Về mặt lý thuyết bạn có thể đưa ra một mức độ tự tin có ý nghĩa trong hầu hết các trường hợp. Có một vài cảnh báo mặc dù điều đó làm cho nó khó hơn nhiều trong thực tế.
Tôi sẽ chồng chéo các câu trả lời khác, và có lẽ tôi đã bỏ lỡ những thứ đó, nhưng đây ít nhất là một lý do chi tiết về lý do tại sao các bit cụ thể này quan trọng hoặc không.
Trước tiên, hãy quên mọi suy nghĩ về địa chỉ MAC. Trừ khi bạn có quyền truy cập trực tiếp vào phân khúc mạng, bạn sẽ không thể nhìn thấy chúng.
Cũng không tin tưởng quét cổng. Đó là tầm thường đối với các cổng tường lửa chỉ cho một số IP nhất định, chỉ có phần mềm nghe trên một số IP nhất định hoặc có hệ thống IDS / IPS áp dụng lọc khi phát hiện quét. Tất cả những điều này sẽ làm hỏng thử nghiệm của bạn.
Ok, vì vậy cách bạn có thể nói rất đơn giản: xác suất hai hộp giống hệt nhau là thấp trừ khi chúng có liên quan với nhau. Vì vậy, những gì bạn thực sự đang làm là cố gắng chứng minh chúng là những hộp khác nhau, không cố gắng chứng minh chúng giống nhau.
Bình. Bạn cần kiểm tra cả hai cùng một lúc và làm nhiều bài kiểm tra. Hóa ra trong khi có nhiễu jitter trong thời gian mạng thì nó là nhiễu giả ngẫu nhiên chất lượng khá cao, nếu bạn có đủ mẫu trong một khung thời gian nhỏ, nhiễu trung bình đủ để cung cấp cho bạn một so sánh chính xác.
Mỗi lớp 2 hop trong một mạng sẽ thêm một độ trễ nhỏ, các mức độ tắc nghẽn khác nhau sẽ cho các giá trị độ trễ khác nhau. Nếu hai IP hiển thị độ trễ đồng thời khác nhau đáng kể thì bạn có thể cho rằng chúng có thể không phải là cùng một hộp.
Hãy cẩn thận 1: Một máy chủ duy nhất có hai đường lên (không được liên kết) và được định cấu hình với một IP khác nhau trên mỗi đường lên có thể có đủ sự mất cân bằng đường lên để loại bỏ điều này.
Quét cổng. Các cổng đích có thể ở một trong ba trạng thái: nghe, đóng, lọc. Chúng thực sự không được sử dụng nhiều như đã nói ở trên, nhưng vẫn có thông tin hữu ích.
Các hộp có cổng mở trên nhiều IP rất có thể sẽ chạy cùng một phần mềm trên tất cả các IP. Có thể chạy, giả sử, nginx trên một IP và apache trên một IP khác, nhưng hầu hết mọi người không bận tâm. Vân tay các dịch vụ đang chạy để tìm sự tương đồng. Hãy tìm phần mềm và phiên bản mà nó tự quảng cáo, nó hỗ trợ các tùy chọn nào, tên máy chủ (nếu có) được quảng cáo, nếu có bất kỳ sự kỳ quặc nào trong hành vi của phần mềm, đại loại như vậy.
Các dịch vụ web ít hữu ích nhất cho việc này, hữu ích hơn nhiều là những thứ như SMTP (khó trộn và khớp do hỗ trợ sendmail, rò rỉ nhiều thông tin), SNMP (một mỏ vàng thông tin), SSH (người chạy nhiều trình nền SSH? ) và HTTPS (nếu bạn may mắn và họ đang chạy cùng một phần mềm, bạn có thể kiểm tra sự khác biệt trong cấu hình SSL, một cấu hình giống hệt nhưng khác thường là một chỉ báo tốt). NTP từng là một thử nghiệm tốt nhưng hiện tại nó đang bị khóa cứng do được sử dụng nhiều làm bộ khuếch đại DoS, SNTP không thực sự đủ chính xác cho một khẩu súng hút thuốc theo cách tương tự.
Dấu vân tay lớp 3. Cách chính để lấy dấu vân tay của một hệ điều hành từ xa là từ các yêu cầu trong triển khai TCP / IP. Các chi tiết chính xác quá dài để đi vào đây nhưng về cơ bản siêu dữ liệu gói rò rỉ rất nhiều thông tin, cũng như cách một cổng đóng hoặc bộ lọc phản ứng với một kết nối và cách máy chủ hoạt động khi nhận các gói không đúng định dạng. Mặc dù các đặc điểm này không phải là một điều nhất định để nói những gì đang chạy, nhưng chúng được đảm bảo hợp lý để gần giống nhau cho mọi IP bị ràng buộc với một ngăn xếp TCP / IP cụ thể. Các hệ thống khác nhau đáng kể nên có các đặc điểm khác nhau đáng kể.
Hãy cẩn thận 2: Hai hộp chạy chính xác cùng một bản vá hệ điều hành và nhà cung cấp có thể trông giống nhau. Trên Windows, hai bản sao của cùng một phiên bản Windows đang chạy các bản cập nhật tự động sẽ không thể phân biệt được trừ khi chúng có các tường lửa khác nhau đang chạy. Trên Linux, sự khác biệt có thể liên quan chủ yếu đến chính xác phiên bản kernel và các tùy chọn nào được cung cấp. Thử nghiệm này chỉ có thể đưa ra xác suất cao rằng hai IP không nằm trên cùng một hệ điều hành.
Phát lại các cuộc tấn công. Với danh sách các cổng được mở trên cả hai IP, hãy thực hiện các hành động giống hệt nhau trên mỗi IP và tìm kiếm sự khác biệt trong hành vi. Những thứ như thời gian chờ, thông báo lỗi, giới hạn thử lại, v.v ... Một số phần mềm khó hơn hoặc ít được cấu hình để khác nhau dựa trên IP. Nếu bạn biết một IP đang chấp nhận thư cho một tên miền cụ thể, hãy xem liệu IP kia có chấp nhận thư cho tên miền đó không.
Hãy cẩn thận 3: Đây là dữ liệu chất lượng thấp hơn phần lấy dấu vân tay dịch vụ của thử nghiệm 2 vì công cụ này dễ cấu hình khác nhau trên các IP khác nhau và có thể có tất cả các loại tương tác phía sau hậu trường. Cơ hội cao cho kết quả sai làm cho ít tin tưởng vào những kết quả đó.
Vì vậy, như tôi đã nói, lý thuyết cơ bản là các máy chủ khác nhau có thể sẽ có cấu hình khác nhau và rò rỉ thông tin.
Điều này không giải thích được là khó khăn hơn nhiều để biết liệu cùng một trang web chạy trên hai IP là cùng một máy chủ hay hai máy chủ được cấu hình để dự phòng. Nó cũng không tính đến các quản trị viên hệ thống đang chạy quản lý cấu hình để giữ cho hệ thống của họ rất giống nhau. Nó cũng không chiếm các máy chủ lưu trữ nhiều dịch vụ đang chạy trên các máy chủ khác nhau đến một địa chỉ IP duy nhất.
Công nghệ ảo hóa ném một số spanners lẻ trong công trình. Các hệ thống được đóng gói như Docker đang chia sẻ đủ ngăn xếp để làm cho các container riêng biệt trông giống nhau hơn so với thực tế. Các ảo ảo được kết nối với một nic vật lý không thể phân biệt được với phần cứng riêng biệt về mặt vật lý nhưng không, chủ yếu xuất phát từ thực tế rằng cây cầu là phần mềm và do đó các gói phải đi qua ngăn xếp IP máy chủ.
Có nhiều cách để gây nhầm lẫn cho những người đang cố gắng kiểm tra độ lặp lại. Điều tốt nhất bạn có thể hy vọng là một mô hình có tỷ lệ nghi ngờ thấp.
Đạo đức của việc này, đối với những người đang chạy máy chủ, là bạn nên cấu hình máy chủ của mình để rò rỉ càng ít thông tin càng tốt:
Tắt thông tin biểu ngữ càng xa càng tốt. Càng ít cuộc tấn công biết về cấu hình của bạn thì càng tốt cho bạn.
Có phần mềm chỉ chấp nhận các kết nối trên IP mà nó được cho là đang phục vụ và chỉ khi cần thiết. Nếu nó không cần phải có thể truy cập được từ bên ngoài, hãy làm cho nó liên kết với localhost. Giảm bề mặt tấn công luôn tốt.
Nếu bạn hoàn toàn phải có một cái gì đó lắng nghe và bạn muốn tránh sự tương quan giữa hai IP, hãy cố gắng giữ các tùy chọn bất thường ở mức tối thiểu. Bạn muốn nó hòa trộn vào.
Có một tường lửa chạy với một chính sách thả mặc định. Tôi nghĩ rằng có thể có giá trị trong thiết lập IDS đáp ứng những kẻ tấn công bằng các phản ứng ngẫu nhiên, tiếng ồn sẽ khiến kẻ tấn công khó tin tưởng vào kết quả của chúng hơn nhưng lại khiến bạn nổi bật.
Các mô-đun trì hoãn ngẫu nhiên là vô giá trị để ngăn chặn các cuộc tấn công thời gian. Không, thực sự. Chọn một số ngẫu nhiên sau đó lăn một loạt các lần, viết ra kết quả cộng với số bạn đã chọn lúc bắt đầu. Những gì bạn kết thúc là một phạm vi với một bù cố định. Nếu số ngẫu nhiên được thay thế, phạm vi di chuyển. Nếu phạm vi được thay đổi, phần bù vẫn giữ nguyên và đó chỉ là vấn đề lặp lại quy trình lấy mẫu để có đường cơ sở mới.
Bình thường hóa ngăn xếp IP tồn tại nhưng là một phần bị bỏ quên trong nghiên cứu bảo mật lần trước tôi đã xem xét. Nó có thể là một thị trường tốt đẹp để đầu tư cho một nhà cung cấp bảo mật.