.
L'empreinte digitale passive d'OS est une technique qui gagne la popularité dans tous les deux le monde de biscuit aussi bien que dans le monde de sécurité. L'empreinte digitale passive d'OS permet à une personne d'identifier un logiciel d'exploitation en analysant sa pile de TCP/IP. Cette technique est car la discrétion pendant que la discrétion peut obtenir parce que tous que vous avez besoin est un renifleur de paquet et la certaine heure. Un attaquant employant un renifleur ne doit pas s'inquiéter d'envoyer les paquets étranges pour déterminer contre quel OS il est vers le haut.
Presque tous les logiciels d'exploitation ont des arrangements de défaut, y compris des arrangements pour TCP/IP. Un exemple de ceci est Linux. Si vous regardez /proc/sys/net/ipv4 dans la liste 1 vous trouverez un éventail d'arrangements qui contiennent l'information de défaut que le système emploie dans son journal chargent.
Conf
icmp_destunreach_rate
icmp_echo_ignore_all
icmp_echo_ignore_broadcasts
icmp_echoreply_rate
icmp_ignore_bogus_error_responses
icmp_paramprob_rate
icmp_timeexceed_rate
igmp_max_memberships
ip_always_defrag
ip_autoconfig
ip_default_ttl
ip_dynaddr
ip_forward
ip_local_port_range
ip_masq_debug
ip_no_pmtu_disc
ipfrag_high_thresh
ipfrag_low_thresh
ipfrag_time
hennissez
itinéraire
tcp_fin_timeout
tcp_keepalive_probes
tcp_keepalive_time
tcp_max_ka_probes
tcp_max_syn_backlog
tcp_retrans_collapse
tcp_retries1
tcp_retries2
tcp_rfc1337
tcp_sack
tcp_stdurg
tcp_syn_retries
tcp_syncookies
tcp_timestamps
tcp_window_scaling
Regardons quelques uns de ces paramètres et déterminons ce qu'elles font et comment elles affectent le logiciel d'exploitation.
- ip_default-TTL : Les ensembles de ce paramètre le défaut temps-à-vivent valeur à 64. Elle peut être changée sur une boîte de Linux par l'écho 128 > > ip_default_ttl.
- ip_forward : Bien que ce paramètre n'affecte pas directement l'empreinte digitale passive d'OS, il a un grand effet sur la sécurité d'OS. Par défaut, l'ip_forward est placé à 0, qui neutralise le expédition d'IP. Le réglage de lui à 1 permet le expédition d'IP.
- ip_local_port_range : Ce paramètre identifie la gamme de port de source de défaut que Linux emploiera. Normalement, ceci est placé à 1024-4999. C'est la bonne information pour savoir si vous essayez de déterminer si un paquet est bon ou mauvais.
- tcp_sack : Ce paramètre fait le logiciel d'exploitation savoir s'il soutient la norme sélective de reconnaissance (RFC 2883). Par défaut (Linux), ceci est placé à 1 (des appuis cette norme).
- tcp_timestamps : Ce paramètre fait le logiciel d'exploitation savoir s'il soutient la fonction d'horodateur. Par défaut (Linux), ceci est placé à 1.
- tcp_window_scaling : Ce paramètre fait le logiciel d'exploitation savoir s'il soutient la fonction de graduation de fenêtre. Cette option est employée pour diminuer la congestion. Par défaut (Linux), ceci est placé à 1.
Comment Listing1 seulement les paramètres qui sont liés à l'empreinte digitale passive d'OS. Bien que nous ayons seulement couvert des arrangements de défaut de Linux jusqu'ici, chaque OS a son propre ensemble d'arrangements de défaut. Un bon exemple est la plateforme de Windows ; Windows 98, NT, et 2000 tous les défauts TTL d'utilisation de 128.
Regardons quelques autres logiciels d'exploitation et leurs arrangements du défaut TCP/IP :
- Microsoft (98, NT)
Taille de paquet (en-têtes justes) = 44 bytes (défaut)
SYN ou SYN|Les paquets de ACK = place ne réduisent pas le drapeau et la taille maximum de segment (MSS)flag
TTL = 128
- Microsoft (2000)
Taille de paquet (en-têtes justes) = 48 bytes (défaut)
SYN ou SYN|Les paquets de ACK = place ne réduisent pas en fragments (DF)flag, taille maximum de segment (MSS)flag, deux (2) NOPs, et le drapeau sélectif de reconnaissance.
TTL = 128
- Linux (Chapeau Rouge 6.2)
Taille de paquet (en-têtes justes) = 60 bytes (défaut)
SYN ou SYN|Les paquets de ACK = place ne réduisent pas en fragments (DF)flag, taille maximum de segment (MSS)flag, NOPs, drapeau sélectif de reconnaissance, horodateur, graduation de fenêtre (wscale). Ceux-ci jugent vrai pour SYN initial. SYN|ACK Linux répond selon l'ordinateur qui a fait le SYN initial.
Le TL = 64, sur un paquet de REMISE TTL est 255
Sachant ceci, vous pouvez identifier les logiciels d'exploitation en regardant le trafic de réseau. Une chose à maintenir dans l'esprit est que, si un système-sys-admin ou un biscuit change un quelconque de ces paramètres, elle jettera outre de votre analyse. Par conséquent, l'empreinte digitale passive d'OS n'est pas 100% précis, mais, de l'autre côté, rien n'est. Énumérant 2 comment deux paquets et nous aideront à identifier un OS, en utilisant l'empreinte digitale passive.
15:59:52.533502 > my_isp.net.1100 > 134.11.235.232.www : Victoire de S 325233392:325233392(0)
32120 < mss 1460, sackOK, horodateur 88950 0, nop, wscale 0 > (DF) (TTL 64, identification 505)
4500 003c 01f9 4000 4006 0522 xxxx xxxx
860b ebe8 044c 0050 1362 aaf0 0000 0000
a002 7d78 7887 0000 0204 05b4 0402 080a
0001 5b76 0000 0000 0103 0300
16:00:14.188756 > my_isp.net.1105 > 134.11.235.232.www : Victoire 0 de R 346737591:346737591(0)
(TTL 255, identification 544)
4500 0028 0220 0000 ff06 860e xxxx xxxx
860b ebe8 0451 0050 14aa cbb7 0000 0000
5004 0000 973c 0000
Dans la liste 2 vous voyez deux paquets. Le premier est un paquet de SYN, et la seconde est un paquet de RST. En regardant le paquet de SYN, notez quelques indicateurs importants :
- Le SYN a TTL de 64.
- Le SYN place ses mss, sackOK, nop, et paramètres de wscale et le drapeau de DF. En outre, une attention particulière de salaire à la taille d'en-tête (3c = 60 bytes).
- regardez le port de source aussi bien. Mettez en communication 1100 chutes avec dans la gamme de port de source de défaut de 1024 à 4999.
Ces indicateurs dirigent to.LINUX. C'est le juste, l'OS que nous regardions dans la liste 2 venant d'une machine de Linux. Jetons un bref coup d'oeil au paquet de RST. D'abord, regard à TTL (255). Quand le chapeau rouge Linux envoie un RST, il emploiera un défaut TTL de 255, tandis que, quand il essaye d'établir un raccordement, il emploie TTL de 64. Une autre caractéristique des paquets de Linux RST est leur taille. Normalement, un paquet rouge de chapeau est de 60 bytes de longueur. En plaçant le drapeau de RST, Rhésus Linux a une longueur de paquet de seulement 40 bytes.
Comment va-t-elle l'empreinte digitale d'OS et la cravate de Linux de nouveau dans la reconnaissance ? Si un biscuit emploie un quelconque des techniques précédemment mentionnées, il peut obtenir des informations très valables sur un réseau informatique. Que le type d'information inclut tracer de réseau, adresses d'IP, niveaux de pièce rapportée, et découverte de différents logiciels d'exploitation.
Online: 382 users browsing the articles directory
. |