opsali jsme aktivní
metody identifikace operačního systému pomocí programů nmap a queso. Tyto metody
jsou označovány jako
aktivní, protože při jejich nasazení aktivně odesíláme testovací pakety na porty
cílového systému. Toto
je činnost, kterou lze poměrně jednoduše detekovat pomocí IDS nebo
monitorováním na
samotném cílovém počítači. Nemůžeme tedy mluvit o nějaké neviditelné (nedetekovátelné)
technice.
Pokud chceme zůstat
neodhalení, musíme použít metodu pasivního získávání stop TCP/IP implementace.
V tomto případe
negenerujeme žádné testovací pakety, ale pouze pasivně monitorujeme toky dat v
síti.
Monitorováním
komunikace mezi dvěma síťovými zařízeními můžeme identifikovat použité operační
systémy. Zajímavý
dokument na toto téma napsal Lance Spitzner (http://project.honeynet.org/papers/finger/).
Marshall Beddoe a
Chris Abad dokonce vyprodukovali nástroj siphon (http://www.gravitino.
net/projects/siphon),
který umožňuje pasivní mapování portů a identifikaci operačních systémů.
Popišme si, jak
pasivní získávání otisků implementace TCP/IP funguje.
Žádné komentáře:
Okomentovat