Если хакер может определить, какой тип операционной системы работает на целевом компьютере, он или она может использовать уязвимости, присутствующие в этой операционной системе. OS Fingerprinting используется специалистами по безопасности и хакерами для отображения удаленных сетей и определения уязвимостей, которые можно использовать. Фактически, это тактика, используемая киберпреступниками и даже этическими хакерами, чтобы выяснить, какой тип операционной системы используется целевым компьютером в сети. На самом деле, анализируя определенные флаги протокола, параметры и данные в пакетах, которые устройство отправляет в сеть, хакеры могут делать относительно точные предположения об операционной системе, отправляющей эти пакеты.

OS Fingerprinting работает только для пакетов, содержащих полноценное TCP-соединение; то есть соединение TCP должно иметь соединение SYN, SYN/ACK и ACK.

Есть два отпечатка пальца:

  • Активный
  • Пассивный

Отпечатки активных ОС

Активное снятие отпечатков ОС включает в себя активное определение ОС целевого ПК путем отправки тщательно сформированных пакетов в целевую систему и изучения поведения TCP/IP полученных ответов. Основная причина, по которой злоумышленник может предпочесть пассивный подход, заключается в снижении риска быть пойманным IDS, IPS или брандмауэром. Правильно настроенные, реализованные и поддерживаемые IDS, IPSec и брандмауэры могут смягчить активное снятие отпечатков пальцев. Другими словами, активное снятие отпечатков пальцев заставляет целевую машину увидеть, что происходит.

Активное снятие отпечатков пальцев работает путем отправки пакетов цели и анализа пакетов, которые отправляются обратно. Почти все активные отпечатки пальцев в наши дни выполняются с помощью Nmap.

Nmap обычно используется сетевыми администраторами для мониторинга безопасности своих сетей. На самом деле Nmap — эффективное приложение как для админов, так и для злоумышленников. Nmap отправляет запросы на множество различных портов TCP/IP и анализирует то, что возвращается. Nmap использует сценарии, которые анализируют эти данные для распечатки результатов, полезных для снятия отпечатков пальцев ОС. Запустить сканирование отпечатков пальцев ОС в Nmap так же просто, как ввести:

«nmap -A ip_address_or_domain_name_of_target».

Пассивный отпечаток ОС

Пассивное снятие отпечатков ОС — это более эффективный способ избежать обнаружения или остановки брандмауэром, поскольку он проверяет пассивно собранный образец пакетов с хоста. Для пассивного снятия отпечатков пальцев используется API pcap (захват пакетов). В операционных системах GNU/Linux и BSD/Unix pcap можно найти в библиотеке libpcap, а для Windows существует порт libpcap под названием WinPcap. Пассивное снятие отпечатков может сделать предположение о целевой ОС, поскольку разные ОС имеют разные реализации TCP/IP.

Пассивное снятие отпечатков ОС менее точно, чем активное снятие отпечатков ОС, но это может быть метод, выбранный злоумышленником или тестером на проникновение, который хочет избежать обнаружения. Пассивное снятие отпечатков пальцев можно смягчить, убедившись, что сетевые карты (сетевые интерфейсные карты) не работают в неразборчивом режиме.

Есть следующие четыре важных элемента, которые мы рассмотрим, чтобы определить операционную систему.

  • TTL: какое время жизни устанавливает операционная система для исходящего пакета.
  • Размер окна: размер окна, установленный операционной системой.
  • DF: Устанавливает ли операционная система бит «Не фрагментировать»?
  • TOS: устанавливает ли операционная система тип службы?

Инструменты, используемые для отпечатков пальцев ОС

P0f — пассивный: этот инструмент представляет собой инструмент отпечатков пальцев ОС, который использует множество сложных, чисто пассивных механизмов снятия отпечатков трафика для идентификации игроков, стоящих за любым случайным обменом данными TCP/IP (часто всего лишь один обычный SYN). ) никоим образом не вмешиваясь.

Сайт: http://lcamtuf.coredump.cx/p0f3/

Ettercap — пассивный: этот инструмент представляет собой комплексный набор для атак типа «человек посередине». Он включает в себя прослушивание живых подключений, фильтрацию контента на лету и множество других интересных трюков. Он поддерживает активное и пассивное разделение многих протоколов.

Сайт: http://ettercap.github.io/ettercap/

XProbe2 – активный: этот инструмент является активным средством идентификации ОС с другим подходом к снятию отпечатков пальцев операционной системы. Xprobe2 использует нечеткое сопоставление сигнатур, вероятностные предположения и множественные одновременные совпадения, а также базу данных сигнатур.

Сайт: http://sourceforge.net/projects/xprobe/files/xprobe2/

Спасибо, что прочитали мою статью

И если вам это нравится, дайте мне следовать.

https://www.instagram.com/coder_kumar/

Если этот пост был полезен, пожалуйста, несколько раз нажмите кнопку аплодисментов 👏, чтобы выразить свою поддержку автору 👇

🚀Разработчики: учитесь и развивайтесь, не отставая от того, что важно, ПРИСОЕДИНЯЙТЕСЬ К FAUN.