Docsity
Docsity

Prepara i tuoi esami
Prepara i tuoi esami

Studia grazie alle numerose risorse presenti su Docsity


Ottieni i punti per scaricare
Ottieni i punti per scaricare

Guadagna punti aiutando altri studenti oppure acquistali con un piano Premium


Guide e consigli
Guide e consigli


Appunti Network Security, Appunti di Sistemi Informatici

Appunti raccolti seguendo il corso di Network Security all’università Federico II

Tipologia: Appunti

2021/2022

Caricato il 19/01/2026

marco-longobardi-9
marco-longobardi-9 🇮🇹

1 documento

1 / 225

Toggle sidebar

Questa pagina non è visibile nell’anteprima

Non perderti parti importanti!

bg1
Indice
1 Introduzione -
rfr. L01-L02
5
2 Footprinting -
rfr. L03
8
2.1 Informazionipubbliche.................................. 9
2.1.1 Pagine web dell'applicazione . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.1.2 Organizzazioni correlate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.1.3 Dettagli sulla localizzazione . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.1.4 Informazioni sui dipendenti . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
2.1.5 Eventi che coinvolgono l'organizzazione . . . . . . . . . . . . . . . . . . . . . 11
2.1.6 Meccanismi di privacy e sicurezza . . . . . . . . . . . . . . . . . . . . . . . . 11
2.1.7 Informazioni archiviate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 11
2.1.8 Motori di ricerca e relazioni tra i dati . . . . . . . . . . . . . . . . . . . . . . 11
2.2 WHOIS e DNS interrogation/enumeration . . . . . . . . . . . . . . . . . . . . . . . 11
2.2.1 WHOIS ...................................... 11
2.2.2 Interrogazione del DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
2.3 NetworkReconnaissance ................................. 13
3 Scanning -
rfr. L04
15
3.1 HostDiscovery ...................................... 15
3.1.1 PortProbing ................................... 16
3.2 PortScanning....................................... 17
3.3 Scoperta del tipo di Sistema Operativo . . . . . . . . . . . . . . . . . . . . . . . . . 19
3.3.1 Stack Fingerprinting attivo . . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
3.3.2 Stack ngerprinting passivo . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
3.4 Conservazionedeidati .................................. 21
4 Enumeration -
rfr. L05
23
4.1 Servizidiretecomuni................................... 25
4.1.1 FTP........................................ 25
1
pf3
pf4
pf5
pf8
pf9
pfa
pfd
pfe
pff
pf12
pf13
pf14
pf15
pf16
pf17
pf18
pf19
pf1a
pf1b
pf1c
pf1d
pf1e
pf1f
pf20
pf21
pf22
pf23
pf24
pf25
pf26
pf27
pf28
pf29
pf2a
pf2b
pf2c
pf2d
pf2e
pf2f
pf30
pf31
pf32
pf33
pf34
pf35
pf36
pf37
pf38
pf39
pf3a
pf3b
pf3c
pf3d
pf3e
pf3f
pf40
pf41
pf42
pf43
pf44
pf45
pf46
pf47
pf48
pf49
pf4a
pf4b
pf4c
pf4d
pf4e
pf4f
pf50
pf51
pf52
pf53
pf54
pf55
pf56
pf57
pf58
pf59
pf5a
pf5b
pf5c
pf5d
pf5e
pf5f
pf60
pf61
pf62
pf63
pf64

Anteprima parziale del testo

Scarica Appunti Network Security e più Appunti in PDF di Sistemi Informatici solo su Docsity!

Indice

  • 1 Introduzione - rfr. L01-L02
  • 2 Footprinting - rfr. L03
    • 2.1 Informazioni pubbliche
      • 2.1.1 Pagine web dell'applicazione
      • 2.1.2 Organizzazioni correlate
      • 2.1.3 Dettagli sulla localizzazione
      • 2.1.4 Informazioni sui dipendenti
      • 2.1.5 Eventi che coinvolgono l'organizzazione
      • 2.1.6 Meccanismi di privacy e sicurezza
      • 2.1.7 Informazioni archiviate
      • 2.1.8 Motori di ricerca e relazioni tra i dati
    • 2.2 WHOIS e DNS interrogation/enumeration
      • 2.2.1 WHOIS
      • 2.2.2 Interrogazione del DNS
    • 2.3 Network Reconnaissance
  • 3 Scanning - rfr. L04
    • 3.1 Host Discovery
      • 3.1.1 Port Probing
    • 3.2 Port Scanning
    • 3.3 Scoperta del tipo di Sistema Operativo
      • 3.3.1 Stack Fingerprinting attivo
      • 3.3.2 Stack ngerprinting passivo
    • 3.4 Conservazione dei dati
  • 4 Enumeration - rfr. L05
    • 4.1 Servizi di rete comuni
      • 4.1.1 FTP
      • 4.1.2 TELNET INDICE
      • 4.1.3 SMTP
      • 4.1.4 DNS
      • 4.1.5 TFTP
      • 4.1.6 HTTP
      • 4.1.7 Microsoft RPC (MSRPC)
      • 4.1.8 NetBIOS Name Service (NBNS)
      • 4.1.9 NETBIOS Session Enumeration
      • 4.1.10 SNMP
      • 4.1.11 BGP
      • 4.1.12 UNIX RPC
      • 4.1.13 IPSec/IKE
  • 5 Sicurezza nelle Reti Wireless (802.11) - rfr. slide prof. Avallone
  • 6 Attacchi a Reti Wireless - rfr. L06
    • 6.1 Passive Discovery - airodump-ng
    • 6.2 Attacchi DoS nelle reti wireless
    • 6.3 Encryption Attacks
      • 6.3.1 Attacchi a reti WPA
      • 6.3.2 Attacchi a reti WEP
    • 6.4 Authentication Attack
      • 6.4.1 Attacchi a WPA-PSK
      • 6.4.2 Attacchi a WPA Enterprise
  • 7 IPSec - rfr. L07
    • 7.1 Architettura di IPSec
      • 7.1.1 Security Association (SA)
      • 7.1.2 Modalità transport
      • 7.1.3 Modalità tunnel
    • 7.2 Authentication Header (AH)
      • 7.2.1 Attacco Replay
      • 7.2.2 Integrity Check Value (ICV)
      • 7.2.3 Message Authentication Code (MAC)
    • 7.3 Encapsulating Security Payload (ESP)
      • 7.3.1 ESP in modalità transport
      • 7.3.2 ESP in modalità tunnel
    • 7.4 Combinazione delle Security Association
      • 7.4.1 Adiacenza di trasporto
      • 7.4.2 Tunnel iterato INDICE
      • 7.4.3 Le 4 combinazioni di SA
        • 7.4.3.1 CASO 1: Host to Host security
        • 7.4.3.2 CASO 2: Gateway to Gateway security
        • 7.4.3.3 CASO 3: sicurezza end-to-end
        • 7.4.3.4 CASO 4: Host to Gateway security
        • 7.4.3.5 Ricapitolando...
    • 7.5 Gestione delle chiavi
      • 7.5.1 Il protocollo Die-Hellman
      • 7.5.2 L'algoritmo Oakley
      • 7.5.3 IKE - Internet Key Exchange
  • 8 SSL - rfr. L8
    • 8.1 Il Protocollo SSL Record
    • 8.2 Il Protocollo Change Cipher Spec
    • 8.3 Il Protocollo Alert
    • 8.4 Il Protocollo di Handshake
      • 8.4.1 Fase
        • 8.4.1.1 Metodi di Scambio delle Chiavi
        • 8.4.1.2 CipherSpec
      • 8.4.2 Fase
      • 8.4.3 Fase
      • 8.4.4 Fase
      • 8.4.5 Creazione del Master Secret
    • 8.5 TLS
    • 8.6 Il Protocollo Heartbeat
    • 8.7 HTTPS - HTTP over SSL
    • 8.8 SSH - Secure SHell
      • 8.8.1 SSH Transport Layer Protocol
      • 8.8.2 SSH User Authentication Protocol
      • 8.8.3 SSH Connection Protocol
    • 8.9 Conclusioni
  • 9 Open SSL - rfr. L08_bis
  • 10 Web Hacking - rfr. L09
    • 10.1 Sample Files
    • 10.2 Source Code Disclosure
    • 10.3 Canonicalization Attack
    • 10.4 Server Extensions INDICE
    • 10.5 Buer Overow
    • 10.6 Denial of Service
    • 10.7 Hacking di Applicazioni Web
    • 10.8 Web Crawling
    • 10.9 TOP Vulnerabilità delle Applicazioni Web
      • 10.9.1 Cross-Site Scripting (XSS)
      • 10.9.2 SQL Injection
      • 10.9.3 Cross-Site Request Forgery (CSRF)
      • 10.9.4 HTTP Response Splitting (o Injection)
      • 10.9.5 Uso malevolo degli Hidden Tag
      • 10.9.6 Server Side Includes (SSI)
  • 11 Buer Overow - rfr. L10

Capitolo 1

Introduzione - rfr. L01-L

I concetti fondamentali della sicurezza informatica vanno sotto il nome di CIA TRIAD:

  • Condentiality: l'informazione non deve essere resa disponibile ad individui, entità o processi non autorizzati.
  • Integrity: si distingue in

 data integrity: i dati non devono essere modicati, distrutti o persi  system integrity: il sistema deve lavorare libero da qualunque manipolazione non autorizzata

  • Availability: le risorse devono essere accessibili ed usabili su richiesta solo da entità autorizzate, in accordo con le speciche di performance del sistema.

Per capire come rendere un sistema più sicuro bisognaidenticare gli attacchi a cui esso può andare soggetto. Qualsiasi tipo desiderato di protezione deve essere progettato e realizzato in maniera esplicita (es. progettazione protocolli sicuri, con crittograa, autenticazione, autorizzazione e mec- canismi di difesa da attività malevoli). La maggior parte dei buchi di sicurezza è dovuta a codice difettoso. Esistono techniche di corre- zione dei bug software per prevenire che programmi difettosi messi in rete diventino vulnerabili a causa di tali bachi. Una cosa è garantire requisiti di sicurezza negli end-system, una cosa è garantire requisiti di si- curezza sui collegamenti di rete (on-the-wire). I due domini si dierenziano, e con loro anche i meccanismi di sicurezza adottati! Se è vero che gli end-system (host) sono ben controllati tramite modelli di autenticazione e di auto- rizzazione ben consolidati, non si può dire lo stesso di una rete. Tutti possono collegarsi ad una rete e la connettività può essere controllata solo in contesti molto ristretti. Inoltre le reti tipicamente

CAPITOLO 1. INTRODUZIONE - RFR. L01-L

informatica, ma molto spesso si parte da strumenti di natura non tecnica come social engineering, bribery, wiretapping (intercettazone). In un'organizzazione non bisogna mai tralasciare l'ipotesi che possono essere gli stessi insiders a costituire una plausibile minaccia: essi conoscono gli asset, i punti deboli, si trovano dietro al rewall aziendale. Gli attacchi possono essere, in generale:

  • attivi: c'è un man in the middle che modica il usso dei dati o immette nella rete ussi di dati falsi. Ci si può difendere mettendo su tecniche di rilevamente dell'attacco o di ripristino del sistema dopo eventuali danni o rallentamenti legati ad essi.
  • passivi: si ottengono semplicemente informazioni dei dati trasmessi in rete tramite inter- cettazione (eavesdropping) e monitoraggio, ad esempio con sning, così da analizzare il traco o accedere al contenuto dei messaggi.

Esistono diversi servizi di sicurezza deniti come:

  • dallo standard X.800 : un servizio fornito da un livello del protocollo di un sistema di comunicazione che assicura un'adeguata sicurezza del sistema o del trasferimento dei dati
  • dal RFC 4949 : un servizio di comunicazione o di processamento fornito da un sistema per dare uno specico tipo di protezione alle risorse di sistema

Secondo X.800 i servizi di sicurezza si racchiudono nelle seguenti categorie:

  • Autenticazione
  • Controllo degli accessi
  • Condenzialità dei dati
  • Integrità dei dati
  • Non-ripudio (dare prova dell'integrità e dell'origine dei dati, magari mediante una signature)

Come si prepara un attacco di rete?

  1. footprinting
  2. scanning
  3. enumeration

Capitolo 2

Footprinting - rfr. L

Il footprinting è la prima attività condotta per trovare ed evidenziare vulnerabilità del sistema, raccogliendo informazioni in rete utili all'elaborazione di un prolo (footprint, appunto) dettagliato delle caratteristiche di sicurezza di una determinata organizzazione come:

  • presenza in internet
  • accesso remoto alla rete dell'organizzazione
  • congurazione della intranet/extranet dell'organizzazione
  • business partner e relative relazioni

Questa è l'attività con l'impatto minore ed è del tutto lecita, vedendo il sistema come una black box. A seconda del dominio i dati di interesse cambiano: Nell'Internet/Intranet:

CAPITOLO 2. FOOTPRINTING - RFR. L

  • Motori di ricerca e relazioni tra dati relativi all'organizzazione
  • Alte informazioni utili...

2.1.1 Pagine web dell'applicazione

Tante informazioni utili sono spesso pubblicamente disponibili nei siti web delle organizzazioni come: dettagli sulle congurazioni di sicurezza, inventari completi degli asset dell'organizzazione, ecc. Inoltre, il codice HTML è pubblicamente ispezionabile e non è raro trovare informazioni sensibili magari presenti in un commento. Per analizzare accuratamente un sito web si può scriverlo in locale utilizzando tool come wget e studiarlo o-line, ricercando all'interno del clone locale del sito web informazioni nascoste come le e directory: tale operazione è automatizzabile con approccio brute force che ricercano le con estensioni di maggior interesse (es. .php, .jsp, .cgi, .asp, ecc.). DirBuster è un tool che permette tale approccio a forza bruta.

2.1.2 Organizzazioni correlate

Tramite riferimenti o link è possibile risalire ad organizzazioni correlate. E' possibile altresì trovare organizzazioni correlate nei commenti in pagine web in cui si trova l'autore del codice.

2.1.3 Dettagli sulla localizzazione

Banalmente, risalire all'indirizzo sico di un'organizzazione può risultare molto utile per sferrare attacchi non tecnici: cercare nell'immondizia (dumpster-diving), studiare la sorveglianza, fare social engineering, sono alcune delle tecniche che si possono utilizzare una volta risaliti all'indirizzo sico.

2.1.4 Informazioni sui dipendenti

Da un indirizzo e-mail è spesso facile risalire ad un nome utente, e da un nome utente si può passare alle fasi successive dell'attacco ed ottenere accesso alle risorse del sistema target. Tutti questi dati possono essere studiati a trovare una correlazione tra essi. Un tool a tale proposito è Maltego, uno strumento di social engineering capace di estrapolare informazioni a vari livelli, correlare i dati e rappresentare il risultato delle elaborazioni sotto forma di grafo sociale.

CAPITOLO 2. FOOTPRINTING - RFR. L

2.1.5 Eventi che coinvolgono l'organizzazione

Importante conosce informazioni su fusioni aziendali, acquisizioni, scandali, fallimenti, cessioni, ecc. Per il cosiddetto obbligo di trasparenza, se l'organizzazione è un'azienda pubblica, queste informazioni sono disponibili in rete.

2.1.6 Meccanismi di privacy e sicurezza

E' utile conosce informazioni sui dettagli delle policy di sicurezza adottate dall'organizzazione target, allo stesso modo di conoscere dettagli di tipo tecnico riguardo l'infrastruttura hardware e software di cui l'organizzazione si è dotata a scopi di protezione.

2.1.7 Informazioni archiviate

Esistono tool in internet, come WayBack Machine, che permette di accedere a versioni vecchie di siti Internet. Recuperare queste copie obsolete è utile per scovare dati sensibili volutamente rimossi dall'organizzazione target per motivi di sicurezza.

2.1.8 Motori di ricerca e relazioni tra i dati

Gli hacker a volte utilizzano i motori di ricerca per condurre attacchi. Ad esempio, googlando allinurl:tsweb/default.htm si trovano tutti i server Microsoft che espon- gono un servizio di desktop remoto accessibile via web, potenzialmente vulnerabili ad attacchi di tipo Remote-To-Local tramite l'exploit del protocollo RDP (Remote Desktop Protocol). Vedi: Google Hacking Database e Shodan.

2.2 WHOIS e DNS interrogation/enumeration

L'ICANN (Internet Corporation for Assigned Names and Numbers) è l'organizzazione che si occupa del coordinamento per l'assegnazione dei nomi di dominio, degli indirizzi IP e dei parametri dei protocolli e relativi numeri di porta.

2.2.1 WHOIS

Il servizio WHOIS (vedi whois.iana.org) si basa sulle cosiddette 3R:

  • Registry: contiene informazioni sul Registrar presso il quale l'entità target ha eettuato la registrazione del proprio nome di dominio

CAPITOLO 2. FOOTPRINTING - RFR. L

Se il zone transfer è disabilitato (ed è quello che spesso si fa) si utilizzano tecniche come:

 DNS Reverse lookup (indirizzo IP > nome simbolico)  WHOIS  ARIN  DNS brute-forcing: si enumerano i nomi degli host tramite approccio a forza bruta su nomi di sotto-domini comuni (es. www, mail, blog, admin, ns1, ecc.) [vedi script erce.pl in DNS_enumeration]

Le contromisure al zone transfer sono:

 limitare i trasferimenti di zona ai soli server autorizzati: vedi la direttiva allow-transfer nel le di congurazione named.conf (togliere ANY)  lato rete: ltrare le connessioni TCP non autorizzate sulla porta 53 (tenendo presente che il zone transfer si fa con TCP, ma la name lookup si fa con UDP)  adottare TSIG (Cryptographic Transaction Signatures) per consentire solo ad host dati di eettuare trasferimenti di le di zona.  esporre pubblicamente solo i name server esterni

  • Analisi dei record di tipo MX (Mail eXchange)

2.3 Network Reconnaissance

Si basa sulla ricerca di informazioni circa la topologia di rete così da trovare potenziali percorsi di accesso alla rete dell'organizzazione targer. Il tool principale in questo ambito è traceroute, il quale scopre percorsi di rete basato su un impiego intelligente del campo TTL presente nei pacchetti IP

CAPITOLO 2. FOOTPRINTING - RFR. L

Tra le contromisure c'è l'impego di un NIDS (Network Intrusion Detection System), c'è la congurazione dei router di frontiera dell'organizzazione ad esempio limitando opportunamente il traco UDP ed ICMP in ingresso.

CAPITOLO 3. SCANNING - RFR. L

1 nmap -sn -PR 143.225.28.128/

ARP ovviamente funziona solo su rete locale. Nel caso di host remoti si ricorre a protocolli di più alto livello quali ICMP e UDP/TCP. I tool a supporto per la ricerca di host su reti remote sono:

  • ping: invio di un messaggio ICMP Echo Request e ricezione di un messaggio di tipo ICMP Echo Reply
  • nmap: stavolta utilizzando le opzioni -sn (no port scan), -PE (invio messaggio ICMP Echo Request) e - - send-ip (non inviare pacchetti ARP). In assenza di queste opzioni, nmap farebbe anche ARP ping e TCP ping sulle porte 80 e 443

1 nmap -sn -PE --send-ip 143.225.28.

  • nping: consente lo spoong dell'indirizzo MAC sorgente, dell'indirizzo IP sorgente e di qualsiasi altro campo del pacchetto. Può essere congurato per inviare specici messaggi ICMP.

1 nping -c 4 --icmp-type time 143.225.28.

3.1.1 Port Probing

Quello che può accadere, e che molto spesso succede, è che per motivi di sicurezza i messaggi ICMP vengono ltrati tramite rewall. E' comunque prassi lasciare aperta la porta 80 per segmenti TCP, motivo per cui si può eettuare il probing (invio pacchetti sonda) contattando TCP (sulla porta 80) per determinare se l'host in questione è alive. Ovviamente non è facile determinare quali servizi siano attivi sull'host (e quindi determinare le relative porte), pertando inviare alla cieca segmenti TCP verso numeri di porta variabili costituisce un'attività dispendiosa e facilmente rintracciabile da sistemi di Intrusion Detection. Utilizzando sempre nmap, con l'opzione -Pn, si eettua un probing su ben 1000 porte di potenziale interesse. Il risultato fornisce informazioni su quali porte sono aperte ed il tipo di servizio associato.

CAPITOLO 3. SCANNING - RFR. L

Una soluzione più scalabile e silenziosa è il probing di una singola porta scegliendo l'opzione -sS -p [#porta] -open.

3.2 Port Scanning

Una volta scoperti gli host alive, quello che bisogna fare è il port scanning. Tale attività di probing dei nodi di rete determina i servizi in esecuzione o in ascolto su di essi. A partire dai servizi, un hacker può individuare potenziali vulnerabilità di un nodo di rete. Ma non solo: può anche determinare tipo e versione del Sistema Operativo e applicazioni in uso. Comunemente, viene realizzata tramite l'invio di pacchetti indirizzati alle porte TCP ed UDP maggiormente diuse. Esistono dierenti tipi di port scanning TCP, ciascuno dei quali sfrutta un campo del segmento TCP. Ricordiamo che:

CAPITOLO 3. SCANNING - RFR. L

  • TCP Window scan: sfrutta un'anomalia nel modo di riportare la dimensione della nestra nei sistemi tipo FreeBSD e AIX. In particolare, invia un ACK e aspetta di ricevere un RST. Se RST con WIN=0, allora la porta è chiusa. Se RST con WIN>0 allora la porta è aperta.
  • TCP RPC scan: rileva ed identica servizi del tipo Remote Procedure Call (RPC) in sistemi UNIX.
  • UDP Scan: invia un pacchetto UDP ad una specica porta: se riceve ICMP Port Unrea- chable allora la porta è chiusa. Ovviamente il traco UDP è tra i più ltrati, quindi questa tecnica risulta non essere sempre adabile.

Con l'opzione -D nmpa consente di eettuare il cosiddetto decoy (diversivo) che richiede di fare spoong di un IP valido, così da far sembrare che l'host esca sia anch'esso partecipe dello scanning e dell'inoltre dei pacchetti SYN. In questo modo risulta dicile identicare il reale artece della scansione i cui dati si confondono con quelli del nodo utilizzato come diversivo.

Altro tool è netcat che è utile quando si vuole ridurre al minimo le proprie tracce in un sistema compromesso. Realizza uno scanning basato su TCP o su UDP (quest'ultimo con l'opzione -u). Per la detection di un port scanning esistono, come per il ping sweep, gli IDS Network-Based, oltre all'anilisi dei log con scanlogd (stando sempre attenti agli indirizzi IP spoofed). Per la prevention non esistono tecniche vere e proprie, ma solo consigli: come quello di disattivare tutti i servizi ritenuti non necessari.

3.3 Scoperta del tipo di Sistema Operativo

Si può scoprire il sistema operativo già in fase di footprinting con tecniche semplici come il banner grabbing. Nela fase di scanning è possibile scoprire il sistema operativo del sistema target utilizzando la cosiddetta tecnica dello stack ngerprinting con cui, a partire dai servizi disponibili su un nodo scoperti col port scanning, si evidenzia un determinato tipo di sistema operativo andando ad analizzare lo stack di rete. Ad esempio se le porte attive sono 135 (Endpoint Mapper), 139

CAPITOLO 3. SCANNING - RFR. L

(NetBIOS) e 445 (Active Directory), allora il sistema operativo è Winidows. O, ancora, se le porte attive sono 22 (ssh), 111 (SUN RPC) e 2049 (NFS), allora il sistema operativo è UNIX-Based. Lo stack ngerprinting può usare approcci sia attivi che passivi.

3.3.1 Stack Fingerprinting attivo

Richiede una conoscenza dettagliata di come i produttori dei vari SO implementano lo stack TC- P/IP (si può far riferimento ai vari RFC). Consiste sostanzialmente nell'inviare proattivamente (perciò attivo) dei pacchetti probe. Le tecniche sono varie:

  • FIN probe: invio di un segmento FIN verso una porta aperta: l'RFC 793 prevede di non rispondere sebbene alcune implementazioni di Windows (7, 200X e Vista) prevedono l'invio di FIN+ACK
  • Bogus ag probe: se conguro un ag non denito nell'header di un segmento TCP SYN, Linux ricopia il ag in questione nel segmento di risposta SYN+ACK
  • Don't Fragment Bit monitoring: alcuni SO settano di default il bit Don't Fragment nell'header IP per incrementare le prestazioni
  • TCP initial window size: alcune implementazioni di TCP associano un valore costante alla nestra di ricezione
  • ACK value: da RFC 793 ACK = #Sequenza+1, anche se alcune implementazioni di TCP inviano solo #Sequenza
  • ICMP message quoting: diversi SO ricopiano parti diverse del messaggio originario quando costruiscono un messaggio ICMP di errore
  • Type Of Service (TOS): analizzando il TOS dei pacchetti ICMP Port Unreachable ricevuti si vede se è diverso da 0 (di default dovrebbe essere 0)
  • Fragmentation Handling: diversi SO implementano in maniera diversa la ricorstruizione di datagrammi IP a partire da frammenti con oset sovrapposti
  • TCP Options: TCP ha nuove OPZIONI, motivo per cui si può distinguere uno stack recente da uno meno recente

Un tool utilizzato per distinguere un Sistema Operativo è ancora nmap con l'opzione -O che utilizza alcune delle tecniche appena spiegate. Come al solito tra le contromisure si può fare detection adoperando le stesse tecniche viste per il