Passiver OS Fingerabdruck ist eine Technik, die Popularität in beiden die Crackerwelt sowie in der Sicherheit Welt gewinnt. Passiver OS Fingerabdruck erlaubt einer Person, ein Betriebssystem zu kennzeichnen, indem er seinen TCP/IP Stapel analysiert. Diese Technik ist, da Heimlichkeit, während Heimlichkeit erhalten kann, weil alle, die Sie benötigen, ein Paketsauganleger und einige Zeit ist. Gegen ein Angreifer, der einen verwendet Sauganleger, nicht muß um das Senden der merkwürdigen Pakete sich sorgen, um festzustellen, welches OS er oben ist.
Fast alle Betriebssysteme haben Standardannahmen, einschließlich Einstellungen für TCP/IP. Ein Beispiel von diesem ist Linux. Wenn Sie /proc/sys/net/ipv4 in Auflistung 1 betrachten, finden Sie eine breite Strecke der Einstellungen, die Rückstellung Informationen enthalten, die das System in seinem täglichen task(s) verwendet.
Conf
icmp_destunreach_rate
icmp_echo_ignore_all
icmp_echo_ignore_broadcasts
icmp_echoreply_rate
icmp_ignore_bogus_error_responses
icmp_paramprob_rate
icmp_timeexceed_rate
igmp_max_memberships
ip_always_defrag
ip_autoconfig
ip_default_ttl
ip_dynaddr
ip_forward
ip_local_port_range
ip_masq_debug
ip_no_pmtu_disc
ipfrag_high_thresh
ipfrag_low_thresh
ipfrag_time
neigh
Weg
tcp_fin_timeout
tcp_keepalive_probes
tcp_keepalive_time
tcp_max_ka_probes
tcp_max_syn_backlog
tcp_retrans_collapse
tcp_retries1
tcp_retries2
tcp_rfc1337
tcp_sack
tcp_stdurg
tcp_syn_retries
tcp_syncookies
tcp_timestamps
Tcp_window_scaling
Lassen Sie uns einige dieser Parameter betrachten und feststellen, was sie tun und wie sie das Betriebssystem beeinflussen.
- ip_default-ip_default-ttl: Dieses Parametergruppen die Rückstellung Zeit-zu-leben Wert bis 64. Er kann auf einem Linux Kasten durch Echo 128 geändert werden > > ip_default_ttl.
|
|
- ip_forward: Obgleich dieser Parameter nicht direkt passiven OS Fingerabdruck beeinflußt, hat er einen grossen Effekt auf OS Sicherheit. Durch Rückstellung wird ip_forward bis 0 eingestellt, das IP Versenden sperrt. Die Einstellung es bis 1 ermöglicht IP Versenden.
- ip_local_port_range: Dieser Parameter kennzeichnet die Rückstellung Quelltorstrecke, die Linux benutzt. Normalerweise wird dieses bis 1024-4999 eingestellt. Dieses ist die guten Informationen, zum zu wissen, wenn Sie versuchen, festzustellen, ob ein Paket gut oder schlecht ist.
- tcp_sack: Dieser Parameter informiert das Betriebssystem, ob er den vorgewählten Bestätigung Standard (RFC 2883) stützt. Durch Rückstellung (Linux), wird dieses bis 1 eingestellt (Unterstützungen dieser Standard).
- tcp_timestamps: Dieser Parameter informiert das Betriebssystem, ob er die Zeitstempelfunktion stützt. Durch Rückstellung (Linux), wird dieses bis 1 eingestellt.
- tcp_window_scaling: Dieser Parameter informiert das Betriebssystem, ob er die Fensterskalierungfunktion stützt. Diese Wahl wird verwendet, um Ansammlung zu verringern. Durch Rückstellung (Linux), wird dieses bis 1 eingestellt.
Hows Listing1 nur die Parameter, die mit passivem OS Fingerabdruck zusammenhängen. Obgleich wir nur Linux Standardannahmen bis jetzt umfaßt haben, hat jedes OS seinen eigenen Satz Standardannahmen. Ein gutes Beispiel ist die Windows Plattform; Windows 98, NT und 2000 alle Gebrauchrückstellung TTL von 128.
Lassen Sie uns einige andere Betriebssysteme und ihre Rückstellung TCP/IP Einstellungen betrachten:
- Microsoft (98, NT)
Paketgröße (gerechte Überschriften) = 44 Bytes (Rückstellung)
SYN oder SYN|Ack Pakete = stellt zersplittern nicht Markierungsfahne und die maximale Segment-Größe ein (MSS)flag
Ttl = 128
- Microsoft (2000)
Paketgröße (gerechte Überschriften) = 48 Bytes (Rückstellung)
SYN oder SYN|Ack Pakete = stellt zersplittern nicht ein (DF)flag, maximale Segment-Größe (MSS)flag, zwei (2) NOPs und die vorgewählte Bestätigung Markierungsfahne.
Ttl = 128
- Linux (Roter Hut 6.2)
Paketgröße (gerechte Überschriften) = 60 Bytes (Rückstellung)
SYN oder SYN|Ack Pakete = stellt zersplittern nicht ein (DF)flag, maximale Segment-Größe (MSS)flag, NOPs, vorgewählte Bestätigung Markierungsfahne, Zeitstempel, Fenster-Skalierung (wscale). Diese halten zutreffend für Ausgangs-SYN. SYN|Ack Linux reagiert entsprechend dem Computer, der das Ausgangs-SYN bildete.
Zeitlimit = 64, auf einem ZURÜCKSTELLEN-Paket der TTL ist 255
Dieses wissend, können Sie Betriebssysteme kennzeichnen, indem Sie Netzverkehr betrachten. Eine Sache, zum im Verstand zu halten ist, daß, wenn ein System-sys-admin oder ein Cracker irgendwelche der Parameter ändert, sie weg von Ihrer Analyse wirft. Folglich ist passiver OS Fingerabdruck nicht genaues 100%, aber andererseits ist nichts. 2 Hows verzeichnend, helfen zwei Pakete und uns, ein OS mit passivem Fingerabdruck zu kennzeichnen.
15:59:52.533502 > my_isp.net.1100 > 134.11.235.232.www: S 325233392:325233392(0) Gewinn
32120 < mss 1460, sackOK, Zeitstempel 88950 0, nop, wscale 0 > (DF) (ttl 64, Kennzeichnung 505)
4500 003c 01f9 4000 4006 0522 xxxx xxxx
860b ebe8 044c 0050 1362 aaf0 0000 0000
a002 7d78 7887 0000 0204 05b4 0402 080a
0001 5b76 0000 0000 0103 0300
16:00:14.188756 > my_isp.net.1105 > 134.11.235.232.www: R 346737591:346737591(0) Gewinn 0
(ttl 255, Kennzeichnung 544)
4500 0028 0220 0000 ff06 860e xxxx xxxx
860b ebe8 0451 0050 14aa cbb7 0000 0000
5004 0000 973c 0000
In Auflistung 2 sehen Sie zwei Pakete. Das erste ist ein SYN Paket, und die Sekunde ist ein RST Paket. Das SYN Paket betrachtend, beachten Sie einige wichtige Anzeigen:
- das SYN hat einen TTL von 64.
- das SYN stellt seine mss, sackOK, nop und wscale Parameter und die DFMARKIERUNGSFAHNE ein. Auch Bezahlung nahe Aufmerksamkeit zur Überschriftgröße (3c = 60 Bytes).
- betrachten Sie das Quelltor außerdem. Tragen Sie 1100 Fälle mit in der Rückstellung Quelltorstrecke 1024 bis 4999.
Diese Anzeigen zeigen to.LINUX. Das ist Recht, das OS, das wir in der Auflistung betrachteten 2, die von einer Linux Maschine kommt. Lassen Sie uns einen kurzen Blick am RST Paket nehmen. Zuerst Blick auf den TTL (255). Wenn roter Hut Linux ein RST sendet, verwendet er eine Rückstellung TTL von 255, während, wenn es versucht, einen Anschluß herzustellen, er einen TTL von 64 benutzt. Andere, die Linux RST von den Paketen charakteristisch ist, ist ihre Größe. Normalerweise ist ein rotes Hutpaket 60 Bytes in der Länge. Wenn sie die RST Markierungsfahne einstellt, hat relative Feuchtigkeit Linux eine Paketlänge von nur 40 Bytes.
Wie OS Fingerabdruck und Linux Riegel zurück in Untersuchung? Wenn ein Cracker irgendwelche der vorher erwähnten Techniken verwendet, kann er sehr wertvolle Informationen über ein Computernetz einholen. Daß Art der Informationen das Netzdiagramm, DIE IP Adressen, die Fleckenniveaus und Entdeckung der unterschiedlichen Betriebssysteme einschließt.
Online: 439 users browsing the articles directory
|
|