Odcisk palca stosu TCP/IP
Odcisk palca stosu TCP/IP to zdalne wykrywanie właściwości implementacji stosu TCP/IP . Kombinacja parametrów może być następnie wykorzystana do wywnioskowania systemu operacyjnego zdalnej maszyny (inaczej odcisk palca systemu operacyjnego ) lub włączona do odcisku palca urządzenia .
Specyfikacja odcisku palca TCP/IP
Pewne parametry w definicji protokołu TCP pozostawia się implementacji. Różne systemy operacyjne i różne wersje tego samego systemu operacyjnego ustawiają różne wartości domyślne dla tych wartości. Zbierając i badając te wartości, można rozróżnić różne systemy operacyjne i implementacje protokołu TCP/IP. Pola protokołu TCP/IP, które mogą się różnić, obejmują:
- Początkowy rozmiar pakietu (16 bitów)
- Początkowy TTL (8 bitów)
- Rozmiar okna (16 bitów)
- Maksymalny rozmiar segmentu (16 bitów)
- Wartość skalowania okna (8 bitów)
- flaga „nie fragmentuj” (1 bit)
- Flaga „sackOK” (1 bit)
- flaga „nop” (1 bit)
Te wartości mogą być łączone w celu utworzenia 67-bitowego podpisu lub odcisku palca dla maszyny docelowej. Samo sprawdzenie początkowych pól TTL i rozmiaru okna jest często wystarczające, aby pomyślnie zidentyfikować system operacyjny, co ułatwia ręczne pobieranie odcisków palców systemu operacyjnego.
Ochrona przed i wykrywanie odcisków palców
Ochronę przed atakiem za pomocą linii papilarnych uzyskuje się poprzez ograniczenie rodzaju i ilości ruchu, na który reaguje system obronny. Przykłady obejmują blokowanie masek adresowych i znaczników czasu wychodzącego ruchu komunikatów kontrolnych ICMP oraz blokowanie odpowiedzi echa ICMP . Narzędzie bezpieczeństwa może ostrzegać o potencjalnym pobieraniu odcisków palców: może porównać inną maszynę z konfiguracją odcisków palców, wykrywając jej odcisk palca.
Nie zezwalanie na pobieranie odcisków palców TCP/IP zapewnia ochronę przed skanerami luk w zabezpieczeniach , które wyszukują maszyny z określonym systemem operacyjnym. Pobieranie odcisków palców ułatwia ataki. Blokowanie tych komunikatów ICMP to tylko jedna z wielu metod obrony wymaganych do pełnej ochrony przed atakami.
Celując w datagram ICMP, zaciemniacz działający na IP w warstwie internetowej działa jako „narzędzie do czyszczenia” w celu zmylenia danych odcisków palców TCP/IP. Istnieją one dla systemów Microsoft Windows , Linux i FreeBSD .
Narzędzia do pobierania odcisków palców
Lista narzędzi do pobierania odcisków palców TCP/OS
- Zardax.py – Pasywne narzędzie do pobierania odcisków palców TCP/IP o otwartym kodzie źródłowym.
- Ettercap – pasywne pobieranie odcisków palców stosu TCP/IP.
- Nmap – kompleksowe pobieranie odcisków palców aktywnego stosu.
- p0f – kompleksowe pasywne pobieranie odcisków palców stosu TCP/IP.
- NetSleuth – bezpłatne pasywne narzędzie do pobierania i analizy odcisków palców
- PacketFence – open source NAC z pasywnym odciskiem palca DHCP.
- Satori – pasywne odciski palców CDP , DHCP, ICMP, HPSP, HTTP , TCP/IP i inne stosy.
- SinFP – jednoportowy aktywny/pasywny odcisk palca.
- XProbe2 – aktywny odcisk palca stosu TCP/IP.
- queso - znane narzędzie z końca lat 90-tych, które nie jest już aktualizowane dla nowoczesnych systemów operacyjnych