第2章信息收集解答.ppt

23)??修改程序修改参数可以给指纹识别造成一些干扰，但是对于一些协议栈的行为特征，比如数据包序列号的生成方式，是无法通过参数来修改的。对于这些行为特征，可以通过修改系统底层程序来实现，但是这么做通常需要付出较高的开发成本，并可能降低一些网络功能。 Nmap识别操作系统的例子 被动栈指纹识别方法 它和主动栈指纹识别方法类似 不是向目标系统发送分组，而是被动监测网络通信，以确定所用的操作系统 如根据TCP/IP会话中的几个属性： TTL 窗口大小 DF TOS Siphon工具，/，osprints.conf 例：被动栈指纹识别方法 telnet 45（发起方为55 ） 利用snort监听到的数据包： 45:23- 55:2300 TCP TTL:255 TOS:0x0 ID:58955 DF **S***A* Seq:0xD3B709A4 Ack:0xBE09B2B7 Win:0x2798 TCP Options = NOP NOP TS:9688775 9682347 NOP WS:0 MSS:1460 和osprints.conf比较， 可猜测45的操作系统为Solaris 2.6-2.7 扫描器介绍 ? SATAN ? SAINT ? SSS ? Strobe ? X-Scan ?ISS (安氏) ?Pinger ?Portscan ?Superscan ?流光 ? …… nmap 端口扫描 小结 本章从网络信息挖掘、网络扫描技术、网络拓扑探测和系统类型探测4个方面对信息收集进行了详细的介绍。 信息收集是一把双刃剑，它即可以帮助管理员找到有用的信息、维护系统；但它也可以是攻击者对目标进行攻击的第一步。 * 4.4　其他扫描 UDP扫描 Client?UDP PACKET Server?- 多次 Client?UDP PACKET Server?ICMP_PORT_UNREACH Type 3 code 3 端口开放 端口关闭 优点：可逃避TCP IDS，用于扫描UDP端口 缺点：需要ROOT权限 FTP bounce 扫描 PORT IP：PORT ICMP扫描 *《ICMP Usage in Scanning》 端口扫描 2.4 弄清操作系统 操作系统辨识的动机 许多漏洞是系统相关的，而且往往与相应的版本对应 从操作系统或者应用系统的具体实现中发掘出来的攻击手段都需要辨识系统 操作系统的信息还可以与其他信息结合起来，比如漏洞库，或者社会诈骗(社会工程，social engineering) 如何辨识一个操作系统 2.4.1 一些端口服务的提示信息，例如，telnet、http、ftp等服务的提示信息 2.4.2 TCP/IP栈指纹 2.4.3 DNS泄漏出OS系统 2.4.1　服务端口提供的信息 Telnet服务 Http服务 Ftp服务 2.4.2 栈指纹技术 定义：利用TCP/IP协议栈实现上的特点来辨识一个操作系统 技术导向 可辨识的OS的种类，包括哪些操作系统 结论的精确度，细微的版本差异是否能识别 一些工具 Checkos, by Shok Queso, by Savage Nmap, by Fyodor 主动栈指纹识别技术 原理：寻找不同操作系统之间在处理网络数据包上的差异，并且把足够多的差异组合起来，以便精确地识别出一个系统的OS版本 网络协议栈指纹构成 1)?TTLTTL：Time?To?Live，即数据包的“存活时间”，表示一个数据包在被丢弃之前可以通过多少跃点(Hop)。不同操作系统的缺省TTL值往往是不同的。常见操作系统的TTL值：Windows?9x/NT/2000?Intel??????128?Digital?Unix?4.0?Alpha????????????60?Linux?2.2.x?Intel??????????????????64?Netware?4.11?Intel??????????????????128?AIX?4.3.x?IBM/RS6000??????60?Cisco?12.0?2514??????????????????255?Solaris?8?Intel/Sparc????????????64?…? 2) DF位DF（不分段）位识别：不同OS对DF位有不同的处理方式，有些OS设置DF位，有些不设置DF位；还有一些OS在特定场合设置DF位，在其它场合不设置DF位。 3)?Window?SizeWindow?Size：TCP接收（发送）窗口大小。它决定了接收信息的机器在收到多少数据包后发送ACK包。特定操作系统的缺省Window?Size基本是常数，例如，AIX?用0x3F25，Windows、OpenB