[LACNIC/Seguridad] versiones clientes DNS

Carlos Martinez-Cagnazzo carlosm3011 en gmail.com
Vie Feb 3 16:32:13 BRST 2012


Hola!

se me ocurre que una combinacion de analisis de los query-id's junto con 
los puertos de origen UDP te pueden llegar a dar informaci'on 
aproximada. Seria algo asi como el OS fingerprinting que hace nmap pero 
de forma pasiva, es decir, esperando que te lleguen las consultas.

Algunos links que pueden ser relevantes, aunque ambos hablan de usar 
ICMP y TCP:

http://www.ouah.org/incosfingerp.htm
http://www.netresec.com/?page=Blog&month=2011-11&post=Passive-OS-Fingerprinting

Como dice Ivan, es un proyecto interesante.

s2

Carlos

On 2/3/12 10:14 AM, Iván Arce wrote:
> Hola
>
> No conozco nada que dado un query DNS (visto desde el server) pueda
> determinar el sistema operativo y el tipo y version del cliente de DNS.
>
> Para determinar solo el sistema operativo del cliente podes usar p0f,
> pero creo que en modo pasivo solo sirve con protocolos TCP y HTTP.
>
> http://lcamtuf.coredump.cx/p0f3/
>
> Es un proyecto interesante! A priori, creo que el comportamiento de
> distintos clientes DNS podría ser distinguible si utiliza un server DNS
> instrumentado para elicitar las consultas adecuadas. Una de las posibles
> vía de investigación es identificar clientes en función de la secuencia
> de query IDs que utilizan para sus consultas.
>
> saludos,
> -ivan
>
>
> On 2/3/12 3:01 PM, Victor Hugo dos Santos wrote:
>> Hola,
>>
>> me solicitaron realizar una estadística de las consultas a los DNS.
>> estoy intentando averiguar si existe alguno proyecto ya desarrollado
>> que me permita por ejemplo clasificar los SO/software y ojala las
>> versiones de los clientes que estan realizando las consultas a un
>> DNS... por ejemplo:
>>
>> 420 windows 95
>> 150 linux/bind 9.0.3
>> 100 mac/bind 8.02
>> 300 Iphone/IOS 3
>> etc.. etc.
>>
>> saben de algo por el estilo ??
>>
>> salu2
>>
>>
> _______________________________________________
> Seguridad mailing list
> Seguridad en lacnic.net
> https://mail.lacnic.net/mailman/listinfo/seguridad



Más información sobre la lista de distribución Seguridad