Projekt "BSD For You" - [BSD4u.org] - FreeBSD i (anty) OS fingerprinting


















Niedziela, 23 Lipiec 2006 








Login
Hasło




Pamiętaj

Zapomniałeś hasła
Nie masz konta? Załóż sobie
















Start FreeBSD SYSTEM I KERNEL FreeBSD i (anty) OS fingerprinting











Menu BSD4u





FreeBSD

Handbook [EN]
Manual [EN]
FAQ [EN]
FAQ P.C.O.F [PL]
SYSTEM I KERNEL

Instalacja 5.3-RELEASE
Upgrade (Aktualizacja)
Kernel (Jądro)
CVSup
sysctl -a
Quota
Swapfile
dump / restore (1)
dump / restore (2)
OS fingerprinting

PORTY I PACZKI
FIREWALL
KONSOLA
POCZTA
WWW
FTP
DNS
NARZĘDZIA SIECIOWE
DOSTĘP DO INTERNETU
STATYSTYKI I WYKRESY
HARDWARE
INNE

OpenBSD
NetBSD
Dla *BSD
FAQ BSD4u
Forum BSDGuru.org
Security Advisory
Licencje
Images BSD






Menu ogólne





Start
Aktualności
Download
Sondy
Szukaj
Linki
Książki






About BSD4u





Info
Team BSD4u
Regulamin
Kanał #BSD4u
Kontakt






Sondy









Co sądzisz o naszym nowym Projekcie, i jak oceniasz zmianę koncepcji Projektu?











Świetny pomysł








Czegoś takiego brakowało








Zmieniło się na lepsze








Pomysł jak każdy inny








Uważam, że nie ma senu








Totalna klapa








Nie mam zdania









 















Popularne







Kompilacja i konfigu...




Neostrada+ i modem ...




NATowanie czyli jak ...




SQUID - najpopularni...




Upgrade systemu




Praktyczne IPFW




Apache (konfiguracja...




CVSup - pomocny podc...




Neostrada na modemie...




MRTG - statystyki ru...




Postfix z autoryzacj...




System Portów (Kolek...




Samba - serwer plikó...




Dummynet - dzielenie...




InternetDSL - idealn...








Top Download




 Postfix - "Krok po kroku" v1.05416
 PPTPd - "Prosty i szybki VPN" v1.0b3747
 sdi.sh3656
 Postfix - "Krok po kroku" v1.13485
 uEagle 1.0p12883
 uEagle 0.99b2792
 named.sh2788
 uEagle 1.02688
 cs.sh2631
 uEagle 1.12484







Ostatnie komentarze





Bez tytułuDodał: mrdadiDnia: 2006-07-06 12:45:51Mała uwaga :)Dodał: iryysDnia: 2006-06-27 18:09:00poczta pod dslDodał: korzenekDnia: 2006-06-22 19:14:19poczta dslDodał: korzenekDnia: 2006-06-22 19:13:35poczta pod dslDodał: korzenekDnia: 2006-06-22 19:13:14dodam ze w/w blad z...Dodał: Ice_menDnia: 2006-06-18 05:54:28







Newsletter





Zapisz się na nasz newsletter, jeżeli chcesz być na bieżąco informowany o aktualnościach..


Nazwa

E-mail























FreeBSD i (anty) OS fingerprinting










Oceny: / 5

KiepskiBardzo dobry 




Środa, 23 Listopad 2005 -
Napisał: Kacper Różycki (2780 odsłon)







Wszystkie systemy operacyjne mają specyficzne cechy, dzięki którym możemy odróznić je od innych.
Utrudnienie rozpozania systemu może być jedną z metod obrony (a raczej mającej zmylić)
przed intruzami.
Najczęściej używanymi programami do identyfikowania systemu operacyjnego
są nmap,
Xprobe2,
p0f.


Jak to działa? - czyli klika słów na temat poszczególnych programów.

Nmap
Jest to chyba najbardziej znanym programem do skanowania sieci.
Rozpoznaje on system operacyjny analizując odpowiedzi na źle zbudowane
pakiety TCP. Przeprowadza on 9 testów:

pakiet z flagami SYN i ECE
pakiet NULL (wyzerowane flagi)
pakiet TCP z flagami SYN, FIN, URG, PSH na jakis otwarty port TCP
pakiet TCP z flaga ACK na jakis otwarty port
pakiet TCP z flaga SYN na jakis zamkniety port
pakiet TCP z flaga ACK do zamknietego portu
pakiet TCP z flagami FIN, PSH, URG na zamkniety port TCP
pakiet UDP na zamkniety port UDP
6 kolejnych pakietow TCP z flaga SYN na jeden otwarty port



Xprobe2
Główna różnica w porównaniu do Nmap'a polega na tym, że pakiety wysyłane
przez Xprobe2 maja prawidłową budowę. Do rozpoznawania systemu operacyjnego
używa on komunikatów ICMP wysyłając sześć różnych testów:

ping - echo request [ICMP]
żądanie znacznika czasowego - timestamp [ICMP]
żądanie maski adresu - address mask request [ICMP]
żądanie informacji - information request [ICMP]
pakiet UDP do zamkniętego portu
pakiet TCP do otwartego portu



p0f
Program ten różni się tym od pozostałych, że nie rozpoznaje systemu w sposób aktywny.
Oznacza to mniej więcej tyle, że przechwytuje pakiety przychodzące i wyszukuje w nich
cech charakterystycznych poszczególnych systemów operacyjnych. Co sprawdza p0f:

rozmiar okna TCP
wartość TTL
obecność flagi DF
wartość i kolejność opcji TCP
różne "anomalie" - złe flagi, złe opcje, niezerowe wartości ACK

Do dzieła ! - czyli jak się ukrywać.


Wprowadzanie zmian zaczniemy od modyfikacji kilku opcji dostępnych w jądrze FreeBSD.
Pierwszą opcją, którą zmienimy jest włączenie "czarnej dziury" dzięku której bedą blokowane
pakiety, które jako swój cel będą miały zamknięte porty TCP i UDP. Dla TCP opcja 1 blokuje
pakiety z flagą SYN a 2 blokuje wszystkie pakiety, które jako swój cel mają zamknięty port TCP.




# sysctl net.inet.tcp.blackhole=2
# sysctl net.inet.udp.blackhole=1



Następną opcją jaką możemy zmienić jest domyślna wielkość okna TCP na maksymalny nie wymagający skalowania czyli 65535.




# sysctl net.inet.tcp.recvspace=65535



Teraz dokonamy zmiany wartości pola TTL ze standardowego 64 na 128.



# sysctl net.inet.ip.ttl=128



Aby nasze prace, mające na celu wyprowadzenie programów nmap, Xprobe2 i p0f w maliny, odniosły skutek zmienimy jeszcze dwie
opcje. Pierwsza to włączenie skalowania okna i znacznika czasowego, a druga to włączenie odpowiedzi na pakiety ICMP z żądaniem
maski adresów.




# sysctl net.inet.tcp.rfc1323=0
# sysctl net.inet.icmp.maskrepl=1



Plik konfiguracyjny naszego filtra pakietów (w przykładzie jest to ipf)
powinnien zawierać reguły postaci (przykład dla portu 80 i ping): -- fw.rules --



# przykładowo port 80
pass in quick proto tcp from any to xxx.xxx.xxx.xxx port=www flags S keep state

# ping
pass in quick proto icmp from any to xxx.xxx.xxx.xxx icmp-type echo keep state



-- end fw.rules --

Jeśli ktoś używa pf'a jako filtra pakietów to konfigurację dla niego przedstawione są w podobnym artykule dla OpenBSD.


Źródła:
http://www.insecure.org/nmap/nmap-fingerprinting-article-pl.html
http://www.insecure.org/nmap/index.html 
http://www.sys-security.com/index.php?page=xprobe
http://lcamtuf.coredump.cx/p0f.shtml  
Autor:
Kacper (qTi) Różycki
qTi(at)bsd4u.org
Powyższy artykuł został udostępniony na zasadach Licencji BSDKomentarze:Dodane przez michalk w dniu - 2005-12-14 18:07:48" Następną opcją jaką możemy zmienić jest romyślna wielkość okna TCP"  "domyślna" raczej Dodane przez qTi w dniu - 2005-12-14 18:35:31Już poprawiłem Dodane przez argail w dniu - 2006-01-02 13:16:33Z bliżej mi nieznanych powodów, po dodaniu :  # sysctl net.inet.tcp.blackhole=2 # sysctl net.inet.udp.blackhole=1 przestaję działąć squirell via imap ... dziwne .   Tylko zarejestrowani użytkownicy mogą pisać komentarze.Prosze zaloguj się i dodaj komentarz.Powered by AkoComment!



Ostatnio aktualizowany ( Środa, 14 Grudzień 2005 )















« wstecz

 




dalej »





[ WRÓĆ ]









Ciekawostki



W tcsh, możesz użyć `set
autologout = 30' by shell
automatycznie wylogował
Cię jeśli opuścisz
konsole na 30 minut.


















Pobierz



FreeBSD
OpenBSD
NetBSD
DragonFlyBSD
PC-BSD
FreeSBIE LiveCD
4.4BSD Lite






Reklama M3M.pl

















Książki



100 sposobów na BSD



Cena: 49.00 zł
Dodaj do koszyka


FreeBSD. Podstawy administracji systemem



Cena: 64.90 zł
Dodaj do koszyka


OpenBSD. Podstawy administracji systemem



Cena: 55.00 zł
Dodaj do koszyka


OpenBSD. Tworzenie firewalla za pomocą PF



Cena: 44.90 zł
Dodaj do koszyka





Google

















Licznik odwiedzin



Odwiedziło już nas 959158 Internautów od lutego 2003
Korzystamy ze statysyk





























(C) 2003-2006 Projekt "BSD For You" - [BSD4u.org]

Projekt tworzony i rozwijany przez
Team BSD4u