ネットワークスキャンツールのOS検出機能を無効にすることはできますか?
Nmapなどのネットワークスキャンツールには、下位レベルのシステムの詳細に基づいてオペレーティングシステムのバージョンを推測する機能があります。 EG:TCP/IPスタックの動作など。これらのツールをだまして、間違ったOSを報告したり、OSを正しく検出できないように混乱させたりする既知の方法はありますか?
OS識別機能をだます方法は多岐にわたり、ツールに組み込まれている機能の量に応じて、さまざまな程度で機能します。
たとえば、nmapは1つの識別メカニズムを使用するだけでなく、それに発表されたいくつかの信頼性%ageが OS識別 であると確信しています。
Nmapは一連のTCPおよびUDPパケットをリモートホストに送信し、応答のほぼすべてのビットを検査します。TCP ISNサンプリングなどの数十のテストを実行した後、TCPオプションのサポートと順序付け、IP IDサンプリング、および初期ウィンドウサイズチェック、Nmapは、結果をそのnmap-os-dbデータベースと比較します。 2,600を超える既知のOSフィンガープリント。一致がある場合は、OSの詳細を出力します。
一部のツールは1つの署名のみを検索します。たとえば、バナーを取得するため、バナーまたは署名を偽装するだけでだまされやすくなります。
したがって、OSの検出をだましたい場合は、TCPフレームサイズ、キープアライブ機能、パケット番号シーケンス、サービスバナーなど)のかなり包括的なセットを確認する必要があります。
そして、それらすべてを変更します...これはかなり難しい場合があります。
代わりに、ある種のプロキシの使用を検討しますか?プロキシの構成に応じて、スキャンツールはプロキシ上のOSを識別します。これは、軽減しようとしているリスクを軽減または削除するのに十分な場合があります。
いくつかのトリックがあり、そのうちのいくつかは「公式」の nmap本 または 古い記事 で詳しく説明されています。それほど技術的な知識がなくてもできる最も簡単なことは、次のとおりです。
- アクセスしてはならないファイアウォールのIPアドレス。
- オフにする ICMPエコー。
より洗練されたものが必要な場合は、Linuxマシンで IP Personality などの製品を使用して、重要なTCP/IP応答を変更できます。
このような製品はマシンのTCP/IP動作を変更し、特定の動作を期待する他のマシンとの相互運用性の問題を引き起こす可能性があることに注意してください。また、これはパッシブフィンガープリントの助けにはなりません。パッシブフィンガープリントは、(パッシブに)送信するパケットを調べて、OSを推測します(送信されたバナー、要求されたサービスなどから)。