上次做网络安全实验的时候发现nmap扫描操作系统的结果中出现了索尼爱立信u8i手机,大为震惊,写在了实验报告中。老师看到之后建议我继续钻研一下,找出原因,于是今天空下来了,花了一点时间进行分析。
这是上周的结果
我先去金山云官网询问了客服,确认了他们使用的操作系统只有Linux和Windows。
然后再次nmap -sS -O扫描金山云的IP,发现结果和上次不一样,无法复现之前的结果。
于是查询了之前结果的索尼u8i手机信息,发现是一款2010年的智能手机,使用 塞班操作系统。
在索尼爱立信嵌入式应用手册中发现其TTL值是64,正好与Linux系统相同,难道是把两者搞混了?目前还不能确定。
但是对塞班系统我几乎没什么了解,这条线索找不下去了,而且10年的手机,应该被淘汰了,不太可能还有人使用,考虑到会不会是识别错误。于是我再次回到 u8i vivaz mobile phone的线索上,使用了精确搜索,看看有没有和我有一样的问题
结果还真找到一篇17年的nmap扫描的博客
发现他探测的目标是百度,虽然没有找到这个结果出现的原因,但是至少确定了这个问题不是我的幻觉,也有其他人遇到过,而且基本排除了金山云的原因。
继续使用精确搜索,找到大量英文网页,其中一条GitHub上的结果引起了我的注意
Nmap的一些操作系统指纹中没有很多细节。比如说。# 索尼爱立信U8i Vivaz Pro手机指纹 索尼爱立信U8i Vivaz手机指纹
打开这个网页https://github.com/nmap/nmap/issues/914
博主对于这个指纹的评论如下:
This fingerprint is missing all of the timing tests and all of the
open-TCP-port response tests, including TCP Window and Options tests.
Unfortunately, this actually makes it score higher against
observations that do include these test values but which do not match
other fingerprints in the database.
这个指纹缺少所有的计时测试和所有的open-TCP-port响应测试,包括TCP窗口和选项测试。不幸的是,这实际上使它在与那些确实包括这些测试值但与数据库中其他指纹不匹配的观察结果相比得分更高。
结论:以我的理解来看,应该是历史遗留问题,索尼爱立信U8i Vivaz手机指纹的打分机制有些不完整,使得其在同样不匹配的情况下,得分会比其他完全不匹配的系统高一点。正好指纹识别是通过特征匹配,通过相似度来分析。于是就作为最小可能性出现在了OS详情的末尾,大概是指纹扫描过程中的偶发误报事件,所以事后重复的时候就没有了,并且全网搜索也只能找到很少的博客。
本来这件事到这就差不多结束了,但是想到中文博客中找了半天也没发现有用的线索,想了想就找到自己的博客,发表在CSDN上面,要是以后还有遇到初学者对这个有疑问,就不用像我一样花时间去找了。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
