Иллюстрированный самоучитель по Secure Web
         

в своей известной статье Insertion,


  •  Обработка фрагментации (fragmentation handling). Как отмечают Томас Пташек (Thomas Ptacek) и Тим Ньюсхам (Tim Newsham) в своей известной статье Insertion, Evasion, and Denial of Service: Eluding Network Intrusion Detection (http://www. clark.net/~roesch/idspaper.html), различные стеки обрабатывают перекрывающиеся сообщения по-разному. При сборке фрагментированньк пакетов некоторые стеки записывают новые данные поверх старых и наоборот. Проверив, каким образом были собраны тестовые пакеты, можно сделать предположение об исследуемой операционной системе.


  •  Параметры TCP (TCP options). Параметры TCP определены в документе RFC 793 и недавно изданном RFC 1323 (www.ietf.org/rfc/rfcl323.txt). Нововведения, описанные в RFC 1323, нашли отражение только в самых последних реализациях стеков. Отправляя пакет с набором различных параметров, таких как по operation, maximum segment size, window scale factor, timestamp и так далее, можно сделать вывод о типе и версии операционной системы.


    • Для того чтобы воспользоваться утилитой nmap и выполнить все перечисленные тесты (за исключением обработки фрагментации и обработки сообщений об ошибках ICMP), достаточно указать в командной строке параметр -о. Давайте посмотрим, как будет выглядеть полученный результат.

    [tsunami] nmap -0192.168.1.10

    Starting nmap V. 2.53 by fyodor@insecure.org

    Interesting ports on shadow (192.168.1.10) :

    Port State Protocol Service

    7 open tcp echo

    9 open tcp discard

    13 open tcp daytime

    19 open tcp chargen

    21 open tcp ftp

    22 open tcp ssh

    23 open tcp telnet

    25 open tcp smtp

    37 open tcp time

    111 open tcp sunrpc

    512 open tcp exec

    513 open tcp login

    514 open tcp shell

    2049 open tcp nfs

    4045 open tcp lockd

    TCP Sequence Prediction: Class=randorn positive increments

    Difficulty=26590 (Worthy challenge)

    Remote operating system guess: Solaris 2.5, 2.51

    Как видно, при включении режима исследования стека утилиты nmap можно легко получить достаточно точное определение типа и версии операционной системы. Даже если на изучаемом узле не открыто ни одного порта, утилита nmap поможет сделать довольно точное предположение об используемой операционной системе.

    Содержание  Назад  Вперед