玩过nmap的都知道,很多信息的确认来自于OS的指纹,这些指纹中包括TCP序列号!
如果你在一个Windows宿主机的VMWare虚拟机中使用nmap,而且这个虚拟机还是使用NAT模式,那么不管你扫哪个机器,得到的guess OS结果都将是Windows,该Windows版本将会与你的宿主机完全一致!这明显是错误的结论!本文的目的是纠正这个错误的结论以及提供一个能让你在NAT模式下使用nmap的方法。
能让你瞬间知道这是错误的,有一个前提,那就是你对VMWare NAT模式的机制非常理解,我在前面写了两篇文章来阐释VMWare的NAT模式,如果你理解了,就会知道,起码这个NAT模式会影响两个结果:
1.traceroute的结果
由于返回的TTL exceeded消息无法对应到已知的五元组(vmnat能做到,但它没做...),因此无法反向NAT讲消息路由到Guest OS。这个就不多说了。
2.nmap的结果
由于vmnat完全接管NAT,也就是说每个TCP连接都是Host OS代理建立的,因此Guest OS看到的永远是Host OS的TCP连接,实际上对于TCP而言,无论你扫哪个机器,都是在扫Host!TCP序列号在经过Host OS的时候会被替换成Host OS与远端主机之间的序列号。
总之,不要在NAT模式下玩网络,玩不转的。事实上,即便不是你的VMWare NAT在作怪,中间的运营商设备也会作怪。如果它劫持或者说接管了你的TCP连接,那么nmap就到它为止了,任何向前行的企图都会止步于此!鉴于运营商再恶劣,它也不会100%劫持你的连接(它干嘛非要跟你过不去呢,贱人一般都是跟所有人都过不去!)
在扫描中,指纹不准的后果就是信息混乱!所以,在执行扫描前,要确保本地环境的纯粹,这种纯粹不仅仅包含应用层的纯粹,更多的是包含TCP层甚至IP层的纯粹。举一个简单点的例子,Linux的默认TTL是64,如果你在NAT Guest模式下扫描到某个地址的TTL是64以下的某个值且跳数有限,那就能猜测被扫机器是Linux,这个意义上TTL也算一个轻量级指纹!然而,你得到的结果将会是TTL为128!...一切功败垂成灰飞烟灭。
我是不是该写篇文章解释一下如何在VMWare NAT模式下使用nmap呢?嗯,本来本文到此为止,然而这个想法让我将本文继续下去...
早在几年前,我在搞NAT的实现,曾经提出三种NAT方案:
1.使用PACKET套接字抓包重注入来实现;
2.使用nf_queue抓取重注入来实现
3.直接在内核中实现双向无状态NAT
关于方案2和3,我都有文章阐述,但是只有方案1,我好像还没有提及,本文正是关于方案1的补充。该方案旨在实现一个单纯的IP层NAT,保持TCP序列号的连续。总的框图如下:
关于这个代码,没有什么好说的,在这个代码之外,我想提及几点。
既然这是一个跑在Windows上的代码,为什么会有eth0/1/2/3呢?因为我的笔记本电脑蓝屏再重启后,Dev-CPP不能用了,用尽洪荒之力也没能编译成功,所以我用两台VMWare虚拟机完成这个构想。道理是一样的,实现就无关紧要了。不管是C语言还是Python,都很好,只是我惧怕计算TCP的校验码,我选择了Python。
看来我们可以用这种方式来替换vmnat了,值得注意的是,一定要封堵到达本机的常规流量,不然TCP Reset就在所难免了!这个PCAP实现避免了TCP被替代被劫持,它只是转换了IP层的地址信息,名副其实的NAT是也(NAT没有标准,各行其道)!
我把这个脚本呈给温州皮鞋厂老板,老板把我骂了,我发誓,以后再也不买他的皮鞋了,而且也不让别人买他的皮鞋了!
如果你在一个Windows宿主机的VMWare虚拟机中使用nmap,而且这个虚拟机还是使用NAT模式,那么不管你扫哪个机器,得到的guess OS结果都将是Windows,该Windows版本将会与你的宿主机完全一致!这明显是错误的结论!本文的目的是纠正这个错误的结论以及提供一个能让你在NAT模式下使用nmap的方法。
能让你瞬间知道这是错误的,有一个前提,那就是你对VMWare NAT模式的机制非常理解,我在前面写了两篇文章来阐释VMWare的NAT模式,如果你理解了,就会知道,起码这个NAT模式会影响两个结果:
1.traceroute的结果
由于返回的TTL exceeded消息无法对应到已知的五元组(vmnat能做到,但它没做...),因此无法反向NAT讲消息路由到Guest OS。这个就不多说了。
2.nmap的结果
由于vmnat完全接管NAT,也就是说每个TCP连接都是Host OS代理建立的,因此Guest OS看到的永远是Host OS的TCP连接,实际上对于TCP而言,无论你扫哪个机器,都是在扫Host!TCP序列号在经过Host OS的时候会被替换成Host OS与远端主机之间的序列号。
总之,不要在NAT模式下玩网络,玩不转的。事实上,即便不是你的VMWare NAT在作怪,中间的运营商设备也会作怪。如果它劫持或者说接管了你的TCP连接,那么nmap就到它为止了,任何向前行的企图都会止步于此!鉴于运营商再恶劣,它也不会100%劫持你的连接(它干嘛非要跟你过不去呢,贱人一般都是跟所有人都过不去!)
在扫描中,指纹不准的后果就是信息混乱!所以,在执行扫描前,要确保本地环境的纯粹,这种纯粹不仅仅包含应用层的纯粹,更多的是包含TCP层甚至IP层的纯粹。举一个简单点的例子,Linux的默认TTL是64,如果你在NAT Guest模式下扫描到某个地址的TTL是64以下的某个值且跳数有限,那就能猜测被扫机器是Linux,这个意义上TTL也算一个轻量级指纹!然而,你得到的结果将会是TTL为128!...一切功败垂成灰飞烟灭。
我是不是该写篇文章解释一下如何在VMWare NAT模式下使用nmap呢?嗯,本来本文到此为止,然而这个想法让我将本文继续下去...
早在几年前,我在搞NAT的实现,曾经提出三种NAT方案:
1.使用PACKET套接字抓包重注入来实现;
2.使用nf_queue抓取重注入来实现
3.直接在内核中实现双向无状态NAT
关于方案2和3,我都有文章阐述,但是只有方案1,我好像还没有提及,本文正是关于方案1的补充。该方案旨在实现一个单纯的IP层NAT,保持TCP序列号的连续。总的框图如下:
#!/usr/local/bin/python
import sys
import os
import signal
import threading
from scapy.all import *
# 1.1.1.1是内部的IP地址
in_addr = '1.1.1.1'
# 192.168.44.100是转换后的公网地址
out_addr = '192.168.44.100'
# 101.254.177.3是令人遗憾的火山云主机地址,作为我们的目标
target = '101.254.177.3'
flt_in = "src " + in_addr + " and dst " + target + " and tcp port 80"
flt_out = "src " + target + " and dst " + out_addr + " and tcp port 80"
# 为了阻滞本机的接收失败而Reset连接,故DROP掉本机流量
ipt_cmd = 'iptables -A INPUT -s ' + target + ' -p tcp --sport 80 -j DROP'
def signal_handler(signal, frame):
os._exit(0)
class ThreadWraper(threading.Thread):
def __init__(self,func,args,name=''):
threading.Thread.__init__(self)
self.name=name
self.func=func
self.args=args
def run(self):
apply(self.func,self.args)
# 接收正向包,转换源地址
def recv_in(pktdata):
if TCP in pktdata and pktdata[TCP]:
seqno = pktdata[TCP].seq
ackno = pktdata[TCP].ack
sp = pktdata[TCP].sport
dp = pktdata[TCP].dport
flg = pktdata[TCP].flags
win = pktdata[TCP].window
opts = pktdata[TCP].options
payload = pktdata[TCP].payload
sendp(Ether()/IP(src = out_addr, dst = target)/TCP(sport = sp, dport = dp, seq = seqno, ack = ackno, flags = flg, window = win, options = opts)/payload, verbose = 0, iface="eth3")
# 接收反向包,转换目标地址
def recv_out(pktdata):
if TCP in pktdata and pktdata[TCP]:
seqno = pktdata[TCP].seq
ackno = pktdata[TCP].ack
sp = pktdata[TCP].sport
dp = pktdata[TCP].dport
flg = pktdata[TCP].flags
win = pktdata[TCP].window
opts = pktdata[TCP].options
payload = pktdata[TCP].payload
sendp(Ether()/IP(src = target, dst = in_addr)/TCP(sport = sp, dport = dp, seq = seqno, ack = ackno, flags = flg, window = win, options = opts)/payload, verbose = 0, iface="eth2")
# 本例中,eth2为内部网口
def recv_packet_in():
sniff(iface ="eth2", prn = recv_in, store = 0, filter = flt_in)
# 本例中,eth3为外部网口
def recv_packet_out():
sniff(iface = "eth3", prn = recv_out, store = 0, filter = flt_out)
if __name__ == '__main__':
signal.signal(signal.SIGINT, signal_handler)
os.system(ipt_cmd)
in_thread = ThreadWraper(recv_packet_in,(), recv_packet_in.__name__)
in_thread.setDaemon(True)
in_thread.start()
out_thread = ThreadWraper(recv_packet_out,(), recv_packet_out.__name__)
out_thread.setDaemon(True)
out_thread.start()
signal.pause()关于这个代码,没有什么好说的,在这个代码之外,我想提及几点。
既然这是一个跑在Windows上的代码,为什么会有eth0/1/2/3呢?因为我的笔记本电脑蓝屏再重启后,Dev-CPP不能用了,用尽洪荒之力也没能编译成功,所以我用两台VMWare虚拟机完成这个构想。道理是一样的,实现就无关紧要了。不管是C语言还是Python,都很好,只是我惧怕计算TCP的校验码,我选择了Python。
看来我们可以用这种方式来替换vmnat了,值得注意的是,一定要封堵到达本机的常规流量,不然TCP Reset就在所难免了!这个PCAP实现避免了TCP被替代被劫持,它只是转换了IP层的地址信息,名副其实的NAT是也(NAT没有标准,各行其道)!
我把这个脚本呈给温州皮鞋厂老板,老板把我骂了,我发誓,以后再也不买他的皮鞋了,而且也不让别人买他的皮鞋了!
扫一扫
3910
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
