Kỹ Thuật Passive OS Fingerprinting | Ky Thuat Passive OS Fingerprinting - Quản trị net diễn đàn chia sẻ thông tin các thủ thuật mạng, internet bảo mật thông tin dành cho giới IT VIệt hy vọng là nơi bổ ích cho cộng đồng

28-08-2009, 05:11 PM

Passive OS Fingerprinting

Kỹ thuật Passive OS Fingerprinting là liên quan đến việc sử dụng sniffing để nhận diện hệ điều hành khác với Active OS Fingerprinting dùng scanning để thực hiện nhận diện hệ điều hành.
Dựa vào đặc tính của packet được sử dụng để nhận biết hệ điều hành. Sau đây là một số thuộc tính của TCP/IP dùng để xét khi thực hiện Passive OS Fingerprinting:
1. TTL: Dựa vào Time-To-Live của mỗi packet trong hệ điều hành
2. Window size: Tùy theo hệ điều hành mà có thể set các window size khác nhau.
3. DF (Don’t Fragment bit): Hệ điều hành có thiết lập việc phân rã bit hay không ?
4. …
Bằng việc sniffing và phân tích packet có các thuộc tính ở trên, chương trình sẽ so sánh với một database thuộc tính và đưa ra kết quả của hệ điều hành sử dụng là gì. Một số công cụ thực hiện Passive OS Fingerprinting có thể kể đến là siphon (http://packetstormsecurity.org/UNIX/...n-v.666.tar.gz ), p0f (http://lcamtuf.coredump.cx/p0f.shtml)
Ví dụ một số dấu hiệu nhận biết hệ điều hành của chương trình p0f
Code:
# ----------------- Windows -----------------
# Windows TCP/IP stack is a mess. For most recent XP, 2000 and
# seem. Luckily for us, almost all Windows 9x boxes have an
8192:32:1:44:M*:.:Windows:3.11 (Tucows)
S44:64:1:64:M*,N,W0,N,N,T0,N,N,S:.:Windows:95
8192:128:1:64:M*,N,W0,N,N,T0,N,N,S:.:Windows:95b
# Windows 98 it is no longer possible to tell them from each other
S44:32:1:48:M*,N,N,S:.:Windows:98 (low TTL) (1)
8192:32:1:48:M*,N,N,S:.:Windows:98 (low TTL) (2)
%8192:64:1:48:M536,N,N,S:.:Windows:98 (13)
%8192:128:1:48:M536,N,N,S:.:Windows:98 (15)
S4:64:1:48:M*,N,N,S:.:Windows:98 (1)
S6:64:1:48:M*,N,N,S:.:Windows:98 (2)
S12:64:1:48:M*,N,N,S:.:Windows:98 (3
T30:64:1:64:M1460,N,W0,N,N,T0,N,N,S:.:Windows:98 (16)
32767:64:1:48:M*,N,N,S:.:Windows:98 (4)
37300:64:1:48:M*,N,N,S:.:Windows:98 (5)
46080:64:1:52:M*,N,W3,N,N,S:.:Windows:98 (RFC1323+)
65535:64:1:44:M*:.:Windows:98 (no sack)
S16:128:1:48:M*,N,N,S:.:Windows:98 (6)
S16:128:1:64:M*,N,W0,N,N,T0,N,N,S:.:Windows:98 (7)
S26:128:1:48:M*,N,N,S:.:Windows:98 (8)
T30:128:1:48:M*,N,N,S:.:Windows:98 (9)
32767:128:1:52:M*,N,W0,N,N,S:.:Windows:98 (10)
60352:128:1:48:M*,N,N,S:.:Windows:98 (11)
60352:128:1:64:M*,N,W2,N,N,T0,N,N,S:.:Windows:98 (12)
T31:128:1:44:M1414:.:Windows:NT 4.0 SP6a (1)
64512:128:1:44:M1414:.:Windows:NT 4.0 SP6a (2)
8192:128:1:44:M*:.:Windows:NT 4.0 (older)
# Windows XP and 2000. Most of the signatures that were
65535:128:1:48:M*,N,N,S:.:Windows:2000 SP4, XP SP1+
%8192:128:1:48:M*,N,N,S:.:Windows:2000 SP2+, XP SP1+ (seldom 98)
S20:128:1:48:M*,N,N,S:.:Windows:SP3
S45:128:1:48:M*,N,N,S:.:Windows:2000 SP4, XP SP1+ (2)
40320:128:1:48:M*,N,N,S:.:Windows:2000 SP4
S6:128:1:48:M*,N,N,S:.:Windows

P, 2000 SP2+
S12:128:1:48:M*,N,N,S:.:Windows

P SP1+ (1)
S44:128:1:48:M*,N,N,S:.:Windows

P SP1+, 2000 SP3
64512:128:1:48:M*,N,N,S:.:Windows

P SP1+, 2000 SP3 (2)
32767:128:1:48:M*,N,N,S:.:Windows

P SP1+, 2000 SP4 (3)
# Windows 2003 & Vista
8192:128:1:52:M*,W8,N,N,N,S:.:Windows:Vista (beta)
32768:32:1:52:M1460,N,W0,N,N,S:.:Windows:2003 AS
65535:64:1:52:M1460,N,W2,N,N,S:.:Windows:2003 (1)
65535:64:1:48:M1460,N,N,S:.:Windows:2003 (2)
S52:128:1:48:M1260,N,N,S:.:Windows

P/2000 via Cisco
65520:128:1:48:M*,N,N,S:.:Windows

P bare-bone
16384:128:1:52:M536,N,W0,N,N,S:.:Windows:2000 w/ZoneAlarm?
2048:255:0:40:.:.:Windows:.NET Enterprise Server
44620:64:0:48:M*,N,N,S:.:Windows:ME no SP (?)
S6:255:1:48:M536,N,N,S:.:Windows:95 winsock 2
32000:128:0:48:M*,N,N,S:.:Windows

P w/Winroute?
16384:64:1:48:M1452,N,N,S:.:Windows

P w/Sygate? (1)
17256:64:1:48:M1460,N,N,S:.:Windows

P w/Sygate? (2)
*:128:1:48:M*,N,N,S:U:-Windows

P/2000 while downloading (leak!)
32768:32:1:44:M1460:.:Windows:CE 3
3100:32:1:44:M1460:.:Windows:CE 2.0
*:128:1:52:M*,N,W0,N,N,S:.:@Windows

P/2000 (RFC1323+, w, tstamp-)
*:128:1:52:M*,N,W*,N,N,S:.:@Windows

P/2000 (RFC1323+, w+, tstamp-)
*:128:1:52:M*,N,N,T0,N,N,S:.:@Windows

P/2000 (RFC1323+, w-, tstamp+)
*:128:1:64:M*,N,W0,N,N,T0,N,N,S:.:@Windows

P/2000 (RFC1323+, w, tstamp+)
*:128:1:64:M*,N,W*,N,N,T0,N,N,S:.:@Windows

P/2000 (RFC1323+, w+, tstamp+)
*:128:1:48:M536,N,N,S:.:@Windows:98
*:128:1:48:M*,N,N,S:.:@Windows

P/2000

Một số dấu hiệu để nhận biết hệ điều hành Linux
Code:
# ----------------- Linux -------------------
S1:64:0:44:M*:A:Linux:1.2.x
512:64:0:44:M*:.:Linux:2.0.3x (1)
16384:64:0:44:M*:.:Linux:2.0.3x (2)
2:64:0:44:M*:.:Linux:2.0.3x (MkLinux) on Mac (1)
64:64:0:44:M*:.:Linux:2.0.3x (MkLinux) on Mac (2)
S4:64:1:60:M1360,S,T,N,W0:.:Linux:2.4 (Google crawlbot)
S4:64:1:60:M1430,S,T,N,W0:.:Linux:2.4-2.6 (Google crawlbot)
S2:64:1:60:M*,S,T,N,W0:.:Linux:2.4 (large MTU?)
S3:64:1:60:M*,S,T,N,W0:.:Linux:2.4 (newer)
S4:64:1:60:M*,S,T,N,W0:.:Linux:2.4-2.6
S3:64:1:60:M*,S,T,N,W1:.:Linux:2.6, seldom 2.4 (older, 1)
S4:64:1:60:M*,S,T,N,W1:.:Linux:2.6, seldom 2.4 (older, 2)
S3:64:1:60:M*,S,T,N,W2:.:Linux:2.6, seldom 2.4 (older, 3)
S4:64:1:60:M*,S,T,N,W2:.:Linux:2.6, seldom 2.4 (older, 4)
T4:64:1:60:M*,S,T,N,W2:.:Linux:2.6 (older, 5)
S4:64:1:60:M*,S,T,N,W5:.:Linux:2.6 (newer, 1)
S4:64:1:60:M*,S,T,N,W6:.:Linux:2.6 (newer, 2)
S4:64:1:60:M*,S,T,N,W7:.:Linux:2.6 (newer, 3)
T4:64:1:60:M*,S,T,N,W7:.:Linux:2.6 (newer, 4)
S20:64:1:60:M*,S,T,N,W0:.:Linux:2.2 (1)
S22:64:1:60:M*,S,T,N,W0:.:Linux:2.2 (2)
S11:64:1:60:M*,S,T,N,W0:.:Linux:2.2 (3)
S4:64:1:48:M1460,N,W0:.:Linux:2.4 in cluster
32767:64:1:60:M16396,S,T,N,W0:.:Linux:2.4 (loopback)
32767:64:1:60:M16396,S,T,N,W2:.:Linux:2.6 (newer, loopback)
S8:64:1:60:M3884,S,T,N,W0:.:Linux:2.2 (loopback)
16384:64:1:60:M*,S,T,N,W0:.

inux:2.2 (Opera?)
32767:64:1:60:M*,S,T,N,W0:.

inux:2.4 (Opera?)
S22:64:1:52:M*,N,N,S,N,W0:.:Linux:2.2 (tstamp-)
S4:64:1:52:M*,N,N,S,N,W0:.:Linux:2.4 (tstamp-)
S4:64:1:52:M*,N,N,S,N,W2:.:Linux:2.6 (tstamp-)
S4:64:1:44:M*:.:Linux:2.6? (barebone, rare!)
T4:64:1:60:M1412,S,T,N,W0:.:Linux:2.4 (rare!)

Theo: seamoun (hvaonline)

27085:128:0:40:.:.

ell

owerApp cache (Linux-based)

Ngoài Linux và Windows còn các dấu hiệu đề nhận biết các hệ điều hành khác
Cách thức điều tra hệ điều với kỹ thuật Passive OS Fingerprint

Ngoài việc sử dụng các chương trình trên có thể điều tra hệ điều hành thông qua một trang web nổi tiếng về report các OS: http://netcraft.com. Khi truy cập trang Web này chỉ cần gõ domain của server đích cần kiểm tra thì Website sẽ thông báo chi tiết các OS sử dụng cũng như ngày giờ và các thông tin về Web Server sử dụng cũng như các thành phần khác…
Ví dụ một điều tra OS đối với domain vnexpress.net

Ưu điểm của kỹ thuật Passive OS Fingerprint là không thực hiện scanning mà sniffing, và từ kết quả phân tích sniffing với các dấu hiệu tương ứng so với database đưa ra kết quả của OS đang chạy là gì, cho nên không làm “ồn ào” đối với hệ thống đích như là thực hiện Active OS Fingerprinting. Tất nhiên nhược điểm lớn nhất của kỹ thuật này là tính chính xác không cao

28-08-2009, 05:11 PM	#1
hoctinhoc Guest Trả Lời: n/a	Kỹ Thuật Passive OS Fingerprinting Passive OS Fingerprinting Kỹ thuật Passive OS Fingerprinting là liên quan đến việc sử dụng sniffing để nhận diện hệ điều hành khác với Active OS Fingerprinting dùng scanning để thực hiện nhận diện hệ điều hành. Dựa vào đặc tính của packet được sử dụng để nhận biết hệ điều hành. Sau đây là một số thuộc tính của TCP/IP dùng để xét khi thực hiện Passive OS Fingerprinting: 1. TTL: Dựa vào Time-To-Live của mỗi packet trong hệ điều hành 2. Window size: Tùy theo hệ điều hành mà có thể set các window size khác nhau. 3. DF (Don’t Fragment bit): Hệ điều hành có thiết lập việc phân rã bit hay không ? 4. … Bằng việc sniffing và phân tích packet có các thuộc tính ở trên, chương trình sẽ so sánh với một database thuộc tính và đưa ra kết quả của hệ điều hành sử dụng là gì. Một số công cụ thực hiện Passive OS Fingerprinting có thể kể đến là siphon (http://packetstormsecurity.org/UNIX/...n-v.666.tar.gz ), p0f (http://lcamtuf.coredump.cx/p0f.shtml) Ví dụ một số dấu hiệu nhận biết hệ điều hành của chương trình p0f Code: # ----------------- Windows ----------------- # Windows TCP/IP stack is a mess. For most recent XP, 2000 and # seem. Luckily for us, almost all Windows 9x boxes have an 8192:32:1:44:M:.:Windows:3.11 (Tucows) S44:64:1:64:M,N,W0,N,N,T0,N,N,S:.:Windows:95 8192:128:1:64:M,N,W0,N,N,T0,N,N,S:.:Windows:95b # Windows 98 it is no longer possible to tell them from each other S44:32:1:48:M,N,N,S:.:Windows:98 (low TTL) (1) 8192:32:1:48:M,N,N,S:.:Windows:98 (low TTL) (2) %8192:64:1:48:M536,N,N,S:.:Windows:98 (13) %8192:128:1:48:M536,N,N,S:.:Windows:98 (15) S4:64:1:48:M,N,N,S:.:Windows:98 (1) S6:64:1:48:M,N,N,S:.:Windows:98 (2) S12:64:1:48:M,N,N,S:.:Windows:98 (3 T30:64:1:64:M1460,N,W0,N,N,T0,N,N,S:.:Windows:98 (16) 32767:64:1:48:M,N,N,S:.:Windows:98 (4) 37300:64:1:48:M,N,N,S:.:Windows:98 (5) 46080:64:1:52:M,N,W3,N,N,S:.:Windows:98 (RFC1323+) 65535:64:1:44:M:.:Windows:98 (no sack) S16:128:1:48:M,N,N,S:.:Windows:98 (6) S16:128:1:64:M,N,W0,N,N,T0,N,N,S:.:Windows:98 (7) S26:128:1:48:M,N,N,S:.:Windows:98 (8) T30:128:1:48:M,N,N,S:.:Windows:98 (9) 32767:128:1:52:M,N,W0,N,N,S:.:Windows:98 (10) 60352:128:1:48:M,N,N,S:.:Windows:98 (11) 60352:128:1:64:M,N,W2,N,N,T0,N,N,S:.:Windows:98 (12) T31:128:1:44:M1414:.:Windows:NT 4.0 SP6a (1) 64512:128:1:44:M1414:.:Windows:NT 4.0 SP6a (2) 8192:128:1:44:M:.:Windows:NT 4.0 (older) # Windows XP and 2000. Most of the signatures that were 65535:128:1:48:M,N,N,S:.:Windows:2000 SP4, XP SP1+ %8192:128:1:48:M,N,N,S:.:Windows:2000 SP2+, XP SP1+ (seldom 98) S20:128:1:48:M,N,N,S:.:Windows:SP3 S45:128:1:48:M,N,N,S:.:Windows:2000 SP4, XP SP1+ (2) 40320:128:1:48:M,N,N,S:.:Windows:2000 SP4 S6:128:1:48:M,N,N,S:.:WindowsP, 2000 SP2+ S12:128:1:48:M,N,N,S:.:WindowsP SP1+ (1) S44:128:1:48:M,N,N,S:.:WindowsP SP1+, 2000 SP3 64512:128:1:48:M,N,N,S:.:WindowsP SP1+, 2000 SP3 (2) 32767:128:1:48:M,N,N,S:.:WindowsP SP1+, 2000 SP4 (3) # Windows 2003 & Vista 8192:128:1:52:M,W8,N,N,N,S:.:Windows:Vista (beta) 32768:32:1:52:M1460,N,W0,N,N,S:.:Windows:2003 AS 65535:64:1:52:M1460,N,W2,N,N,S:.:Windows:2003 (1) 65535:64:1:48:M1460,N,N,S:.:Windows:2003 (2) S52:128:1:48:M1260,N,N,S:.:WindowsP/2000 via Cisco 65520:128:1:48:M,N,N,S:.:WindowsP bare-bone 16384:128:1:52:M536,N,W0,N,N,S:.:Windows:2000 w/ZoneAlarm? 2048:255:0:40:.:.:Windows:.NET Enterprise Server 44620:64:0:48:M,N,N,S:.:Windows:ME no SP (?) S6:255:1:48:M536,N,N,S:.:Windows:95 winsock 2 32000:128:0:48:M,N,N,S:.:WindowsP w/Winroute? 16384:64:1:48:M1452,N,N,S:.:WindowsP w/Sygate? (1) 17256:64:1:48:M1460,N,N,S:.:WindowsP w/Sygate? (2) :128:1:48:M,N,N,S:U:-WindowsP/2000 while downloading (leak!) 32768:32:1:44:M1460:.:Windows:CE 3 3100:32:1:44:M1460:.:Windows:CE 2.0 :128:1:52:M,N,W0,N,N,S:.:@WindowsP/2000 (RFC1323+, w, tstamp-) :128:1:52:M,N,W,N,N,S:.:@WindowsP/2000 (RFC1323+, w+, tstamp-) :128:1:52:M,N,N,T0,N,N,S:.:@WindowsP/2000 (RFC1323+, w-, tstamp+) :128:1:64:M,N,W0,N,N,T0,N,N,S:.:@WindowsP/2000 (RFC1323+, w, tstamp+) :128:1:64:M,N,W,N,N,T0,N,N,S:.:@WindowsP/2000 (RFC1323+, w+, tstamp+) :128:1:48:M536,N,N,S:.:@Windows:98 :128:1:48:M,N,N,S:.:@WindowsP/2000 Một số dấu hiệu để nhận biết hệ điều hành Linux Code:* # ----------------- Linux ------------------- S1:64:0:44:M:A:Linux:1.2.x 512:64:0:44:M:.:Linux:2.0.3x (1) 16384:64:0:44:M:.:Linux:2.0.3x (2) 2:64:0:44:M:.:Linux:2.0.3x (MkLinux) on Mac (1) 64:64:0:44:M:.:Linux:2.0.3x (MkLinux) on Mac (2) S4:64:1:60:M1360,S,T,N,W0:.:Linux:2.4 (Google crawlbot) S4:64:1:60:M1430,S,T,N,W0:.:Linux:2.4-2.6 (Google crawlbot) S2:64:1:60:M,S,T,N,W0:.:Linux:2.4 (large MTU?) S3:64:1:60:M,S,T,N,W0:.:Linux:2.4 (newer) S4:64:1:60:M,S,T,N,W0:.:Linux:2.4-2.6 S3:64:1:60:M,S,T,N,W1:.:Linux:2.6, seldom 2.4 (older, 1) S4:64:1:60:M,S,T,N,W1:.:Linux:2.6, seldom 2.4 (older, 2) S3:64:1:60:M,S,T,N,W2:.:Linux:2.6, seldom 2.4 (older, 3) S4:64:1:60:M,S,T,N,W2:.:Linux:2.6, seldom 2.4 (older, 4) T4:64:1:60:M,S,T,N,W2:.:Linux:2.6 (older, 5) S4:64:1:60:M,S,T,N,W5:.:Linux:2.6 (newer, 1) S4:64:1:60:M,S,T,N,W6:.:Linux:2.6 (newer, 2) S4:64:1:60:M,S,T,N,W7:.:Linux:2.6 (newer, 3) T4:64:1:60:M,S,T,N,W7:.:Linux:2.6 (newer, 4) S20:64:1:60:M,S,T,N,W0:.:Linux:2.2 (1) S22:64:1:60:M,S,T,N,W0:.:Linux:2.2 (2) S11:64:1:60:M,S,T,N,W0:.:Linux:2.2 (3) S4:64:1:48:M1460,N,W0:.:Linux:2.4 in cluster 32767:64:1:60:M16396,S,T,N,W0:.:Linux:2.4 (loopback) 32767:64:1:60:M16396,S,T,N,W2:.:Linux:2.6 (newer, loopback) S8:64:1:60:M3884,S,T,N,W0:.:Linux:2.2 (loopback) 16384:64:1:60:M,S,T,N,W0:.inux:2.2 (Opera?) 32767:64:1:60:M,S,T,N,W0:.inux:2.4 (Opera?) S22:64:1:52:M,N,N,S,N,W0:.:Linux:2.2 (tstamp-) S4:64:1:52:M,N,N,S,N,W0:.:Linux:2.4 (tstamp-) S4:64:1:52:M,N,N,S,N,W2:.:Linux:2.6 (tstamp-) S4:64:1:44:M:.:Linux:2.6? (barebone, rare!) T4:64:1:60:M1412,S,T,N,W0:.:Linux:2.4 (rare!) Theo: seamoun (hvaonline) 27085:128:0:40:.:.ellowerApp cache (Linux-based) Ngoài Linux và Windows còn các dấu hiệu đề nhận biết các hệ điều hành khác Cách thức điều tra hệ điều với kỹ thuật Passive OS Fingerprint Ngoài việc sử dụng các chương trình trên có thể điều tra hệ điều hành thông qua một trang web nổi tiếng về report các OS: http://netcraft.com. Khi truy cập trang Web này chỉ cần gõ domain của server đích cần kiểm tra thì Website sẽ thông báo chi tiết các OS sử dụng cũng như ngày giờ và các thông tin về Web Server sử dụng cũng như các thành phần khác… Ví dụ một điều tra OS đối với domain vnexpress.net Ưu điểm của kỹ thuật Passive OS Fingerprint là không thực hiện scanning mà sniffing, và từ kết quả phân tích sniffing với các dấu hiệu tương ứng so với database đưa ra kết quả của OS đang chạy là gì, cho nên không làm “ồn ào” đối với hệ thống đích như là thực hiện Active OS Fingerprinting. Tất nhiên nhược điểm lớn nhất của kỹ thuật này là tính chính xác không cao

Chia Sẽ Kinh Nghiệm Về IT