Pasivní identifikace operačního systému

Popsali jsme aktivní metody identifikace operačního systému pomocí programů nmap a queso. Tyto metody

jsou označovány jako aktivní, protože při jejich nasazení aktivně odesíláme testovací pakety na porty

cílového systému. Toto je činnost, kterou lze poměrně jednoduše detekovat pomocí IDS nebo

monitorováním na samotném cílovém počítači. Nemůžeme tedy mluvit o nějaké neviditelné (nedetekovátelné)

technice.

Pokud chceme zůstat neodhalení, musíme použít metodu pasivního získávání stop TCP/IP implementace.

V tomto případe negenerujeme žádné testovací pakety, ale pouze pasivně monitorujeme toky dat v síti.

Monitorováním komunikace mezi dvěma síťovými zařízeními můžeme identifikovat použité operační

systémy. Zajímavý dokument na toto téma napsal Lance Spitzner (http://project.honeynet.org/papers/finger/).

Marshall Beddoe a Chris Abad dokonce vyprodukovali nástroj siphon (http://www.gravitino.

net/projects/siphon), který umožňuje pasivní mapování portů a identifikaci operačních systémů.

Popišme si, jak pasivní získávání otisků implementace TCP/IP funguje.