А именно такие:
1) Где то слышал что версию атакуемой машины можно опознать по TTL те каждая ось поддрживает свои TTL,отсюда вопрос - можно ли в системе (фря)поменять параметр TTL с 64 скажем на 32 или еще какое либо число ? и чем это может кончится ? ;-)
2) как сменить баннер программ,например SSH ?
просто когда я сканирую свою фрю с виндов сканером Shadowscan, мне говорится что версия проги такая то и тп,тоже самое с арачем ,ftp итд вопрос - где это сменить ?Цель моих вопросов - проста ;-) обмануть потенциального взломщика уже на этапе сканирования машины ;-)пусть думает что не фря стоит а какая либа винда etc
ЗЫ Как смотрите на использование проги PORTSENTRY в качестве дополнительной проге по защите машины ?
она кстати мне поймала и забила в hosts.deny нескольких любителей посканировать чужие компы ;-)
>А именно такие:
>1) Где то слышал что версию
>атакуемой машины можно опознать по
>TTL те каждая ось поддрживает
>свои TTL,отсюда вопрос - можно
>ли в системе (фря)поменять параметр
>TTL с 64 скажем на
>32 или еще какое либо
>число ? и чем это
>может кончится ? ;-)
>2) как сменить баннер программ,например SSH
>?
>просто когда я сканирую свою фрю
>с виндов сканером Shadowscan, мне
>говорится что версия проги такая
>то и тп,тоже самое с
>арачем ,ftp итд вопрос -
>где это сменить ?
>
>Цель моих вопросов - проста ;-)
>обмануть потенциального взломщика уже на
>этапе сканирования машины ;-)пусть думает
>что не фря стоит а
>какая либа винда etc
>
>ЗЫ Как смотрите на использование проги
>PORTSENTRY в качестве дополнительной проге
>по защите машины ?
>она кстати мне поймала и забила
>в hosts.deny нескольких любителей посканировать
>чужие компы ;-)
>
portsentry нормально работает, можно еще snort поставить/
>А именно такие:
>1) Где то слышал что версию
>атакуемой машины можно опознать по
>TTL те каждая ось поддрживает
>свои TTL,отсюда вопрос - можно
>ли в системе (фря)поменять параметр
>TTL с 64 скажем на
>32 или еще какое либо
>число ? и чем это
>может кончится ? ;-)
>2) как сменить баннер программ,например SSH
>?
>просто когда я сканирую свою фрю
>с виндов сканером Shadowscan, мне
>говорится что версия проги такая
>то и тп,тоже самое с
>арачем ,ftp итд вопрос -
>где это сменить ?
>
>Цель моих вопросов - проста ;-)
>обмануть потенциального взломщика уже на
>этапе сканирования машины ;-)пусть думает
>что не фря стоит а
>какая либа винда etc
>
>ЗЫ Как смотрите на использование проги
>PORTSENTRY в качестве дополнительной проге
>по защите машины ?
>она кстати мне поймала и забила
>в hosts.deny нескольких любителей посканировать
>чужие компы ;-)
>
а зачем, что это даст для системы в целом?!
ну забанишь ты этот хост, а окажется что этот хост промежуточный (nat там ) а ты их ррраз..и вот уже и почта оттуда не ходит и странички они твои не увидят...
Идея в том что можно вообще поставить
deny ip from any to any и все...как за каменной стеной , но нужно ли это...
Обновленный и грамотно настроенный софт залог безопасности
>ЗЫ Как смотрите на использование проги
>PORTSENTRY в качестве дополнительной проге
>по защите машины ?
>она кстати мне поймала и забила
>в hosts.deny нескольких любителей посканировать
>чужие компы ;-)Нескольких любителей :)) ...
У меня за сутки лог от ipfw редко бывает меньше мегабайта кто мне что сканил и куда лез. Если я всех банить буду - шлюз уйдет в даун и кроме локалхоста скоро ничего не останется ;)Кроме того - наблюдал всякие любопытные штуки типа: фонтан SYN-пакетов с левым source address и среди них - запрятан один реальный пакетик от злобного кулхацкера. Будешь давить всех - жертв среди "мирного населения" не избежать; NAT, proxy всякие, опять же.
Хотя для небольшой корпоративной сеточки - portsentry - самое то.>как сменить баннер программ,например SSH?
Проще запустить на нестандартном порту и забанить доступ туда отовсюду кроме доверенных хостов/сетей.
А сменить баннер - правка исходников и рекомпиляция.
>А именно такие:
>1) Где то слышал что версию
>атакуемой машины можно опознать по
>TTL те каждая ось поддрживает
>свои TTL,отсюда вопрос - можно
>ли в системе (фря)поменять параметр
>TTL с 64 скажем на
>32 или еще какое либо
>число ? и чем это
>может кончится ? ;-)
>2) как сменить баннер программ,например SSH
>?
>просто когда я сканирую свою фрю
>с виндов сканером Shadowscan, мне
>говорится что версия проги такая
>то и тп,тоже самое с
>арачем ,ftp итд вопрос -
>где это сменить ?
>
>Цель моих вопросов - проста ;-)
>обмануть потенциального взломщика уже на
>этапе сканирования машины ;-)пусть думает
>что не фря стоит а
>какая либа винда etc
>
>ЗЫ Как смотрите на использование проги
>PORTSENTRY в качестве дополнительной проге
>по защите машины ?
>она кстати мне поймала и забила
>в hosts.deny нескольких любителей посканировать
>чужие компы ;-)
>зачем менять TTL!?
в firewall'е закрыть telnet/rsh/rexec/nfs/rpc/...
наружу и оставить их и другие нужные сервисы для
локалкив SSH лучше ничего не менять, а поставить посвежее
и правильно настроить, чтобы знали версию и не
пытались ее долбать
В FTPD оставить лишь FTPD ServerВобщем подход должен быть с умом и избирательный
по сервисам исходя из логических соображенийесли кто-то разово просканил порты - то что в этом
страшного, это ж не продолжительный скан или долбежка.
>зачем менять TTL!?А подробнее можно про TTL и оси?
На void.ru есть статья - Боремся с определением версии ОС. Так кажется называется. Не особо старая - там есть решение - патч ядра, меняющий не только ттл и туеву хучу других параметров.
ОС определяется не только по ттл. Вообщем там все прочтешь...
чтобы поменять значение ttl
в sysctl.conf добавь
net.inet.ip.ttl=32