TCP/IP-stackfingeravtryck

Passiv OS Fingerprinting metod och diagram.

TCP/IP-stackfingeravtryck är fjärrdetektering av egenskaperna hos en TCP/IP-stackimplementering . Kombinationen av parametrar kan sedan användas för att sluta sig till fjärrmaskinens operativsystem (alias OS-fingeravtryck ), eller inkorporeras i ett enhetsfingeravtryck .

TCP/IP-fingeravtrycksspecifikationer

Vissa parametrar inom TCP- protokolldefinitionen lämnas upp till implementeringen. Olika operativsystem och olika versioner av samma operativsystem har olika standardinställningar för dessa värden. Genom att samla in och undersöka dessa värden kan man skilja mellan olika operativsystem och implementeringar av TCP/IP. TCP/IP-fälten som kan variera inkluderar följande:

  • Initial paketstorlek (16 bitar)
  • Initial TTL (8 bitar)
  • Fönsterstorlek (16 bitar)
  • Max segmentstorlek (16 bitar)
  • Fönsterskalningsvärde (8 bitar)
  • "fragmentera inte" flagga (1 bit)
  • "sackOK"-flagga (1 bit)
  • "Nop"-flagga (1 bit)

Dessa värden kan kombineras för att bilda en 67-bitars signatur, eller fingeravtryck, för målmaskinen. Att bara inspektera fälten Initial TTL och fönsterstorlek är ofta tillräckligt för att framgångsrikt identifiera ett operativsystem, vilket underlättar uppgiften att utföra manuell OS-fingeravtryck.

Skydd mot och detektering av fingeravtryck

Skydd mot fingeravtrycksdörren till attack uppnås genom att begränsa typen och mängden trafik som ett defensivt system reagerar på. Exempel inkluderar blockering av adressmasker och tidsstämplar från utgående ICMP -kontrollmeddelandetrafik och blockering av ICMP-ekosvar . Ett säkerhetsverktyg kan varna för potentiellt fingeravtryck: det kan matcha en annan maskin som har en fingeravtryckskonfiguration genom att detektera dess fingeravtryck.

Att inte tillåta TCP/IP-fingeravtryck ger skydd mot sårbarhetsskannrar som vill rikta in sig på maskiner som kör ett visst operativsystem. Fingeravtryck underlättar attacker. Att blockera dessa ICMP-meddelanden är bara ett av en rad försvar som krävs för fullt skydd mot attacker.

Med inriktning på ICMP-datagrammet fungerar en obfuscator som körs ovanpå IP i internetlagret som ett "skrubbverktyg" för att förvirra TCP/IP-fingeravtrycksdata. Dessa finns för Microsoft Windows , Linux och FreeBSD .

Fingeravtrycksverktyg

En lista över TCP/OS fingeravtrycksverktyg

  • Zardax.py – Passiv öppen källkod TCP/IP fingeravtrycksverktyg.
  • Ettercap – passiv TCP/IP-stackfingeravtryck.
  • Nmap – omfattande aktivt stackfingeravtryck.
  • p0f – omfattande passiv TCP/IP-stackfingeravtryck.
  • NetSleuth – gratis verktyg för passiv fingeravtryck och analys
  • PacketFence – öppen källkod NAC med passivt DHCP-fingeravtryck.
  • Satori – passiv CDP , DHCP, ICMP, HPSP, HTTP , TCP/IP och andra stackfingeravtryck.
  • SinFP – aktiv/passiv fingeravtryck med en port.
  • XProbe2 – aktiv TCP/IP-stackfingeravtryck.
  • queso - välkänt verktyg från slutet av 1990-talet som inte längre uppdateras för moderna operativsystem

externa länkar

Hämtad från " https://en.wikipedia.org/w/index.php?title=TCP/IP_stack_fingerprinting&oldid=1132705046 "