On 2018-11-02, Mateusz Viste <mateusz@nie.pamietam> wrote:
> On Fri, 02 Nov 2018 04:02:17 +0000, Marcin Debowski wrote:
>> Nb. czytałem jakiś czas temu o bardzo ciekawym ataku opierającym się
>> (OIDP) własnie na odczycie stanu licznika - sprawdzane było w ten sposób
>> z jakim hostem łączył się atakowany serwer czy tez jakie zaszło
>> zdarzenie (modyfikujące lub nie licznik).
>
> Licznik TTL to średnio interesujące źródło informacji, a sam jego odczyt
> ciężko uznać za "atak". Swoją drogą, jego wartość faktycznie pozwala
> odgadnąć (z dużą dozą tolerancji) typ systemu operacyjnego który chowa
> się za danym adresem. Ale to informacja tak czy inaczej bardzo luźna,
> dużo lepsze wyniki w tym kontekście daje analiza flag, które host ustawia
> podczas hand-shake'u TCP (tzw. "TCP fingerprinting").
To nie było takie proste, ale nie moge obie przypomnieć teraz
szczegółów. Jak odgrzebię to zapodam.
--
Marcin
|