OS Fingerprinting con Xprobe2

INFORMACIÓN:

El OS Fingerprinting es una técnica que consiste en analizar las huellas que deja un sistema operativo en sus conexiones de red. Está basada en los tiempos de respuesta a los diferentes paquetes, al establecer una conexión en el protocolo TCP/IP, que utilizan los diferentes sistemas operativo.

Los programas que se utilizan para realizar OS Fingerprinting se basan en dos filosofías, escáner pasivo o activo: 

En un escáner activo la herramienta envía paquetes esperando una respuesta del sistema operativo y la compara con su base de datos. Suele usar técnicas como: inundación de paquetes SYN, envió de flags TCP incorrectos, envió de paquetes FIN… Estas técnicas son fáciles de detectar.

En un escáner pasivo la herramienta escucha el trafico para identificar las maquinas que actúan en la red comparando sus tiempos de respuesta pero sin actuar en la red. Es una técnica más difícil de detectar pero tiene dos inconvenientes: algunas veces hay que esperar mucho tiempo si el sistema que queremos identificar no envía paquetes, no podemos identificarlo y al no enviar peticiones la herramienta no genera respuestas esto limita su acción al ámbito de broadcast, se puede solucionar con técnicas de envenenamiento de la cache ARP.

De todas formas una de las herramientas en stock para cualquier pen-tester es Xprobe generalmente conocido ahora como Xprobe2 - algo de su lógica ha sido absorbido por Nmap y es básicamente una  herramienta activa OS Fingerprinting que envía datos reales a la máquina.


CARACTERÍSTICAS DE XPROBE2:

• Escaneo de puertos ya está disponible a través del comando -T(TCP) y -U(UDP).
• La opción -B ("blind port guess") se utiliza para la búsqueda de un puerto TCP entre los siguientes puertos: 80,21, 25, 22, 139.

UBICACIÓN:

• Aplicaciones - BackTrack - Information Gathering - Network Analysis - OS Fingerprinting - xprobe

OPCIONES:

• -v Ser detallado.
• -r Mostrar ruta al destino (traceroute)
• -p Especificar número de puerto, el protocolo y el estado. Ejemplo: tcp: 23:open, UDP: 53:closed
• -c Especifique fichero de configuración a usar.
• -h Muestra las opciones de ayuda.
• -o Usar archivo de registro para registrar todo.
• -t Ajuste inicial, recibir tiempo de espera o de ida y vuelta.
• -s Establecer packsending (milseconds). 
• -d Especificar el nivel de depuración.
• -D Desactivar <modnum> módulo número.
• -M Módulo Enable <modnum> número.
• -L módulos de visualización.
• -m Especifique el número que desea imprimir.
• -T Enable TCP portscan para puerto especificado (s). Ejemplo: -T21-23, 53.110.
• -U Enable UDP portscan para puerto especificado (s).
• -f  Fuerza fija el tiempo de ida y vuelta (-t opt).
• -F Generar firma (use -o para guardar en un archivo).
• -X Generar salida XML y guardarlo en el archivo de registro especificado con -o.
• -B Opcion de bruteforce para tratar de adivinar los puertos TCP abiertos.
• -A Realizar el análisis de los paquetes de muestras recogidas durante portscan, a fin de detectar trafico sospechoso (es decir, los proxis, firewalls/NIDSs) se usa con el comando -T.

EJEMPLOS:

• xprobe2 -v www.facebook.com

• xprobe2 -r www.underc0de.org 

Xprobe, incluso en su versión beta es una buena prueba de concepto de que la herramienta debe ayudar a sensibilizar a la comunidad acerca de la seguridad ICMP. También es útil cuando usted quiere saber más acerca de una máquina Windows, reportado como nmap. Próximas versiones de Xprobe debe ser más inteligente en la presencia de dispositivos de filtrado.

Espero les sirva, saludos.

Fuentes de Información:

http://vtroger.blogspot.com/2009/11/herramienta-de-os-fingerprinting.html

http://sourceforge.net/apps/mediawiki/xprobe/index.php?title=Main_Page

http://www.sans.org/security-resources/idfaq/xprobe.php