On Fri, 02 Nov 2018 07:39:35 +0000, Marcin Debowski wrote:
> On 2018-11-02, Mateusz Viste <mateusz@nie.pamietam> wrote:
>> On Fri, 02 Nov 2018 04:02:17 +0000, Marcin Debowski wrote:
>>> Nb. czytałem jakiś czas temu o bardzo ciekawym ataku opierającym się
>>> (OIDP) własnie na odczycie stanu licznika - sprawdzane było w ten
>>> sposób z jakim hostem łączył się atakowany serwer czy tez jakie zaszło
>>> zdarzenie (modyfikujące lub nie licznik).
>>
>> Licznik TTL to średnio interesujące źródło informacji, a sam jego
>> odczyt ciężko uznać za "atak". Swoją drogą, jego wartość faktycznie
>> pozwala odgadnąć (z dużą dozą tolerancji) typ systemu operacyjnego
>> który chowa się za danym adresem. Ale to informacja tak czy inaczej
>> bardzo luźna, dużo lepsze wyniki w tym kontekście daje analiza flag,
>> które host ustawia podczas hand-shake'u TCP (tzw. "TCP
>> fingerprinting").
>
> To nie było takie proste, ale nie moge obie przypomnieć teraz
> szczegółów. Jak odgrzebię to zapodam.
To jest bardzo proste. Jak kto ciekawy to sięgnie po gugla i znajdzie
m.in. to:
https://en.wikipedia.org/wiki/TCP/IP_stack_fingerprinting
Mateusz
|