بصمات انظمة التشغيل Os fingerprinting

الجزئ الثاني

السلام عليكم بعض انقطاع عن الكتابة مدة لا بأس بها من الزمن اقدم اعتذاري لقراء المدونة و خاصة الذين كانوا ينتظرون الجزئ الثاني او تكملة هذا الموضوع المعقد في الجزئ الاول كنت قد   تحدثت عن  الغرض من تحليل او التعرف على بصمات انظمة التشغيل و كذلك قدمت شرح بسيط عن بروتوكول TCP و كذلك بروتوكول  IP  و قمت باعطاء نظرة عن حزم البيانات , اليوم  سنتعمق في التعرف على الطرق التي يستخدمها خبراء السيكيوريتي قبل ذلك اريد توضيح ان تمييز نظام من آخر لا يعتمد على قواعد محددة  يمكنك الآن برمجة اداة تختلف كليا عن الادوات الموجودة اذا استطعت تحديد وجه اختلاف بين نظامين كان تقول نظام ويندوز يقوم بعمل كذا اذا كانت الظروف كذا , او ان تقول نظام لينوكس يرسل كذا اذا ارسلت له كذا , بما اننا هنا نريد تحديد  ماهية النظام البعيد Remote System لن نتمكن من ذلك بدون تحليل حزم البروتوكولات القياسية التي تنظم اتصالنا به درسنا اليوم سيقوم بعرض اهم الطرق التي ظهرت للتفريق بين انظمة التشغيل في الدرس السابق رأينا ان ال Fingerprinting ينقسم الى قسمين   Active و Passive  سأحاول اليوم التعمق في شرحهما

Active OS Fingerprinting 

 انظمة التشغيل تختلف في طريقة زرعها لكومة بروتوكولات الشبكة Networking Stack وهذا الاختلاف يظهر عندما نقوم بقصفها بحزم غير قياسية لا تحترم القواعد الموثقة في RFC التصرف الذي سيظهر عليها متباين من نظام الى آخر هذا التباين هو الذي يحدد التواقيع بعد تجربة دامت سنوات تم جمع الكثير من التواقيع وضعت في قواعد بيانات تستخدمها الادوات المتخصصة مثل Nmap   على سبيل المثال توجد اداة تدعى ring  تعتمد على بروتوكول TCP تستخدم تقنية جميلة و ذلك بارسال حزمة SYN لبدأ جلسة TCP و عندما يصلها الرد بحزمة SYN-ACK تبقى هادئة اي انها لا ترسل حزمة  ACK لاتمام عملية المصافحة الثلاثية , تصرف النظام البعيد بعد مدة من الزمن يمكن اعتباره توقيع او بصمة لهذه التقنية , مثلا النظام A قد يعيد ارسال حزمة SYN-ACK  على اعتبار انها ضاعت في المرة الاولى بينما النظام B قد يتوقف و يقوم بانهاء الاتصال , الانظمة التي تعيد عملية ارسال SYN-ACK يمكن التفريق بينها بعدد المحاولات قبل ان تستسلم و هكذا  من التواقيع التي تكتشفها هذه الاداة هو توقيع windows  98  و الذي يقوم بثلاث محاولات قبل الاستسلام فبعد المحاولة الاولى يتظر 3 ثواني ثم ينتظر6  ثواني قبل الثانية بعد ذلك 12 ثانية, هناك اداة اخرى تعتمد على بروتوكول ARP تدعى Induce-ARP هذا الاداة كما يظهر من اسمها تعمل في الطبقة الثانية من نظام OSI  اي  طبقة الربط Link Layer  اداتنا هذه تقوم بارسال حزمة ICMP مفبركة تحمل عنوان IP  لا ينتمي الى الشبكة بعد ان تصل الحزمة الى الهدف يقوم ببث Broadcast  لحزمة من نوع ARP Request   لطلب العنوان الفيزيائي MAC  Adress  لهذا الآيبي هذا البث لن يجيب عليه اي جهاز لان العنوان لا ينتمي الى الشبكة مما سيقود الى احتمالين اما ان يقوم الهدف بالاستسلام او ان يحاول مرة اخرى, بعد التجربة لوحظ ان نظام لينوكس Linux و Solaris  يعيدان المحاولة مرة اخرى بينما الانظمة الاخرى تستسلم عند الطلب الاول من هذا نستنتج ان هذه الطريقة يمكنها تحديد ان النظام يمكن ان يكون اما لينوكس و اما سولاريس , لوحظ ايضا ان سولاريس يحاول 6 مرات و لينوكس يعيد المحاولة 3 مرات هناك الكثير من التقنيات التي تم اكتشافها , من ابرز الادوات التي تستخدم تقنيات متقدمة اداة Nmap  السالفة الذكر فهي تعتمد على الكثير من الاشياء المتعلقة بحزم البيانات منها على سبيل المثال حقول الحزمة و الاعلام Flags  سنراها ان شاء الله في المواضيع القادمة ما رأينا حتى الآن يدخل في قسم Active OS Fingerprinting  لاننا نتفاعل مع النظام و نرسل الحزم اليه عيب هذه الطرق هو سهولة اكتشافها من قبل نظام اكتشاف الاختراق IDS  فهو بدوره يزرع فيه تواقيع لانواع الفحص و الهجوم في الدرس القادم سنرى القسم الآخر Passive OS Fingerprinting
مع تحياتي …

تعليق واحد

Filed under Uncategorized

One response to “بصمات انظمة التشغيل Os fingerprinting

  1. kamel

    استاذ اهوز , هل وردت عليك كلمه حثاله من قبل , لا اعني الاهانة ولاكني اقصد بها نفسي , ان امثالى ممن يحاولون تعلم كل شيء ويتقنون الف شيء ولا يجدون عملا في اي شيء لهم نصيب مدمر من الاحباط , و الذي قد يقودهم الى الجنون و الانتحار في بعض الاحيان , وعندما يجدون الدنيا اظلمت عليهم وفجأة , يجدون نور شمعة يضيء لهم الطريق املاً , و اني لأقول انك الشمعة التى اضائت طريقي الان .
    حقا اريد ان اقراء المزيد من هذة المدونة , و ارى نور الشمس الذي يمكنك ان تريني اياه , اشكرك من كل قلبي على هذة المدونة , وتحياتي اليك من كل قلبى الذي يفخر بقرائتها , شكرا لك .

اترك رد

إملأ الحقول أدناه بالمعلومات المناسبة أو إضغط على إحدى الأيقونات لتسجيل الدخول:

شعار ووردبريس.كوم

أنت تعلق بإستخدام حساب WordPress.com. تسجيل خروج   /  تغيير )

Google photo

أنت تعلق بإستخدام حساب Google. تسجيل خروج   /  تغيير )

صورة تويتر

أنت تعلق بإستخدام حساب Twitter. تسجيل خروج   /  تغيير )

Facebook photo

أنت تعلق بإستخدام حساب Facebook. تسجيل خروج   /  تغيير )

Connecting to %s