Инструментальные средства обеспечения безопасности


Реализация - часть 4


В hping есть флаг -W, который уравнивает порядок байтов и позволяет ID и инкрементам ID отображаться корректно, но если мы попытаемся провести hping2 -r без спецификации -W в окне Windows, мы увидим очень интересную конфигурацию.

[root@originix hping2]# ./hping2 -r 192.168.1.101 HPING 192.168.1.101 (eth0 192.168.1.101): NO FLAGS are set, 40 headers + 0 data bytes len=46 ip=192.168.1.101 flags=RA seq=0 ttl=128 id=52132 win=0 rtt=0.8 ms len=46 ip=192.168.1.101 flags=RA seq=1 ttl=128 id=+768 win=0 rtt=0.9 ms len=46 ip=192.168.1.101 flags=RA seq=2 ttl=128 id=+512 win=0 rtt=0.9 ms len=46 ip=192.168.1.101 flags=RA seq=3 ttl=128 id=+512 win=0 rtt=0.9 ms len=46 ip=192.168.1.101 flags=RA seq=4 ttl=128 id=+768 win=0 rtt=1.9 ms len=46 ip=192.168.1.101 flags=RA seq=5 ttl=128 id=+512 win=0 rtt=0.9 ms len=46 ip=192.168.1.101 flags=RA seq=6 ttl=128 id=+4096 win=0 rtt=1.4 ms len=46 ip=192.168.1.101 flags=RA seq=7 ttl=128 id=+2560 win=0 rtt=0.9 ms len=46 ip=192.168.1.101 flags=RA seq=8 ttl=128 id=+512 win=0 rtt=0.8 ms len=46 ip=192.168.1.101 flags=RA seq=9 ttl=128 id=+512 win=0 rtt=0.9 ms

Обратите внимание на инкременты ID. Каждый инкремент кратен 256! Мы нашли машину Windows! Поскольку все Windows машины используют этот конкретный порядок байтов, любая машина, последовательно демонстрирующая этот эффект 256 является, скорее всего, Windows машиной.

В лекции "Сканеры портов" мы обсудим средство, называемое nmap, которое производит продвинутое снятие отпечатков пальцев на базе большой коллекции специфичных для OS конфигураций и поведения TCP/IP.




- Начало -  - Назад -  - Вперед -