Недавний обзор безопасности на клиентском веб-сервере дал следующие результаты:
"[...] В тестируемой системе используются инкрементные идентификаторы IP. Это означает, что каждый исходящий IP-пакет имеет увеличивающийся номер идентификатора, который можно использовать для скрытого анализа нагрузки или для так называемого сканирования в режиме ожидания сторонних систем. [.. .] "
На экране системы отображаются увеличивающиеся номера идентификаторов:
$ sudo hping3 -c 3 --fast -p 80 -S xxx.xxx.xxx.xxx
HPING xxx.xxx.xxx.xxx (tun0 xxx.xxx.xxx.xxx): S set, 40 headers + 0 data bytes
len=44 ip=xxx.xxx.xxx.xxx ttl=122 DF id=14360 sport=80 flags=SA seq=0 win=8192 rtt=802.2 ms
len=44 ip=xxx.xxx.xxx.xxx ttl=122 DF id=14361 sport=80 flags=SA seq=1 win=8192 rtt=807.1 ms
len=44 ip=xxx.xxx.xxx.xxx ttl=122 DF id=14362 sport=80 flags=SA seq=2 win=8192 rtt=801.6 ms
Система представляет собой Windows Server 2003 SP2 (соответственно несколько серверов с балансировкой нагрузки).
Он может не подходить в качестве зомби-хоста в режиме ожидания, поскольку это полная противоположность простоя. Но если мы можем изменить поведение, мы хотим его изменить.
Я не могу найти никакой документации об алгоритме генерации последовательности IPID в стеке Windows TCP / IP, например если он увеличивается только по узлу или глобально, или если поведение изменилось в более поздних версиях Windows.
Только этот Доступен патч для улучшения случайности начального порядкового номера TCP
Может ли кто-нибудь указать мне на документацию о том, какая версия Windows использует какой алгоритм генерации последовательности IPID?
Есть ли какие-нибудь возможности изменить генерацию IPID?
http://msdn.microsoft.com/en-us/library/ms819768.aspx указывает, что он уже делает случайные числа. Вы говорите, что на самом деле это «несколько серверов с балансировкой нагрузки». Так какой IP пингуете? Вы бы хотели посмотреть.