On Fri, 02 Nov 2018 04:02:17 +0000, Marcin Debowski wrote:
> Nb. czytałem jakiś czas temu o bardzo ciekawym ataku opierającym się
> (OIDP) własnie na odczycie stanu licznika - sprawdzane było w ten sposób
> z jakim hostem łączył się atakowany serwer czy tez jakie zaszło
> zdarzenie (modyfikujące lub nie licznik).
Licznik TTL to średnio interesujące źródło informacji, a sam jego odczyt
ciężko uznać za "atak". Swoją drogą, jego wartość faktycznie pozwala
odgadnąć (z dużą dozą tolerancji) typ systemu operacyjnego który chowa
się za danym adresem. Ale to informacja tak czy inaczej bardzo luźna,
dużo lepsze wyniki w tym kontekście daje analiza flag, które host ustawia
podczas hand-shake'u TCP (tzw. "TCP fingerprinting").
Mateusz
|