¿Es posible anular las capacidades de detección de SO de las herramientas de escaneo de red?

4

Las herramientas de escaneo de red, como nmap, tienen la capacidad de inferir la versión del sistema operativo en función de los detalles del sistema de nivel inferior. EG: comportamiento de la pila TCP / IP, etc. ¿Hay algún método conocido para engañar a estas herramientas para que informen el sistema operativo incorrecto o las confundan para que no puedan detectar correctamente un sistema operativo?

    
pregunta Justin Ethier 24.06.2014 - 15:52
fuente

2 respuestas

4

Hay una amplia gama de formas para engañar a las funciones de identificación del sistema operativo, y funcionan en diversos grados, dependiendo de cuánta funcionalidad esté incorporada en la herramienta.

Por ejemplo, nmap no solo usa un mecanismo de identificación, sino también algunos que se alimentan de su confianza% age anunciada en su Identificación del sistema operativo .

  

Nmap envía una serie de paquetes TCP y UDP al host remoto y examina prácticamente cada bit en las respuestas. Después de realizar docenas de pruebas, como el muestreo TCP ISN, el soporte y el ordenamiento de las opciones TCP, el muestreo de ID IP y la comprobación del tamaño de la ventana inicial, Nmap compara los resultados con su base de datos nmap-os-db de más de 2,600 huellas dactilares conocidas del SO e imprime los detalles del sistema operativo si hay una coincidencia.

Algunas herramientas solo buscan una firma, por ejemplo, la captura de pancartas, por lo que será más fácil engañar, simplemente falsificando la pancarta o la firma.

Por lo tanto, si desea engañar a la detección del sistema operativo, querrá ver un conjunto bastante completo de tamaños de trama TCP, funcionalidad keepalive, secuencias de números de paquetes, banners de servicio, etc. etc.

Y cámbielas todas ... esto puede ser bastante difícil.

En su lugar, ¿quiere pensar en usar algún tipo de proxy? Dependiendo de cómo esté configurado, es probable que la herramienta de exploración identifique el sistema operativo en el proxy, que puede ser suficiente para reducir o eliminar el riesgo que está intentando. para mitigar.

    
respondido por el Rory Alsop 24.06.2014 - 16:24
fuente
2

Hay una serie de trucos, algunos de los cuales se detallan en el "oficial" libro de nmap o una reseña antigua . Las cosas más fáciles que puede hacer sin mucha sofisticación técnica es:

  • Direcciones IP de cortafuegos que no deberían tener acceso a usted.
  • Desactivar ICMP echo.

Si desea algo más sofisticado, puede usar un producto como IP Personality en las máquinas Linux para cambiar las respuestas TCP / IP esenciales .

Tenga en cuenta que dichos productos cambian el comportamiento de TCP / IP de sus máquinas y pueden causar problemas de interoperabilidad con otras máquinas que esperan un comportamiento específico. Además, esto no ayuda con las huellas dactilares pasivas, que analizan los paquetes que envía (pasivamente) para adivinar su sistema operativo (por ejemplo, desde los banners enviados, los servicios solicitados, etc.)

    
respondido por el Ari Trachtenberg 25.06.2014 - 00:11
fuente

Lea otras preguntas en las etiquetas