URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 13192
[ Назад ]

Исходное сообщение
"OpenNews: Определение типа операционной системы на удаленном хосте"

Отправлено opennews , 05-Янв-06 00:39 
Владимир Куксенок перевел (http://www.securitylab.ru/analytics/243654.php) текст документа "Host Fingerprinting and Firewalking With hping (http://bsdpakistan.org/downloads/HostFingerprinting.pdf)", в котором описаны некоторые методы для определения типов сервисов и операционных систем на удаленном хосте.

URL: http://www.securitylab.ru/analytics/243654.php
Новость: http://www.opennet.me/opennews/art.shtml?num=6738


Содержание

Сообщения в этом обсуждении
"Определение типа операционной системы на удаленном хосте"
Отправлено s2 , 05-Янв-06 00:39 
lol
#nmap -A host
и операционка и типы сервисов
если автор не знал про такую опцию тогда читать ему  доки.

"Определение типа операционной системы на удаленном хосте"
Отправлено Skif , 06-Янв-06 00:50 
to s2

man nmap
.....
-O Эта опция позволяет определить операционную систему сканируемого
хоста с помощью метода отпечатков стека TCP/IP. Другими словами,
Nmap активизирует мощный алгоритм, функционирующий на основе
анализа свойств сетевого программного обеспечения установленной
на нем ОС. В результате сканирования получается формализованный
"отпечаток", состоящий из стандартных тестовых запросов и "отве-
тов" хоста на них. Затем полученный отпечаток сравнивается с
имеющейся базой стандартных ответов известных ОС, хранящейся в
файле nmap-os-fingerprinting, и на основании этого принимается
решение о типе и версии ОС сканируемого хоста.

Этот метод требует наличия хотя бы одного закрытого и одного
открытого порта на целевом хосте. Если вы обнаружите машину, у
которой это условие выполняется, но Nmap не смог определить вер-
сию ОС - вышлите нам адрес этой машины. Если же, по каким-либо
причинам выслать адрес не представляется возможным, запустите
Nmap с опцией '-d' и вышлите полученный отпечаток.

долго искал опцию -А так и не нашел. Но это так. не серьезно.
А вообще вам надо было внимательно прочитать статейку. Там человек (читай переводчик) черным по белому написал, что при использовании меж сетвых экранов, есть возможность закрыться от nmap

root@fbsd1 /root #nmap -O 194.143.xxx.xxx

Starting nmap 3.77 ( http://www.insecure.org/nmap/ ) at 2006-01-05 23:28 EET
Interesting ports on k.com.ua (194.143.xxx.xxx):
(The 1629 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
20/tcp filtered ftp-data
................
10000/tcp filtered snet-sensor-mgmt
No exact OS matches for host (If you know what OS is running on it, see http://www.insecure.org/cgi-bin/nmap-submit.cgi).
TCP/IP fingerprint:
SInfo(V=3.77%P=i386-portbld-freebsd5.3%D=1/5%Tm=43BD8FAA%O=25%C=1)
TSeq(Class=TR%IPID=I%TS=U)
T1(Resp=Y%DF=N%W=E000%ACK=S++%Flags=AS%Ops=M)
T2(Resp=N)
T3(Resp=N)
T4(Resp=Y%DF=N%W=0%ACK=O%Flags=R%Ops=)
T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=Y%DF=N%W=0%ACK=O%Flags=R%Ops=)
T7(Resp=N)
PU(Resp=Y%DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=0%ULEN=134%DAT=E)

Nmap run completed -- 1 IP address (1 host up) scanned in 43.027 seconds
root@fbsd1 /root #nmap -O -sS 194.143.xxx.xxx

Starting nmap 3.77 ( http://www.insecure.org/nmap/ ) at 2006-01-05 23:29 EET
Interesting ports on k.com.ua (194.143.xxx.xxx):
(The 1629 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
20/tcp filtered ftp-data
................
10000/tcp filtered snet-sensor-mgmt
No exact OS matches for host (If you know what OS is running on it, see http://www.insecure.org/cgi-bin/nmap-submit.cgi).
TCP/IP fingerprint:
SInfo(V=3.77%P=i386-portbld-freebsd5.3%D=1/5%Tm=43BD8FEF%O=25%C=1)
TSeq(Class=TR%IPID=I%TS=U)
T1(Resp=Y%DF=N%W=E000%ACK=S++%Flags=AS%Ops=M)
T2(Resp=N)
T3(Resp=N)
T4(Resp=Y%DF=N%W=0%ACK=O%Flags=R%Ops=)
T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=Y%DF=N%W=0%ACK=O%Flags=R%Ops=)
T7(Resp=N)
PU(Resp=Y%DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=0%ULEN=134%DAT=E)

Nmap run completed -- 1 IP address (1 host up) scanned in 43.910 seconds
root@fbsd1 /root #nmap -O -sT 194.143.xxx.xxx

Starting nmap 3.77 ( http://www.insecure.org/nmap/ ) at 2006-01-05 23:30 EET
Interesting ports on k.com.ua (194.143.xxx.xxx):
(The 1629 ports scanned but not shown below are in state: closed)
PORT STATE SERVICE
20/tcp filtered ftp-data
................
10000/tcp filtered snet-sensor-mgmt
No exact OS matches for host (If you know what OS is running on it, see http://www.insecure.org/cgi-bin/nmap-submit.cgi).
TCP/IP fingerprint:
SInfo(V=3.77%P=i386-portbld-freebsd5.3%D=1/5%Tm=43BD9029%O=25%C=1)
TSeq(Class=TR%IPID=I%TS=U)
T1(Resp=Y%DF=N%W=E000%ACK=S++%Flags=AS%Ops=M)
T2(Resp=N)
T3(Resp=N)
T4(Resp=Y%DF=N%W=0%ACK=O%Flags=R%Ops=)
T5(Resp=Y%DF=N%W=0%ACK=S++%Flags=AR%Ops=)
T6(Resp=Y%DF=N%W=0%ACK=O%Flags=R%Ops=)
T7(Resp=N)
PU(Resp=Y%DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=0%ULEN=134%DAT=E)

Nmap run completed -- 1 IP address (1 host up) scanned in 38.228 seconds

как видите nmap справился с задачей не полностью. Xspider (отчет сейчас показать не могу - сижу под фрей), вообще сообщает, что запущена ОС Linux, хотя там стоит старая добрая фря версии 4.11. Так что как видите не панацея. Причем если всмотреться в вывод, можно понять, что nmap "не уверен" в своих результатах.
А вот еще более интересные результаты

root@fbsd1 /root #nmap -O 212.40.xxx.xxx

Starting nmap 3.77 ( http://www.insecure.org/nmap/ ) at 2006-01-05 23:41 EET
Warning: OS detection will be MUCH less reliable because we did not find at least 1 open and 1 closed TCP port
Interesting ports on s.net (212.40.xxx.xxx):
(The 1659 ports scanned but not shown below are in state: filtered)
PORT STATE SERVICE
25/tcp open smtp
53/tcp open domain
110/tcp open pop3
1723/tcp open pptp
Device type: general purpose
Running (JUST GUESSING) : FreeBSD 5.X|4.X (95%), OpenBSD 3.X (89%), Apple Mac OS X 10.3.X|10.1.X (89%), Microsoft Windows 2003/.NET|NT/2K/XP|95/98/ME (89%), IBM AIX 5.X (87%), HP HP-UX 11.X (86%)
Aggressive OS guesses: FreeBSD 5.0-RELEASE (95%), FreeBSD 5.2-CURRENT (Jan 2004) on x86 (95%), FreeBSD 5.2.1 (SPARC) (95%), FreeBSD 5.2-CURRENT - 5.3-BETA2 (x86) with pf scrub all (90%), OpenBSD 3.4 - 3.6 (89%), Apple Mac OS X 10.3.3 (Panther) (89%), Microsoft Windows Server 2003 or XP SP2 (89%), Apple Mac OS X 10.1 - 10.1.4 (87%), Apple Mac OS X 10.1.4 (Darwin Kernel 5.4) on iMac (87%), FreeBSD 4.3 - 4.4PRERELEASE (87%)
No exact OS matches for host (test conditions non-ideal).

Nmap run completed -- 1 IP address (1 host up) scanned in 33.714 seconds
root@fbsd1 /root #

На хосте стоит старый добрый Linux RH7.2, как видите nmap вообще не смог отдетектить хост, в списке осек нет даже упоминания о Linux.
Вы до сих пор свято верите в то, что nmap хорошо детектит ОС? Тогда почитайте документацию на свою ос и что можно поменять, что бы хост не детектился, как положено.
У любого нормального админа в практике "менять" тип оськи.
Насчет самой статьи - ожидал большего.


"Определение типа операционной системы на удаленном хосте"
Отправлено Аноним , 05-Янв-06 01:24 
-O вообще то.

Nmap 3.50 Usage: nmap [Scan Type(s)] [Options] <host or net list>
...
* -O Use TCP/IP fingerprinting to guess remote operating system


"Определение типа операционной системы на удаленном хосте"
Отправлено Mikk , 05-Янв-06 07:59 
Действительно учат нмапом пользоваться!! Спасибо дяде. Ждём статью про etheral

"Определение типа операционной системы на удаленном хосте"
Отправлено Аноним , 05-Янв-06 08:48 
>Действительно учат нмапом пользоваться!! Спасибо дяде. Ждём статью про etheral

Опять ругают, так и не прочитав статьи. Там описаны методы, т.е. fingerprinting руками через hping, в ситуациях, когда nmap не помогает.


"Определение типа операционной системы на удаленном хосте"
Отправлено Аноним , 05-Янв-06 13:23 
уже -

http://cydem.org.ua/pars.php?conf=1&lnk=compl_os_finger


"Определение типа операционной системы на удаленном хосте"
Отправлено Skif , 06-Янв-06 01:25 
>уже -
>
>http://cydem.org.ua/pars.php?conf=1&lnk=compl_os_finger
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
более приятное впечатление, хотя многие моменты тоже очень скользкие.