El OS Fingerprinting es una técnica que cosiste en analizar las huellas que deja un sistema operativo en sus conexiones de red. Está basada en los tiempos de respuesta a los diferentes paquetes, al establecer una conexión en el protocolo TCP/IP, que utilizan los diferentes sistemas operativos.
Los programas que se utilizan para realizar OS Fingerprinting se basan en dos filosofías, escáner pasivo o activo:
- En un escáner activo la herramienta envía paquetes esperando una respuesta del sistema operativo y la compara con su base de datos. Suele usar técnicas como: inundación de paquetes SYN, envió de flags TCP incorrectos, envió de paquetes FIN… Estas técnicas son fáciles de detectar.
- En un escáner pasivo la herramienta escucha el trafico para identificar las maquinas que actúan en la red comparando sus tiempos de respuesta pero sin actuar en la red. Es una técnica más difícil de detectar pero tiene dos inconvenientes: algunas veces hay que esperar mucho tiempo si el sistema que queremos identificar no envía paquetes, no podemos identificalo y al no enviar peticiones la herramienta no genera respuestas esto limita su acción al ámbito de broadcast, se puede solucionar con técnicas de envenenamiento de la cache ARP.
Satori es una herramienta de OS fingerprinting pasivo que utiliza pcap. Satori utiliza los comportamientos en la red de los siguientes elementos para identificar sistemas: sistemas Windows, dispositivos HP(gracias al uso de HP Switch Protocol), dispositivos Cisco (envió paquetes CDP), teléfonos VoIP y servidores DHCP. Satori está disponible para Windows y para Linux.
