Следы linux в траффике
Какие специфические следы оставляют линуксы в траффике такие, что митм мог бы их услышать и:
1. Выявить наличие линуксов (и вообще никсов).
2. Сопоставить наличие специфической системы в географически разных местах и селать вывод о метоположении пользователя?
Пример ответа на этот вопрос – ну, скажем, обновление apt явным образом говорит об использовании соответствующей системы.
Но могут быть и менее очевидные следы. Какие они?
По утечке сведений об изменении температуры в помещении. Была новость[link1], но она очень неполная, см. коменты к ней.
В самой реализации стека сетевых протоколов достаточно много всего, что системы можно не просто отличать друг от друга, а достаточно сложно выдать одну ОС по трафику за другую. И если очень извратиться, то всякие простые параметры, наподобие TTL[link2] ещё можно поправить, то перебивать все сетевые протоколы под имитацию другой системы — сложно.
Как насчет VPN?
ОС различаются по поведению TCP/IP-стеков (чем пользуется тот же nmap), столь низкий уровень никаким шифрованием не закрыть.