu vse odvisno od uporabnika samega in njegovega 

poznavanja nevarnosti, ki prežijo z interneta. 

Izbrisano: , 

Izbrisano: r 

Izbrisano: o 

Izbrisano: š 

Izbrisano: . 

Izbrisano: o 

Izbrisano: potrebno 

Izbrisano: e 

Izbrisano: potrebno


11 Viri in literatura 

1. ANTI – VIRUS SOFTWARE [online]. 2005. [Citirano 2. jan. 2006; 13:35]. 

Dostopno na spletnem naslovu: . 

2. ERICKSON, Jon. 2003. Hacking: The Art of Exploitation. San Francisco: No 

Starch Press. ISBN 1593270070. 

3. FIREWALL (networking [online]. 2005. [Citirano 2. jan. 2006; 14:18]. Dostopno 

na spletnem naslovu:

Stran 5: [1] Izbrisano Gasper 26.2.2006 11:59:00 

SEZNAM KRATIC.................................................................................................. 7 

1 Uvod ............................................................................................................... 8 

2 Sledenje........................................................................................................ 10 

2.1 NIC poizvedovanje ................................................................................. 12 

2.2 DNS poizvedovanje................................................................................ 12 

2.2.1 Podrobna DNS poizvedba...................................................................................... 13 

2.2.2 Prenos cone ........................................................................................................... 13 

2.2.3 SMTP preiskovanje ................................................................................................ 13 

3 Skeniranje .................................................................................................... 14 

3.1 Tehnike skeniranja ................................................................................. 14 

3.2 ICMP preiskovanje sistema.................................................................... 15 

3.3 Echo request .......................................................................................... 15 

3.4 Timestamp request................................................................................. 16 

3.5 Address mask request............................................................................ 16 

3.6 TCP skeniranje....................................................................................... 16 

3.7 Izogibanje IDS sistemom in preprečevanje filtriranja.............................. 17 

3.7.1 Fragmentacija paketov ........................................................................................... 18 

3.7.2 Zavajanje z več naslovi .......................................................................................... 18 

3.7.3 Izvorno usmerjanje ................................................................................................. 19 

3.7.4 Uporaba določenih TCP ali UDP vrat..................................................................... 19 

3.8 Programi za skeniranje omrežja............................................................. 21 

3.8.1 Nmap network scanner .......................................................................................... 21 

3.8.2 Nessus.................................................................................................................... 21 

4 Omrežni vohljač........................................................................................... 21 

4.1 Ethereal.................................................................................................. 22 

4.2 Dsniff ...................................................................................................... 22 

4.3 Ettercap.................................................................................................. 23 

5 Pridobivanje in razbijanje gesel ................................................................. 23 

5.1 Razbijanje (krekanje) gesel .................................................................... 23 

5.2 Programi za razbijanje gesel .................................................................. 24 

5.2.1 John the Ripper ...................................................................................................... 24 

5.2.2 THC-hydra .............................................................................................................. 24 

5.2.3 LC5 (L0phtcrack).................................................................................................... 25 

5.2.4 Crack ...................................................................................................................... 25 

5.2.5 MDcrack ................................................................................................................. 25 

5.2.6 Isadump2................................................................................................................ 25 

5.3 Programi za beleženje tipk ..................................................................... 25 

5.3.1 Invisible keylogger.................................................................................................. 25 

5.3.2 FakeGINA............................................................................................................... 26 

6 Vrste Napadov ............................................................................................. 27 

6.1 Trojanec ................................................................................................. 27 

6.1.1 Primer trojanca ....................................................................................................... 27 

6.2 Rootkit .................................................................................................... 28 

6.3 Virus ....................................................................................................... 29 

6.4 Črv.......................................................................................................... 29 

6.5 Phishing ................................................................................................. 30 

6.6 Napadi prek 


elektronske pošte............................................................................................. 31 

6.7 DOS – denial of service.......................................................................... 31 

6.8 DdoS napad ........................................................................................... 31 

6.8.1 Nuke ....................................................................................................................... 32

6.8.2 Winnuke.................................................................................................................. 33 

6.8.3 SYN Flood .............................................................................................................. 33 

6.8.4 SMURF................................................................................................................... 33 

6.9 Spoofing napad ...................................................................................... 34 

6.10 Ugrabitev seje ........................................................................................ 35 

6.11 Prekoračitev vmesnika ........................................................................... 36 

7 Google – hekersko orodje .......................................................................... 37 

8 Napadi na brezžična omrežja ..................................................................... 41 

8.1 Wardriving .............................................................................................. 42 

8.1.1 NetStumbler............................................................................................................ 43 

8.1.2 Kismet..................................................................................................................... 43 

8.1.3 AirSnort................................................................................................................... 43 

9 Zaščita pred napadi..................................................................................... 43 

9.1 Požarna pregrada................................................................................... 43 

9.2 Antivirusni program ................................................................................ 44 

9.3 IDS – sistem za zaznavanje vdorov ....................................................... 46 

10 Sklep ......................................................................................................... 48 

11 Viri............................................................................................................. 49 

Stran 5: [3] Izbrisano ghribar 6.3.2006 12:21:00 


Slika 1: Pridobivanje podatkov o strežnikih prek 


spleta..................................................................................................................... 7 

Slika 2: Pridobivanje podatkov s pomočjo funkcije tracert ..................................... 8 

Slika 3: Sledenje z uporabo programa SamSpade ................................................ 9 

Slika 4: Skeniranje s programom Nmap .............................................................. 12 

Slika 5: Analiziranje prometa z uporabo programa Ethereal................................ 19 

Slika 6: Razbijanje gesel s programom John the Ripper ..................................... 21 

Slika 7: Ekranska slika Invisible keylogger 


ja 23 

Slika 8: Namestitev programa FakeGINA v sistem.............................................. 24 

Slika 9: Upobniški vmesnik trojanca Back Orifice ................................................ 25 

Slika 10: Računalnik, okužen z virusom sasser................................................... 26 

Slika 11: Shema DdoS napada............................................................................ 29 

Slika 12: SMURF napad ...................................................................................... 31 

Slika 13: IP spoofing napad................................................................................. 32 

Slika 14: Potek prekoračitve vmesnika ................................................................ 34 

Slika 15: Posnetek nadzornih kamer v gostinskem lokalu ................................... 36 

Slika 16: Posnetek nastavitvenega vmesnika tiskalnika ...................................... 36 

Slika 17: Spletni vmesnik za konfiguracijo usmerjevalnika .................................. 37 

Slika 18: Spletni vmesnik za nadzor UPS naprav................................................ 38 

Slika 19: Pripomočki za vojno vožnjo .................................................................. 39 

Slika 20: Implementacija požarne pregrade......................................................... 41 

Slika 21: Širjenje zlonamerne programske opreme ............................................. 42 

Slika 22: Sistem za ugotavljanje in preprečevanje vdorov................................... 43 

Stran 49: [7] Oblikovano ghribar 6.3.2006 12:18:00 

portugalščina (Brazilija)


portugalščina (Brazilija) 

Stran 49: [9] Oblikovano Gasper 5.3.2006 10:37:00 

španščina (Španija - sodobna) 

Stran 49: [10] Spremeni Urška Perko 20.2.2006 11:26:00 

Oblikovano označevanje in oštevilčevanje 

Stran 49: [11] Oblikovano Goran 22.2.2006 10:55:00 

španščina (Španija - sodobna) 

Stran 49: [12] Spremeni Gasper 5.3.2006 10:38:00 




Stran 49: [14] Oblikovano Gasper 5.3.2006 10:38:00 



Anonimen avtor. 2005. 


Maximum Security: A Hacker's Guide to Protecting Your Internet Site and Network. 


Angel722 Publishing. 2005. 


nemščina (Nemčija) 


nemščina (Nemčija) 

Stran 49: [20] Spremeni Urška Perko 20.2.2006 11:26:00 



Phishing [online]. 


[Citirano 28. dec. 2005; 10:15]. Dostopno na spletnem naslovu: 

. 2005. 

Anti-virus software [online]. 


[Citirano 2. jan. 2006: 13:35]. Dostopno na spletnem naslovu: 

. 2005. 

Firewall (networking [online]. 



. 2005. 

Intrusion-detection system [online].



. 2005. 

ERICKSON, Jon: 


Hacking: The Art of Exploitation. San Francisco: No Starch Press. ISBN 1593270070. 

2003. 

LUDWIG, Mark A 


: The Little Black Book Of Computer Viruses. Arizona: American Eagle Publications. 

ISBN 0-929408-02-0. 1996.

DIPLOMSKA NALOGA

Create successful ePaper yourself

Delete template?

Save as template?