Amprentare stivă TCP / IP - TCP/IP stack fingerprinting
Amprentarea digitală a stivei TCP / IP este colecția pasivă de atribute de configurare de pe un dispozitiv la distanță în timpul comunicațiilor de rețea de nivel 4 standard . Combinația de parametri poate fi apoi utilizată pentru a deduce sistemul de operare al mașinii la distanță (aka, amprentă digitală a sistemului de operare ) sau poate fi încorporată într-o amprentă a dispozitivului .
Specificatii amprente digitale TCP / IP
Anumiți parametri din definiția protocolului TCP sunt lăsați până la implementare. Diferite sisteme de operare și versiuni diferite ale aceluiași sistem de operare stabilesc valori implicite diferite pentru aceste valori. Prin colectarea și examinarea acestor valori, se poate face diferența între diferite sisteme de operare și implementări ale TCP / IP. Câmpurile TCP / IP care pot varia includ următoarele:
- Dimensiunea inițială a pachetului (16 biți)
- TTL inițial (8 biți)
- Dimensiunea ferestrei (16 biți)
- Dimensiunea maximă a segmentului (16 biți)
- Valoarea scalării ferestrei (8 biți)
- pavilion „nu fragmentează” (1 bit)
- pavilion „sackOK” (1 bit)
- pavilion "nop" (1 bit)
Aceste valori pot fi combinate pentru a forma o semnătură de 67 de biți sau o amprentă digitală pentru mașina țintă. Doar inspectarea câmpurilor TTL inițiale și a dimensiunii ferestrei este adesea suficientă pentru a identifica cu succes un sistem de operare, ceea ce ușurează sarcina de a efectua amprentarea manuală a sistemului de operare.
Protecție împotriva și detectarea amprentelor digitale
Protecția împotriva ușii de amprentă la atac se realizează prin limitarea tipului și cantității de trafic la care răspunde un sistem defensiv. Exemplele includ blocarea măștilor de adrese și a marcajelor de timp de la traficul ICMP -mesaj de ieșire și blocarea răspunsurilor de ecou ICMP . Un instrument de securitate poate alerta cu privire la amprentele potențiale: se poate potrivi cu o altă mașină ca având o configurație a amprentei digitale prin detectarea amprentei sale .
Dezactivarea amprentelor TCP / IP oferă protecție împotriva scanerelor de vulnerabilități care doresc să vizeze mașinile care rulează un anumit sistem de operare. Amprentarea facilitează atacurile. Blocarea acestor mesaje ICMP este doar una dintre o serie de mijloace de apărare necesare pentru protecția completă împotriva atacurilor.
Direcționând datagrama ICMP, un obfuscator care rulează pe IP în stratul de internet acționează ca un „instrument de spălare” pentru a confunda datele de amprentă TCP / IP. Acestea există pentru Microsoft Windows , Linux și FreeBSD .
Instrumente de amprentă digitală
O listă de instrumente de amprentare TCP / OS
- Ettercap - amprentă pasivă TCP / IP stivă.
- Nmap - amprentă digitală activă completă.
- p0f - amprentă pasivă cuprinzătoare TCP / IP stivă.
- NetSleuth - instrument de analiză și amprentare pasivă gratuită
- PacketFence - NAC open source cu amprentă pasivă DHCP.
- Satori - CDP pasiv , DHCP, ICMP, HPSP , HTTP , TCP / IP și alte amprente digitale în stivă.
- SinFP - amprentă digitală activă / pasivă cu un singur port.
- XProbe2 - amprentă activă TCP / IP stivă.
- queso - instrument cunoscut de la sfârșitul anilor 1990, care nu mai este actualizat pentru sistemele de operare moderne
- Masscan - Scanner rapid care transmite 10 milioane de pachete pe secundă