плавающий TTL

зачем такой изврат?

ну, например, в наивной попытке обойти наивный passive OS fingerprinting.

;-) наивной? а есть более серьезный способ или сделать невозможной или затруднить идентификацию ОС? и еще, а что будет, если выставить TTL равным 0 ?

ОС можно идентифицировать по куче вещей помимо TTL.
Порты, используемые для установления соединений, MTU, характер изменения SSN, содержимое пакетов icmp echo.

Ты лучше скажи, зачем тебе затруднять идентификацию ОС?

> ;-) наивной?

в наивной. благо, у TCP/IP есть еще много других параметров, о чем уже сказал предыдущий постер, и думать, что TTL тут хватит - наивно.

> а есть более серьезный способ или сделать невозможной или затруднить идентификацию ОС?

ага. их тьма. я даже видел какие-то патчи на ядро, которые занимались подобной ерундой. и, насколько я помню, не от одного автора...

> и еще, а что будет, если выставить TTL равным 0 ?

короткий ответ - ничего работать не будет, длинный - все зависит от ближайшего маршрутизатора.

> зачем тебе затруднять идентификацию ОС

Судя по всему, пост про firewall ("научите воровать") от него же, но замаскированного под неграмотного анонимуса. Поскольку два поста сводятся к одному и тому же.

как насчет просьбы к модераторам опубликовать IP-адреса и user-agent браузера?

основная причина - секурность.

хочется, чтобы nmap и им подобный вещи на вопрос - какая ОС на удаленном хосте выдала unknown и эти нехорошие люди не знали, какие баги эксплуатировать

или может лучше для этих целей honeypot или snort заюзать? что из них лучше? склоняюсь более к honeypot'y

Мои? Не вопрос. IP пусть модераторы публикуют, user-agent: Mozilla/5.0 (X11; Linux i686; U) Opera 7.50 [en]

Ваши и того анонима? Не показатель для утверждения "авторы у тех сообщений разные" (два разных браузера и два разных "правильных" анонимных прокси).

Поясняю, почему я подозреваю одного автора у двух сообщений: смысл обоих постингов сводится к одному и тому же вопросу, но сформулированному по-разному (нормально в подписанном постинге и нарочито по-чайницки в анонимном).

Если мне __докажут__, что я ошибся, принесу извинения г-ну palach здесь.

не тормози - речь не могла идти о твоих адресах и юзерс-агенте

1. я никому ничего не должен доказывать 2. не вижу смысла постить дважды этот вопрос 3. ну и наконец, мне не нужны чьи-либо извинения

то, второе, сообщение не мое и смысла возвращаться к выяснению авторства постов я не вижу.

Я тот аноним который создал тему про файрвол, тему ПЛАВАЮЩИЙ TTL я не создавал, это просто было бы мне ну нужным так как ответ на свой вопрос получил и спрашивать на этом же форуме этот же вопрос не имела смысла. А создателю темы могу сказать как зделать так чтобы не могли пропинговать комп, надо отключить обмен пакетами ICMP командой echo 1 >/proc/sys/net/ipv4/icmp_echo_ignore_all

1) Palach, посмотри исходники p0f (passive OS fingerprinting), может наведет тебя на какие-нибудь мысли, ну и nmap тоже в руки.
2) Honeypots бывают разные, honeypot на просто OS, а не на ее сервисы - я про такое не слышал. Тебе же надо скрыть какая OS - верно?
3) snort если его скомпилять с flexresp (Flexible Responses on hostile connection attempts), то ты сможешь выбрасывать пакеты по определенным правилам, другой вопрос кто эти правила напишет? :)

> основная причина - секурность.

> хочется, чтобы nmap и им подобный вещи на вопрос - какая ОС на удаленном хосте выдала unknown и эти нехорошие люди не знали, какие баги эксплуатировать

Лучше потрать то время, которое ты тратишь на изучение возможности скрытия ОС, на изучение возможностей по закрытию дыр.

Это будет немного полезнее.

А ОС... Ну узнает хаксор, что у меня RH EL3. И что? Легче ему от этого станет?

1. пасиб, посмотрю на него 2. ну я сейчас как раз обдумываю, что все-таки лучше - полностью скрыть ОС и этим ограничиться или же нескрывать ОС, но поставить какой-нибудь IDS дабы знать о попытках меня взломать 3. ? а разве базу снорта под это дело нельзя прикрутить или они так сильно отличаются форматом?

Я раньше тоже задумывался о сокрытии информации и установленной OS, но это очень сложно, опять же у тебя навярняка какие-нибудь сервисы будут стоять или это клиентская машина? Если нет, то придется патчить все те демоны, которые будут запущены на машине. В общем если тебе совсем занятся нечем, то можешь попробовать. :-)

база snort тебе даст только стандартные записи, без flexresp - а я имел ввиду правила именно на flexresp. То есть использовать snort только в качестве IDS очень даже приветствуется, но только надо помнить, что даже очень хорошая IDS выдает иногда false-positives.

значит придется ставить IDS...

на выходных ковырял rsbac - клевая штука, если напрячь извилины и ручки, то многое можно получить :) правда, придется с каждым демоном возиться :(