книги хакеры / журнал хакер / 129_Optimized

просмотрим список процессов, рассортируем их по использованию процессорного времени в убывающем порядке и выберем 10 самых прожорливых:

PS> Get-Process | Sort CPU -Descending | Select -First 10

Все просто! Попробуем потушить самый жадный до CPU процесс:

PS> Get-Process | Sort CPU -Descending | Select -First 1 | stop-process

Чтобы узнать, какие диски доступны, вводим:

PS> Get-PSDrive

Обрати внимание, что в списке будут присутствовать и ветки реестра HKCU и HKLM, к которым можно обратиться как к обычному диску:

PS> cd HKLM:

PS HKLM>

Теперь можно перемещаться по выбранной ветке, просматривать, создавать и удалять объекты. Для PowerShell разработано большое количество командлетов, и если ты не хочешь повторно изобретать колесо, вполне естественно посмотреть на результаты работы других администраторов. Сообществом PowerShell создан репозитарий командлетов PoshCode Cmdlets (powershellcommunity.org/Scripts/ tabid/81/Default.aspx), который является неким аналогом Perl CPAN. Здесь можно найти решения практически на все случаи. Например,

Новое

â PowerShell 2.0

PowerShell v2 используется по умолчанию в Win2k8R2 и Win7. По сравнению с версией 1.0, оболочка получила 24 новых командлета и имеет ряд усовершенствований, о которых хотелось бы сказать отдельно (все они доступны в CTP3):

•Удаленное выполнение команд (PowerShell Remoting) — используя технологию WinRM, PowerShell может выполнять команды сразу на нескольких системах и отслеживать результат (Get-Help About_Remoting);

•Выполнение в фоне (Background Jobs) — возможность выполнять команды и скрипты в фоне (Get-Help About_PSJob);

•Новый API, который позволяет встраивать PowerShell в другие продукты;

•Новые переменные — пополнился набор переменных. Например,

$commandLineParameters позволит получить аргументы командной строки;

•Отладчик в консоли — теперь в скриптах, кроме Set-PSDebug, можно использовать еще ряд командлетов, устанавливать точки останова и продолжать отладку в пошаговом режиме (Get-Help about_debugger);

•Многочисленные улучшения в работе с WMI;

•Script Internationalization — новая функция, позволяющая создать скрипт, который затем можно легко перевести на другой язык (GetHelp about_Script_Internationalization);

•Новые операторы (@), -Join, -Split, упрощающие работы с текстовыми строками;

•ScriptCmdlets — возможность создания командлетов только с использованием кода PowerShell, без применения C# или Visual Basic .Net;

•Командлет Out-GridView позволяет выводить данные в виде таблицы (Get-Help Out-GridView);

•PowerShell Integrated Scripting Environment — графическая оболочка.

SYN\ACK

info

Некоторыекоманд-

леты(Get-WinEvent, Get-Counter, ImportCounter идругие) ра-

ботаюттольковновых версияхWindows (от

Vista).

СМОТРИМСПИСОКДОСТУПНЫХ WMI-ОБЪЕКТОВ

ВPOWERSHELL V2 ПОЯВИЛАСЬГРАФИЧЕСКАЯОБОЛОЧКА

HTTP://WWW

links

ЕщеоPowerShell

читайвстатьях:

•«Могучийшелл»

— www.xakep. ru/magazine/ xa/091/040/1.asp.

•«Меняемокнана консоль» — www. xakep.ru/magazine/ xa/101/154/1.asp.

•Блог, посвящен-

ныйPowerShell: blogs.msdn.com/ PowerShell.

•Веб-страница

Windows PowerShell: www.microsoft.com/ powershell.

•СтраницаTechNet «Active Directory Administration

with Windows PowerShell»: technet.microsoft. com/en-us/library/ dd378937(WS.10). aspx.

•Сообщество

PowerShell: www. powershell.com.

нужен снифер на PowerShell? Нет ничего проще! Качаем с сайта blog.robbiefoust.com/?p=68 файл Get-Packet.ps1 и запускаем:

PS> Get-Packet.ps1 -Statistics

Всепараметрыописанывнутрифайла.Другойкомандлет Analyze-Packet(blog.sapien.com/index.php/2008/08/14/ analyze-packet-reloaded) позволит получить детальную статистику по пакетам.

По умолчанию выполнение сценариев в PowerShell запрещено, поэтому не все команды удастся запустить. Просмотреть текущий статус политики выполнения можно командой:

PS> Get-ExecutionPolicy

AllSigned

Существует четыре типа политики:

Полезные

мелочи

Если приходится часто вводить одинаковые команды, воспользуйся алиасами. Для начала взглянем на список предустановленных псевдонимов:

PS> get-alias

Например, вместо «Get-Process» можно ввести просто «gps». Задать свой алиас очень просто:

PS> Set-Alias d Get-Date

Теперь, чтобы вывести дату, достаточно набрать «d». Если в скриптах некоторый код повторяется несколько раз, имеет смысл использовать функции:

function <èìÿ> {<êîä>}

Очень удобно, что все функции, объявленные во время текущего сеанса консоли, запоминаются, и к ним можно обращаться по мере необходимости.

•Restricted — возможно выполнение отдельных команд, сценарии запрещены;

•AllSigned — разрешено выполнение подписанных сценариев, перед запуском запрашивается подтверждение;

•RemoteSigned — похож на предыдущий, не запрашивается выполнение сценариев, подписанных надежным издателем, не требуется подпись для локальных сценариев;

•Unrestricted — можно запускать неподписанные сценарии.

PS> Set-ExecutionPolicy RemoteSigned

РАБОТАЕМСWMI-ОБЪЕКТАМИДоступ в скриптах PowerShell к инструментарию управления Windows (WMI, Windows Management Instrumentation) дает почти безграничные возможности: можно получать, устанавливать, контролировать практически любые системные параметры. Для работы с WMI в PowerShell используется командлет Get-WmiObject. Чтобы узнать все допустимые параметры, запускаем его со знаком вопроса. Команда «Get-WmiObject -List» выведет список всех доступных WMI-объектов (приготовься, он будет большим). Аналогично, добавив «-List» при вызове определенного класса, увидим все возможные методы и свойства. Например, просмотрим список всех классов, связанных с сетевыми настройками:

PS> Get-WmiObject -List | where {$_.name -match "net"}

И запросим настройки сетевых адаптеров:

NetworkAdapterConfiguration -Filter

IPEnabled=TRUE

В результате получим таблицу с полной конфигурацией. Чтобы сохранить ее в файл, достаточно использовать стандартную функцию перенаправления, то есть просто добавить в конец команды «> network.txt». Кроме того, есть возможность сразу отформатировать вывод (Get-Help Export). При вызове директиву «-Class» можно опустить. Также надо помнить о клавише <Tab>; если ее

нажать при вводе параметров, станет доступен список возможных вариантов. Иначе показываются все файлы текущего каталога.

info

• PowerShell — это расширяемаяоболочкасинтерфейсом команднойстрокии сопутствующийязык сценариев. Упрощает выполнениечасто используемыхзадач, позволяетсократить времяадминистрированиярабочих станцийисерверов, атакжеобеспечивает возможностьтонкой настройкикомпонен-

товОСWindows.

•СегодняPowerShell

являетсячастьюОС

Win2k8R2 иWin7

ивстроенвграфическиеконсоли администрирования последнихпродуктов

Microsoft (например, Exchange 2007 и System Center 2007).

•Интерфейспрограммирования приложенийADSI предназначендля доступакслужбе

Active Directory и

позволяетсоздавать, изменятьиудалять объектывкаталогах, выполнятьпоиски множестводругих операций.

•ПрииспользованииQAD команды дляработысAD выглядятнапорядок проще, аскрипты читабельнее.

•QAD командле-

тыпонадобятсяв случаеиспользованиянекоторыхGUI к PowerShell, вкото-

рыхимеетсяфункция дляработысActive Directory (например, PowerGUI).

POWERGUI ПОЗВОЛЯЕТИСКАТЬКОМАНДЛЕТЫ ВPOSHCODE CMDLETS ИЗОКНАРЕДАКТОРА

PS> $computer = 192.168.1.1

PS> $ping = Get-WmiObject Win32_PingStatus -filter "Address='$computer'"

// статус "0" означает нормальное завершение PS> if ($ping.StatusCode -eq 0)

>>{

>>Get-Service >>}

>>else

>>{

>> Add-Content "$computer is not available" >>}

>>}

РАБОТАЕМ С ACTIVE DIRECTORY Используя командлеты, можно выполнять все операции с Active Directory — создавать, удалять, изменять, просматривать свойства объектов, перемещать, переименовывать и восстанавливать объекты, управлять группами, ролями FSMO, доменами и лесами, настраивать политики и многое другое. Обращение к AD происходит через ADSI путем опроса пространства имен «System.DirectoryServices» .NET Framework (подробнее об этом можно прочитать на страничке msdn. microsoft.com/ru-ru/library/system.directoryservices.aspx). Но при использовании ADSI даже простые команды выглядят довольно пугающе для новичков (я уже не говорю о сложных конструкциях). Для примера зададим путь к контейнеру и просмотрим его свойства:

PS> $path = [ADSI]"LDAP://OU=testOU,DC=testdomain,DC=l ocal"

PS> $path | Format-List *

Чтобы создать новый объект, набираем:

PS> $user = $path.Create('user', 'cn= demo')

В состав Win2k8 входит утилита ADSI Edit, которая упрощает поиск параметров для написания сценариев, а в Win2k8R2 и Win7 (и только в них) доступен набор командлетов AD PowerShell (Active Directory Module for Windows PowerShell), с помощью которого можно:

•создавать, удалять, изменять и читать объекты пользователей, групп, компьютеров, управляемых аккаунтов служб и организационных подразделений;

•управлять свойствами аккаунтов: дата истечения, пароль и т.д.;

•управлять членством в группах, получать список групп, в которые включен аккаунт;

•управлять политикой паролей домена;

•перемещать контроллеры домена между сайтами и получать информацию о КД;

•управлять политикой репликации пароля контроллера домена только для чтения;

•управлять доменами и лесами, устанавливать функциональный уровень домена и леса.

Чтобы установить AD PowerShell в Win7, надо инсталлировать RSAT (Microsoft Remote Server Administration Tools, technet.microsoft. com/ru-ru/library/cc730825.aspx). После чего AD PowerShell можно загрузить прямо из меню «Программы и компоненты» (Turn Windows Features on or off — Remote Server Administration Tools — Role Administration Tools — AD DS and LDS Tools — Active Directory

PowerShellsnap-in).НасервереWin2k8R2нужныйкомпонентставит- ся еще проще:

PS> Add-WindowsFeature -Name "RSAT-AD-PowerShell" –IncludeAllSubFeature

Для загрузки модуля AD PowerShell набираем:

PS> import-module activedirectory

К примеру, получим все КД текущего домена:

PS> Get-ADDomainController -Filter { name -like "*" }

Также появились командлеты для работы с AD от сторонних разработчиков. Очень популярны свободно распространяемые AD PowerShell cmdlets (их еще называют QAD cmdlets), разработанные Quest Software (www.quest.com/activeroles-server/arms.aspx). В этом наборе имена командлетов составлены из стандартной пары «действие-объект». На первой позиции стоят все те же английские глаголы Get-, Set-, New-, Move-, Remove-, Rename- и так далее. На второй — описание объекта с префиксом QAD (-QADUser, -QADComputer, -QADGroup, -QADObject). Получить список доступных QAD командлетов очень просто:

PS> Get-QCommand

Если работаем под обычной учетной записью, подключимся к контроллеру домена в качестве администратора:

PS> $pw = read-host "Enter password" -AsSecureString

***********

PS> Ñonnect-QADService -service 'localhost' -proxy -ConnectionAccount 'testdomain\administrator' -ConnectionPassword $pw

Для начала получим список пользователей и затем компьютеров:

PS> Get-QADUser | Get-Member

PS> Get-QADComputer

Чтобы узнать информацию по отдельному пользователю и параметру, просто подставляем его в вызов:

ХОСТPOSHCONSOLE ДЛЯРАБОТЫСPOWERSHELL

username).LastLogon.Value

}

А теперь выберем всех пользователей из отдела Sales, проживающих в Москве, и укажем для них новый номер телефона:

PS> Get-QADUser -City Moscow -Department Sales | Set-

QADUser -PhoneNumber ‘495-1111111’

Создадим новую доменную учетную запись:

PS> New-QADUser -name 'user' -ParentContainer 'OU=test

OU,DC=testdomain,DC=local' -UserPassword 'P@ssword'

Чтобы отключить, включить или разблокировать учетную запись, следует использовать командлеты Disable-QADUser, EnableQADUser и Unlock-QADUser, соответственно. Также просто создавать новые объекты:

PS> Get-QADUser Vasja -Properties ManagedObjects

Теперь просмотрим список пользователей, которые не регистрировались 2 месяца и сохраним вывод в HTML-файл:

PS> $last2months = (Get-Date).AddMonths(-2)

PS> Get-QADUser -IncludedProperties LastLogon | where { $_.lastLogon -le $last2months} | Select DisplayName, LastLogon, AccountIsDisabled | ?{-not $_.AccountIsDisabled} | ConvertTo-Html | Out-File c:\ report.html

Чтобы в отчет не попали отключенные учетные записи, в команде проконтролировали значение AccountIsDisabled. Знак «?» является алиасом «Where-Object»; специальная переменная «$_», которая часто используется в скриптах PowerShell, указывает на текущий объект.

Стоит отметить, атрибут LastLogon не реплицируется между контроллерами домена, поэтому если в сети их несколько, то это зна- чение следует получить с каждого КД. Получим список КД и затем опросим каждый на предмет LastLogon:

PS> Get-QADComputer -ComputerRole DomainController | foreach {

(Get-QADUser -Service $_.Name -SamAccountName

-ParentContainer teststomain.local -Name NewOU

Теперь переместим в созданный контейнер ряд учетных записей:

PS> Get-QADUser -Department Sales | Move-QADObject -To testsdomain.local/Sales

Управление группами выглядит аналогично:

PS> Get-QADGroupMember Scorpio\Managers | where { $_.City -eq ‘Ekaterinburg’} | Add-QADGroupMember Scorpio\Ekaterinburg_Managers

Экспериментируя с PowerShell, можно легко ошибиться, поэтому при изменении объектов AD лучше запустить выполнение с клю- чом «-whatif» (что если). В этом случае вместо действительного изменения параметров скрипт выведет в консоль все, что он должен сделать.

ЗАКЛЮЧЕНИЕ Учитывая возможности, предоставляемые оболочкой PowerShell, и наличие огромного числа готовых командлетов, стоит потратить время на ее изучение. Это с лихвой окупится за счет автоматизации рутинных операций. z

>> SYN/ACK

Дискивстойку

NSS4000:

СтоечныйNAS отLinksys

Трудно сказать, когда впервые появился термин DoS-атака. Специалисты говорят о 1996-м, попутно намекая, что до широких масс этот тип атак «дошел» только в 1999 году, когда один за другим попадали web-сай- ты Amazon, Yahoo, CNN и eBay. Еще раньше DoS-эффект использовали для тестирования устойчивости систем и каналов связи. А если копнуть глубже и воспользоваться термином DoS для обозначения явления, то становится ясно, что он существовал всегда, со времен первых мейнфреймов. Вот только задумываться о нем как о средстве устрашения нача- ли гораздо позже.

Говоря простым языком, DoS-атаки — это некоторый вид злонамеренной деятельности, ставящей своей целью довести компьютерную систему до такого состояния, когда она не сможет обслуживать правомерных пользователей или правильно выполнять возложенные на нее функции. К состоянию «отказ в обслуживании» обычно приводят ошибки в ПО или чрезмерная нагрузка на сетевой канал или систему в целом. В результате, ПО либо вся операционная система машины «падает» или же оказывается в «зацикленном» состоянии. А это грозит простоями, потерей посетителей/клиентов и убытками.

АНАТОМИЯDOS-АТАКDoS-атаки подразделяются на локальные и удаленные. К локальным относятся различные эксплойты, форк-бомбы и программы, открывающие по миллиону файлов или запускающие некий циклический алгоритм, который сжирает

память и процессорные ресурсы. На всем этом мы останавливаться не будем. А вот удаленные DoS-атаки рассмотрим подробнее. Они делятся на два вида:

1.Удаленная эксплуатация ошибок в ПО с целью привести его в нерабочее состояние.

2.Flood — посылка на адрес жертвы огромного количества бессмысленных (реже — осмысленных) пакетов. Целью флуда может быть канал связи или ресурсы машины. В первом случае поток пакетов занимает весь пропускной канал и не дает атакуемой машине обрабатывать легальные запросы. Во втором — ресурсы машины захватываются с помощью многократного и очень частого обращения к какому-либо сервису, выполняющему сложную, ресурсоемкую операцию. Это может быть, например, длительное обращение к одному из активных компонентов (скрипту) web-сервера. Сервер тратит все ресурсы машины на обработку запросов атакующего, а пользователям приходится ждать.

В традиционном исполнении (один атакующий — одна жертва) сейчас остается эффективным только первый вид атак. Класси- ческий флуд бесполезен. Просто потому что при сегодняшней ширине канала серверов, уровне вычислительных мощностей и повсеместном использовании различных антиDoS приемов в ПО (например, задержки при многократном выполнении одних и тех же действий клиентом), атакующий превращается в надоедливого комара, не способного нанести какой бы то ни было ущерб. Но если

этих комаров наберутся сотни, тысячи или даже сотни тысяч, они легко положат сервер на лопатки. Толпа — страшная сила не только в жизни, но и в компьютерном мире. Распределенная атака типа «отказ в обслуживании» (DDoS), обычно осуществляемая с помощью множества зомбифицированных хостов, может отрезать от внешнего мира даже самый стойкий сервер, и единственная эффективная защита — организация распределенной системы серверов (но это по карману далеко не всем, привет Google).

МЕТОДЫБОРЬБЫОпасность большинства DDoS-атак — в их абсолютной прозрачности и «нормальности». Ведь если ошибка в ПО всегда может быть исправлена, то полное сжирание ресурсов — явление почти обыденное. С ним сталкиваются многие администраторы, когда ресурсов машины (ширины канала) становится недостаточно, или webсайт подвергается слэшдот-эффекту (twitter. com стал недоступен уже через несколько минут после первого известия о смерти Майкла Джексона). И если резать трафик и ресурсы для всех подряд, то спасешься от DDoS, но потеряешь добрую половину клиентов. Выхода из этой ситуации фактически нет, однако последствия DDoS-атак и их эффективность можно существенно снизить за счет правильной настройки маршрутизатора, брандмауэра и постоянного анализа аномалий в сетевом трафике. В следующей части статьи мы последовательно рассмотрим: