OS-Fingerprinting

OS-Fingerprinting

Unter dem Begriff OS-Fingerprinting (englisch für „Betriebssystem-Fingerabdruck“), spezieller auch TCP/IP-Stack-Fingerprinting (englisch für „TCP/IP-Protokollstapel-Fingerabdruck“), versteht man die Erkennung von Betriebssystemen durch die Beobachtung diverser Reaktionsweisen der Systeme im Netzwerk aus der Ferne. Zur Erkennung des Betriebssystems können aktive, als auch passive Methoden Verwendung finden.

Über den TCP/IP-Protokollstapel das Betriebssystem zu ermitteln ist bei beiden Methoden möglich; zusätzlich kann bei der aktiven Variante noch der Banner eines Programmes analysiert werden.

Inhaltsverzeichnis

TCP/IP-Protokollstapel

Eine weitverbreitete Methode der Betriebssystem-Analyse ist jene mittels TCP/IP-Protokollstapel. Dabei wird die Eigenschaft genutzt, dass jedes Betriebssystem seine eigene TCP/IP-Protokollstapel-Implementierung hat, dessen Einstellungen sich im Header von Netzwerkpaketen finden und die sich von denen anderer Betriebssysteme unterscheiden. Folgende Felder variieren innerhalb verschiedener Implementierungen:

Zusammen ergeben die Daten eine 67-Bit-Signatur.

Den TCP/IP-Protokollstapel zu analysieren ist aber nicht immer erfolgreich, weil sich bei vielen Betriebssystemen die obigen Felder konfigurieren lassen, wodurch man sich sogar als ein anderes Betriebssystem ausgeben kann, als man eigentlich nutzt.

Passiv

Passive Methoden zeichnen sich dadurch aus, dass sie absolut latent durchgeführt werden können. Bei diesen Methoden wird ausschließlich der ablaufende Datenverkehr zwischen dem Beobachter und dem Zielsystem bewertet und analysiert. So kann beispielsweise eine einfache Websitzung durch die gleichzeitige Analyse durch ein passives OS-Fingerprinting detaillierte Informationen zu einem Zielsystem offerieren.

Aktiv

Aktive Methoden zeichnen sich dadurch aus, dass sie die Initiative ergreifen und Daten zum Zielhost übertragen, in der Hoffnung, dass aus der daraus resultierenden Antwort eine Analyse möglich ist. Daher ist diese Methode aggressiver Natur und wird nicht immer gerne gesehen. Ebenfalls ist es für Intrusion Detection Systems (IDS) möglich, laufende aktive Fingerprintings zu identifizieren.

Neben der oben erwähnten Methode mittels TCP/IP-Protokollstapel ist es auch möglich, das Betriebssystem mittels des sogenannten Banners herauszufinden. Banner sind Textzeilen, mit denen sich beispielsweise HTTP- oder FTP-Dienste beim Verbindungsaufbau zu erkennen geben. Ein Banner enthält im günstigsten Fall sowohl Informationen über den entsprechenden Dienst als auch über das Betriebssystem. Diese Technik wird auch als Banner Grabbing bezeichnet und steht auch manchen Portscannern zur Verfügung.

Beispiel mit telnet und FTP:

$ telnet localhost 21
Trying 127.0.0.1...
Connected to ftp.localhost.
Escape character is '^]'.
220 Super FTP Service

Beispiel mit netcat:

$ nc 127.0.0.1 22
SSH-2.0-OpenSSH_4.5p1 FreeBSD-20061110

Ein Banner-Grabbing ist aber nicht immer erfolgreich, weil viele Programme entweder die Möglichkeit besitzen, den Banner zu deaktivieren oder zu editieren, wodurch man entweder keine Informationen erhält oder ein anderes Betriebssystem suggeriert wird als tatsächlich benutzt wird.

OS-Fingerprinting-Werkzeuge

  • p0f (passiv)
  • Ettercap (aktiv)
  • xprobe2 (aktiv)
  • nmap (aktiv)
  • AutoScan-Network (aktiv)

Weblinks


Wikimedia Foundation.

Игры ⚽ Нужно сделать НИР?

Schlagen Sie auch in anderen Wörterbüchern nach:

  • Fingerprinting — (englisch) bezeichnet übertragen vom Fingerabdruck Methoden, um zwei Personen oder Dinge anhand bestimmter Merkmale (Fingerprint, dt. „Fingerabdruck“) voneinander unterscheiden zu können, etwa: Acoustic Fingerprinting oder Audio Fingerprinting… …   Deutsch Wikipedia

  • fingerprinting — n. The procedure of taking inked impressions of a person s fingerprints. [WordNet 1.5] …   The Collaborative International Dictionary of English

  • fingerprinting — fingerprinting. См. метод отпечатков пальцев. (Источник: «Англо русский толковый словарь генетических терминов». Арефьев В.А., Лисовенко Л.А., Москва: Изд во ВНИРО, 1995 г.) …   Молекулярная биология и генетика. Толковый словарь.

  • fingerprinting — Act of taking an impression of a person s fingerprint. Because each person s fingerprints are unique, fingerprinting is used as a method of identification, especially in police investigations. The standard method of fingerprint classification was …   Universalium

  • Fingerprinting (WLAN) — Unter Fingerprinting in WLANs versteht man das Aufzeichnen von vorhandenen WLAN Signalen an einem bestimmten Ort und zu einer bestimmten Zeit. In der Regel werden so genannte, von WLAN Routern ausgestrahlte „Broadcasts“ aufgezeichnet. Durch… …   Deutsch Wikipedia

  • fingerprinting — fin|ger|print|ing [ˈfıŋgəˌprıntıŋ US gər ] n [U] the practice of making a record of people s fingerprints, and using them to try and find out who has committed a crime →↑genetic fingerprinting …   Dictionary of contemporary English

  • fingerprinting technique — DNR atspaudavimas statusas T sritis augalininkystė apibrėžtis Pirminės nukleorūgščių struktūros analizės metodas. atitikmenys: angl. fingerprinting technique rus. фингерпринтинг …   Žemės ūkio augalų selekcijos ir sėklininkystės terminų žodynas

  • fingerprinting — atspaudavimas statusas T sritis augalininkystė apibrėžtis Pirminės baltymų arba nukleorūgščių struktūros analizės metodas. atitikmenys: angl. fingerprinting rus. фингерпринтинг …   Žemės ūkio augalų selekcijos ir sėklininkystės terminų žodynas

  • fingerprinting — See: DNA fingerprinting …   Glossary of Biotechnology

  • fingerprinting — noun see fingerprint …   New Collegiate Dictionary

  • fingerprinting — The basic principle of the technique is to digest a large molecule with a sequence specific hydrolase to produce moderate size fragments that can then be run on an electrophoresis gel. Provided the hydrolase only cleaves at specific sites (eg.… …   Dictionary of molecular biology

Share the article and excerpts

Direct link
Do a right-click on the link above
and select “Copy Link”