Re: [ml] identificare un host con più ip

In questi casi, come aveva gia' osservato Koba, la situazione piu' 
comune e' quella di avere una server farm dietro (magari con 
indirizzamento privato) ed un load balancer davanti che "esce" con un 
solo indirizzo IP e poi smista il traffico. La server farm pero' e' 
composta non solo da macchine simili tra loro, ma quasi sicuramente da 
macchine IDENTICHE tra loro. Spesso sono macchine clonate, quindi stesso 
hardware, stesso software. Tutte le tecniche basate sulle differenze tra 
i sistemi operativi sono, secondo me, destinate a fallire miseramente 
(banner di server p. e.). Tutto cio' che concerne i MAC non e' 
applicabile da remoto. Netbios si puo' usare solo in casi Win e comunque 
tipicamente ci sara' un firewall davanti che lascia passare 1 porta sola 
verso il load balancer, rendendo inefficace qualunque test su altre 
porte. L'analisi dell'ISN e' anch'essa destinata a fallire miseramente 
perche' oggi come oggi i sistemi operativi seri generano l'ISN in 
maniera cosi' casuale che non e' capibile se 2 ISN di 2 sessioni 
differenti siano provenenti dalla stessa macchina o da 2. A tal 
proposito si puo' approfondire il discorso con

Zalewski: "Strange attractors and TCP/IP Sequence Number Analisys"

e ancora meglio

Zalewski "Strange attractors and TCP/IP Sequence Number Analisys - One 
Year Later"

Secondo me alla fine l'unica tecnica possibile e' l'uso dell'IPID, ma 
solo in taluni casi. Infatti la tecnica dell'IDLESCAN (che fa ampio uso 
della predicibilita' dell'IPID) e' efficace con alcuni sistemi (vedi Win 
e Solaris), ma e' totalmente inefficace con altri (Linux). Anche se non 
utilizzabile nella totalita' dei casi credo sia l'unica tecnica che piu' 
si avvicina alla soluzione.

Alessandro Fiorenzi wrote:

> Salve a tutti, facendo un v.a. di alcuni miei sistemi mi sono posto il 
> seguente problema.
>
> Puo' capitare, e capita spesso in caso di load balancer, proxy etc..., 
> di avere più IP sullo stesso server, in questi casi facendo un probe 
> da internet come si riesce ad accorgersi, riconoscere che n-IP sono 
> tutti sullo stesso server/dispositivo?
>
> Ho fatto una ricerca veloce anche su pen-test, ma non ho trovato 
> nulla. Allora o cominciato a pensare a qualche soluzione:
>
> -Fino a che sono su una rete interna posso usare l'arp e verificare 
> con quello e ottengo il risultato, ma quando sono su internet questo 
> non vale più
> -Se n-IP sono sullo stesso server e' probabile che siano sullo stesso 
> demone potrei provare catturando i banner con amap di tutta la classe 
> che sto verificando e cercare quelli altamente simili: probabilita' di 
> successo? hmmmmmm
> -Se n-IP sono sullo stesso server le richieste a questo server 
> risponderanno con una finestra di numeri di sequenza simile, ma qui la 
> cosa si complica e non poco perchè dovrei riuscire a prendere 
> un'impronta di un sistema dai numeri di sequenza da poter confrontare 
> con gli altri; forse ci siamo ...... e se ho due macchine gemelle? Non 
> funziona più
>
> Qualcuno sa se si può fare, o ha un idea di come fare?
>
> Alessandro Fiorenzi
>
>
> ________________________________________________________
> http://www.sikurezza.org - Italian Security Mailing List

--
Dario Lombardo
Centro Sicurezza Be-Secure
Telecom Italia Lab



Gruppo Telecom Italia - Direzione e coordinamento di Telecom Italia S.p.A.

====================================================================
CONFIDENTIALITY NOTICE
This message and its attachments are addressed solely to the persons
above and may contain confidential information. If you have received
the message in error, be informed that any use of the content hereof
is prohibited. Please return it immediately to the sender and delete
the message. Should you have any questions, please send an e_mail to 
MailAdmin@xxxxxxxxxx Thank you
====================================================================