F*ck ya nmap

A népszerű biztonsági szkenner programot, az nmap-ot nem csak ``békés'' célokra lehet felhasználni. A szakember arra használja, hogy rendszerének gyenge pontjait feltérképezze abból a célból, hogy benne a megbúvó hibákat kijavíthassa.

A script kiddie viszont arra használja, hogy kiderítse mely pontokon lehet az adott rendszert hatékonyan támadni betörés céljából.

Az nmap-nak van egy olyan funkciója (-O), amelyet TCP/IP fingerprinting-nek nevezünk, és amelynek a segítségével (bizonyos hibaszázalék mellett) kideríthetjük, hogy milyen operációs rendszert futtat a szkennelt gép.Nem mindenki szereti, ha boldog-boldogtalan ismeri az általa futtatott operációs rendszer típusát, verzióját, stb.

Jó volna valami módon védekezni az nmap eme funkciója ellen. Vajon lehetséges?

Az nmap úgy próbálja felderíteni a távoli gép operációs rendszerét, hogy hét speciálisan formázott TCP/IP csomagot (test) küld a gépnek, majd várja a választ. A válaszcsomagokat azután összeveti az adatbázisában (OS signatures database) található OS fingerprint-ekkel (ujjlenyomatok), és ha egyezést talál, akkor kiírja az operációs rendszer típusát. Minden egyes operációs rendszer TCP/IP stack-je különböző, és egyedi választ ad vissza. Ezt a tulajdonságot lehet felhasználni az azonosításra.

Mégis hogyan védekezhetünk az ilyen típusú támadás ellen?

Számos lehetséges védekezési mód ismert az ilyen ``szaglászás'' ellen. Különböző operációs rendszerekre különböző eszközök léteznek. Például:

  • Linux
    • IP Personality
    • Stealth patch
    • Fingerprint Fucker
  • *BSD megoldások
    • Blackhole
    • Fingerprint Fucker (Darren Reed)
    • stb.

Az nmap elleni harc lehetséges eszközeit mutatja be David Barroso Berrueta ``A practical approach for defeating Nmap OS-Fingerprinting'' című dokumentuma.

A dokumentumot megtalálod itt.

Hozzászólások

Ezt szeretem a hackerekben:

- rengeteg idot fektetnek bele hogy felepitsenek egy technologijai hatart

- meg tobb idot fektetnek be, hogy ezt a hatart ledontesek

- mikor ledontottek, mineden kezdodhet az elejrol

Meg egy bizonyitek arra, hogy az OpenSource gyorsabban fejlodik a ClosedSourcenal :)

Nekem OpenBSD/pf-ben egy

block in log from any os "NMAP"

sor van a pf.conf-ban.

Bár nem 100%-os megoldás, de egy egyszerű script kiddie ellen hatásos és nem csak a fingerprintet nem adja vissza, hanem a portscanre se válaszol (mint ha nem lenne nyitott port).

Nem, mivel dobja a csomagot a pf ha "NMAP" os fingerprintnek latja.

Az nmap is felismerheto, nem csak a kulonbozo oprendszerek:

hunger@openbsd$ grep NMAP: /etc/pf.os

1024:64:0:40:.: *NMAP:syn scan:1:NMAP syn scan (1)

2048:64:0:40:.: *NMAP:syn scan:2:NMAP syn scan (2)

3072:64:0:40:.: *NMAP:syn scan:3:NMAP syn scan (3)

4096:64:0:40:.: *NMAP:syn scan:4:NMAP syn scan (4)

1024:64:0:60:W10,N,M265,T: *NMAP:OS:1:NMAP OS detection probe (1)

2048:64:0:60:W10,N,M265,T: *NMAP:OS:2:NMAP OS detection probe (2)

3072:64:0:60:W10,N,M265,T: *NMAP:OS:3:NMAP OS detection probe (3)

4096:64:0:60:W10,N,M265,T: *NMAP:OS:4:NMAP OS detection probe (4)


De pl. jo poen a windowsos kollegat is szivatni azzal, hogy a windowsos csomagokat eldobatjuk az openbsd tuzfallal es mindenki masnak megy a net (Linux, BSD, stb.), csak a windowsosnak nem... :-D