수동적 운영 체제를 식별 지문

수동적 운영 체제 지문이있는 기술입니다 크래커 세계 모두에서 인기를 얻고있다는 물론 세계의 안보입니다. 수동적 운영 체제 지문을 사용하면 한 사람을 확인하기 위해 운영 체제를 분석하여 그 tcp / ip 스택입니다. 이 기법은 스텔스으로 스텔스를 얻을 수 있기 때문에 모두가 패킷 스니퍼와 약간의 시간이 필요합니다. 스니퍼를 사용하는 공격자에 대해 걱정하지 않아도을 보내는 이상한 패킷을 확인하는 운영 체제 자신이 최대 반대합니다.

거의 모든 운영 체제에는 기본 설정을 포함한 설정을 tcp / ip. 이것은 리눅스의 예입니다. 보면 / proc/sys/net/ipv4의 목록 1를 찾으실 수있습니다 광범위한 범위의 설정을 포함하는 기본 정보는 시스템에서 사용의 일일 작업 (들)입니다.

목록 1 / proc/sys/net/ipv4

  구성 

 icmp_destunreach_rate 

 icmp_echo_ignore_all 

 icmp_echo_ignore_broadcasts 

 icmp_echoreply_rate 

 icmp_ignore_bogus_error_responses 

 icmp_paramprob_rate 

 icmp_timeexceed_rate 

 igmp_max_memberships 

 ip_always_defrag 

 ip_autoconfig 

 ip_default_ttl 

 ip_dynaddr 

 ip_forward 

 ip_local_port_range 

 ip_masq_debug 

 ip_no_pmtu_disc 

 ipfrag_high_thresh 

 ipfrag_low_thresh 

 ipfrag_time 

  근처 

  국도 

 tcp_fin_timeout 

  활성화 

  상태 

 tcp_max_ka_probes 

 tcp_max_syn_backlog 

 tcp_retrans_collapse 

 tcp_retries1 

 tcp_retries2 

 tcp_rfc1337 

 tcp_sack 

 tcp_stdurg 

 tcp_syn_retries 

 tcp_syncookies 

 tcp_timestamps 

 tcp_window_scaling 

살펴 봅시다 몇는 이러한 매개 변수를 사용하고 있는지 확인합니다들은 무엇을하고 운영 체제에 어떤 영향입니다.

- ip_default - ttl :이 매개 변수를 설정이 기본 시간 -가 - 라이브 값을 64. 그것에있는 리눅스 상자에 의해 변경할 수있습니다 에코 128>> ip_default_ttl.

- ip_forward : 비록이 매개 변수에 직접 영향을주지 않는다 수동적 운영 체제 지문을 인식할에 큰 영향을 미치는 운영 체제 보안입니다. 기본적으로, ip_forward를 0으로 설정되는 ip 전달을 사용할 수 없게됩니다. 설정이를 1을 사용 ip 전달합니다.

- ip_local_port_range :이 매개 변수를 식별의 기본 소스 포트 범위는 리눅스가 사용됩니다. 일반적으로이 설정하여 1024에서 4999 사이입니다. 이것은 좋은 정보를 알고 시도하는 경우에 패킷이 양호 또는 불량 여부를 확인합니다.

- tcp_sack :이 매개 변수를 사용하면 운영 체제에서 그것을 지원하는지 여부를 알고 선택적 응답 표준 (rfc 2883). 기본적으로 (리눅스), 이것은 1로 설정됩니다 (이 표준을 지원합니다).

- tcp_timestamps :이 매개 변수를 사용하면 운영 체제에서 타임 스탬프 기능을 지원하는지 여부를 알고있습니다. 기본적으로 (리눅스), 이것은 1로 설정됩니다.

- tcp_window_scaling :이 매개 변수를 사용하면 운영 체제에서 윈도우를 스케일링 기능을 지원하는지 여부를 알고있습니다. 이 옵션은 혼잡을 줄이는 데 사용됩니다. 기본적으로 (리눅스), 이것은 1로 설정됩니다.

목록 1 0.383만이하는 매개 변수와 관련이 수동적 운영 체제 지문입니다. 비록 우리가 전용 커버 리눅스 기본 설정을 지금까지, 모든 운영 체제에는 고유한 일련의 기본 설정입니다. 좋은 예가 windows 플랫폼; windows 98, nt, 및 2000 모든 사용 기본 ttl은 128입니다.

살펴 봅시다 몇 개의 다른 운영 체제와 그 기본 tcp / ip 설정 :

- 마이크로 소프트 (98, nt)

패킷 크기 (방금 헤더) = 44 바이트 (기본)

syn 또는 syn | 응답 패킷 = 설정합니다 단편하지 마십시오 국기와 최대 세그먼트 크기 (mss) 플래그

ttl = 128

- 마이크로 소프트 (2000)

패킷 크기 (방금 헤더) = 48 바이트 (기본)

syn 또는 syn | 응답 패킷 = 설정합니다하지 않는 단편 (df)를 국기, 최대 세그먼트 크기 (mss) 깃발, 2 (2) nops, 그리고 선택적 응답 플래그입니다.

ttl = 128

- 리눅스 (빨간 모자 6.2)

패킷 크기 (방금 헤더) = 60 바이트 (기본)

syn 또는 syn | 응답 패킷 = 설정합니다하지 않는 단편 (df)를 국기, 최대 세그먼트 크기 (mss) 플래그를 nops, 선택적 응답 국기, 타임 스탬프, 창 크기 조정 (wscale)입니다. 이러한 보유 사실에 대한 초기 syn. syn | 응답 리눅스 응답에 따르면 컴퓨터가 만든 초기 syn.

tl = 64,을 재설정 패킷가 ttl은 255

아는이 경우 운영 체제를 보면 네트워크 트래픽을 식별할 수있습니다. 하나를 염두에 두어야합니다 것은, 경우에 sys - 관리 또는 과자 변경 사항 중 하나가 매개 변수, 그것은 귀하의 분석을 던질 해제합니다. 따라서, 패시브 운영 체제 지문되지 않은 100 % 정확하지만, 그 다음에 다시, 아무 것도있습니다. 목록 2 0.383 2 개의 패킷을하면 도움이 식별 운영 체제를 사용하여 수동 지문입니다.

목록 2를 식별하는 운영 체제

  15:59:52.533502> my_isp.net.1100> 134.11.235.232.www :의 325233392:325233392 (0) 승 

  32120 <mss 1460,sackok,timestamp 88,950 0,nop,wscale 0> (df) (ttl 64 아이다호 505) 

  4500입니다 01f9 사영영영 사영영육 영오이이 xxxx xxxx 

  860 b ebe8 044c 공공오공 일삼육이 aaf0 공공공공 공공공공 

  a002 7d78 칠팔팔칠 공공공공 공이공사 05b4 0402 080a 

  0001 5b76 영영영영 영영영영 영일영삼 영삼영영 

  16:00:14.188756> my_isp.net.1105> 134.11.235.232.www : r 346737591:346737591 (0) 승리 0 

  (ttl 255 아이다호 544) 

  사오영영 영영이팔 영이이영 영영영영 ff06 860e xxxx xxxx 

  860 b ebe8 공사오일 공공오공 14aa cbb7 공공공공 공공공공 

  오영영사 영영영영 973c 0000 

이 목록 2하면 2 개의 패킷을 참조하십시오. 첫 번째는 syn 패킷을, 두 번째는 rst 패킷입니다. 바라보고 syn 패킷, 규정 일부 중요한 지표 :

- syn은 ttl은 64입니다.

- syn 세트는 mss, sackok, nop, 그리고 wscale 매개 변수와 df 플래그입니다. 또한, 초래할를 헤더 크기 (3c = 60 바이트)입니다.

- 보라는 원본 포트도합니다. 포트 1100 폭포와의 기본 소스 포트 범위는 1024 - 4999.

이러한 지표를 차례로가… 리눅스입니다. 그렇를 운영 체제 우리들이 바라보는에 목록 2 오는가 리눅스 머신입니다. 봅시다 rst 패킷에 대한 간략한 살펴 봅니다. 먼저, 모양은 ttl (255)입니다. 시 빨간 모자 리눅스 보내 rst, 그것이 사용하는 기본 ttl은 255 반면, 시도 연결을 설정할 때, 그것을 사용하는 ttl은 64입니다. 또 다른 특징은 리눅스 rst 패킷은 그들의 크기입니다. 일반적으로,이 빨간색 모자 패킷은 60 바이트의 길이입니다. rst 플래그를 설정하는 경우, rh 리눅스는 패킷 길이는 불과 40 바이트입니다.

지문은 어떻게 운영 체제와 리눅스 무승부로 다시 정찰가? 과자를 사용하는 경우가 앞에서 언급한 기법, 그는 매우 귀중한 정보를 얻을 수있는 컴퓨터 네트워크입니다. 이 유형의 정보를 포함 네트워크 매핑, 주소, 패치 레벨, 그리고 디스커버리의 서로 다른 운영 체제입니다.