Архив спецвыпуска журнала Хакер на www.wisesoft.ru, номер #072, стр. 072-058-7, рекогносцировка на небоскребе

Издательский дом ООО "Гейм Лэнд"

СПЕЦВЫПУСК ЖУРНАЛА ХАКЕР #72, НОЯБРЬ 2006 г.

рекогносцировка на небоскребе

КРИС КАСПЕРСКИ

Спецвыпуск: Хакер, номер #072, стр. 072-058-7

Снять отпечатки пальцев (также называемые «сигнатурой») с удаленного узла можно, например, с помощью знаменитой утилиты nmap. В частности, для Server Longhorn они выглядят так:

Листинг 4. «Отпечаток пальцев» сетевого стека Висты

linux# nmap -sT -p 445,999 -O 10.200.200.124

Fingerprint Microsoft Windows Longhorn eval build 4051

Class Microsoft | Windows || general purpose

TSeq(Class=TR%gcd=<6%IPID=I%TS=100HZ)

T1(DF=Y%W=0%ACK=S++%Flags=AR%Ops=)

T2(Resp=Y%DF=Y%W=0%ACK=S%Flags=AR%Ops=)

T3(Resp=Y%DF=Y%W=0%ACK=O%Flags=AR%Ops=)

T4(DF=Y%W=0%ACK=O%Flags=R%Ops=)

T5(DF=Y%W=0%ACK=S++%Flags=AR%Ops=)

T6(DF=Y%W=0%ACK=O%Flags=R%Ops=)

T7(DF=Y%W=0%ACK=S++%Flags=AR%Ops=)

PU(DF=N%TOS=0%IPLEN=164%RIPTL=148%RID=E|F%RIPCK=E%UCK=E%ULEN=134%DAT=E)

А вот сигнатура Server 2003 (к слову сказать, XP SP2 ведет себя точно так же):

Листинг 5. «Отпечаток пальцев» сетевого стека Server 2003/XP SP2

Fingerprint Microsoft Windows 2003 Server or XP SP2

Class Microsoft | Windows | 2003/.NET | general purpose

Class Microsoft | Windows | NT/2K/XP | general purpose

TSeq(Class=TR%gcd=<6%IPID=I)

T1(DF=Y%W=402E|FB8B%ACK=S++%Flags=AS%Ops=MNWNNT)

T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=)

T3(Resp=Y%DF=Y%W=402E|FB8B%ACK=S++%Flags=AS%Ops=MNWNNT)

T4(DF=N%W=0%ACK=O%Flags=R%Ops=)

T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=)

T6(DF=N%W=0%ACK=O%Flags=R%Ops=)

T7(DF=N%W=0%ACK=S++%Flags=AR%Ops=)

PU(DF=N%TOS=0%IPLEN=B0%RIPTL=148%RID=E%RIPCK=E|F%UCK=E|F%ULEN=134%DAT=E)

Как говорится — почувствуйте разницу! Еще можно послать TCP-пакет с перекрывающимися фрагментами и посмотреть на результат его сборки.

[заключение.]

Переход на Висту несомненно сулит большие перспективы. Для хакеров. А также - для всех сторонних разработчиков, предлагающих защитные комплексы разной степени сложности и... стоимости. В проигрыше остаются только домашние пользователи и администраторы, впрочем, администраторы будут сопротивляться переходу на Висту изо всех сил и, быть может, массового перехода так и не произойдет.

Подробный анализ особенностей нового сетевого стека можно найти в статье: «Windows Vista Network Attack Surface Analysis: A Broad Overview», лежащей на www.symantec.com/avcenter/reference/ATR-VistaAttackSurface.pdf.

Назад на стр. 072-058-6 Содержание