Re: [ml] identificare un host con più ip

> di avere più IP sullo stesso server, in questi casi facendo un probe da
> internet come si riesce ad accorgersi, riconoscere che n-IP sono tutti
> sullo stesso server/dispositivo?

Puoi avere delle indicazioni analizzando IP ID, ISN, opzioni ip e tcp,
timestamp. Se si tratta di host con NetBIOS attivato, puoi usare delle
node status request (con nbtstat o nbtscan o...) per verificare il MAC
address e altri dati della macchina. Anche rpcdump.exe puo' dare utili
info in questo senso, su macchine win (piu' facile vedere l'output che
spiegare come interpretarlo).

Altre differenze di comportamento degli stack tcp/ip potrebebro dirti,
quanto meno, che sono macchine diverse.

Puo' essere indicativo cercare eventuali differenze negli orari, dove
siano visibili, nel clock degli host (es: http [1]) o file con data o
contenuti... pseudocerti serviti (es. postinfo.html per IIS, per data
di creazione e nome LM del'host) o altri dettagli tipo un etag http o
cose cosi'. Difficile riassumere o prevedere tutti i comportamenti di
ogni servizio possibile: si vede cosa c'e' e poi si cerca il modo per
trovare, se e' possibile, le info necessarie.

> -Se n-IP sono sullo stesso server e' probabile che siano sullo stesso
> demone potrei provare catturando i banner con amap di tutta la classe
> che sto verificando e cercare quelli altamente simili: probabilita' di
> successo? hmmmmmm

Ovviamente analisi a livello di applicazione non possono mostrare dei
dati significativi in caso di host che eseguono servizi diversi su ip
diversi. Forse si puo' avere piu' fortuna raccogliendo anche dei dati
sugli stack tcp/ip e correlandoli opportunamente. Ad es puoi fare uno
sweep con nmap -O -v e raggruppare gli ip per somiglianza dello stack
tcp/ip (TCP sequence perdiction, IPID Sequence generation e OS detail
sono i risultati piu' utili, direi). Poi, su questi, puoi andare piu'
a fondo (a quel punto sai solo che sono macchine simili).

> -Se n-IP sono sullo stesso server le richieste a questo server
> risponderanno con una finestra di numeri di sequenza simile, ma qui la
> cosa si complica e non poco perchè dovrei riuscire a prendere
> un'impronta di un sistema dai numeri di sequenza da poter confrontare
> con gli altri;
> forse ci siamo ...... e se ho due macchine gemelle?

In caso di ISN linearmente crescenti potresti avere delle indicazioni
ababastanza definitive sulla situazione. Idem, e piu' facilmente, con
gli IP ID.

Anche qualora l'incremento fosse piu' o meno random si puo', in certi
casi, far delle previsioni sui numeri di SEQ successivi: due macchine
identiche avranno, magari, la stessa "figura" nello spazio delle fasi
ma se l'ISN e', in qualche modo, ragionevolmente predicibile...

Anche analisi statistiche sugli rtt potrebbero aiutare, per risolvere
dei casi indeterminati: se "carichi" la rete o un servizio in ascolto
su un ip e, poi, noti variazioni nei tempi di risposta degli altri ip
che sospettavi che fossero sullo stesso host potresti avere ulteriori
indicazioni. Eventuali colli di bottiglia comuni agli host potrebbero
essere causa di ulteriore indeterminazione (es segmento di rete lento
in comune, rdbms lento in comune tra piu' server web, ecc. ecc.).

> Non funziona più

Dubito che ci sian dei singoli probe validi sempre e comunque in ogni
caso. L'approccio potrebbe dover essere diverso caso per caso.

Considera anche il caso in cui ci son diversi ip su un unico host che
redirige il traffico ad altri server alle sue spalle, magari solo per
certe porte. Alcuni test mostreranno che si tratta d'un solo host con
piu' ip mentre altri potrebbero evidenziare meglio la situazione. Non
trascurare neanche la possibilita' che a un solo ip apparente possano corrispondere piu' host reali, se il caso e' di tuo interesse.


Fabio

[1] attenzione agli eventuali proxy http nel mezzo, nell'interpretare
    l'header "Date".