网络安全概述(PPT 79页).ppt

③ ICMP差错报文的“优先权”字段。 IP头部中有一个8位的TOS字段，TOS字段包括一个3位的优 先权字段、4位的TOS子字段和一位必须置0的未用位，如图Ipuuee头部的TOS字段。 5.2.2攫取信息 * ④ ICMP差错报文IP头部的不分片（DF）位。 有一些操作系统在发送ICMP差错报文时，会根据引起差错的数据报的IP头部的DF位来设置差错报文本身IP头部的DF位。Linux、ULTRIX、Novell Netware、HPUX、Windows98/98SE/ME、Windows NT4 Server SP6、Windows 2000 Family等系统则不会这么做。 ⑤ ICMP报文IP头部的TTL字段。 不同的操作系统在设置ICMP报文IP头部的TTL字段时有不同的默认值。而且一般来讲，ICMP应答报文和ICMP查询报文的TTL还不一样。 例如，Windows 95应答报文和查询报文的TTL都是32Windows 98/98SE/ME/NT4应答报文的TTL是128、查询报文的TTL是32；Windows 2000应答报文和查询报文的TTL都是128。 5.2.2攫取信息 * ⑥ 使用代码字段不为0的ICMP回显请求。 ICMP报文的种类由第一个字节（类型字段）和第二个字节（代码字段）决定。回显请求的类型字段为8，默认的代码字段为0。如果把回显请求的代码字段设置为非0值，这样的回显请求就不是标准的ICMP报文了。对于这样的回显请求报文，Windows操作系统做出的回显应答（类型为0）的代码字段值为0，而其他系统和网络设备做出的回显应答的代码字段值和它收到的回显请求中的代码字段值相同。 5.2.2攫取信息 * ⑦ TOS子字段回显。 RFC1349定义了ICMP报文使用TOS子字段的方法。其中 区分了差错报文、查询报文和应答报文的不同使用方法，规 则是： 差错报文总是使用默认值0； 查询报文可以在TOS子字段中使用任何值； 应答报文应该在TOS子字段中使用造成应答的查询报文中使用的TOS值。 ?? 然而有些操作系统（例如Linux）在发送回显应答报文时忽视了这项规定，无论查询报文使用何种TOS值，它的应答报文的TOS值都是一样的。 5.2.2攫取信息 * （2） TCP报文响应分析 这种技术通过区分不同操作系统对特定TCP报文（标准或非标准）的不同反应，实现对操作系统的区分。使用这种技术的代表有Queso和Nmap（Nmap其实也使用了一些ICMP响应分析的技巧）。 下面将分别说明Nmap使用的操作系统探测技巧。 ① FIN探测。前面讲端口扫描的技巧时曾提到，“FIN扫描通常只工作在基于UNIX的TCP/IP协议栈上”，这就可以用来作为一个探测操作系统的判断依据。 5.2.2攫取信息 * ② 伪标记位探测。TCP报文的头部有8个标记位。使用“伪标记位”（BOGUS Flag），即把SYN报文的CWR标记位的左边一位置1，然后将这样的非标准SYN报文发给目标TCP端口。低于2.0.35版本的Linux内核会在回应包中保持这个标记，而其他的操作系统似乎都没有这个问题。不过有的操作系统在收到这样的SYN/BOGUS报文时会发送一个RST复位连接。 5.2.2攫取信息 * ③ TCP ISN取样。其原理是在操作系统对连接请求的回 应中寻找TCP连接初始化序列号（ISN）的特征。 目前可以区分的类别有传统的64000方式（旧UNIX系统使用）、随机增加方式（新版本的Solaris、IRIX、FreeBSD、Digital UNIX、Cray和其他许多系统使用）、真“随机”方式（Linux 2.0.*及更高版本、OpenVMS和新版本的AIX等操作系统使用）等。 Windows平台（还有其他一些平台）使用“基于时间”方式产生的ISN会随着时间的变化而呈相对固定的增长。 另外还有一些系统总是使用固定的ISN，如某些3Com集线 器（使用0x83）和Apple LaserWriter打印机（使用0xC7001）。 根据计算ISN的变化、最大公约数和其他一些有迹可循的 规律，还可以将这些类别分得更细、更准确。 5.2.2攫取信息 * ④ DF位监视。许多操作系统逐渐开始在它们发送的IP 数据报中设置DF位，从而有益于提高传输性能。但 并不是所有操作系统都进行这种设置，或者有的系统 只是在某些情况下使用这种设置。因此通过留意这个标记位的设置可以搜集到关于目标主机操作系统的更多有用信息。 ⑤ TCP初始化窗口大小。这种技巧就是得到目标的初始 化TCP窗口大小。有的操作系统总是使用比较特殊的值。例如AIX是惟一使用0x3F25窗口值的操作系统。而在Open BSD、和2000/XP的TCP堆栈中，71Free BSDWind