Пассивная дактилоскопия - это способ получить о нападающем больше сведений без риска обнаружения. Можно определить операционную систему, сервисы и приложения, действующие на удаленном хосте при помощи записей анализатора пакетов. Обычно дактилоскопию проводят посредством активных инструментов таких программ, как Quesco или Nmap. Действие этих инструментов основано на том, что IP-стек и приложения каждой операционной системы обладают уникальными свойствами и индивидуальными особенностями. Можно послать в необходимую систему ряд пробных пакетов и тщательно изучить ответы. Многие их свойства, такие как размер окна TCP по умолчанию, поддерживаемые опции TCP и характеристики сообщения об ошибке ICMP, затем сравниваются с записями в базе данных известных ответов до тех пор, пока не находится соответствие. Так как различные системы по-разному отвечают при получении пакетов определенных типов, с помощью этой информации можно единственный раз определить конкретную систему. Fyodor's Nmap Security Scanner (http://wimainsecure.org/nmap) - это отличный инструмент для активного определения операционной системы. Федор также написал подробную статью об этих программах, которую можно найти по адресу: http://vmrw.insecure.org/nmap/nmap-fingerprinting-article.html. Офир Ар-кин (Ofir Arkin) исследовал и обнаружил новый способ активного определения операционной системы на основе протокола ICMP. Его статью «ICMP Usage in Scanning» можно найти на Web-сайте по адресу: http:// www.sys-security.com. Кроме того, копии обеих статей и Nmap размещены на сайте издательства «ДМК Пресс» - http://www.dmkpress.ru.
Пассивная дактилоскопия работает по такому же принципу, но применяется по-другому. Она основывается на записях анализатора пакетов, отслеживающих трафик, сгенерированный удаленной системой. Вместо того чтобы активно посылать удаленной системе запросы, вы просто записываете отправленные из нее пакеты. Помните, Honeynet записывает все пакеты, посланные из удаленных систем. Так как это происходит неявно, без ведома взломщика, пассивная дактилоскопия не увеличивает риск того, что взломщик обнаружит соединение с honeypot. Имейте в виду, цель Honeynet не будет достигнута, если взломщик обнаружит, что он соединен с honeypot. Наша задача заключается в том, чтобы узнать о нападающем как можно больше, чтобы он оставался в неведении относительно сбора данных о нем. Мы попытаемся определить используемую взломщиком операционную систему, сервисы и, иногда, приложения. Чем больше информации мы соберем, тем лучше. Каждая операционная система пользуется собственной версией IP-стека. Для получения результатов мы будем полагаться на различия в реализации IP-стека и на уникальные «отпечатки пальцев» разных приложений.
У пассивной дактилоскопии есть ряд преимуществ перед активным сбором информации:
• мы можем действовать на всех уровнях протоколов TCP/IP;
• мы можем обнаружить системы с малым временем наработки на отказ;
• мы можем определять модели поведения;
• сбор информации происходит пассивно, удаленный пользователь не
знает о том, что мы изучаем.
Но пассивная дактилоскопия имеет и недостатки:
• не дает 100-процентной точности результатов;
• некоторые приложения создают собственные пакеты и могут не вос
производить ту же самую сигнатуру, что у самой операционной сис
темы;
• отдельные значения по умолчанию, на которые мы полагаемся, мож
но легко изменить; информация может быть ложной.
