系统版本扫描
sUc[�!S:�/ sUc[�!S:�/ sUc[�!S:�/ FIN探测 -- 通过发送一个FIN数据包(或任何未设置ACK或SYN标记位的数据包)
sUc[�!S:�/ 到一个打开的端口,并等待回应。RFC793定义的标准行为是“不”响
sUc[�!S:�/ 应,但诸如MS Windows、BSDi、CISCO、HP/UX、MVS和IRIX等操作系
sUc[�!S:�/ 统会回应一个RESET包。大多数的探测器都使用了这项技术。
sUc[�!S:�/ sUc[�!S:�/ BOGUS(伪造)标记位探测 -- 据我所知,Queso是第一个使用这种更聪明技术的
sUc[�!S:�/ 探测器。它原理是在一个SYN数据包TCP头中设置未定义的TCP“标记”
sUc[�!S:�/ (64或128)。低于2.0.35版本的Linux内核会在回应包中保持这个
sUc[�!S:�/ 标记,而其它操作系统好象都没有这个问题。不过,有些操作系统
sUc[�!S:�/ 当接收到一个SYN+BOGUS数据包时会复位连接。所以这种方法能够比
sUc[�!S:�/ 较有效地识别出操作系统。
sUc[�!S:�/ sUc[�!S:�/ TCP ISN 取样 -- 其原理是通过在操作系统对连接请求的回应中寻找TCP连接初
sUc[�!S:�/ 始化序列号的特征。目前可以区分的类别有传统的64K(旧UNIX系统
sUc[�!S:�/ 使用)、随机增加(新版本的Solaris、IRIX、FreeBSD、Digital
sUc[�!S:�/ UNIX、Cray和其它许多系统使用)、真正“随机”(Linux 2.0.*及更
sUc[�!S:�/ 高版本、OpenVMS和新版本的AIX等操作系统使用)等。Windows平台
sUc[�!S:�/ (还有其它一些平台)使用“基于时间”方式产生的ISN会随着时间的
sUc[�!S:�/ 变化而有着相对固定的增长。不必说,最容易受到攻击的当然是老
sUc[�!S:�/ 式的64K方式。而最受我们喜爱的当然是“固定”ISN!确实有些机器
sUc[�!S:�/ 总是使用相同的ISN,如某些3Com集线器(使用0x83)和Apple
sUc[�!S:�/ LaserWriter打印机(使用0xC7001)。
sUc[�!S:�/ sUc[�!S:�/ 根据计算ISN的变化、最大公约数和其它一些有迹可循的规律,还可
sUc[�!S:�/ 以将这些类别分得更细、更准确。
sUc[�!S:�/ sUc[�!S:�/ “无碎片”标记位 -- 许多操作系统逐渐开始在它们发送的数据包中设置IP“不分
sUc[�!S:�/ 片(无碎片)”位。这对于提高传输性能有好处(虽然有时它很讨厌
sUc[�!S:�/ -- 这也是为什么nmap不对Solaris系统进行碎片探测的原因)。但
sUc[�!S:�/ 并不是所有操作系统都有这个设置,或许并不并总是使用这个设置,
sUc[�!S:�/ 因此通过留意这个标记位的设置可以收集到关于目标主机操作系统
sUc[�!S:�/ 的更多有用信息。
sUc[�!S:�/ sUc[�!S:�/ TCP 初始化“窗口” -- 就是检查返回数据包的“窗口”大小。以前的探测器仅仅通
sUc[�!S:�/ 过RST数据包的非零“窗口”值来标识为“起源于BSD 4.4”。而象queso
sUc[�!S:�/ 和nmap这些新的探测器会记录确切的窗口值,因为该窗口随操作系
sUc[�!S:�/ 统类型有较为稳定的数值。这种探测能够提供许多有用的信息,因
sUc[�!S:�/ 为某些系统总是使用比较特殊的窗口值(例如,据我所知AIX是唯一
sUc[�!S:�/ 使用0x3F25窗口值的操作系统)。而在声称“完全重写”的NT5的TCP
sUc[�!S:�/ 堆栈中,Microsoft使用的窗口值总是0x402E。更有趣的是,这个数
sUc[�!S:�/ 值同时也被OpenBSD和FreeBSD使用。
sUc[�!S:�/ sUc[�!S:�/ ACK值 -- 也许你认为ACK值总是很标准的,但事实上操作系统在ACK域值的实
sUc[�!S:�/ 现也有所不同。例如,假设向一个关闭的TCP端口发送一个FIN|PSH|
sUc[�!S:�/ URG包,许多操作系统会将ACK值设置为ISN值,但Windows和某些愚
sUc[�!S:�/ 蠢的打印机会设置为seq+1。如果向打开的端口发送SYN|FIN|URG|
ggc�?J<Dv� PSH包,Windows的返回值就会非常不确定。有时是seq序列号值,有
ggc�?J<Dv� 时是S++,而有时回送的是一个似乎很随机性的数值。我们很怀疑为
ggc�?J<Dv� 什么MS总是能写出这种莫名其妙的代码。
ggc�?J<Dv� ggc�?J<Dv� ICMP错误信息查询 -- 有些(聪明的)操作系统根据RFC 1812的建议对某些类型
ggc�?J<Dv� 的错误信息发送频率作了限制。例如,Linux内核(在net/ipv4/
ggc�?J<Dv� icmp.h)限制发送“目标不可到达”信息次数为每4秒80次,如果超过
ggc�?J<Dv� 这个限制则会再减少1/4秒。一种测试方法是向高端随机UDP端口发
ggc�?J<Dv� 送成批的数据包,并计算接收到的“目标不可到达”数据包的数量。
ggc�?J<Dv� 在nmap中只有UDP端口扫描使用了这个技术。这种探测操作系统方法
ggc�?J<Dv� 需要稍微长的时间,因为需要发送大量的数据包并等待它们的返回。
ggc�?J<Dv� 这种数据包处理方式也会对网络性能造成某种程度的影响。
ggc�?J<Dv� ggc�?J<Dv� ICMP信息引用 -- RFC定义了一些ICMP错误信息格式。如对于一个端口不可到达
ggc�?J<Dv� 信息,几乎所有操作系统都只回送IP请求头+8字节长度的包,但
ggc�?J<Dv� Solaris返回的包会稍微长一点,Linux则返回更长的包。这样即使
ggc�?J<Dv� 操作系统没有任何监听任何端口,nmap仍然有可能确定Linux和
ggc�?J<Dv� Solaris操作系统的主机。
ggc�?J<Dv� ggc�?J<Dv� ICMP错误信息回显完整性 -- 我们在前面已谈到,机器必须根据接收到的数据
ggc�?J<Dv� 包返回“端口不可到达”(如果确实是这样)数据包。有些操作系统
ggc�?J<Dv� 会在初始化处理过程中弄乱了请求头,这样当你接收到这种数据包
ggc�?J<Dv� 时会出现不正常。例如,AIX和BSDI返回的IP包中的“总长度”域会
ggc�?J<Dv� 被设置为20字节(太长了)。某些BSDI、FreeBSD、OpenBSD、
ggc�?J<Dv� ULTRIX和VAX操作系统甚至会修改请求头中的IP ID值。另外,由于
ggc�?J<Dv� TTL值的改变导致校验和需要修改时,某些系统(如AIX、FreeBSD
ggc�?J<Dv� 等)返回数据包的检验和会不正确或为0。有时这种情况也出现在
ggc�?J<Dv� UDP包检验和。总的说来,nmap使用了九种不同的ICMP错误信息探
ggc�?J<Dv� 测技术来区分不同的操作系统。
ggc�?J<Dv� ggc�?J<Dv� 服务类型(TOS) -- 对于ICMP的“端口不可到达”信息,经过对返回包的服务类
ggc�?J<Dv� 型(TOS)值的检查,几乎所有的操作系统使用的是ICMP错误类型
ggc�?J<Dv� 0,而Linux使用的值是0xC0。
ggc�?J<Dv� ggc�?J<Dv� 片段(碎片)处理 -- 不同操作系统在处理IP片段重叠时采用了不同的方式。
ggc�?J<Dv� 有些用新的内容覆盖旧的内容,而又有些是以旧的内容为优先。有
ggc�?J<Dv� 很多探测方法能确定这些包是被如何重组的,从而能帮助确定操作
ggc�?J<Dv� 系统类型。
ggc�?J<Dv� ggc�?J<Dv� TCP选项 -- 这是收集信息的最有效方法之一。其原因是:
ggc�?J<Dv� ggc�?J<Dv� 1)它们通常真的是“可选的”,因此并不是所有的操作系统都使用
ggc�?J<Dv� 它们。
ggc�?J<Dv� 2)向目标主机发送带有可选项标记的数据包时,如果操作系统支
ggc�?J<Dv� 持这些选项,会在返回包中也设置这些标记。
ggc�?J<Dv� 3)可以一次在数据包中设置多个可选项,从而增加了探测的准确
ggc�?J<Dv� 度。
ggc�?J<Dv� ggc�?J<Dv� Nmap在几乎每一个探测数据包中都设置了如下选项:
ggc�?J<Dv� ggc�?J<Dv� Window Scale=10; NOP; Max Segment Size = 265; Timestamp; End of Ops;
ggc�?J<Dv� ggc�?J<Dv� 当接收到返回包时,检查返回了哪些选项,它们就是目标操作系统
ggc�?J<Dv� 支持的选项。有些操作系统(如较新版本的FreeBSD)支持以上所
ggc�?J<Dv� 有选项,而有些(如Linux 2.0.x)则几乎都不支持。Linux 2.1.x
ggc�?J<Dv� 内核支持以上所有选项。
ggc�?J<Dv� ggc�?J<Dv� 如果有几个操作系统支持相同的选项,可以通过选项的值来进行区
ggc�?J<Dv� 分。例如,如果向Linux机器发送一个很小的MSS值,它一般会将此
ggc�?J<Dv� MSS值返回,而其它系统则会返回不同数值。
ggc�?J<Dv� ggc�?J<Dv� 如果支持相同的选项,返回值也相同,又怎么办呢?仍然可以通过
ggc�?J<Dv� 返回选项的顺序进行区分。如Solaris系统返回‘NNTNWME',代表:
ggc�?J<Dv� ggc�?J<Dv� 而如果是Linux 2.1.122系统,相同的选项,相同的返回值,但顺
ggc�?J<Dv� 序却有所不同:MENNTNW。
ggc�?J<Dv� ggc�?J<Dv� 目前还没有其它操作系统探测工具利用TCP选项,但它确实非常有效!
ggc�?J<Dv� ggc�?J<Dv� 另外还有其它一些选项也可用于进行探测,如T/TCP支持等。NMAP探测细节和结果
ggc�?J<Dv� ggc�?J<Dv� 上面我们讨论了操作系统类型探测的多种技术(除了某些攻击性方法外)。这些技术都在nmap扫描器中实现。Nmap
ggc�?J<Dv� 扫描器收集了众多操作系统端口打开和关闭时的特征,支持目前流行的Linux、*BSD和Solaris 2.5.1/2.6多种操作系统。
ggc�?J<Dv� ggc�?J<Dv� 目前版本的nmap扫描器从一个文件中读取操作系统特征模板。下面是一个实例:
ggc�?J<Dv� ggc�?J<Dv� FingerPrint IRIX 6.2 - 6.4 # Thanks to Lamont Granquist
ggc�?J<Dv� TSeq(Class=i800)
ggc�?J<Dv� T1(DF=N%W=C000|EF2A%ACK=S++%Flags=AS%Ops=MNWNNT)
ggc�?J<Dv� T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=)
ggc�?J<Dv� T3(Resp=Y%DF=N%W=C000|EF2A%ACK=O%Flags=A%Ops=NNT)
ggc�?J<Dv� T4(DF=N%W=0%ACK=O%Flags=R%Ops=)
ggc�?J<Dv� T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=)
ggc�?J<Dv� T6(DF=N%W=0%ACK=O%Flags=R%Ops=)
ggc�?J<Dv� T7(DF=N%W=0%ACK=S%Flags=AR%Ops=)
ggc�?J<Dv� PU(DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)
ggc�?J<Dv� ggc�?J<Dv� 让我们来看一下每一行的含义:
ggc�?J<Dv� ggc�?J<Dv� > FingerPrint IRIX 6.2 - 6.3 # Thanks to Lamont Granquist
ggc�?J<Dv� ggc�?J<Dv� 它说明这是一个IRIX 6.2 - 6.3操作系统特征,注释指出该特征由Lamont Granquist提供。
ggc�?J<Dv� ggc�?J<Dv� > TSeq(Class=i800)
ggc�?J<Dv� ggc�?J<Dv� 它说明ISN特征是"i800 class",即每一个新序列号比上一个序列号大800的整数倍。
ggc�?J<Dv� ggc�?J<Dv� > T1(DF=N%W=C000|EF2A%ACK=S++%Flags=AS%Ops=MNWNNT)
ggc�?J<Dv� ggc�?J<Dv� T1代表test1。这个测试是向打开的端口发送带有多个TCP选项的SYN数据包。DF=N说明返回包的
ggc�?J<Dv� "Don't fragment"位必须没有设置。W=C000|EF2A说明返回包的窗口值必须为0xC000或0xEF2A。ACK=S++说明
ggc�?J<Dv� 返回包的ACK值必须为初始化序列号加1。Flags=AS说明返回包的ACK和SYN标记位必须被设置。Ops=MNWNNT说明返回
ggc�?J<Dv� 包的TCP选项及其顺序必须为:
ggc�?J<Dv� ggc�?J<Dv� > T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=)
ggc�?J<Dv� ggc�?J<Dv� Test 2(第二个测试)向打开端口发送带有相同TCP选项的NULL(空)数据包。Resp=Y说明必须接收到返回包。
ggc�?J<Dv� Ops= 说明返回包中的所有TCP选项必须都没有被设置。‘%Ops='匹配任意TCP选项。
ggc�?J<Dv� ggc�?J<Dv� > T3(Resp=Y%DF=N%W=400%ACK=S++%Flags=AS%Ops=M)
ggc�?J<Dv� ggc�?J<Dv� Test 3(第三个测试)向打开端口发送带有TCP选项的SYN|FIN|URG|PSH数据包。
ggc�?J<Dv� ggc�?J<Dv� > T4(DF=N%W=0%ACK=O%Flags=R%Ops=)
ggc�?J<Dv� ggc�?J<Dv� 这是向打开端口发送ACK数据包。注意这里没有Resp=字符串。说明返回包不是必须的(例如数据包被丢弃或有
ggc�?J<Dv� 防火墙)。
ggc�?J<Dv� ggc�?J<Dv� > T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=)
ggc�?J<Dv� > T6(DF=N%W=0%ACK=O%Flags=R%Ops=)
ggc�?J<Dv� > T7(DF=N%W=0%ACK=S%Flags=AR%Ops=)
ggc�?J<Dv� ggc�?J<Dv� 以上测试是针对关闭端口的SYN、ACK和FIN|PSH|URG数据包测试,并设置了相同的TCP选项。
ggc�?J<Dv� ggc�?J<Dv� > PU(DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)
ggc�?J<Dv� ggc�?J<Dv� 这个是对“端口不可到达”信息的测试。DF=N前面已经介绍过了。TOS=0说明IP服务类型域应为0。接着的两个是IP
ggc�?J<Dv� 包头总长度和返回IP包总长度(16进制值)。RID=E说明期望返回包RID值与发送的UDP包的值相同。RIPCK=E说明校验
ggc�?J<Dv� 和应该正常(如果不正常则RIPCK=F)。UCK说明UDP包校验和也应该正常。ULEN=134是UDP包长度为0x134。DAT=E说 明正确返回UDP数据,这个是大多数情况下的缺省设置。
ggc�?J<Dv� ggc�?J<Dv� 一些较为著名站点的扫描结果
ggc�?J<Dv� ggc�?J<Dv� 注:这些都是以前的扫描结果,仅供参考。不保证它现在仍然有效或准确。
ggc�?J<Dv� ggc�?J<Dv� # "Hacker" sites or (in a couple cases) sites that think they are
ggc�?J<Dv� www.l0pht.com => OpenBSD 2.2 - 2.4
ggc�?J<Dv� www.insecure.org => Linux 2.0.31-34
ggc�?J<Dv� www.rhino9.ml.org => Windows 95/NT # No comment :)
ggc�?J<Dv� www.technotronic.com => Linux 2.0.31-34
ggc�?J<Dv� www.nmrc.org => FreeBSD 2.2.6 - 3.0
ggc�?J<Dv� www.cultdeadcow.com => OpenBSD 2.2 - 2.4
ggc�?J<Dv� www.kevinmitnick.com => Linux 2.0.31-34 # Free Kevin!
ggc�?J<Dv� www.2600.com => FreeBSD 2.2.6 - 3.0 Beta
ggc�?J<Dv� www.antionline.com => FreeBSD 2.2.6 - 3.0 Beta
ggc�?J<Dv� www.rootshell.com => Linux 2.0.35 # Changed to OpenBSD after
ggc�?J<Dv� # they got owned.
ggc�?J<Dv� ggc�?J<Dv� # Security vendors, consultants, etc.
ggc�?J<Dv� www.repsec.com => Linux 2.0.35
ggc�?J<Dv� www.iss.net => Linux 2.0.31-34
ggc�?J<Dv� www.checkpoint.com => Solaris 2.5 - 2.51
ggc�?J<Dv� www.infowar.com => Win95/NT
ggc�?J<Dv� ggc�?J<Dv� # Vendor loyalty to their OS
ggc�?J<Dv� www.li.org => Linux 2.0.35 # Linux International
ggc�?J<Dv� www.redhat.com => Linux 2.0.31-34 # I wonder what distribution :)
ggc�?J<Dv� www.debian.org => Linux 2.0.35
ggc�?J<Dv� www.linux.org => Linux 2.1.122 - 2.1.126
ggc�?J<Dv� www.sgi.com => IRIX 6.2 - 6.4
ggc�?J<Dv� www.netbsd.org => NetBSD 1.3X
ggc�?J<Dv� www.openbsd.org => Solaris 2.6 # Ahem :)
ggc�?J<Dv� www.freebsd.org => FreeBSD 2.2.6-3.0 Beta
ggc�?J<Dv� ggc�?J<Dv� # Ivy league
ggc�?J<Dv� www.harvard.edu => Solaris 2.6
ggc�?J<Dv� www.yale.edu => Solaris 2.5 - 2.51
ggc�?J<Dv� www.caltech.edu => SunOS 4.1.2-4.1.4 # Hello! This is the 90's :)
ggc�?J<Dv� www.stanford.edu => Solaris 2.6
ggc�?J<Dv� www.mit.edu => Solaris 2.5 - 2.51 # Coincidence that so many good
ggc�?J<Dv� # schools seem to like Sun?
ggc�?J<Dv� # Perhaps it is the 40%
ggc�?J<Dv� # .edu discount :)
ggc�?J<Dv� www.berkeley.edu => UNIX OSF1 V 4.0,4.0B,4.0D
ggc�?J<Dv� www.oxford.edu => Linux 2.0.33-34 # Rock on!
ggc�?J<Dv� ggc�?J<Dv� # Lamer sites
ggc�?J<Dv� www.aol.com => IRIX 6.2 - 6.4 # No wonder they are so insecure :)
ggc�?J<Dv� www.happyhacker.org => OpenBSD 2.2-2.4 # Sick of being owned, Carolyn?
ggc�?J<Dv� # Even the most secure OS is
ggc�?J<Dv� # useless in the hands of an
ggc�?J<Dv� # incompetent admin.
ggc�?J<Dv� ggc�?J<Dv� # Misc
ggc�?J<Dv� www.lwn.net => Linux 2.0.31-34 # This Linux news site rocks!
ggc�?J<Dv� www.slashdot.org => Linux 2.1.122 - 2.1.126
ggc�?J<Dv� www.whitehouse.gov => IRIX 5.3
ggc�?J<Dv� sunsite.unc.edu => Solaris 2.6
ggc�?J<Dv� ggc�?J<Dv� �#;nYg?d=
QQ帐号登录
内容互通,快速登录
