Метод опроса стека TCP/IP удаленного хоста
Как правило, реакцией сервера на любое удаленное воздействие (входящий пакет данных, запрос) является пакет данных, посылаемый источнику данного воздействия (в дальнейшем под термином "сервер" понимается атакуемый хост, а под термином "хост" - хост атакующего).
Как показывает практика, различные ОС при работе в сети по-разному реагируют на один и тот же запрос. Исследовав особенности реакций на запрос ОС, версии которых заранее известны, можно набрать определенную статистику, сопоставив реакции на запрос с типом ОС. При использовании комбинированного воздействия, статистическая информация становится более конкретизированной.
В дальнейшем, исследуя реакцию сервера с неизвестной ОС, с использованием накопленной статистики можно определить не только тип, но и версию установленной на сервере ОС. Например, возможно точно отличить Solaris 2.4 от Solaris 2.50 или Linux kernel version 2.0.30 (для всех Linux далее указывается версия ядра) от Linux 2.0.35.
Рассмотрим более подробно основные методы исследования ОС сервера.
- FIN-исследование
- Исследование BOGUS- флагом
- Определение закона изменения ISN сервера
- Исследование поля Window TCP-пакета
- Исследование поля ACK в TCP-пакете
- Исследование скорости генерирования ICMP-сообщений
- Исследование формата ICMP-сообщений
- Исследование эха в ICMP-сообщениях
- Исследование поля Type Of Service в заголовке ICMP-сообщения
- Исследование обработки фрагментов дейтаграммы
- Исследование поля Options заголовка TCP-пакета
- Исследование флага DontFragment в IP-заголовке
- Исследование возможности "борьбы с затоплением" SYN-пакетами
- Особенности ОС Windows