DHCP Sunucusu istemcinin işletim sistemini belirleyebilir mi? [kapalı]


18

DHCP Sunucusu'nun istemci işletim sistemini belirlemesi mümkün müdür?

Web tabanlı yerel ağlardaki ağ geçitleri için bir izleme aracı üzerinde çalışıyorum ve bir şekilde ağdaki bir cihazın hangi işletim sisteminin çalıştığını belirleyebilmek istiyorum ve bana bunun en açık yeri olduğunu düşünüyorum DHCP Sunucusu tarafından bir IP adresinin atandığı saat.

Başarısız olursa, bağlantı noktası 80'deki trafiği nasıl filtreleyeceğimizi ve HTML başlık bilgilerini nasıl çekeceğimizi biliyorum, ancak bu yöntem cihazın web'de sörf yapmasını beklemeye dayanıyor ve bu nedenle algılama / çözünürlük, esp. çünkü her cihaz internette gezinmek için kullanılmayacaktır.

DHCP, DNS, ARP, vb, iş yapacak herhangi bir diğer araçlar - bir pared down debian distro çalıştıran - ağ geçidi yapılandırması üzerinde tam denetime sahip, ben önerilere açık!


Infoblox'ta OS parmak izi yapacak bir DHCP sunucusu vardır.
some_guy_long_gone

Yanıtlar:


15

DHCP parmak izleriyle sonuçlanan farklı işletim sistemlerinden DHCP paketlerindeki küçük farklılıkları belirlemek için bazı çalışmalar yapılmıştır. Örnekler arasında DHCP isteğinde bulunan seçenekler ve bunların sırası ile seçenek 55 (parametre listesi) gibi belirli seçeneklerin içeriği yer alır.

Fingerbank.org adresindeki kağıtlara ve imzalara bir göz atın . Bu, DHCP trafiğine dayalı pasif OS parmak izinin yapılabileceğini (kendim test etmedim) göstermektedir. Sonuç, genel IP özellikleri (TTL, diffserv, ...) gibi diğer bilgiler dahil edilerek iyileştirilebilir.

Etkin parmak izi daha iyi sonuç verebilir, ancak kullanım durumunuzda bir seçenek olmayabilir.

Fingerbank web sitesinde imzaları kullanan birkaç açık kaynaklı üründen bahsediliyor. Tescilli DHCP cihazı Infoblox benzer bir özellik içeriyor gibi görünüyor, ancak teknik ayrıntı sağlanmadı.


3

Bazı DHCP istemcileri, önyükleme sırasında işletim sistemi bilgilerini güvenilir bir şekilde ifşa etmez. Yukarıda belirtildiği gibi, bu tekniklerle ilişkili bazı fikri mülkiyet vardır; örneğin, Infoblox ve Cisco ISE, gördükleri dhcp paketlerine dayalı olarak istemci işletim sistemi profilleri oluşturabilir. Aslında, ona dhcp'den daha fazlasını gönderebiliyorsanız, Cisco ISE bazı oldukça gelişmiş işletim sistemi sınıflandırma algoritmaları içerir.

Alternatif olarak, "geçen saniye" alanında Windows endian hatası gibi bir sezgisel tarama kullanabilirsiniz, ancak bir OS hatasına güvenmek, OS algılamasını işlemek için kötü bir yoldur.

Özel bir satıcı cihazı olmadan işletim sistemini gerçekten algılamanız gerekiyorsa, bir IP adresi verin ve DHCP Ack'yi gönderdikten sonra ana bilgisayarı NMAP ile tarayın. HTTP üstbilgilerini kullanmak nmap kadar güvenilir değildir , çünkü herkes isterse UserAgent dizesini değiştirebilir. nmap işletim sistemi algılamasında% 100 güvenilir değildir, ancak her şey için tek bir yöntem seçmeniz gerekip gerekmediğini göreceksiniz.

Bazı insanlar her DHCP ana bilgisayarında varsayılan bir nmap taraması gibi olmayabilir, çünkü bu sunucuda yapılandırılabilir bir seçenek olur .

Windows7'ye karşı nmap OS taraması örneği :

[mpenning@myhost ~]$ sudo nmap -O 10.1.1.1

Starting Nmap 5.51 ( http://nmap.org ) at 2013-08-24 16:20 CDT
Nmap scan report for 10.1.1.1
Host is up (0.00078s latency).
Not shown: 985 closed ports
PORT      STATE SERVICE
135/tcp   open  msrpc
139/tcp   open  netbios-ssn
445/tcp   open  microsoft-ds

Device type: general purpose
Running: Microsoft Windows Vista|2008|7
OS details: Microsoft Windows Vista SP0 - SP2, Server 2008, or Windows 7 Ultimate
Network Distance: 5 hops

OS detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 5.25 seconds
[mpenning@myhost ~]$

Nmap'ın parmak izi yeteneklerini işaret ettiğiniz için teşekkürler ... Düzgün ve yaklaşık% 50 oranında çalışıyor (ağımdaki 10 bilgisayardan 5'i doğru çıktı), ancak taramaları her cihaz için 25 saniyeden 102 saniyeye kadar sürüyor. Ancak bu, OS parmak izi ve esp hakkında çok şey anlamama yardımcı oldu. benim en iyi bahisim gibi görünen pasif seçenekler.
Michael Lang

@MichaelLang ile Nmap çalıştırmak Tek gereken süreyi, hafifletmek için -T5yukarı hız şeyler bayrak ölçüde .
Ryan Foley

2

DHCP sürecinin bir parçası olarak, buna inanmıyorum. Bununla birlikte, dhcpd günlüklerinizi kazımayıp, dhcp ack'lerini izleyebilir ve bunlara nmap os parmak izi gibi harici bir işlemi yürütüp, atanan IP'nin arkasında ne olduğunu anlayabileceğinizi görebilirsiniz.


2

En kısa doğru cevap hayır. Halihazırda yararlı yanıtlar aldınız nmap, ancak DHCP aracılığıyla olması gerekiyorsa, birçok istemci kendi satıcı paket tanımlayıcılarını (DHCP seçenek 60) keşfetme paketlerinde gönderir, böylece DHCP sunucusu satıcıya özel seçenekler sunabilir (DHCP seçenek 43). Tcpdump komutunu çalıştırırsanız, seçenek 60 için istemciler tarafından gönderilen DHCP keşfetme paketlerine göz atarsanız MSFT 5.0, udhcpcgenellikle Windows istemcileri, genellikle mikro dhcp istemcisi çalıştıran gömülü aygıtlar vb. Gibi şeyler görebilirsiniz . işletim sistemi yerine DHCP istemcisini ayırt etmek.


1
Ayrıca, bir cihazın ağda ne olabileceğini daraltmanın başka bir yararlı yolu, IEEE'nin web sitesindeki MAC adreslerine dayanarak OUI'lerine bakmaktır.
Michael Lang
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.