使用TCP IP协议栈指纹进行远程操作系统辨识.pdfVIP

使用TCP/IP协议栈指纹进行远程操作系统辨识 使用TCP/IP协议栈指纹进行远程操作系统辨识 使使用用TTCCPP//IIPP协协议议栈栈指指纹纹进进行行远远程程操操作作系系统统辨辨识识 作者Fyodor() 1998-10-18 最后修改:1999-4-10 中文译者neko 2000-6-30 中文译文修订者Maxwell 2010-9-12 概述 概述 概概述述 本文讨论了如何查询一台主机的TCP/IP协议栈来收集宝贵的信息。首先， 我列举了除栈指纹之外的几种“经典的”操作系统辨识方法。然后我描述了栈指 纹工具的“工艺现状”。接下来说明让远程主机泄漏其信息的一些技术。最后详 述了我的实现(Nmap)，和用它获得的一些流行网站的操作系统信息。 理由 理由 理理由由 我认为辨识一个系统所运行OS的用处是相当显而易见的，所以这一节会很 短。最有力的例子之一是许多安全漏洞是OS相关的。试想你正在作突破试验并 发现53端口是打开的。如果那是易遭攻击的bind版本，则你只有一次机会利用 它，因为失败的尝试会杀死守护程序。有了正确的TCP/IP指纹，你将很快发现 它运行的是Solaris 2.51或者Linux 2.0.35而因此调整你的外壳代码。 一个比较糟的例子是某人扫描500000台主机以找出它们运行什么OS和哪些 端口是打开的。然后等别人说有一个root漏洞在Sun的comsat守护程序里，我 们的小朋友就从人家的列表中找出UDP/512和Solaris2.6这两个词，并立即得 到了整页整页的可得到root特权的盒子。必须认识到那是脚本小子(SCRIPT KIDDIE)的行为。你证明了你的无能，而且没有人，甚至包括对方，会对你能找 到没有及时修补漏洞而易受攻击的.edu的事情留有印象。如果你用你新找到的 通路去破坏政府的Web 站点，显示一个自大的你如何“强大”而管理员们如何 愚蠢，人们也很少会留有印象。 另一个用法是社会工程学。假如你扫描了某个目标公司，而Nmap报告了一 个Datavoice TxPOR TPRISM 3000 T1 CSU/DSU 6.22/2.06，然后黑客就以 Datavoice support为名打电话并讨论他们的PRISM3000的一些问题。“我们 正要公布一个安全漏洞，但希望我们现在的客户先安装补丁——我刚刚寄给你 的……”一些天真的管理员会假定只有Datavoice指定的工程师才会对他们的 CSU/DSU知道的如此之多。 这个方法另一个潜在的用途是评价你要选择的公司。在选择一个新ISP前， 扫描它们看用的是什么设备。那些“99美元/年”的买卖可不像听起来那么好， 当你发现它们使用廉价的路由器并用一堆运行Windows 的机器提供PPP 服务的 时候。 经典技术 经典技术 经经典典技技术术 栈指纹以独特的方式解决OS辨识的问题。我想这个技术是最有把握的，但 1 现在还有许多其他解决方案。下面的方法仍是其中最有效的： playground~ telnet hpux.u-aizu.ac.jp Trying 2... Connected to hpux.u-aizu.ac.jp. Escape character is ^]. HP-UX hpux B.10.01 A 9000/715 (ttyp2) login: 如果机器能大声对世界说明它们运行的是什么的话，我们就没有必要在指纹 上费这么大力气了。事实上，现在许多制造商交付的系统都带有这类标志而且许 多管理员都没有关上它，遗憾的是，我们不应该通知每个尝试连接的笨蛋我们的 OS和体系结构，因此必须使用其他方法能找出运行的OS(例如指纹)。 依靠这个技术的问题是现在越来越多的人把标志关闭，许多系统不给出更多 信息，还有少数在标志中“说谎”。不过，如果你在商业的ISS 扫描器上花上 数千美元花的话，你就得到只读方式的OS和OS版本检查。其实，下载Nmap或 Queso代替它们可以替你省钱。 即使你关闭了标志，当被询问时许多应用程序仍然很高兴给出这类信息。例 如下面这个FTP服务器： payfonez telnet 21 Trying 6... Connected to . Escape character is ^]. 220 ftp29 FTP server (UNIX(r) System V Release 4