Считывание отпечатков стека TCP/IP
Снятие отпечатков стека TCP/IP — это удаленное обнаружение характеристик реализации стека TCP/IP . Сочетание параметров может затем использоваться для вывода операционной системы удаленной машины (т. н. снятие отпечатков ОС ) или включаться в отпечаток устройства .
Характеристики отпечатков пальцев TCP/IP
Некоторые параметры в определении протокола TCP оставлены на усмотрение реализации. Различные операционные системы и различные версии одной и той же операционной системы устанавливают различные значения по умолчанию для этих значений. Собирая и изучая эти значения, можно различать различные операционные системы и реализации TCP/IP. Поля TCP/IP, которые могут различаться, включают следующее:
- Начальный размер пакета (16 бит)
- Начальный TTL (8 бит)
- Размер окна (16 бит)
- Максимальный размер сегмента (16 бит)
- Значение масштабирования окна (8 бит)
- Флаг «не фрагментировать» (1 бит)
- Флаг "sackOK" (1 бит)
- Флаг "nop" (1 бит)
Эти значения могут быть объединены для формирования 67-битной подписи или отпечатка пальца для целевой машины. [1] Простой проверки полей Initial TTL и размера окна часто бывает достаточно для успешной идентификации операционной системы, что упрощает задачу выполнения ручного отпечатка пальца ОС. [2]
Защита от дактилоскопирования и его обнаружение
Защита от лазейки для атаки с помощью отпечатков пальцев достигается путем ограничения типа и объема трафика, на который реагирует защитная система. Примерами служат блокировка масок адресов и временных меток исходящего трафика управляющих сообщений ICMP , а также блокировка ответов ICMP echo . Инструмент безопасности может предупреждать о потенциальном отпечатке пальцев: он может сопоставить другую машину с конфигурацией отпечатка пальцев, обнаружив ее отпечаток. [3]
Запрет на снятие отпечатков TCP/IP обеспечивает защиту от сканеров уязвимостей , нацеленных на машины, работающие под управлением определенной операционной системы. Снятие отпечатков облегчает атаки. Блокировка этих сообщений ICMP — это только одна из множества защит, необходимых для полной защиты от атак. [4]
Нацеливаясь на датаграмму ICMP, обфускатор, работающий поверх IP на уровне интернета, действует как «инструмент очистки», чтобы запутать данные отпечатков пальцев TCP/IP. Они существуют для Microsoft Windows , [5] Linux [6] и FreeBSD . [7]
Инструменты для снятия отпечатков пальцев
Список инструментов снятия отпечатков TCP/OS
- Zardaxt.py [8] – Пассивный инструмент снятия отпечатков TCP/IP с открытым исходным кодом.
- Ettercap – пассивное снятие отпечатков стека TCP/IP.
- Nmap – комплексное активное снятие отпечатков стека.
- p0f – комплексное пассивное снятие отпечатков стека TCP/IP.
- NetSleuth – бесплатный пассивный инструмент для снятия отпечатков пальцев и анализа
- PacketFence [9] – NAC с открытым исходным кодом и пассивным DHCP-фингерпринтингом.
- Satori – пассивное снятие отпечатков CDP , DHCP, ICMP, HPSP, HTTP , TCP/IP и других стеков.
- SinFP – однопортовая активная/пассивная дактилоскопия.
- XProbe2 – активное снятие отпечатков стека TCP/IP.
- queso - известный инструмент конца 1990-х годов, который больше не обновляется для современных операционных систем
Ссылки
- ^ Чувакин А. и Пейкари, К.: «Воин безопасности», стр. 229. O'Reilly Media Inc., 2004.
- ^ "Пассивное снятие отпечатков ОС, блог сетевой безопасности NETRESEC". Netresec.com. 2011-11-05 . Получено 2011-11-25 .
- ^ "iplog" . Получено 2011-11-25 .
- ^ "Обнаружение ОС не является ключом к проникновению". Seclists.org . Получено 25.11.2011 .
- ^ "OSfuscate". Irongeek.com. 2008-09-30 . Получено 2011-11-25 .
- ^ Карл-Дэниел Хейлфингер, carldani@4100XCDT. "IPPersonality". Ippersonality.sourceforge.net . Получено 25.11.2011 .
{{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка ) - ^ "Борьба с отпечатками стека TCP/IP". Usenix.org. 2002-01-29 . Получено 2011-11-25 .
- ^ "Zardaxt.py". Github. 2021-11-25 . Получено 2021-11-25 .
- ^ "PacketFence". PacketFence. 2011-11-21 . Получено 2011-11-25 .
Внешние ссылки
- Удаленное обнаружение ОС с помощью TCP/IP Stack FingerPrinting (2-го поколения)
