Bonjour =E0 tous, je cherche un moyen de bypasser les d=E9tecteurs d'OS du
type nmap. Tout du moins, de leur faire croire autrechose.
J'ai lu que l'on pouvait faire ce genre de chose avec PF, j'aurais
aim=E9 quelques infos l=E0 dessus car je ne trouves pas trop de docs. Dans
pf.os on trouve pas mal de trucs int=E9ressants, mais malheureusement
rien pour pouvoir changer l'empreinte de sa b=E9cane.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Damien Wyart
* Nerdman in fr.comp.os.bsd:
J'ai lu que l'on pouvait faire ce genre de chose avec PF, j'aurais aimé quelques infos là dessus car je ne trouves pas trop de docs. Dans pf.os on trouve pas mal de trucs intéressants, mais malheureusement rien pour pouvoir changer l'empreinte de sa bécane.
On peut essayer de freiner la reconnaissance, mais changer de "personnalité" directement avec pf, ça ne me dit rien (c'est peut-être possible, mais je n'ai pas souvenir avoir vu passer d'infos là-dessus). Peut-être que tu confonds avec la fonctionnalité de réaction de pf face à différentes empreintes ? http://www.openbsd.org/faq/pf/filter.html#osfp
Ceci donne des infos complémentaires : http://www.oreilly.com/catalog/netsechacks/chapter/hack40.pdf
Sinon, autres pistes : http://www.honeyd.org/ http://www.zog.net/Docs/nmap.html (ce dernier article a quand même beaucoup vieilli et est orienté Linux)
-- DW
* Nerdman <nerdman.theboss@gmail.com> in fr.comp.os.bsd:
J'ai lu que l'on pouvait faire ce genre de chose avec PF, j'aurais
aimé quelques infos là dessus car je ne trouves pas trop de docs. Dans
pf.os on trouve pas mal de trucs intéressants, mais malheureusement
rien pour pouvoir changer l'empreinte de sa bécane.
On peut essayer de freiner la reconnaissance, mais changer de
"personnalité" directement avec pf, ça ne me dit rien (c'est peut-être
possible, mais je n'ai pas souvenir avoir vu passer d'infos là-dessus).
Peut-être que tu confonds avec la fonctionnalité de réaction de pf face
à différentes empreintes ?
http://www.openbsd.org/faq/pf/filter.html#osfp
Ceci donne des infos complémentaires :
http://www.oreilly.com/catalog/netsechacks/chapter/hack40.pdf
Sinon, autres pistes :
http://www.honeyd.org/
http://www.zog.net/Docs/nmap.html
(ce dernier article a quand même beaucoup vieilli et est orienté Linux)
J'ai lu que l'on pouvait faire ce genre de chose avec PF, j'aurais aimé quelques infos là dessus car je ne trouves pas trop de docs. Dans pf.os on trouve pas mal de trucs intéressants, mais malheureusement rien pour pouvoir changer l'empreinte de sa bécane.
On peut essayer de freiner la reconnaissance, mais changer de "personnalité" directement avec pf, ça ne me dit rien (c'est peut-être possible, mais je n'ai pas souvenir avoir vu passer d'infos là-dessus). Peut-être que tu confonds avec la fonctionnalité de réaction de pf face à différentes empreintes ? http://www.openbsd.org/faq/pf/filter.html#osfp
Ceci donne des infos complémentaires : http://www.oreilly.com/catalog/netsechacks/chapter/hack40.pdf
Sinon, autres pistes : http://www.honeyd.org/ http://www.zog.net/Docs/nmap.html (ce dernier article a quand même beaucoup vieilli et est orienté Linux)
-- DW
Laurent
On 21 juin, 10:21, Nerdman wrote:
Bonjour à tous, je cherche un moyen de bypasser les détecteurs d'OS du type nmap. Tout du moins, de leur faire croire autrechose.
Il me semble que ce genre de customisation de la pile IP passe obligatoirement par une modification de code dans le source de ladite pile IP. Puis recompile et install de la version modifiée.
J'ai lu que l'on pouvait faire ce genre de chose avec PF, j'aurais aimé quelques infos là dessus car je ne trouves pas trop de docs. Dans pf.os on trouve pas mal de trucs intéressants, mais malheureusement rien pour pouvoir changer l'empreinte de sa bécane.
En ce qui concerne PF, tu peux faire de la normalisation, rendre aléatoire les n° de séquence TCP, et "détecter" quel OS se connecte chez toi et avoir des rêgles de parefeu en conséquence. Je ne crois pas que PF puisse directement influer le comportement de la pile IP.
Quelqu'un a-t'il déjà fait ça ?
J'ai déjà entendu des personnes me dire l'avoir fait
Perso, n'étant pas développeur, je me sers de pf.os pour "router" le traffic venant d'hôtes WindowsXP sur une rêgle en "drop". N'ayant aucun serveur derrière mon LAN, je n'ai aucun port ouvert, et la rêgle drop me classe comme "inconnu" avec nmap, en plus ça les fait ramer.
-- Laurent C.
On 21 juin, 10:21, Nerdman <nerdman.theb...@gmail.com> wrote:
Bonjour à tous, je cherche un moyen de bypasser les détecteurs d'OS du
type nmap. Tout du moins, de leur faire croire autrechose.
Il me semble que ce genre de customisation de la pile IP passe
obligatoirement par une modification de code dans le source de ladite
pile IP. Puis recompile et install de la version modifiée.
J'ai lu que l'on pouvait faire ce genre de chose avec PF, j'aurais
aimé quelques infos là dessus car je ne trouves pas trop de docs. Dans
pf.os on trouve pas mal de trucs intéressants, mais malheureusement
rien pour pouvoir changer l'empreinte de sa bécane.
En ce qui concerne PF, tu peux faire de la normalisation, rendre
aléatoire les n° de séquence TCP, et "détecter" quel OS se connecte
chez toi et avoir des rêgles de parefeu en conséquence. Je ne crois
pas que PF puisse directement influer le comportement de la pile IP.
Quelqu'un a-t'il déjà fait ça ?
J'ai déjà entendu des personnes me dire l'avoir fait
Perso, n'étant pas développeur, je me sers de pf.os pour "router" le
traffic venant d'hôtes WindowsXP sur une rêgle en "drop". N'ayant
aucun serveur derrière mon LAN, je n'ai aucun port ouvert, et la rêgle
drop me classe comme "inconnu" avec nmap, en plus ça les fait ramer.
Bonjour à tous, je cherche un moyen de bypasser les détecteurs d'OS du type nmap. Tout du moins, de leur faire croire autrechose.
Il me semble que ce genre de customisation de la pile IP passe obligatoirement par une modification de code dans le source de ladite pile IP. Puis recompile et install de la version modifiée.
J'ai lu que l'on pouvait faire ce genre de chose avec PF, j'aurais aimé quelques infos là dessus car je ne trouves pas trop de docs. Dans pf.os on trouve pas mal de trucs intéressants, mais malheureusement rien pour pouvoir changer l'empreinte de sa bécane.
En ce qui concerne PF, tu peux faire de la normalisation, rendre aléatoire les n° de séquence TCP, et "détecter" quel OS se connecte chez toi et avoir des rêgles de parefeu en conséquence. Je ne crois pas que PF puisse directement influer le comportement de la pile IP.
Quelqu'un a-t'il déjà fait ça ?
J'ai déjà entendu des personnes me dire l'avoir fait
Perso, n'étant pas développeur, je me sers de pf.os pour "router" le traffic venant d'hôtes WindowsXP sur une rêgle en "drop". N'ayant aucun serveur derrière mon LAN, je n'ai aucun port ouvert, et la rêgle drop me classe comme "inconnu" avec nmap, en plus ça les fait ramer.
-- Laurent C.
Hubert
Salut,
Dans le temps, j'avais écrit ce qui suit à ce sujet : http://www.frbsd.org/fr/poweredby/freebsd.html http://www.frbsd.org/fr/poweredby/freebsd2.html
Je pense que ça devrait encore fonctionner (et avec pf, si tu le préfères à ipfw), même si je n'ai pas retesté cela depuis longtemps.
Bien cordialement,
Le Thu, 21 Jun 2007 08:21:53 -0000, Nerdman a écrit:
Bonjour à tous, je cherche un moyen de bypasser les détecteurs d'OS du type nmap. Tout du moins, de leur faire croire autrechose.
J'ai lu que l'on pouvait faire ce genre de chose avec PF, j'aurais aimé quelques infos là dessus car je ne trouves pas trop de docs. Dans pf.os on trouve pas mal de trucs intéressants, mais malheureusement rien pour pouvoir changer l'empreinte de sa bécane.
Quelqu'un a-t'il déjà fait ça ?
Salut,
Dans le temps, j'avais écrit ce qui suit à ce sujet :
http://www.frbsd.org/fr/poweredby/freebsd.html
http://www.frbsd.org/fr/poweredby/freebsd2.html
Je pense que ça devrait encore fonctionner (et avec pf, si tu le
préfères à ipfw), même si je n'ai pas retesté cela depuis longtemps.
Bien cordialement,
Le Thu, 21 Jun 2007 08:21:53 -0000, Nerdman
<nerdman.theboss@gmail.com> a écrit:
Bonjour à tous, je cherche un moyen de bypasser les détecteurs d'OS du
type nmap. Tout du moins, de leur faire croire autrechose.
J'ai lu que l'on pouvait faire ce genre de chose avec PF, j'aurais
aimé quelques infos là dessus car je ne trouves pas trop de docs. Dans
pf.os on trouve pas mal de trucs intéressants, mais malheureusement
rien pour pouvoir changer l'empreinte de sa bécane.
Dans le temps, j'avais écrit ce qui suit à ce sujet : http://www.frbsd.org/fr/poweredby/freebsd.html http://www.frbsd.org/fr/poweredby/freebsd2.html
Je pense que ça devrait encore fonctionner (et avec pf, si tu le préfères à ipfw), même si je n'ai pas retesté cela depuis longtemps.
Bien cordialement,
Le Thu, 21 Jun 2007 08:21:53 -0000, Nerdman a écrit:
Bonjour à tous, je cherche un moyen de bypasser les détecteurs d'OS du type nmap. Tout du moins, de leur faire croire autrechose.
J'ai lu que l'on pouvait faire ce genre de chose avec PF, j'aurais aimé quelques infos là dessus car je ne trouves pas trop de docs. Dans pf.os on trouve pas mal de trucs intéressants, mais malheureusement rien pour pouvoir changer l'empreinte de sa bécane.
Quelqu'un a-t'il déjà fait ça ?
Benjamin Pineau
Le Fri, 22 Jun 2007 01:41:38 -0700, Laurent écrivait:
Perso, n'étant pas développeur, je me sers de pf.os pour "router" le traffic venant d'hôtes WindowsXP sur une rêgle en "drop". N'ayant aucun serveur derrière mon LAN, je n'ai aucun port ouvert, et la rêgle drop me classe comme "inconnu" avec nmap, en plus ça les fait ramer.
Dans le meme genre, moins bourrin :
block in log quick on egress os NMAP
Evidement, ca n'est pas une solution miracle, et ca ne bloque que NMAP (pas les autres outils similaires).
Le Fri, 22 Jun 2007 01:41:38 -0700,
Laurent <laurent.bar@gmail.com> écrivait:
Perso, n'étant pas développeur, je me sers de pf.os pour "router" le
traffic venant d'hôtes WindowsXP sur une rêgle en "drop". N'ayant
aucun serveur derrière mon LAN, je n'ai aucun port ouvert, et la rêgle
drop me classe comme "inconnu" avec nmap, en plus ça les fait ramer.
Dans le meme genre, moins bourrin :
block in log quick on egress os NMAP
Evidement, ca n'est pas une solution miracle, et ca ne
bloque que NMAP (pas les autres outils similaires).
Le Fri, 22 Jun 2007 01:41:38 -0700, Laurent écrivait:
Perso, n'étant pas développeur, je me sers de pf.os pour "router" le traffic venant d'hôtes WindowsXP sur une rêgle en "drop". N'ayant aucun serveur derrière mon LAN, je n'ai aucun port ouvert, et la rêgle drop me classe comme "inconnu" avec nmap, en plus ça les fait ramer.
Dans le meme genre, moins bourrin :
block in log quick on egress os NMAP
Evidement, ca n'est pas une solution miracle, et ca ne bloque que NMAP (pas les autres outils similaires).