Elke pc te traceren op het internet

Hier horen vragen over google, irc, nieuwsgroepen, e-mail enz....
Plaats reactie
Kochanie
Elite Poster
Elite Poster
Berichten: 750
Lid geworden op: 08 jan 2005, 12:44

Tadayoshi Kohno, een student aan de universiteit van Califonie, heeft een manier gevonden waarmee hij iedere pc op het internet kan identificeren. Zelfs de pc's die achter een zogenaamde NAT-netwerk (network address translation) zitten en pc's met een wisselende ip-adres kunnen worden geidentificeerd.

De techniek kan worden gebruikt om anonieme surfers te ontmaskeren.

De truc wordt 'fingerprinting' genoemd. Volgens Kohno zijn er een aantal methoden om van afstand een besturingssysteem te fingerprinten.

"We hebben dit idee uitgewerkt tot het fingerprinten van de hardware, zonder dat het apparaat in kwestie hoeft mee te werken. Bij de fingerprinting-techniek wordt informatie in de TCP (transmission control protocol) headers gebruikt om de "clock skew" van een computer te bepalen, die door kleine afwijkingen in de hardware veroorzaakt wordt. De technieken werkt zelfs als een computer duizenden kilometers ver weg is, er meerdere hops tussen het meet apparaat en de computer zelf zijn en is niet afhankelijk van de technologie waarmee verbinding met het internet gemaakt wordt," zo is te lezen op Security.nl.

Kohno heeft zijn methode met succes op diverse besturingssystemen gestest, waaronder Windows XP en 2000, Mac OS X Panther, Red Hat, Debian Linux, FreeBSD, OpenBSD en Windows Pocket pc 2002.

Bron: Nu.nl
Omhoog
Gebruikersavatar
deej
Elite Poster
Elite Poster
Berichten: 3322
Lid geworden op: 09 dec 2002, 21:14
Locatie: Een boerengat nu met VDSL2!
Uitgedeelde bedankjes: 19 keer
Bedankt: 4 keer

Binnenkort een firewall die wat wijzigt aan de TCP timestamps en probleem opgelost (zie ook hun experiment met Honeynet XPSP2 emulatie).
Omhoog
Gebruikersavatar
Styno
Elite Poster
Elite Poster
Berichten: 1440
Lid geworden op: 06 nov 2003, 17:38
Locatie: Somewhere over the rainbow....

Doet me denken aan de fingerprinting technieken van nmap.

Code: Selecteer alles

[root@pimplock ~]# nmap -O nayah

Starting nmap 3.70 ( http://www.insecure.org/nmap/ ) at 2005-03-07 13:35 CET
Interesting ports on Nayah (10.0.0.5):
(The 1655 ports scanned but not shown below are in state: closed)
PORT     STATE SERVICE
135/tcp  open  msrpc
139/tcp  open  netbios-ssn
445/tcp  open  microsoft-ds
1025/tcp open  NFS-or-IIS
1029/tcp open  ms-lsa
MAC Address: 00:0E:A6:0E:79:52 (Asustek Computer)
Device type: general purpose
Running: Microsoft Windows NT/2K/XP
OS details: Microsoft Windows XP Professional SP1 or Windows 2000 Advanced Server SP3

Nmap run completed -- 1 IP address (1 host up) scanned in 1.523 seconds


(het is dus inderdaad een XP/SP1)

Bij een scan van een unix systeem kom je op deze manier zelfs de uptime te weten.
echo '[q]sa[ln0=aln256%Pln256/snlbx]sb3135071790101768542287578439snlbxq'|dc
echo '16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D4D465452snlbxq'|dc
Afbeelding
Omhoog
Gebruikersavatar
meon
Administrator
Administrator
Berichten: 16609
Lid geworden op: 18 feb 2003, 22:02
Twitter: meon
Locatie: Bree
Uitgedeelde bedankjes: 564 keer
Bedankt: 759 keer
Contacteer:
Contacteer meon

Styno schreef:Doet me denken aan de fingerprinting technieken van nmap.

Code: Selecteer alles

OS details: Microsoft Windows XP Professional SP1 or Windows 2000 Advanced Server SP3

(het is dus inderdaad een XP/SP1)
Niet altijd even duidelijk:

Code: Selecteer alles

Device type: general purpose
Running: Microsoft Windows 95/98/ME|NT/2K/XP
OS details: Microsoft Windows Millennium Edition (Me), Windows 2000 Pro or Advanced Server, or Windows XP, Microsoft Windows XP SP1
Omhoog
airzimmy
Erelid
Erelid
Berichten: 1047
Lid geworden op: 19 sep 2002, 14:01
Contacteer:
Contacteer airzimmy

meon schreef: Niet altijd even duidelijk:

Code: Selecteer alles

Device type: general purpose
Running: Microsoft Windows 95/98/ME|NT/2K/XP
OS details: Microsoft Windows Millennium Edition (Me), Windows 2000 Pro or Advanced Server, or Windows XP, Microsoft Windows XP SP1
Niet altijd duidelijk maar het maakt wel wat mogelijk!
Enkele links voor de geinteresseerden:
passive os fingerprinting:
- http://openbsd.automagic.org/faq/pf/filter.html#osfp
(verlos uw mailserver van dirty stuff door alle mails van een windows systeem te blocken: block in on $ext_if proto tcp from any os "Windows" to any port smtp
of maak het iets moeilijker voor de script kiddies
block in on $ext_if proto tcp from any os "Linux" to any port ssh
- de fingerprintfile van OpenBSD, de nota's in deze file zijn altijd interessant: http://www.openbsd.org/cgi-bin/cvsweb/~ ... text/plain
- http://lcamtuf.coredump.cx/p0f.shtml en een ietwat bewerkte logfile van een beetje traffic:
Windows 2000 SP4, XP SP1 (distance 7, link: pppoe (DSL))
Windows 2000 SP4, XP SP1 (distance 7, link: pppoe (DSL))
Windows 2000 SP4, XP SP1 (distance 7, link: pppoe (DSL))
OpenBSD 3.0-3.4 (up: 2998 hrs) (distance 8, link: ethernet/modem)
Cisco Content Engine (distance 7, link: ethernet/modem)
Cisco Content Engine (distance 7, link: ethernet/modem)
Windows 2000 SP4, XP SP1 (distance 7, link: sometimes DSL (2))
Windows 2000 SP4, XP SP1 (distance 7, link: sometimes DSL (2))
Cisco Content Engine (distance 7, link: ethernet/modem)
Cisco Content Engine (distance 7, link: ethernet/modem)
UNKNOWN [S4:45:1:56:M1460,N,N,T:.:?:?] (up: 4205 hrs) (link: ethernet/modem)
Windows 2000 SP4, XP SP1 (distance 15, link: GPRS, T1, FreeS/WAN)
Windows 2000 SP4, XP SP1 (distance 15, link: GPRS, T1, FreeS/WAN)
Linux 2.4/2.6 <= 2.6.7 [high throughput] (up: 3860 hrs) (distance 15, link: unknown-1470)
OpenBSD 3.0-3.4 (up: 2998 hrs) (distance 8, link: ethernet/modem)
OpenBSD 3.0-3.4 (up: 2998 hrs) (distance 8, link: ethernet/modem)
OpenBSD 3.0-3.4 (up: 2998 hrs) (distance 8, link: ethernet/modem)
UNKNOWN [S4:53:1:44:M1460:.:?:?] (link: ethernet/modem)
Linux 2.4/2.6 <= 2.6.7 (up: 304 hrs) (distance 18, link: ethernet/modem)
Linux 2.4/2.6 <= 2.6.7 (up: 1815 hrs) (distance 18, link: ethernet/modem)
Windows 2000 SP4, XP SP1 (distance 7, link: pppoe (DSL))
Windows 2000 SP4, XP SP1 (distance 7, link: pppoe (DSL))
Windows 2000 SP4, XP SP1 (distance 7, link: pppoe (DSL))
Windows 2000 SP4, XP SP1 (distance 7, link: pppoe (DSL))
OpenBSD 3.0-3.4 (up: 2998 hrs) (distance 8, link: ethernet/modem)
Windows 2000 SP4, XP SP1 (distance 15, link: ethernet/modem)
OpenBSD 3.0-3.4 (up: 627 hrs) (distance 8, link: ethernet/modem)
Windows 2000 SP4, XP SP1 (distance 7, link: pppoe (DSL))
OpenBSD 3.0-3.4 (up: 627 hrs) (distance 8, link: ethernet/modem)
OpenBSD 3.0-3.4 (up: 627 hrs) (distance 8, link: ethernet/modem)
OpenBSD 3.0-3.4 (up: 627 hrs) (distance 8, link: ethernet/modem)
OpenBSD 3.0-3.4 (up: 627 hrs) (distance 8, link: ethernet/modem)
Linux 2.5 (sometimes 2.4) (4) (NAT!) (up: 216 hrs) (distance 6, link: sometimes DSL (4))
Linux 2.5 (sometimes 2.4) (4) (NAT!) (up: 216 hrs) (distance 6, link: sometimes DSL (4))
Windows 2000 SP2+, XP SP1 (seldom 98 4.10.2222) (distance 7, link: ethernet/modem)
Windows 2000 SP2+, XP SP1 (seldom 98 4.10.2222) (distance 7, link: ethernet/modem)
Windows 2000 SP2+, XP SP1 (seldom 98 4.10.2222) (distance 7, link: ethernet/modem)
OpenBSD 3.0-3.4 (up: 627 hrs) (distance 8, link: ethernet/modem)
Linux 2.5 (sometimes 2.4) (4) (NAT!) (up: 216 hrs) (distance 6, link: sometimes DSL (4))
Linux 2.5 (sometimes 2.4) (4) (NAT!) (up: 216 hrs) (distance 6, link: sometimes DSL (4))
Linux 2.5 (sometimes 2.4) (4) (NAT!) (up: 216 hrs) (distance 6, link: sometimes DSL (4))
Linux 2.5 (sometimes 2.4) (4) (NAT!) (up: 216 hrs) (distance 6, link: sometimes DSL (4))
UNKNOWN [S4:45:1:56:M1460,N,N,T:.:?:?] (up: 4205 hrs) (link: ethernet/modem)
Solaris 8 (1) (distance 10, link: ethernet/modem)
Linux 2.5 (sometimes 2.4) (4) (NAT!) (up: 216 hrs) (distance 6, link: sometimes DSL (4))
Windows 2000 SP4, XP SP1 (distance 8, link: ethernet/modem)
Windows 2000 SP4, XP SP1 (distance 8, link: ethernet/modem)
Windows 2000 SP4, XP SP1 (distance 8, link: ethernet/modem)
Windows 2000 SP2+, XP SP1 (seldom 98 4.10.2222) (distance 7, link: ethernet/modem)
Windows 2000 SP2+, XP SP1 (seldom 98 4.10.2222) (distance 7, link: ethernet/modem)
OpenBSD 3.0-3.4 (up: 627 hrs) (distance 8, link: ethernet/modem)
Linux 2.5 (sometimes 2.4) (4) (NAT!) (up: 216 hrs) (distance 6, link: sometimes DSL (4))
Windows 2000 SP4, XP SP1 (distance 7, link: sometimes DSL (3))
Linux 2.5 (sometimes 2.4) (4) (NAT!) (up: 216 hrs) (distance 6, link: sometimes DSL (4))
Linux 2.5 (sometimes 2.4) (4) (NAT!) (up: 216 hrs) (distance 6, link: sometimes DSL (4))
OpenBSD 3.0-3.4 (up: 627 hrs) (distance 8, link: ethernet/modem)
OpenBSD 3.0-3.4 (up: 627 hrs) (distance 8, link: ethernet/modem)
OpenBSD 3.0-3.4 (up: 627 hrs) (distance 8, link: ethernet/modem)
OpenBSD 3.0-3.4 (up: 627 hrs) (distance 8, link: ethernet/modem)
Windows 2000 SP2+, XP SP1 (seldom 98 4.10.2222) (distance 13, link: ethernet/modem)
Windows 2000 SP2+, XP SP1 (seldom 98 4.10.2222) (distance 13, link: ethernet/modem)
Windows 2000 SP2+, XP SP1 (seldom 98 4.10.2222) (distance 6, link: ethernet/modem)
Windows 2000 SP2+, XP SP1 (seldom 98 4.10.2222) (distance 6, link: ethernet/modem)
Linux 2.4/2.6 <= 2.6.7 [high throughput] (up: 3860 hrs) (distance 15, link: unknown-1470)
Windows 2000 SP4, XP SP1 (distance 9, link: ethernet/modem)
Windows XP Pro SP1, 2000 SP3 (NAT!) (distance 8, link: unknown-1472)
Windows 2000 SP2+, XP SP1 (seldom 98 4.10.2222) (distance 6, link: ethernet/modem)
Windows 2000 SP4, XP SP1 (distance 9, link: ethernet/modem)
Windows 2000 SP4, XP SP1 (distance 9, link: ethernet/modem)
Windows XP/2000 [GENERIC] Signature: [32000:122:1:48:M1414,N,N,S:.:Windows:?] (distance 6, link: sometimes DSL (4))
Windows XP/2000 [GENERIC] Signature: [32000:122:1:48:M1414,N,N,S:.:Windows:?] (distance 6, link: sometimes DSL (4))
OpenBSD 3.0-3.4 (up: 705 hrs) (distance 18, link: ethernet/modem)
Cisco Content Engine (distance 7, link: ethernet/modem)
Solaris 8 (1) (distance 10, link: ethernet/modem)
Windows 2000 SP4, XP SP1 (distance 6, link: sometimes DSL (4))
Windows 2000 SP4, XP SP1 (distance 6, link: sometimes DSL (4))
OpenBSD 3.0-3.4 (up: 2998 hrs) (distance 8, link: ethernet/modem)
Linux 2.5 (sometimes 2.4) (4) (NAT!) (up: 217 hrs) (distance 6, link: sometimes DSL (4))
Windows 2000 SP4, XP SP1 (distance 15, link: GPRS, T1, FreeS/WAN)
OpenBSD 3.0-3.4 (up: 627 hrs) (distance 8, link: ethernet/modem)
OpenBSD 3.0-3.4 (up: 627 hrs) (distance 8, link: ethernet/modem)
Windows 2000 SP2+, XP SP1 (seldom 98 4.10.2222) (distance 7, link: unknown-1448)
Windows 2000 SP4, XP SP1 (distance 15, link: GPRS, T1, FreeS/WAN)
Windows 2000 SP2+, XP SP1 (seldom 98 4.10.2222) (distance 7, link: unknown-1448)
Windows 2000 SP2+, XP SP1 (seldom 98 4.10.2222) (distance 6, link: pppoe (DSL))
Windows 2000 SP2+, XP SP1 (seldom 98 4.10.2222) (distance 6, link: pppoe (DSL))
Windows 2000 SP2+, XP SP1 (seldom 98 4.10.2222) (distance 6, link: pppoe (DSL))
OpenBSD 3.0-3.4 (up: 627 hrs) (distance 8, link: ethernet/modem)
Windows 2000 SP2+, XP SP1 (seldom 98 4.10.2222) (distance 6, link: pppoe (DSL))
Windows 2000 SP4, XP SP1 (distance 15, link: ethernet/modem)
Windows 2000 SP4, XP SP1 (distance 15, link: ethernet/modem)
Windows 2000 SP2+, XP SP1 (seldom 98 4.10.2222) (distance 6, link: ethernet/modem)
Windows 2000 SP2+, XP SP1 (seldom 98 4.10.2222) (distance 6, link: ethernet/modem)
Omhoog
Gebruikersavatar
Styno
Elite Poster
Elite Poster
Berichten: 1440
Lid geworden op: 06 nov 2003, 17:38
Locatie: Somewhere over the rainbow....

Je was me voor Zimmy ;) Het ging hem inderdaad niet over het feit of het al dan niet correct was (dat was maar om volldig te zijn).
echo '[q]sa[ln0=aln256%Pln256/snlbx]sb3135071790101768542287578439snlbxq'|dc
echo '16i[q]sa[ln0=aln100%Pln100/snlbx]sbA0D4D465452snlbxq'|dc
Afbeelding
Omhoog
Plaats reactie

Terug naar “Algemeen Internet-Gebruik”