Posteado por: Jose David Baena | julio 17, 2008

Fingerprinting activo y pasivo

1. Fingerprinting activo.

El fingerprinting activo se define como aquel en el que el atacante realiza alguna acción que provoque algún tipo de respuesta en la vıctima. Esto se traduce en el envío de paquetes destinados a la maquina víctima, con los que comprobar su comportamiento en situaciones anómalas o no especificadas por los estándares.
Las pruebas más usuales que se suelen realizar son:

  • Sonda FIN. Se envía un paquete FIN a un puerto abierto del objetivo y se espera respuesta. Windows, BSDI, CISCO, MVS, IRIX o HP-UX responden con un RESET.
  • Flags TCP incorrectos. Consiste en el envío de un paquete con flags no definidos (64 o 128) en la cabecera de un paquete SYN.
  • ISN o numero de secuencia inicial. Se trata de comprobar el numero inicial de secuencia elegido por la vıctima en una conexión TCP.
  • Bit de no fragmentación. Algunos sistemas operativos como Solaris activan este bit en algunos de sus paquetes para mejorar el rendimiento.
  • Inundación de paquetes SYN. Una técnica muy agresiva basada en el envío masivo de paquetes SYN a la maquina remota. Muchas dejan de aceptar conexiones tras recibir 8 paquetes seguidos. Por lo general los sistemas modernos implementan contramedidas para este tipo de ataques, que además son muy “ruidosos” y pueden tener efectos colaterales no deseados.

Algunas herramientas de este tipo de fingerprinting serían nmap,xprobe,hping…

2. Fingerprinting pasivo.

Cuando se utiliza la variante pasiva de la técnica del fingerprinting los paquetes a analizar se obtienen directamente de la red local, lo cual quiere decir que el sistema atacante no genera ningún tipo de comunicación hacia el destino con el fin de provocar una respuesta. Esta es sin duda mi técnica favorita, ya que te permite pasar totalmente inadvertido.
La implicación inmediata de esta técnica es que no permite analizar sistemas fuera de la red local o ambito de broadcast en el que se esté, y que obliga al atacante a configurar su dispositivo de red en modo promıscuo. Adicionalmente significa que el atacante está a merced del trafico que circule por la red. Si desea obtener información de una maquina concreta es posible que tenga que esperar bastante tiempo o que incluso nunca llegue a ver un paquete proveniente de dicha maquina hacia otra.
Una de las herramientas de este tipo de fingerprinting sería p0f y sus versiones posteriores. Aunque ya veremos en un post dedicado posteriormente a P0f como se puede obtener el so de una máquina realizando conexiones a ella y de forma pasiva!

Los dos terminos anteriormente explicados los podemos mostrar mediante la siguiente figura, sacada de securityfocus:

network schema

network schema

Posts relacionados:

  1. Fingerprinting

  2. Fingerprinting activo y pasivo

  3. La herramienta de fingerprinting P0F

  4. Usando P0f (I)- Un ordenador en una LAN cualquiera

  5. Usando P0f (II)- Trabajando con un archivo de capturas.

  6. Usando P0f (III) – P0f para OS Guessing remoto.

  7. Usando P0f (IV) – P0f para OS Guessing de máquinas que rechazan nuestras conexiones.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Categorías

A %d blogueros les gusta esto: