Az nmap-nak van egy olyan funkciója (-O), amelyet TCP/IP fingerprinting-nek nevezünk, és amelynek a segítségével (bizonyos hibaszázalék mellett) kideríthetjük, hogy milyen operációs rendszert futtat a szkennelt gép.Nem mindenki szereti, ha boldog-boldogtalan ismeri az általa futtatott operációs rendszer típusát, verzióját, stb.
Jó volna valami módon védekezni az nmap eme funkciója ellen. Vajon lehetséges?
Az nmap úgy próbálja felderíteni a távoli gép operációs rendszerét, hogy hét speciálisan formázott TCP/IP csomagot (test) küld a gépnek, majd várja a választ. A válaszcsomagokat azután összeveti az adatbázisában (OS signatures database) található OS fingerprint-ekkel (ujjlenyomatok), és ha egyezést talál, akkor kiírja az operációs rendszer típusát. Minden egyes operációs rendszer TCP/IP stack-je különböző, és egyedi választ ad vissza. Ezt a tulajdonságot lehet felhasználni az azonosításra.
Mégis hogyan védekezhetünk az ilyen típusú támadás ellen?
Számos lehetséges védekezési mód ismert az ilyen ``szaglászás'' ellen. Különböző operációs rendszerekre különböző eszközök léteznek. Például:
- Linux
- IP Personality
- Stealth patch
- Fingerprint Fucker
- *BSD megoldások
- Blackhole
- Fingerprint Fucker (Darren Reed)
- stb.
Az nmap elleni harc lehetséges eszközeit mutatja be David Barroso Berrueta ``A practical approach for defeating Nmap OS-Fingerprinting'' című dokumentuma.
A dokumentumot megtalálod itt.
- A hozzászóláshoz be kell jelentkezni
Hozzászólások
Ezt szeretem a hackerekben:
- rengeteg idot fektetnek bele hogy felepitsenek egy technologijai hatart
- meg tobb idot fektetnek be, hogy ezt a hatart ledontesek
- mikor ledontottek, mineden kezdodhet az elejrol
Meg egy bizonyitek arra, hogy az OpenSource gyorsabban fejlodik a ClosedSourcenal :)
- A hozzászóláshoz be kell jelentkezni
Hello.
Ez semmire nem bizonyitek... (marmint amit felsoroltal)
Udv.
- A hozzászóláshoz be kell jelentkezni
Nekem OpenBSD/pf-ben egy
block in log from any os "NMAP"
sor van a pf.conf-ban.
Bár nem 100%-os megoldás, de egy egyszerű script kiddie ellen hatásos és nem csak a fingerprintet nem adja vissza, hanem a portscanre se válaszol (mint ha nem lenne nyitott port).
- A hozzászóláshoz be kell jelentkezni
Fyodor felveszi a adatbazisba ennek a fingerprintjet, aztan legkozelebb azt fogja kiirni:
"OpenBSD - pf-fel alcazva"
:-)
(valami valaszt csak general a portscan ebben az esetben is szerintem)
- A hozzászóláshoz be kell jelentkezni
Nem, mivel dobja a csomagot a pf ha "NMAP" os fingerprintnek latja.
Az nmap is felismerheto, nem csak a kulonbozo oprendszerek:
hunger@openbsd$ grep NMAP: /etc/pf.os
1024:64:0:40:.: *NMAP:syn scan:1:NMAP syn scan (1)
2048:64:0:40:.: *NMAP:syn scan:2:NMAP syn scan (2)
3072:64:0:40:.: *NMAP:syn scan:3:NMAP syn scan (3)
4096:64:0:40:.: *NMAP:syn scan:4:NMAP syn scan (4)
1024:64:0:60:W10,N,M265,T: *NMAP:OS:1:NMAP OS detection probe (1)
2048:64:0:60:W10,N,M265,T: *NMAP:OS:2:NMAP OS detection probe (2)
3072:64:0:60:W10,N,M265,T: *NMAP:OS:3:NMAP OS detection probe (3)
4096:64:0:60:W10,N,M265,T: *NMAP:OS:4:NMAP OS detection probe (4)
De pl. jo poen a windowsos kollegat is szivatni azzal, hogy a windowsos csomagokat eldobatjuk az openbsd tuzfallal es mindenki masnak megy a net (Linux, BSD, stb.), csak a windowsosnak nem... :-D
- A hozzászóláshoz be kell jelentkezni
Régi szép idők :-)
- A hozzászóláshoz be kell jelentkezni