分享
 
 
 

Http指纹识别技术

王朝other·作者佚名  2008-05-31
窄屏简体版  字體: |||超大  

Http指纹识别技术

Http指纹识别现在已经成为应用程序安全中一个新兴的话题,Http服务器和Http应用程序安全也已经成为网络安全中的重要一部分.从网络治理的立场来看,保持对各种web服务器的监视和追踪使得Http指纹识别变的唾手可得,Http指纹识别可以使得信息系统和安全策略变的自动化,在基于已经设置了审核策略的非凡的平台或是非凡的web服务器上,安全测试工具可以使用Http指纹识别来减少测试所需要的配置.

本文将介绍现有的Http指纹识别技术,同时也将讨论所碰到的一些问题并且拿出可行的解决方案.

一.指纹识别理论

指纹的定义是这样的:1是指任何表面上的指尖印象或者是在指尖上蘸上墨水而在纸上留下的的墨水印象;2是指可以用来识别的东西:如特色、痕迹或特性等揭露起源的东西,表示物体或物质的特色的证据.

指纹识别可以分为两步,一是对指纹进行收集和分类;二是将未知的指纹同被储存在数据库中的指纹进行比较,从而找出最符合的.

当采集指纹的时候,对物体的所有主要特性的抓取是必要的.采集较多的细节,可以对第二步产生很大的帮助.当比较指纹的时候,很有可能有几个指纹是被不合适的匹配的,因为可指纹之间微小的差别很轻易使识别产生错误,这也要求指纹识别需要很高的技术.

指纹识别技术现在已经是网络安全的已知技术.操作系统指纹识别在任何的网络评估中是一件通常的工作,现在也有很多操作系统指纹识别技术.操作系统指纹识别为什么能成功?那是因为每个操作系统实现TCP/IP协议时有微小的差别,当前比较流行的是利用TCP/IP堆栈进行后操作系统识别,相关工具比如Nmap;还有的是利用ICMP进行操作系统识别,代表工具如XProbe.

Http指纹识别的原理大致上也是相同的:记录不同服务器对Http协议执行中的微小差别进行识别.Http指纹识别比TCP/IP堆栈指纹识别复杂许多,理由是定制Http服务器的配置文件、增加插件或组件使得更改Http的响应信息变的很轻易,这样使得识别变的困难;然而定制TCP/IP堆栈的行为需要对核心层进行修改,所以就轻易识别.

二.Banner获取

查看Http应答头信息是Http指纹识别中最简单也是最基础的,我们可以通过一个Tcp客户端比如netcat来实现,一般我们用的比较多的是telnet到80端口,然后发送命令来得到响应信息,这里我们以netcat来做例子,以下是三个不同Http服务器的响应信息:

1:Apache1.3.23server:

Http/1.1200OK

Date:Mon,08Sep200317:10:49GMT

Server:Apache/1.3.23

Last-Modified:Mon,08Sep200303:48:19GMT

ETag:"32417-c4-3e5d8a83"

Accept-Ranges:bytes

Content-Length:196

Connection:close

Content-Type:text/Html

2:MicrosoftIIS5.0server:

Http/1.1200OK

Server:Microsoft-IIS/5.0

Expires:Mon,08Sep200301:41:33GMT

Date:Mon,08Sep200316:41:33GMT

Content-Type:text/html

Accept-Ranges:bytes

Last-Modified:Mon,08Sep200315:32:21GMT

ETag:"b0aac0542e25c31:89d"

Content-Length:7369

3:NetscapeEnterprise4.1server:

Http/1.1200OK

Server:Netscape-Enterprise/4.1

Date:Mon,08Sep200316:19:04GMT

Content-type:text/html

Last-modified:Mon,08Sep200215:37:56GMT

Content-length:57

Accept-ranges:bytes

Connection:close

三.模糊服务器Banner信息

在很多情况下,获取Banner被证实是一种很好的Http指纹识别方法.但是,网络治理员会选择通过配置或者是增加插件来更改或者是模糊服务器的Banner信息.当然,这样的设置确实是自动的阻止了很多对Http服务器的攻击.

要让服务器返回不同的Banner信息的设置是很简单的,象Apache这样的开放源代码的Http服务器,用户可以在源代码里修改Banner信息,然后重起Http服务就生效了;对于没有公开源代码的Http服务器比如微软的IIS或者是Netscape,可以在存放Banner信息的Dll文件中修改,相关的文章有讨论的,这里不再赘述,当然这样的修改的效果还是不错的.

另一种模糊Banner信息的方法是使用插件,这些插件可以提供自定义的Http应答信息.比如ServerMask这个商业软件就可以提供这样的功能,它是IIS服务器的一个插件,ServerMask不仅模糊了Banner信息,而且会对Http应答头信息里的项的序列进行重新组合,从而来模拟Apache这样的服务器,它甚至有能力扮演成任何一个Http服务器来处理每一个请求.这个软件可以在以下地址找到:

Http://www.port80software.com/prodUCts/servermask

下面就是一个被自定义Banner信息的Http服务器的例子,Apache服务器被自定义成了未知服务器:

Http/1.1403Forbidden

Date:Mon,08Sep200302:41:27GMT

Server:Unknown-Webserver/1.0

Connection:close

Content-Type:text/html;charset=iso-8859-1

下面是一个使用了ServerMask插件的IIS服务器的例子:

Http/1.1200OK

Server:YesweareusingServerMask

Date:Mon,08Sep200302:54:17GMT

Connection:Keep-Alive

Content-Length:18273

Content-Type:text/html

Set-Cookie:Itworksoncookiestoo=82.3S3.O12.NT2R0RE,4147ON3P,.4OO.;path=/

Cache-control:private

从上面的例子我们可以看到,仅仅从Banner信息来判定Http服务器类型是远远不够的.

四.协议行为

在执行Http协议时,几乎所有的Http服务器都具有它们独特的方法,假如Http请求是合法并且规则的,Http服务器返回的应答信息是符合RFC里的描述的.但是假如我们发送畸形的Http请求,这些服务器的响应信息就不同了,不同服务器对Http协议行为表现的不同就是Http指纹识别技术的基本根据和原理.

大家还是喜欢看例子,那就让我们来举几个不同的例子吧,我们将分析3种不同Http服务对不同请求所返回的响应信息,这些请求是这样的:

1:HEAD/Http/1.0发送基本的Http请求

2:DELETE/Http/1.0发送那些不被答应的请求,比如Delete请求

3:GET/Http/3.0发送一个非法版本的Http协议请求

4:GET/JUNK/1.0发送一个不正确规格的Http协议请求

Exp1:基本的Http请求

我们先发送请求HEAD/Http/1.0,然后分析Http响应头里的信息,对头信息里项的排序进行分析.发送的请求命令如下:

C:\>ncapache.example.com80//回车,下同

HEAD/Http/1.0//输入后回车,下同

响应信息:

1:Apache1.3.23

Http/1.1200OK

Date:Mon,08Sep17:10:49GMT

Server:Apache/1.3.23

Last-Modified:Thu,27Feb200303:48:19GMT

ETag:"32417-c4-3e5d8a83"

Accept-Ranges:bytes

Content-Length:196

Connection:close

Content-Type:text/html

2:IIS5.0

Http/1.1200OK

Server:Microsoft-IIS/5.0

Content-Location:Http://iis.example.com/Default.htm

Date:Mon,08Sep20:13:52GMT

Content-Type:text/html

Accept-Ranges:bytes

Last-Modified:Mon,08Sep200310:10:50GMT

ETag:W/"e0d362a4c335be1:ae1"

Content-Length:133

3:NetscapeEnterprise4.1

Http/1.1200OK

Server:Netscape-Enterprise/4.1

Date:Mon,08Sep200306:01:40GMT

Content-type:text/html

Last-modified:Mon,08Sep200301:37:56GMT

Content-length:57

Accept-ranges:bytes

Connection:close

比较结果:Apache头信息里的Server和Date项的排序是不同的.

Exp2:HttpDELETE请求

这次,我们将发送DELETE/Http/1.0请求,我们将分析不同Http服务器对非法请求的应答信息的不同.发送的请求命令:

C:\>ncapache.example.com80

DELETE/Http/1.0

响应信息:

1:Apache1.3.23

Http/1.1405MethodNotAllowed

Date:Mon,08Sep200317:11:37GMT

Server:Apache/1.3.23

Allow:GET,HEAD,POST,PUT,DELETE,CONNECT,OPTIONS,PATCH,PROPFIND,PROPPATCH,

MKCOL,COPY,MOVE,LOCK,UNLOCK,TRACE

Connection:close

Content-Type:text/html;charset=iso-8859-1

2:IIS5.0

Http/1.1403Forbidden

Server:Microsoft-IIS/5.0

Date:Mon,08Sep200320:13:57GMT

Content-Type:text/html

Content-Length:3184

3:NetscapeEnterprise4.1

Http/1.1401Unauthorized

Server:Netscape-Enterprise/4.1

Date:Mon,08Sep200306:03:18GMT

WWW-authenticate:Basicrealm="WebServerServer"

Content-type:text/html

Connection:close

比较结果:Apache响应的是"405MethodNotAllowed",IIS响应的是"403Forbidden",Netscape响应的是"401Unauthorized",发现对Delete请求,响应的信息是完全不同的.

Exp3:非法Http协议版本请求

这次我们将发送非法的Http协议版本请求,比如GET/Http/3.0请求,事实上Http3.0是不存在的,发送请求命令:

C:\>ncapache.example.com80

GET/Http/3.0

响应信息:

1:Apache1.3.23

Http/1.1400BadRequest

Date:Mon,08Sep200317:12:37GMT

Server:Apache/1.3.23

Connection:close

Transfer-Encoding:chunked

Content-Type:text/html;charset=iso-8859-1

2:IIS5.0

Http/1.1200OK

Server:Microsoft-IIS/5.0

Content-Location:Http://iis.example.com/Default.htm

Date:Mon,08Sep200320:14:02GMT

Content-Type:text/html

Accept-Ranges:bytes

Last-Modified:Mon,08Sep200320:14:02GMT

ETag:W/"e0d362a4c335be1:ae1"

Content-Length:133

3:NetscapeEnterprise4.1

Http/1.1505HttpVersionNotSupported

Server:Netscape-Enterprise/4.1

Date:Mon,08Sep200306:04:04GMT

Content-length:140

Content-type:text/html

Connection:close

比较结果:Apache响应的是"400BadRequest",IIS忽略了这个请求,响应信息是OK,还返回了网站根目录的HTML数据信息,Netscape响应的是"505HttpVersionNotSupported".

Exp4:不正确规则协议请求

这次测试主要是对GET/JUNK/1.0.请求的响应,发送请求命令:

C:\>ncapache.example.com80

GET/JUNK/1.0

响应信息:

1:Apache1.3.23

Http/1.1200OK

Date:Sun,15Jun200317:17:47GMT

Server:Apache/1.3.23

Last-Modified:Thu,27Feb200303:48:19GMT

ETag:"32417-c4-3e5d8a83"

Accept-Ranges:bytes

Content-Length:196

Connection:close

Content-Type:text/html

2:IIS5.0

Http/1.1400BadRequest

Server:Microsoft-IIS/5.0

Date:Fri,01Jan199920:14:34GMT

Content-Type:text/html

Content-Length:87

3:NetscapeEnterprise4.1

Badrequest

Yourbrowsersentaquerythisservercouldnotunderstand.

比较结果:在这里,Apache忽视了不规则的协议"JUNK",还返回了200"OK"和根目录的一些信息,IIS响应的是"400BadRequest",Netscape几乎没有返回Http头信息,相反的却返回了HTML格式的信息来表明这是个错误请求.

测试小结:我们下面列了一个表,我们可以很简单的辨别不同的Http服务器.

服务器头信息项排序Delete请求非法版本不规则协议

Apache/1.3.23Date,Server405400200

MS-IIS/5.0Server,Date403200400

Netscape4.1Server,Date401505noheader

五.指纹识别工具

这里我们将介绍一个Http指纹识别工具Httprint,它通过运用统计学原理,组合模糊的逻辑学技术,能很有效的确定Http服务器的类型.它可以被用来收集和分析不同Http服务器产生的签名,什么是Http签名呢?Http签名通过16进制转为ASCII码如下:

Microsoft-IIS/5.0

CD2698FD6ED3C295E4B1653082C10D64811C9DC594DF1BD04276E4BB811C9DC5

0D7645B5811C9DC52A200B4C9D69031D6014C217811C9DC5811C9DC52655F350

FCCC535BE2CE6923E2CE6923F2454256E2CE69272576B769E2CE6926CD2698FD

6ED3C295E2CE692009DB9B3E6ED3C2956ED3C2956ED3C2956ED3C295E2CE6923

6ED3C295

Apache/1.3.x

9E431BC86ED3C295811C9DC5811C9DC5050C5D32505FCFE84276E4BB630A04DB

0D7645B5970EE6BB811C9DC5CD37187C11DDC7D78398721EB06FE5D78A91CF57

FCCC535B6ED3C295FCCC535B811C9DC5E2CE69272576B769E2CE69269E431BC8

6ED3C295E2CE69262A200B4C811C9DC5811C9DC5811C9DC5811C9DC5811C9DC5

811C9DC5

Httprint先把一些Http签名信息保存在一个文档里,然后分析那些由Http服务器产生的结果.

当我们发现那些没有例在数据库中的签名信息时,我们可以利用Httprint产生的报告来扩展这个签名数据库,而当Httprint下一次运行时,这些新加的签名信息也就可以使用了.

Httprint可以图形界面运行和命令行下运行,可以运行在Windows、Linux和MacOSX平台上.

以下是命令行下的帮助文件:

D:\>Httprint

Usage:Httprint{-h-i}-s[...options]

-h可以是ip地址ip范围,或者是url地址

-i一个包含测试地址的文件,默认文件是input.txt

-s一个包含Http签名的文件,默认是signatures.txt

Options:

-o默认的报告文件是"Httprintoutput.html".可以自己定义

-tpPing超时时间,默认是1000ms.最大是30000ms.

-t连接和读取超时时间,默认是10000ms.最大是100000ms.

-r时间.默认是3次.最大是30次.

-P0不Ping主机.

-?帮助信息.

例子:

Httprint-hwww.target.com-ssignatures.txt

Httprint-hHttps://www.target.com-ssignatures.txt

Httprint-hHttp://www.target.com:8080/-ssignatures.txt

Httprint-h10.0.1.1-10.0.1.254-ssignatures.txt-o10_0_1_x.html

Httprint-iinput.txt-ssignatures.txt-ooutput.html

使用方法是很简单的,下面是Httprint的一次输出结果:

D:\>Httprint-hHttp://www.target.com-ssignatures.txt

Host:www.target.comisalive...

FingerPrintingonHttp://www.target.com:80/

DerivedSignature:

Apache/1.3.26(Unix)

9E431BC86ED3C295811C9DC5811C9DC5050C5D32505FCFE84276E4BBC184CB92

0D7645B5811C9DC52A200B4C811C9DC511DDC7D78398721E811C9DC5811C9DC5

E2CE6923E2CE6923E2CE6923811C9DC568D17AAE2576B769E2CE6926811C9DC5

E2CE6923E1CE67B1811C9DC5E2CE6920E2CE69206ED3C2956ED3C295E2CE6920

E2CE69206ED3C295811C9DC568D17AAEE2CE6923

BannerReported:Apache/1.3.26(Unix)

BannerDeduced:Apache/1.3.26

Scores:

Microsoft-IIS/4.0:47

Microsoft-IIS/5.0:57

Microsoft-IIS/5.0Asp.Net:57

Microsoft-IIS/5.1:57

Microsoft-IIS/6.0:75

...........................//略去一些

Apache/2.0.x:70

Apache/1.3.27:79

Apache/1.3.26:80

Apache/1.3.[4-24]:78

............................//略去一些

Com21CableModem:49

在上面的例子中,Httprint显示了被测服务器的签名信息,然后将这些信息同数据库中已有的签名进行比较,然后对每一个指纹进行评分,分数最高的也就是最符合的.在这个例子里,"Apache/1.3.26"是最适合的.

以下是图形界面的抓图:

Httprint会产生一个HTML格式的报告,这个报告将对以后的分析产生很大的作用,下面是一个例子的报告:

Httprint的功能是强大的,尽管大家可以用ServerMask这样的软件来模糊指纹,但是仍然可以被Httprint这样利用统计学原理进行识别的的软件打败,下面是一个例子:

D:\>Httprintunknown.example.com

Reportedsignature:

ProtectedbyServerMask

CD2698FD6ED3C295811C9DC5811C9DC5811C9DC594DF1BD04276E4BB811C9DC5

0D7645B5811C9DC5811C9DC59D69031D6014C217811C9DC5811C9DC580FF2CD2

FCCC535BE2CE6923E2CE6923811C9DC5E2CE69272576B769E2CE69262CEAB43E

6ED3C295FCCC535B811C9DC56ED3C2956ED3C2956ED3C2956ED3C295E2CE6923

6ED3C295

BestMatch:Microsoft-IIS/5.0,Microsoft-IIS/5.1

Scores:

Microsoft-IIS/4.0:86

Microsoft-IIS/5.0:101

Microsoft-IIS/5.1:101

Microsoft-IIS/6.0:56

.............................

Apache/1.3.27:35

Apache/1.3.26:36

Apache/1.3.x:34

..............................

MiniServ/0.01:15

尽管服务器使用ServerMask迷惑了响应信息,但是Httprint仍然精确的判定出它是Microsoft-IIS/5.0或5.1

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有