.
La huella dactilar pasiva del OS es una técnica que está ganando renombre en ambos el mundo de la galleta así como en el mundo de la seguridad. La huella dactilar pasiva del OS permite que una persona identifique un sistema operativo analizando su apilado de TCP/IP. Esta técnica es pues el stealth como el stealth puede conseguir porque todos lo que usted necesita es un succionador de paquete y una cierta hora. Un atacante que usa un succionador no tiene que preocuparse de enviar los paquetes extraños para determinarse contra qué OS él está para arriba.
Casi todos los sistemas operativos tienen ajustes de defecto, incluyendo los ajustes para TCP/IP. Un ejemplo de esto es Linux. Si usted mira /proc/sys/net/ipv4 en el listado 1 usted encontrará una amplia gama de los ajustes que contienen la información del defecto que el sistema utiliza en su task(s) diario.
Conf
icmp_destunreach_rate
icmp_echo_ignore_all
icmp_echo_ignore_broadcasts
icmp_echoreply_rate
icmp_ignore_bogus_error_responses
icmp_paramprob_rate
icmp_timeexceed_rate
igmp_max_memberships
ip_always_defrag
ip_autoconfig
ip_default_ttl
ip_dynaddr
ip_forward
ip_local_port_range
ip_masq_debug
ip_no_pmtu_disc
ipfrag_high_thresh
ipfrag_low_thresh
ipfrag_time
relinche
ruta
tcp_fin_timeout
tcp_keepalive_probes
tcp_keepalive_time
tcp_max_ka_probes
tcp_max_syn_backlog
tcp_retrans_collapse
tcp_retries1
tcp_retries2
tcp_rfc1337
tcp_sack
tcp_stdurg
tcp_syn_retries
tcp_syncookies
tcp_timestamps
el tcp_window_scaling
Miremos algunos de estos parámetros y determinémosnos lo que hacen y cómo afectan el sistema operativo.
- ip_default-TTL: Los sistemas de este parámetro el defecto tiempo-a-viven valor a 64. Puede ser cambiado en una caja de Linux por el eco 128 > > ip_default_ttl.
- ip_forward: Aunque este parámetro no afecta directamente huella dactilar pasiva del OS, tiene un efecto grande en seguridad del OS. Por el defecto, el ip_forward es fijado a 0, que inhabilita la expedición del IP. Fijarlo a 1 permite la expedición del IP.
- ip_local_port_range: Este parámetro identifica la gama del puerto de la fuente del defecto que Linux utilizará. Normalmente, esto se fija a 1024-4999. Ésta es buena información para saber si usted está procurando determinarse si un paquete es bueno o malo.
- tcp_sack: Este parámetro deja el sistema operativo saber si apoya el estándar selectivo del reconocimiento (RFC 2883). Por el defecto (Linux), esto es fijada a 1 (las ayudas este estándar).
- tcp_timestamps: Este parámetro deja el sistema operativo saber si apoya la función del timestamp. Por el defecto (Linux), esto es fijada a 1.
- tcp_window_scaling: Este parámetro deja el sistema operativo saber si apoya la función del escalamiento de la ventana. Esta opción se utiliza para disminuir la congestión. Por el defecto (Linux), esto es fijada a 1.
Hows Listing1 solamente los parámetros que se relacionan con la huella dactilar pasiva del OS. Aunque hemos cubierto solamente ajustes de defecto de Linux hasta ahora, cada OS tiene su propio sistema de ajustes de defecto. Un buen ejemplo es la plataforma de Windows; Windows 98, NT, y 2000 todos los defectos TTL del uso de 128.
Miremos algunos otros sistemas operativos y sus ajustes del defecto TCP/IP:
- Microsoft (98, NT)
Tamaño del paquete (jefes justos) = 44 octetos (defecto)
SYN o SYN|Los paquetes del ACK = fijan no hacen fragmentos de la bandera y del tamaño máximo del segmento (MSS)flag
TTL = 128
- Microsoft (2000)
Tamaño del paquete (jefes justos) = 48 octetos (defecto)
SYN o SYN|Los paquetes del ACK = fijan no hacen fragmentos (DF)flag, tamaño máximo del segmento (MSS)flag, dos (2) NOPs, y la bandera selectiva del reconocimiento.
TTL = 128
- Linux (Sombrero Rojo 6.2)
Tamaño del paquete (jefes justos) = 60 octetos (defecto)
SYN o SYN|Los paquetes del ACK = fijan no hacen fragmentos (DF)flag, tamaño máximo del segmento (MSS)flag, NOPs, bandera selectiva del reconocimiento, timestamp, escalamiento de la ventana (wscale). Éstos son verdad para SYN inicial. SYN|El ACK Linux responde según la computadora que hizo el SYN inicial.
El TL = 64, en un paquete del REAJUSTE la TTL es 255
Sabiendo esto, usted puede identificar sistemas operativos mirando tráfico de la red. Una cosa a tener presente es que, si un sistema-sys-admin o una galleta cambia cualesquiera de los parámetros, lanzará de su análisis. Por lo tanto, la huella dactilar pasiva del OS no es el 100% exacto, pero, entonces otra vez, nada es. Enumerando 2 hows dos paquetes y nos ayudarán a identificar un OS, usando huella dactilar pasiva.
15:59:52.533502 > my_isp.net.1100 > 134.11.235.232.www: Triunfo de S 325233392:325233392(0)
32120 < mss 1460, sackOK, timestamp 88950 0, nop, wscale 0 > (DF) (TTL 64, identificación 505)
4500 003c 01f9 4000 4006 0522 xxxx xxxx
860b ebe8 044c 0050 1362 aaf0 0000 0000
a002 7d78 7887 0000 0204 05b4 0402 080a
0001 5b76 0000 0000 0103 0300
16:00:14.188756 > my_isp.net.1105 > 134.11.235.232.www: Triunfo 0 de R 346737591:346737591(0)
(TTL 255, identificación 544)
4500 0028 0220 0000 ff06 860e xxxx xxxx
860b ebe8 0451 0050 14aa cbb7 0000 0000
5004 0000 973c 0000
En el listado 2 usted ve dos paquetes. El primer es un paquete de SYN, y el segundo es un paquete de RST. Mirando el paquete de SYN, note algunos indicadores importantes:
- El SYN tiene una TTL de 64.
- El SYN fija sus mss, sackOK, nop, y los parámetros del wscale y la bandera del DF. También, atención cercana de la paga al tamaño del jefe (3c = 60 octetos).
- mire el puerto de la fuente también. Vire 1100 caídas hacia el lado de babor con en la gama del puerto de la fuente del defecto de 1024 a 4999.
Estos indicadores señalan to.LINUX. Ése el correcto, el OS que mirábamos en el listado 2 que venía de una máquina de Linux. Hechemos una ojeada breve el paquete de RST. Primero, mirada en la TTL (255). Cuando el sombrero rojo Linux envía un RST, utilizará un defecto TTL de 255, mientras que, cuando está intentando establecer una conexión, utiliza una TTL de 64. Otro característico de los paquetes de Linux RST es su tamaño. Normalmente, un paquete rojo del sombrero es 60 octetos en longitud. Al fijar la bandera de RST, el derecho Linux tiene una longitud del paquete de solamente 40 octetos.
¿Cómo la huella dactilar del OS y el lazo de Linux nuevamente dentro de reconocimiento? Si una galleta utiliza cualesquiera de las técnicas previamente mencionadas, él puede obtener la información muy valiosa sobre una red de ordenadores. Que el tipo de información incluye traz de la red, direcciones del IP, niveles del remiendo, y el descubrimiento de diversos sistemas operativos.
Online: 737 users browsing the articles directory
. |