Отпечатки стека TCP / IP - это пассивный сбор атрибутов конфигурации с удаленного устройства во время стандартного сетевого взаимодействия уровня 4 . Комбинация параметров затем может использоваться для вывода операционной системы удаленного компьютера (также известный как отпечаток ОС ) или быть включена в отпечаток устройства .
Особенности TCP / IP отпечатков пальцев
Некоторые параметры в определении протокола TCP оставлены на усмотрение реализации. Разные операционные системы и разные версии одной и той же операционной системы устанавливают разные значения по умолчанию для этих значений. Собирая и изучая эти значения, можно различать различные операционные системы и реализации TCP / IP. Поля TCP / IP, которые могут отличаться, включают следующее:
- Начальный размер пакета (16 бит)
- Начальный TTL (8 бит)
- Размер окна (16 бит)
- Максимальный размер сегмента (16 бит)
- Значение масштабирования окна (8 бит)
- флаг "не фрагментировать" (1 бит)
- флаг "sackOK" (1 бит)
- флаг "nop" (1 бит)
Эти значения могут быть объединены для формирования 67-битной подписи или отпечатка пальца целевой машины. [1] Простого просмотра полей начального TTL и размера окна часто бывает достаточно для успешной идентификации операционной системы, что упрощает задачу ручного снятия отпечатков ОС. [2]
Защита от отпечатков пальцев и обнаружение их
Защита от атак по отпечаткам пальцев достигается за счет ограничения типа и объема трафика, на который реагирует защитная система. Примеры включают блокирование маски адресов и временные метки от исходящего ICMP трафика управления-сообщения, и блокирование ICMP эхо - ответов . Инструмент безопасности может предупреждать о потенциальном снятии отпечатков пальцев: он может сопоставить другую машину с конфигурацией отпечатка пальца, обнаружив свой отпечаток пальца. [3]
Запрещение снятия отпечатков TCP / IP обеспечивает защиту от сканеров уязвимостей, которые ищут целевые машины с определенной операционной системой. Отпечатки пальцев облегчают приступы. Блокирование этих сообщений ICMP - лишь одна из множества мер защиты, необходимых для полной защиты от атак. [4]
Нацеленная на дейтаграмму ICMP, обфускатор, работающий поверх IP на уровне Интернета, действует как «инструмент очистки», чтобы запутать данные отпечатков TCP / IP. Они существуют для MS Windows , [5] Linux [6] и FreeBSD . [7]
Инструменты для снятия отпечатков пальцев
Список инструментов для снятия отпечатков TCP / OS
- Ettercap - пассивная идентификация стека TCP / IP.
- Nmap - комплексный активный отпечаток стека.
- p0f - комплексная пассивная идентификация стека TCP / IP.
- NetSleuth - бесплатный инструмент пассивного снятия отпечатков и анализа
- PacketFence [8] - NAC с открытым исходным кодом с пассивной идентификацией DHCP.
- Satori - пассивный CDP , DHCP, ICMP, HPSP , HTTP , TCP / IP и другие отпечатки стека.
- SinFP - однопортовый активный / пассивный снятие отпечатков пальцев.
- XProbe2 - активная идентификация стека TCP / IP.
- queso - хорошо известный инструмент конца 1990-х, который больше не обновляется для современных операционных систем.
- Masscan - быстрый сканер, передающий 10 миллионов пакетов в секунду
Рекомендации
- ^ Чувакин А. и Peikari, C: "Security Warrior", страница 229. O'Reilly Media Inc., 2004.
- ^ «Отпечатки пассивных ОС, Блог сетевой безопасности NETRESEC» . Netresec.com. 2011-11-05 . Проверено 25 ноября 2011 .
- ^ "iplog" . Проверено 25 ноября 2011 .
- ^ «Обнаружение ОС не ключ к проникновению» . Seclists.org . Проверено 25 ноября 2011 .
- ^ "OSfuscate" . Irongeek.com. 2008-09-30 . Проверено 25 ноября 2011 .
- ^ Карл-Даниэль Хейлфингер, carldani @ 4100XCDT. «IPPersonality» . Ippersonality.sourceforge.net . Проверено 25 ноября 2011 .
- ^ «Преодоление снятия отпечатков со стека TCP / IP» . Usenix.org. 2002-01-29 . Проверено 25 ноября 2011 .
- ^ «PacketFence» . PacketFence. 2011-11-21 . Проверено 25 ноября 2011 .