Prise d'empreinte de la pile TCP/IP
La prise d'empreinte de la pile TCP/IP (en anglais : TCP/IP stack fingerprinting ou OS fingerprinting) est un procédé permettant en informatique de déterminer l'identité du système d'exploitation utilisé sur une machine distante en analysant les paquets provenant de cet hôte.
Il y a deux types différents de fingerprinting :
- L'OS fingerprinting passif qui consiste à identifier le système d'exploitation uniquement à l'aide des paquets qu'il reçoit et ce en n'envoyant aucun paquet.
- L'OS fingerprinting actif qui, au contraire, envoie des paquets et en attend les réponses (ou l'absence de réponses). Ces paquets sont parfois formés de manière étrange car les différentes implémentations des piles TCP/IP répondent différemment face à de telles erreurs.
Quelques outils de détection d'OS :
- Actif : Nmap, xprobe [1], Scapy,
- Passif : p0f (basé sur les paquets TCP), Scapy, Ettercap, le pare-feu Netfilter à partir du noyau 2.6.31 de Linux.
Voir aussi[modifier | modifier le code]
Liens externes[modifier | modifier le code]
- (fr) AutoScan Network - Outil Scanner réseau avec prise d'empreinte de la pile TCP/IP
- (en) Détection d'OS à distance via TCP/IP Stack FingerPrinting (article paru dans le numéro 54 du magazine électronique Phrack, une traduction en langue française est disponible sur le site web du projet Phrack-fr)
- (en) Faire échouer les scans de type TCP/IP Stack Fingerprinting