home *** CD-ROM | disk | FTP | other *** search
/ Chip 2007 January, February, March & April / Chip-Cover-CD-2007-02.iso / Pakiet bezpieczenstwa / mini Pentoo LiveCD 2006.1 / mpentoo-2006.1.iso / livecd.squashfs / usr / share / ike-scan / ike-backoff-patterns next >
Text File  |  2005-12-20  |  11KB  |  234 lines
  1. # The IKE Scanner (ike-scan) is Copyright (C) 2003-2005 Roy Hills,
  2. # NTA Monitor Ltd.
  3. #
  4. # This program is free software; you can redistribute it and/or
  5. # modify it under the terms of the GNU General Public License
  6. # as published by the Free Software Foundation; either version 2
  7. # of the License, or (at your option) any later version.
  9. # This program is distributed in the hope that it will be useful,
  10. # but WITHOUT ANY WARRANTY; without even the implied warranty of
  11. # MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
  12. # GNU General Public License for more details.
  14. # You should have received a copy of the GNU General Public License
  15. # along with this program; if not, write to the Free Software
  16. # Foundation, Inc., 59 Temple Place - Suite 330, Boston, MA  02111-1307, USA.
  17. #
  18. # If this license is unacceptable to you, I may be willing to negotiate
  19. # alternative licenses (contact ike-scan@nta-monitor.com).
  20. #
  21. # $Id: ike-backoff-patterns,v 1.34 2005/12/04 12:25:08 rsh Exp $
  22. #
  23. # ike-backoff-patterns -- Backoff patterns file for ike-scan
  24. #
  25. # Author: Roy Hills <Roy.Hills@nta-monitor.com>
  26. #
  27. # Format:
  28. # Implementation_Name<Tab>Backoff_Pattern
  29. #
  30. # Implementation_Name is a descriptive name for the IKE implementation
  31. # (and version if applicable).  Backoff_Pattern is the observed IKE
  32. # retransmission backoff pattern for this implementation.
  33. #
  34. # The backoff pattern is specified as a comma-separated list of backoff
  35. # times in seconds.  The first number is always zero and represents the first
  36. # packet received.  Subsequent numbers represent the expected delay in
  37. # seconds after the previous packet.  For example, "0, 2, 2, 2" means that a
  38. # total of four packets are sent with a delay of two seconds between each one.
  39. #
  40. # The numbers in the backoff pattern can be decimal numbers e.g. 1.5 for
  41. # one and a half seconds.  You can specify up to a maximum of 6 digits
  42. # after the decimal point (microsecond resolution), although anything
  43. # beyond millisecond resolution is not really practical.  ike-scan uses
  44. # a timeval struct to store the backoff pattern entries.
  45. #
  46. # You may also specify an per-pattern-entry "fuzz" value in milliseconds
  47. # by appending /<fuzz> to the backoff time.  This will override the default
  48. # fuzz for that time only.  The fuzz value specifies how close the specified
  49. # time must be to the observed time for a match.  E.g. a fuzz of 0 means that
  50. # the observed timing must match exactly and a fuzz of 1000 means that the
  51. # times must be within one second of each other (1000ms = 1sec).  If no
  52. # per-pattern-entry fuzz value is specified then a default fuzz value of 100ms
  53. # (defined by DEFAULT_PATTERN_FUZZ in ike-scan.h) is applied.  This default
  54. # value may be changed with the --fuzz option to ike-scan.
  55. #
  56. # Lines beginning with '#' and blank lines are ignored.
  57. #
  58. # The input format is quite strict.  In particular, the separator between
  59. # the implementation name and the backoff pattern must be a single TAB and
  60. # not a space, multiple tabs or spaces, or a mixture of tabs and spaces.
  61. #
  62. # If you have problems adding entries, run ike-scan as:
  63. # ike-scan -v -v -v -o <any-target>
  64. # To dump the backoff pattern table.
  65. #
  66. # You are encouraged to send comments, improvements or suggestions to
  67. # me at ike-scan@nta-monitor.com.
  68. # In particular, I would like you to submit any new patterns that you
  69. # discover.  See: http://www.nta-monitor.com/ike-scan/submit.htm
  70. # For details of how to submit new backoff patterns.
  71. #
  72.  
  73. # Discovered by: Roy Hills, November 2002
  74. # Observed on: Cisco 2503 running IP-PLUS-IPsec56 IOS 11.3(11b)T2
  75. # Observed on: Cisco 2503 running IP-PLUS-IPsec56 IOS 12.0(28c)
  76. # Observed on: Cisco PIX (unknown model) running (unknown version)
  77. # Note: Cisco IOS 12.1 and 12.2 (and possibly later versions as well)
  78. #    have a different pattern: 0,10,10,10,10,10.  This is listed later
  79. #    under a different name.
  80. # Note: IPsec was introduced in Cisco IOS 11.3.  Previous versions only
  81. #    supported the Cisco proprietary CET encryption.
  82. Cisco IOS 11.3 or 12.0 / PIX    0, 15, 15
  83.  
  84. # 1st Pattern Discovered by: Roy Hills, November 2002
  85. # Observed on: Cisco VPN Concentrator 3005 running (unknown version)
  86. # Observed on: VPN 3000 Concentrator Version 3.6.3.Rel Oct 04 2002 16:23:00
  87. # 2nd Pattern Discovered by: Guy Widloecher, March 2003
  88. # Observed on: Cisco VPN 3005 Concentrator Version 3.5.2
  89. Cisco VPN Concentrator    0, 8, 8, 8
  90. Cisco VPN Concentrator    0, 8, 8
  91.  
  92. # Discovered by: Roy Hills, December 2002
  93. # Observed on: Checkpoint Firewall-1 4.0 SP7 on Windows NT Workstation 4.0 SP6a
  94. Firewall-1 4.0    0, 3, 3, 3, 3, 6, 6, 6, 6, 6, 6, 6
  95.  
  96. # Discovered by: Roy Hills, November 2002
  97. # Observed on: Checkpoint Firewall-1 4.1 SP6 on Windows NT Server 4.0 SP6a
  98. # Observed on: Checkpoint Firewall-1 NG base on Windows NT Server 4.0 SP6a
  99. # Observed on: Checkpoint Firewall-1 NG FP2 on Windows NT Server 4.0 SP6a
  100. # Observed on: Checkpoint Firewall-1 NGX R60 on Windows 2003 Server
  101. Firewall-1 4.1/NG/NGX    0, 2, 2, 2, 2, 2, 2, 4, 4, 4, 4, 4
  102.  
  103. # Discovered by: Roy Hills, December 2002
  104. # Observed on: FreeS/WAN 1.9 on Debian Linux 2.2r7 (Potato) with 2.2.17 Kernel
  105. Linux FreeS/WAN    0, 10, 20
  106.  
  107. # Discovered by: Roy Hills, November 2002
  108. # Additional fuzz on 1st retry suggested by Florent Trupheme, April 2005
  109. # Observed on: Nortel Contivity 2500, OS version V4.06-120
  110. # Observed on: Nortel Contivity 1600, OS version V3.60-45
  111. Nortel Contivity    0, 16/600, 16, 16
  112.  
  113. # Discovered by: Roy Hills, December 2002
  114. # Observed on: Watchguard Firebox 700 v6.1
  115. # Observed on: Gnat Box (version unknown)
  116. # Observed on: Cisco 2503 running IP-PLUS-IPsec56 IOS 12.1(27a)
  117. # Observed on: Cisco 2503 running IP-PLUS-IPsec56 IOS 12.2(29)
  118. # Note that the Gnat box has a much larger variance than the watchguard, but
  119. # they are both essentially the same pattern.
  120. Cisco IOS 12.1 or 12.2 / Watchguard Firebox / Gnat Box    0, 10/1000, 10/1000, 10/1000, 10/1000, 10/1000
  121.  
  122. # Discovered by: Roy Hills, December 2002
  123. # Observed on: Windows 2000 Server SP1
  124. # Observed on: Windows XP Pro SP1
  125. # Note: Backoff fingerprinting cannot distinguish between 2000, 2003 and XP,
  126. #    but vendor IDs can.
  127. Windows 2000, 2003 or XP    0, 1, 2, 4, 8, 16, 32
  128.  
  129. # 1st pattern Discovered by: Thomas Walpuski, Jan 2003
  130. # Observed on: Various OpenBSD systems running isakmpd
  131. # 2nd pattern discovered by: Marco Ivaldi <raptor@mediaservice.net>, Jan 2003
  132. # Observed on: OpenBSD 3.2
  133. # Observed on: FreeBSD 4.7-Stable with isakmpd-20021118 and OpenBSD 3.1
  134. # Note: OpenBSD isakmpd is highly configurable, so it's difficult to get one
  135. #       pattern which will match all possible backoff pattern.
  136. #       Hakan Olsson has informed me that the actual algorithm used by isakmpd
  137. #    is "5 + 2*<retrans#>" which can be found in transport.c, ca line 310.
  138. #    Both patterns match this algorithm: the first with the default
  139. #    retransmission limit of 3 and the second with retransmits set to 5.
  140. #    It has also been pointed out that isakmpd can run on many platforms
  141. #    other than FreeBSD and OpenBSD, so the inclusion of these OS names in
  142. #    the pattern are misleading.  However, I'm leaving the names unchanged
  143. #    in case someone relies on them in the program output.
  144. FreeBSD/OpenBSD-isakmpd    0, 7, 9, 11
  145. FreeBSD/OpenBSD-isakmpd    0, 7, 9, 11, 13, 15
  146.  
  147. # Discovered by: Paul van Maaren, January 2003
  148. # 1st pattern observed Jan 2003 on: FreeBSD-4.7 STABLE with racoon-20021120a
  149. # 2nd pattern observed Jun 2005 on: FreeBSD-5.3-RELEASE with racoon-20050510a
  150. KAME/racoon-1    0, 20, 20, 20, 20, 20
  151. KAME/racoon-2    0, 21.5, 21.5, 21.5, 21.5, 21.5
  152.  
  153. # Discovered by: Iain Lewis, February 2003
  154. # Observed on: Netscreen 500
  155. netscreen    0, 4, 4, 4, 4, 4, 4, 4, 4, 4, 4, 4
  156.  
  157. # Discovered by: Doug Monroe, January 2003
  158. # Observed on: Watchguard SOHO v5.1.7
  159. # Note:    There is quite a bit of variation with this pattern, hence the
  160. #    per-entry fuzz specifications.
  161. watchguard-soho    0, 1/500, 9.5/3000, 1.5/2000, 9.5/3000, 1.5/2000, 9.5/3000, 1.5/2000, 9.5/3000, 1.5/2000, 9.5/3000, 1.5/2000
  162.  
  163. # Discovered by: Christopher Harrington, February 2003
  164. # Observed on: SonicWall Pro 200
  165. # Note:    There is quite a bit of variation with this pattern, hence the
  166. #    per-entry fuzz specifications.
  167. sonicwall-pro    0, 6.5/1500, 9/1000, 13/2000, 22/3000
  168.  
  169. # Discovered by: Florent Trupheme, April 2005
  170. # Observed on Side Winder G2 Firewall
  171. # Also observed on a separate Sidewinder G2 by Tim Ecott, July 2005
  172. # Two different patterns have been observed: the 0,3,6,15,48 appears to be the
  173. # more common one, but 0,3,4,12,36 has also been seen.
  174. SideWinder G2 Firewall    0, 3, 6, 15, 48
  175. SideWinder G2 Firewall    0, 3, 4, 12, 36
  176.  
  177. # Discovered by: Florent Trupheme, April 2005
  178. # Observed on SonicWall unknown version
  179. # Interestingly, this is different from the earlier sonicwall-pro entry.
  180. Sonic Wall    0, 5, 8, 18
  181.  
  182. # Discovered by: Roy Hills, December 2003
  183. # Observed on: Windows 2003 Server Enterprise Edition, Intel platform
  184. # Note: The 2nd packet delay has been observed to vary between 0.5 and 1.5 sec.
  185. #       Otherwise, this is the same pattern as Windows 2000.  Note that if the
  186. #    Win-2003 server happens to pick a delay of around 1 sec for the 2nd
  187. #    Packet, then ike-scan will mis-identify as Win-2000.  Vendor ID
  188. #    payloads can distinguish Win-2003 from Win-2000 in any event, but
  189. #    that's another story.
  190. Windows-2003    0, 1/600, 2, 4, 8, 16, 32
  191.  
  192. # Discovered by: Bob Davies, March 2004
  193. # Observed on Lynksys router, Unknown version
  194. Lynksys    0, 15/500, 15, 15
  195.  
  196. # Discovered by: Tony Lloyd, January 2005
  197. # Observed on: suspected bordermanager box
  198. bordermanager    0, 4.5/1000, 6.9, 9.8
  199.  
  200. # Discovered by: Tony Lloyd, April 2005
  201. # Observed on: Draytek ADSL Routers (several different versions)
  202. draytek    0, 3, 6
  203.  
  204. # Discovered by: Tony Lloyd, June 2005
  205. # Observed on: Cyberguard Firewall (exact model and version unknown)
  206. cyberguard    0, 3.5, 7, 10, 10
  207.  
  208. # Discovered by: Tony Lloyd, June 2005
  209. # Observed on: Fortinet FortiGate Firewall (exact model and version unknown)
  210. # Note: some FortiGate Firewalls appear to have a 0,10,20 pattern instead
  211. FortiGate    0, 6, 12
  212.  
  213. # Discovered by: Tony Lloyd, August 2005
  214. # Observed on: Avaya VSU 100R
  215. # The backoffs have quite a bit of variance, but the delays always seem to be
  216. # between 13.3 and 15.7 seconds.
  217. Avaya VSU    0, 14.5/1200, 14.5/1200, 14.5/1200, 14.5/1200
  218.  
  219. # Discovered by: Tony Lloyd, September 2005
  220. # Observed on: Stonegate V2.2.0 on Linux
  221. Stonegate    0, 0.5, 1, 2, 4, 8, 16, 30, 30, 30, 30
  222.  
  223. # Discovered by Paul Askew, December 2005
  224. # Observed on: Netgear FVS328 ProSafe VPN Firewall Version 1.0.15
  225. # The time between the first and second packets has quite a bit of variance,
  226. # but the delays between subsequent packets do not.
  227. Netgear ProSafe    0, 4.5/1000, 5, 5, 5
  228.  
  229. # Discovered by Paul Askew, December 2005
  230. # Observed on: Netgear DG834V2 ADSL Firewall Router Version 2.10.22
  231. # Interestingly, the backoff pattern for this device differs from that for
  232. # the Netgear FVS328 ProSafe VPN Firewall.
  233. Netgear ADSL Firewall Router    0, 10, 20
  234.