Подскжите, как при помощи iptables запретить определение ОС.
09.10.2007 13:37:08
Подскжите, как при помощи iptables запретить определение ОС.
|
|
|
|
09.10.2007 13:53:02
маразм крепчал....
|
|
|
|
09.10.2007 15:35:41
А в iptables запртить обработку таких запросов нельзя?
|
|
|
|
09.10.2007 15:54:44
|
|||
|
|
09.10.2007 18:46:29
Это не специальные запросы, а обработка стандартных пакетов. Например если у вас веб сервер, можно просто обратится на 80 порт и по шапкам ip и tcp пакетов сделать вывод о используемой OS. Наверно самый известный сканер nmap, о нем есть много описаний принципа определения os. Существуют так-же полностью пассивные сканеры, они только слушают чужой трафик, а сами ничего не посылают.
|
|
|
|
09.10.2007 19:11:16
Механизм фингерпринтинга новых версий nmap(например, 4.20) легко можно озадачить обычным изменением TTL:
Или изменением других параметров TCP/IP стека, например отключением SACK(может сказаться на производительности сетевого стека):
Старые версии nmap и другие фингерпринтеры TCP/IP стека на такие дешевые уловки не попадаются, поэтому бороться с ними сложнее - путем использования ядерных модулей, в т.ч. POM-расширений для Netfilter, или программ пользовательского режима, изменяющих поведение TCP/IP стека Linux. Актуальных модулей или патчей назвать не могу. FingerPrintFucker - устарел. IP Personality - заброшен,последняя версия для ядра 2.4.18. Stealth Patch - устарел. Был также патч UST antinmap, но попытка найти его не увенчалась успехом. Из реально работающих в пользовательском режиме программ, использующих для модификации пакетов libpcap и позволяющих бороться с механизмом фингерпринтинга nmap и, вероятно, не только с ним, могу назвать программу iplog:
Nmap новой версии 4.20 и более ранней 4.0 определить тип операционной системы при запущенном iplog с ключем "-z" не смог. |
|||||||||||
|
|
10.10.2007 10:57:25
|
|||||
|
|
11.10.2007 00:25:09
Видимо, против агрессивного режима новой версии nmap старые трюки iplog не помогают...
|
|
|
|
11.02.2008 20:47:48
Агрессивный тип сканирования. NMAP выдал на выбор гетерогенный ряд операционных систем, ни одна из которых не удовлетворяет реальной стендовой (FreeBSD). Замечу, что изменение TTL/Windows Size недостаточно для полноценного "сбива" сканнера. Актуально смотреть в сторону опций стека, потому что каждая система индивидуально работает с опциями TCP. Шибуршите ядро |
|
|
|
11.02.2008 21:04:00
|
|
|
|
11.02.2008 22:00:58
А вышеприведенное ничто иное как
и все в таком духе. механизма внедрения в netfilter connection tracking (CONFIG_NF_CONNTRACK в ядре) с полным эффектом присутствия стека протокола чужой системы в этом нету.. |
|||||
|
|
11.02.2008 22:21:48
Что-то похожее для Linux, это следующие правила для Iptables, потому что задача состоит в урезании лишнего вида трафика, о чём и говорят правила на pf. Боремся с XMAS-сканированием: -A INPUT –p tcp –m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG –j DROP Боремся с NULL-сканированием: -A INPUT –p tcp –m tcp –-tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE –j DROP Боремся с TCP connect() и SYN-cканом: -A INPUT –p tcp –m tcp –-tcp-flags FIN,SYN FIN,SYN –j DROP Боремся с FIN-сканированием: -A INPUT –p tcp –m tcp –-tcp-flags FIN,ACK FIN-j DROP
Ну про этим вещи уже речь шла наверху. Было бы так, было бы как наверху |
|||||
|
|
20.02.2008 19:17:48
в инете можно найти патчи на ядро, которые меняют сетевые параметры оси(ttl и т.д.) правда названия не помню. в голове крутится rbac, dte.
Если нет возможности перекомпилить ядро, наверное можно просто разрешить несколько портов а потом как сказали например iptables -A INPUT -p tcp -dport 80 -j ACCEPT iptables -A INPUT -j DROP |
|
|
|
20.02.2008 21:40:07
Похоже, эти меры не сбивают nmap(-O1) с толку:
|
|||||
|
|
||||