分享
 
 
 

使用TCP/IP协议栈指纹进行远程操作系统辨识

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

概述

本文讨论了如何查询一台主机的TCP/IP协议栈来收集宝贵的信息。首

先,我列举了栈指纹之外的几种“经典的”操作系统辨识方法。然后

我描述了栈指纹工具的“工艺现状”。接下来说明让远程主机泄漏其

信息的一些技术。最后详述了我的实现(nmap),和用它获得的一些

流行网站的操作系统信息。

理由

我认为辨识一个系统所运行OS的用处是相当显而易见的,所以这一节

会很短。最有力的例子之一是许多安全漏洞是OS相关的。试想你正在

作突破试验并发现53端口是打开的。如果那是易遭攻击的bind版本,

则你只有一次机会利用它因为失败的尝试会杀死守护程序。有了正确

的TCP/IP指纹,你将很快发现它运行的是'Solaris 2.51'或者'Linux 2.0.35'

而因此调整你的外壳代码。

一个比较糟的例子是某人扫描500,000台主机以找出它们运行什么OS

和哪些端口是打开的。然后等谁贴(说)有一个root漏洞在Sun的comsat

守护程序里,我们的小朋友能从人家的列表中找出 'UDP/512'和'Solaris 2.6'

这两个词,并立即得到了整页整页的可得到root特权的盒子。必须认

识到那是脚本小子(SCRIPT KIDDIE)的行为。你证明了你的无能而

且没有人,甚至对方也,对你能找到没有及时修补漏洞而易受攻击的

.edu之事留有印象。人们也_较少_留有印象如果你用你新找到的通路

去破坏政府的web 站,换以一个自大的你如何强大而管理员们如何愚

蠢的话的话。。

另一个用法是社会工学。假如你扫描目标公司而namp报告一个'Datavoice

TxPOR TPRISM 3000 T1 CSU/DSU 6.22/2.06'。则黑客就以'Datavoice

support'为名打电话并讨论他们PRISM 3000的一些问题。“我们正要

公布一个安全漏洞,但希望我们现在的客户先安装补丁--我刚刚寄给

你...”一些天真的管理员会假定只有Datavoice指定的工程师才会对

他们的CSU/DSU知道的如此之多。

这个能力另一个潜在的用途是评价你要交易的公司。在选择一个新ISP

前,扫描它们看用的是什么设备。那些“ 99美元/年”的买卖不向听

起来那么好当你发现它们用廉价的路由器并用一堆运行Windows 的机

器提供PPP 服务的时候。

经典技术

栈指纹以独特的方式解决OS辨识的问题。我想这个技术最有把握,但

现在有许多其他解决方案。遗憾的是,这仍是其中最有效的:

playground~ telnet hpux.u-aizu.ac.jp

Trying 163.143.103.12...

Connected to hpux.u-aizu.ac.jp.

Escape character is '^]'.

HP-UX hpux B.10.01 A 9000/715 (ttyp2)

login:

没有必要在指纹上费这么大力气,如果机器能大声对世界说明它们运

行的是什么!遗憾的是,许多制造商交付带有这类标志的_现有的_系

统而且许多管理员没有关上它。[译者:原文如此]只是因为还有其他

方法找出运行的OS(例如指纹),但不是说我们应该通知每个尝试连

接的笨蛋我们的OS和体系结构。

依靠这个技术的问题是越来越多的人把标志关闭,许多系统不给出更

多信息,还有少数在标志中“说谎”。不过,你得到全部就是读标志

方式的OS和OS版本检查,如果你把上千美元花在商业的ISS 扫描器上

的话。下载nmap或queso代替它们可以替你省钱:)。

即使你关闭了标志,当被询问时许多应用程序仍然很高兴给出这类信

息。例如这个FTP服务器:

payfonez telnet ftp.netscape.com 21

Trying 207.200.74.26...

Connected to ftp.netscape.com.

Escape character is '^]'.

220 ftp29 FTP server (UNIX(r) System V Release 4.0) ready.

SYST

215 UNIX Type: L8 Version: SUNOS

首先,它给出了它默认的系统细节标志。然后如果我们给出'SYST'命

令它愉快地送回更多信息。

如果FTP的anon被支持,我们经常可以下载/bin/ls或其他的二进制文

件而测定它所建造的体系结构。

许多其他应用程序对信息太随便了。比如web服务器:

playground echo 'GET / HTTP/1.0

' | nc hotbot.com 80 | egrep '^Server:'

Server: Microsoft-IIS/4.0

playground

Hmmm ... 我对这些家伙运行的感到惊讶。

其他经典技术包括DNS 主机信息记录(不太有效)和社会工学。如果

它在听161/udp (snmp),用CMU SNMU工具包里的'snmpwalk'和'public'

通信名你肯定能获得一大堆信息。

当前指纹问题

Nmap不是第一个用TCP/IP指纹辨识OS的程序。Johan的通用的IRC欺骗

程序sirc包括了非常基本的指纹技术从版本3 (或更早)开始。它尝

试把主机分为 "Linux","4.4BSD", "Win95", 或 "Unknown"几类通过

几个简单TCP标志测试。

另一个这样的程序是checkos,作者Shok对版本7终于有了信心在今年

一月公开发行。指纹技术和SIRC的完全一样,甚至_代码_都有许多同

样之处。Checkos 在公开发行前私下流传了很久,所以不知谁偷谁的。

但看起来谁都不信任对方。checkos增加的是telnet 标志检查,有用

但有前面说的问题。[更新:Shok写信来说checkos无意公开发行而这

就是为什么他没有找SIRC要那些代码的许可。]

Su1d也写了一个OS检查程序。他称它叫SS其版本3.11可以辨识12个不

同的OS类型。我有些偏爱它因为他许可我的nmap程序一些网络代码:)。

然后是queso 。这是最新的而且对其他程序是一个巨大的飞跃。不仅

是因为它们推出了一些新测试,而且它们是首先(就我所见)把OS指

纹_移出_代码的。其他扫描的代码象:

/* from ss */

if ((flagsfour & TH_RST) && (flagsfour & TH_ACK) && (winfour == 0) &&

(flagsthree & TH_ACK))

reportos(argv[2],argv[3],"Livingston Portmaster ComOS");

相反,queso 把这些代码移到一个配置文件显然使更易扩展而且使增

加一个OS成为在指纹文件中增加几行的简单工作。

Queso由Savage,Apostols.org的高手之一,所写。

以上所述所有问题中的一个问题是只有非常有限数量的指纹测试从而

限制了回答的详细程度。我想知道不仅是'这台机器是OpenBSD, FreeBSD,

或者NetBSD',我想确切知道它到底是那一个还有版本号。同样,我希

望看到'Solaris 2.6' 而不仅仅是'Solaris'。为此,我对一系列指纹

技术进行了研究,它们将在下一节说明。

指纹方法学

有许多许多技术可以用来定义网络栈指纹。基本上,你只要找出操作

系统间的不同并写探测器查明它们。如果你合并足够这些,你可以非

常细致的区分它们。例如nmap可以可靠分辨出Solaris 2.4 和Solaris 2.5-2.51

以及Solaris 2.6。他能分辨Linux内核2.0.30到2.0.31-34或or 2.0.35。

这有一些技术:

FIN 探测器 -- 这里我们送一个FIN包(或任何其他包不带ACK 或SYN

标记)给一个打开的端口并等待回应。正确的RFC793行为是不

响应,但许多有问题的实现例如 MS Windows, BSDI, CISCO,

HP/UX,MVS,和IRIX 发回一个RESET。许多现有工具利用这个技

术。

BOGUS 标记探测器 -- Queso 是我见过的第一个用这个聪明技术扫描

器。这个主意是设置一个未定义的TCP "标记"(64或128)在SYN

包的TCP头里。Linux机器到2.0.35之前在回应中保持这个标记。

我没有发现其他OS有这个错误。然而,一些操作系统象是复位

连接当它们得到一个SYN+ BOGUS包的时候。这一行为对辨识它

们有用。

TCP ISN 取样 -- 这个主意是找出当响应一个连接请求时由TCP 实现

所选择的初始化序列数式样。这可分为许多组例如传统的64K

(许多老UNIX机器),随机增量(新版本的Solaris, IRIX, FreeBSD,

Digital UNIX, Cray, 和许多其他的),真“随机”(Linux 2.0.*,

OpenVMS,新的AIX,等)。Windows 机器(和一些其他的)用一

个“时间相关”模型,每过一段时间ISN 就被加上一个小的固

定数。不用说,这几乎和老的64K 行为一样容易攻破。当然我

喜欢的技术是"常数"。机器总是使用确切同样的ISN :)。我已

经在3Com的集线器(用0x803)和Apple LaserWriter打印机(

用0xC7001 )上看到了。

你也可以通过例如计算其随机数的变化量,最大公约数,以及

序列数的其他函数和数之间的差异再进一步分组。

要知道ISN 的生成和安全息息相关。想了解更多情况,联络在

SDSC的“安全专家”Tsutome Shimmy Shimomura,问他所知道

的。Nmap是我所见到的第一个用它来辨识OS的程序。

不分段位 -- 许多操作系统开始在送出的一些包中设置IP的"Don't Fragment"

位。这带来多种性能上的好处(尽管它也可能是讨厌的 -- 这

就是nmap的分段扫描对Solaris机器无效的原因)。无论如何,

不是所有的OS都这样做而且另一些做的场合不同,所以通过注

意这个位我们甚至能收集目标OS的更多信息。在那两个程序中

没见过这个。

TCP 初始化窗口 -- 这只

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有