OSXでのTCP / IPスタックOSフィンガープリント攻撃のスプーフィング

Question

「パッシブOSフィンガープリント」攻撃に対してAndroid OSを偽装するには、OSXフィンガープリントを変更する必要があります。

Windowsマシンには tools/guides があり、Mac OSXマシンでは見つかりません:(

Torブラウザーを使用してWebサイトを閲覧しても、この攻撃は機能します！

Seb B. · Answer

短い回答：私はエキスパートではないため、数回のクリックで必要な機能を実行するMacOSXのツールを知りません。 OS。

長い答え：
MacOSXのPFでOSFPをブロック/混乱させる可能性があります（テストされていません）。 OpenBSDのパケットフィルターは、Apple（Yosemite以降））によって移植されました。リンクの例では、OpenBSDにあります。

前：

# nmap -O puffy Starting nmap 3.48 ( http://www.insecure.org/nmap/ ) at 2003-12-02 19:14 MST Interesting ports on puffy (192.168.0.42): (The 1653 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 13/tcp open daytime 22/tcp open ssh 37/tcp open time 113/tcp open auth Device type: general purpose Running: OpenBSD 3.X OS details: OpenBSD 3.0 or 3.3 Nmap run completed -- 1 IP address (1 Host up) scanned in 24.873 seconds

後：

# nmap -O puffy Starting nmap 3.48 ( http://www.insecure.org/nmap/ ) at 2003-12-02 22:56 MST Interesting ports on puffy (192.168.0.42): (The 1653 ports scanned but not shown below are in state: closed) PORT STATE SERVICE 13/tcp open daytime 22/tcp open ssh 37/tcp open time 113/tcp open auth No exact OS matches for Host (If you know what OS is running on it, see http://www.insecure.org/cgi-bin/nmap-submit.cgi). TCP/IP fingerprint: SInfo(V=3.48%P=i686-pc-linux-gnu%D=12/2%Time=3FCD7B3F%O=13%C=1) TSeq(Class=TR%IPID=RD%TS=2HZ) T1(Resp=Y%DF=Y%W=403D%ACK=S++%Flags=AS%Ops=MNWNNT) T2(Resp=Y%DF=Y%W=0%ACK=S%Flags=AR%Ops=) T3(Resp=Y%DF=Y%W=0%ACK=O%Flags=AR%Ops=) T4(Resp=Y%DF=Y%W=4000%ACK=O%Flags=R%Ops=) T5(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=) T6(Resp=Y%DF=Y%W=0%ACK=O%Flags=R%Ops=) T7(Resp=Y%DF=Y%W=0%ACK=S++%Flags=AR%Ops=) PU(Resp=Y%DF=N%TOS=0%IPLEN=38%RIPTL=134%RID=E%RIPCK=F%UCK=E%ULEN=134%DAT=E) Nmap run completed -- 1 IP address (1 Host up) scanned in 27.028 seconds

構成ファイル：/etc/pf.conf
ルール：

set block-policy return block in log quick proto tcp flags FUP/WEUAPRSF block in log quick proto tcp flags WEUAPRSF/WEUAPRSF block in log quick proto tcp flags SRAFU/WEUAPRSF block in log quick proto tcp flags /WEUAPRSF block in log quick proto tcp flags SR/SR block in log quick proto tcp flags SF/SF

Steffen Ullrich · Answer

Torブラウザーを使用してWebサイトを閲覧しても、この攻撃は機能します。

ここは間違っていると思います。

あなたはTCP/IPスタックのフィンガープリントについて話していて、Torを使用すれば元のOSもこの方法で検出できると主張しています。しかし、Torノードはルーターのように単純にパケットを転送するのではなく、データがユーザー空間に再パッケージ化され、毎回新しいTCP/IP接続を利用できます。したがって、TCP/IPレベルでフィンガープリントを使用して確認する必要があるのは、多くても出口ノードのOSです。これはまた、Torを使用している場合、OSのTCP=設定を変更しても、フィンガープリントに関する影響はないはずです。

Torを介してでもOSを検出したと主張するいくつかのサイトをチェックした可能性があるため、このサイトへのリンクを共有して、検出が実際にどのように行われるかを確認することをお勧めします。