السلام عليكم و رحمة الله
اليوم راح نشرح أداة حلوة و خفيفة لكنها مفيدة في مجال الإختراق و أيضا في الحماية حيث الأخير هو غايتنا و الاداة هي
Xprobe/Xprobe2
# هو مشروع مفتوح المصدر Open Source Project
# المطورين
— Ofir Arkin .
— Fydoro Yarochkin .
— Meder Kydyraliev .
# أداة هدفها معرفة نظام التشغيل الخاص بالجهاز المقابل أو ما يسمى بالــ Remote Active Fingerprinting .
# مصنف في بين اداوت ال Security في المرتبة 75 .
# فكرة عمله
— إرسال RFC packets أو الــ Request For Comments .
— تحليل ICMP packets .
— تحليل ال TCP و UDP .
— يستطيع تحليل نوع الاجزاء المادية عن طريق ال Packets .
# لمعرفة تفاصيل أكثر دقة إليكم مرجع الـ Xprobe .
— Fedora or Red Hat Family
sudo yum install xprobe2
— in debian family
sudo apt-get install xprobe2
و الان سنتطرق الى طريقة الاستخدام
root@SHADOW-ZONE:~# xprobe2 -v 192.168.16.72
Xprobe2 v.0.3 Copyright (c) 2002-2005 fyodor@o0o.nu, ofir@sys-security.com, meder@o0o.nu
[+] Target is 192.168.16.72
[+] Loading modules.
[+] Following modules are loaded:
[x] [1] ping:icmp_ping - ICMP echo discovery module
[x] [2] ping:tcp_ping - TCP-based ping discovery module
[x] [3] ping:udp_ping - UDP-based ping discovery module
[x] [4] infogather:ttl_calc - TCP and UDP based TTL distance calculation
[x] [5] infogather:portscan - TCP and UDP PortScanner
[x] [6] fingerprint:icmp_echo - ICMP Echo request fingerprinting module
[x] [7] fingerprint:icmp_tstamp - ICMP Timestamp request fingerprinting module
[x] [8] fingerprint:icmp_amask - ICMP Address mask request fingerprinting module
[x] [9] fingerprint:icmp_port_unreach - ICMP port unreachable fingerprinting module
[x] [10] fingerprint:tcp_hshake - TCP Handshake fingerprinting module
[x] [11] fingerprint:tcp_rst - TCP RST fingerprinting module
[x] [12] fingerprint:smb - SMB fingerprinting module
[x] [13] fingerprint:snmp - SNMPv2c fingerprinting module
[+] 13 modules registered
[+] Initializing scan engine
[+] Running scan engine
[-] ping:tcp_ping module: no closed/open TCP ports known on 192.168.16.72. Module test failed
[-] ping:udp_ping module: no closed/open UDP ports known on 192.168.16.72. Module test failed
[-] No distance calculation. 192.168.16.72 appears to be dead or no ports known
[+] Host: 192.168.16.72 is up (Guess probability: 50%)
[+] Target: 192.168.16.72 is alive. Round-Trip Time: 0.00020 sec
[+] Selected safe Round-Trip Time value is: 0.00041 sec
[-] fingerprint:tcp_hshake Module execution aborted (no open TCP ports known)
[-] fingerprint:smb need either TCP port 139 or 445 to run
[-] fingerprint:snmp: need UDP port 161 open
[+] Primary guess:
[+] Host 192.168.16.72 Running OS: "Microsoft Windows 2003 Server Standard Edition" (Guess probability: 100%)
[+] Other guesses:
[+] Host 192.168.16.72 Running OS: "Microsoft Windows 2003 Server Enterprise Edition" (Guess probability: 100%)
[+] Host 192.168.16.72 Running OS: "<span style="color: #00ff00;">Microsoft Windows XP SP2</span>" (Guess probability: 100%)
[+] Host 192.168.16.72 Running OS: "Microsoft Windows 2000 Workstation" (Guess probability: 100%)
[+] Host 192.168.16.72 Running OS: "Microsoft Windows 2000 Workstation SP1" (Guess probability: 100%)
[+] Host 192.168.16.72 Running OS: "Microsoft Windows 2000 Workstation SP2" (Guess probability: 100%)
[+] Host 192.168.16.72 Running OS: "Microsoft Windows 2000 Workstation SP3" (Guess probability: 100%)
[+] Host 192.168.16.72 Running OS: "Microsoft Windows 2000 Workstation SP4" (Guess probability: 100%)
[+] Host 192.168.16.72 Running OS: "Microsoft Windows 2000 Server" (Guess probability: 100%)
[+] Host 192.168.16.72 Running OS: "Microsoft Windows 2000 Server Service Pack 1" (Guess probability: 100%)
[+] Cleaning up scan engine
[+] Modules deinitialized
[+] Execution completed.
Xprobe2 v.0.3 Copyright (c) 2002-2005 fyodor@o0o.nu, ofir@sys-security.com, meder@o0o.nu
[+] Target is 192.168.16.72
[+] Loading modules.
[+] Following modules are loaded:
[x] [1] ping:icmp_ping - ICMP echo discovery module
[x] [2] ping:tcp_ping - TCP-based ping discovery module
[x] [3] ping:udp_ping - UDP-based ping discovery module
[x] [4] infogather:ttl_calc - TCP and UDP based TTL distance calculation
[x] [5] infogather:portscan - TCP and UDP PortScanner
[x] [6] fingerprint:icmp_echo - ICMP Echo request fingerprinting module
[x] [7] fingerprint:icmp_tstamp - ICMP Timestamp request fingerprinting module
[x] [8] fingerprint:icmp_amask - ICMP Address mask request fingerprinting module
[x] [9] fingerprint:icmp_port_unreach - ICMP port unreachable fingerprinting module
[x] [10] fingerprint:tcp_hshake - TCP Handshake fingerprinting module
[x] [11] fingerprint:tcp_rst - TCP RST fingerprinting module
[x] [12] fingerprint:smb - SMB fingerprinting module
[x] [13] fingerprint:snmp - SNMPv2c fingerprinting module
[+] 13 modules registered
[+] Initializing scan engine
[+] Running scan engine
[-] ping:tcp_ping module: no closed/open TCP ports known on 192.168.16.72. Module test failed
[-] ping:udp_ping module: no closed/open UDP ports known on 192.168.16.72. Module test failed
[-] No distance calculation. 192.168.16.72 appears to be dead or no ports known
[+] Host: 192.168.16.72 is up (Guess probability: 50%)
[+] Target: 192.168.16.72 is alive. Round-Trip Time: 0.00020 sec
[+] Selected safe Round-Trip Time value is: 0.00041 sec
[-] fingerprint:tcp_hshake Module execution aborted (no open TCP ports known)
[-] fingerprint:smb need either TCP port 139 or 445 to run
[-] fingerprint:snmp: need UDP port 161 open
[+] Primary guess:
[+] Host 192.168.16.72 Running OS: "Microsoft Windows 2003 Server Standard Edition" (Guess probability: 100%)
[+] Other guesses:
[+] Host 192.168.16.72 Running OS: "Microsoft Windows 2003 Server Enterprise Edition" (Guess probability: 100%)
[+] Host 192.168.16.72 Running OS: "<span style="color: #00ff00;">Microsoft Windows XP SP2</span>" (Guess probability: 100%)
[+] Host 192.168.16.72 Running OS: "Microsoft Windows 2000 Workstation" (Guess probability: 100%)
[+] Host 192.168.16.72 Running OS: "Microsoft Windows 2000 Workstation SP1" (Guess probability: 100%)
[+] Host 192.168.16.72 Running OS: "Microsoft Windows 2000 Workstation SP2" (Guess probability: 100%)
[+] Host 192.168.16.72 Running OS: "Microsoft Windows 2000 Workstation SP3" (Guess probability: 100%)
[+] Host 192.168.16.72 Running OS: "Microsoft Windows 2000 Workstation SP4" (Guess probability: 100%)
[+] Host 192.168.16.72 Running OS: "Microsoft Windows 2000 Server" (Guess probability: 100%)
[+] Host 192.168.16.72 Running OS: "Microsoft Windows 2000 Server Service Pack 1" (Guess probability: 100%)
[+] Cleaning up scan engine
[+] Modules deinitialized
[+] Execution completed.
# طريقة مكافحة هذا البرنامج من الجدار الناري
— قفل بروتوكول الـ ICMP .
— عدم السماح بعمليات الـ Scanning .
— الدليل …
root@SHADOW-ZONE:~# xprobe2 -v 192.168.16.72
Xprobe2 v.0.3 Copyright (c) 2002-2005 fyodor@o0o.nu, ofir@sys-security.com, meder@o0o.nu
[+] Target is 192.168.16.72
[+] Loading modules.
[+] Following modules are loaded:
[x] [1] ping:icmp_ping - ICMP echo discovery module
[x] [2] ping:tcp_ping - TCP-based ping discovery module
[x] [3] ping:udp_ping - UDP-based ping discovery module
[x] [4] infogather:ttl_calc - TCP and UDP based TTL distance calculation
[x] [5] infogather:portscan - TCP and UDP PortScanner
[x] [6] fingerprint:icmp_echo - ICMP Echo request fingerprinting module
[x] [7] fingerprint:icmp_tstamp - ICMP Timestamp request fingerprinting module
[x] [8] fingerprint:icmp_amask - ICMP Address mask request fingerprinting module
[x] [9] fingerprint:icmp_port_unreach - ICMP port unreachable fingerprinting module
[x] [10] fingerprint:tcp_hshake - TCP Handshake fingerprinting module
[x] [11] fingerprint:tcp_rst - TCP RST fingerprinting module
[x] [12] fingerprint:smb - SMB fingerprinting module
[x] [13] fingerprint:snmp - SNMPv2c fingerprinting module
[+] 13 modules registered
[+] Initializing scan engine
[+] Running scan engine
[-] ping:tcp_ping module: no closed/open TCP ports known on 192.168.16.72. <span style="color: #00ff00;">Module test failed</span>
[-] ping:udp_ping module: no closed/open UDP ports known on 192.168.16.72. <span style="color: #00ff00;">Module test failed</span>
[-] No distance calculation. 192.168.16.72 appears to be dead or no ports known
[+] Host: 192.168.16.72 is down (Guess probability: 0%)
[+] Cleaning up scan engine
[+] Modules deinitialized
[+] Execution completed.
Xprobe2 v.0.3 Copyright (c) 2002-2005 fyodor@o0o.nu, ofir@sys-security.com, meder@o0o.nu
[+] Target is 192.168.16.72
[+] Loading modules.
[+] Following modules are loaded:
[x] [1] ping:icmp_ping - ICMP echo discovery module
[x] [2] ping:tcp_ping - TCP-based ping discovery module
[x] [3] ping:udp_ping - UDP-based ping discovery module
[x] [4] infogather:ttl_calc - TCP and UDP based TTL distance calculation
[x] [5] infogather:portscan - TCP and UDP PortScanner
[x] [6] fingerprint:icmp_echo - ICMP Echo request fingerprinting module
[x] [7] fingerprint:icmp_tstamp - ICMP Timestamp request fingerprinting module
[x] [8] fingerprint:icmp_amask - ICMP Address mask request fingerprinting module
[x] [9] fingerprint:icmp_port_unreach - ICMP port unreachable fingerprinting module
[x] [10] fingerprint:tcp_hshake - TCP Handshake fingerprinting module
[x] [11] fingerprint:tcp_rst - TCP RST fingerprinting module
[x] [12] fingerprint:smb - SMB fingerprinting module
[x] [13] fingerprint:snmp - SNMPv2c fingerprinting module
[+] 13 modules registered
[+] Initializing scan engine
[+] Running scan engine
[-] ping:tcp_ping module: no closed/open TCP ports known on 192.168.16.72. <span style="color: #00ff00;">Module test failed</span>
[-] ping:udp_ping module: no closed/open UDP ports known on 192.168.16.72. <span style="color: #00ff00;">Module test failed</span>
[-] No distance calculation. 192.168.16.72 appears to be dead or no ports known
[+] Host: 192.168.16.72 is down (Guess probability: 0%)
[+] Cleaning up scan engine
[+] Modules deinitialized
[+] Execution completed.
يارب يكون الموضوع عجبكم
Popularity: 7% [?]
No related posts.
ماشاء اله عليك شرح وافى جدا جدا
تسلم وارجوك على اد ما تقدر تزودنا بمواضيع من تلك النوعية قدر امكانك شكرا لك
[Translate]
good or bad:
0 
0
أهلا يا دكتور
إن شاء الله قريبا نشوف مواضع و نضعها لأني ما أحط مواضيع أحد شرحها قبل كده قدر الإمكان
نورتني
[Translate]
good or bad:
0 
0
شكرا صبري على الموضوع والشرح الجميل.. أذكر أنك كتبت عن هذه الأداة سابقا في مجتمع لينوكس العربي وان شاء الله سأقوم بتجربتها قريبا لكن كما قلت لك سابقا بالنسبة لي أجد p0f أفضل أداة خاصة بعمل remote OS fingerprint وأنصحك بتجربتها وكتابة موضوع عنها أيضا
دمت بود…
[Translate]
good or bad:
0 
0
موضوع جميع وفي المتناول وهده الادات تعتبر من احسن ما يقوم ب
os fingerprinting
لاكن في المرتبة الاولى تبقىp0f
سلامي اخي صبري
ومبروك الستايل الجديد
[Translate]
good or bad:
0 
0
Br4v3-H34r7##هلا بك يا عبدو .. نعم راح أجربها إنشاء الله يا صديقي و هاشرحها هنا بإذن الله و أقولك على أخر الأخبار و تقولي على ملاحظاتك
djekmani4ever## هلا بكل يا صديقي و كلامك صحيح و إن شاء الله هاشرحها قريبا و تشوف الموضوع
[Translate]
good or bad:
0 
0
شرح رائع من شخص اروع و موضوع ال os fingerprinting موضوع مشوق اما عن الاداة فهي تصنف في active os fingerprinting و بالنسبة للأداة اللي دكرها الاخوة اي p0f فهي تصنف في passif os fingerprinting و هناك فرق
تحياتي لك أخي صبري و اعدرني لان لي مدة لم ازر المدونة .
[Translate]
good or bad:
0 
0
يا حيا الله حبيبي Unary و الله يا أخوي غيبتك طولت علينا و لو جيت للحقيقة أنا لي فتره ما قربت من مدونتي ههههههه
والله مشغول هاليومين كثير
أما بخصوص ال Passive و ال Active فكلامك صحيح 100% هناك فرق كبير بينهم و فإن ال Passive لا يمكن كشفه أبدا أما الـ Active فيمكن ذلك
مشكور على إضافتك يا بطل و سامحني على التقصير في الزيارات
[Translate]
good or bad:
0 
0
مشكور صبري على الموضوع تحفه وايضا لا غنى عن العملاق nmap
لكن يجب التنويع في استخدام البرامج والاطلاع على ميزاتها جميعها
بالنسبة
عدم السماح بعمليات الـ Scanning .
هل تعتقد هذه القوانين تكفي
iptables -A INPUT -p tcp –tcp-flags ALL NONE -j DROP
iptables -A INPUT -p tcp –tcp-flags SYN,FIN SYN,FIN -j DROP
iptables -A INPUT -p tcp –tcp-flags SYN,RST SYN,RST -j DROP
iptables -A INPUT -p tcp –tcp-flags FIN,RST FIN,RST -j DROP
iptables -A INPUT -p tcp –tcp-flags ACK,FIN FIN -j DROP
iptables -A INPUT -p tcp –tcp-flags ACK,PSH PSH -j DROP
iptables -A INPUT -p tcp –tcp-flags ACK,URG URG -j DROP
بالنسبة ل
ICMP اعطني مما لديك عنها ؟
وشكرا يا ورد
[Translate]
good or bad:
0 
0
مرحبا صديقي
بصراحة القوانين لا تكفي لأنك ركزت على الـ TCP و ممكن يكون المسح بأي بروتوكل أخر مثل الـ UDP
ألاحظ أنك أغلقت الـ TCP كله ,, فكيف ستتعامل مع العالم الخارجي ؟
بالنسبة للـ ICMP يجب إغلاقه كاملا لأن أي Reply تعطي الكثير من المعلومات
لا تستخدم REJECT أبدا في قوانيك إلا لو احتجت لها فعلا لأن REJECT تجيب و حتى لو كانت إجابة لسبية لكن نحن لا ننظر للرسالة ,, نحن ننظر لما تحتويه الحزم من معلومات
أرجوا أن تكون فهت قصدي
[Translate]
good or bad:
0 
0