- ¿Puede un sitio web realmente falsificar una respuesta dada a un escáner de red?
Sí, pero muy pocas respuestas intencionadamente falsas. Sin embargo, eso no significa que no obtendrá resultados de huellas digitales incorrectos de forma regular; Hay razones más comunes para los resultados incorrectos. Muchos escáneres de red tendrán respuestas no válidas debido a cambios en la configuración del sistema operativo predeterminado o, en el caso de Nmap, la incapacidad de recopilar todos los datos necesarios para construir una huella digital completa. Para obtener la huella digital de Nmap más precisa posible, el host de destino debe (consulte el libro de Nmap en la tema),
1. Have at least one open TCP port
2. Have at least one closed TCP port
3. Have at least one closed UDP port
4. Respond to ICMP Echo requests
Parte del poder del escáner Nmap OS en comparación con herramientas más simples es que combina pruebas de múltiples protocolos e intenta producir un resultado que es una combinación de muchas sondas diferentes, pero también es una desventaja porque muchos hosts no responden a todas las sondas necesarias para generar una huella digital completa (muchas máquinas bloquean pings ICMP, por ejemplo). Rellenará los valores predeterminados para las pruebas faltantes y esperará que las pruebas que podrían ejecutarse en el host sean suficientes para distinguir su identidad, pero en la mayoría de los casos, lo mejor que obtendrá es una coincidencia "borrosa" (no una coincidencia exacta de huellas digitales) , pero algo que está cerca).
Escribir herramientas de toma de huellas digitales es una tarea difícil, muchos sistemas operativos se comportan de una manera muy similar, y distinguirlos puede ser casi imposible. Como ya ha visto, muchas versiones de Windows (en este caso Windows 7 y Server 2008) se agrupan porque las implementaciones de la pila de red son idénticas o casi idénticas.
Otro problema que a veces puede cambiar los resultados es la temporización de paquetes y el retardo de la red. Varias de las funciones de huellas dactilares de Nmap se basan en la sincronización exacta entre las sondas enviadas y la respuesta, combinadas con elementos como las marcas de tiempo TCP y los números de secuencia. Si un paquete se retrasa por un segundo debido a un poco de retraso, un reenvío en algún lugar a lo largo de la ruta de enrutamiento, o un pico de uso de la CPU en la máquina de destino, realmente puede ver diferencias en la huella digital de Nmap, lo que significa ejecutar un análisis del sistema operativo Nmap en ¡El mismo objetivo más de una vez puede darte resultados ligeramente diferentes!
- ¿Existe actualmente una herramienta que sea capaz de detectar el sistema operativo en funcionamiento al cien por cien seguro?
No. La mejor manera es usar una combinación de herramientas y sentido común. La ejecución de un escaneo de Nmap puede darle una idea básica de qué sistema operativo se está ejecutando y, a menudo, puede reducirlo mirando las versiones y los banners de los servicios que ve. Si ve una máquina que informa sobre Linux 2.6 y luego ve un anuncio de SSH que dice SSH-2.0-OpenSSH_4.6 Debian-4, puede estar más seguro de que el escaneo del SO fue correcto. Si comienza a ver información conflictiva, como una máquina que Nmap cree que es FreeBSD pero está ejecutando Microsoft IIS, entonces necesita más investigación y debería estar más cansado de los resultados del sistema operativo. Está picando una caja negra en el otro lado de Internet e intenta extrapolar lo que está dentro de lo que le dice, pero lo que le dice puede ser una mentira o simplemente una confusión.