Chia Sẽ Kinh Nghiệm Về IT



Tìm Kiếm Với Google
-


Gởi Ðề Tài Mới  Gửi trả lời
 
Công Cụ Xếp Bài
Tuổi 28-08-2009, 05:11 PM   #1
hoctinhoc
Guest
 
Trả Lời: n/a
Kỹ Thuật Passive OS Fingerprinting
Passive OS Fingerprinting

Kỹ thuật Passive OS Fingerprinting là liên quan đến việc sử dụng sniffing để nhận diện hệ điều hành khác với Active OS Fingerprinting dùng scanning để thực hiện nhận diện hệ điều hành.
Dựa vào đặc tính của packet được sử dụng để nhận biết hệ điều hành. Sau đây là một số thuộc tính của TCP/IP dùng để xét khi thực hiện Passive OS Fingerprinting:
1. TTL: Dựa vào Time-To-Live của mỗi packet trong hệ điều hành
2. Window size: Tùy theo hệ điều hành mà có thể set các window size khác nhau.
3. DF (Don’t Fragment bit): Hệ điều hành có thiết lập việc phân rã bit hay không ?
4. …
Bằng việc sniffing và phân tích packet có các thuộc tính ở trên, chương trình sẽ so sánh với một database thuộc tính và đưa ra kết quả của hệ điều hành sử dụng là gì. Một số công cụ thực hiện Passive OS Fingerprinting có thể kể đến là siphon (http://packetstormsecurity.org/UNIX/...n-v.666.tar.gz ), p0f (http://lcamtuf.coredump.cx/p0f.shtml)
Ví dụ một số dấu hiệu nhận biết hệ điều hành của chương trình p0f
Code:
# ----------------- Windows -----------------
# Windows TCP/IP stack is a mess. For most recent XP, 2000 and
# seem. Luckily for us, almost all Windows 9x boxes have an
8192:32:1:44:M*:.:Windows:3.11 (Tucows)
S44:64:1:64:M*,N,W0,N,N,T0,N,N,S:.:Windows:95
8192:128:1:64:M*,N,W0,N,N,T0,N,N,S:.:Windows:95b
# Windows 98 it is no longer possible to tell them from each other
S44:32:1:48:M*,N,N,S:.:Windows:98 (low TTL) (1)
8192:32:1:48:M*,N,N,S:.:Windows:98 (low TTL) (2)
%8192:64:1:48:M536,N,N,S:.:Windows:98 (13)
%8192:128:1:48:M536,N,N,S:.:Windows:98 (15)
S4:64:1:48:M*,N,N,S:.:Windows:98 (1)
S6:64:1:48:M*,N,N,S:.:Windows:98 (2)
S12:64:1:48:M*,N,N,S:.:Windows:98 (3
T30:64:1:64:M1460,N,W0,N,N,T0,N,N,S:.:Windows:98 (16)
32767:64:1:48:M*,N,N,S:.:Windows:98 (4)
37300:64:1:48:M*,N,N,S:.:Windows:98 (5)
46080:64:1:52:M*,N,W3,N,N,S:.:Windows:98 (RFC1323+)
65535:64:1:44:M*:.:Windows:98 (no sack)
S16:128:1:48:M*,N,N,S:.:Windows:98 (6)
S16:128:1:64:M*,N,W0,N,N,T0,N,N,S:.:Windows:98 (7)
S26:128:1:48:M*,N,N,S:.:Windows:98 (8)
T30:128:1:48:M*,N,N,S:.:Windows:98 (9)
32767:128:1:52:M*,N,W0,N,N,S:.:Windows:98 (10)
60352:128:1:48:M*,N,N,S:.:Windows:98 (11)
60352:128:1:64:M*,N,W2,N,N,T0,N,N,S:.:Windows:98 (12)
T31:128:1:44:M1414:.:Windows:NT 4.0 SP6a (1)
64512:128:1:44:M1414:.:Windows:NT 4.0 SP6a (2)
8192:128:1:44:M*:.:Windows:NT 4.0 (older)
# Windows XP and 2000. Most of the signatures that were
65535:128:1:48:M*,N,N,S:.:Windows:2000 SP4, XP SP1+
%8192:128:1:48:M*,N,N,S:.:Windows:2000 SP2+, XP SP1+ (seldom 98)
S20:128:1:48:M*,N,N,S:.:Windows:SP3
S45:128:1:48:M*,N,N,S:.:Windows:2000 SP4, XP SP1+ (2)
40320:128:1:48:M*,N,N,S:.:Windows:2000 SP4
S6:128:1:48:M*,N,N,S:.:WindowsP, 2000 SP2+
S12:128:1:48:M*,N,N,S:.:WindowsP SP1+ (1)
S44:128:1:48:M*,N,N,S:.:WindowsP SP1+, 2000 SP3
64512:128:1:48:M*,N,N,S:.:WindowsP SP1+, 2000 SP3 (2)
32767:128:1:48:M*,N,N,S:.:WindowsP SP1+, 2000 SP4 (3)
# Windows 2003 & Vista
8192:128:1:52:M*,W8,N,N,N,S:.:Windows:Vista (beta)
32768:32:1:52:M1460,N,W0,N,N,S:.:Windows:2003 AS
65535:64:1:52:M1460,N,W2,N,N,S:.:Windows:2003 (1)
65535:64:1:48:M1460,N,N,S:.:Windows:2003 (2)
S52:128:1:48:M1260,N,N,S:.:WindowsP/2000 via Cisco
65520:128:1:48:M*,N,N,S:.:WindowsP bare-bone
16384:128:1:52:M536,N,W0,N,N,S:.:Windows:2000 w/ZoneAlarm?
2048:255:0:40:.:.:Windows:.NET Enterprise Server
44620:64:0:48:M*,N,N,S:.:Windows:ME no SP (?)
S6:255:1:48:M536,N,N,S:.:Windows:95 winsock 2
32000:128:0:48:M*,N,N,S:.:WindowsP w/Winroute?
16384:64:1:48:M1452,N,N,S:.:WindowsP w/Sygate? (1)
17256:64:1:48:M1460,N,N,S:.:WindowsP w/Sygate? (2)
*:128:1:48:M*,N,N,S:U:-WindowsP/2000 while downloading (leak!)
32768:32:1:44:M1460:.:Windows:CE 3
3100:32:1:44:M1460:.:Windows:CE 2.0
*:128:1:52:M*,N,W0,N,N,S:.:@WindowsP/2000 (RFC1323+, w, tstamp-)
*:128:1:52:M*,N,W*,N,N,S:.:@WindowsP/2000 (RFC1323+, w+, tstamp-)
*:128:1:52:M*,N,N,T0,N,N,S:.:@WindowsP/2000 (RFC1323+, w-, tstamp+)
*:128:1:64:M*,N,W0,N,N,T0,N,N,S:.:@WindowsP/2000 (RFC1323+, w, tstamp+)
*:128:1:64:M*,N,W*,N,N,T0,N,N,S:.:@WindowsP/2000 (RFC1323+, w+, tstamp+)
*:128:1:48:M536,N,N,S:.:@Windows:98
*:128:1:48:M*,N,N,S:.:@WindowsP/2000

Một số dấu hiệu để nhận biết hệ điều hành Linux
Code:
# ----------------- Linux -------------------
S1:64:0:44:M*:A:Linux:1.2.x
512:64:0:44:M*:.:Linux:2.0.3x (1)
16384:64:0:44:M*:.:Linux:2.0.3x (2)
2:64:0:44:M*:.:Linux:2.0.3x (MkLinux) on Mac (1)
64:64:0:44:M*:.:Linux:2.0.3x (MkLinux) on Mac (2)
S4:64:1:60:M1360,S,T,N,W0:.:Linux:2.4 (Google crawlbot)
S4:64:1:60:M1430,S,T,N,W0:.:Linux:2.4-2.6 (Google crawlbot)
S2:64:1:60:M*,S,T,N,W0:.:Linux:2.4 (large MTU?)
S3:64:1:60:M*,S,T,N,W0:.:Linux:2.4 (newer)
S4:64:1:60:M*,S,T,N,W0:.:Linux:2.4-2.6
S3:64:1:60:M*,S,T,N,W1:.:Linux:2.6, seldom 2.4 (older, 1)
S4:64:1:60:M*,S,T,N,W1:.:Linux:2.6, seldom 2.4 (older, 2)
S3:64:1:60:M*,S,T,N,W2:.:Linux:2.6, seldom 2.4 (older, 3)
S4:64:1:60:M*,S,T,N,W2:.:Linux:2.6, seldom 2.4 (older, 4)
T4:64:1:60:M*,S,T,N,W2:.:Linux:2.6 (older, 5)
S4:64:1:60:M*,S,T,N,W5:.:Linux:2.6 (newer, 1)
S4:64:1:60:M*,S,T,N,W6:.:Linux:2.6 (newer, 2)
S4:64:1:60:M*,S,T,N,W7:.:Linux:2.6 (newer, 3)
T4:64:1:60:M*,S,T,N,W7:.:Linux:2.6 (newer, 4)
S20:64:1:60:M*,S,T,N,W0:.:Linux:2.2 (1)
S22:64:1:60:M*,S,T,N,W0:.:Linux:2.2 (2)
S11:64:1:60:M*,S,T,N,W0:.:Linux:2.2 (3)
S4:64:1:48:M1460,N,W0:.:Linux:2.4 in cluster
32767:64:1:60:M16396,S,T,N,W0:.:Linux:2.4 (loopback)
32767:64:1:60:M16396,S,T,N,W2:.:Linux:2.6 (newer, loopback)
S8:64:1:60:M3884,S,T,N,W0:.:Linux:2.2 (loopback)
16384:64:1:60:M*,S,T,N,W0:.inux:2.2 (Opera?)
32767:64:1:60:M*,S,T,N,W0:.inux:2.4 (Opera?)
S22:64:1:52:M*,N,N,S,N,W0:.:Linux:2.2 (tstamp-)
S4:64:1:52:M*,N,N,S,N,W0:.:Linux:2.4 (tstamp-)
S4:64:1:52:M*,N,N,S,N,W2:.:Linux:2.6 (tstamp-)
S4:64:1:44:M*:.:Linux:2.6? (barebone, rare!)
T4:64:1:60:M1412,S,T,N,W0:.:Linux:2.4 (rare!)

Theo: seamoun (hvaonline)


27085:128:0:40:.:.ellowerApp cache (Linux-based)

Ngoài Linux và Windows còn các dấu hiệu đề nhận biết các hệ điều hành khác
Cách thức điều tra hệ điều với kỹ thuật Passive OS Fingerprint


Ngoài việc sử dụng các chương trình trên có thể điều tra hệ điều hành thông qua một trang web nổi tiếng về report các OS: http://netcraft.com. Khi truy cập trang Web này chỉ cần gõ domain của server đích cần kiểm tra thì Website sẽ thông báo chi tiết các OS sử dụng cũng như ngày giờ và các thông tin về Web Server sử dụng cũng như các thành phần khác…
Ví dụ một điều tra OS đối với domain vnexpress.net


Ưu điểm của kỹ thuật Passive OS Fingerprint là không thực hiện scanning mà sniffing, và từ kết quả phân tích sniffing với các dấu hiệu tương ứng so với database đưa ra kết quả của OS đang chạy là gì, cho nên không làm “ồn ào” đối với hệ thống đích như là thực hiện Active OS Fingerprinting. Tất nhiên nhược điểm lớn nhất của kỹ thuật này là tính chính xác không cao
  Trả lời ngay kèm theo trích dẫn này
Gửi trả lời



Quyền Hạn Của Bạn
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts

BB code is Mở
Hình Cảm xúc đang Mở
[IMG] đang Mở
Mã HTML đang Tắt




Bây giờ là 08:45 PM. Giờ GMT +7



Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.