Spoofing TCP / IP stack SO Attacchi fingerprinting in OSX

1

Abbiamo bisogno di cambiare la nostra impronta digitale OSX per impersonare il sistema operativo Android contro gli attacchi di "impronte digitali del sistema operativo passivo".

Per le macchine Windows ci sono strumenti / guide per farlo, ma non riesco a trovare nessuno per macchine Mac OSX: (

Questo attacco funziona anche se sfoglio un sito Web utilizzando il browser Tor!

    
posta user91343 07.11.2015 - 10:06
fonte

2 risposte

1

This attack works even if I browse a website using Tor browser!

Penso che tu abbia torto qui.

Si sta parlando dell'impronta digitale dello stack TCP / IP e si afferma che il sistema operativo originale può essere rilevato in questo modo se si utilizza Tor. Ma i nodi Tor non si limitano a inoltrare pacchetti come un router, ma invece i dati vengono reimballati nello spazio utente e ogni volta si ha una nuova connessione TCP / IP. Quindi ciò che dovresti vedere con il fingerprinting a livello TCP / IP è al massimo il SO del nodo di uscita. Ciò significa anche che qualsiasi modifica alle impostazioni TCP del tuo sistema operativo non dovrebbe avere alcun effetto riguardo alle impronte digitali quando usi Tor.

Dal momento che probabilmente hai verificato alcuni siti che affermavano di aver rilevato il tuo sistema operativo anche tramite Tor, ti consiglio di condividere un link a questo sito in modo da scoprire come viene effettivamente effettuato il rilevamento.

    
risposta data 08.11.2015 - 08:29
fonte
1

Risposta breve: Non sono un esperto e non conosco uno strumento su MacOSX che faccia ciò che vuoi con pochi clic, impersonando un sistema operativo diverso.

Risposta lunga:
Il blocco / confusione dell'OSFP potrebbe essere possibile con PF su MacOSX (non testato). Il filtro pacchetti di OpenBSD è stato convertito da Apple (Yosemite e versioni successive). Nell'esempio del collegamento è su OpenBSD.
Prima:

# nmap -O puffy

Starting nmap 3.48 ( http://www.insecure.org/nmap/ ) at 2003-12-02 19:14 MST
Interesting ports on puffy (192.168.0.42):
(The 1653 ports scanned but not shown below are in state: closed)
PORT    STATE SERVICE
13/tcp  open  daytime
22/tcp  open  ssh
37/tcp  open  time
113/tcp open  auth
Device type: general purpose
Running: OpenBSD 3.X
OS details: OpenBSD 3.0 or 3.3

Nmap run completed -- 1 IP address (1 host up) scanned in 24.873 seconds

Dopo
:

# nmap -O puffy 

Starting nmap 3.48 ( http://www.insecure.org/nmap/ ) at 2003-12-02 22:56 MST
Interesting ports on puffy (192.168.0.42):
(The 1653 ports scanned but not shown below are in state: closed)
PORT    STATE SERVICE
13/tcp  open  daytime
22/tcp  open  ssh
37/tcp  open  time
113/tcp open  auth
No exact OS matches for host (If you know what OS is running on it, see 
http://www.insecure.org/cgi-bin/nmap-submit.cgi).
TCP/IP fingerprint:
SInfo(V=3.48%P=i686-pc-linux-gnu%D=12/2%Time=3FCD7B3F%O=13%C=1)
TSeq(Class=TR%IPID=RD%TS=2HZ)
T1(Resp=Y%DF=Y%W=403D%ACK=S++%Flags=AS%Ops=MNWNNT)
T2(Resp=Y%DF=Y%W=0%ACK=S%Flags=AR%Ops=)
T3(Resp=Y%DF=Y%W=0%ACK=O%Flags=AR%Ops=)
T4(Resp=Y%DF=Y%W=4000%ACK=O%Flags=R%Ops=)
T5(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=)
T7(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=)
PU(Resp=Y%DF=N%TOS=0%IPLEN=38%RIPTL=134%RID=E%RIPCK=F%UCK=E%ULEN=134%DAT=E)

Nmap run completed -- 1 IP address (1 host up) scanned in 27.028 seconds

File di configurazione: /etc/pf.conf

Regole:

set block-policy  return

block in log quick proto tcp flags FUP/WEUAPRSF
block in log quick proto tcp flags WEUAPRSF/WEUAPRSF
block in log quick proto tcp flags SRAFU/WEUAPRSF
block in log quick proto tcp flags /WEUAPRSF
block in log quick proto tcp flags SR/SR
block in log quick proto tcp flags SF/SF 

    
risposta data 09.11.2015 - 01:13
fonte

Leggi altre domande sui tag