https://wiki-de.moshellshocker.dns64.de/index.php?action=history&feed=atom&title=OS-FingerprintingOS-Fingerprinting - Versionsgeschichte2026-05-27T15:47:42ZVersionsgeschichte dieser Seite in Wikipedia (Deutsch) – Lokale KopieMediaWiki 1.43.8https://wiki-de.moshellshocker.dns64.de/index.php?title=OS-Fingerprinting&diff=322724&oldid=previmported>Bestoernesto: /* Einleitung */ + Wikiink2019-12-18T23:05:23Z<p><span class="autocomment">Einleitung: </span> + Wikiink</p>
<p><b>Neue Seite</b></p><div>Unter dem Begriff '''OS-Fingerprinting''' (englisch für „Betriebssystem-Fingerabdruck“), spezieller auch '''[[TCP/IP-Stack]]-Fingerprinting''' (englisch für „TCP/IP-Protokollstapel-Fingerabdruck“), versteht man die Erkennung von [[Betriebssystem]]en durch die Beobachtung diverser Reaktionsweisen der Systeme im Netzwerk aus der Ferne. Zur Erkennung des Betriebssystems können sowohl aktive als auch passive Methoden Verwendung finden.<br />
<br />
Über den [[Transmission Control Protocol/Internet Protocol|TCP/IP]]-[[Protokollstapel]] das Betriebssystem zu ermitteln ist bei beiden Methoden möglich; zusätzlich kann bei der aktiven Variante noch das Banner eines Programmes analysiert werden.<br />
<br />
== TCP/IP-Protokollstapel ==<br />
Eine weitverbreitete Methode der Betriebssystem-Analyse ist jene mittels TCP/IP-Protokollstapel. Dabei wird die Eigenschaft genutzt, dass jedes Betriebssystem seine eigene TCP/IP-Protokollstapel-Implementierung hat, dessen Einstellungen sich im [[Header]] von Netzwerkpaketen finden und die sich von denen anderer Betriebssysteme unterscheiden. Folgende Felder variieren innerhalb verschiedener Implementierungen:<br />
<br />
* Initial [[Time to Live]] (8 Bit)<br />
* [[TCP Receive Window|Receive Window Size]] (16 Bit)<br />
* [[Maximum Segment Size]] (16 Bit)<br />
* „Don't fragment“ flag (1 Bit)<br />
* [[SACK|sackOK]] option (1 Bit)<br />
* nop option (1 Bit)<br />
* [[TCP Receive Window#TCP Window Scale Option|Window Scale Option]] (8 Bit)<br />
* Initial packet size (16 Bit)<br />
Zusammen ergeben die Daten eine 67-Bit-Signatur.<br />
<br />
Den TCP/IP-Protokollstapel zu analysieren ist aber nicht immer erfolgreich, weil sich bei vielen Betriebssystemen die obigen Felder konfigurieren lassen, wodurch man sich sogar als ein anderes Betriebssystem ausgeben kann, als man eigentlich nutzt.<br />
<br />
== Passiv ==<br />
Passive Methoden zeichnen sich dadurch aus, dass sie absolut latent durchgeführt werden können. Bei diesen Methoden wird ausschließlich der ablaufende Datenverkehr zwischen dem Beobachter und dem Zielsystem bewertet und analysiert. So kann beispielsweise eine einfache Websitzung durch die gleichzeitige Analyse durch ein passives OS-Fingerprinting detaillierte Informationen zu einem Zielsystem offerieren.<br />
<br />
== Aktiv ==<br />
Aktive Methoden zeichnen sich dadurch aus, dass sie die Initiative ergreifen und Daten zum Zielhost übertragen, in der Hoffnung, dass aus der daraus resultierenden Antwort eine Analyse möglich ist. Daher ist diese Methode aggressiver Natur und wird nicht immer gerne gesehen. Ebenfalls ist es für [[Intrusion Detection System]]s (IDS) möglich, laufende aktive Fingerprintings zu identifizieren.<br />
<br />
== Banner-Grabbing ==<br />
Neben der oben erwähnten Methode mittels TCP/IP-Protokollstapel ist es auch möglich, das Betriebssystem mittels des sogenannten Banners herauszufinden. Banner sind Textzeilen, mit denen sich beispielsweise HTTP- oder [[File Transfer Protocol|FTP]]-Dienste beim Verbindungsaufbau zu erkennen geben. Ein Banner enthält im günstigsten Fall sowohl Informationen über den entsprechenden Dienst als auch über das Betriebssystem. Diese Technik wird auch als ''Banner Grabbing'' bezeichnet und steht auch manchen [[Portscanner]]n zur Verfügung.<br />
<br />
Beispiel mit [[telnet]] und FTP:<br />
<pre><br />
$ telnet localhost 21<br />
Trying 127.0.0.1...<br />
Connected to ftp.localhost.<br />
Escape character is <nowiki>'^]'</nowiki>.<br />
220 Super FTP Service<br />
</pre><br />
Beispiel mit [[netcat]]:<br />
<pre><br />
$ nc 127.0.0.1 22<br />
SSH-2.0-OpenSSH_4.5p1 FreeBSD-20061110<br />
</pre><br />
<br />
Ein Banner-Grabbing ist aber nicht immer erfolgreich, weil viele Programme entweder die Möglichkeit besitzen, das Banner zu deaktivieren oder zu editieren, wodurch man entweder keine Informationen erhält oder ein anderes Betriebssystem suggeriert wird als tatsächlich benutzt wird.<br />
<br />
== OS-Fingerprinting-Werkzeuge ==<br />
* p0f (passiv)<br />
* [[Ettercap]] (aktiv)<br />
* xprobe2 (aktiv)<br />
* [[nmap]] (aktiv)<br />
* AutoScan-Network (aktiv)<br />
<br />
== Weblinks ==<br />
* [http://www.l0t3k.org/security/docs/fingerprinting/ L0T3Ks Dokumente zum Thema Fingerprinting] (englisch)<br />
* [http://www.insecure.org/nmap/nmap-fingerprinting-article.html Artikel über Fingerprinting-Methoden]<br />
* [http://www.computec.ch/download.php?view.190 Das Erkennen von Betriebssystemen mittels Stack-Fingerprinting]<br />
<br />
[[Kategorie:Hacken (Computersicherheit)|Osfingerprinting]]</div>imported>Bestoernesto