systemadmin.es > Seguridad > Evitar la detección de OS en nmap con el /proc

Evitar la detección de OS en nmap con el /proc

En la documentación de nmap podemos ver que se usa una gran cantidad de factores para intentar adivinar el sistema operativo de un equipo, por lo que intentar hacer pasar un equipo por otro puede resultar complicado por la cantidad de factores a modificar. Lo que sí podemos hacer es modificar alguno para confundir complicar el análisis.

Para la detección del sistema operativo simplemente debemos indicar la opción -O con el host y obtendremos dichos detalles:

# nmap -O 192.168.1.1

Starting Nmap 5.00 ( http://nmap.org ) at 2012-08-21 19:58 CEST
Interesting ports on 192.168.1.1:
Not shown: 996 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
MAC Address: B8:AC:6F:9A:F7:D1 (Unknown)
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.9 - 2.6.27
Network Distance: 1 hop

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 1.69 seconds

El parámetro que podemos modificar fácilmente mediante el /proc es el TTL de los paquetes. El fichero que contiene dicho valor es:

# cat /proc/sys/net/ipv4/ip_default_ttl 
64

Por defecto es de 64 hops, lo podemos augmentar al doble:

# echo 128 > /proc/sys/net/ipv4/ip_default_ttl 

Con lo que ya confundiremos al nmap y nos indicará el fingerprint que ha obtenido del equipo:

# nmap -O 192.168.1.1

Starting Nmap 5.00 ( http://nmap.org ) at 2012-08-21 20:00 CEST
Interesting ports on 192.168.1.1:
Not shown: 996 closed ports
PORT     STATE SERVICE
22/tcp   open  ssh
MAC Address: B8:AC:6F:9A:F7:D1 (Unknown)
No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=5.00%D=8/22%OT=22%CT=1%CU=42516%PV=Y%DS=1%G=Y%M=B8AC6F%TM=5034839
OS:4%P=i686-pc-linux-gnu)SEQ(SP=CB%GCD=1%ISR=C9%TI=Z%CI=Z%II=I%TS=A)SEQ(SP=
OS:C9%GCD=1%ISR=D3%TI=Z%CI=Z%II=I%TS=A)OPS(O1=M5B4ST11NW7%O2=M5B4ST11NW7%O3
OS:=M5B4NNT11NW7%O4=M5B4ST11NW7%O5=M5B4ST11NW7%O6=M5B4ST11)WIN(W1=16A0%W2=1
OS:6A0%W3=16A0%W4=16A0%W5=16A0%W6=16A0)ECN(R=Y%DF=Y%T=80%W=16D0%O=M5B4NNSNW
OS:7%CC=N%Q=)T1(R=Y%DF=Y%T=80%S=O%A=S+%F=AS%RD=0%Q=)T2(R=N)T3(R=Y%DF=Y%T=80
OS:%W=16A0%S=O%A=S+%F=AS%O=M5B4ST11NW7%RD=0%Q=)T4(R=Y%DF=Y%T=80%W=0%S=A%A=Z
OS:%F=R%O=%RD=0%Q=)T5(R=Y%DF=Y%T=80%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=
OS:Y%T=80%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=80%W=0%S=Z%A=S+%F=AR%O=%
OS:RD=0%Q=)U1(R=Y%DF=N%T=80%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)
OS:IE(R=Y%DFI=N%T=80%CD=S)

Network Distance: 1 hop

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 11.96 seconds

Deja un comentario:

XHTML - Tags permitidos:<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>