目标主机操作系统识别技术分析(转)

目标主机操作系统识别技术分析(转)[@more@]

　　普遍的入侵行为需要进行端口扫描，这是多数“黑客”的熟练技巧。大多数的端口扫描就是让我们能够达到这样的目的：

　　1、让我们能够大致判断目标是什么操作系统

　　2、目标到底在运行些什么服务

　　当然，要扫描得到这些东西还是最后为了让我们能够知道哪些可能拿来利用，可能存在的漏洞，对目标主机的操作系统类型识别，更能够方便地让我们去利用操作系统对应的漏洞实施攻击。很多工具提供的扫描也可能就直接得到什么操作系统了，或者相对应的端口使用的是什么程序，程序是什么版本的等等。不过，这些都是由那些工具自己做了,不讨论这个，我们应该去想想这些工具到底是怎么去实现的。

　　对目标主机操作系统识别的目的，正如Fyodor（nmap的作者）在他的

　　《Remote OS detection via TCP/IP Stack FingerPrinting》中讲解那样，进行主机识别有两个主要作用，第一，很多系统漏洞是同OS密切相关的，还有就是社会学（social engineering）问题，你能够在非常了解对方的系统之后，冒充软件提供商给目标发送“补丁”。按照我们上面提到的高级扫描方式，直接进行的端口扫描，能够赋予我们绕过防火墙的能力，而且可以尽可能地隐藏

　　自己等等，但是，我们能够得到的信息也是有限的，也许对是否开放一个端口并不是那么直接地感兴趣，比如一个21端口，我们真正感兴趣的是这个端口被用来作什么了，运行地什么版本的程序，而不是仅仅打开一个21端口就满意了。也就是说，我们对下面得到地这个东西更感兴趣（关系到IP的地方，我都用X代替了）：

　　C:>ftp XXX.XXX.XXX.XXX

　　Connected to XXX.XXX.XXX.XXX.

　　220 XXXXX X2 WS_FTP Server 1.0.5 (1327846197)

　　User (XXX.XXX.XXX.XXX:(none)):

　　其实，这就是一种最简单和最直接的判别方式，获得程序版本变相地也让我们能够估计到目标的操作系统类别。我们可以对每个打开的端口进行相应的连接，通常这些服务程序就会非常高兴地显示自己的“banner”，也就让我们能够直接得到他是什么版本了。甚至，我们能够得到更好的东西：

　　C:>telnet XXX.XXX.XXX.XXX

　　Red Hat Linux release 7.1 (Seawolf)

　　Kernel 2.4.2-2 on an i686

　　login:

　　这让我们对操作系统版本一览无余了。正象这些只对80端口感兴趣的“黑客”一样，通过对80端口的连接，我们也能得到足够多的信息。

　　C:>telnet XXX.XXX.XXX.XXX 80

　　HEAD / HTTP/1.1

　　HTTP/1.1 200 OK

　　Via: 1.1 ADSL2000

　　Content-Length: 97

　　Date: Thu, 24 Jan 2002 13:46:56 GMT

　　Content-Type: text/html

　　Server: Apache/1.3.20 (Unix) PHP/4.0.6

　　Last-Modified: Wed, 26 Dec 2001 09:22:54 GMT

　　ETag: "8715f-61-3c2996ee"

　　Accept-Ranges: bytes

　　Keep-Alive: timeout=15, max=100

　　可以注意到：Server: Apache/1.3.20 (Unix) PHP/4.0.6，这里很明白地“贡献”出WEB服务器的软件版本。

　　这样直接的连接探测方式，对于这些banner开放的，简直是太容易了，当然，负责的管理员也会屏蔽或者修改掉这些BANNER。

　　还有一种粗劣而且简单的判别主机操作系统类型的办法就是通过Ping，然后分析得到的TTL值，当然，稍微准确点可以同时在配合Tracert来确定主机原始的TTL值，不过，这种办法很容易被欺骗，比如，在WINDOWS系统中，对注册表的修改：

　　HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParameters

　　Key: DefaultTTL

　　通过对DefaultTTL的修改，比如：修改成为255，伪装成为一台UNIX主机，就能够造成探测者的错误判断。

　　对主机使用端口的分析，同样也能够进行操作系统识别，一些操作系统使用特殊的端口，比如：WINDOWS的137、139,WIN2K的445，而且一些网络设备比如入侵检测系统、防火墙等等也都有厂商自己的端口开放。

　　上面的这些识别方式也是那些负责管理员能够简单应付的方式，这里，我们可以看看高级的主机识别技术，这些技术主要分为两类：主动协议识别和被动协议识别，都是利用各种操作系统在网络协议通讯中使用不同的协议内容（各个厂商有自己的规定），然后对这些不同之处进行分析进行的识别。

　　Nmap这个强大的扫描工具在远程主机判断上也使用了很多技术，来实现更高级的主机系统检测。这主要是通过主动的TCP/IP协议辨识来实现的，每种操作系统在TCP交流中总是使用一些具有特性的标志，这些标志在TCP IP数据包的头中表现出来。比如window、ACK序号、TTL等等的不同反应，通过大量的数据分析，然后精确地判断主机系统。这些系统的协议特性包括（这只是一小部分）：

　　FIN识别：发送一个只有FIN标志位的TCP数据包给一个打开的端口并等待回应。正确的RFC793行为是不响应，但有些系统，例如 MS Windows, BSDI, CISCO, HP/UX,MVS,和IRIX 发回一个RESET。

　　DF位识别：许多操作系统在送出的一些包中设置IP的DF（不分片）位。

　　WINDOW大小：检查返回包的窗口大小。特定操作系统反应的窗口大小基本是常数，例如，AIX 是唯一用0x3F25的），Microsoft 以及OpenBSD 与FreeBSD用的是0x402E。

　　ACK 序号识别：不同实现中ACK的值是不同的。例如，如果你送了一个FIN|PSH|URG 到一个关闭的TCP 端口。大多数实现会设置ACK 为你的初始序列数，而Windows 和一些傻打印机会送给你序列数加1。

　　在之后，Fyodor 和Ofir又分析和收集利用ICMP协议的操作系统特性来进行的主机系统判别，这种主动的识别方式都经过了大量的分析，原理和上面的TCP/IP协议识别相同，比如：用ICMP的地址掩码请求来探测SUN操作系统，对于ICMP地址掩码请求，只有少数操作系统会产生相应的应答，这些系统包括ULTRIX OpenVMS, Windows 95/98/98 SE/ME,

　　NT below SP 4, 和 SUN Solaris机器。但SUN对分片ICMP地址掩码请求的应答同其他操作系统不相同，这样就可以来识别SUN主机操作系统。

　　和主动的协议识别原理相同，Lance Spitzner在《Passive Fingerprinting》中提出了被动的协议识别，同样用来判别主机系统。这种办法主要集中考虑：

　　1、TTL的设置

　　2、WINDOW SIZE：操作系统设置的窗口大小

　　3、DF：操作系统是否设置分片位

　　4、TOS：操作系统设置的服务类型

　　对于TTL，对于一个操作系统来说一般是固定的，比如LINUX Kernel 2.2.x & 2.4.x的 TTL 字段值为 64，

　　FreeBSD 4.1, 4.0, 3.4; Sun Solaris 2.5.1, 2.6, 2.7, 2.8;的 TTL为 255 Windows NT，Windows 2000 的为 128等，同时将配合其他需验证的内容，比如：LINUX的窗口值是0x7D78，Solaris2.6-2.7的窗口值有几种0x2328,0x2238等等。我们以WIN2000为例，它的TTL为“128”，窗口大小在“17000-18000”这个范围内，并且设置分片位，即DF为1，

　　而操作系统设置的服务类型TOS为“0”，如果我们对接收的原始数据分析得到这样的结果，那么我们可以判断这是一个WIN2000的操作系统。

　　当然被动协议识别操作系统也需要分析各个操作系统的不同反馈属性，然后根据得到的信息同收集的属性相比较。比如多数系统使用DF位设置，但是有些系统如SCO和OPENBSD不使用这个DF标志，这样就可以用来识别一些没有设置DF位的操作系统。被动协议识别也可以用来判断远程代理防火墙，因为代理防火墙重建对客户的连接，它有它自身的特征代码，也可以用这样的办法来分析。

　　主动协议识别和被动协议识别需要进行大量的统计分析，虽然比最开始介绍的那些简单识别方法准确些，但是也并不能保证一定能够识别得到准确的操作系统类型。同时这两种方法主要区别就在于一个是主动，而一个是被动的，主动识别方式需要主动发送数据包，因此相对于那些安全设备来说，也比较容易识别这些数据包，同被动识别比较起来，隐蔽性稍微差些。

　　Reference：

　　1、《X - Remote ICMP Based OS Fingerprinting Techniques》

　　2、Phrack #57《ICMP based remote OS TCP/IP stack fingerprinting techniques》

　　3、Fyodor《Remote OS detection via TCP/IP Stack FingerPrinting》

　　4、Lance Spitzner《Passive Fingerprinting》

　　

本文来自：http://www.linuxpk.com/30619.html

--&gtlinux电子图书免费下载和技术讨论基地

·上一篇： 把NT“赶尽杀绝”攻击NT的一些技术

·下一篇： 调试工具TRW2000,VB符号调试初步

最新更新
	·注册表备份和恢复 ·低级格式化的主要作用 ·如何防范恶意网站 ·常见文件扩展名和它们的说明 ·专家：警惕骇客骗局，严守企业信息 ·PGPforWindows介紹基本设定(2) ·解剖安全帐号管理器（SAM）结构 ·“恶作剧之王”揭秘 ·绿色警戒 ·黑客反击战 ·网络四大攻击方法及安全现状描述 ·可攻击3种浏览器代码流于互联网 ·黑客最新的兴趣点,下个目标会是谁? ·“僵尸”——垃圾邮件的主要传播源 ·Lebreat蠕虫惊现3变种 ·POSTFIX反病毒反垃圾Ų… ·在FreeBSD上用PHP实现在线添加FTP用户 ·简单让你在FreeBSDADSL上… ·安全版本：OpenBSD入门技巧解析 ·Internet连接共享上网完全攻略 ·关于ADSL上网网速常识 ·静态缓存和动态缓存的比较 ·最友好的SQL注入防御方法 ·令网站提速的7大秘方 ·网络基础知识大全 ·路由基本知识 ·端口映射的几种实现方法 ·VLAN经典诠释 ·问题分析与解决——ADSL错误代码 ·问题分析——关于2条E1的线路绑定

关于我们 | 联系方式 | 广告合作 | 诚聘英才 | 网站地图 | 网址大全 | 友情链接 | 免费注册

Copyright © 2004 - 2007 All Rights Reserved 来自 “ ITPUB博客 ” ，链接：http://blog.itpub.net/10763080/viewspace-970167/，如需转载，请注明出处，否则将追究法律责任。 0 0 分享到： 上一篇： 把NT“赶尽杀绝”攻击NT的一些技术(转) 下一篇： 调试工具TRW2000,VB符号调试初步(转) 请登录后发表评论 登录 全部评论 <%=items[i].createtime%> <%=items[i].content%> <%if(items[i].items.items.length) { %> <%for(var j=0;j <%=items[i].items.items[j].createtime%> 回复 <%=items[i].items.items[j].username%>   回复   <%=items[i].items.items[j].tousername%>： <%=items[i].items.items[j].content%> <%}%> <%if(items[i].items.total > 5) { %> 还有<%=items[i].items.total-5%>条评论 ) data-count=1 data-flag=true>点击查看 <%}%> <%}%> <%}%> RegisterForBlog 博文量 297 访问量 1578949 最新文章 eTrust全方位实现安全管理(转) 电子支付与安全的关系及其经济分析二(转) 电子支付与安全的关系及其经济分析三(转) 让个人电脑也拥有一把保护伞—个人防火墙(转) 整体大于部分之和—ServGate的整合安全(转) 识破病毒的“障眼法”进一步防御病毒(转) 实验室环境下测试千兆入侵检测系统(转) 病毒肆虐信息安全问题不容忽视(转) 覆盖*printf()系列函数本身的返回地址(转) 中国信息安全体系机构基本框架与构想(转) 支持我们 作者招募 用户协议 FAQ Contact Us 北京盛拓优讯信息技术有限公司. 版权所有  京ICP备09055130号-4  北京市公安局海淀分局网监中心备案编号：11010802021510 广播电视节目制作经营许可证(京) 字第1234号 中国互联网协会会员

转载于:http://blog.itpub.net/10763080/viewspace-970167/