我們將很快進行一些滲透測試,並希望清理一些東西。其中之一是 Windows 中的 TCP 時間戳記。簡單的 NMAP 掃描顯示了對 TCP 時間戳記的猜測,這實際上是相當準確的。我們運行 Sonicwall 防火牆,技術支援告訴我,它無法在防火牆層級刪除時間戳。查看Windows環境,似乎以下命令應該有效:
To set using netsh:
netsh int tcp set global timestamps=disabled
To set using PowerShell cmdlets:
Set-NetTCPSetting -SettingName InternetCustom -Timestamps Disabled
應用並重新啟動伺服器後,NMAP 似乎仍然顯示時間戳記。
有人有這樣的運氣嗎?或者我是唯一嘗試此操作的人:) 似乎不推薦,那麼您如何處理這個問題?
謝謝。
答案1
TCP 時間戳用於提高效能並防止遲到的資料包擾亂資料流。如果停用 TCP 時間戳,效能會更差,連線可靠性也會降低。無論使用何種方法停用 TCP 時間戳,情況都是如此。
中間件對封包進行的任何修改都可能導致其他問題,因為 TCP 端點不需要考慮此類修改。
TCP 時間戳需要隨時間單調成長。因此它們必然是可預測的。我沒有看到任何文件表明這種可預測性是一個問題。
從技術上講,可以改變初始偏移量和成長率,這樣您發送到 IP 位址的時間戳就不能用於預測您將發送到另一個 IP 位址的時間戳。
所以我的建議很明確。
- 不要弄亂防火牆上的時間戳記。
- 向滲透測試人員請求更多信息,記錄為什麼可預測的時間戳會成為問題以及建議的端點配置。
- 根據需要將配置設定套用到端點。