1. SYN Stealth Scan 2. FIN, Xmas(FIN, URG, PUSH), NULL 3
Transkrypt
1. SYN Stealth Scan 2. FIN, Xmas(FIN, URG, PUSH), NULL 3
=skanowanie portów= 1. SYN Stealth Scan Halfopen connection 2. FIN, Xmas(FIN, URG, PUSH), NULL Zgodnie z RFC 793 port otwarty musi zignorować taki paket A zamkniety odpowiedzieć RST Rreleasizacja TCP od Microsoft nie wysyła RST 3.Spoofing decoys Maskowanie scanowania portów mięzy "fake" podlączeniami Za pomoca IPspoofing Używane IPadresy muszą być prawdziwymi adresami Inaczej jest mozliwa SYNpowódź 4.Idle scaning Wysyłanie paketów od imiona niedzialajacej maszyny, A nastepnej obserwacji zmian. Schemat na rysunku = fingerprinting active = 1. banner ftp(syst), ssh, telnet 2. porty 23,79,80 ruter 111 [150520] *nix 21,25,110 [23,80] linux, BSD 139 SMB windows [nix]{swat 901} 137,138,139,445 samba 110,25,21 [+ samba] windows server 3. Icmp ICMP Time reqest host odpowiada swoim lokalnym czasem ICMP Mask request odpowiada tylko ruter 4. DNS Nslookup utilitu Option set querytype=ALL Na podstawie MX recordów = fingerprinting passive = 1. TTL 255 NetBSd, OpenBSD 128 Windows nt 4+ 64 FreeBSD, Linux 2.4+ 32 ruter, Windows 98 2. Window size Linux i BSD zazwyczaj trzymają stalą zawartość Cisco i Windows ciagle go modyfikuja 3. Flag DF domyslnie nie ustawiony tylko na OpenBSD 3. ID IP paketa Cisco na poczatku sesji windows ustawia w 0 inni losuja 4. Ping payload Windows używa wyłącznie male lacinski litery Linux, Solaris rownież uzywa cyfry i symbole osobliwe 4. HTTP Pole naglówka http pakietu UserAgent Javascript+CGI 4. SMTP POP3 Pola naglówka pakietu Xmailer, UserAgent 5. FTP linuxclient(AUTH, USER, PASS, SYST, PORT) standart Windowsclient (USER, PASS, PORT) Far client (USER, PASS, PWD) FreeBSDclient (USER, PASS, SYST, EPSV) Go!Zilla (USER anonymous, PASS [email protected], PASV, LIST) ReGet (USER anonymous, PASS User@xxxxxx.ReGet.Com, SYST) = Sniffing = Arp redirekt Jadro musi wspierać przesyłanie pakietow Na hostu musi znajdować się aktualna tablica arp Za pomoca ktorej host dostarczy pakiety do prawdziwych adresatów EOF