Un outil capable d’identifier à distance la version du système d’exploitation d’un appareil en réseau peut être utile pour les administrateurs de réseau et les analystes de la sécurité qui sont responsables de la protection d’un réseau. Un outil d’identification des systèmes d’exploitation peut fournir des renseignements contextuels et s’avérer encore plus précieux s’il n’interrompt pas le trafic du réseau et s’il est indétectable de façon normale.

Le Groupe de recherche sur la sécurité des réseaux du Centre de recherches sur les communications (CRC) a élaboré une série de tests de détection passive des systèmes d’exploitation et a développé un outil logiciel prototype pour valider le principe. Pour tous les tests implémentés dans l’outil passif, appelé "Caractérisation passive des systèmes d’exploitation par regroupement de paquets" (ou M.SPOC pour Multi-packet State-aware Passive Operating system Characterization), l’approche se fonde sur l’analyse des en-têtes des paquets dans les couches liaison de donnée, réseau et transport; par conséquent, l’outil ne dépend pas de l’accès aux données d’application. Plus d’une dizaine de tests ont été conçus pour analyser les en-têtes des paquets présents dans un réseau. Les tests portent sur différents types d’en-têtes de protocole : ARP, IP, ICMP, UDP et TCP. M.SPOC dépasse l’analyse des paquets individuels couramment mis en œuvre dans les outils d’identification des systèmes d’exploitation commerciaux et libres. Le caractère unique de cette approche réside dans l’utilisation de mécanismes qui prennent en compte l’état des communications tout en demeurant peu complexe du point de vue calculatoire.

Plus de 200 versions de systèmes d’exploitation parmi les gammes les plus populaires ont été interrogées méthodiquement avec notre banc d’essai et M.SPOC a été utilisé pour recueillir et stocker les signatures observées.

Pour de plus amples renseignements, cliquez ici