Se trata de identificar las aplicaciones aun cuando se estén ejecutando en un puerto diferente de lo normal. Esto se logra mediante el envío de paquetes de activación, y buscar las respuestas en una lista de cadenas de respuesta.
Sin cubrir las bases de datos con factores desencadenantes y las respuestas, la herramienta es inútil, a los autores les gustaría ayudar a llenar la base de datos. Cómo hacer esto? Bueno, cada vez que una aplicación cliente se conecta con el servidor, algún tipo de apretón de manos se intercambia (al menos, por lo general. Syslogd, por ejemplo, no dicen nada, snmpd y sin el derecho ni la cadena de comunidad). De todos modos, AMAP toma el primer paquete enviado de vuelta y la compara con la lista de la firma respuestas. Muy simple, realmente. Y en realidad, resulta ser realmente así de sencillo, al menos, para la mayoría de los protocolos.
Actualmente hay dos instrumentos para este fin: AMAP, y nmap - Ambos tienen sus puntos fuertes y débiles, ya que desplegar diferentes técnicas. Se recomienda utilizar ambos instrumentos para la identificación reliabe.
Las nuevas versiones de nmap también tienen una bandera acaparamiento de función.
Puede descargar aquí AMAP (codigo fuente)...
No hay comentarios:
Publicar un comentario