Changer l'OS fingerprint d'une machine

Le
Nerdman
Bonjour à tous, je cherche un moyen de bypasser les détecteurs d'OS du
type nmap. Tout du moins, de leur faire croire autrechose.

J'ai lu que l'on pouvait faire ce genre de chose avec PF, j'aurais
aimé quelques infos là dessus car je ne trouves pas trop de docs. Dans
pf.os on trouve pas mal de trucs intéressants, mais malheureusement
rien pour pouvoir changer l'empreinte de sa bécane.

Quelqu'un a-t'il déjà fait ça ?
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Damien Wyart
Le #890835
* Nerdman
J'ai lu que l'on pouvait faire ce genre de chose avec PF, j'aurais
aimé quelques infos là dessus car je ne trouves pas trop de docs. Dans
pf.os on trouve pas mal de trucs intéressants, mais malheureusement
rien pour pouvoir changer l'empreinte de sa bécane.


On peut essayer de freiner la reconnaissance, mais changer de
"personnalité" directement avec pf, ça ne me dit rien (c'est peut-être
possible, mais je n'ai pas souvenir avoir vu passer d'infos là-dessus).
Peut-être que tu confonds avec la fonctionnalité de réaction de pf face
à différentes empreintes ?
http://www.openbsd.org/faq/pf/filter.html#osfp

Ceci donne des infos complémentaires :
http://www.oreilly.com/catalog/netsechacks/chapter/hack40.pdf

Sinon, autres pistes :
http://www.honeyd.org/
http://www.zog.net/Docs/nmap.html
(ce dernier article a quand même beaucoup vieilli et est orienté Linux)

--
DW

Laurent
Le #890834
On 21 juin, 10:21, Nerdman
Bonjour à tous, je cherche un moyen de bypasser les détecteurs d'OS du
type nmap. Tout du moins, de leur faire croire autrechose.


Il me semble que ce genre de customisation de la pile IP passe
obligatoirement par une modification de code dans le source de ladite
pile IP. Puis recompile et install de la version modifiée.


J'ai lu que l'on pouvait faire ce genre de chose avec PF, j'aurais
aimé quelques infos là dessus car je ne trouves pas trop de docs. Dans
pf.os on trouve pas mal de trucs intéressants, mais malheureusement
rien pour pouvoir changer l'empreinte de sa bécane.


En ce qui concerne PF, tu peux faire de la normalisation, rendre
aléatoire les n° de séquence TCP, et "détecter" quel OS se connecte
chez toi et avoir des rêgles de parefeu en conséquence. Je ne crois
pas que PF puisse directement influer le comportement de la pile IP.


Quelqu'un a-t'il déjà fait ça ?


J'ai déjà entendu des personnes me dire l'avoir fait

Perso, n'étant pas développeur, je me sers de pf.os pour "router" le
traffic venant d'hôtes WindowsXP sur une rêgle en "drop". N'ayant
aucun serveur derrière mon LAN, je n'ai aucun port ouvert, et la rêgle
drop me classe comme "inconnu" avec nmap, en plus ça les fait ramer.

--
Laurent C.

Hubert
Le #890830
Salut,

Dans le temps, j'avais écrit ce qui suit à ce sujet :
http://www.frbsd.org/fr/poweredby/freebsd.html
http://www.frbsd.org/fr/poweredby/freebsd2.html

Je pense que ça devrait encore fonctionner (et avec pf, si tu le
préfères à ipfw), même si je n'ai pas retesté cela depuis longtemps.

Bien cordialement,

Le Thu, 21 Jun 2007 08:21:53 -0000, Nerdman

Bonjour à tous, je cherche un moyen de bypasser les détecteurs d'OS du
type nmap. Tout du moins, de leur faire croire autrechose.

J'ai lu que l'on pouvait faire ce genre de chose avec PF, j'aurais
aimé quelques infos là dessus car je ne trouves pas trop de docs. Dans
pf.os on trouve pas mal de trucs intéressants, mais malheureusement
rien pour pouvoir changer l'empreinte de sa bécane.

Quelqu'un a-t'il déjà fait ça ?


Benjamin Pineau
Le #890829
Le Fri, 22 Jun 2007 01:41:38 -0700,
Laurent

Perso, n'étant pas développeur, je me sers de pf.os pour "router" le
traffic venant d'hôtes WindowsXP sur une rêgle en "drop". N'ayant
aucun serveur derrière mon LAN, je n'ai aucun port ouvert, et la rêgle
drop me classe comme "inconnu" avec nmap, en plus ça les fait ramer.


Dans le meme genre, moins bourrin :

block in log quick on egress os NMAP

Evidement, ca n'est pas une solution miracle, et ca ne
bloque que NMAP (pas les autres outils similaires).

Publicité
Poster une réponse
Anonyme