Jump to content

Снятие отпечатков стека TCP/IP

Метод и схема пассивной идентификации ОС.

Снятие отпечатков стека TCP/IP — это удаленное обнаружение характеристик реализации стека TCP/IP . Комбинация параметров может затем использоваться для определения операционной системы удаленного компьютера (так называемая снятие отпечатков пальцев ОС ) или включаться в отпечаток пальца устройства .

Особенности отпечатков TCP/IP

[ редактировать ]

Определенные параметры в определении протокола TCP оставлены на усмотрение реализации. В разных операционных системах и в разных версиях одной и той же операционной системы для этих значений устанавливаются разные значения по умолчанию. Собирая и исследуя эти значения, можно различать различные операционные системы и реализации TCP/IP. Поля TCP/IP, которые могут различатьсявключают следующее:

Эти значения могут быть объединены для формирования 67-битной подписи или отпечатка пальца целевой машины. [1] Простой проверки полей «Начальный TTL» и «Размер окна» часто бывает достаточно для успешной идентификации операционной системы, что упрощает задачу ручного снятия отпечатков ОС. [2]

Защита от и обнаружение снятия отпечатков пальцев

[ редактировать ]

Защита от атак по отпечаткам пальцев достигается за счет ограничения типа и объема трафика, на который реагирует защитная система. Примеры включают блокировку масок адресов и меток времени из исходящего ICMP трафика управляющих сообщений , а также блокировку эхо-ответов ICMP . Инструмент безопасности может предупредить о потенциальном снятии отпечатков пальцев: он может сопоставить другую машину с конфигурацией сканера отпечатков пальцев, обнаружив ее отпечаток пальца. [3]

Запрет снятия отпечатков TCP/IP обеспечивает защиту от сканеров уязвимостей, которые ищут машины под управлением определенной операционной системы. Отпечатки пальцев облегчают атаки. Блокировка этих ICMP-сообщений — лишь одна из мер защиты, необходимых для полной защиты от атак. [4]

Ориентируясь на дейтаграмму ICMP, обфускатор, работающий поверх IP на интернет-уровне, действует как «инструмент очистки», сбивая с толку данные снятия отпечатков пальцев TCP/IP. Они существуют для Microsoft Windows , [5] Линукс [6] и FreeBSD . [7]

Инструменты для снятия отпечатков пальцев

[ редактировать ]

Список инструментов для снятия отпечатков TCP/OS

  • Zardaxt.py [8] – Пассивный инструмент для снятия отпечатков TCP/IP с открытым исходным кодом.
  • Ettercap — пассивное снятие отпечатков стека TCP/IP.
  • Nmap — комплексная снятие отпечатков активного стека.
  • p0f – комплексное пассивное снятие отпечатков пальцев стека TCP/IP.
  • NetSleuth – бесплатный пассивный инструмент для снятия отпечатков пальцев и анализа
  • ПакетЗабор [9] NAC с открытым исходным кодом и пассивной дактилоскопией DHCP.
  • Сатори — пассивный CDP , DHCP, ICMP, HPSP , HTTP , TCP/IP и другие отпечатки пальцев стека.
  • SinFP – активный/пассивный снятие отпечатков пальцев с одним портом.
  • XProbe2 – активное снятие отпечатков стека TCP/IP.
  • queso — известный инструмент конца 1990-х годов, который больше не обновляется для современных операционных систем.

Ссылки

[ редактировать ]
  1. ^ Чувакин А. и Пейкари, К.: «Воин безопасности», стр. 229. O'Reilly Media Inc., 2004.
  2. ^ «Пассивный сбор отпечатков пальцев ОС, блог сетевой безопасности NETRESEC» . Netresec.com. 05.11.2011 . Проверено 25 ноября 2011 г.
  3. ^ «иплог» . Проверено 25 ноября 2011 г.
  4. ^ «Обнаружение ОС не является ключом к проникновению» . Сайт Seclists.org . Проверено 25 ноября 2011 г.
  5. ^ "Осфускация" . Irongeek.com. 30 сентября 2008 г. Проверено 25 ноября 2011 г.
  6. ^ Карл-Дэниел Хайлфингер, carldani@4100XCDT. «ИПЛичность» . Ippersonality.sourceforge.net . Проверено 25 ноября 2011 г. {{cite web}}: CS1 maint: числовые имена: список авторов ( ссылка )
  7. ^ «Победа над снятием отпечатков пальцев стека TCP/IP» . Usenix.org. 29 января 2002 г. Проверено 25 ноября 2011 г.
  8. ^ «Zardaxt.py» . Гитхаб. 25 ноября 2021 г. Проверено 25 ноября 2021 г.
  9. ^ «ПакетФенс» . ПакетЗабор. 21 ноября 2011 г. Проверено 25 ноября 2011 г.
[ редактировать ]
Retrieved from "https://en.wikipedia.org/w/index.php?title=TCP/IP_stack_fingerprinting&oldid=1233124858"
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: c9b6530210710e0eb507500abfa9021e__1720341300
URL1:https://arc.ask3.ru/arc/aa/c9/1e/c9b6530210710e0eb507500abfa9021e.html
Заголовок, (Title) документа по адресу, URL1:
TCP/IP stack fingerprinting - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)