The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"роутер, обход p0f (passive OS fingerprinting )"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [Проследить за развитием треда]

"роутер, обход p0f (passive OS fingerprinting )"  
Сообщение от 118088 (ok) on 17-Апр-06, 02:43 
Есть роутер на freebsd 6.0-stable, нат и файроволл посредством pf.
Есть задача: оградить внутрение машины на win xp pro sp2 от passive OS fingerprinting, или подделать под отпечаток freebsd.

пример:
http://lcamtuf.coredump.cx/p0f-help/

из winxp:
a.b.c.d:52441 - Windows 2000 SP4, XP SP1+ (firewall!) Signature: [65535:112:0:48:M1460,N,N,S:.] -> 213.134.128.25:80 (distance 12, link: ethernet/modem)

из freebsd:
a.b.c.d:63157 - FreeBSD 6-current [FUZZY] (up: 7137 hrs) Signature: [65535:112:0:64:M1460,N,W1,N,N,T,S,E:P] -> 213.134.128.25:80 (link: ethernet/modem)

# Fingerprint entry format:
#
# wwww:ttt:D:ss:OOO...:oS:Version:Subtype:Details
# wwww    - window size (can be *, %nnn, Snn or Tnn).  The special values
#            "S" and "T" which are a multiple of MSS or a multiple of MTU
#            respectively.
# ttt      - initial TTL
# D        - don't fragment bit (0 - not set, 1 - set)
# ss      - overall SYN packet size
# OOO      - option value and order specification (see below)
# OS      - OS genre (Linux, Solaris, Windows)
# Version  - OS Version (2.0.27 on x86, etc)
# Subtype  - OS subtype or patchlevel (SP3, lo0)
# details  - Generic OS details


Я так понимаю нужно на роутере устроить перехват всех пакетов и насильно менять заголовки, вот только как конкретно это осуществить? С ttl и mss справляется scrub в pf, но как быть с остальными отпечатками?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "роутер, обход p0f (passive OS fingerprinting )"  
Сообщение от PavelR email(??) on 17-Апр-06, 08:08 
>Есть роутер на freebsd 6.0-stable, нат и файроволл посредством pf.
>Есть задача: оградить внутрение машины на win xp pro sp2 от passive
>OS fingerprinting, или подделать под отпечаток freebsd.
>

Если это внутренние машины за NAT, то они снаружи в принципе видны быть не могут.
От внутреннего сканирования в пределах локальной сети маршрутизатор не защитит.

Задача некорректна ?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "роутер, обход p0f (passive OS fingerprinting )"  
Сообщение от 118088 (ok) on 17-Апр-06, 10:34 
>Если это внутренние машины за NAT, то они снаружи в принципе видны
>быть не могут.
Говорю же, пассивный метод обнаружения!
>От внутреннего сканирования в пределах локальной сети маршрутизатор не защитит.
>
>Задача некорректна ?

ради собственного интереса зайдите на http://lcamtuf.coredump.cx/p0f-help/ с машины за натом, а лучше с двух машин, с разными ОС.

возможно более корректно будет озвучить задачу как "защита машин за натом от подсчёта их количества методом пассивного анализирования пакетов провайдером, не только по timestamps, ttl, mss."

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "роутер, обход p0f (passive OS fingerprinting )"  
Сообщение от as (??) on 17-Апр-06, 10:51 
You are using a proxy! Read the note below.
Your system is recognized as:

1.2.3.4:35322 - UNKNOWN [65535:58:1:64:M1460,N,W0,N,N,T,S,E:P:?:?] (up: 12327 hrs) -> 213.134.128.25:80 (link: ethernet/modem)

P0f did not recognize your system. We would really appreciate if you could tell us more about the system using the form below. Thanks!


будет происходить определение только прокси
да и это не факт

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "роутер, обход p0f (passive OS fingerprinting )"  
Сообщение от 118088 (ok) on 17-Апр-06, 10:58 
>You are using a proxy! Read the note below.
>Your system is recognized as:
>
>1.2.3.4:35322 - UNKNOWN [65535:58:1:64:M1460,N,W0,N,N,T,S,E:P:?:?] (up: 12327 hrs) -> 213.134.128.25:80 (link: ethernet/modem)
>
>P0f did not recognize your system. We would really appreciate if you
>could tell us more about the system using the form below.
>Thanks!
>
>
>будет происходить определение только прокси
>да и это не факт


прокси для меня не подходит, нужно именно изменение пакетов проходящих через роутер.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "роутер, обход p0f (passive OS fingerprinting )"  
Сообщение от as (??) on 17-Апр-06, 11:01 
будет происходить определение пакетов рутера
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "роутер, обход p0f (passive OS fingerprinting )"  
Сообщение от 118088 (ok) on 17-Апр-06, 11:12 
>будет происходить определение пакетов рутера
^>Есть задача: оградить внутрение машины на win xp pro sp2 от passive OS fingerprinting, или подделать под отпечаток freebsd.

Пусть будет роутер определяется, и все пакеты идущие через него с машин за натом модифицироваться по одному одному подобию. Но решения из ряда "сделать прозрачное прокирования каждого порта" не подходят.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "роутер, обход p0f (passive OS fingerprinting )"  
Сообщение от as (??) on 17-Апр-06, 11:17 
такой травы ещё не было.
обычный ipnat
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "роутер, обход p0f (passive OS fingerprinting )"  
Сообщение от 118088 (ok) on 17-Апр-06, 11:23 
>такой травы ещё не было.
>обычный ipnat

утверждаете что ipnat будет менять то что ниже?
# ss      - overall SYN packet size
# OOO      - option value and order specification (see below)
# OS      - OS genre (Linux, Solaris, Windows)
# Version  - OS Version (2.0.27 on x86, etc)
# Subtype  - OS subtype or patchlevel (SP3, lo0)
# details  - Generic OS details

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "роутер, обход p0f (passive OS fingerprinting )"  
Сообщение от as (??) on 17-Апр-06, 11:38 
разве это не говорит:

You are using a proxy! Read the note below.
Your system is recognized as:

1.2.3.4:35322 - UNKNOWN [65535:58:1:64:M1460,N,W0,N,N,T,S,E:P:?:?] (up: 12327 hrs) -> 213.134.128.25:80 (link: ethernet/modem)

P0f did not recognize your system. We would really appreciate if you could tell us more about the system using the form below. Thanks!

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

10. "роутер, обход p0f (passive OS fingerprinting )"  
Сообщение от 118088 (ok) on 17-Апр-06, 12:06 
>разве это не говорит:
>
>You are using a proxy! Read the note below.
>Your system is recognized as:
>
>1.2.3.4:35322 - UNKNOWN [65535:58:1:64:M1460,N,W0,N,N,T,S,E:P:?:?] (up: 12327 hrs) -> 213.134.128.25:80 (link: ethernet/modem)
>
>P0f did not recognize your system. We would really appreciate if you
>could tell us more about the system using the form below.
>Thanks!


будьте добры, для полноты предоставьте пример с другой машины за натом, с отличной операционной системой.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

11. "роутер, обход p0f (passive OS fingerprinting )"  
Сообщение от as (??) on 17-Апр-06, 12:33 
a.b.c.d:59640 - UNKNOWN [65535:58:1:64:M1460,N,W0,N,N,T,S,E:P:?:?] (up: 1249 hrs) -> 213.134.128.25:80 (link: ethernet/modem)

a.b.c.d:59967 - UNKNOWN [65535:58:1:64:M1460,N,W0,N,N,T,S,E:P:?:?] (up: 1249 hrs) -> 213.134.128.25:80 (link: ethernet/modem)

хп и фря. проверил с десяток своих шлюзов. 4х, 6х. оси всякие.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

12. "роутер, обход p0f (passive OS fingerprinting )"  
Сообщение от 118088 (ok) on 17-Апр-06, 23:05 
>a.b.c.d:59640 - UNKNOWN [65535:58:1:64:M1460,N,W0,N,N,T,S,E:P:?:?] (up: 1249 hrs) -> 213.134.128.25:80 (link: ethernet/modem)
>
>a.b.c.d:59967 - UNKNOWN [65535:58:1:64:M1460,N,W0,N,N,T,S,E:P:?:?] (up: 1249 hrs) -> 213.134.128.25:80 (link: ethernet/modem)
>
>хп и фря. проверил с десяток своих шлюзов. 4х, 6х. оси всякие.
>

прикрыл определение немного подругому, но всё равно спасибо за ответы.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру