logo

Knowledge Is Power

 
 

- Reinit des nouveaux posts -

- Recherche -

Messages Privés - Derniers posts
S'enregistrer - Login - Liste des membres
Vous logger : Login Pass

Help >> simuler un os pour contourner l'os fingerprinting Newtopic | Reply
poster txt
jackette
Inscrit le 20-12-2005
Posté le 23-06-2006 21:20

Bonjour

Alors voilà l'idée ce serait de simuler un os pour pouvoir tromper le pirate , j'ai cherché mais c'est extremement difficile de trouver alors autant demander aux gens du milieu

merci de vos réponses
profil | edit | quote
zemarcel
Inscrit le 27-10-2004
Posté le 23-06-2006 21:34

Je croit qu'il faut changer des petites chose du coter de TCP/ip ,je n'es sais plus trop et j'ai pas envie de dire des connerie
profil | Website | edit | quote
☻
Inscrit le 23-06-2006
Afficher/Masquer
zemarcel
Inscrit le 27-10-2004
Posté le 24-06-2006 09:10

Tu devrais regarder du coter de nmap du coter du fingerprinting il explique que certains admin modifie la pile ou je sait plus trop quoi sur leur system
profil | Website | edit | quote
bla
Inscrit le 13-12-2005
Posté le 24-06-2006 10:44

http://www.zog.net/Docs/nmap.html

Nmap envoit 7 paquets à la cible, et attend la réponse. Il compare les paquets recus avec ceux présents dans la liste des signatures pour déterminer l'OS.
En changeant certaines caractéristiques de la pile TCP/IP, tu peux donc simuler un autre OS.

Je suppose que certains scanners doivent aussi se baser sur les services tournant sur la machine (du genre "Apache/1.3.12 (Unix) Debian/GNU mod_perl/1.24" indique clairement que l'OS est une Debian). Pour modifier ca, faut modifier les sources ou patcher les binaires.
profil | edit | quote
Drag-Queen
Inscrit le 27-03-2003
Posté le 24-06-2006 15:06

Rha la la ce qu'on peut lire comme conneries.

Bon le truc de base à piger se trouve dans les articles de Fyodor pour phrack (trouvables sur le site de nmap, et sur le site de ouah pour une traduction me semble-t-il).

Une fois que t'as pigé qu'on peut monter une base de données des empreintes des différents systèmes et/ou plate-forme, tu comprends tout aussi bien qu'il suffit de bouger les paramètres par défaut des champs des en-tête des paquets TCP et/ou IP pour tromper les système d'OSFP actifs (nmap, queso, et autres).


Dans la plupart des cas, une modification du TTL par défaut et d'autres options du même style suffit à tromper nmap (mais pas un attaquant avisé).

Sous Windows, TCP Optimizer le fait bien (en fait ce logiciel bouge des entrées de la base de registre).

Sous GNU/Linux, modifier certaines entrées dans /proc/sys/net/ipv4 donne le même résultat. Il existe des patchs pour le kernel, notamment IP Personality qui permet de se faire passer pour n'importe quel OS (à base de script définissant le comportement à adopter pour simuler l'OS voulu).

Sous BSD même principe, même combat, on modifie des valeurs par défaut du kernel (sysctl rules :).

Il y avait un excellant article là-dessus dans un numéro de MISC (la flemme de fouiller dans la pile, regarde sur leur site).



Sinon d'autres solutions en vrac :
_ utiliser un "vrai" firewall (pf) en amont de ton système à protéger, et utiliser ses options avancées (je pense surtout à l'option scrub) ;
_ utiliser des systèmes virtuels, pour faire style "wai mon firewall tourne sous FreeBSD et j'ai activé les blackholes alors tu peux rien contre moi" alors qu'en fait tout ce que tu as est un simple PC relativement puissant sous WindowsXP et que tu as plusieurs ordinateurs virtuels qui tournent dessus.


DecereBrain
_________________________
Take the best orgasm you ever had. Multiply it by a thousand.
profil | mail | edit | quote
jackette
Inscrit le 20-12-2005
Posté le 24-06-2006 20:10

Merci à tous , surtout à Drag Queen
profil | edit | quote
Newtopic | Reply

Online : Alexvef, beakykals, Brianded, Carolbiada, ecyxajejokimr, enojomuk, etesiwos, GarzyChern, ieyolgud, JasonKib, LarryInart, nehamego, oxyohiyuln, RoonnaDorpneert, SamuelVek, ukaceqyewy, uruoyok, varaben et 57 Guests


Retour Index NewFFR Repository : http://taz.newffr.com
Cagades à Stick : http://alcane.newffr.com
Forum HTML et Archive -> ici
ForumFR Sql/Xml (2006/04) (SF pas à jour du tout...) - Alive since 2001 Newffr.com
Pour toute plainte ou problème -> Contacter Borax, Hyatus, Tweakie ou Stick par message privé (ou Gueulez sur le forum :) )
Retour haut de page