探测远程主机操作系统指纹.pdfVIP

操作系统探测技术主要有以下几种方式：

获取标识信息在很多探测工具中都使用了项技术来获得某

些服务的标识信息。它往往是通过对二进制文件的收集和分析

来实现的。

TCP分段（标准/非标准）响应分析它是依靠不同操作系统

对特定分段的不同反应来区分的。比较流行的工具有Savage

的QueSO和Fyodor的NMAP,他们都使用了很多来自于这种

技术的变种。

ICMP响应分析它是刚推出不久的一种技术。它通过发送

UPD或ICMP的请求报文，然后分析各种ICMP应答。Ofir

Arkin的X-Probe就是使用的这种技术，在通常情况下，

X-Probe工作的比较好，但是在防火墙阻塞某些协议时，得到

的结果就不那么尽如人意了。

初始化序列号（ISN）分析在TCP栈中不同的exploits随机

产生，通过鉴别足够的测试结果来确定远程主机的操作系统。

特殊的操作系统拒绝服务同样可以用在操作系统指纹的探测

上，而不仅仅是被黑客所使用。在一些非常特殊的情况下，拒

绝服务能探测到准确的结果。

在本文中，着重以Nmap为例，介绍一下探测远程主机操作系

统指纹的方法。

有许多技术可以用来定义网络栈指纹。基本上，你只要找出操

作系统间的不同并写探测器查明它们。如果你合并足够这些，

你可以非常细致的区分它们。下面介绍一些这种技术：

FIN探测器--这里我们送一个FIN包（或任何其他包不带

ACK或SYN标记）给一个打开的端口并等待回应。正确的

RFC793行为是不响应，但许多有问题的实现例如MS

Windows,BSDI,CISCO,HP/UX,MVS,和IRIX发回一个

RESET。许多现有工具利用这个技术。

BOGUS标记探测器--Queso是一个用这种技术的扫描器。

它是设置一个未定义的TCP标记（64或128）在SYN包的

TCP头里。Linux机器到2.0.35之前在回应中保持这个标记。

其他OS还没发现有这个错误。然而，一些操作系统象是复位

连接当它们得到一个SYN+BOGUS包的时候。这一行为对辨

识它们有用。

TCPISN取样--这个主意是找出当响应一个连接请求时由

TCP实现所选择的初始化序列数式样。这可分为许多组例如传

统的64K（许多老UNIX机器），随机增量（新版本的Solaris,

IRIX,FreeBSD,DigitalUNIX,Cray,和许多其他的），真“随机”

（Linux2.0.*,OpenVMS,新的AIX,等）。Windows机器（和

一些其他的）用一个“时间相关”模型，每过一段时间ISN就

被加上一个小的固定数。不用说，这几乎和老的64K行为一

样容易攻破。当然最让人喜欢的技术是常数。机器总是使用

确切同样的ISN。而3Com的集线器（用0x803）和Apple

LaserWriter打印机（用0xC7001）就是这样。你也可以通过

例如计算其随机数的变化量，最大公约数，以及序列数的其他

函数和数之间的差异再进一步分组。

不分段位--许多操作系统开始在送出的一些包中设置IP的

DontFragment位。这带来多种性能上的好处（尽管它也可

能是讨厌的--这就是nmap的分段扫描对Solaris机器无效

的原因）。无论如何，不是所有的OS都这样做而且另一些做的

场合不同，所以通过注意这个位我们甚至能收集目标OS的更

多信息。

TCP初始化窗口--这只包括了检查返回包的窗口大小。较

老的扫描器简单地用一个非零窗口在RST包中来表示“BSD4.4

族”。新一些的如queso和nmap则保持对窗口的精确跟踪

因为它对于特定OS基本是常数。这个测试事实上给出许多信

息，因为有些可以被唯一确定（例如，AIX是所知唯一用

0x3F