第2章信息收集

第二章信息收集吳少華電子信息學(xué)院第二章信息收集本章主要內(nèi)容信息收集的概念和意義信息收集的方法和技術(shù)利用公開(kāi)的信息服務(wù)掃描操作系統(tǒng)的類型探測(cè)2.1信息收集概述什么是信息收集？信息收集是指——黑客為了更加有效地實(shí)施攻擊而在攻擊前或攻擊過(guò)程中對(duì)目標(biāo)的所有探測(cè)活動(dòng)2.1信息收集概述什么是信息收集？信息收集是指——黑客為了更加有效地實(shí)施攻擊而在攻擊前或攻擊過(guò)程中對(duì)目標(biāo)的所有探測(cè)活動(dòng)

信息收集的內(nèi)容是什么？

哪些信息對(duì)攻擊是有意義的、是攻擊者（當(dāng)然也是網(wǎng)絡(luò)防衛(wèi)者）所關(guān)心的？2.1信息收集概述信息收集內(nèi)容：域名和IP地址操作系統(tǒng)類型端口應(yīng)用程序類型防火墻和入侵檢測(cè)系統(tǒng)2.1信息收集概述信息收集的內(nèi)容域名和IP地址操作系統(tǒng)類型端口應(yīng)用程序類型防火墻、入侵檢測(cè)等安全防范措施內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、域組織第二章信息收集2.1信息收集概述2.2利用公開(kāi)服務(wù)收集信息2.3IP掃描與端口掃描2.4操作系統(tǒng)類型探測(cè)2.2利用公開(kāi)服務(wù)收集信息利用公用信息服務(wù)進(jìn)行信息收集WEB與搜索引擎服務(wù)USENET（新聞組服務(wù)）WhoIs服務(wù)DNS（域名系統(tǒng)）服務(wù)2.2.1WEB與搜索引擎服務(wù)目標(biāo)：獲取目標(biāo)公司或網(wǎng)站的域名或網(wǎng)站地址直接進(jìn)入目標(biāo)網(wǎng)站或通過(guò)搜索引擎獲得主頁(yè)地址2.2.1WEB與搜索引擎服務(wù)目標(biāo)：獲取目標(biāo)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)拓?fù)鋱DIP分配表網(wǎng)絡(luò)設(shè)備，安全設(shè)施…………網(wǎng)絡(luò)攻防技術(shù)2.2.1WEB與搜索引擎服務(wù)WEB與搜索引擎服務(wù)公開(kāi)的網(wǎng)頁(yè)目標(biāo)域名或網(wǎng)站地址網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)管理員公司人員名單、電話、Email…………2.2.1WEB與搜索引擎服務(wù)WEB與搜索引擎服務(wù)搜索引擎GoogleBaiduYahoo搜索引擎為我們提供了在WEB檢索信息的能力。能否在WEB中找到所需要的信息，關(guān)鍵在于能否合理地提取搜索的關(guān)鍵字搜索引擎服務(wù)搜索基本指令搜索技巧+/and強(qiáng)制包含檢索項(xiàng)-排除某檢索項(xiàng)“”組合多個(gè)檢索詞|或.匹配任意字符*匹配任意檢索詞site:搜索具體服務(wù)器或域名的網(wǎng)頁(yè)filetype:搜索以特定文件擴(kuò)展名結(jié)尾的URLintitle:搜索網(wǎng)頁(yè)標(biāo)題中的詞匯inurl:搜索URL中的詞匯intext:搜索正文中的詞匯link:搜索連接到指定網(wǎng)頁(yè)的網(wǎng)頁(yè)網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)搜索引擎服務(wù)GoogleHacking搜索密碼文件搜索管理員后臺(tái)URL搜索CGI漏洞搜索黑客留下的后門(mén)…………目標(biāo)：獲取網(wǎng)絡(luò)設(shè)置不正確，可以下載的密碼數(shù)據(jù)庫(kù)網(wǎng)絡(luò)攻防技術(shù)選擇目標(biāo)網(wǎng)絡(luò)攻防技術(shù)下載GoogleHacking使用數(shù)據(jù)庫(kù)中的帳號(hào)口令對(duì)登錄GoogleHacking成功進(jìn)入管理頁(yè)面GoogleHackingGoogle

Hacking

的特點(diǎn)快速搜索引擎預(yù)先準(zhǔn)備了大量處理好的信息以供檢索準(zhǔn)確搜索引擎做了關(guān)聯(lián)性、重要性等各種過(guò)濾處理措施隱蔽搜索、查詢都是通過(guò)搜索引擎的數(shù)據(jù)庫(kù)進(jìn)行智能搜索引擎自身的智能特性緩存保留了已經(jīng)實(shí)際不存在的敏感信息2.2.2USENET（新聞組服務(wù)）USENETUSENET使用客戶/服務(wù)器的工作方式使用NNTP（NetworkNewsTransportProtocol，TCP端口119）協(xié)議來(lái)完成客戶和服務(wù)器間的交互用戶使用新聞閱讀器(newsreader)程序閱讀Usenet文章新聞組閱讀器軟件一般具備在新聞組文章中進(jìn)行搜索的功能，可以使用關(guān)鍵字對(duì)文章的發(fā)件人、文章的收件人、文章的標(biāo)題或是文章的內(nèi)容進(jìn)行搜索WhoIs服務(wù)功能：查詢已注冊(cè)域名的擁有者信息域名登記人信息聯(lián)系方式域名注冊(cè)時(shí)間和更新時(shí)間權(quán)威DNS的IP地址使用方法：SamSpade等網(wǎng)絡(luò)實(shí)用工具2.2.3WhoIs服務(wù)2.2.4DNS（域名系統(tǒng)）服務(wù)DNS：提供域名到IP地址的映射權(quán)威DNS——主DNSCashe-OnlyDNS——副DNSPing2.2.4DNS（域名系統(tǒng)）服務(wù)區(qū)域傳送：允許一個(gè)副DNS更新自己的區(qū)域數(shù)據(jù)如果DNS配置不安全，可能造成內(nèi)部主機(jī)名和IP地址對(duì)的泄漏在錯(cuò)誤配置時(shí)DNS服務(wù)器會(huì)接受任何一個(gè)主機(jī)DNS區(qū)域傳送請(qǐng)求。Windows2000Server的DNS服務(wù)程序在默認(rèn)配置情況下，也允許向任何主機(jī)提供DNS區(qū)域傳送如果沒(méi)有使用公用/私用DNS機(jī)制分割外部公用DNS信息和內(nèi)部私用DNS信息，任何主機(jī)都可以得到機(jī)構(gòu)的所有內(nèi)部主機(jī)名和IP地址第二章信息收集2.1信息收集概述2.2利用公開(kāi)服務(wù)收集信息2.3IP掃描與端口掃描2.4操作系統(tǒng)類型探測(cè)2.3.1找到網(wǎng)絡(luò)地址范圍Ping:PacketInterNetGroper用來(lái)判斷遠(yuǎn)程設(shè)備可訪問(wèn)性最常用的方法原理：發(fā)送ICMPEcho消息，然后等待ICMPReply消息Traceroute–用來(lái)發(fā)現(xiàn)實(shí)際的路由路徑–原理：給目標(biāo)的一個(gè)無(wú)效端口發(fā)送一系列UDP，其TTL依次增一，中間路由器返回一個(gè)ICMPTimeExceeded消息traceroute發(fā)送一系列UDP包(缺省大小為38字節(jié))，其TTL字段從1開(kāi)始遞增，然后監(jiān)聽(tīng)來(lái)自路徑上網(wǎng)關(guān)發(fā)回來(lái)的ICMPTimeExceeded應(yīng)答消息UDP包的端口設(shè)置為一個(gè)不太可能用到的值(缺省為33434)，因此，目標(biāo)會(huì)送回一個(gè)ICMPDestinationUnreachable消息，指示端口不可達(dá)traceroute/tracert域名pathping2.3.2找到活動(dòng)的主機(jī)--掃描技術(shù)基于TCP/IP協(xié)議，對(duì)各種網(wǎng)絡(luò)服務(wù)，無(wú)論是主機(jī)或者防火墻、路由器都適用掃描器能夠發(fā)現(xiàn)系統(tǒng)存活情況對(duì)端口掃描，發(fā)現(xiàn)哪些服務(wù)在運(yùn)行掃描器能夠暴露網(wǎng)絡(luò)上潛在的脆弱性，避免遭受不必要的攻擊有進(jìn)一步的功能，包括操作系統(tǒng)辨識(shí)、應(yīng)用系統(tǒng)識(shí)別用途，雙刃劍安全管理員可以用來(lái)確保自己系統(tǒng)的安全性黑客用來(lái)探查系統(tǒng)的入侵點(diǎn)端口掃描的技術(shù)已經(jīng)非常成熟，目前有大量的商業(yè)、非商業(yè)的掃描器掃描器歷史早期80年代，網(wǎng)絡(luò)沒(méi)有普及，上網(wǎng)的好奇心驅(qū)使許多年輕人通過(guò)Modem撥號(hào)進(jìn)入到UNIX系統(tǒng)中。這時(shí)候的手段需要大量的手工操作于是，出現(xiàn)了wardialer——自動(dòng)掃描，并記錄下掃描的結(jié)果現(xiàn)代的掃描器要先進(jìn)得多SATAN:SecurityAdministrator'sToolforAnalyzing1995年4月發(fā)布，引起了新聞界的轟動(dòng)界面上的突破，從命令行走向圖形界面(使用HTML界面)，不依賴于X兩位作者的影響(DanFarmer寫(xiě)過(guò)網(wǎng)絡(luò)安全檢查工具COPS，另一位WeitseVenema是TCP_Wrapper的作者)Nmap作者為Fyodor，技術(shù)上，是最先進(jìn)的掃描技術(shù)大集成結(jié)合了功能強(qiáng)大的通過(guò)棧指紋來(lái)識(shí)別操作系統(tǒng)的眾多技術(shù)掃描技術(shù)主機(jī)掃描：確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)，同時(shí)盡可能多映射目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，主要利用ICMP數(shù)據(jù)包端口掃描：發(fā)現(xiàn)遠(yuǎn)程主機(jī)開(kāi)放的端口以及服務(wù)操作系統(tǒng)指紋掃描：根據(jù)協(xié)議棧判別操作系統(tǒng)主機(jī)掃描主機(jī)掃描的目的是確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)，同時(shí)盡可能多映射目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)傳統(tǒng)主機(jī)掃描技術(shù)高級(jí)主機(jī)掃描技術(shù)傳統(tǒng)主機(jī)掃描技術(shù)PingPingsweepFping(unix)NONE-ECHOICMP其它ICMP服務(wù)類型（13和14、15和16、17和18）也可以用于對(duì)主機(jī)或網(wǎng)絡(luò)設(shè)備如路由器等的探測(cè)ICMPTimeStampRequest和REPLY允許一個(gè)節(jié)點(diǎn)查詢另一個(gè)節(jié)點(diǎn)的當(dāng)前時(shí)間，返回值是自午夜開(kāi)始計(jì)算的毫秒數(shù)。發(fā)送者可以初始化標(biāo)識(shí)符和序列號(hào)，請(qǐng)求端還填寫(xiě)發(fā)起時(shí)間戳，然后發(fā)送報(bào)文給應(yīng)答系統(tǒng)。應(yīng)答系統(tǒng)接受請(qǐng)求后，填寫(xiě)接受和傳送的時(shí)間戳，把信息類型改變?yōu)镽EPLY應(yīng)答并送回給發(fā)送者。返回值是自午夜開(kāi)始計(jì)算的毫秒數(shù)。3.2高級(jí)主機(jī)掃描技術(shù)利用被探測(cè)主機(jī)產(chǎn)生的ICMP錯(cuò)誤報(bào)文來(lái)進(jìn)行復(fù)雜的主機(jī)探測(cè)異常的IP包頭向目標(biāo)主機(jī)發(fā)送包頭錯(cuò)誤的IP包，目標(biāo)主機(jī)或過(guò)濾設(shè)備會(huì)反饋ICMPParameterProblemError信息。常見(jiàn)的偽造錯(cuò)誤字段為HeaderLength和IPOptions。不同廠家的路由器和操作系統(tǒng)對(duì)這些錯(cuò)誤的處理方式不同，返回的結(jié)果也不同。?IP頭中設(shè)置無(wú)效的字段值向目標(biāo)主機(jī)發(fā)送的IP包中填充錯(cuò)誤的字段值，目標(biāo)主機(jī)或過(guò)濾設(shè)備會(huì)反饋ICMPDestinationUnreachable信息。錯(cuò)誤的數(shù)據(jù)分片當(dāng)目標(biāo)主機(jī)接收到錯(cuò)誤的數(shù)據(jù)分片（如某些分片丟失），并且在規(guī)定的時(shí)間間隔內(nèi)得不到更正時(shí)，將丟棄這些錯(cuò)誤數(shù)據(jù)包，并向發(fā)送主機(jī)反饋ICMPFragmentReassemblyTimeExceeded錯(cuò)誤報(bào)文。用UDP掃描向目標(biāo)主機(jī)特定端口發(fā)送一個(gè)0字節(jié)數(shù)據(jù)的UDP包，關(guān)閉端口會(huì)反饋ICMPPortUnreachable錯(cuò)誤報(bào)文，而開(kāi)放的端口則沒(méi)有任何反饋。通過(guò)多個(gè)端口的掃描，還可以探測(cè)到目標(biāo)系統(tǒng)。通過(guò)超長(zhǎng)包探測(cè)內(nèi)部路由器若構(gòu)造的數(shù)據(jù)包長(zhǎng)度超過(guò)目標(biāo)系統(tǒng)所在路由器的PMTU且設(shè)置禁止分片標(biāo)志,該路由器會(huì)反饋FragmentationNeededandDon’tFragmentBitwasSet差錯(cuò)報(bào)文。反向映射探測(cè)用于探測(cè)被過(guò)濾設(shè)備或防火墻保護(hù)的網(wǎng)絡(luò)和主機(jī)。構(gòu)造可能的內(nèi)部IP地址列表，并向這些地址發(fā)送數(shù)據(jù)包。當(dāng)對(duì)方路由器接收到這些數(shù)據(jù)包時(shí)，會(huì)進(jìn)行IP識(shí)別并路由，對(duì)不在其服務(wù)的范圍的IP包發(fā)送ICMPHostUnreachable或ICMPTimeExceeded錯(cuò)誤報(bào)文，沒(méi)有接收到相應(yīng)錯(cuò)誤報(bào)文的IP地址可被認(rèn)為在該網(wǎng)絡(luò)中2.3.3.找到活動(dòng)的端口－－端口掃描端口掃描的直接成果就是得到目標(biāo)主機(jī)開(kāi)放和關(guān)閉的端口列表，這些開(kāi)放的端口往往與一定的服務(wù)相對(duì)應(yīng)，通過(guò)這些開(kāi)放的端口，黒客就能了解主機(jī)運(yùn)行的服務(wù)，然后就可以進(jìn)一步整理和分析這些服務(wù)可能存在的漏洞，隨后采取針對(duì)性的攻擊。已知的端口掃描的類型包括：4.1開(kāi)放掃描(OpenScanning)4.2半開(kāi)掃描(Half-OpenScanning)4.3隱蔽掃描(StealthScanning)4.4其他掃描TCP連接若干要點(diǎn)TCP/IP的一些實(shí)現(xiàn)原則當(dāng)一個(gè)SYN|ACK或者FIN數(shù)據(jù)包到達(dá)一個(gè)關(guān)閉的端口，端口發(fā)送一個(gè)RST數(shù)據(jù)包當(dāng)一個(gè)SYN|ACK或者FIN數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽(tīng)的端口，數(shù)據(jù)包被丟棄當(dāng)一個(gè)包含ACK的數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽(tīng)端口時(shí)，數(shù)據(jù)包被丟棄，同時(shí)發(fā)送一個(gè)RST數(shù)據(jù)包當(dāng)一個(gè)不包含SYN位的數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽(tīng)端口時(shí)，數(shù)據(jù)包被丟棄當(dāng)一個(gè)SYN數(shù)據(jù)包到達(dá)一個(gè)監(jiān)聽(tīng)端口時(shí)，正常的三階段握手繼續(xù)，回答一個(gè)SYN|ACK數(shù)據(jù)包掃描技術(shù)原理端口掃描技術(shù)概況端口服務(wù)表掃描分類端口掃描服務(wù)名稱 端口/協(xié)議ftp-data 20/tcpftp 21/tcptelnet 23/tcpsmtp 25/tcp tftp 69/udpfinger 79/tcpwww 80/tcp pop3 110/tcp netbios-ns 137/tcp netbios-ns 137/udpnetbios-dgm 138/tcp netbios-dgm 138/udpnetbios-ssn 139/tcp netbios-ssn 139/udpmysqlMySQL 3306/tcpms-sql-sMicrosoft-SQL-Server 1433/tcpmicrosoft-dsMicrosoft-DS 445/tcp端口服務(wù)表掃描分類TCP全連接開(kāi)放掃描半開(kāi)放掃描TCP反向ident掃描IP頭信息dumb掃描SYN掃描FIN掃描隱蔽掃描TCP分段ACK掃描XMAS掃描空掃描掃射掃描SYN/ACK掃描ping掃射其它掃描UDP/ICMP不可達(dá)FTP彈跳UDP掃射UDPrecvfrom/write掃描ACK掃射SYN掃射ICMP掃射端口掃描4.1開(kāi)放掃描完全連接掃描ClientSYNServerSYN/ACKClientACKClientSYNServerRST/ACKClientRST端口開(kāi)放端口關(guān)閉端口掃描優(yōu)點(diǎn)：快速，精確，不需要額外權(quán)限缺點(diǎn)：容易被檢測(cè)和日志反向IDENT掃描（RFC1413）Clientident請(qǐng)求：port,portServer連接對(duì)應(yīng)的用戶確定進(jìn)程擁有者優(yōu)點(diǎn)：快速，可返回重要信息，不需要額外權(quán)限缺點(diǎn)：容易被檢測(cè)4.2半開(kāi)放掃描半連接SYN掃描ClientSYNServerSYN/ACKClientACKClientSYNServerRST/ACKClientRST端口開(kāi)放端口關(guān)閉*立即切斷連接端口掃描優(yōu)點(diǎn)：快速，可靠，不需要三次握手缺點(diǎn)：要求root權(quán)限IPID頭啞掃描ABC目標(biāo)機(jī)攻擊者Dumb主機(jī)pingA偽裝B向C發(fā)送SYN掃描C發(fā)送SYN/ACK或RST/ACK給B60bytesfromBBB.BBB.BBB.BBB:seq=1ttl=64id=+1win=0time=96ms60bytesfromBBB.BBB.BBB.BBB:seq=2ttl=64id=+1/3win=0time=88ms60bytesfromBBB.BBB.BBB.BBB:seq=3ttl=64id=+1/2win=0time=92msB忽略或者響應(yīng)RST4.3隱蔽掃描隱蔽掃描：SYN/ACKClientSYN/ACKServerRSTClientSYN/ACKServer--端口關(guān)閉端口開(kāi)放端口掃描優(yōu)點(diǎn)：快速，可逃避IDS和防火墻，不需要三次握手缺點(diǎn)：不可靠（虛警）掃描技術(shù)分析隱蔽掃描：FINClientFINServerRSTClientFINServer--端口開(kāi)放端口關(guān)閉端口掃描優(yōu)點(diǎn)：可逃避IDS和防火墻，不需要三次握手缺點(diǎn)：不可靠（虛警）掃描技術(shù)分析隱蔽掃描：ACKClientACKServer(TTL<64)Server(WIN>0)ClientACKServer(TTL>64)Server(WIN=0)端口開(kāi)放端口關(guān)閉端口掃描優(yōu)點(diǎn)：可逃避IDS檢測(cè)，很難被日志缺點(diǎn)：主要依賴于BSD網(wǎng)絡(luò)代碼的bug當(dāng)Client發(fā)送一個(gè)ACK數(shù)據(jù)包給服務(wù)器時(shí)，服務(wù)器會(huì)回送一個(gè)RST數(shù)據(jù)包。開(kāi)放端口發(fā)送的RST包的IP頭中的TTL值一般比關(guān)閉的端口小，而且小于等于64。packet1:hostxxx.xxx.xxx.xxxport1F:RST-->TTL:70win:0packet2:hostxxx.xxx.xxx.xxxport2F:RST-->TTL:40win:0packet3:hostxxx.xxx.xxx.xxxport3F:RST-->TTL:70win:0packet4:hostxxx.xxx.xxx.xxxport4F:RST-->TTL:70win:0開(kāi)放端口發(fā)送的RST包的TCP頭的WINDOW值一般是非0的，而關(guān)閉的端口返回的包的WINDOW值為0。這對(duì)于早期的一些操作系統(tǒng)，如BSD系列的FreeBSD、OpenBSD，UNIX中的AIX是適用的。但新的一些版本和其它的操作系統(tǒng)已經(jīng)不能使用該方法掃描了。packet5:hostxxx.xxx.xxx.xxxport1F:RST-->TTL:64win:0packet6:hostxxx.xxx.xxx.xxxport2F:RST-->TTL:64win:0packet7:hostxxx.xxx.xxx.xxxport3F:RST-->TTL:64win:512packet8:hostxxx.xxx.xxx.xxxport4F:RST-->TTL:64win:0NULL掃描ClientNULLServer-ClientNULLServerRST端口開(kāi)放端口關(guān)閉優(yōu)點(diǎn)：可逃避IDS，不需要三次握手缺點(diǎn)：不可靠（虛警），主要針對(duì)UNIX系統(tǒng)XMAS掃描ClientXMASServer-ClientXMASServerRST端口開(kāi)放端口關(guān)閉優(yōu)點(diǎn)：可逃避IDS，不需要三次握手缺點(diǎn)：不可靠（虛警），主要針對(duì)UNIX系統(tǒng)4.4其他掃描UDP掃描ClientUDPPACKETServer-多次ClientUDPPACKETServerICMP_PORT_UNREACHType3code3端口開(kāi)放端口關(guān)閉優(yōu)點(diǎn)：可逃避TCPIDS，用于掃描UDP端口缺點(diǎn)：需要ROOT權(quán)限FTPbounce掃描

PORTIP：PORTICMP掃描*《ICMPUsageinScanning》端口掃描2.4弄清操作系統(tǒng)操作系統(tǒng)辨識(shí)的動(dòng)機(jī)許多漏洞是系統(tǒng)相關(guān)的，而且往往與相應(yīng)的版本對(duì)應(yīng)從操作系統(tǒng)或者應(yīng)用系統(tǒng)的具體實(shí)現(xiàn)中發(fā)掘出來(lái)的攻擊手段都需要辨識(shí)系統(tǒng)操作系統(tǒng)的信息還可以與其他信息結(jié)合起來(lái)，比如漏洞庫(kù)，或者社會(huì)詐騙(社會(huì)工程，socialengineering)如何辨識(shí)一個(gè)操作系統(tǒng)2.4.1一些端口服務(wù)的提示信息，例如，telnet、http、ftp等服務(wù)的提示信息2.4.2TCP/IP棧指紋2.4.3DNS泄漏出OS系統(tǒng)2.4.1服務(wù)端口提供的信息Telnet服務(wù)Http服務(wù)Ftp服務(wù)2.4.2棧指紋技術(shù)定義：利用TCP/IP協(xié)議棧實(shí)現(xiàn)上的特點(diǎn)來(lái)辨識(shí)一個(gè)操作系統(tǒng)技術(shù)導(dǎo)向可辨識(shí)的OS的種類，包括哪些操作系統(tǒng)結(jié)論的精確度，細(xì)微的版本差異是否能識(shí)別一些工具Checkos,byShokQueso,bySavageNmap,byFyodor主動(dòng)棧指紋識(shí)別技術(shù)原理：尋找不同操作系統(tǒng)之間在處理網(wǎng)絡(luò)數(shù)據(jù)包上的差異，并且把足夠多的差異組合起來(lái)，以便精確地識(shí)別出一個(gè)系統(tǒng)的OS版本網(wǎng)絡(luò)協(xié)議棧指紋構(gòu)成1)

TTL

TTL：Time

To

Live，即數(shù)據(jù)包的“存活時(shí)間”，表示一個(gè)數(shù)據(jù)包在被丟棄之前可以通過(guò)多少躍點(diǎn)(Hop)。不同操作系統(tǒng)的缺省TTL值往往是不同的。

常見(jiàn)操作系統(tǒng)的TTL值：

Windows

9x/NT/2000

Intel

128

Digital

Unix

4.0

Alpha

60

Linux

2.2.x

Intel

64

Netware

4.11

Intel

128

AIX

4.3.x

IBM/RS6000

60

Cisco

12.0

2514

255

Solaris

8

Intel/Sparc

64

…

2)DF位

DF（不分段）位識(shí)別：不同OS對(duì)DF位有不同的處理方式，有些OS設(shè)置DF位，有些不設(shè)置DF位；還有一些OS在特定場(chǎng)合設(shè)置DF位，在其它場(chǎng)合不設(shè)置DF位。

3)

Window

Size

Window

Size：TCP接收（發(fā)送）窗口大小。它決定了接收信息的機(jī)器在收到多少數(shù)據(jù)包后發(fā)送ACK包。

特定操作系統(tǒng)的缺省Window

Size基本是常數(shù)，例如，AIX

用0x3F25，Windows、OpenBSD

、FreeBSD用0x402E。

一般地，UNIX的Window

Size較大。MSWindows，路由器，交換機(jī)等的較小。

4)

ACK

序號(hào)

不同的OS處理ACK序號(hào)時(shí)是不同的。如果發(fā)送一個(gè)FIN|PSH|URG的數(shù)據(jù)包到一個(gè)關(guān)閉的TCP

端口，大多數(shù)OS會(huì)把回應(yīng)ACK包的序號(hào)設(shè)置為發(fā)送的包的初始序號(hào)，而Windows

和一些打印機(jī)則會(huì)發(fā)送序號(hào)為初始序號(hào)加1的ACK包。

5)ICMP地址屏蔽請(qǐng)求

對(duì)于ICMP地址屏蔽請(qǐng)求，有些OS會(huì)產(chǎn)生相應(yīng)的應(yīng)答，有些則不會(huì)。會(huì)產(chǎn)生應(yīng)答的系統(tǒng)有OpenVMS,

MSWindows,

SUN

Solaris等。在這些產(chǎn)生應(yīng)答的系統(tǒng)中，對(duì)分片ICMP地址屏蔽請(qǐng)求的應(yīng)答又存在差別，可以做進(jìn)一步的區(qū)分。

6)

對(duì)FIN包的響應(yīng)

發(fā)送一個(gè)只有FIN標(biāo)志位的TCP數(shù)據(jù)包給一個(gè)打開(kāi)的端口，Linux等系統(tǒng)不響應(yīng)；有些系統(tǒng)，例如

MS

Windows,

CISCO,

HP/UX等，發(fā)回一個(gè)RESET。7)

虛假標(biāo)記的SYN包

在SYN包的TCP頭里設(shè)置一個(gè)未定義的TCP

標(biāo)記，目標(biāo)系統(tǒng)在響應(yīng)時(shí)，有的會(huì)保持這個(gè)標(biāo)記，有的不保持。還有一些系統(tǒng)在收到這樣的包的時(shí)候會(huì)復(fù)位連接。8)

ISN

(初始化序列號(hào))

不同的OS在選擇TCP

ISN時(shí)采用不同的方法。一些UNIX系統(tǒng)采用傳統(tǒng)的64K遞增方法，較新的Solaris,IRIX,FreeBSD,Digital

Unix,Cray等系統(tǒng)采用隨機(jī)增量的方法；Linux

2.0,OpenVMS,

AIX等系統(tǒng)采用真隨機(jī)方法。Windows系統(tǒng)采用一種時(shí)間相關(guān)的模型。還有一些系統(tǒng)使用常數(shù)。如，3Com集線器使用0x803，Apple

LaserWriter打印機(jī)使用0xC7001。9)ICMP

錯(cuò)誤信息

在發(fā)送ICMP錯(cuò)誤信息時(shí)，不同的OS有不同的行為。RFC

1812建議限制各種錯(cuò)誤信息的發(fā)送率。有的OS做了限制，而有的沒(méi)做。10)

ICMP

消息引用

RFC

規(guī)定ICMP錯(cuò)誤消息可以引用一部分引起錯(cuò)誤的源消息。在處理端口不可達(dá)消息時(shí)，大多數(shù)OS送回IP請(qǐng)求頭外加8

字節(jié)。Solaris

送回的稍多，Linux

更多。

有些OS會(huì)把引起錯(cuò)誤消息的頭做一些改動(dòng)再發(fā)回來(lái)。例如，F(xiàn)reeBSD，OpenBSD，ULTRIX，VAXen等會(huì)改變頭的ID

。

這種方法功能很強(qiáng)，甚至可以在目標(biāo)主機(jī)沒(méi)有打開(kāi)任何監(jiān)聽(tīng)端口的情況下就識(shí)別出Linux和Solaris

。11)

TOS(服務(wù)類型)

對(duì)于ICMP端口不可達(dá)消息，送回包的服務(wù)類型(TOS)值也是有差別的。大多數(shù)OS是0，而Linux

是0xc0。12)

分段重組處理

在做IP包的分段重組時(shí)，不同OS的處理方式不同。有些OS會(huì)用新IP段覆蓋舊的IP段，而有些會(huì)用舊的IP段覆蓋新的IP段。13)

MSS(最大分段尺寸)

不同的OS有不同的缺省MSS值，對(duì)不同的MSS值的回應(yīng)也不同。如，給Linux發(fā)送一個(gè)MSS值很小的包，它一般會(huì)把這個(gè)值原封不動(dòng)地返回；其它的系統(tǒng)會(huì)返回不同的值。

14)

SYN

Flood限度

在處理SYN

Flood的時(shí)候，不同的OS有不同的特點(diǎn)。如果短時(shí)間內(nèi)收到很多的偽造SYN包，一些OS會(huì)停止接受新的連接。有的系統(tǒng)支持?jǐn)U展的方式來(lái)防止SYN

flood。15)

主機(jī)使用的端口 一些OS會(huì)開(kāi)放特殊的端口，比如：WINDOWS的137、139,WIN2K的445；一些網(wǎng)絡(luò)設(shè)備，如入侵檢測(cè)系統(tǒng)、防火墻等也開(kāi)放自己特殊的端口。16)

Telnet選項(xiàng)指紋

建立Telnet會(huì)話時(shí)，Socket連接完成后，會(huì)收到telnet守候程序發(fā)送的一系列telnet選項(xiàng)信息。不同OS有不同的Telnet選項(xiàng)排列順序。17)

Http指紋

執(zhí)行Http協(xié)議時(shí),不同的WebServer存在差異。而從WebServer往往可以判斷OS類型。WebServer的差異體現(xiàn)在如下方面：1：基本Http請(qǐng)求

處理HEAD/Http/1.0這樣的請(qǐng)求時(shí)，不同系統(tǒng)返回信息基本相同，但存在細(xì)節(jié)差別。如，Apache返回的頭信息里的Server和Date項(xiàng)的排序和其它的服務(wù)器不同。2：DELETE請(qǐng)求

對(duì)于DELETE/Http/1.0這樣的非法請(qǐng)求，Apache響應(yīng)"405MethodNotAllowed",IIS響應(yīng)"403Forbidden",Netscape響應(yīng)"401Unauthorized"3：非法Http協(xié)議版本請(qǐng)求

對(duì)于GET/Http/3.0這樣的請(qǐng)求,Apache響應(yīng)“400BadRequest”,IIS忽略這種請(qǐng)求,響應(yīng)信息是OK,Netscape響應(yīng)“505HttpVersionNotSupported”。4：不正確規(guī)則協(xié)議請(qǐng)求

對(duì)不規(guī)則協(xié)議的請(qǐng)求,Apache忽視不規(guī)則的協(xié)議并返回200"OK",IIS響應(yīng)"400BadRequest",Netscape幾乎不返回Http頭信息。18)

打印機(jī)服務(wù)程序指紋

RFC1179規(guī)定了請(qǐng)求打印服務(wù)時(shí)須遵循的協(xié)議。

在實(shí)踐中，如果打印請(qǐng)求符合RFC1179的格式，不同OS表現(xiàn)行為相同。但當(dāng)打印請(qǐng)求不符合RFC1179的格式時(shí)，不同OS就會(huì)體現(xiàn)出差別。如對(duì)一個(gè)非法格式的請(qǐng)求，Solaris這樣回應(yīng)：

Reply:Invalidprotocolrequest(77):xxxxx而AIX系統(tǒng)這樣回應(yīng)：

Reply:0781-201ill-formedFROMaddress.

大多數(shù)OS會(huì)給出不同的響應(yīng)信息。個(gè)別OS會(huì)給出長(zhǎng)度為0的回應(yīng)。對(duì)于Windows，則是通過(guò)專有的SMB協(xié)議（ServerMessageBlockProtocol）來(lái)實(shí)現(xiàn)打印機(jī)的共享。19)

網(wǎng)絡(luò)協(xié)議棧指紋實(shí)踐

在實(shí)踐中，網(wǎng)絡(luò)協(xié)議棧指紋方法通