Native JRE и JDK 1.3.1 для FreeBSD 4.x

2anonymous (*) (2003-08-28 18:50:37.028958)

Бегом назад в свою летающую тарелку! Летают тут всякие...

:-)

М - да повторил с диапазоном 0:65535
Думал вдруг они чего действительно по icmp-port-unrichable анализируют - все то же самое неткраFт проверяет только по 80 порту

Все - зарекся я слушать бредни анонимусов ;)

>неткраFт проверяет только по 80 порту 
И правильно делает. Они ж не кульхацкеры, им до пизды, что там на самом деле. Если ты хочешь, чтобы _все_ думали про твой Apache под Linux, что это IIS5 под XP - какой смысл им тебя на чистую воду выводить? Статистика Неткрафта - это отражение субъективных реальностей.

//Losiki

> Статистика Неткрафта - это отражение субъективных реальностей.

"...реальность, данная нам в ощущениях"...

>напоминает спор с Ogr'ом годичной давности. Тот говорил
>примерно то же - про возможность определения ОС на уровне >веб-сервера.

Не понял ?
Речь шла об определении типа оси на сервере или на клиенте ?
вообще существуют обе возможности с точностью до статистики
Для статистики серверов существует неткрафт
А приблизительную статистику по клиентам дает счетчик на том же
mail.ru - там правда вряд ли кто то анализирует пакеты - это задачка очень непроста чисто технически

> вообще существуют обе возможности с точностью до статистики
> Для статистики серверов существует неткрафт
> А приблизительную статистику по клиентам дает счетчик на том же mail.ru

Никак не угомонишься? ;) По-моему проще прочесть, что есть такое layer-7, чем нести километры пурги...

> Думал вдруг они чего действительно по icmp-port-unrichable анализируют

Я не ошибся с диагнозом ;) Уймешься ты или нет?

>Никак не угомонишься? ;) По-моему проще прочесть, что есть такое layer-7, чем нести километры пурги...

Не пояснишь мысль - а то ты постоянно переходишь от одной темы к другой я не поспеваю за твоим полетом мысли - этот тут каким боком ?

>Никак не угомонишься? ;) По-моему проще прочесть, что есть такое layer-7, чем нести километры пурги...
Ты про это ?
http://freshmeat.net/projects/l7-filter/?topic_id=20%2C87%2C136%2C150%2C151
Или про чего еще ?

Ну чего тут пояснять? Тебе теорию на пальцах или сам прочтешь?
Только из уважения к кодерам ;)

Ты сказал: "Именно по анализу http". http - это layer-7, ничего
общего с fingerprint'ами стека не имеющий. Попробуй для начала rtfm.

>Ты сказал: "Именно по анализу http". http - это layer-7, ничего

Если я скажу что анализируется TCP и IP уровни поверх которых идет
http тебе полегчает ?


>общего с fingerprint'ами стека не имеющий. Попробуй для начала rtfm.

Ты серьезно думаешь что я не знаком с инкапсуляцией протоколов
или придуриваешся ?

> Ты про это ?

Чесслово задолбал. "Это" - Application Layer Packet Classifier.
А я говорю про путаницу в твоей голове, связанную с
неспособностью понять, что порт 80 выбран для соединения не
потому, что они анализируют http-трафик, а в виду его
доступности и общепринятости для публичных серверов, и еще
потому, что минимальна возможность отлупа от файрвола.

> Ты серьезно думаешь что я не знаком с инкапсуляцией протоколов или придуриваешся ?

Абсолютно серьезно. Иначе бы ты не говорил те глупости,
которые ты говорил.

>А я говорю про путаницу в твоей голове, связанную с

Я пока что наблюдаю путаницу в вашей ;)

>неспособностью понять, что порт 80 выбран для соединения не
>потому, что они анализируют http-трафик, а в виду его
>доступности и общепринятости для публичных серверов, и еще
>потому, что минимальна возможность отлупа от файрвола.

Угу - а по каким таким характеристикам TCP/IP стека неткрафт определяет версию вебсервера - а если я туда скжем повешу ssh
что он скажет ? ;)

> Ты серьезно думаешь что я не знаком с инкапсуляцией протоколов или придуриваешся ?

>Абсолютно серьезно. Иначе бы ты не говорил те глупости,
>которые ты говорил.

Ну то есть вас не устроила фраза про "http траффик" ?
Согласен - что она не корректна - извините я думал что вы поймете контекст

заменим ее на "анализируются характеристики TCP сессии по которой передается http траффик" так правильнее ? ;)

Ух как с вами тяжело вести конструктивную беседу - просто кошмар ;)

> а по каким таким характеристикам TCP/IP стека неткрафт определяет версию вебсервера

Здесь ты прав - в этом случае он работает на уровне application data, и получает то, что ему подсунули. Но ты позабыл, что мы
говорили первоначально об ОС. И судя по твоим речам эти дела
сильно перепутались в твоей голове: ОС и название вебсервера...

> Ну то есть вас не устроила фраза про "http траффик" ?

Нет, не только эта фраза ;)

>Но ты позабыл, что мы
>говорили первоначально об ОС. И судя по твоим речам эти дел
>сильно перепутались в твоей голове: ОС и название вебсервера...

Я вижу у вас просто сильное желание "опустить" собееседника
подобными замечаниями - следующий этап видимо будет придирка
к опечаткам - тут уж звиняйте - печатаю вслепую на немецкой
клавиатуре без русских букв вслепую ...

>Нет, не только эта фраза ;)

Ну тогда давайте обсудим опечатки ;)

или вы по прежнему настаиваете на том
что примером для iptables с ttl=128 можно будет фильтровать
пакеты прошедшие через роутер ? ;)

Да, нет, ляпов хватает и без очепяток ;)
Ну видно это сразу - твердо человек знает, о чем говорит или он "плавает".

>Да, нет, ляпов хватает и без очепяток ;)
>Ну видно это сразу - твердо человек знает, о чем говорит или он "плавает".

Не пугайте дедушку бабушкой
- давайте обсудим "ляпы"

BTW: ктати почему вы говорите про layer-7

в TCP/IP 4 уровня - этож не ISO/OSI

> в TCP/IP 4 уровня - этож не ISO/OSI

Мои поздравления с новым открытием ;)

> в TCP/IP 4 уровня - этож не ISO/OSI

>Мои поздравления с новым открытием ;)

Дык это ваш ляп а не мой - давайте таки определимся в терминах какой сетевой модели мы будем вести дальнейшую дискуссию

Ну так 1:1 или еще засчитать фильтрацию по ttl ?

Я футбол не люблю ;) А что не нравится в фильтрации по ttl?
Я нигде не сказал, что она идеальна. Более того, я уже сказал,
что идеального анализатора нет и не будет...

Итак начнем:

1)anonymous (*) (2003-08-27 19:54:01.322175)
>По ttl может. Причем давным-давно. Как известно, у винды он 128, а у >людей 64.
>Так что виндень ловится на ура:
>iptables -A OUTPUT -m ttl --ttl 128
Про то что ttl будет убавлятся на 1 при каждом роутинге анонимус таки не подумал


2)anonymous (*) (2003-08-28 16:12:22.008182)
>Без теории, из чистой практике дам тебе пример:
>Попробуй на публичном сервере (так, чтобы до него мог
>достучаться netcraft) применить свой примерчик с измененным
t>tl на линуксе. Выставь его равным 128. И попроси netcraft
>определить ОС. Он скажет "unknown". Проверено на практике.

Попробовал - для чистоты эксперимента все TCP пакеты направлял в логи - результат - неткрафт определил как ОС так и вебсервер
результат был одинаковый как при DROP так и при REJECT
для TCP пакетов отличных от идущих на 80 порту


3)anonymous (*) (2003-08-28 19:43:01.079821)
>По-моему проще прочесть, что есть такое layer-7, чем нести >километры пурги...

В TCP/IP http это Layer 4


Свою неточность с http признаю ;)

так что по моим скромным раскладам 3:1 ;)

2anonymous (*) (2003-08-28 20:38:48.557198)

Вам еще причинными местами мерятся не надоело ?

Лучше бы задачку со скриншотом из консоли решили бы

У меня кстати есть пример решения - но не мой ;)

Что за задачка?

>Что за задачка?

Сделать скриншот консоли в любом из графических форматов
на скриптовом языке

Все что делает неткрафт, чтобы определить версию вебсервера - это банальный HEAD / HTTP/1.0 и парсинг ответа на предмет строки с версией сервера. ------> 95.92.95.15 - - [06/Aug/2003:23:36:52 +0400] "HEAD / HTTP/1.1" 200 0 "http://www.netcraft.com/survey/"; "Mozilla/4.0 (compatible; Netcraft Web Server Survey)" <-------- Можно поправить у апача src/include/httpd.h, и будет вам ваш c3wl_httpd/6.6.6. Версию ОС он определяет совсем по иным параметрам. Кстати, в NetBSD поставил ттл 128 - все равно неткрафт говорит что это NetBSD/OpenBSD :)

Зачем? Есть тулза для этого. Забыл название.

2tokza

Ну и я про то же ;)

>Зачем? Есть тулза для этого. Забыл название.
Это плохо что забыл ...чего то гугл про это дело молчит

Плохо ищешь. Я нашел целых два способа. Вот тулза:
http://bisqwit.iki.fi/source/snapscreenshot.html
http://bisqwit.iki.fi/src/arch/snapscreenshot-1.0.14.2.tar.bz2

Второй способ - dump через framebuffer и перевод в pcx
perl-скриптом.

>Плохо ищешь. Я нашел целых два способа. Вот тулза:
Да я особо и не искал
>http://bisqwit.iki.fi/source/snapscreenshot.html
>http://bisqwit.iki.fi/src/arch/snapscreenshot-1.0.14.2.tar.bz2

>Второй способ - dump через framebuffer и перевод в pcx
>perl-скриптом.

Не не то - там фреймбуфер непричем - там перл скрипт конвертит
cодержимое /dev/vcs* в графику без всяких фреймбуферов

tut pohoje nikto ne znaet kak opredelyaetsya httpd na servere =)))

http://uptime.netcraft.com/up/graph/?host=www.insanex.org

Эта программа ТОЛЬКО под линукс. абсолютный нестандарт :)

2 sS: не засчитывай это как решение :))

2 anonymous (*) (2003-08-28 21:54:39.042049):

Ну понтанулся, чувак... смотри мой пост выше.

2tokza, sorry ne zametil =) nu v obshem tak i est vse :) prosto vlom chitat' kajdiy comment kogda vezde huynya napisana

2tokza ttl ya toje menyal.. i netcraft eto ponyal tolko cherez paru dney, pishet unknown, no nmap vse ravno opredelyaet fbsd.. che delat' ne znyua :) v linuxe est module k yadru chto bi menyat vse tcp parametri.. a voobshe posmotri share/nmap/fingerprints i tam primerno ponyatno kak on opredelyaet os :)

2 anonymous (*) (2003-08-28 22:18:48.755111):

я в курсе, как nmap определяет ОС, что касается неткрафта, то freebsd он у меня при измененном ttl сразу же поставил в unknown. Чего нельзя сказать о netBSD (значит и о openBSD тоже) А nmap хорошо обманывается tcp.blackhole'ами в freebsd. в net- и open- этого вроде нету :(

2tokza blackholes eto da :)) posle togo kak ya ih vkluchil na 2 i 1 nmap perestal pokazivat' uptime :))))) tak i ostalos 10 dney.. hotya uje bolshe =) no vot nmap oni vse ravno ne obmanivayut.. drop syn fin toje vkluchen.. daje ne znayu che eshe menyat.. vse sysctl uje pomenyal

Это правда. Netcraft не сразу показывает измененные параметры.
Нужно ждать несколько дней. У меня в линуксе после изменения ttl netcraft 100% показывает unknown через некоторое время.

2 anonymous (*) (2003-08-28 22:31:57.548757):

ну ок буду ждать :))

2 anonymous (*) (2003-08-28 22:29:49.169641):

ну у меня он на этом останавливается:

Running (JUST GUESSING) : FreeBSD 4.X|5.X (93%), IBM AIX 4.X (92%), Microsoft Windows NT/2K/XP|2003/.NET (86%) Aggressive OS guesses: FreeBSD 4.7-RELEASE (X86) (93%), FreeBSD 4.7-STABLE (93%), IBM AIX 4.3.2.0-4.3.3.0 on an IBM RS/* (92%), FreeBSD 4.7-RELEASE (87%), IBM AIX 4.2.X-4.3.3.0 (86%), FreeBSD 4.1.1 - 4.3 (X86) (86%), FreeBSD 4.3 - 4.4-RELEASE (86%), FreeBSD 4.4-STABLE (86%), FreeBSD 5.0-RELEASE (86%), Microsoft Windows 2000 SP3 (86%) No exact OS matches for host (test conditions non-ideal)

a u menya nmap pishet fbsd4.7 :/ pochti tak i est... eto nmap3.30 a bolee starie versii idut lesom..

people esli kto nibud znaet che eshe mojno pomenyat v fbsd govorite :)

PS: narod u nas kak chat tut pryamo :))) zahodite na irc.insanex.org:6667 #megido ili cherez gate http://irc.medigo.ru/cgi-bin/irc.cgi

2 anonymous (*) (2003-08-28 22:40:48.594832):

у меня 4.8-стейбл, нмап 3.30 :)

Что в системе? то что насвкидку помню:

rc.conf: tcp_extensions="NO" tcp_drop_synfin="YES"

kernel: options TCP_DROP_SYNFIN

sysctl:

net.inet.tcp.blackhole: 2 net.inet.udp.blackhole: 1 net.inet.ip.ttl: 128

Может что еще...

vrode vse toje samoe krome TCP_EXTENSIONS=NO.. nado poprobovat

http, т.е. application level - это таки 5 уровень в TCP/IP