使用TCPIP協(xié)議棧指紋進(jìn)行遠(yuǎn)程操作系統(tǒng)辨識(shí)

1、1使用 tcp/ip 協(xié)議棧指紋進(jìn)行遠(yuǎn)程操作系統(tǒng)辨識(shí)作者 fyodor()1998-10-18最后修改 :1999-4-10中文譯者 neko2000-6-30中文譯文修訂者 maxwell2010-9-12概述本文討論了如何查詢一臺(tái)主機(jī)的tcp/ip 協(xié)議棧來(lái)收集寶貴的信息。首先，我列舉了除棧指紋之外的幾種“經(jīng)典的”操作系統(tǒng)辨識(shí)方法。然后我描述了棧指紋工具的“工藝現(xiàn)狀”。 接下來(lái)說(shuō)明讓遠(yuǎn)程主機(jī)泄漏其信息的一些技術(shù)。最后詳述了我的實(shí)現(xiàn) (nmap)，和用它獲得的一些流行網(wǎng)站的操作系統(tǒng)信息。理由我認(rèn)為辨識(shí)一個(gè)系統(tǒng)所運(yùn)行os的用處是相當(dāng)顯而易見(jiàn)的，所以這一節(jié)會(huì)很短。

2、最有力的例子之一是許多安全漏洞是os相關(guān)的。試想你正在作突破試驗(yàn)并發(fā)現(xiàn) 53 端口是打開(kāi)的。 如果那是易遭攻擊的bind 版本，則你只有一次機(jī)會(huì)利用它，因?yàn)槭〉膰L試會(huì)殺死守護(hù)程序。有了正確的tcp/ip 指紋，你將很快發(fā)現(xiàn)它運(yùn)行的是 solaris2.51 或者 linux2.0.35 而因此調(diào)整你的外殼代碼。一個(gè)比較糟的例子是某人掃描500000臺(tái)主機(jī)以找出它們運(yùn)行什么os 和哪些端口是打開(kāi)的。然后等別人說(shuō)有一個(gè)root 漏洞在 sun的 comsat 守護(hù)程序里，我們的小朋友就從人家的列表中找出udp/512和 solaris2.6 這兩個(gè)詞，并立即得到了整頁(yè)整頁(yè)的可得到root特權(quán)的盒

3、子。必須認(rèn)識(shí)到那是腳本小子(scriptkiddie)的行為。你證明了你的無(wú)能，而且沒(méi)有人，甚至包括對(duì)方，會(huì)對(duì)你能找到?jīng)]有及時(shí)修補(bǔ)漏洞而易受攻擊的.edu 的事情留有印象。如果你用你新找到的通路去破壞政府的web站點(diǎn)，顯示一個(gè)自大的你如何“強(qiáng)大”而管理員們?nèi)绾斡薮溃藗円埠苌贂?huì)留有印象。另一個(gè)用法是社會(huì)工程學(xué)。假如你掃描了某個(gè)目標(biāo)公司，而nmap 報(bào)告了一個(gè)datavoicetxportprism3000 t1 csu/dsu6.22/2.06，然后黑客就以datavoicesupport 為名打電話并討論他們的prism3000的一些問(wèn)題。 “我們正要公布一個(gè)安全漏洞，但希望我們現(xiàn)在的客戶先

4、安裝補(bǔ)丁我剛剛寄給你的”一些天真的管理員會(huì)假定只有datavoice 指定的工程師才會(huì)對(duì)他們的csu/dsu 知道的如此之多。這個(gè)方法另一個(gè)潛在的用途是評(píng)價(jià)你要選擇的公司。在選擇一個(gè)新isp 前，掃描它們看用的是什么設(shè)備。那些“99 美元/ 年”的買賣可不像聽(tīng)起來(lái)那么好，當(dāng)你發(fā)現(xiàn)它們使用廉價(jià)的路由器并用一堆運(yùn)行windows 的機(jī)器提供 ppp服務(wù)的時(shí)候。經(jīng)典技術(shù)棧指紋以獨(dú)特的方式解決os辨識(shí)的問(wèn)題。我想這個(gè)技術(shù)是最有把握的，但2現(xiàn)在還有許多其他解決方案。下面的方法仍是其中最有效的：playgroundtelnethpux.u-aizu.ac.jptrying2.co

5、nnected to hpux.u-aizu.ac.jp.escape characteris.hp-uxhpux b.10.01a 9000/715 (ttyp2)login:如果機(jī)器能大聲對(duì)世界說(shuō)明它們運(yùn)行的是什么的話，我們就沒(méi)有必要在指紋上費(fèi)這么大力氣了。 事實(shí)上，現(xiàn)在許多制造商交付的系統(tǒng)都帶有這類標(biāo)志而且許多管理員都沒(méi)有關(guān)上它， 遺憾的是，我們不應(yīng)該通知每個(gè)嘗試連接的笨蛋我們的os和體系結(jié)構(gòu)，因此必須使用其他方法能找出運(yùn)行的os( 例如指紋 )。依靠這個(gè)技術(shù)的問(wèn)題是現(xiàn)在越來(lái)越多的人把標(biāo)志關(guān)閉，許多系統(tǒng)不給出更多信息，還有少數(shù)在標(biāo)志中“說(shuō)謊”。不過(guò)，如果你在商業(yè)的iss 掃描器上花上數(shù)千

6、美元花的話，你就得到只讀方式的os和 os版本檢查。其實(shí)，下載nmap 或queso代替它們可以替你省錢。即使你關(guān)閉了標(biāo)志，當(dāng)被詢問(wèn)時(shí)許多應(yīng)用程序仍然很高興給出這類信息。例如下面這個(gè) ftp服務(wù)器：payfonez 21trying6.connected to .escape characteris.220 ftp29ftp server(unix(r)system v release 4.0)ready.syst215 unix type: l8 version:sunos首先，它給出了它默認(rèn)的系統(tǒng)細(xì)節(jié)標(biāo)志。然后如果我們給出syst命令， 它就愉快地送回了更多的信息。

7、如果 ftp的 anon 被支持，我們經(jīng)常可以下載 /bin/ls或其他的二進(jìn)制文件，從而測(cè)定它的體系結(jié)構(gòu)。許多其他應(yīng)用程序?qū)π畔⑻S便了，比如web服務(wù)器：playground echo get / http/1.0n| nc 80 | egrep server:server:microsoft-iis/4.0playground我對(duì)這些家伙運(yùn)行的感到驚訝！其他經(jīng)典技術(shù)還包括dns主機(jī)信息記錄 (不太有效 )和社會(huì)工程學(xué)。如果它在聽(tīng) 161/udp(snmp) ，用 cmusnmu 工具包里的 snmpwalk和 public作為通信的3名字，你肯定能獲得一大堆信息?，F(xiàn)有現(xiàn)有指紋指紋指紋技術(shù)

8、技術(shù)nmap 并不是第一個(gè)用tcp/ip 指紋來(lái)辨識(shí)os的程序。 johan 寫(xiě)的通用 irc欺騙程序 sirc從版本 3(或更早)開(kāi)始就包含了非?；镜闹讣y技術(shù)。它通過(guò)幾個(gè)簡(jiǎn)單 tcp標(biāo)志測(cè)試嘗試把主機(jī)分為 linux 、4.4bsd、win95或 unknown等幾類。另一個(gè)這樣的程序是checkos ，作者 shok終于有信心在今年一月公開(kāi)發(fā)行了它的版本 7。他用到的指紋技術(shù)和sirc的完全一樣，甚至連代碼都有許多相同之處。 checkos 在公開(kāi)發(fā)行前私下流傳了很久，所以不知道是誰(shuí)偷誰(shuí)的，但看起來(lái)誰(shuí)都不信任對(duì)方。 checkos 增加了 telnet標(biāo)志的檢查，有一定效果，但還是存在前

9、面說(shuō)的問(wèn)題。 (shok 說(shuō) checkos 無(wú)意公開(kāi)發(fā)行，而這就是為什么他沒(méi)有找 sirc要那些代碼的許可的原因。)su1d也寫(xiě)了一個(gè) os檢查程序，他稱其為 ss ，其版本 3.11 可以辨識(shí) 12 個(gè)不同類型的 os 。我有些偏愛(ài)它，因?yàn)樗试S我的nmap 程序一些網(wǎng)絡(luò)代碼。然后是 queso 。這是最新的一個(gè)程序，而且對(duì)其他程序而言是一個(gè)巨大的飛躍。這不僅是因?yàn)樗瞥隽艘恍┬聹y(cè)試，而且還因?yàn)樗鞘紫?就我所見(jiàn) )把os指紋移出代碼的。其他掃描的代碼多半像下面這樣：/*from ss */if(flagsfour& th_rst)& (flagsfour& th_

10、ack)& (winfour= 0) &(flagsthree& th_ack)reportos(argv2,argv3,livingstonportmastercomos);與此不同，queso 把這些代碼移到一個(gè)配置文件中，這顯然使它更加容易擴(kuò)展，而且使增加一個(gè)可識(shí)別的os成為在指紋文件中增加幾行代碼的簡(jiǎn)單工作。queso由 savage編寫(xiě)，他是 a的高手之一。以上提到的所有程序都存在的一個(gè)問(wèn)題是，只進(jìn)行了數(shù)量非常有限的os指紋測(cè)試，從而限制了回答的詳細(xì)程度。 我想知道的不僅是 “這臺(tái)機(jī)器是 openbsd 、freebsd或 netbsd

11、” ，我想確切地知道它到底是哪一個(gè)，還有它的版本號(hào)。 同樣，我希望看到“ solaris2.6”而不僅僅是“ solaris ” 。為此，我對(duì)一系列指紋技術(shù)進(jìn)行了研究，它們將在下一節(jié)說(shuō)明。指紋方法學(xué)有許多方法可以用來(lái)辨識(shí)網(wǎng)絡(luò)棧指紋。一般來(lái)說(shuō)，你只要找出操作系統(tǒng)間的不同并寫(xiě)一個(gè)探測(cè)器來(lái)查明它們就行了。如果你合并了足夠多的不同， 你就可以非常細(xì)致地區(qū)分不同的操作系統(tǒng)。例如nmap 可以可靠地分辨出solaris2.4 、solaris2.5、solaris2.51 以及 solaris2.6，它還能分辨 linux 內(nèi)核 2.0.30 、2.0.31-34或 2.0.35 。下面是一些可行的方法：

12、fin 探測(cè)器這里我們發(fā)送一個(gè)fin 包(或任何其他不帶ack或 syn標(biāo)記4的數(shù)據(jù)包 )給一個(gè)打開(kāi)的端口并等待回應(yīng)。按照rfc793 ，正確的行為是不響應(yīng)，但許多有問(wèn)題的實(shí)現(xiàn)，例如mswindows 、bsdi 、cisco 、hp/ux 、mvs和 irix 等都會(huì)發(fā)回一個(gè) reset 。許多現(xiàn)有的工具都利用了這個(gè)技術(shù)。bogus 標(biāo)記探測(cè)器 queso是我見(jiàn)過(guò)的第一個(gè)使用了這一高明的技術(shù)的掃描器。它的思想是在syn包的 tcp頭里設(shè)置一個(gè)未定義的tcp “標(biāo)記”，比如 64或 128。linux-2.0.35以前版本在回復(fù)中會(huì)保持這個(gè)標(biāo)記，但我沒(méi)有發(fā)現(xiàn)其他os有這個(gè)錯(cuò)誤，而有些操作系統(tǒng)在

13、得到一個(gè)syn+bogus包的時(shí)候復(fù)位了連接。因此，這一做法對(duì)辨識(shí)這些操作系統(tǒng)是有用的。tcpisn 取樣這個(gè)方法是找出當(dāng)響應(yīng)一個(gè)連接請(qǐng)求時(shí)由tcp實(shí)現(xiàn)所選擇的初始化序列數(shù)的式樣， 它可分為許多組，例如傳統(tǒng)的 64k(許多老的 unix系統(tǒng))、隨機(jī)增量 (新版本的 solaris 、irix、freebsd 、digitalunix 、cray 以及許多其他系統(tǒng))或真“隨機(jī)” (linux-2.0.x、openvms、新的 aix 等)。windows(和一些其他系統(tǒng) )則使用一個(gè)“時(shí)間相關(guān)”模型，每過(guò)一段時(shí)間 isn 就被加上一個(gè)小的固定數(shù)，不用說(shuō)，這幾乎和老的 64k實(shí)現(xiàn)一樣容易攻破。 當(dāng)

14、然我喜歡的技術(shù)是 “常數(shù)”機(jī)器總是使用同樣的isn，我已經(jīng)在 3com 的集線器 (用 0 x803)和 applelaserwriter打印機(jī)(用 0 xc7001)上看到這種實(shí)現(xiàn)了。你還可以通過(guò)計(jì)算其隨機(jī)數(shù)的變化量、最大公約數(shù)以及序列數(shù)的其他函數(shù)之間的差異之類的方法再進(jìn)一步地進(jìn)行分組。 要知道 isn 的生成和安全息息相關(guān)， 想了解更多的情況， 你可以聯(lián)系 sdsc 的安全專家 tsutomeshimmyshimomura ，向他請(qǐng)教。 nmap是我所見(jiàn)到的第一個(gè)用 isn 取樣來(lái)辨識(shí) os的程序。不分段位許多操作系統(tǒng)開(kāi)始在發(fā)送的一些數(shù)據(jù)包中設(shè)置ip 的“dontfragment”位，這帶

15、來(lái)了多種性能上的好處(盡管它也可能是討厭的這就是nmap 的分段掃描對(duì)solaris機(jī)器無(wú)效的原因 )。無(wú)論如何，不是所有的os都這樣做，而且不同的os實(shí)現(xiàn)的場(chǎng)合還不同，所以通過(guò)掃描這個(gè)位我們甚至能收集到目標(biāo) os的更多信息。不過(guò)，在nmap 和 queso中沒(méi)有使用這個(gè)方法。tcp初始化窗口這只包括了檢查返回?cái)?shù)據(jù)包的窗口大小。較老的掃描器簡(jiǎn)單地在 rst包中用一個(gè)非零窗口來(lái)表示“bsd 4.4 族”，新一些的掃描器如queso和 nmap 則保持對(duì)窗口的精確跟蹤， 因?yàn)樗鼘?duì)于特定的os而言基本是常數(shù)。這一檢查事實(shí)上能給出許多信息，因?yàn)橛行﹐s甚至可以被唯一確定 (例如，aix是已知唯一使用

16、0 x3f25的 os) 。在 microsoft “完全重寫(xiě)”的nt5tcp棧中用的則是 0 x402e ，有趣的是，這和openbsd 與 freebsd中所用的數(shù)字完全一樣。ack 值盡管你覺(jué)得這個(gè)是完全標(biāo)準(zhǔn)的，但不同實(shí)現(xiàn)中的某些情況下ack域的值確實(shí)是不同的。 例如，如果你把一個(gè) fin/psh/urg 數(shù)據(jù)包送到一個(gè)關(guān)閉的tcp端口，大多數(shù)實(shí)現(xiàn)會(huì)把a(bǔ)ck 設(shè)置為你的初始序列數(shù)， 但 windows 和一些愚蠢的打印機(jī)卻會(huì)設(shè)置稱序列數(shù)加1；如果你把一個(gè) syn/fin/urg/psh 數(shù)據(jù)包送到一個(gè)打開(kāi)的 tcp端口，windows會(huì)表現(xiàn)得非常古怪，有時(shí)候它送回序列號(hào)，而另一些時(shí)候可能

17、送回序列號(hào)加1，甚至還可能送回一個(gè)隨機(jī)數(shù)。我覺(jué)得很奇怪，不知道微軟寫(xiě)的是些什么代碼。icmp錯(cuò)誤信息限制一些“ 聰明的”的操作系統(tǒng)接受了rfc1812的建議，限制了各種錯(cuò)誤信息的發(fā)送。例如，linux 內(nèi)核(在 net/ipv4/icmp.h)限制目的不可達(dá)消息的生成頻率是每4 秒鐘只有 80個(gè)， 違反它將導(dǎo)致一個(gè) 1/4 秒的處罰。測(cè)試這一實(shí)現(xiàn)的一種辦法是發(fā)一串?dāng)?shù)據(jù)包到一些隨機(jī)的高udp 端口并統(tǒng)計(jì)收到的不可達(dá)消息數(shù)量。 目前還沒(méi)有使用這種方法的程序，而且實(shí)際上我也沒(méi)有把它加入 nmap 中(除了作為 udp 端口掃描時(shí) )。 這種測(cè)試會(huì)讓 os 辨識(shí)所花的時(shí)間增加，5因?yàn)樗枰l(fā)送一批數(shù)據(jù)

18、包再等待它們的相應(yīng)，而且處理網(wǎng)絡(luò)丟包會(huì)很痛苦。icmp消息引用 rfc規(guī)定 icmp錯(cuò)誤消息可以引用一部分引起錯(cuò)誤的源數(shù)據(jù)包。對(duì)于一個(gè)端口不可達(dá)消息，幾乎所有實(shí)現(xiàn)都只送回ip 頭和其后的 8 個(gè)字節(jié)。然而， solaris送回的要稍多一些，而linux 還要更多。這使得nmap 甚至可以在對(duì)方?jīng)]有開(kāi)放端口的情況下認(rèn)出linux 和 solaris系統(tǒng)。icmp錯(cuò)誤消息回應(yīng)完整性這個(gè)方法來(lái)自theo de raadt(openbsd 的開(kāi)發(fā)負(fù)責(zé)人 )貼在 comp.security.unix上的文章。剛剛提到，系統(tǒng)會(huì)把源數(shù)據(jù)包的一部分和端口不可達(dá)錯(cuò)誤一起送回，然而，有的系統(tǒng)傾向于在初始化處理時(shí)使

19、用你的消息頭作為“草稿紙”，所以再返回的時(shí)后就會(huì)有一些改動(dòng)。例如，aix和bsdi送回的 ip 頭“l(fā)ength”域在第 20 字節(jié)處，一些 bsdi 、freebsd 、openbsd 、ultrix和 vaxen系統(tǒng)則改變了源 ip 的 id， 有些系統(tǒng) (如 aix 和 freebsd等)因?yàn)閠tl改變而改變了校驗(yàn)和，送回了錯(cuò)誤的或?yàn)? 的校驗(yàn)和?？傊?， nmap對(duì) icmp錯(cuò)誤消息進(jìn)行了 9 種測(cè)試，以分辨出這類細(xì)微的差別。服務(wù)類型對(duì)于icmp端口不可達(dá)消息，可以察看回復(fù)數(shù)據(jù)包的服務(wù)類型(tos)值。幾乎所有實(shí)現(xiàn)在這個(gè)值都是0，除了 linux 使用 0 xc0 外。這不是標(biāo)準(zhǔn)的 to

20、s值，而是一個(gè)未使用優(yōu)先域(afaik)的 tos部分。我不知道為什么如此，但如果他們改成 0，我們還是能夠分辨出舊系統(tǒng)，而且還能分辨出舊系統(tǒng)和新系統(tǒng)。分段控制這是安全網(wǎng)絡(luò)公司(現(xiàn)在由一幫在 nai的 windows 用戶所擁有)的 thomash. ptacek 所喜愛(ài)的技術(shù)。它基于以下事實(shí)不同的實(shí)現(xiàn)經(jīng)常以不同的方式來(lái)控制覆蓋ip 段，有些會(huì)用新的覆蓋舊的部分，另一些則是用舊的來(lái)覆蓋新的。有很多不同的選擇來(lái)決定如何重組數(shù)據(jù)包。我沒(méi)有使用這個(gè)方法，因?yàn)闆](méi)有一種簡(jiǎn)便的方式來(lái)發(fā)送ip 分段(特別是在 solaris上這是不允許的 )。關(guān)于覆蓋分段的更多信息，可以看ids 的論文() 。tcp選項(xiàng)這

21、簡(jiǎn)直是泄漏信息的金礦。它的好處在于：這通常是可選的，所以并非所有實(shí)現(xiàn)都支持； 如果某個(gè)實(shí)現(xiàn)發(fā)送了設(shè)置選項(xiàng)的請(qǐng)求，目標(biāo)將通過(guò)在回復(fù)中進(jìn)行設(shè)置來(lái)表示響應(yīng)； 只需在一個(gè)數(shù)據(jù)包中進(jìn)行設(shè)置，一次就能測(cè)試所有選項(xiàng)。 nmap發(fā)送了幾乎所有可能的選項(xiàng)的：windowscale=10;nop; maxsegmentsize = 265; timestamp; end of ops;得到回復(fù)后，看看哪個(gè)選項(xiàng)被響應(yīng)，也就是被支持了。有些os ，如最新的 freebsd ，支持上面所有的選項(xiàng)，而其他的一些 os ，如 linux-2.0.x，則支持的很少，但最新的linux-2.1.x內(nèi)核能支持上面所有的選項(xiàng)。另一

22、方面，tcp 序列的生成方式更易受攻擊，你可以去看看，即使幾個(gè)操作系統(tǒng)支持同樣的選項(xiàng)集，有時(shí)仍然可以通過(guò)選項(xiàng)的取值來(lái)分辨出它們。例如，如果送一個(gè)小的mss 值給 linux 系統(tǒng)，它會(huì)用那個(gè)mss生成一個(gè)回復(fù)給你，而其他os則會(huì)回復(fù)不同的值。有時(shí)，即使你得到同樣的支持選項(xiàng)集和同樣的值，你仍然可以通過(guò)選項(xiàng)的順序和填充字來(lái)進(jìn)行辨識(shí)，例如solaris將返回nntnwme，而 linux-2.2.122則返回menntnw，同樣的選項(xiàng)，同樣的值，但不同的順序！我沒(méi)見(jiàn)到其他os檢測(cè)工具利用 tcp選項(xiàng)，但它確實(shí)非常有用。因?yàn)橥瑯拥脑颍?還有其他幾個(gè)有用的選項(xiàng)我也會(huì)探測(cè)，比如 t/tcp和選擇性確認(rèn)。

23、開(kāi)發(fā)年代即使使用上面所有方法， nmap 仍然不能通過(guò) tcp棧區(qū)分 win95、winnt或 win98。這很令人驚訝，尤其是win98比 win95晚出現(xiàn) 4 年，你可能認(rèn)為它們不得不在某些方面進(jìn)行改善(比如支持更多的tcp選項(xiàng))， 這樣我們就可以檢測(cè)到改變從而分辨出它們。不幸的是，事實(shí)并不是這樣的。nt 的協(xié)議棧放在6win95里顯然就是蹩腳的東西，而且到win98情況也沒(méi)有變化。但是，不要放棄希望，還有一個(gè)辦法，你可以簡(jiǎn)單地進(jìn)行早期的windowsdos 攻擊(比如 ping ofdeath、winnuke等)，而你要做的比當(dāng)時(shí)的teardrop 和 land要多一些，那就是在每個(gè)攻擊

24、之后， ping 一下看看他們是否垮掉了。等到你最后crash 掉它們，你就能縮小到的某一服務(wù)包或補(bǔ)丁的范圍了。這個(gè)方法沒(méi)加進(jìn) nmap 中, 盡管我承認(rèn)它非常誘人。syn 洪水限度有些os會(huì)停止新的連接請(qǐng)求， 如果你發(fā)送太多的偽造syn給它的話 (偽造包禁止了你的內(nèi)核進(jìn)行復(fù)位連接)。許多 os只能處理 8 個(gè)包，但最近的 linux 內(nèi)核(包括其他操作系統(tǒng) )會(huì)使用不同的方式如syncookie 來(lái)避免這成為一個(gè)嚴(yán)重的問(wèn)題。 所以，你可以試著從偽造的地址發(fā)8 個(gè)包到目標(biāo)主機(jī)打開(kāi)的端口，再試試還能否建立新連接，從而發(fā)現(xiàn)一些信息。這個(gè)方法沒(méi)在nmap中實(shí)現(xiàn)，因?yàn)橛腥瞬幌矚g你用syn洪水，甚至在你

25、解釋了這只是想知道它運(yùn)行的操作系統(tǒng)后也不能使他們平靜。nmap 的實(shí)現(xiàn)和結(jié)果我已經(jīng)做了一個(gè)上面提到的os探測(cè)方法的參考實(shí)現(xiàn) (除了我說(shuō)明不包括的那些之外 )，我把它們加到了我的nmap 掃描器中， 這樣，在分析指紋時(shí)它已經(jīng)知道了某個(gè)端口是打開(kāi)還是關(guān)閉的，而不用你再告訴它。它也能在linux 、*bsd 、solaris2.51 和 solaris2.6，以及其他一些os間移植。新版的 nmap 會(huì)讀一個(gè)指紋模板文件。下面是語(yǔ)法的例子：fingerprintirix 6.2 - 6.4 # thanks to lamont granquisttseq(class=i800)t1(df=n%w=c

26、000|ef2a%ack=s+%flags=as%ops=mnwnnt)t2(resp=y%df=n%w=0%ack=s%flags=ar%ops=)t3(resp=y%df=n%w=c000|ef2a%ack=o%flags=a%ops=nnt)t4(df=n%w=0%ack=o%flags=r%ops=)t5(df=n%w=0%ack=s+%flags=ar%ops=)t6(df=n%w=0%ack=o%flags=r%ops=)t7(df=n%w=0%ack=s%flags=ar%ops=)pu(df=n%tos=0%iplen=38%riptl=148%rid=e%ripck=e%uc

27、k=e%ulen=134%dat=e)逐行來(lái)看： fingerprintirix 6.2 - 6.3 # thanks to lamont granquist這簡(jiǎn)單地表明了這個(gè)指紋覆蓋的是irix 的版本 6.2 到 6.3，而注釋則表明測(cè)試用 irix 系統(tǒng)的 ip 地址和指紋是 lamont granquist 友好地送給我的。 tseq(class=i800)這表明 isn 取樣放在 i800 組。這意味著每一個(gè)新的序列號(hào)將比前一個(gè)大800 的整數(shù)倍。 t1(df=n%w=c000|ef2a%ack=s+%flags=as%ops=mnwnnt)這個(gè)測(cè)試叫 t1(比 test1聰明吧？

28、)在這個(gè)測(cè)試中，我們發(fā)送一個(gè)syn包，并攜帶一組 tcp選項(xiàng)到一個(gè)打開(kāi)的端口。 df=n意為回復(fù)的 dontfragment 位必須沒(méi)有設(shè)置； w=c000|ef2a 意為收到的回復(fù)窗口特征必須是0 xc000或 ef2a ；7ack=s+ 是說(shuō)回復(fù)必須是我們發(fā)送的序列號(hào)加1； flags=as意為回復(fù)中包含有 ack和 syn標(biāo)記；ops=mnwnnt意為回復(fù)中的選項(xiàng)必須按照這樣的順序。 t2(resp=y%df=n%w=0%ack=s%flags=ar%ops=)測(cè)試 2 包括一個(gè) null以及同樣的選項(xiàng)到一個(gè)打開(kāi)的端口。resp=y表示我們必須得到一個(gè)回復(fù)； ops= 表示回復(fù)中必須包括

29、沒(méi)有任何選項(xiàng)；若使用%ops= 則表示任何選項(xiàng)都匹配。 t3(resp=y%df=n%w=400%ack=s+%flags=as%ops=m)測(cè)試 3 是將一個(gè) syn/fin/urg/psh 發(fā)送到一個(gè)打開(kāi)的端口。 t4(df=n%w=0%ack=o%flags=r%ops=)這是一個(gè)到打開(kāi)端口的ack 。注意這兒沒(méi)有 resp= ，這意味著沒(méi)有回復(fù) (比如數(shù)據(jù)包在網(wǎng)絡(luò)上丟失了或被防火墻攔住了)不會(huì)妨礙其他測(cè)試的匹配。這樣設(shè)置是因?yàn)閷?shí)際上所有的os都會(huì)回答，所以缺少回答總是網(wǎng)絡(luò)的原因而不是os本身造成。測(cè)試 2 和 3 里有 resp標(biāo)記因?yàn)橛行?os確實(shí)丟棄了它們而不回復(fù)。 t5(df=n

30、%w=0%ack=s+%flags=ar%ops=) t6(df=n%w=0%ack=o%flags=r%ops=) t7(df=n%w=0%ack=s%flags=ar%ops=)這些測(cè)試是將 syn 、ack和 fin/psh/urg 分別發(fā)送到一個(gè)關(guān)閉的端口，并總是設(shè)置同樣的選項(xiàng)。pu(df=n%tos=0%iplen=38%riptl=148%rid=e%ripck=e%uck=e%ulen=134%dat=e)這串大家伙是端口不可達(dá)消息測(cè)試?，F(xiàn)在你應(yīng)該認(rèn)識(shí)df=n了，tos=0意為ip 的服務(wù)域類型是 0， 后面兩項(xiàng)則給出以16進(jìn)制返回的源 ip 數(shù)據(jù)包全長(zhǎng)和回復(fù)ip 數(shù)據(jù)包全長(zhǎng)；r

31、id=e是說(shuō)在返回的部分源數(shù)據(jù)包中的rid值應(yīng)該和原來(lái)的一樣(等于發(fā)送過(guò)去的 )； ripck=e 表示校驗(yàn)和沒(méi)有被修改 (修改了的話則是ripck=f) ；uck=e 表示 udp 校驗(yàn)和也正確；下一項(xiàng)是udp 長(zhǎng)度 0 x134；最后， dat=e表示它們正確返回了我們的udp數(shù)據(jù)。 因?yàn)榇蠖鄶?shù)實(shí)現(xiàn) (包括這里的這個(gè) )不送回任何我們發(fā)出的 udp數(shù)據(jù)包，因此它們默認(rèn)dat=e 。帶這個(gè)功能的這個(gè)版本的nmap 正在私下進(jìn)行第六次beta 測(cè)試循環(huán)。你讀到本文的時(shí)候，也許已經(jīng)完成，也許還沒(méi)有。訪問(wèn) /nmap/可以得到最新的版本。流行網(wǎng)站快照下面

32、看看我們努力的成果。我們現(xiàn)在可以隨機(jī)挑選internet網(wǎng)站來(lái)判斷它使用的 os 。它們?cè)S多修改了 telnet標(biāo)志以使這些信息保密。但這對(duì)我們的新指紋辨識(shí)來(lái)說(shuō)沒(méi)用！這也是個(gè)揭露 的用戶是多么愚蠢的好辦法。這些例子中用到的命令是：nmap -ss -p 80 -o -v 注意大多數(shù)掃描是在98-10-18 進(jìn)行的， 在那以后有些家伙升級(jí) / 改變了它們的服務(wù)器。注意我并不喜歡這里的每個(gè)網(wǎng)站。# “黑客”網(wǎng)站或自認(rèn)為是“黑客”網(wǎng)站的： = openbsd2.2 - 2.4= l= windows 95/n

33、t= l = freebsd2.2.6- = openbsd2.2 - = linux2.0.31-34# free kevin!= freebsd2.2.6- 3.0 b= freebsd2.2.6- 3.0 b= linux2.0.35# 安全提供商，顧問(wèn)等： = l= linux2.0.31-= solaris2.5 - = win95/nt# os制造商：= linux 2.0.35# linux國(guó)際版 = l= l=

34、 linux2.1.122- = irix 6.2 - = netbsd1.3x = s= freebsd2.2.6- 3.0 beta# 學(xué)聯(lián)：= s = solaris2.5 - 2.51= sunos4.1.2- 4.1.4= s = solaris2.5 - 2.51= unix osf1v4.0,4.0b,4.0d= linux2.0.33-34# 殘疾網(wǎng)站： = irix 6.2 - 6.4= openbsd2.2 - 2.4# 其他：= l= linux2.1.122- 2.1.126www.whitehou