Posteado por: Jose David Baena | julio 17, 2008

Usando P0f (IV) – P0f para OS Guessing de máquinas que rechazan nuestras conexiones.

Quizás tengamos posesión de una máquina a la que se le rechazan las peticiones que efectua. No hay que irse tan lejos para imaginarselo, basta con que alguien use TCP Wrappers y te deniegue toda comunicación…

A continuación vamos a ver como SI se puede reconocer sistemas operativos de máquinas que nos rechazan el tráfico. Esta opción se hace con -R…

-R
a barely-supported option for RST+ mode. This option will prompt p0f to fingerprint several different types of traffic, most importantly “connection refused” and “timeout” messages.This mode is similar to SYN+ACK (-A), except that the program will now look for p0fr.fp. The usual config is NOT SUITABLE for this mode. You may have to familiarize yourself with p0fr.fp before using it.

Para ver este ejemplo vamos a conectarnos al servidor del lsi: www.lsi.us.es mientras tenemos lanzado p0f. Anteriormente no hemos podido obtener el sistema operativo de dicho servidor de forma pasiva, pero en este caso, haciendo que nos rechace conexiones el servidor; como por ejemplo una solicitud de conexiones agresiva y poniéndonos en medio de los dos sistemas, podremos sacar algo de información:

root@joseda-mindlap:~# p0f -R -i ath0

p0f – passive os fingerprinting utility, version 2.0.8

(C) M. Zalewski <lcamtuf@dione.cc>, W. Stearns <wstearns@pobox.com>

p0f: listening (RST+) on ‘ath0’, 46 sigs (3 generic, cksum 1AE3081F), rule: ‘all’.

192.168.1.113:49068 – Linux 2.4 (?) (dropped, lame) (up: 6 hrs)

-> 150.214.141.42:80 (distance 0, link: unspecified)

192.168.1.113:49069 – Linux 2.4 (?) (dropped, lame) (up: 6 hrs)

-> 150.214.141.42:80 (distance 0, link: unspecified)

192.168.1.113:58039 – Linux 2.4 (?) (dropped, lame) (up: 6 hrs)

-> 150.214.141.42:25 (distance 0, link: unspecified)

192.168.1.113:39792 – Linux 2.4 (?) (dropped, lame) (up: 6 hrs)

-> 150.214.141.42:443 (distance 0, link: unspecified)

150.214.141.42:113 – Linux 2.0/2.2 (refused)

-> 192.168.1.113:36026 (distance 4, link: unspecified)

192.168.1.113:41881 – Linux 2.4 (?) (dropped, lame) (up: 6 hrs)

-> 150.214.141.42:21 (distance 0, link: unspecified)

+++ Exiting on signal 2 +++

[+] Average packet ratio: 2.32 per minute.

No lo puedo afirmar con seguridad, pero podría aventurarme a decir que es un Linux el que provee los servicios del lsi. Además podemos decir que probee algunos servicios como http (80),ssh(443)… De hecho creo que a partir de este método (RST+) y centrandonos en su implementación podríamos obtener y mejorar de forma abismal esta herramienta.

Por curiosidad hemos probado tambien con el servidor del ccia, el cual sabemos que va sobre linux. Es solo ver si la herramienta da la misma información:

root@joseda-mindlap:~# p0f -R -i ath0

p0f – passive os fingerprinting utility, version 2.0.8

(C) M. Zalewski <lcamtuf@dione.cc>, W. Stearns <wstearns@pobox.com>

p0f: listening (RST+) on ‘ath0’, 46 sigs (3 generic, cksum 1AE3081F), rule: ‘all’.

192.168.1.113:36918 – Linux 2.4 (?) (dropped, lame) (up: 7 hrs)

-> 150.214.140.135:80 (distance 0, link: unspecified)

192.168.1.113:48593 – Linux 2.4 (?) (dropped, lame) (up: 7 hrs)

-> 150.214.140.135:443 (distance 0, link: unspecified)

192.168.1.113:44640 – Linux 2.4 (?) (dropped, lame) (up: 7 hrs)

-> 150.214.140.135:25 (distance 0, link: unspecified)

150.214.140.135:113 – Linux 2.0/2.2 (refused)

-> 192.168.1.113:41680 (distance 4, link: unspecified)

192.168.1.113:36929 – Linux 2.4 (?) (dropped, lame) (up: 7 hrs)

-> 150.214.140.135:80 (distance 0, link: unspecified)

192.168.1.113:60547 – Linux 2.4 (?) (dropped, lame) (up: 7 hrs)

-> 150.214.140.135:21 (distance 0, link: unspecified)

+++ Exiting on signal 2 +++

[+] Average packet ratio: 22.50 per minute.

En efecto, el análisis mediante rechazo a nuestra máquina de conexiones tiene como resultado que el sistema operativo es Linux. No creo que sea la versión 2.0 ni la 2.2; tampoco la 2.4 suponiendo que se está administrando bien… De todas formas no me cabe duda que es un Linux… (o eso espero ;))

Posts relacionados:

  1. Fingerprinting

  2. Fingerprinting activo y pasivo

  3. La herramienta de fingerprinting P0F

  4. Usando P0f (I)- Un ordenador en una LAN cualquiera

  5. Usando P0f (II)- Trabajando con un archivo de capturas.

  6. Usando P0f (III) – P0f para OS Guessing remoto.

  7. Usando P0f (IV) – P0f para OS Guessing de máquinas que rechazan nuestras conexiones.

Anuncios

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

Categorías

A %d blogueros les gusta esto: