Herramienta de OS fingerprinting.

El OS Fingerprinting es una técnica que cosiste en analizar las huellas que deja un sistema operativo en sus conexiones de red. Está basada en los tiempos de respuesta a los diferentes paquetes, al establecer una conexión en el protocolo TCP/IP, que utilizan los diferentes sistemas operativos.

Los programas que se utilizan para realizar OS Fingerprinting se basan en dos filosofías, escáner pasivo o activo:

  • En un escáner activo la herramienta envía paquetes esperando una respuesta del sistema operativo y la compara con su base de datos. Suele usar técnicas como: inundación de paquetes SYN, envió de flags TCP incorrectos, envió de paquetes FIN… Estas técnicas son fáciles de detectar.
  • En un escáner pasivo la herramienta escucha el trafico para identificar las maquinas que actúan en la red comparando sus tiempos de respuesta pero sin actuar en la red. Es una técnica más difícil de detectar pero tiene dos inconvenientes: algunas veces hay que esperar mucho tiempo si el sistema que queremos identificar no envía paquetes, no podemos identificalo y al no enviar peticiones la herramienta no genera respuestas esto limita su acción al ámbito de broadcast, se puede solucionar con técnicas de envenenamiento de la cache ARP.

Satori es una herramienta de OS fingerprinting pasivo que utiliza pcap. Satori utiliza los comportamientos en la red de los siguientes elementos para identificar sistemas: sistemas Windows, dispositivos HP(gracias al uso de HP Switch Protocol), dispositivos Cisco (envió paquetes CDP), teléfonos VoIP y servidores DHCP. Satori está disponible para Windows y para Linux.

Más información y descarga de Satori:
http://chatteronthewire.org/
Enmascarar sistema para evitar OS Fingerprinting:
http://vtroger.blogspot.com/2008/08/enmascarar-sistema-para-evitar-os.html

4 comentarios en “Herramienta de OS fingerprinting.

  • el noviembre 10, 2009 a las 7:56 am
    Permalink

    Lo he estado probando y no lo entiendo bien del todo…

    Saca la versión del sistema operativo según varios métodos, pero cada uno da una cosa distinta… desde Windows 2000 a Windows Vista pasando por XP SP1 y SP3 o hasta 2003 server…

    Respuesta
  • el noviembre 11, 2009 a las 7:28 pm
    Permalink

    Hola María
    Si la captura de tráfico es pequeña puede tener resultados muy variados en distintos métodos. Con una captura de tráfico mayor seguro que encontraras un resultado más uniforme, aunque te adelanto que mucha pruebas confundirán un Windows SP1 con un SP3 o SP2. Pero con una captura de red grande es más precioso.
    Un saludo

    Respuesta
  • el noviembre 12, 2009 a las 3:23 am
    Permalink

    Hola, si te interesa ganar hasta 50 euros FIJOS mensuales, por cada blog o web, sin publicidad intrusiva ni pagos por click, y hasta 7.5 euros mensuales por referidos, envíame tus webs o blogs para revisarlos al correo publicidadblogs@gmail.com.

    Por el siguiente enlace podrás tener más información: http://www.blogscolombia.biz/?ref=http://publicidadblogs.blogspot.com/

    Si requieres de más información puede contactarme a publicidadblogs@gmail.com.

    Saludos,

    Respuesta

Deja un comentario

A %d blogueros les gusta esto: