第2章信息收集

第二章信息收集吳少華電子信息學(xué)院第二章信息收集本章主要內(nèi)容信息收集的概念和意義信息收集的方法和技術(shù)利用公開的信息服務(wù)掃描操作系統(tǒng)的類型探測2.1信息收集概述什么是信息收集？信息收集是指——黑客為了更加有效地實施攻擊而在攻擊前或攻擊過程中對目標(biāo)的所有探測活動2.1信息收集概述什么是信息收集？信息收集是指——黑客為了更加有效地實施攻擊而在攻擊前或攻擊過程中對目標(biāo)的所有探測活動

信息收集的內(nèi)容是什么？

哪些信息對攻擊是有意義的、是攻擊者（當(dāng)然也是網(wǎng)絡(luò)防衛(wèi)者）所關(guān)心的？2.1信息收集概述信息收集內(nèi)容：域名和IP地址操作系統(tǒng)類型端口應(yīng)用程序類型防火墻和入侵檢測系統(tǒng)2.1信息收集概述信息收集的內(nèi)容域名和IP地址操作系統(tǒng)類型端口應(yīng)用程序類型防火墻、入侵檢測等安全防范措施內(nèi)部網(wǎng)絡(luò)結(jié)構(gòu)、域組織第二章信息收集2.1信息收集概述2.2利用公開服務(wù)收集信息2.3IP掃描與端口掃描2.4操作系統(tǒng)類型探測2.2利用公開服務(wù)收集信息利用公用信息服務(wù)進(jìn)行信息收集WEB與搜索引擎服務(wù)USENET（新聞組服務(wù)）WhoIs服務(wù)DNS（域名系統(tǒng)）服務(wù)2.2.1WEB與搜索引擎服務(wù)目標(biāo)：獲取目標(biāo)公司或網(wǎng)站的域名或網(wǎng)站地址直接進(jìn)入目標(biāo)網(wǎng)站或通過搜索引擎獲得主頁地址2.2.1WEB與搜索引擎服務(wù)目標(biāo)：獲取目標(biāo)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)拓?fù)鋱DIP分配表網(wǎng)絡(luò)設(shè)備，安全設(shè)施…………網(wǎng)絡(luò)攻防技術(shù)2.2.1WEB與搜索引擎服務(wù)WEB與搜索引擎服務(wù)公開的網(wǎng)頁目標(biāo)域名或網(wǎng)站地址網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)網(wǎng)絡(luò)管理員公司人員名單、電話、Email…………2.2.1WEB與搜索引擎服務(wù)WEB與搜索引擎服務(wù)搜索引擎GoogleBaiduYahoo搜索引擎為我們提供了在WEB檢索信息的能力。能否在WEB中找到所需要的信息，關(guān)鍵在于能否合理地提取搜索的關(guān)鍵字搜索引擎服務(wù)搜索基本指令搜索技巧+/and強(qiáng)制包含檢索項-排除某檢索項“”組合多個檢索詞|或.匹配任意字符*匹配任意檢索詞site:搜索具體服務(wù)器或域名的網(wǎng)頁filetype:搜索以特定文件擴(kuò)展名結(jié)尾的URLintitle:搜索網(wǎng)頁標(biāo)題中的詞匯inurl:搜索URL中的詞匯intext:搜索正文中的詞匯link:搜索連接到指定網(wǎng)頁的網(wǎng)頁網(wǎng)絡(luò)攻防技術(shù)網(wǎng)絡(luò)攻防技術(shù)搜索引擎服務(wù)GoogleHacking搜索密碼文件搜索管理員后臺URL搜索CGI漏洞搜索黑客留下的后門…………目標(biāo)：獲取網(wǎng)絡(luò)設(shè)置不正確，可以下載的密碼數(shù)據(jù)庫網(wǎng)絡(luò)攻防技術(shù)選擇目標(biāo)網(wǎng)絡(luò)攻防技術(shù)下載GoogleHacking使用數(shù)據(jù)庫中的帳號口令對登錄GoogleHacking成功進(jìn)入管理頁面GoogleHackingGoogle

Hacking

的特點快速搜索引擎預(yù)先準(zhǔn)備了大量處理好的信息以供檢索準(zhǔn)確搜索引擎做了關(guān)聯(lián)性、重要性等各種過濾處理措施隱蔽搜索、查詢都是通過搜索引擎的數(shù)據(jù)庫進(jìn)行智能搜索引擎自身的智能特性緩存保留了已經(jīng)實際不存在的敏感信息2.2.2USENET（新聞組服務(wù)）USENETUSENET使用客戶/服務(wù)器的工作方式使用NNTP（NetworkNewsTransportProtocol，TCP端口119）協(xié)議來完成客戶和服務(wù)器間的交互用戶使用新聞閱讀器(newsreader)程序閱讀Usenet文章新聞組閱讀器軟件一般具備在新聞組文章中進(jìn)行搜索的功能，可以使用關(guān)鍵字對文章的發(fā)件人、文章的收件人、文章的標(biāo)題或是文章的內(nèi)容進(jìn)行搜索WhoIs服務(wù)功能：查詢已注冊域名的擁有者信息域名登記人信息聯(lián)系方式域名注冊時間和更新時間權(quán)威DNS的IP地址使用方法：SamSpade等網(wǎng)絡(luò)實用工具2.2.3WhoIs服務(wù)2.2.4DNS（域名系統(tǒng)）服務(wù)DNS：提供域名到IP地址的映射權(quán)威DNS——主DNSCashe-OnlyDNS——副DNSPing2.2.4DNS（域名系統(tǒng)）服務(wù)區(qū)域傳送：允許一個副DNS更新自己的區(qū)域數(shù)據(jù)如果DNS配置不安全，可能造成內(nèi)部主機(jī)名和IP地址對的泄漏在錯誤配置時DNS服務(wù)器會接受任何一個主機(jī)DNS區(qū)域傳送請求。Windows2000Server的DNS服務(wù)程序在默認(rèn)配置情況下，也允許向任何主機(jī)提供DNS區(qū)域傳送如果沒有使用公用/私用DNS機(jī)制分割外部公用DNS信息和內(nèi)部私用DNS信息，任何主機(jī)都可以得到機(jī)構(gòu)的所有內(nèi)部主機(jī)名和IP地址第二章信息收集2.1信息收集概述2.2利用公開服務(wù)收集信息2.3IP掃描與端口掃描2.4操作系統(tǒng)類型探測2.3.1找到網(wǎng)絡(luò)地址范圍Ping:PacketInterNetGroper用來判斷遠(yuǎn)程設(shè)備可訪問性最常用的方法原理：發(fā)送ICMPEcho消息，然后等待ICMPReply消息Traceroute–用來發(fā)現(xiàn)實際的路由路徑–原理：給目標(biāo)的一個無效端口發(fā)送一系列UDP，其TTL依次增一，中間路由器返回一個ICMPTimeExceeded消息traceroute發(fā)送一系列UDP包(缺省大小為38字節(jié))，其TTL字段從1開始遞增，然后監(jiān)聽來自路徑上網(wǎng)關(guān)發(fā)回來的ICMPTimeExceeded應(yīng)答消息UDP包的端口設(shè)置為一個不太可能用到的值(缺省為33434)，因此，目標(biāo)會送回一個ICMPDestinationUnreachable消息，指示端口不可達(dá)traceroute/tracert域名pathping2.3.2找到活動的主機(jī)--掃描技術(shù)基于TCP/IP協(xié)議，對各種網(wǎng)絡(luò)服務(wù)，無論是主機(jī)或者防火墻、路由器都適用掃描器能夠發(fā)現(xiàn)系統(tǒng)存活情況對端口掃描，發(fā)現(xiàn)哪些服務(wù)在運行掃描器能夠暴露網(wǎng)絡(luò)上潛在的脆弱性，避免遭受不必要的攻擊有進(jìn)一步的功能，包括操作系統(tǒng)辨識、應(yīng)用系統(tǒng)識別用途，雙刃劍安全管理員可以用來確保自己系統(tǒng)的安全性黑客用來探查系統(tǒng)的入侵點端口掃描的技術(shù)已經(jīng)非常成熟，目前有大量的商業(yè)、非商業(yè)的掃描器掃描器歷史早期80年代，網(wǎng)絡(luò)沒有普及，上網(wǎng)的好奇心驅(qū)使許多年輕人通過Modem撥號進(jìn)入到UNIX系統(tǒng)中。這時候的手段需要大量的手工操作于是，出現(xiàn)了wardialer——自動掃描，并記錄下掃描的結(jié)果現(xiàn)代的掃描器要先進(jìn)得多SATAN:SecurityAdministrator'sToolforAnalyzing1995年4月發(fā)布，引起了新聞界的轟動界面上的突破，從命令行走向圖形界面(使用HTML界面)，不依賴于X兩位作者的影響(DanFarmer寫過網(wǎng)絡(luò)安全檢查工具COPS，另一位WeitseVenema是TCP_Wrapper的作者)Nmap作者為Fyodor，技術(shù)上，是最先進(jìn)的掃描技術(shù)大集成結(jié)合了功能強(qiáng)大的通過棧指紋來識別操作系統(tǒng)的眾多技術(shù)掃描技術(shù)主機(jī)掃描：確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)，同時盡可能多映射目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)，主要利用ICMP數(shù)據(jù)包端口掃描：發(fā)現(xiàn)遠(yuǎn)程主機(jī)開放的端口以及服務(wù)操作系統(tǒng)指紋掃描：根據(jù)協(xié)議棧判別操作系統(tǒng)主機(jī)掃描主機(jī)掃描的目的是確定在目標(biāo)網(wǎng)絡(luò)上的主機(jī)是否可達(dá)，同時盡可能多映射目標(biāo)網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)傳統(tǒng)主機(jī)掃描技術(shù)高級主機(jī)掃描技術(shù)傳統(tǒng)主機(jī)掃描技術(shù)PingPingsweepFping(unix)NONE-ECHOICMP其它ICMP服務(wù)類型（13和14、15和16、17和18）也可以用于對主機(jī)或網(wǎng)絡(luò)設(shè)備如路由器等的探測ICMPTimeStampRequest和REPLY允許一個節(jié)點查詢另一個節(jié)點的當(dāng)前時間，返回值是自午夜開始計算的毫秒數(shù)。發(fā)送者可以初始化標(biāo)識符和序列號，請求端還填寫發(fā)起時間戳，然后發(fā)送報文給應(yīng)答系統(tǒng)。應(yīng)答系統(tǒng)接受請求后，填寫接受和傳送的時間戳，把信息類型改變?yōu)镽EPLY應(yīng)答并送回給發(fā)送者。返回值是自午夜開始計算的毫秒數(shù)。3.2高級主機(jī)掃描技術(shù)利用被探測主機(jī)產(chǎn)生的ICMP錯誤報文來進(jìn)行復(fù)雜的主機(jī)探測異常的IP包頭向目標(biāo)主機(jī)發(fā)送包頭錯誤的IP包，目標(biāo)主機(jī)或過濾設(shè)備會反饋ICMPParameterProblemError信息。常見的偽造錯誤字段為HeaderLength和IPOptions。不同廠家的路由器和操作系統(tǒng)對這些錯誤的處理方式不同，返回的結(jié)果也不同。?IP頭中設(shè)置無效的字段值向目標(biāo)主機(jī)發(fā)送的IP包中填充錯誤的字段值，目標(biāo)主機(jī)或過濾設(shè)備會反饋ICMPDestinationUnreachable信息。錯誤的數(shù)據(jù)分片當(dāng)目標(biāo)主機(jī)接收到錯誤的數(shù)據(jù)分片（如某些分片丟失），并且在規(guī)定的時間間隔內(nèi)得不到更正時，將丟棄這些錯誤數(shù)據(jù)包，并向發(fā)送主機(jī)反饋ICMPFragmentReassemblyTimeExceeded錯誤報文。用UDP掃描向目標(biāo)主機(jī)特定端口發(fā)送一個0字節(jié)數(shù)據(jù)的UDP包，關(guān)閉端口會反饋ICMPPortUnreachable錯誤報文，而開放的端口則沒有任何反饋。通過多個端口的掃描，還可以探測到目標(biāo)系統(tǒng)。通過超長包探測內(nèi)部路由器若構(gòu)造的數(shù)據(jù)包長度超過目標(biāo)系統(tǒng)所在路由器的PMTU且設(shè)置禁止分片標(biāo)志,該路由器會反饋FragmentationNeededandDon’tFragmentBitwasSet差錯報文。反向映射探測用于探測被過濾設(shè)備或防火墻保護(hù)的網(wǎng)絡(luò)和主機(jī)。構(gòu)造可能的內(nèi)部IP地址列表，并向這些地址發(fā)送數(shù)據(jù)包。當(dāng)對方路由器接收到這些數(shù)據(jù)包時，會進(jìn)行IP識別并路由，對不在其服務(wù)的范圍的IP包發(fā)送ICMPHostUnreachable或ICMPTimeExceeded錯誤報文，沒有接收到相應(yīng)錯誤報文的IP地址可被認(rèn)為在該網(wǎng)絡(luò)中2.3.3.找到活動的端口－－端口掃描端口掃描的直接成果就是得到目標(biāo)主機(jī)開放和關(guān)閉的端口列表，這些開放的端口往往與一定的服務(wù)相對應(yīng)，通過這些開放的端口，黒客就能了解主機(jī)運行的服務(wù)，然后就可以進(jìn)一步整理和分析這些服務(wù)可能存在的漏洞，隨后采取針對性的攻擊。已知的端口掃描的類型包括：4.1開放掃描(OpenScanning)4.2半開掃描(Half-OpenScanning)4.3隱蔽掃描(StealthScanning)4.4其他掃描TCP連接若干要點TCP/IP的一些實現(xiàn)原則當(dāng)一個SYN|ACK或者FIN數(shù)據(jù)包到達(dá)一個關(guān)閉的端口，端口發(fā)送一個RST數(shù)據(jù)包當(dāng)一個SYN|ACK或者FIN數(shù)據(jù)包到達(dá)一個監(jiān)聽的端口，數(shù)據(jù)包被丟棄當(dāng)一個包含ACK的數(shù)據(jù)包到達(dá)一個監(jiān)聽端口時，數(shù)據(jù)包被丟棄，同時發(fā)送一個RST數(shù)據(jù)包當(dāng)一個不包含SYN位的數(shù)據(jù)包到達(dá)一個監(jiān)聽端口時，數(shù)據(jù)包被丟棄當(dāng)一個SYN數(shù)據(jù)包到達(dá)一個監(jiān)聽端口時，正常的三階段握手繼續(xù)，回答一個SYN|ACK數(shù)據(jù)包掃描技術(shù)原理端口掃描技術(shù)概況端口服務(wù)表掃描分類端口掃描服務(wù)名稱 端口/協(xié)議ftp-data 20/tcpftp 21/tcptelnet 23/tcpsmtp 25/tcp tftp 69/udpfinger 79/tcpwww 80/tcp pop3 110/tcp netbios-ns 137/tcp netbios-ns 137/udpnetbios-dgm 138/tcp netbios-dgm 138/udpnetbios-ssn 139/tcp netbios-ssn 139/udpmysqlMySQL 3306/tcpms-sql-sMicrosoft-SQL-Server 1433/tcpmicrosoft-dsMicrosoft-DS 445/tcp端口服務(wù)表掃描分類TCP全連接開放掃描半開放掃描TCP反向ident掃描IP頭信息dumb掃描SYN掃描FIN掃描隱蔽掃描TCP分段ACK掃描XMAS掃描空掃描掃射掃描SYN/ACK掃描ping掃射其它掃描UDP/ICMP不可達(dá)FTP彈跳UDP掃射UDPrecvfrom/write掃描ACK掃射SYN掃射ICMP掃射端口掃描4.1開放掃描完全連接掃描ClientSYNServerSYN/ACKClientACKClientSYNServerRST/ACKClientRST端口開放端口關(guān)閉端口掃描優(yōu)點：快速，精確，不需要額外權(quán)限缺點：容易被檢測和日志反向IDENT掃描（RFC1413）Clientident請求：port,portServer連接對應(yīng)的用戶確定進(jìn)程擁有者優(yōu)點：快速，可返回重要信息，不需要額外權(quán)限缺點：容易被檢測4.2半開放掃描半連接SYN掃描ClientSYNServerSYN/ACKClientACKClientSYNServerRST/ACKClientRST端口開放端口關(guān)閉*立即切斷連接端口掃描優(yōu)點：快速，可靠，不需要三次握手缺點：要求root權(quán)限IPID頭啞掃描ABC目標(biāo)機(jī)攻擊者Dumb主機(jī)pingA偽裝B向C發(fā)送SYN掃描C發(fā)送SYN/ACK或RST/ACK給B60bytesfromBBB.BBB.BBB.BBB:seq=1ttl=64id=+1win=0time=96ms60bytesfromBBB.BBB.BBB.BBB:seq=2ttl=64id=+1/3win=0time=88ms60bytesfromBBB.BBB.BBB.BBB:seq=3ttl=64id=+1/2win=0time=92msB忽略或者響應(yīng)RST4.3隱蔽掃描隱蔽掃描：SYN/ACKClientSYN/ACKServerRSTClientSYN/ACKServer--端口關(guān)閉端口開放端口掃描優(yōu)點：快速，可逃避IDS和防火墻，不需要三次握手缺點：不可靠（虛警）掃描技術(shù)分析隱蔽掃描：FINClientFINServerRSTClientFINServer--端口開放端口關(guān)閉端口掃描優(yōu)點：可逃避IDS和防火墻，不需要三次握手缺點：不可靠（虛警）掃描技術(shù)分析隱蔽掃描：ACKClientACKServer(TTL<64)Server(WIN>0)ClientACKServer(TTL>64)Server(WIN=0)端口開放端口關(guān)閉端口掃描優(yōu)點：可逃避IDS檢測，很難被日志缺點：主要依賴于BSD網(wǎng)絡(luò)代碼的bug當(dāng)Client發(fā)送一個ACK數(shù)據(jù)包給服務(wù)器時，服務(wù)器會回送一個RST數(shù)據(jù)包。開放端口發(fā)送的RST包的IP頭中的TTL值一般比關(guān)閉的端口小，而且小于等于64。packet1:hostxxx.xxx.xxx.xxxport1F:RST-->TTL:70win:0packet2:hostxxx.xxx.xxx.xxxport2F:RST-->TTL:40win:0packet3:hostxxx.xxx.xxx.xxxport3F:RST-->TTL:70win:0packet4:hostxxx.xxx.xxx.xxxport4F:RST-->TTL:70win:0開放端口發(fā)送的RST包的TCP頭的WINDOW值一般是非0的，而關(guān)閉的端口返回的包的WINDOW值為0。這對于早期的一些操作系統(tǒng)，如BSD系列的FreeBSD、OpenBSD，UNIX中的AIX是適用的。但新的一些版本和其它的操作系統(tǒng)已經(jīng)不能使用該方法掃描了。packet5:hostxxx.xxx.xxx.xxxport1F:RST-->TTL:64win:0packet6:hostxxx.xxx.xxx.xxxport2F:RST-->TTL:64win:0packet7:hostxxx.xxx.xxx.xxxport3F:RST-->TTL:64win:512packet8:hostxxx.xxx.xxx.xxxport4F:RST-->TTL:64win:0NULL掃描ClientNULLServer-ClientNULLServerRST端口開放端口關(guān)閉優(yōu)點：可逃避IDS，不需要三次握手缺點：不可靠（虛警），主要針對UNIX系統(tǒng)XMAS掃描ClientXMASServer-ClientXMASServerRST端口開放端口關(guān)閉優(yōu)點：可逃避IDS，不需要三次握手缺點：不可靠（虛警），主要針對UNIX系統(tǒng)4.4其他掃描UDP掃描ClientUDPPACKETServer-多次ClientUDPPACKETServerICMP_PORT_UNREACHType3code3端口開放端口關(guān)閉優(yōu)點：可逃避TCPIDS，用于掃描UDP端口缺點：需要ROOT權(quán)限FTPbounce掃描

PORTIP：PORTICMP掃描*《ICMPUsageinScanning》端口掃描2.4弄清操作系統(tǒng)操作系統(tǒng)辨識的動機(jī)許多漏洞是系統(tǒng)相關(guān)的，而且往往與相應(yīng)的版本對應(yīng)從操作系統(tǒng)或者應(yīng)用系統(tǒng)的具體實現(xiàn)中發(fā)掘出來的攻擊手段都需要辨識系統(tǒng)操作系統(tǒng)的信息還可以與其他信息結(jié)合起來，比如漏洞庫，或者社會詐騙(社會工程，socialengineering)如何辨識一個操作系統(tǒng)2.4.1一些端口服務(wù)的提示信息，例如，telnet、http、ftp等服務(wù)的提示信息2.4.2TCP/IP棧指紋2.4.3DNS泄漏出OS系統(tǒng)2.4.1服務(wù)端口提供的信息Telnet服務(wù)Http服務(wù)Ftp服務(wù)2.4.2棧指紋技術(shù)定義：利用TCP/IP協(xié)議棧實現(xiàn)上的特點來辨識一個操作系統(tǒng)技術(shù)導(dǎo)向可辨識的OS的種類，包括哪些操作系統(tǒng)結(jié)論的精確度，細(xì)微的版本差異是否能識別一些工具Checkos,byShokQueso,bySavageNmap,byFyodor主動棧指紋識別技術(shù)原理：尋找不同操作系統(tǒng)之間在處理網(wǎng)絡(luò)數(shù)據(jù)包上的差異，并且把足夠多的差異組合起來，以便精確地識別出一個系統(tǒng)的OS版本網(wǎng)絡(luò)協(xié)議棧指紋構(gòu)成1)

TTL

TTL：Time

To

Live，即數(shù)據(jù)包的“存活時間”，表示一個數(shù)據(jù)包在被丟棄之前可以通過多少躍點(Hop)。不同操作系統(tǒng)的缺省TTL值往往是不同的。

常見操作系統(tǒng)的TTL值：

Windows

9x/NT/2000

Intel

128

Digital

Unix

4.0

Alpha

60

Linux

2.2.x

Intel

64

Netware

4.11

Intel

128

AIX

4.3.x

IBM/RS6000

60

Cisco

12.0

2514

255

Solaris

8

Intel/Sparc

64

…

2)DF位

DF（不分段）位識別：不同OS對DF位有不同的處理方式，有些OS設(shè)置DF位，有些不設(shè)置DF位；還有一些OS在特定場合設(shè)置DF位，在其它場合不設(shè)置DF位。

3)

Window

Size

Window

Size：TCP接收（發(fā)送）窗口大小。它決定了接收信息的機(jī)器在收到多少數(shù)據(jù)包后發(fā)送ACK包。

特定操作系統(tǒng)的缺省Window

Size基本是常數(shù)，例如，AIX

用0x3F25，Windows、OpenBSD

、FreeBSD用0x402E。

一般地，UNIX的Window

Size較大。MSWindows，路由器，交換機(jī)等的較小。

4)

ACK

序號

不同的OS處理ACK序號時是不同的。如果發(fā)送一個FIN|PSH|URG的數(shù)據(jù)包到一個關(guān)閉的TCP

端口，大多數(shù)OS會把回應(yīng)ACK包的序號設(shè)置為發(fā)送的包的初始序號，而Windows

和一些打印機(jī)則會發(fā)送序號為初始序號加1的ACK包。

5)ICMP地址屏蔽請求

對于ICMP地址屏蔽請求，有些OS會產(chǎn)生相應(yīng)的應(yīng)答，有些則不會。會產(chǎn)生應(yīng)答的系統(tǒng)有OpenVMS,

MSWindows,

SUN

Solaris等。在這些產(chǎn)生應(yīng)答的系統(tǒng)中，對分片ICMP地址屏蔽請求的應(yīng)答又存在差別，可以做進(jìn)一步的區(qū)分。

6)

對FIN包的響應(yīng)

發(fā)送一個只有FIN標(biāo)志位的TCP數(shù)據(jù)包給一個打開的端口，Linux等系統(tǒng)不響應(yīng)；有些系統(tǒng)，例如

MS

Windows,

CISCO,

HP/UX等，發(fā)回一個RESET。7)

虛假標(biāo)記的SYN包

在SYN包的TCP頭里設(shè)置一個未定義的TCP

標(biāo)記，目標(biāo)系統(tǒng)在響應(yīng)時，有的會保持這個標(biāo)記，有的不保持。還有一些系統(tǒng)在收到這樣的包的時候會復(fù)位連接。8)

ISN

(初始化序列號)

不同的OS在選擇TCP

ISN時采用不同的方法。一些UNIX系統(tǒng)采用傳統(tǒng)的64K遞增方法，較新的Solaris,IRIX,FreeBSD,Digital

Unix,Cray等系統(tǒng)采用隨機(jī)增量的方法；Linux

2.0,OpenVMS,

AIX等系統(tǒng)采用真隨機(jī)方法。Windows系統(tǒng)采用一種時間相關(guān)的模型。還有一些系統(tǒng)使用常數(shù)。如，3Com集線器使用0x803，Apple

LaserWriter打印機(jī)使用0xC7001。9)ICMP

錯誤信息

在發(fā)送ICMP錯誤信息時，不同的OS有不同的行為。RFC

1812建議限制各種錯誤信息的發(fā)送率。有的OS做了限制，而有的沒做。10)

ICMP

消息引用

RFC

規(guī)定ICMP錯誤消息可以引用一部分引起錯誤的源消息。在處理端口不可達(dá)消息時，大多數(shù)OS送回IP請求頭外加8

字節(jié)。Solaris

送回的稍多，Linux

更多。

有些OS會把引起錯誤消息的頭做一些改動再發(fā)回來。例如，F(xiàn)reeBSD，OpenBSD，ULTRIX，VAXen等會改變頭的ID

。

這種方法功能很強(qiáng)，甚至可以在目標(biāo)主機(jī)沒有打開任何監(jiān)聽端口的情況下就識別出Linux和Solaris

。11)

TOS(服務(wù)類型)

對于ICMP端口不可達(dá)消息，送回包的服務(wù)類型(TOS)值也是有差別的。大多數(shù)OS是0，而Linux

是0xc0。12)

分段重組處理

在做IP包的分段重組時，不同OS的處理方式不同。有些OS會用新IP段覆蓋舊的IP段，而有些會用舊的IP段覆蓋新的IP段。13)

MSS(最大分段尺寸)

不同的OS有不同的缺省MSS值，對不同的MSS值的回應(yīng)也不同。如，給Linux發(fā)送一個MSS值很小的包，它一般會把這個值原封不動地返回；其它的系統(tǒng)會返回不同的值。

14)

SYN

Flood限度

在處理SYN

Flood的時候，不同的OS有不同的特點。如果短時間內(nèi)收到很多的偽造SYN包，一些OS會停止接受新的連接。有的系統(tǒng)支持?jǐn)U展的方式來防止SYN

flood。15)

主機(jī)使用的端口 一些OS會開放特殊的端口，比如：WINDOWS的137、139,WIN2K的445；一些網(wǎng)絡(luò)設(shè)備，如入侵檢測系統(tǒng)、防火墻等也開放自己特殊的端口。16)

Telnet選項指紋

建立Telnet會話時，Socket連接完成后，會收到telnet守候程序發(fā)送的一系列telnet選項信息。不同OS有不同的Telnet選項排列順序。17)

Http指紋

執(zhí)行Http協(xié)議時,不同的WebServer存在差異。而從WebServer往往可以判斷OS類型。WebServer的差異體現(xiàn)在如下方面：1：基本Http請求

處理HEAD/Http/1.0這樣的請求時，不同系統(tǒng)返回信息基本相同，但存在細(xì)節(jié)差別。如，Apache返回的頭信息里的Server和Date項的排序和其它的服務(wù)器不同。2：DELETE請求

對于DELETE/Http/1.0這樣的非法請求，Apache響應(yīng)"405MethodNotAllowed",IIS響應(yīng)"403Forbidden",Netscape響應(yīng)"401Unauthorized"3：非法Http協(xié)議版本請求

對于GET/Http/3.0這樣的請求,Apache響應(yīng)“400BadRequest”,IIS忽略這種請求,響應(yīng)信息是OK,Netscape響應(yīng)“505HttpVersionNotSupported”。4：不正確規(guī)則協(xié)議請求

對不規(guī)則協(xié)議的請求,Apache忽視不規(guī)則的協(xié)議并返回200"OK",IIS響應(yīng)"400BadRequest",Netscape幾乎不返回Http頭信息。18)

打印機(jī)服務(wù)程序指紋

RFC1179規(guī)定了請求打印服務(wù)時須遵循的協(xié)議。

在實踐中，如果打印請求符合RFC1179的格式，不同OS表現(xiàn)行為相同。但當(dāng)打印請求不符合RFC1179的格式時，不同OS就會體現(xiàn)出差別。如對一個非法格式的請求，Solaris這樣回應(yīng)：

Reply:Invalidprotocolrequest(77):xxxxx而AIX系統(tǒng)這樣回應(yīng)：

Reply:0781-201ill-formedFROMaddress.

大多數(shù)OS會給出不同的響應(yīng)信息。個別OS會給出長度為0的回應(yīng)。對于Windows，則是通過專有的SMB協(xié)議（ServerMessageBlockProtocol）來實現(xiàn)打印機(jī)的共享。19)

網(wǎng)絡(luò)協(xié)議棧指紋實踐

在實踐中，網(wǎng)絡(luò)協(xié)議棧指紋方法通