URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 65683
[ Назад ]

Исходное сообщение
"роутер, обход p0f (passive OS fingerprinting )"

Отправлено 118088 , 17-Апр-06 02:43 
Есть роутер на freebsd 6.0-stable, нат и файроволл посредством pf.
Есть задача: оградить внутрение машины на win xp pro sp2 от passive OS fingerprinting, или подделать под отпечаток freebsd.

пример:
http://lcamtuf.coredump.cx/p0f-help/

из winxp:
a.b.c.d:52441 - Windows 2000 SP4, XP SP1+ (firewall!) Signature: [65535:112:0:48:M1460,N,N,S:.] -> 213.134.128.25:80 (distance 12, link: ethernet/modem)

из freebsd:
a.b.c.d:63157 - FreeBSD 6-current [FUZZY] (up: 7137 hrs) Signature: [65535:112:0:64:M1460,N,W1,N,N,T,S,E:P] -> 213.134.128.25:80 (link: ethernet/modem)

# Fingerprint entry format:
#
# wwww:ttt:D:ss:OOO...:oS:Version:Subtype:Details
# wwww    - window size (can be *, %nnn, Snn or Tnn).  The special values
#            "S" and "T" which are a multiple of MSS or a multiple of MTU
#            respectively.
# ttt      - initial TTL
# D        - don't fragment bit (0 - not set, 1 - set)
# ss      - overall SYN packet size
# OOO      - option value and order specification (see below)
# OS      - OS genre (Linux, Solaris, Windows)
# Version  - OS Version (2.0.27 on x86, etc)
# Subtype  - OS subtype or patchlevel (SP3, lo0)
# details  - Generic OS details


Я так понимаю нужно на роутере устроить перехват всех пакетов и насильно менять заголовки, вот только как конкретно это осуществить? С ttl и mss справляется scrub в pf, но как быть с остальными отпечатками?


Содержание

Сообщения в этом обсуждении
"роутер, обход p0f (passive OS fingerprinting )"
Отправлено PavelR , 17-Апр-06 08:08 
>Есть роутер на freebsd 6.0-stable, нат и файроволл посредством pf.
>Есть задача: оградить внутрение машины на win xp pro sp2 от passive
>OS fingerprinting, или подделать под отпечаток freebsd.
>

Если это внутренние машины за NAT, то они снаружи в принципе видны быть не могут.
От внутреннего сканирования в пределах локальной сети маршрутизатор не защитит.

Задача некорректна ?


"роутер, обход p0f (passive OS fingerprinting )"
Отправлено 118088 , 17-Апр-06 10:34 
>Если это внутренние машины за NAT, то они снаружи в принципе видны
>быть не могут.
Говорю же, пассивный метод обнаружения!
>От внутреннего сканирования в пределах локальной сети маршрутизатор не защитит.
>
>Задача некорректна ?

ради собственного интереса зайдите на http://lcamtuf.coredump.cx/p0f-help/ с машины за натом, а лучше с двух машин, с разными ОС.

возможно более корректно будет озвучить задачу как "защита машин за натом от подсчёта их количества методом пассивного анализирования пакетов провайдером, не только по timestamps, ttl, mss."


"роутер, обход p0f (passive OS fingerprinting )"
Отправлено as , 17-Апр-06 10:51 
You are using a proxy! Read the note below.
Your system is recognized as:

1.2.3.4:35322 - UNKNOWN [65535:58:1:64:M1460,N,W0,N,N,T,S,E:P:?:?] (up: 12327 hrs) -> 213.134.128.25:80 (link: ethernet/modem)

P0f did not recognize your system. We would really appreciate if you could tell us more about the system using the form below. Thanks!


будет происходить определение только прокси
да и это не факт


"роутер, обход p0f (passive OS fingerprinting )"
Отправлено 118088 , 17-Апр-06 10:58 
>You are using a proxy! Read the note below.
>Your system is recognized as:
>
>1.2.3.4:35322 - UNKNOWN [65535:58:1:64:M1460,N,W0,N,N,T,S,E:P:?:?] (up: 12327 hrs) -> 213.134.128.25:80 (link: ethernet/modem)
>
>P0f did not recognize your system. We would really appreciate if you
>could tell us more about the system using the form below.
>Thanks!
>
>
>будет происходить определение только прокси
>да и это не факт


прокси для меня не подходит, нужно именно изменение пакетов проходящих через роутер.


"роутер, обход p0f (passive OS fingerprinting )"
Отправлено as , 17-Апр-06 11:01 
будет происходить определение пакетов рутера

"роутер, обход p0f (passive OS fingerprinting )"
Отправлено 118088 , 17-Апр-06 11:12 
>будет происходить определение пакетов рутера
^>Есть задача: оградить внутрение машины на win xp pro sp2 от passive OS fingerprinting, или подделать под отпечаток freebsd.

Пусть будет роутер определяется, и все пакеты идущие через него с машин за натом модифицироваться по одному одному подобию. Но решения из ряда "сделать прозрачное прокирования каждого порта" не подходят.


"роутер, обход p0f (passive OS fingerprinting )"
Отправлено as , 17-Апр-06 11:17 
такой травы ещё не было.
обычный ipnat

"роутер, обход p0f (passive OS fingerprinting )"
Отправлено 118088 , 17-Апр-06 11:23 
>такой травы ещё не было.
>обычный ipnat

утверждаете что ipnat будет менять то что ниже?
# ss      - overall SYN packet size
# OOO      - option value and order specification (see below)
# OS      - OS genre (Linux, Solaris, Windows)
# Version  - OS Version (2.0.27 on x86, etc)
# Subtype  - OS subtype or patchlevel (SP3, lo0)
# details  - Generic OS details


"роутер, обход p0f (passive OS fingerprinting )"
Отправлено as , 17-Апр-06 11:38 
разве это не говорит:

You are using a proxy! Read the note below.
Your system is recognized as:

1.2.3.4:35322 - UNKNOWN [65535:58:1:64:M1460,N,W0,N,N,T,S,E:P:?:?] (up: 12327 hrs) -> 213.134.128.25:80 (link: ethernet/modem)

P0f did not recognize your system. We would really appreciate if you could tell us more about the system using the form below. Thanks!


"роутер, обход p0f (passive OS fingerprinting )"
Отправлено 118088 , 17-Апр-06 12:06 
>разве это не говорит:
>
>You are using a proxy! Read the note below.
>Your system is recognized as:
>
>1.2.3.4:35322 - UNKNOWN [65535:58:1:64:M1460,N,W0,N,N,T,S,E:P:?:?] (up: 12327 hrs) -> 213.134.128.25:80 (link: ethernet/modem)
>
>P0f did not recognize your system. We would really appreciate if you
>could tell us more about the system using the form below.
>Thanks!


будьте добры, для полноты предоставьте пример с другой машины за натом, с отличной операционной системой.


"роутер, обход p0f (passive OS fingerprinting )"
Отправлено as , 17-Апр-06 12:33 
a.b.c.d:59640 - UNKNOWN [65535:58:1:64:M1460,N,W0,N,N,T,S,E:P:?:?] (up: 1249 hrs) -> 213.134.128.25:80 (link: ethernet/modem)

a.b.c.d:59967 - UNKNOWN [65535:58:1:64:M1460,N,W0,N,N,T,S,E:P:?:?] (up: 1249 hrs) -> 213.134.128.25:80 (link: ethernet/modem)

хп и фря. проверил с десяток своих шлюзов. 4х, 6х. оси всякие.


"роутер, обход p0f (passive OS fingerprinting )"
Отправлено 118088 , 17-Апр-06 23:05 
>a.b.c.d:59640 - UNKNOWN [65535:58:1:64:M1460,N,W0,N,N,T,S,E:P:?:?] (up: 1249 hrs) -> 213.134.128.25:80 (link: ethernet/modem)
>
>a.b.c.d:59967 - UNKNOWN [65535:58:1:64:M1460,N,W0,N,N,T,S,E:P:?:?] (up: 1249 hrs) -> 213.134.128.25:80 (link: ethernet/modem)
>
>хп и фря. проверил с десяток своих шлюзов. 4х, 6х. оси всякие.
>

прикрыл определение немного подругому, но всё равно спасибо за ответы.