Journal L'art d'accoucher les Systèmes d'Exploitations

Posté par  .
Étiquettes :
0
24
avr.
2003
Presque 'oublié' en ces temps de Super-DMCA, Xprobe nous arrive en version 2.0.1.

Xprobe est un outils de prise d'emprunte (Fingerprinting) utilisant une base de signature. Les résultats sont affiché sous la forme d'un tableau de probabilité (Linux 2.4 à 97%, Linux 2.2 à 95%, etc.). La prise d'emprunte étant inutile aux kiddies, il s'agit d'un outils à vocation scientifique, utile à l'administrateur dans ses tests d' IP Personality ou au bricoleur faisant mumuse avec sa pile TCP/IP. Nos amis du Michigan et de Illinois n'étant pas des "citoyens modèles", il semble peu utile qu'ils le téléchargent.

---[download]
http://www.sys-security.com/archive/tools/xprobe2/xprobe2-0.1.tar.gz

MD5SUM: 91e79394e82d6742532be17670d88427
SHA1: adae3716158a40eaffff6fd6db6d5fb5d4cee101

Xprobe est également disponible sous debian GNU/Linux (apt-get install xprobe)

A noter l'excellent document accompagnant la parution originale d'Xprobe2, l'article dans Phrack, ceux aux BlackHat...

---[download] *.PDF
http://www.sys-security.com/archive/papers/Xprobe2.pdf
http://www.sys-security.com/archive/phrack/p57-0x07

---[le reste]
http://www.sys-security.com/html/projects/X.html

  • # Re: L'art d'accoucher les Systèmes d'Exploitations

    Posté par  . Évalué à 4.

    Question naïve, celà apporte-t'il quelquechose de plus que l'option
    -O de nmap qui permet aussi de faire de la prise d'empreintes.
    Chez moi, celà roduit ceci :

    Remote operating system guess: Linux Kernel 2.4.0 - 2.5.20
    Uptime 0.770 days (since Wed Apr 23 07:49:44 2003)
    TCP Sequence Prediction: Class=random positive increments
    Difficulty=3398318 (Good luck!)
    IPID Sequence Generation: All zeros

    • [^] # Re: L'art d'accoucher les Systèmes d'Exploitations

      Posté par  . Évalué à 1.

      un résultat plus fin, moins de problèmes avec les firewall, les parasites, une topologie réseau exotique, l'utilisation exlusive du protocole ICMP, etc.

      Je signale d'ailleur l'article de David Barroso Berrueta disponible en GNU/FDL nommé "A practical approach for defeating Nmap OS-Fingerprinting" qui est assez explicite sur les "carrances" du flag -O d'nmap
      http://www.l0t3k.org/biblio/fingerprinting/english/defeating_nmap.h(...)

      Dans le cadre d'une attaque, il peut être judicieux de n'utiliser aucun outils d'identification et forger ses propres paquets ICMP pour identifier "à la main" l'os distant. Dans ce cas, la doc d'Xprobe2 aura le mérite de transformer kiddy2000 en super kiddy2000, stade ultime avant la sacro sainte "class A"... Du crack "avec classe" monsieur 8)

      En illustration, cette méthode laisse de marbre mes sondes IDS, pas nmap.


      En illustration, cette méthode laisse de marbre mes sondes IDS, pas nmap.

      arf, suppression temporaire des restrictions de niveau 12 : mauvaise configuration de l'IDS ; désactivation temporaire d'ICMP Reply ; réévaluation des besoins ; désintegration de l'Administrateur.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.