2004-09-23 17:37:54 +02:00
|
|
|
|
[[Kategorie:Themenabend]]
|
2004-09-28 01:03:40 +02:00
|
|
|
|
{{Themenabend|
|
|
|
|
|
TITEL= OS Fingerprinting |
|
|
|
|
|
UNTERTITEL= |
|
|
|
|
|
TERMIN= |
|
|
|
|
|
ORT= |
|
|
|
|
|
THEMA= Grundlagen Netzwerk |
|
|
|
|
|
|
|
|
|
|
REFERENTEN= |
|
|
|
|
|
C3D2WEB= |
|
|
|
|
|
TOPIC= |
|
|
|
|
|
SLIDES=|
|
|
|
|
|
}}
|
2004-09-23 17:37:54 +02:00
|
|
|
|
|
|
|
|
|
==Grundlagen==
|
|
|
|
|
* IP,TCP Grundwissen(Kurzfassung oder vorraussetzen?)
|
|
|
|
|
* 3way Handshake
|
|
|
|
|
|
|
|
|
|
==Merkmale von Fingerprinting==
|
|
|
|
|
* einfachste Methode: Banner in $Dienst
|
|
|
|
|
:Connected to www.c3d2.de.
|
|
|
|
|
: Escape character is '^]'.
|
|
|
|
|
:220 mail.kruitzer.net ESMTP ZX Spectrum (128k)
|
|
|
|
|
* Erkennung anhand von OS spezifischen Diensten(z.B. IIS unter WinXX)
|
|
|
|
|
* es gibt noch viiellleee andere Merkmale
|
|
|
|
|
* TCP Window Size
|
|
|
|
|
** Ursachen
|
2004-09-24 05:59:34 +02:00
|
|
|
|
** Anhand von Beispielen Verschiedenheit aufzeigen(BSD,Linux,Windows, evtl. Solaris?)
|
2004-09-23 17:37:54 +02:00
|
|
|
|
** leicht veränderbar
|
|
|
|
|
|
|
|
|
|
==Sicherheit==
|
|
|
|
|
* auf "normalen" Ports tcp Paket senden -> nicht von normalen Anfragen unterscheidbar
|
|
|
|
|
|
|
|
|
|
==Gegenmaßnahmen==
|
|
|
|
|
* Linux Variante
|
|
|
|
|
** IP Personality
|
|
|
|
|
** "Stealth patch" (f¸r 2.2 und 2.4; evtl. f¸r 2.6)
|
|
|
|
|
** Fingerprint Fucker
|
|
|
|
|
** IP Log (zum Logging)
|
|
|
|
|
* BSD
|
|
|
|
|
* Blackhole
|
|
|
|
|
* Fingerprint Fucker
|
|
|
|
|
* OpenBSD packet filter
|
|
|
|
|
* FreeBSD TCP_DROP_SYNFIN
|
|
|
|
|
|
|
|
|
|
==Beispiele==
|
|
|
|
|
* Einführung in nemesis + Demonstration, mit Auswertung durch tcpdump gekoppelt
|
|
|
|
|
* Erklärung vom tcpdump output
|
|
|
|
|
* nmap -O
|
|
|
|
|
|
|
|
|
|
==Links==
|
|
|
|
|
* http://www.insecure.org/nmap/nmap-fingerprinting-article-de.html
|
|
|
|
|
* http://www.w4g.org/fingerprinting.html
|
|
|
|
|
* http://www.incidents.org/papers/OSfingerprinting.php
|
|
|
|
|
* http://voodoo.somoslopeor.com/papers/nmap.html
|