Считывание отпечатков стека TCP/IP

Снятие отпечатков стека TCP/IP — это удаленное обнаружение характеристик реализации стека TCP/IP . Сочетание параметров может затем использоваться для вывода операционной системы удаленной машины (т. н. снятие отпечатков ОС ) или включаться в отпечаток устройства .

Характеристики отпечатков пальцев TCP/IP

Некоторые параметры в определении протокола TCP оставлены на усмотрение реализации. Различные операционные системы и различные версии одной и той же операционной системы устанавливают различные значения по умолчанию для этих значений. Собирая и изучая эти значения, можно различать различные операционные системы и реализации TCP/IP. Поля TCP/IP, которые могут различаться, включают следующее:

Начальный размер пакета (16 бит)
Начальный TTL (8 бит)
Размер окна (16 бит)
Максимальный размер сегмента (16 бит)
Значение масштабирования окна (8 бит)
Флаг «не фрагментировать» (1 бит)
Флаг "sackOK" (1 бит)
Флаг "nop" (1 бит)

Эти значения могут быть объединены для формирования 67-битной подписи или отпечатка пальца для целевой машины. ^[1] Простой проверки полей Initial TTL и размера окна часто бывает достаточно для успешной идентификации операционной системы, что упрощает задачу выполнения ручного отпечатка пальца ОС. ^[2]

Защита от дактилоскопирования и его обнаружение

Защита от лазейки для атаки с помощью отпечатков пальцев достигается путем ограничения типа и объема трафика, на который реагирует защитная система. Примерами служат блокировка масок адресов и временных меток исходящего трафика управляющих сообщений ICMP , а также блокировка ответов ICMP echo . Инструмент безопасности может предупреждать о потенциальном отпечатке пальцев: он может сопоставить другую машину с конфигурацией отпечатка пальцев, обнаружив ее отпечаток. ^[3]

Запрет на снятие отпечатков TCP/IP обеспечивает защиту от сканеров уязвимостей , нацеленных на машины, работающие под управлением определенной операционной системы. Снятие отпечатков облегчает атаки. Блокировка этих сообщений ICMP — это только одна из множества защит, необходимых для полной защиты от атак. ^[4]

Нацеливаясь на датаграмму ICMP, обфускатор, работающий поверх IP на уровне интернета, действует как «инструмент очистки», чтобы запутать данные отпечатков пальцев TCP/IP. Они существуют для Microsoft Windows , ^[5] Linux ^[6] и FreeBSD . ^[7]

Инструменты для снятия отпечатков пальцев

Список инструментов снятия отпечатков TCP/OS

Zardaxt.py ^[8] – Пассивный инструмент снятия отпечатков TCP/IP с открытым исходным кодом.
Ettercap – пассивное снятие отпечатков стека TCP/IP.
Nmap – комплексное активное снятие отпечатков стека.
p0f – комплексное пассивное снятие отпечатков стека TCP/IP.
NetSleuth – бесплатный пассивный инструмент для снятия отпечатков пальцев и анализа
PacketFence ^[9] – NAC с открытым исходным кодом и пассивным DHCP-фингерпринтингом.
Satori – пассивное снятие отпечатков CDP , DHCP, ICMP, HPSP, HTTP , TCP/IP и других стеков.
SinFP – однопортовая активная/пассивная дактилоскопия.
XProbe2 – активное снятие отпечатков стека TCP/IP.
queso - известный инструмент конца 1990-х годов, который больше не обновляется для современных операционных систем

Ссылки

^ Чувакин А. и Пейкари, К.: «Воин безопасности», стр. 229. O'Reilly Media Inc., 2004.
^ "Пассивное снятие отпечатков ОС, блог сетевой безопасности NETRESEC". Netresec.com. 2011-11-05 . Получено 2011-11-25 .
^ "iplog" . Получено 2011-11-25 .
^ "Обнаружение ОС не является ключом к проникновению". Seclists.org . Получено 25.11.2011 .
^ "OSfuscate". Irongeek.com. 2008-09-30 . Получено 2011-11-25 .
^ Карл-Дэниел Хейлфингер, carldani@4100XCDT. "IPPersonality". Ippersonality.sourceforge.net . Получено 25.11.2011 .{{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка )
^ "Борьба с отпечатками стека TCP/IP". Usenix.org. 2002-01-29 . Получено 2011-11-25 .
^ "Zardaxt.py". Github. 2021-11-25 . Получено 2021-11-25 .
^ "PacketFence". PacketFence. 2011-11-21 . Получено 2011-11-25 .

Внешние ссылки

Удаленное обнаружение ОС с помощью TCP/IP Stack FingerPrinting (2-го поколения)