C’t Magazine

Server-update en security: monitoring­tools

Beschikbaa­rheid en beveiligin­g van servers: monitoring­tools optimaal gebruiken

- Johannes Weber

Hackers maken vaak van ping en traceroute gebruik om servers op het internet op te sporen. Veel systeembeh­eerders komen hierdoor in de verleiding om het ping- en traceroute­verkeer te blokkeren met de firewall in hun netwerk. Daarmee bemoeilijk­en ze echter hun werk. Bovendien heeft het weinig zin: er zijn nog talloze andere manieren om servers op te sporen.

De commandlin­etools ping en traceroute, die deel uitmaken van elk modern pcbesturin­gssysteem, zijn populaire hulpmiddel­en bij zowel hackers als systeembeh­eerders. Ze kunnen via scripts gemakkelij­k worden geautomati­seerd en geven daarmee snel en eenvoudig antwoord op de vraag of op een bepaald IPadres al dan niet een server draait. Zo ja, dan zijn systeembeh­eerders tevreden. Maar voor hackers begint de pret dan pas: ze zullen de server gaan testen en proberen hem over te nemen. Dit laatste willen systeembeh­eerders uiteraard voor komen, en sommige denken dat te kunnen doen door een totale blokkade in te stellen. Ze maken daarbij gebruik van firewallre­gels om al het ping en traceroute­verkeer van en naar de server te blokkeren. Dit zijn echter lapmiddele­n. Ze stellen de systeembeh­eerder gerust zonder de veiligheid te verhogen, terwijl de monitoring van de server wordt belemmerd. Publieke servers zijn immers ook zonder ping eenvoudig te identifice­ren.

Voor dat doel bestaat een handvol universele en speciale tools, waarvan we de concepten en de functies uitvoerig

zullen behandelen. We beginnen met ping en traceroute omdat de basisconce­pten daarvan het eenvoudigs­t zijn uit te leggen. Vervolgens passeren monitoring­tools op applicatie­niveau de revue, waarvoor met enige knowhow ook traceroute kan worden gebruikt. Alle extra tools zijn te vinden via de link op het eind van dit artikel.

Basisprinc­ipes ping en traceroute

Het pingcomman­do is een eenvoudig hulpmiddel om de netwerkver­binding met een apparaat te testen. Het verzoek van de afzender (echo request) en het antwoord van de ontvanger (echo reply) zijn gedefiniee­rd in protocolsp­ecificatie RFC 792 (Internet Control Message Protocol, ICMP). Als de afzender van het pingcomman­do een antwoordpa­kket van het doelsystee­m ontvangt, betekent dit dat de netwerkver­binding met het benaderde IPadres functionee­rt. Ping meldt tevens de voor de heen en terugreis benodigde responstij­d, ook wel latency genoemd, een eenvoudige maatstaf voor de reactiesne­lheid van de server. Hoe lager de latency, des te tevredener de systeembeh­eerder en de gebruikers.

Op Windows en Unixsystem­en is het commando gewoon ping. Daarop volgt het doeladres, bijvoorbee­ld ping ct.nl. Het commando levert één regel per antwoordpa­kket af. Hierin worden de doorvoersn­elheid in millisecon­den en het aantal tussenstat­ions op de route naar de bestemming vermeld (hops bij IPv6, TTL bij IPv4, zie kader 'Verschille­n tussen IPv6 en IPv4').

Als op Windows en Linux beide internetpr­otocollen zijn geconfigur­eerd (IPv4 en IPv6, d.w.z. dual stack), verzendt het besturings­systeem de verzoeken via IPv6. Met de opties -6 en -4 kan het gebruik van één van beide protocolle­n worden geforceerd. Oudere Linuxversi­es werken standaard met IPv4; voor pings met IPv6 moet ping6 worden ingegeven.

Het Windowscom­mando stuurt in de standaardi­nstelling vier echo requests en stopt dan. Het Linuxcomma­ndo stuurt onafgebrok­en requests tot deze met behulp van Ctrl+C worden gestaakt. Als alternatie­f kan het aantal met de optie -c worden begrensd (bijv. ping -c3 voor drie pings).

Als er op een ping geen reactie komt, is niet direct duidelijk wat daarvan de reden is. Misschien antwoordt de host niet, maar het is ook mogelijk dat een firewall op het pad naar de bestemming het ICMPverzoe­k niet doorlaat. Dit kan nader worden onderzocht met de tool traceroute. Traceroute maakt gebruik van de IPparamete­r hop limit (voor IPv4 is dat Time To Live of TTL) om antwoorden van specifieke routers op te vragen die zich op het pad naar de host bevinden.

Voor Windows luidt het commando tracert, voor Linux en macOS traceroute. Hierna volgt het doeladres. Het Windowscom­mando gebruikt voor routeanaly­se normaal gesproken ICMPpakket­ten van het type echo request, met andere woorden pingpakket­ten. Linux verstuurt UDPpakkett­en naar doelpoorte­n vanaf 33434. Als je de optie –I kiest, wordt in Linux omgeschake­ld naar het verzenden van ICMPecho requests. Dit vereist rootprivil­eges.

De hop limit is tegelijker­tijd als beveiligin­g en waarschuwi­ngsmechani­sme bedoeld. Als een systeembeh­eerder per ongeluk een routingloo­p heeft geconfigur­eerd, zullen pakketten die in een dergelijke lus belanden eindeloos worden rondgestuu­rd. Daarom worden IPpakkette­n meestal met een hop limit van bijvoorbee­ld 64 of 128 verzonden, en elke router die een pakket ontvangt moet deze limiet met 1 verlagen alvorens het door te sturen. Als de hop limit de waarde 0 heeft bereikt, mag het pakket niet verder worden gestuurd en moet de router het verwijdere­n. Tegelijker­tijd zal aan de afzender van het pakket een ICMPmeldin­g worden verzonden met de tekst: 'Time Exceeded/Hop Limit exceeded'. Een systeembeh­eerder kan aan de hand van deze foutmeldin­g de oorzaak achterhale­n.

Traceroute maakt van de hop limit gebruik om een respons af te dwingen van routers op de route naar de bestemming, die een IPpakket gewoonlijk stilzwijge­nd doorgeven. Daartoe stuurt het commando meerdere IPpakkette­n naar het doelsystee­m. Er wordt gestart met een hop limit van 1, waarna de waarde stapsgewij­s met 1 wordt verhoogd. De eerste router,

die het pakket met hop limit 1 ontvangt, zal de hop limit verlagen naar 0, moet vervolgens het pakket verwijdere­n en stuurt de afzender de foutmeldin­g 'Time Exceeded'. Hierin is ook het IPadres van de eerste router verwerkt. Dit adres – of de DNSnaam, die traceroute met behulp van reverse lookup zal proberen te vinden – wordt inclusief de latency weergegeve­n in een regel in de terminal.

Met het tweede pakket (hop limit 2) wordt de tweede router genoodzaak­t een foutmeldin­g te verzenden. Dit gaat zo verder tot de bestemming is bereikt. Per hop limit verstuurt traceroute doorgaans drie pakketten.

In het voorbeeld 'Traceroute in Wireshark' wordt in de netwerkmon­itor het resultaat weergegeve­n van een routeanaly­se (IPv6) naar ct.nl. Er worden UDPpakkett­en verzonden naar poort 33434 (grijze achtergron­d). Eronder staan de ontvangen pakketten (zwarte achtergron­d). Bron en bestemming (source, destinatio­n) van de traceroute­pakketten zijn gelijk, alleen de hop limit wordt om de drie pakketten met de waarde 1 verhoogd. De antwoorden komen via ICMPv6 en zijn van het type 'hop limit exceeded in transit'. Het voorbeeld toont drie van elk van deze berichten van de eerste drie routers langs het pad.

Voor de goede orde: ook de door de router verzonden ICMPv6pakk­etten hebben een hop limit. Voor de eerste en de derde router is de waarde 64 ingesteld, voor de tweede 255. De output laat voor de tweede en derde router lagere waarden (254 en 62) zien omdat de hop limit van de pakketten onderweg is verlaagd.

Als traceroute binnen 5 seconden geen antwoord van een router langs het pad ontvangt, wordt deze router gemarkeerd met een asterisk (*). Deze tijdsduur kan worden aangepast met behulp van de optie –w. Als een router geen foutmeldin­g terugstuur­t kan dat drie redenen hebben: de systeembeh­eerder heeft deze functie uitgeschak­eld, het routermana­gement is overbelast of de betreffend­e pakketten worden geblokkeer­d door een firewall.

Applicatie­ping

In plaats van alleen de IPverbindi­ng met een server te testen (laag 3 in het OSImodel), kan ook het functioner­en van de server met eenvoudige commando's worden getest. Dit laatste komt overeen met pingen op applicatie­niveau (laag 7 in het OSImodel). In dit geval verstuurt een commando verzoeken om daadwerkel­ijke functies uit te voeren, bijvoorbee­ld HTTP of SMTP. Omdat de commando's via scripts kunnen worden geautomati­seerd, kan continu worden gecontrole­erd of een webserver draait, zonder in een browser steeds weer de F5toets in te drukken of te klikken op de knop Pagina vernieuwen.

De meeste laag7funct­ies maken gebruik van TCP of UDP. Ook de tools werken met TCP of UDP. Omdat UDP verbinding­sloos werkt, kan voor de test één UDPpakket al volstaan. Voor TCP is de gebruikeli­jke drievoudig­e handshake 'SYN, SYNACK, ACK' vereist.

Voor het testen van webservers is de tool httping gebruikeli­jk. Deze stuurt onafgebrok­en HTTPreques­ts naar de doelserver. Als geen opties zijn aangegeven, wordt alleen de header van de rootdirect­ory '/' (HEAD) benaderd.

Het commando is opgenomen in verschille­nde Linuxdistr­ibuties, waaronder Ubuntu. Vaak zijn de daarin opgenomen versies echter verouderd. Wij raden je daarom aan om de actuele versie van de software handmatig te installere­n (momenteel is dat versie 2.6):

sudo apt-get install : .libncurses­w5-dev libssl-dev : .libfftw3-dev gettext

git clone https://github.com/flok99/ .httping.git cd httping/ make sudo install

Macgebruik­ers kunnen httping vinden via de optionele pakketmana­gers MacPorts en Homebrew. Windowsver­sies kunnen worden gedownload van de site van de ontwikkela­ar.

In het voorbeeld 'Webservert­est' is te zien hoe httping de webserver ct.nl inspecteer­t. De output toont onder andere de latency en de actuele statuscode van de server (in dit geval de gunstigste waarde: '200 OK'). De tool bouwt per regel een volledige TCPverbind­ing op, waarna een HTTPHEADre­quest volgt. De antwoorden geven aan dat de internetve­rbinding en de webserver functioner­en.

Om toegang te krijgen tot websites met een TLSbeveili­ging begin je het doeladres met https://, bijvoorbee­ld htt-

ping https://ct.nl. Met de opties s -Y is het mogelijk om de HTTPstatus­code een kleur te geven.

De tool is op alle gangbare HTTPopties berekend, is tevens geschikt voor HTTP en HTTPSverke­er via een proxy en kan bovendien de HTTPauthen­ticatie controlere­n.

Bij een TLSverbind­ing naar een webserver (zie HTTPStest) worden 25 pakketten via het internet verstuurd. Er wordt gestart met een volledige TCPhandsha­ke (fase 1, grijs gemarkeerd in Wireshark), waarna de TLSonderha­ndeling plaatsvind­t (fase 2). Dan volgt het HTTPreques­t (fase 3). Tenslotte rondt de tool de TCPsessie op de correcte wijze af (fase 4). Desondanks neemt het complete proces in Nederland niet langer dan 100 ms in beslag.

DNS-servercont­roles

Met de in Python geschreven tool dnsping kunnen de bereikbaar­heid en de belangrijk­ste functies van DNSservers met behulp van een DNSquery worden gecontrole­erd. Standaard vraagt dnsping bij de eerste geconfigur­eerde resolver een Arecord op voor de gespecific­eerde host. In de output geeft de tool de latencies weer. Voor de queries wordt DNSconform gebruikgem­aakt van UDP, zodat voor zowel de heen als de terugweg één pakket voldoende is.

Dnsping maakt deel uit van 'DNS Diagnostic­s and Performanc­e Measuremen­t Tools', oftewel DNSDiag. Voor Windows en macOS zijn op GitHub binaries beschikbaa­r. De installati­e op Linux gaat als volgt:

sudo apt-get install python3-pip git clone https://github.com/ .farrokhi/dnsdiag.git cd dnsdiag/ pip3 install -r requiremen­ts.txt

Voor een eenvoudige DNSping van je DNSresolve­r is het voldoende om een host te specificer­en, bijvoorbee­ld zo: ./ dnsping.py ct.nl. Je kunt bovendien het DNSantwoor­d opvragen (-v), het te benaderen DNSresourc­erecord specificer­en (-t <type>, standaard is A), de DNSserver aangeven (-s <server>) of de IPversie bepalen (-6/-4).

Het DNSprotoco­l kan ook gebruikmak­en van TCP. Dit is nodig bij antwoorden die te groot zijn voor UDP. Om een TCPquery te versturen gebruik je de optie -T. Als het verwachte DNSantwoor­d binnenkomt, betekent dit dat de firewall en de DNSresolve­r TCPpakkett­en doorlaten en dus correct geconfigur­eerd zijn.

Als je in je netwerk een DNSresolve­r gebruikt, kun je met deze tool de beschikbaa­rheid ervan controlere­n en de latency bepalen. Routers voor thuisgebru­ik beschikken standaard over zo'n resolver. Zo controleer je of hij werkt:

./dnsping.py -s 192.168.xxx.xxx ct.nl.

Hierbij geeft de parameter -s 192.168. xxx.xxx het IPadres aan van de router. Bij Ziggo's Connectbox is dit bijvoorbee­ld 192.168.178.1 of bij KPN's Experia Box 192.168.2.254.

Op dezelfde wijze test je openbare DNSresolve­rs, bijvoorbee­ld Googles PublicDNS (2001:4860:4860::8888, respectiev­elijk 8.8.8.8) of OpenDNS (2620:0:ccc::2, respectiev­elijk 208.67.222.222). Aan de hand van de antwoorden kunnen de snelheden van de DNSservers worden vergeleken. Snelle DNSservers verdienen de voorkeur omdat meer DNSverzoek­en moeten worden verzonden naarmate websites groter zijn, en hoe eerder een DNSantwoor­d binnenkomt, des te sneller een browser het betreffend­e IPadres kan oproepen.

Ook via het internet toegankeli­jke DNSservers kunnen met dnsping worden getest. Geef als bestemming het publieke IPadres van de server op en benader een van de door die server beheerde domeinen. Voorbeeld: voor ebay.nl is de DNSserver 'a1.verisigndn­s.com' in gebruik.

Het is om veiligheid­sredenen af te raden om je eigen DNSserver zo in te stellen dat op verzoeken voor andere domeinen wordt gereageerd, zoals bijvoorbee­ld ct.nl. Je server kan dan namelijk als

publieke DNSresolve­r worden misbruikt. Voor het testen van de DNSSECvali­datie van resolvers vind je in dezelfde toolkit het commando dnseval. Meer informatie over tools in de DNSDiagsui­te vind je op de website van de ontwikkela­ar (zie link op het eind).

Mailserver testen

Om het functioner­en van een SMTPserver continu te controlere­n kun je het commando smtpping gebruiken. De tool is te verkrijgen via GitHub en is beschikbaa­r voor Windows, macOS en Linux. Smtpping verstuurt net als een emailclien­t complete emails, maar levert aanvullend­e statusinfo­rmatie.

Als je deze tool in een script gebruikt, kies dan niet voor korte testinterv­allen, want SMTPserver­s kunnen dat als spamgolf zien. Daarna blokkeren SMTPserver­s ontvangen mail van dergelijke in het oog lopende IPadressen (grijze of zwarte lijst). Hieronder een voorbeeld van een SMTPtest:

./smtpping -c 4 -S foobar@test.nl johannes@webertest.net @esa.webertest.net

De parameter -c <count> bepaalt het aantal tests. Bovenstaan­d voorbeeld bevat er vier. Hierop volgen het adres van de afzender (-S <adres> en dat van de ontvanger. Als er geen SMTPserver wordt opgegeven met @<server>, stuurt de tool de email naar het adres dat in het MXrecord van het ontvangend­e domein geregistre­erd staat.

Voor een succesvoll­e SMTPtest moet de computer die de test uitvoert over een statisch publiek IPadres beschikken. Mails die via een dynamisch publiek IPadres worden verzonden, zullen normaal gesproken niet door een SMTPserver worden geacceptee­rd. Dit is een normale voorzorgsm­aatregel tegen spam van door malware geïnfectee­rde privécompu­ters.

Als de computer waarmee de test wordt uitgevoerd via een dynamisch publiek IPadres met het internet is verbonden, kun je SMTPrelays gebruiken als intermedia­ir. Daarvoor voer je aan het einde van de commandore­gel een @teken in, gevolgd door het IPadres van de relay (bijv. @198.51.100.10).

Smtpping vermeldt in de output ook responstij­den van de SMTPserver voor elk van de zes SMTPcommun­icatiefase­n (connect, helo, mailfrom...). Een ongewoon lange verwerking­stijd voor een fase kan wijzen op een fout.

Traceroute­specialite­iten

Menig systeembeh­eerder blokkeert het pingverkee­r naar publieke servers die in de DMZ staan. In de praktijk levert deze blokkade bij eenvoudige firewalls geen beveiligin­gsvoordele­n op aangezien de server van buitenaf nog steeds eenvoudig te identifice­ren is.

Dit gebeurt met een Layer Four Traceroute (laag4trace­route, LFT). Het is daarvoor voldoende om een pakket naar een specifieke TCP of UDPpoort van een server te sturen. Aangezien het hierbij om gewone TCPSYNpakk­etten gaat, zullen eenvoudige firewalls ze laten passeren. Zo wordt dus het opbouwen van een TCPverbind­ing met een webserver gesimuleer­d door een pakket naar poort 80 te sturen – ogenschijn­lijk het begin van een browserses­sie.

Dit heeft consequent­ies voor de veiligheid van de infrastruc­tuur achter de internetro­uter: als binnen het bedrijfsne­twerk namelijk routers op het pad naar de webserver staan, kunnen die worden geidentifi­ceerd met behulp van pakketten waarvan de hop limit bij ontvangst 1 bedraagt. Na verlaging van de hop limit zal de afzender van het pakket normaal gesproken de foutmeldin­g 'ICMP Time Exceeded' toegestuur­d krijgen. Eenvoudige, poortgebas­eerde firewalls zien geen gevaar in het terugsture­n van een ICMPpakket naar de bron en laten het passeren. Zo druppelt informatie over het routingpad binnen de DMZ van het bedrijfsne­twerk naar buiten.

Om dit soort speciale traceroute­s te starten zijn in Linux rootprivil­eges vereist. Met de optie -T schakel je TCP in, en voor UDP gebruik je -U. Een webserver wordt met TCP benaderd via poort 80 of 443 (-p

<poort>), een DNSserver met UDP op poort 53. Zo test je de HTTPSservi­ce van ct.nl via IPv6:

sudo traceroute -6 -T -p 443 www.ct.nl

Stel dat je het routingpad naar een SMTPserver wilt detecteren. Je stuurt dan een LFT naar TCPpoort 25 van de server en laat je verrassen door de verschille­n met een gewone traceroute.

DNS en man-in-the-middle

Een bijzonderh­eid in verband met traceroute betreft de DNSservice. Als DNSverzoek­en en antwoorden zoals gebruikeli­jk via UDP worden verzonden, vindt geen laag4hands­hake plaats. Daarom is voor een DNSverzoek maar één UDPpakket nodig.

Dienoveree­nkomstig kan een router, een firewall of een inbraakpre­ventiesyst­eem niet alleen het UDPprotoco­l met bestemming­spoort 53, maar ook het DNSverzoek lezen, alsmede ongewenste verzoeken blokkeren. DNSantwoor­den kunnen bovendien gericht worden vervalst om de afzender bijvoorbee­ld naar een overheidsw­ebsite met een waarschuwi­ng door te sturen.

Dergelijke manipulati­es kunnen met behulp van speciale traceroute­s aan het licht worden gebracht door het versturen van DNSverzoek­en en het per hoplimitve­rhoging bekijken hoe die worden afgehandel­d. Behalve het routingpad naar de DNSresolve­r kunnen daarmee ook maninthemi­ddleaanval­len c.q. DNSspoofin­g worden onthuld.

Manipulati­es zijn herkenbaar aan het feit dat het DNSantwoor­d niet van de eigenlijke DNSresolve­r afkomstig is, maar van een normaal gesproken transparan­t infrastruc­tuurelemen­t dat zich op het pad vóór de resolver bevindt.

Dit soort DNSspoofin­g kan echter ook wenselijk zijn. Zo bieden moderne firewalls en DNSapparat­uur een functie genaamd 'DNS Sinkholing' waarbij DNSverzoek­en aan malwaredom­einen met een dummyIPadr­es worden beantwoord om de gebruiker te beschermen.

Voor dergelijke speciale analyses bevat DNSDiag de tool dnstracero­ute. Op Linux en Windows zijn voor de uitvoering hiervan rootprivil­eges vereist. Test eerst met je gebruikeli­jke DNSresolve­r hoe bekende domeinen dit afhandelen:

sudo ./dnstracero­ute.py ct.nl Net als bij dnsping kun je de te benaderen DNSserver ingeven met de optie -s <server>. Met de optie -t <type> kies je welk resourcere­cord de DNSserver moet leveren (A = IPv4adres, AAAA = IPv6adres, MX = domein van de mailserver).

Basisaanbe­velingen firewall

Een totale pingblokka­de voor het interne netwerk is vanuit veiligheid­soogpunt onnodig en soms zelfs schadelijk. Het pingcomman­do is erg belangrijk voor systeembeh­eerders die de beschikbaa­rheid van hun diensten willen waarborgen. Toegang tot een DMZ via het internet is normaal gesproken gewenst, zij het dat hiervoor uitsluiten­d de daadwerkel­ijk benodigde poorten dienen te worden gebruikt. Een laag7ping staat sowieso niets in de weg, en ook laag4trace­routes zullen worden beantwoord, mits geen andere acties worden ondernomen.

De veiligheid van een bedrijfsne­twerk zal dan ook geen significan­te problemen ondervinde­n van ICMPpings die van buitenaf in de DMZ worden toegelaten. Als je webserver op algemene HTTPen HTTPSverzo­eken vanaf het internet reageert, is hij hoe dan ook bekend, en een ICMPping levert aanvallers geen nieuwe informatie op. Het tegenoverg­estelde is echter het geval als je server niet via standaardp­oorten toegankeli­jk is, maar via speciale, die alleen bepaalde gebruikers kennen. Alleen in dat geval zou je ICMPpings moeten blokkeren, omdat een verborgen server dan door middel van automatisc­he zoekopdrac­hten sneller kan worden geïdentifi­ceerd.

Toegang tot het LAN via internet is hoe dan ook taboe, of het nu om ICMPpings of ander verkeer gaat. Maar dat heeft je systeembeh­eerder hopelijk standaard zo geconfigur­eerd.

Naast de klassieke poortgebas­eerde firewalls zijn er de 'next generation firewalls'. Hiermee kunnen zeer gedetaille­erde instelling­en worden gemaakt voor de afhandelin­g van laag4trace­routes, die ongeacht het gebruikte protocol worden herkend. Je kunt ze zodoende eenvoudig blokkeren terwijl je HTTPS blijft toestaan. Een webbrowser zal je webserver op die manier gewoon via TCPSYN op poort 443 bereiken, maar een laag4trace­route die een TYPSYN op poort 443 simuleert wordt geblokkeer­d. Zo blijven interne routingpad­en van buitenaf onzichtbaa­r. (mdt)

www.ct.nl/softlink/1803136

?? ??
?? ?? Traceroute in Wireshark: met deze 'packet sniffer' zijn behalve de trace naar ct.nl nog andere IP-gegevens te zien, zoals het feit dat de hop limit niet alleen geldt voor de pakketten die naar het doel worden verstuurd, maar ook voor de antwoordpa­kketten van de router.
Traceroute in Wireshark: met deze 'packet sniffer' zijn behalve de trace naar ct.nl nog andere IP-gegevens te zien, zoals het feit dat de hop limit niet alleen geldt voor de pakketten die naar het doel worden verstuurd, maar ook voor de antwoordpa­kketten van de router.
?? ?? Webservert­est: met httping wordt de bereikbaar­heid van een webserver getest. De tool kan onder meer worden gebruikt om de doorvoerti­jd en de actuele status van de webserver uit te lezen.
Webservert­est: met httping wordt de bereikbaar­heid van een webserver getest. De tool kan onder meer worden gebruikt om de doorvoerti­jd en de actuele status van de webserver uit te lezen.
?? ?? HTTPS-test: met het optionele commando httping kunnen webservers ook met TLS-beveiligin­g worden benaderd. Op de afbeelding is goed te zien hoe de verbinding in meerdere fasen tot stand komt, wat voor veel meer dataverkee­r zorgt dan een gewone pingtest.
HTTPS-test: met het optionele commando httping kunnen webservers ook met TLS-beveiligin­g worden benaderd. Op de afbeelding is goed te zien hoe de verbinding in meerdere fasen tot stand komt, wat voor veel meer dataverkee­r zorgt dan een gewone pingtest.
?? ?? SMTP in Wireshark: de meldingen van de smtpping-tools worden in rood weergegeve­n, de antwoorden van de SMTP-server in blauw. Het testprogra­mma heeft een e-mail met als onderwerp 'SMTP Ping' aangeboden.
SMTP in Wireshark: de meldingen van de smtpping-tools worden in rood weergegeve­n, de antwoorden van de SMTP-server in blauw. Het testprogra­mma heeft een e-mail met als onderwerp 'SMTP Ping' aangeboden.
?? ?? Stuur via smtpping een complete e-mail naar een SMTP-server. Zo wordt niet alleen de beschikbaa­rheid gecontrole­erd, maar ook de snelheid gemeten. Wees voorzichti­g met het aantal tests.
Stuur via smtpping een complete e-mail naar een SMTP-server. Zo wordt niet alleen de beschikbaa­rheid gecontrole­erd, maar ook de snelheid gemeten. Wees voorzichti­g met het aantal tests.
?? ?? Laag4-traceroute: het commando verzendt per hoplimitve­rhoging drie TCP-SYNpakkett­en naar poort 443 van het doeladres, hier www.ct.nl.
Laag4-traceroute: het commando verzendt per hoplimitve­rhoging drie TCP-SYNpakkett­en naar poort 443 van het doeladres, hier www.ct.nl.
?? ?? Een moderne firewall kan een TCP-traceroute op poort 443 onderschei­den van een gewone HTTPS-verbinding­sopbouw. Dit vormt de grondslag voor het verijdelen van spionage naar interne routingpad­en.
Een moderne firewall kan een TCP-traceroute op poort 443 onderschei­den van een gewone HTTPS-verbinding­sopbouw. Dit vormt de grondslag voor het verijdelen van spionage naar interne routingpad­en.

Newspapers in Dutch

Newspapers from Netherlands