ICMP based remote OS TCP/IP stack fingerprinting techniques

                          ==Phrack Inc.==

            Volume 0x0b, Issue 0x39, Phile #0x07 of 0x12

|=---=[ ICMP based remote OS TCP/IP stack fingerprinting techniques ]=---=|
|=-----------------------------------------------------------------------=|
|=---------------=[ Ofir Arkin & Fyodor Yarochkin ]=---------------------=|
traduit de l'anglais par dzeta (dzeta@netcourrier.com) 

--[ICMP based fingerprinting approach]--

La prise d'empreinte d'OS basé sur TCP se fait un peu vieille et bien-
connu aujourd'hui, ici nous voudrions introduire une méthode alternative
pour determiner un OS a distance, basé sur des requetes ICMP recue depuis
l'hote distant. Certains niveaux d'exactitude ont été réalisées avec
différentes plateformes, ce qui, avec quelques systèmes ou classe de
plateforme (i.g. *Win) est significativement plus précis que ceux démontré
par la méthode de prise d'empreinte basé sur TCP.

Comme il est dit plus haut sur la méthode basée sur TCP, la prise
d'empreinte ICMP utilise plusieurs tests pour réussir un sondage de la
pile TCP/IP de l'OS, mais contrairement à la prise d'empreinte TCP, le
nombre de tests demandés pour identifier un OS peut varier de 1 à 4 (en
date actuelle de développement). 

La méthode de prise d'empreinte ICMP sur la découverte de certaines
différences dans les réponses ICMP des divers systèmes d'exploitation
(principalement due a une incorrecte, voire inconsistante implémentation),
a été trouvé par Ofir Arkin durant son "ICMP usage in scanning" projet de
recherche. Plus tard, ces découvertes ont été récapitulées dans un arbre
logique de décisions que Ofir titre "X project" et pratiquement implémenté
dans l'outil Xprobe. 

--[Information/Noise ratio with ICMP fingerprints]--

Comme cela à été précisé, le nombre de datagrammes que nous avons besoin
d'envoyer dans le but de prendre à distance l'empreinte de la machine
cible avec des sondages basés ICMP est faible. Très faible. En fait, on
peut envoyer un seul datagramme et ne recevoir qu'une seule réponse et
ceci nous aidera à identifier plus de 8 différents systèmes d'exploitation
(ou classes de systèmes d'exploitation). Le nombre maximal de datagrammes
que notre outil va utiliser au developpement actuel est de 4. C'est le
même nombre de réponses que nous aurons à analyser. Ceci fait de la prise
d'empreinte ICMP un moyen rapide et efficace.

Les sondages basés ICMP peuvent être utilisé comme très furtif. Aucun
datagrammes malformé/cassé/corrompu ne sont utilisés pour identifier un
type d'OS à distance, contrairement aux méthodes communes de prise
d'empreinte. L'analyse actuelle du noyau vise la validation des réponses
ICMP recues sur des paquets valides, plutot que d'utiliser des paquets eux-
même invalide. Les segments de tels paquets apparaissent dans un reseau
moyen sur la quotidiennement, et très peu d'IDS sont configurés pour
detecter un tel trafic (et ceux qui le sont, sont probablement très
bruyant et mal configuré. 

--[Why it still works?]--

Le désordre hérité parmi les différentes implémentations de piles TCP/IP
avec la manipulation des implémentations ICMP qui implémente different
standards RFC ( RFC originale 792, le complément RFC 1122, etc), partielle
ou incomplet support ICMP (les requetes ICMP variable ne sont pas
supportés partout), faible signification des données des messages d'erreur
ICMP (qui vérifient tout les champs du datagramme original ?!), erreurs et
incompréhension dans les implementations du protocole ICMP, font que notre
méthode est viable.

--[What do we fingerprint:]-- 

Plusieurs différences spécifiques aux OS sont utilisés dans la prise
d'empreinte ICMP pour identifier le type de syteme d'exploitation à
distance :

Champs IP d'un datagramme "fautif" à examiner:

* Taille totale du champ IP

Quelques OS (i.g. *BSD) vont ajouter 20 bytes (sizeof(ipheader))
à la taille totale du champ IP original (qui est provoqué, à cause des
erreurs de traitement interne du datagramme, veuillez notez que quand le 
même paquet de SOCK_RAW est lu le même comportement est observé: La taille
du champ du paquet IP en retour sera majoré de 20 bytes).

D'autres systèmes d'exploitation vont enlever 20 bytes a la taille totale
du champ du paquet IP original du paquet fautif.

Un troisieme groupes de systèmes reagiront a ce champ correctement.

*IP ID
Quelques systèmes ne repetent pas correctement ce champ. (l'ordre du bit
du champ à changé)

* 3 bits flags et offset

Quelques systèmes ne repetent pas correctement ce champ. (l'ordre du bit
du champ à changé)

* IP header checksum

Quelques systèmes d'exploitation vont mal calculer ce champ, d'autres vont
carrement le mettre a 0. Un troisieme groupes de systèmes vont répeter ce
champ correctement.

* UDP header checksum (dans le cas d'un datagramme UDP)

La même chose peut arriver avec l'UDP checksum header.

En-tête IP des paquets ICMP répondus:

*bits priorité
chaque datagramme IP a un champ de 8 bits appellés le "TOS byte", qui
represente le support IP pour la priorité et la manipulation du Type-Of-
Service.

Le "TOS byte" est composé de 3 champs.

Le "precedence field"\cite{rfc791}, long de 3 bits, est destiné à donner
la priorité au datagrammes IP. Il à 8 niveaux de priorité.

Le traffic prioritaire plus elevé devrait être envoyé avant le traffic à
faible priorité.

Le deuxieme champ, long de 4 bits, est le champ "Type-Of-Service". Il est
désigné pour décrire de quelle manière le réseau devrait faire des
différences entre le débit, le retard, la fiabilité et le coût dans le
routage d'un datagramme IP.

Le dernier champ, the "MBZ" (must be zero), est inutilisé et doit être à
zéro. Les routeurs et serveurs ignorent ce dernier champ. Ce champ est
long de 1 bit. Le TOS bytes et champ MBZ sont remplacés par le mécanisme
de Diffserv pour QoS.

Le RFC 1812 nécessite les points suivants pour les routeurs IPv4 :

"4.3.2.5 TOS et priorité

Les messages d'erreur ICMP source quench, si envoyés a tous doivent avoir
leurs champs de priorité IP à la même valeur que le champ de priorité IP
dans le paquet qui a provoqué l'envoi des ICMP source quench. Tout autre
message d'erreur ICMP (Destination Unreachable,Redirect, Time Exceeded,
and Parameter Problem) devrait avoir la valeur de leur priorité à 6
(INTERNETWORK CONTROL) ou 7 (NETWORK CONTROL). La valeur de priorité IP
pour ces messages d'erreurs PEUVENT être configurées".

Linux Kernel 2.0.x, 2.2.x, 2.4.x, vont agir comme routeur et vont fixés la
valeur de leurs champs de bits priorité à 0xc0 avec les messages d'erreurs
ICMP. Les dispositifs de gestion de réseaux vont agir de la même facon que
les routeurs CISCO basés sur IOS 11.x-12.x et Foundry Networks switches.

* DF bits echoing

Quelques piles TCP/IP vont répeter le DF bit avec des datagrammes
d'erreurs ICMP, d'autres (comme Linux) vont copier l'octet entierement, en
mettant a zéro  certains bits, d'autres encore vont ignorer ce champ et
configurer leur propre champ.

* IP ID filend (linux 2.4.0 - 2.4.4 kernels)

Les machines Linux basées sur un kernel 2.4.0-2.4.4 vont fixés la valeur
du champ IP identification avec leurs demandes de requetes ICMP et
répondent aux messages avec une valeur de 0.

Ceci fut fixé plus tard avec les kernels 2.4.5 et supérieurs.

* champ IP ttl (ttl la distance de la cible doit être précalculée pour
garantir la précision).

La valeur du champ est réduite à chaque point que l'en-tête IP est
traitée. La RFC791 déclare que la réduction de ce champ reflète le temps
passé à traiter le datagramme. La valeur du champ est mesurée par des
unités de secondes. La RFC déclare également que la valeur ttl maximum qui
peut être fixée est de 255 secondes, ce qui équivaut à 4.25 minutes. Le
datagramme doit être jeté si la valeur de ce champ est à zéro avant
d'atteindre sa destination.

Se réferer à ce champ comme une mesure d'évaluer le temps est un peu
trompeur. Des routeurs vont traités le datagramme plus vite qu'en une
seconde, et d'autres vont le traiter pendant plus d'une seconde. 

L'intention réelle est d'avoir une limitation supérieure à la durée de vie
du datagramme, ainsi les boucles infinies des datagrammes non délivrées ne
bloqueraient pas internet.

Avoir une limite à la durée de vie du datagramme nous aide à empecher des
vieux doubles d'arriver après qu'un certain temps soit déjà écoulé. Ainsi,
quand on retransmet une pièce de l'information qui n'a pas été délivré
precedemment, nous pouvons être assuré que le plus vieux double est déjà
jeté et qu'il n'interferera pas avec le processus.

La valeur du champ IP TTL avec ICMP a deux valeurs séparées, une pour les
demandes de messages ICMP l'autre pour les réponses aux demandes.

La valeur du champ IP TTL nous aide à identifier certains système
d'exploitation et groupes de systèmes d'exploitation. Il nous fournit
également les moyens les plus simples d'ajouter un autre contrôle de
critère quand nous faisons une demande a d'autres hôtes ou quand on écoute
le traffic (sniffing).

La prise d'empreinte basée sur le TTL demande une distance TTL de fait
pour être précalculées à l'avance (à moins que la prise d'empreinte du
systeme basé sur le réseau local soit un système performant).

Le message d'erreur ICMP va utiliser les valeurs utilisées elle-mêmes par
la réponse aux demandes de messages ICMP.

De bonne statistiques sur la dépendance des TTL sur le type d'OS à été
rassemblés à :
http://www.switch.ch/docs/ttl_default.html
(papier de recherche sur les valeurs ttl par défaut)


* champ TOS

La RFC 1349 définit l'usage du champ Type-of-Service avec les messages
ICMP. Il distingue entre les messages d'erreur ICMP (Destination
Unreachable, Source Quench, Redirect, Time Exceeded, and Parameter
Problem), demandes de messages ICMP (Echo, Router solicitation, Timestamp,
Information request, Address Mask request) et les messages de réponses
ICMP (Echo reply, Router Advertisement, Timestamp reply, Information
reply, Address Mask reply).

Des règles simples sont définies:
* Un message d'erreur ICMP est toujours envoyé avec le TOS par défault (0x0000)

* Un message de réponse ICMP peut être envoyé avec n'importe quelle valeur
dans le champ TOS. "Un mécanisme pour permettre aux utilisateurs de
spécifier la valeur TOS qui doit être utilisée serait un avantage utile
dans pas mal d'applications qui génère des messages de requetes ICMP.

Les RFC spécifient de plus que bien que les messages de requêtes ICMP soit
normallement envoyé avec le TOS par défaut, il y a parfois de bonnes
raisons pour lesquelles ils seraient envoyés avec d'autres valeurs TOS. 

* Un message de réponse ICMP est envoyé avec la même valeur dans le champ
TOS comme c'était utilisé dans les requetes de messages ICMP correspondant.

Quelques systèmes d'exploitation vont ignorer la RFC 1349 quand ils
envoient des messages de réponse ICMP echo, et n'enverrons pas la même
valeur dans le champ TOS comme utilisé dans les messages de requète ICMP
correspondant.

en-tête ICMP des paquets ICMP répondus:

* ICMP error message quoting size

Tous les messages d'erreur se composent d'un entête IP, d'un entête ICMP
et d'une certaine quantité de données du datagramme original, qui à
déclenché l'erreur (aka datagramme fautif).

Selon la RFC 792, seulement 64 bits (8 octets) du datagramme original est
supposé être inclus dans le message d'erreur ICMP. Toutefois, la RFC 1122
(parue plus tard) recommande plus de 576 octets pour être cités.

La plupart des "plus vieilles" implementations de piles TCP inclueront 8
octets dans le message d'erreur ICMP. Linux/HPUX 11.x, Solaris, MacOS et
d'autres en inclueront plus.

Remarquablement intéressant est le fait que les ingénieurs Solaris n'ont
probablement pas lu la RFC assidument ( puisqu'au lieu de 64 bits, Solaris
2.x inclus 64 octets (512 bits) du datagramme original.

* intégrité des ICMP error message echoing
Un autre objet qui a été remarqué est que quelques implémentations de
piles, quand elles renvoient une message d'erreur ICMP, peuvent modifier
l'entête IP du paquet fautif et les données fondamentales du protocole,
qui est répeté en retour avec le message d'erreur ICMP. 

Depuis des erreurs, faites pas les programmeurs de piles TCP/IP sont
différentes et spécifique à un système d'exploitation, et l'analyse de ces
erreurs peuvent donner à un attaquant potentiel la possibilité de faire
des prévisions sur le système d'exploitation de la cible.

Additional tweaks and twists:
* Utilisation différentes des champs de code zéro dans les requetes ICMP
écho.

Quand un code ICMP dont la valeur du champ est différente de zéro (0) est
envoyé avec un message ICMP echo request (type 8), les systèmes
d'exploitation qui vont répondre a notre demande avec un message de
réponse ICMP echo, sont ceux qui sont basé sur un des systèmes
d'exploitation Micro$oft, qui renverront un code ICMP dont la valeur du
champ == 0 avec réponse ICMP echo reply. D'autres systèmes d'exploitation
( et dispositif réseaux) répeteront la valeur du champ du code ICMP que
nous utilisions avec l'ICMP echo request.

Les systèmes d'exploitation Micro$oft agissent contrairement aux
directives de la RFC 792 qui instruit les systèmes d'exploitations a ne
changer que le type ICMP en Echo reply (type 0), recalculer les checksums
et envoyer l'ICMP echo reply. 

* Utilisation du DF bit echoing avec les messages ICMP query

Comme dans le cas des messages d'erreur ICMP, des piles TCP vont répondre
à ces demandes, alors que d'autres non.

* D'autres messages ICMP:
*ICMP timestamp request
*ICMP information request
*ICMP address mask request

Quelques piles TCP/IP supporte ces messages et répondent a quelques unes
de ces requêtes.

--[Xprobe implementation]--

Actuellement, Xprobe déploie un arbre logique, développé par Ofir Arkin
dans "Project X". Initialement, un datagramme UDP est envoyé à un port
fermé dans le but de déclencher le message d'erreur ICMP: ICMP unreachable
port unreach. (ceci installe une limitation d'avoir au moins un port non
filtré sur le système cible sans qu'un service soit en train de tourner).
D'ailleurs, quelques tests (icmp unreach content, DF bits, TOS ...),
peuvent être combiné dans une requête simple, puisque ils n'affectent pas
leurs resultats les uns les autres. 
Sur la réception du datagramme ICMP unreachable, le contenu du datagramme
est examiné et une décision de diagnostic est faite: si d'autres essais en
plus sont demandés, selon l'arbre logique, d'autres requetes sont
envoyées. 

--[ Logic tree]---

Récapitulation rapide de l'organisation de l'arbre logique:

Initialement toutes les implémentations de piles TCP/IP sont séparées en 2
groupes, ceux qui vont répeter la priorité des bits précedents, et ceux
qui ne le feront pas. Ceux qui repetent la priorité des bits (linux 2.0.x,
2.2.x, 2.4.x, Cisco IOS 11.x-12.x, Extreme network switches,etc..), étant
différencié encore basé sur la taille de l'ICMP error. (Linux colle avec
la RFC 1122 ici et répete jusqu'a 576 octets, alors que les autres dans ce
sous-groupe echo seulement 64 bits (8 octets). D'autres contrôles
d'intégrité echo sont utilisés pour différencier des routeurs Cisco, des
commutateurs extrêmes d'autres réseaux.

Time-to-live et champs IP ID de l'ICMP echo reply sont utilisés pour
reconnaitre la version du kernel linux.

La même approche étant utilisé pour reconnaitre d'autres piles TCP/IP. Les
données faisant l'écho de validation (quantité d'octets du datagramme
original répétés, validation du checksum, etc ...). Si des informations
supplémentaires sont demandés pour diferrencier deux piles IP
"similaires", des requetes supplémentaires sont envoyées. (referrez-vous
au diagramme a http://www.sys-security.com/html/projects/X.html pour plus
de détails sur une explication/graphic de la représentation de l'arbre
logique.

Un des sérieux problèmes avec l'arbre logique, est que ajouter un nouveau
type de système d'exploitation a celui-ci devient extremement douloureux.
Parfois, une partie entiere de l'arbre logique doit retravaillée pour
s'adapter à une description simple. Par conséquent, une méthode de prise
d'empreinte basé sur la signature a attiré de près notre attention.

--[signature based approach]--
L'approche basé sur la signature est ce sur quoi nous nous centrons
actuellement et qui, nous le croyons sera plus stable, plus fiable et plus
flexible méthode de prise d'empreinte ICMP à distance.

La méthode basé sur la signature est actuellement basé sur 5 différents
tests, qui peuvent optionnellement être inclues dans chaque empreinte de
pile de systèmes d'exploitation. Initiallement, les systèmes avec la
moindre quantité de tests sont examinés (qui démarre normallement avec un
test ICMP unreach).

Si aucune pile d'OS trouvée ne correspond à la signature recue, ces piles
qui correspondent en partie, étant regroupés encore, et un autre test
(basé sur le peu de quantité de tests émis par principe) est choisi et
executé. Cette vérification est répétée jusqu'a ce une pile de l'OS,
corresponde complètement a la signature trouvée, ou alors les tests
s'arretent.

Les tests suivants sont actuellement développés:

* test ICMP unreachable ( basé sur un port udp fermé, hote unreachable,
  reseau unreachable (pour les systèmes qui sont pensées etre des gateways)
* ICMP echo request/reply test
* ICMP timestamp request
* ICMP information request
* ICMP address mask request

--[future implementations/development]--

Les sujets suivants sont prévus d'être développé (nous acceuillons les
discussions et suggestions sur ce sujet avec grad plaisir):
* fingerprints database (actuellement en phase de test)
* Dynamic, AI based logic (projet à long terme :))
* Tests devraient fortement dépendre de la topologie du reseau (pre-test
  de mapping du reseau auront lieu.
* Path-to-target test (pour calculer l'hops distance de la cible) sondage
  des dispositifs filtrant
* Implementations futures utiliseront des paquets avec les données de
  l'application actuelle pour écarter les chances d'être détectées.
* d'autres capacités de mapping de réseau devrait être inclue
  ( indentification du rôle du reseau, recherche de port UDP fermé,
  reachability tests, etc).

--[code for kids]--

Codes actuellement implémentés et plus de documentation sont disponibles a
ces adresses suivantes:

http://www.sys-security.com/html/projects/X.html

http://xprobe.sourceforge.net

http://www.notlsd.net/xprobe/

Ofir Arkin <ofir@sys-security.com>
Fyodor Yarochkin <fygrave@tigerteam.net>

|=[ EOF ]=---------------------------------------------------------------=|