A l'inverse de xprobe qui possède une logique de détection codée en dur, iQ possède un fichier de signatures comme nmap. Comment sont construites ces signatures ? Quels sont les tests utilisés dans iQ ? Une vue d'ensemble de la méthode de reconnaissance d'OS par l'ICMP.
![[fr]](../images/fr.png)
Article (2238 hits)
> Lire la dépêche (27 commentaires, moyenne: 7,7).
Vous avez demandé le commentaire #113743.
Run by 
Cette page a été générée par Templeet en 0.0534s (dont 0.0039 de SQL).
Cette page est peut-être conforme xhtml 1.0.
Information sur le site.
RING
Je me permets de signaler ici l'existence de RING, un outil d'OS fingerprinting open-source développé par Intranode (http://www.intranode.com/site/techno/techno_articles.htm(...)).
Contrairement à iQ, RING reste basé sur des paquets TCP, mais seulement un SYN (et c'est tout!!!); il est donc très discret et a moins de chances d'être bloqué qu'iQ (qui chez moi ne donnerait pas grand chose...).
RING est très jeune aussi, mais il est accompagné d'un whitepaper intéressant et compile sans problèmes. Ca vaut la peine d'y jeter un oeil, tout en gardant à l'esprint que tous les outils d'OS-fingerprinting (nmap, x-probe, iQ, ring, etc.) doivent être considérés comme complémentaires plutôt que concurrents.
DaFrog
[^]Re: RING
Ring est, à mon avis, comme iQ, à l'état de prototype. Mais le principal défaut de ring est de se baser sur les temps de réponse. Il risque d'être donc inéfficace, voir de donner des réponses érronées en cas de réseau congestionné (perte de paquets), de serveur srurchargé...