E 'possibile sconfiggere le capacità di rilevamento del sistema operativo degli strumenti di scansione di rete?

4

Gli strumenti di scansione di rete come nmap hanno la capacità di inferire la versione del sistema operativo basata su dettagli di sistema di livello inferiore. EG: comportamento dello stack TCP / IP, ecc. Esistono metodi noti per ingannare questi strumenti per segnalare il sistema operativo sbagliato o per confonderli in modo che non possano rilevare correttamente un sistema operativo?

    
posta Justin Ethier 24.06.2014 - 15:52
fonte

2 risposte

4

Ci sono una vasta gamma di modi per ingannare le funzioni di identificazione del sistema operativo, e funzionano a vari livelli, a seconda di quanta funzionalità è incorporata nello strumento.

Ad esempio, nmap non usa solo un meccanismo di identificazione, ma alcuni che si nutrono della sua% di fiducia annunciata nel suo identificazione del sistema operativo .

Nmap sends a series of TCP and UDP packets to the remote host and examines practically every bit in the responses. After performing dozens of tests such as TCP ISN sampling, TCP options support and ordering, IP ID sampling, and the initial window size check, Nmap compares the results to its nmap-os-db database of more than 2,600 known OS fingerprints and prints out the OS details if there is a match.

Alcuni strumenti cercano solo una firma, ad esempio il banner, quindi sarà più facile ingannare, semplicemente spoofingando il banner o la firma.

Quindi, se vuoi ingannare il rilevamento del sistema operativo, ti consigliamo di esaminare un insieme piuttosto completo di dimensioni di frame TCP, funzionalità keepalive, sequenze di numeri di pacchetti, banner di servizio ecc.

E cambiali tutti ... questo può essere piuttosto difficile.

Invece, vuoi pensare di usare un qualche tipo di proxy - a seconda di come è configurato, lo strumento di scansione è in grado di identificare il sistema operativo sul proxy, che può essere sufficiente per ridurre o rimuovere il rischio che stai provando per mitigare.

    
risposta data 24.06.2014 - 16:24
fonte
2

Esistono numerosi trucchi, alcuni dei quali sono dettagliati nel nmap book "ufficiale" o una vecchia scrittura . Le cose più facili che puoi fare senza molta sofisticazione tecnica sono:

  • Indirizzi IP del firewall che non dovrebbero accedervi.
  • Disattiva ICMP echo.

Se vuoi qualcosa di più sofisticato, puoi utilizzare un prodotto come IP Personality su macchine Linux per cambiare le risposte TCP / IP essenziali .

Tenere presente che tali prodotti modificano il comportamento TCP / IP delle macchine e potrebbero causare problemi di interoperabilità con altre macchine che si aspettano un comportamento specifico. Inoltre, questo non aiuta con le impronte digitali passive, che esaminano i pacchetti inviati (passivamente) per indovinare il tuo sistema operativo (ad esempio dai banner inviati, dai servizi richiesti, ecc.)

    
risposta data 25.06.2014 - 00:11
fonte

Leggi altre domande sui tag