探測遠程主機操作系統(tǒng)指紋

1、探測遠程主機操作系統(tǒng)指紋 操作系統(tǒng)探測技術主要有以下幾種方式：獲取標識信息  在很多探測工具中都使用了此項技術來獲得某些服務的標識信息。它往往是通過對二進制文件的收集和分析來實現的。tcp分段（標準/非標準）響應分析  它是依靠不同操作系統(tǒng)對特定分段的不同反應來區(qū)分的。比較流行的工具有savage的queso和fyodor的nmap,他們都使用了很多來自于這種技術的變種。icmp響應分析  它是剛推出不久的一種技術。它通過發(fā)送upd或icmp的請求報文，然后分析各種icmp應答。ofir arkin的x-probe就是使用的這種技術，在通常情況下，x-probe工

2、作的比較好，但是在防火墻阻塞某些協議時，得到的結果就不那么盡如人意了。初始化序列號（isn）分析  在tcp棧中不同的exploits隨機產生，通過鑒別足夠的測試結果來確定遠程主機的操作系統(tǒng)。特殊的操作系統(tǒng)  拒絕服務同樣可以用在操作系統(tǒng)指紋的探測上，而不僅僅是被黑客所使用。在一些非常特殊的情況下，拒絕服務能探測到準確的結果。在本文中，著重以nmap為例，介紹一下探測遠程主機操作系統(tǒng)指紋的方法。有許多技術可以用來定義網絡棧指紋。基本上，你只要找出操作系統(tǒng)間的不同并寫探測器查明它們。如果你合并足夠這些，你可以非常細致的區(qū)分它們。下面介紹一些這種技術：fin 探測器 - 這里我

3、們送一個fin包（或任何其他包不帶ack 或syn標記）給一個打開的端口并等待回應。正確的rfc793行為是不響應，但許多有問題的實現例如 ms windows, bsdi, cisco, hp/ux,mvs,和irix 發(fā)回一個reset。許多現有工具利用這個技術。bogus 標記探測器 - queso 是一個用這種技術的掃描器。它是設置一個未定義的tcp “標記”（64或128）在syn包的tcp頭里。linux機器到2.0.35之前在回應中保持這個標記。其他os還沒發(fā)現有這個錯誤。然而，一些操作系統(tǒng)象是復位連接當它們得到一個syn+ bogus包的時候。這一行為對辨識它們有用。tcp i

4、sn 取樣 - 這個主意是找出當響應一個連接請求時由tcp 實現所選擇的初始化序列數式樣。這可分為許多組例如傳統(tǒng)的64k（許多老unix機器），隨機增量（新版本的solaris, irix, freebsd,digital unix, cray, 和許多其他的），真“隨機”（linux 2.0.*,openvms,新的aix,等）。windows 機器（和一些其他的）用一個“時間相關”模型，每過一段時間isn 就被加上一個小的固定數。不用說，這幾乎和老的64k 行為一樣容易攻破。當然最讓人喜歡的技術是”常數”。機器總是使用確切同樣的isn 。而3com的集線器（用0x803）和apple la

5、serwriter打印機（用0xc7001 ）就是這樣。你也可以通過例如計算其隨機數的變化量，最大公約數，以及序列數的其他函數和數之間的差異再進一步分組。不分段位 - 許多操作系統(tǒng)開始在送出的一些包中設置ip的”dont fragment”位。這帶來多種性能上的好處（盡管它也可能是討厭的 - 這就是nmap的分段掃描對solaris機器無效的原因）。無論如何，不是所有的os都這樣做而且另一些做的場合不同，所以通過注意這個位我們甚至能收集目標os的更多信息。tcp 初始化窗口 - 這只包括了檢查返回包的窗口大小。較老的掃描器簡單地用一個非零窗口在rst包中來表示“bsd 4.4 族”。新一些的如

6、queso 和nmap則保持對窗口的精確跟蹤因為它對于特定os基本是常數。這個測試事實上給出許多信息，因為有些可以被唯一確定（例如，aix 是所知唯一用0x3f25的）。在它們“完全重寫”的nt5 tcp 棧中，microsoft 用的是0x402e。有趣的是，這和openbsd 與freebsd 中所用的數字完全一樣。ack 值 - 不同實現中一些情況下ack域的值是不同的。例如，如果你送了一個fin|psh|urg 到一個關閉的tcp 端口。大多數實現會設置ack 為你的初始序列數，而windows 和一些傻打印機會送給你序列數加1 。若你送一個syn|fin|urg|psh 到一個打開的

7、端口，windows 會非常古怪。一些時候它送回序列號，但也有可能送回序列號加1， 甚至還可能送回一個隨機數。icmp 錯誤信息終結 - 一些操作系統(tǒng)跟從rfc 1812的建議限制各種錯誤信息的發(fā)送率。例如，linux 內核（在net/ipv4/icmp.h）限制目的不可達消息的生成每4 秒鐘80個，違反導致一個1/4 秒的處罰。測試的一種辦法是發(fā)一串包到一些隨機的高udp 端口并計數收到的不可達消息。icmp 消息引用 - rfc 規(guī)定icmp錯誤消息可以引用一部分引起錯誤的源消息。對一個端口不可達消息，幾乎所有實現只送回ip請求頭外加8 字節(jié)。然而，solaris 送回的稍多，而linux

8、 更多。這使得nmap甚至在沒有對方沒有監(jiān)聽端口的情況下認出linux 和solaris 主機。icmp 錯誤消息回應完整性 - 機器會把原始消息的一部分和端口不可達錯誤一起送回。然而一些機器傾向于在初始化處理時用你的消息頭作為“草稿紙”所以再得到時會有些許的改動。例如，aix 和bsdi送回一個ip“全長”域在20字節(jié)處。一些 bsdi，freebsd，openbsd，ultrix，和vaxen 改變了你送的ip id 。因為ttl 改變而改變了檢查和，有些機器（aix, freebsd, 等）送回錯誤的或0 檢查和?？傊?，nmap作9 種測試在icmp錯誤上以分辨出這類細微差別。服務類型

9、- 對于icmp端口不可達消息可察看送回包的服務類型(tos)值。幾乎所有實現在這個icmp錯誤里用0 除了linux 用0xc0。這不是標準的tos 值，而是一個未使用優(yōu)先域(afaik) 的一部分。盡管不知道為什么如此，但如果他們改成0 我們還能夠分辨舊系統(tǒng)_而且_還能分辨出舊系統(tǒng)和新系統(tǒng)。tcp 選項 - 這簡直是泄漏信息的金礦。它的好處在于：1) 這通常是可選的，所以并非所有實現都支持。2) 若一個實現發(fā)出設置了選項的請求，目標通過設置它在回應中表示支持。3) 可以在一個數據包中設置而一次測試所有選項。       

10、                 nmap發(fā)送這些選項的幾乎所有可能的包：window scale=10; nop; max segment size = 265; timestamp; end of ops;當你得到回應，看看那個選項被送回也就是被支持。一些操作系統(tǒng)如最近的freebsd 機器支持上面所有的，而其他，如linux 2.0.x支持的則很少。最近的linux 2.1.x 內核支持上面所有的。另一方面，它們又有更易受攻擊的t

11、cp 序列生成方式。即使幾個操作系統(tǒng)支持同樣的選項集，有時仍可以通過選項的值分辨出它們。例如，如果送一個小的mss值給linux機器，它會用那個mss 生成一個回答給你。其他主機會給你不同的值。甚至即使你得到同樣的支持選項集和同樣得值，你仍可以通過選項提供的順序和填充字進行辨識，例如solaris返回nntnwme表示；而linux 2.2.122返回menntnw。同樣的選項，同樣的值，但不同順序！沒見過其他os檢測工具利用tcp 選項，但它非常有用。因同樣原因有其他幾個有用的選項我會探測，象那些支持t/tcp和選擇性確認。開發(fā)年代 - 甚至使用上面所有測試，nmap仍不能從tcp 棧區(qū)分win95，winnt，或win98。但你可以簡單的進行早期的windowsdos 攻擊（ping of death, winnuke, 等）而比當時的如teardrop和land多做一些。就是在每個攻擊之后，ping它們看是否垮掉了。等到你最后crash 掉它們，你就能縮小的某一服務包或補丁。syn洪水限度 - 一些操作系統(tǒng)會停止新的連接嘗試如果你送太多的偽造s