.
O fingerprinting passivo do OS é uma técnica que esteja ganhando a popularidade em ambos o mundo do biscoito as.well.as no mundo da segurança. O fingerprinting passivo do OS permite que uma pessoa identifique um sistema operando-se analisando sua pilha de TCP/IP. Esta técnica é porque o stealth enquanto o stealth pode começar porque tudo que você necessita é um tubo aspirador de pacote e alguma hora. Um atacante que usa um tubo aspirador não tem que preocupar-se sobre a emissão de pacotes estranhos para determinar que OS está acima de encontro.
Quase todos os sistemas operando-se têm ajustes de defeito, including ajustes para TCP/IP. Um exemplo deste é Linux. Se você olhar /proc/sys/net/ipv4 na lista 1 você encontrará uma escala larga dos ajustes que contêm a informação do defeito que o sistema usa em seu task(s) diário.
Conf
icmp_destunreach_rate
icmp_echo_ignore_all
icmp_echo_ignore_broadcasts
icmp_echoreply_rate
icmp_ignore_bogus_error_responses
icmp_paramprob_rate
icmp_timeexceed_rate
igmp_max_memberships
ip_always_defrag
ip_autoconfig
ip_default_ttl
ip_dynaddr
ip_forward
ip_local_port_range
ip_masq_debug
ip_no_pmtu_disc
ipfrag_high_thresh
ipfrag_low_thresh
ipfrag_time
neigh
rota
tcp_fin_timeout
tcp_keepalive_probes
tcp_keepalive_time
tcp_max_ka_probes
tcp_max_syn_backlog
tcp_retrans_collapse
tcp_retries1
tcp_retries2
tcp_rfc1337
tcp_sack
tcp_stdurg
tcp_syn_retries
tcp_syncookies
tcp_timestamps
tcp_window_scaling
Deixe-nos olhar alguns destes parâmetros e determinar o que faz e como afeta o sistema se operando.
- ip_default-ip_default-ttl: Os jogos deste parâmetro o defeito tempo-à-vivem valor a 64. Pode ser mudado em uma caixa de Linux pelo eco 128 > > ip_default_ttl.
- ip_forward: Embora este parâmetro não afete diretamente o fingerprinting passivo do OS, tem um efeito grande na segurança do OS. Pelo defeito, o ip_forward é ajustado a 0, que incapacita o forwarding do IP. Ajustá-lo a 1 permite o forwarding do IP.
- ip_local_port_range: Este parâmetro identifica a escala do porto da fonte do defeito que Linux usará. Normalmente, isto é ajustado a 1024-4999. Esta é informação boa para saber se você estiver tentando determinar se um pacote é bom ou mau.
- tcp_sack: Este parâmetro deixa o sistema operando-se saber se suporta o padrão seletivo do reconhecimento (RFC 2883). Pelo defeito (Linux), isto é ajustado a 1 (sustentações este padrão).
- tcp_timestamps: Este parâmetro deixa o sistema operando-se saber se suporta a função do timestamp. Pelo defeito (Linux), isto é ajustado a 1.
- tcp_window_scaling: Este parâmetro deixa o sistema operando-se saber se suporta a função do scaling da janela. Esta opção é usada diminuir o congestion. Pelo defeito (Linux), isto é ajustado a 1.
Hows Listing1 somente os parâmetros que são relacionados ao fingerprinting passivo do OS. Embora nós cubramos somente ajustes de defeito de Linux assim distante, cada OS tem seu próprio jogo de ajustes de defeito. Um exemplo bom é a plataforma de Windows; Windows 98, NT, e 2000 todos os defeitos TTL do uso de 128.
Deixe-nos olhar alguns outros sistemas operando-se e seus ajustes do defeito TCP/IP:
- Microsoft (98, NT)
Tamanho do pacote (encabeçamentos justos) = 44 bytes (defeito)
SYN ou SYN|Os pacotes do ACK = ajustam-se não fragmentam a bandeira e o tamanho máximo do segmento (MSS)flag
Ttl = 128
- Microsoft (2000)
Tamanho do pacote (encabeçamentos justos) = 48 bytes (defeito)
SYN ou SYN|Os pacotes do ACK = ajustam-se não fragmentam (DF)flag, tamanho máximo do segmento (MSS)flag, dois (2) NOPs, e a bandeira seletiva do reconhecimento.
Ttl = 128
- Linux (Chapéu Vermelho 6.2)
Tamanho do pacote (encabeçamentos justos) = 60 bytes (defeito)
SYN ou SYN|Os pacotes do ACK = ajustam-se não fragmentam (DF)flag, tamanho máximo do segmento (MSS)flag, NOPs, bandeira seletiva do reconhecimento, timestamp, scaling da janela (wscale). Estes prendem verdadeiro para SYN inicial. SYN|O ACK Linux responde de acordo com o computador que fêz o SYN inicial.
O TL = 64, em um pacote da RESTAURAÇÃO o TTL é 255
Sabendo isto, você pode identificar sistemas operando-se olhando o tráfego da rede. Uma coisa a manter-se na mente é que, se um sistema-sys-admin ou um biscoito mudarem alguns dos parâmetros, jogará fora de sua análise. Conseqüentemente, o fingerprinting passivo do OS não é 100% exato, mas, então outra vez, nada é. Alistando 2 hows dois pacotes e ajudar-nos-ão identificar um OS, usando o fingerprinting passivo.
15:59:52.533502 > my_isp.net.1100 > 134.11.235.232.www: Vitória de S 325233392:325233392(0)
32120 < mss 1460, sackOK, timestamp 88950 0, nop, wscale 0 > (DF) (ttl 64, identificação 505)
4500 003c 01f9 4000 4006 0522 xxxx xxxx
860b ebe8 044c 0050 1362 aaf0 0000 0000
a002 7d78 7887 0000 0204 05b4 0402 080a
0001 5b76 0000 0000 0103 0300
16:00:14.188756 > my_isp.net.1105 > 134.11.235.232.www: Vitória 0 de R 346737591:346737591(0)
(ttl 255, identificação 544)
4500 0028 0220 0000 ff06 860e xxxx xxxx
860b ebe8 0451 0050 14aa cbb7 0000 0000
5004 0000 973c 0000
Na lista 2 você vê dois pacotes. O primeiro é um pacote de SYN, e o segundo é um pacote de RST. Olhando o pacote de SYN, observe alguns indicadores importantes:
- O SYN tem um TTL de 64.
- O SYN ajusta seus mss, sackOK, nop, e parâmetros do wscale e a bandeira do DF. Também, atenção próxima do pagamento ao tamanho do encabeçamento (3c = 60 bytes).
- olhe o porto da fonte também. Mova 1100 quedas com na escala do porto da fonte do defeito de 1024 a 4999.
Estes indicadores apontam to.LINUX. Aquela é a direita, o OS que nós olhávamos na lista 2 que vem de uma máquina de Linux. Deixe-nos fazer exame de um olhar breve no pacote de RST. Primeiramente, olhar no TTL (255). Quando o chapéu vermelho Linux emite um RST, usará um defeito TTL de 255, visto que, quando está tentando estabelecer uma conexão, usa um TTL de 64. Outro característico de pacotes de Linux RST é seu tamanho. Normalmente, um pacote vermelho do chapéu é 60 bytes no comprimento. Ao ajustar a bandeira de RST, o RH Linux tem um comprimento do pacote de somente 40 bytes.
Como fingerprinting do OS e laço de Linux para trás no reconhecimento? Se um biscoito usar algumas das técnicas previamente mencionadas, pode obter a informação muito valiosa sobre uma rede de computador. Que o tipo de informação inclui traçar da rede, endereços do IP, níveis do remendo, e descoberta de sistemas se operando diferentes.
Online: 294 users browsing the articles directory
. |