OS fingerprinting – jak nie dać się rozpoznać.pdf - Haking - ddwrobel

OS i ngerprinting – jak

nie dać się rozpoznać

Michał Wojciechowski

Każdy system operacyjny

charakteryzuje się pewnymi

cechami, które umożliwiają jego

zdalne rozpoznanie. Zobaczmy,

czy administrator może zmienić

parametry systemu tak, by

programy rozpoznające uznały,

że mają do czynienia z innym

systemem operacyjnym.

widuje wszystkiego – są parametry (ta-

kie jak czas życia wysyłanych pakie-

tów), które mogą być różne na różnych syste-

mach. W każdym systemie określono domyśl-

ne wartości tych parametrów. Badając je mo-

żemy zdalnie rozpoznać jaki system operacyj-

ny działa na komputerze, który jest obiektem

naszego zainteresowania.

Tak w uproszczeniu wygląda koncepcja

zdalnego rozpoznawania systemu operacyj-

nego przez analizę zachowania implementacji

stosu TCP/IP. Czy jednak administrator może

tak zmodyi kować własny system, by podczas

takiego badania został rozpoznany jako drukar-

ka sieciowa?

zbudowany w sposób modularny i wykorzy-

stujący algorytmy logiki rozmytej,

• p0f – program do rozpoznawania systemu

metodą pasywną.

Wybrane programy są najbardziej znanymi na-

rzędziami do identyi kacji systemu metodą ana-

lizy zachowania stosu TCP/IP, są aktywnie roz-

wijane i wyposażone w stale powiększaną ba-

Z artykułu nauczysz się...

• jak działają programy identyi kujące system na

podstawie analizy zachowania stosu TCP/IP,

• jak skoni gurować parametry stosu TCP/IP, by

oszukać programy rozpoznające system.

Co powinieneś wiedzieć...

Arsenał szpiega

Programy do rozpoznawania systemu, które

wykorzystamy do ćwiczeń, to:

• znać podstawy TCP/IP,

• znać podstawy rozpoznawania systemu opera-

cyjnego przez analizę zachowania stosu TCP/

IP. Temat ten był skrótowo omawiany w artyku-

le Zdalne rozpoznawanie systemów operacyj-

nych w Hakin9 0/2003 (czyli Software 2.0 Extra

5/2003 ), będzie też omówiony w dziale Podsta-

wy w kolejnych numerach pisma.

• Nmap – jeden z najbardziej znanych pro-

gramów do skanowania sieci, dysponujący

także rozbudowanym mechanizmem rozpo-

znawania systemu,

• Xprobe2 – program do rozpoznawania sys-

temu głównie za pomocą protokołu ICMP,

www.hakin9.org

Hakin9 Nr 4/2004

S pecyi kacja protokołu TCP/IP nie prze-

OS fingerprinting – obrona

zę rozpoznawanych systemów. Z na-

szego punktu widzenia szczególnie

istotne będzie to, że każdy z progra-

mów działa w inny sposób.

Przyjrzymy się bliżej każdemu

z tych programów zwracając uwa-

gę na dwa zagadnienia: w jaki spo-

sób program uzyskuje informacje do

analizy oraz które z zebranych in-

formacji mają znaczenie w procesie

rozpoznawania systemu.

• pakiet TCP z l agą SYN do za-

mkniętego portu TCP,

• pakiet TCP z l agą ACK do za-

mkniętego portu TCP,

• pakiet TCP z l agami FIN, PSH

i URG do zamkniętego portu

TCP,

• pakiet UDP do zamkniętego

portu UDP (w celu otrzymania

w odpowiedzi komunikatu o nie-

dostępnym porcie – ICMP port

unreachable ),

• sześć pakietów TCP z l agą SYN

do otwartego portu TCP (badanie

generatora numerów sekwencyj-

nych).

temu, czyli listę parametrów i cech,

na podstawie których identyi kowa-

ny jest system operacyjny. Są to mię-

dzy innymi:

• metoda generowania numerów

sekwencyjnych TCP,

• metoda generowania numerów

ID pakietów IP,

• odpowiedź na pakiet FIN,

• odpowiedź na pakiet z l agą zare-

zerwowaną (obecnie ECE),

• obecność l agi DF w nagłówku IP,

• wartość pola TOS (typ usługi,

ang. type of service ) w nagłówku

IP,

• poprawność sumy kontrol-

nej w komunikacie ICMP port

unreachable ,

• rozmiar okna w pakiecie TCP,

• wartości i kolejność opcji TCP.

Nmap

Nmap wykorzystuje aktywną meto-

dę rozpoznawania systemu, opartą

głównie na badaniu odpowiedzi zdal-

nej maszyny na pakiety TCP o nie-

prawidłowej budowie. Program prze-

prowadza dziewięć testów, w których

do badanego systemu wysyłane są:

Jak widać do przeprowadzenia

wszystkich testów Nmap musi znać

numer przynajmniej jednego otwar-

tego portu TCP badanej maszyny.

Testy są dokładnie opisane

w dokumencie nmap-i ngerprin-

ting-article.txt , dołączonym do ko-

du źródłowego programu (a tak-

że dostępnym na stronie WWW,

http://www.insecure.org/nmap/

nmap-fingerprinting-article.html ,

również w wersji polskiej: http://

www.insecure.org/nmap/nmap-fin-

gerprinting-article-pl.html ). Znajdzie-

my tam też opis przykładowego i n-

gerprintu (z ang. odcisku palca) sys-

• pakiet TCP z ustawionymi l aga-

mi SYN i ECE (dawniej l aga ta

była zarezerwowana) do otwarte-

go portu TCP,

• pakiet ze wszystkimi l agami wy-

zerowanymi (tzw. pakiet NULL)

do otwartego portu TCP,

• pakiet TCP z l agami SYN, FIN,

URG i PSH do otwartego portu

TCP,

• pakiet TCP z l agą ACK do otwar-

tego portu TCP,

Analiza obejmuje wiele cech roz-

poznawanego systemu, dlatego też

w sprzyjających okolicznościach wy-

niki podawane przez Nmapa mogą

być całkiem trafne.

Większość testów Nmapa pole-

ga na wysłaniu pakietu zdeformo-

wanego bądź skierowanego do za-

mkniętego portu. Jak się przekona-

my, łatwo dzięki temu wykrywać pró-

by szpiegowania i blokować je na

i rewallu.

W naszych testach korzystać bę-

dziemy z Nmapa w wersji 3.50.

Aktywne i pasywne rozpoznawanie systemu

Metody rozpoznawania systemu dzielą się na dwie kategorie: aktywne i pasywne.

Różnica pomiędzy nimi polega na sposobie, w jaki uzyskiwane są informacje podda-

wane analizie. W aktywnym rozpoznawaniu systemu (ang. active OS i ngerprinting )

program rozpoznający wysyła do badanej maszyny przynętę (np. specjalnie spreparo-

wany pakiet TCP), a następnie bada otrzymaną odpowiedź. Z kolei w przypadku pa-

sywnego rozpoznawania systemu (ang. passive OS i ngerprinting ) program rozpozna-

jący tylko przechwytuje i analizuje dane przychodzące do maszyny działając na za-

sadzie sniffera. Metoda ta wymaga podsłuchania pakietów wysyłanych przez badany

system (wystarczy na przykład, by system ten zainicjował połączenie z maszyną, na

której działa program rozpoznający).

Następstwem tej różnicy jest nieco odmienny obszar zastosowań obu metod – me-

tody aktywne stosowane są do identyi kowania konkretnych maszyn (np. wszystkich

komputerów w wybranym segmencie sieci), natomiast pasywne znajdują zastosowa-

nie głównie w analizowaniu ruchu (np. w zbieraniu informacji statystycznych o użyt-

kownikach usług). Script-kiddie poszukujący potencjalnej oi ary ataku za pomocą naj-

nowszego eksploita 0-day skorzysta raczej z programu działającego metodą aktyw-

ną niż pasywną.

Programy rozpoznające system metodą pasywną są zwykle nieco mniej dokładne

niż programy aktywne, ponieważ nie mogą wysłać do zdalnej maszyny przynęty – mu-

szą zadowolić się danymi, które od niej otrzymują. Są za to całkowicie niewykrywal-

ne dla badanego systemu.

Xprobe2

W testach przeprowadzanych za po-

mocą Xprobe2 wykorzystywane są

głównie komunikaty ICMP. Wykony-

wanych jest sześć testów, w których

do badanej maszyny wysyłane są:

• komunikat ICMP żądanie echa

(ang. echo request ) – ping,

• komunikat ICMP żądanie znacz-

nika czasowego (ang. timestamp

request ),

• komunikat ICMP żądanie ma-

ski adresu (ang. address mask

request ),

• komunikat ICMP żądanie infor-

macji (ang. information request ),

• pakiet UDP do zamkniętego

portu UDP (w celu otrzymania

Hakin9 Nr 4/2004

www.hakin9.org

w odpowiedzi komunikatu o nie-

dostępnym porcie – ICMP port

unreachable ),

• pakiet TCP z l agą SYN do otwar-

tego portu TCP.

dynie przechwytuje pakiety przycho-

dzące i bada je pod kątem występo-

wania cech charakterystycznych dla

tego czy innego systemu operacyj-

nego.

W pliku p0f.fp umieszczone są

i ngerprinty rozpoznawanych syste-

mów. Oto niektóre z cech, które p0f

analizuje:

Linux

Testy będziemy wykonywać w sys-

temie z jądrem 2.4.22. Dla uprosz-

czenia zakładamy, że na maszy-

nie jest uruchomiona tylko jedna

usługa – SSH. Maszyna ma adres

10.0.0.222 , a jej nazwa to po pro-

stu linux .

Sprawdźmy, czego o naszym

systemie mógłby dowiedzieć się

szpieg. Na początek uruchamiamy

Nmapa :

Wyraźną różnicą w porównaniu

z Nmapem jest to, że w testach nie

występują pakiety o nieprawidłowej

budowie. Daje to Xprobe2 pewną

przewagę, ponieważ trudniej zablo-

kować na i rewallu przeprowadzane

za jego pomocą testy.

Fingerprinty systemów rozpo-

znawanych przez Xprobe2 znajdują

się w pliku xprobe2.conf . Podobnie

jak w przypadku Nmapa , na pod-

stawie ich analizy możemy stwier-

dzić, jakie cechy badanego syste-

mu brane są pod uwagę przy roz-

poznaniu. Należą do nich między

innymi:

• rozmiar okna TCP,

• wartość pola TTL,

• obecność l agi DF w nagłówku

IP,

• wartości i kolejność opcji TCP,

• różnego rodzaju odchylenia od

normy: niepoprawne l agi, nieze-

rowa wartość ACK, niepoprawne

opcje itp.

# nmap -sS -p 22 -O -v 10.0.0.222

Wywołujemy Nmapa z opcją -O , któ-

ra włącza mechanizm rozpoznawa-

nia systemu. Z kolei za pomocą opcji

-p wskazujemy, który z portów ba-

danej maszyny jest otwarty. Nmap

potrai oczywiście skanować porty i

mógłby zdobyć tę informację samo-

dzielnie, jednak podanie jej z góry

przyspiesza całą operację, ponad-

to zmniejsza szanse odkrycia szpie-

gowskiej działalności przez system

wykrywania włamań. Oto przedsta-

wiony przez Nmapa wynik rozpo-

znania:

Korzystać będziemy z p0f w wer-

sji 2.0.3.

• odpowiedź na żądanie znacznika

czasowego,

• odpowiedź na żądanie maski ad-

resu,

• odpowiedź na żądanie informacji,

• wartość pola TTL (czas życia,

ang. Time To Tive ) w odpowie-

dzi,

• wartość pola ToS (typ usługi, ang.

Type of Service ) w odpowiedzi,

• wartość pola ID pakietu IP,

• poprawność sumy kontrol-

nej w komunikacie ICMP port

unreachable ,

• kolejność opcji TCP,

• wartość opcji TCP window scale

(z ang. skala okna).

Metody

maskowania systemu

Jeśli jesteśmy na celowniku progra-

mu próbującego zidentyi kować nasz

system operacyjny, mamy zasadni-

czo dwie możliwości obrony. Pierw-

sza z nich polega na milczeniu, czy-

li nieujawnianiu informacji, które mo-

głyby zostać wykorzystane do rozpo-

znania systemu. Przykładem realiza-

cji tej metody w praktyce jest choć-

by nieodpowiadanie na przychodzą-

ce pakiety z l agami SYN i FIN, typo-

we dla Nmapa .

Drugą metodą jest oszukiwa-

nie, czyli wysyłanie informacji in-

nych niż charakterystyczne dla rze-

czywistego systemu operacyjne-

go maszyny. Większość systemów

pozwala na zmianę niektórych pa-

rametrów stosu TCP/IP, w efekcie

czego wysyłane są pakiety o zmie-

nionych właściwościach, co może

skutecznie wprowadzić w błąd pro-

gram identyi kujący.

Oczywiście obie metody moż-

na łączyć. Przetestujmy teraz kilka

praktycznych sposobów wprowa-

dzania w błąd programów identyi ku-

jących system – eksperymenty prze-

prowadzimy najpierw na Linuksie,

potem na dwóch systemach z rodzi-

ny BSD: FreeBSD i OpenBSD.

...

Device type: general purpose

Running: Linux 2.4.X|2.5.X

OS details: Linux

Kernel 2.4.0 - 2.5.20

...

Jak widać wynik nie jest zbyt dokład-

ny – wiemy, że system to jakiś Linux

z jądrem z przedziału 2.4.0 - 2.5.20 .

Zobaczmy teraz, co wykażą testy za

pomocą Xprobe2 :

Charakterystyczne dla Xprobe2 jest

analizowanie odpowiedzi na komuni-

katy ICMP – program powstał w ra-

mach badań nad zastosowaniem

protokołu ICMP w rozpoznawaniu

systemu. Kilka z pozostałych cech

poddawanych analizie pokrywa się

z Nmapem .

W eksperymentach będziemy

używać Xprobe2 w wersji 0.2.

# xprobe2 -p \

tcp:22:open 10.0.0.222

...

[+] Primary guess:

[+] Host 10.0.0.222

Running OS:

"Linux Kernel 2.4.19"

(Guess probability: 100%)

...

p0f

Jako narzędzie do pasywnego roz-

poznawania systemu p0f nie wyko-

nuje żadnych aktywnych testów, je-

W wywołaniu Xprobe2 również po-

dajemy numer otwartego portu TCP

(opcja -p ). Rezultat badania jest bar-

www.hakin9.org

Hakin9 Nr 4/2004

OS fingerprinting – obrona

dziej precyzyjny niż w przypadku

Nmapa .

W trzeciej próbie sprawdzimy

skuteczność p0fa . W tym przypad-

ku postępujemy nieco inaczej – naj-

pierw uruchamiamy p0fa na maszy-

nie, z której prowadzimy rozpozna-

nie:

Listing 1. fw.sh – prosty i rewall (iptables)

#!/bin/sh

iptables -F INPUT

iptables -F FORWARD

iptables -F OUTPUT

iptables -P INPUT DROP

iptables -P OUTPUT ACCEPT

# p0f "host 10.0.0.222"

...

p0f: listening (SYN)

on 'eth0', 206 sigs

(12 generic), rule:

'host 10.0.0.222'.

# ping

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

# połączenia nawiązane

iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Jako parametr podaliśmy adres ma-

szyny, która będzie nas interesować

(w formacie regułek Berkeley Pac-

ket Filter). Domyślnie p0f analizuje

wszystkie pakiety SYN, które zosta-

ną przechwycone.

Na maszynie badanej inicjujemy

połączenie z komputerem intruza.

Wystarczy do tego pojedynczy pa-

kiet SYN, możemy zatem wybrać do-

wolny port, niezależnie od tego, czy

jest otwarty, czy nie:

# SSH

iptables -A INPUT -m state --state NEW -p tcp \

--dport ssh --tcp-l ags ALL SYN -j ACCEPT

Jak wspomniano podczas oma-

wiania działania Nmapa , jego testy

polegają głównie na wysyłaniu znie-

kształconych pakietów TCP. Pakiety

te łatwo wykryć na i rewallu i można

je bez zastanawiania blokować, po-

nieważ nie mają one prawa pojawić

się w normalnej komunikacji interne-

towej. Zastosujemy bardzo prosty,

przykładowy skrypt i rewalla opar-

ty na iptables , przedstawiony na Li-

stingu 1.

Ponieważ chcemy, by jedyną

dostępną usługą było SSH, nasz

i rewall zezwala na nowe połącze-

nia ( --state NEW ) tylko pod warun-

kiem, że są one skierowane do por-

tu SSH ( --dport SSH ). Ponadto ak-

ceptujemy wszystkie pakiety na-

leżące do już nawiązanych połą-

czeń ( --state ESTABLISHED,RELATED ).

Chcemy także, by do naszej maszy-

ny można było wysłać ping, dlate-

go też przyjmujemy żądania echa

ICMP ( --icmp-type echo-request ).

Wszystkie inne pakiety odrzucamy,

blokując w ten sposób testy Nma-

pa , w których wysyłane są pakiety

do zamkniętych portów.

Dodatkowo w nowych połącze-

niach akceptujemy jedynie pakiety

TCP, w których ustawiona jest tylko

l aga SYN ( --tcp-l ags ALL SYN ). Blo-

kuje to trzeci i czwarty test Nmapa .

Uruchamiamy skrypt i rewalla:

Spójrzmy, co po tym zabiegu poka-

że Nmap :

...

Device type: general purpose

|media device|broadband router

Running: Linux 2.4.X,

Pace embedded, Panasonic embedded

OS details: Linux 2.4.6 - 2.4.21,

Pace digital cable TV receiver,

Panasonic IP Technology

Broadband Networking Gateway,

KX-HGW200

...

# telnet 10.0.0.200

Trying 10.0.0.200...

telnet: connect to address

10.0.0.200: Connection refused

Ponieważ port telnetu jest zamknię-

ty, dostaliśmy w odpowiedzi komu-

nikat o odmowie połączenia. Tym-

czasem p0f zbadał przechwycony

pakiet SYN i rozpoznał jego nadaw-

cę jako:

System został tym razem rozpozna-

ny jako być może Linux , choć Nmap

przyznał także, że może to np. być

urządzenie i rmy Panasonic. O tym,

że i rewall faktycznie stanowi prze-

szkodę dla testów Nmapa , możemy

się przekonać wywołując program

z opcją -vv . Zobaczymy wówczas,

jakie były odpowiedzi chronionego

systemu w kolejnych testach:

...

10.0.0.222:1036

- Linux 2.4/2.6

[high throughput]

(up: 2 hrs)

...

OS Fingerprint:

TSeq(Class=RI%gcd=1%SI=35

BA0E%IPID=Z%TS=100HZ)

T1(Resp=Y%DF=Y%W=16A0%ACK=S++

%Flags=AS%Ops=MNNTNW)

T2(Resp=N)

T3(Resp=N)

T4(Resp=N)

T5(Resp=N)

T6(Resp=N)

Z punktu widzenia dokładności wy-

nik jest zbliżony do zwróconego

przez Nmapa .

Po trzech testach szpieg mógłby

dojść do wniosku, że badany system

to jakiś Linux 2.4, najprawdopodob-

niej 2.4.19 (zgodnie z najbardziej do-

kładną sugestią Xprobe2 ).

# ./fw.sh

Hakin9 Nr 4/2004

www.hakin9.org

T7(Resp=N)

PU(Resp=N)

...

Opcje TCP

TCP umożliwia dołączenie do standardowego nagłówka pakietu dodatkowych

opcji, stanowiących rozszerzenia podstawowego protokołu.

Opcja znacznika czasowego (ang. timestamp ) została dodana z myślą o połą-

czeniach o dużej przepustowości. Jeśli jest włączona, pakiety TCP są opatrywa-

ne znacznikami czasowymi, zapobiegającymi zniekształceniom danych, spowo-

dowanym ponowną transmisją utraconych pakietów.

Opcja skalowania okna (ang. window scaling ) umożliwia zwiększenie rozmia-

ru oferowanego okna TCP, czyli zakresu akceptowanych numerów sekwencyj-

nych. Pole okno w nagłówku TCP jest szesnastobitowe, zatem jego maksymalna

wartość to 65535. W przypadku szybkich połączeń wartość ta jest zbyt niska i po-

woduje obniżenie wydajności transmisji, dlatego wprowadzono opcję, która umoż-

liwia powiększenie okna. W opcji tej przekazywana jest liczba bitów (od 0 do 14),

o jaką przesuwane jest okno (operacja shift ). Pozwala to zwiększyć jego rozmiar

nawet do 1 GB.

Obie opcje zostały opisane w dokumencie RFC 1323.

W większości testów widzimy za-

pis (Resp=N) , co świadczy o tym,

że Nmap nie otrzymał odpowiedzi

od badanej maszyny. Wyjątkiem są

testy pierwszy i dziewiąty, czyli wy-

słanie pakietu SYN z l agą ECE (nie-

gdyś zarezerwowaną) oraz badanie

generatora numerów sekwencyjnych

za pomocą sześciu pakietów SYN

(o prawidłowej budowie, a więc nie-

blokowanych przez i rewall).

Sprawdźmy teraz, jak z i rewal-

lem poradzi sobie Xprobe2 :

...

[+] Primary guess:

[+] Host 10.0.0.222

Running OS:

"Linux Kernel 2.4.21"

(Guess probability: 67%)

...

baczmy, czy ta zmiana będzie miała

jakiś wpływ na działanie Xprobe2 :

Spójrzmy, jaki efekt przyniosą

te zmiany. Oto rezultat działania

Nmapa :

[+] Primary guess:

[+] Host 10.0.0.222

Running OS:

"Linux Kernel 2.4.6"

(Guess probability: 64%)

Device type:

i rewall|general purpose

Running (JUST GUESSING) :

Checkpoint Windows NT/2K/XP (92%),

Linux 2.4.X|2.6.X (91%)

Ciekawostka – wynik jest tym razem

wręcz bardziej trafny, choć Xprobe2

uznaje go za mniej wiarygodny

(prawdopodobieństwo 67%). Tak czy

owak, i rewall nie zrobił na Xprobe2

większego wrażenia. Co prawda

większość testów została zabloko-

wana (pięć z sześciu testów Xprobe2

wykorzystuje komunikaty ICMP,

a i rewall przepuszcza jedynie żąda-

nia i odpowiedzi echa), jednak naj-

wyraźniej wyniki zebrane w pozosta-

łych wystarczyły do całkiem skutecz-

nego rozpoznania systemu.

Oczywiście i rewall nie ma żad-

nego wpływu na wynik rozpoznania

systemu przy pomocy p0fa .

Zwróćmy uwagę, że zarówno

Xprobe2 jak i p0f dokonują analizy

wartości TTL przesyłanej w nagłów-

ku IP. W Linuksie domyślną warto-

ścią TTL jest 64, jednak można ją

łatwo zmienić w następujący spo-

sób:

Jak widać pomyłka jest tym razem

o wiele większa. A jak poradzi so-

bie p0f?

Trudno raczej uznać to za trafne roz-

poznanie, tym bardziej, że Nmap

sam przyznał, że zgadywał ( JUST

GUESSING ). Analiza za pomocą Xpro-

be2 dała z kolei wynik:

10.0.0.222:1038 - UNKNOWN

[S4:128:1:60:M1460,S,T,N,W0:.:?:?]

[high throughput] (up: 2 hrs)

p0f stwierdził, że system o takich

cechach nie jest mu znany. Zatem

zmieniając wartość TTL udało nam

się wyprowadzić w pole Xprobe2

(w pewnym stopniu) i p0fa . Zmia-

na ta nie ma wpływu na Nmapa , po-

nieważ nie zwraca on uwagi na war-

tość TTL.

Wszystkie trzy programy anali-

zują opcje TCP (patrz: Ramka Opcje

TCP ) w pakietach otrzymanych od

badanej maszyny. W Linuksie do-

myślnie włączone są opcje skalowa-

nia okna oraz znacznika czasowego.

Można je wyłączyć za pomocą na-

stępujących poleceń:

[+] Primary guess:

[+] Host 10.0.0.222

Running OS:

"FreeBSD 3.5.1"

(Guess probability: 52%)

Rezultat jest całkowicie chybiony

– Linux został rozpoznany jako stara

wersja FreeBSD. Xprobe2 uznał, po-

dobnie jak Nmap , że wynik jest mało

wiarygodny (52%).

Na koniec, jak zwykle, wynik

otrzymany za pomocą p0fa :

10.0.0.222:1047

- Windows XP/2000

[high throughput]

[GENERIC]

# echo 128 > \

/proc/sys/net/ipv4/ip_default_ttl

# echo 0 > \

/proc/sys/net/ipv4/tcp_window_scaling

# echo 0 > \

/proc/sys/net/ipv4/tcp_timestamps

Wartość 128 jest używana np. w sys-

temach z rodziny Windows NT. Zo-

Wygląda na to, że udało nam się

ucharakteryzować Linuksa w taki

sposób, że p0f uważa go za Win-

www.hakin9.org

Hakin9 Nr 4/2004

OS fingerprinting – jak nie dać się rozpoznać.pdf

Plik z chomika:

Inne pliki z tego folderu:

Inne foldery tego chomika: