1. SYN Stealth Scan 2. FIN, Xmas(FIN, URG, PUSH), NULL 3

­=­skanowanie portów­=­
1. SYN Stealth Scan
Half­open connection
2. FIN, X­mas(FIN, URG, PUSH), NULL
Zgodnie z RFC 793 port otwarty musi zignorować taki paket
A zamkniety odpowiedzieć RST
Rreleasizacja TCP od Microsoft nie wysyła RST
3.Spoofing decoys
Maskowanie scanowania portów mięzy "fake" podlączeniami Za pomoca IP­spoofing
Używane IP­adresy muszą być prawdziwymi adresami
Inaczej jest mozliwa SYN­powódź
4.Idle scaning Wysyłanie paketów od imiona niedzialajacej maszyny,
A nastepnej obserwacji zmian.
Schemat na rysunku
­=­ fingerprinting active ­=­
1. banner
ftp(syst), ssh, telnet
2. porty
23,79,80 ruter
111 [150­520] *nix
21,25,110 [23,80] linux, BSD
139 SMB windows [nix]{swat 901}
137,138,139,445 samba
110,25,21 [+ samba] windows server
3. Icmp
ICMP Time reqest
host odpowiada swoim lokalnym czasem
ICMP Mask request odpowiada tylko ruter
4. DNS
Nslookup utilitu
Option set querytype=ALL
Na podstawie MX recordów
­=­ fingerprinting passive ­=­
1. TTL
255 NetBSd, OpenBSD 128 Windows nt 4+
64 FreeBSD, Linux 2.4+
32 ruter, Windows 98­
2. Window size
Linux i BSD zazwyczaj trzymają stalą zawartość
Cisco i Windows ciagle go modyfikuja
3. Flag DF
domyslnie nie ustawiony tylko na OpenBSD
3. ID IP paketa
Cisco na poczatku sesji windows ustawia w 0 inni losuja
4. Ping payload
Windows używa wyłącznie male lacinski litery
Linux, Solaris rownież uzywa cyfry i symbole osobliwe
4. HTTP
Pole naglówka http pakietu User­Agent
Javascript+CGI
4. SMTP POP3
Pola naglówka pakietu X­mailer, User­Agent
5. FTP
linux­client(AUTH, USER, PASS, SYST, PORT)
standart Windows­client (USER, PASS, PORT)
Far client (USER, PASS, PWD)
FreeBSD­client (USER, PASS, SYST, EPSV)
Go!Zilla (USER anonymous, PASS [email protected], PASV, LIST)
ReGet (USER anonymous, PASS User@x­x­x­xxx.ReGet.Com, SYST)
­=­ Sniffing ­=­
Arp redirekt
Jadro musi wspierać przesyłanie pakietow
Na hostu musi znajdować się aktualna tablica arp Za pomoca ktorej host dostarczy pakiety do prawdziwych adresatów
EOF