Избягване на разпознаване на операционна система
November 4th, 2008 от 
singu
Или как да си останем скрити при мрежово сканиране.
Обикновенно подобни сканирания и събиране на информация предхождат фокусирана ( а и не до там фокусирана ) атака, затова прикриването на всяка информация, свързана с инфраструктурата, използвани операционни системи, версии на софтуер и т.н. може да е жизнено важна.
Както показах наскоро, с използването на nmap е доста лесно да бъде разпозната операционната система на дадена машина, вързана в мрежата. От другата страна на барикадата обаче стои въпросът “Как можем да се защитим от подобно сканиране?”. За да разберем отговора на този въпрос, трябва да разберем кои параметри следи nmap за да направи магията си. Ето от тази статия, в частта “Fingerprint methodology” може да се образовате. Накратко - следи се за отговори на някои пакети, които нарочно съдържат грешна информация, следи се начина на образуване на номера на пакета ( Sequence Number ), някои битове във хедъра на TCP пакета и други.
Начина да заблудим сканиращия, че всъщност оперционната система е различна от истинската е да променим някой от тези параметри. Така, при евентуална атака, използваните техники ще са насочени към съвсем различна ОС и съответно истинската ще бъде неуязвима за тях ( в идеалният случай ). Промяната на тези параметри под Windows може да стане чрез ровене в регистри, или ако свалите OSfuscate инструмента на Irongeek. С негова помощ ще накарате Windows да изглежда като BeOS, FreeBSD или дори IBM OS400 ( поне като представяне в мрежата ). Ако не се доверявате на подобни инструменти, ето тук ще намерите информация какво точно да промените за да наподобите някои от по-странните ОС-и.
Това разбира се няма да спре разпознаването на ОС чрез някой от другите инструменти - например Satori DHCP инструментите, и в абсолютно никакъв случай трябва да е единствената ви защита, но може да осигури малко спокойствие и малко допълнително време…
Подобни статии:
