Пассивная OS дактилоскопии это технология, которую набирает популярность как в мире крекинг, а также в безопасности мира. Пассивная OS отпечатков пальцев позволяет выявить лицо операционной системы, анализируя его TCP / IP стека. Этот метод также как стелс-операции стелс-операции можете получить, поскольку все, что вам нужно - это пакет sniffer и некоторое время. Злоумышленник с помощью sniffer не придется беспокоиться о направлении странных пакетов для определения ОС он против.
Почти все операционные системы имеют по умолчанию, в том числе настройки TCP / IP. Примером этого является Linux. Если вы посмотрите на / proc/sys/net/ipv4 в распечатке 1 вы найдете широкий спектр настроек по умолчанию, которые содержат информацию о том, что система использует в своей повседневной задачей (ов).
Конф
icmp_destunreach_rate
icmp_echo_ignore_all
icmp_echo_ignore_broadcasts
icmp_echoreply_rate
icmp_ignore_bogus_error_responses
icmp_paramprob_rate
icmp_timeexceed_rate
igmp_max_memberships
ip_always_defrag
ip_autoconfig
ip_default_ttl
ip_dynaddr
ip_forward
ip_local_port_range
ip_masq_debug
ip_no_pmtu_disc
ipfrag_high_thresh
ipfrag_low_thresh
ipfrag_time
смежных
маршрут
tcp_fin_timeout
tcp_keepalive_probes
tcp_keepalive_time
tcp_max_ka_probes
tcp_max_syn_backlog
tcp_retrans_collapse
tcp_retries1
tcp_retries2
tcp_rfc1337
tcp_sack
tcp_stdurg
tcp_syn_retries
tcp_syncookies
tcp_timestamps
tcp_window_scaling
Давайте остановимся на некоторых из этих параметров и определяет то, что они делают и как они влияют на операционную систему.
- ip_default - ttl: Этот параметр устанавливается по умолчанию срок жизни ценность 64. Он может быть изменен на Linux окна повторить 128>> ip_default_ttl.
|
|
- ip_forward: Хотя этот параметр напрямую не затрагивает ОС пассивного снятия отпечатков пальцев, дает большой эффект по безопасности ОС. По умолчанию, ip_forward настроен на 0, которое отключает ИС экспедиция. Установка его на 1 позволяет ИС экспедиция.
- ip_local_port_range: Этот параметр определяет источник умолчанию диапазона портов, что Linux будет использовать. Обычно, это набор к 1024-4999. Это хорошая информация знать, если Вы пытаетесь определить, является ли пакет является хорошим или плохим.
- tcp_sack: Этот параметр позволяет операционной системе ли поддерживает Избирательные Признание стандарт (RFC 2883). По умолчанию (Linux), это установлено в 1 (поддерживает этот стандарт).
- tcp_timestamps: Этот параметр позволяет операционной системе ли поддерживает функцию времени. По умолчанию (Linux), это установлено в 1.
- tcp_window_scaling: Этот параметр позволяет операционной системе ли поддерживает функцию масштабирования окна. Этот параметр используется для уменьшения заторов. По умолчанию (Linux), это установлено в 1.
Распечатка 1 hows только параметры, которые связаны с пассивной OS дактилоскопии. Хотя мы охватывает лишь Linux по умолчанию до сих пор все ОС имеет свой собственный набор параметров по умолчанию. Хороший пример - платформа Windows; Windows 98, NT и 2000 все использовать по умолчанию TTL по 128.
Давайте остановимся на некоторых других операционных системах и их умолчанию TCP / IP параметры:
- Microsoft (98, NT)
Размер пакета (только заголовки) = 44 байт (по умолчанию)
SYN и SYN | ACK пакеты = Устанавливает Не Фрагмент флага и Максимальный размер сегмента (УФО) флаг
TTL = 128
- Microsoft (2000)
Размер пакета (только заголовки) = 48 байт (по умолчанию)
SYN и SYN | ACK пакеты = Устанавливает Не Фрагмент (DF) флаг, сегмент Максимальный размер (УФО) флага, два (2) NOPs и выборочной Признание флаг.
TTL = 128
- Linux (Red Hat 6.2)
Размер пакета (только заголовки) = 60 байт (по умолчанию)
SYN и SYN | ACK пакеты = Устанавливает Не Фрагмент (DF) флаг, сегмент Максимальный размер (УФО) флаг, NOPs, Избирательный Признание флаг, времени, Window Масштабирование (wscale). Эти справедливы для первоначального SYN. SYN | ACK Linux отвечает в соответствии с компьютера, что сделало первоначальный SYN.
TL = 64, на RESET пакет с TTL является 255
Зная это, вы можете определить, операционных систем путем анализа сетевого трафика. Одно помнить, что, если в систематическом администратора или крекинг изменения любого из параметров, будет нарушить ваш анализ. Поэтому пассивной OS дактилоскопии не 100% точная, но, затем, ничего не будет. Листинг 2 hows две пачки и поможет нам определить ОС, с использованием пассивного снятия отпечатков пальцев.
15:59:52.533502> my_isp.net.1100> 134.11.235.232.www: S 325233392:325233392 (0) выиграть
32120 <mss 1460,sackOK,timestamp 88950 0,nop,wscale 0> (DF) (ttl 64, номер 505)
4500 003c 01f9 4000 4006 0522 хххх хххх
860 б ebe8 044c 0050 1362 aaf0 0000 0000
a002 7d78 7887 0000 0204 05b4 0402 080a
0001 5b76 0000 0000 0103 0300
16:00:14.188756> my_isp.net.1105> 134.11.235.232.www: R 346737591:346737591 (0) выиграть 0
(ttl 255, номер 544)
4500 0028 0220 0000 ff06 860e хххх хххх
860 б ebe8 0451 0050 14aa cbb7 0000 0000
5004 0000 973c 0000
В Листинг 2 вы видите две пакетов. Первая - это SYN пакет, а второй является ТСР пакет. Оглядываясь на SYN пакет, заметить некоторые важные показатели:
- В SYN имеет TTL в 64.
- В SYN определяет ее mss, sackOK, nop, и wscale параметры и флаг DF. Кроме того, особое внимание на заголовок размера (3c = 60 байт).
- Посмотрите на исходный порт, а. Порт 1100 входит в умолчанию порт источника диапазон 1024 через 4999.
Эти показатели свидетельствуют о… LINUX. Все верно, ОС мы искали в в распечатке 2 двигавшийся с Linux машины. Возьмем кратко взглянуть на ТСР пакет. Во-первых, посмотреть на TTL (255). Когда Red Hat Linux отправляет ТСР, он будет использовать по умолчанию TTL по 255, в то время, когда он пытается установить соединение, он использует TTL в 64. Другая особенность Linux ТСР пакетов является их размер. Как правило, Red Hat пакет является 60 байт в длину. При определении ТСР флаг, RH Linux имеется пакет длиной только 40 байт.
Как снятие отпечатков пальцев и ОС Linux связь вернуться в разведку? Если крекинг использует любой из ранее упомянутых методов, он может получать очень ценную информацию о компьютерной сети. Такая информация включает в себя сети карт, адресов, патч уровнях, и обнаружение различных операционных систем.
Online: 926 users browsing the articles directory
|
|