目錄
2.2 操作系統(tǒng)指紋識(shí)別
2.2.1 Banner抓取
2.2.2 TCP 和 ICMP 常規(guī)指紋識(shí)別技術(shù)
TCP數(shù)據(jù)報(bào)格式
ICMP首部格式
TTL與TCP窗口大小
FIN探測(cè)
BOGUS flag 探測(cè)
TCP ISN 抽樣
IPID 抽樣
TCP Timestamp
ACK值
ICMP錯(cuò)誤信息
DHCP
2.2.3 數(shù)據(jù)包重傳延時(shí)技術(shù)
2.2.4 使用Nmap進(jìn)行操作系統(tǒng)探測(cè)..
一般性探測(cè)
指定網(wǎng)絡(luò)掃描類型.
設(shè)置掃描條件
推測(cè)結(jié)果.
2.2.5 使用Xprobe2進(jìn)行操作系統(tǒng)探測(cè)
2.2.6 使用p0f進(jìn)行操作系統(tǒng)探測(cè)
2.2.7 使用miranda進(jìn)行操作系統(tǒng)探測(cè)
小結(jié)
2.2 操作系統(tǒng)指紋識(shí)別
識(shí)別目標(biāo)主機(jī)的操作系統(tǒng)�����,首先����,可以幫助我們進(jìn)一步探測(cè)操作系統(tǒng)級(jí)別的漏洞從而可以從這一級(jí)別進(jìn)行滲透測(cè)試�。其次��,操作系統(tǒng)和建筑在本系統(tǒng)之上的應(yīng)用一般是成套出現(xiàn)的����,例如LAMP或者LNMP�����。操作系統(tǒng)的版本也有助于我們準(zhǔn)確定位服務(wù)程序或者軟件的版本�,比如windows server 2003 搭載的IIS為6.0,windows server 2008 R2 搭載的是IIS7.5���。
操作系統(tǒng)指紋識(shí)別技術(shù)多種多樣���,這里我簡(jiǎn)要介紹我所知道的幾種常用技術(shù),不會(huì)具體深入到細(xì)節(jié)中�,若您感興趣可自己查閱資料。
2.2.1 Banner抓取
Banner抓取是最基礎(chǔ)�、最簡(jiǎn)單的指紋識(shí)別技術(shù),而且在不需要其他專門的工具的情況下就可以做���。操作簡(jiǎn)單��,通常獲取的信息也相對(duì)準(zhǔn)確�。
嚴(yán)格的講,banner抓取是應(yīng)用程序指紋識(shí)別而不是操作系統(tǒng)指紋識(shí)別����。Banner信息并不是操作系統(tǒng)本身的行為,是由應(yīng)用程序自動(dòng)返回的��,比如apathe�、exchange。而且很多時(shí)候并不會(huì)直接返回操作系統(tǒng)信息�����,幸運(yùn)的話�,可能會(huì)看到服務(wù)程序本身的版本信息,并以此進(jìn)行推斷��。
凡事皆有利弊�,越是簡(jiǎn)單的方法越容易被防御,這種方法奏效的成功率也越來越低了��。
先來看一個(gè)直接Banner抓取的例子�。
在上圖中,直接telnet 80端口,在返回的服務(wù)器banner信息中���,看到“Server: Microsoft-HTTPAPI/2.0”的字樣�。
在IIS中使用ISAPI擴(kuò)展后����,經(jīng)常會(huì)看到這樣的Banner�����。下表可以幫助我們識(shí)別操作系統(tǒng):
Server Header Value | Windows Server Version |
Microsoft-HTTPAPI/2.0 | Windows 2003 Sp2, Windows 7, Windows 2008, Windows 2008 R2 |
Microsoft-HTTPAPI/1.0 | Windows 2003 |
如果沒有ISAPI攔截��,我們可能會(huì)看到如下圖的信息�����,
準(zhǔn)確的IIS版本��,會(huì)幫助我們更準(zhǔn)確的判斷操作系統(tǒng)���,可以參考下表:
IIS Version | Windows Server Version |
IIS 5.0 | Windows 2000 |
IIS 5.1 | Windows XP |
IIS 6.0 | Windows 2003 |
IIS 7.0 | Windows 2008, Windows Vista |
IIS 7.5 | Windows 2008 R2, Windows 7 |
對(duì)于asp.net站點(diǎn)��,通常會(huì)看到“X-Powered-By”字樣�,會(huì)指示.net 版本,但是這對(duì)判斷操作系統(tǒng)版本幫助不大����。
其他web服務(wù)器如apache、nginx�����,除非直接輸出操作系統(tǒng)版本����,否則根據(jù)服務(wù)程序版本無法推斷操作系統(tǒng)版本。配置不當(dāng)?shù)姆?wù)可能會(huì)輸出如下信息:
HTTP/1.1 200 OK
Date: Mon, 16 Jun 2003 02:53:29 GMT
Server: Apache/1.3.3 (Unix) (Red Hat/Linux)
Last-Modified: Wed, 07 Oct 1998 11:18:14 GMT
ETag: "1813-49b-361b4df6"
Accept-Ranges: bytes
Content-Length: 1179
Connection: close
Content-Type: text/html
有經(jīng)驗(yàn)的管理員都會(huì)修改banner或者禁止輸出banner信息�,比如下面的測(cè)試:
我們可以看到圖中目標(biāo)站點(diǎn)并未輸出任何banner信息。
除了web服務(wù)器程序���,很多ftp�����、smtp服務(wù)也會(huì)返回banner信息����。在2.3節(jié)《服務(wù)程序指紋識(shí)別》一節(jié)中����,還會(huì)講解Banner抓取��,本節(jié)就簡(jiǎn)要介紹到這里�����。
2.2.2 TCP 和 ICMP 常規(guī)指紋識(shí)別技術(shù)
正常而言����,操作系統(tǒng)對(duì)TCP/IP的實(shí)現(xiàn)��,都是嚴(yán)格遵從RFC文檔的�����,因?yàn)楸仨氉駨南嗤膮f(xié)議才能實(shí)現(xiàn)網(wǎng)絡(luò)通信����。但是在具體實(shí)現(xiàn)上還是有略微的差別��,這些差別是在協(xié)議規(guī)范之內(nèi)所允許的�����,大多數(shù)操作系統(tǒng)指紋識(shí)別工具都是基于這些細(xì)小的差別進(jìn)行探測(cè)分析的。
如果您不熟悉TCP/IP協(xié)議���,那么可以查詢資料或者跳過這一部分����,不影響對(duì)工具的使用����。
為了節(jié)省篇幅,不影響實(shí)踐學(xué)習(xí)�����,我只是簡(jiǎn)單列出使用的技術(shù)��,并未深入�。
TCP數(shù)據(jù)報(bào)格式
tcp 頭
中間的標(biāo)志位(flags)就是用于協(xié)議的一些機(jī)制的實(shí)現(xiàn)的比特位大家可以看到有6比特,它們依次如下:
URG���、ACK�����、PSH�、RST、SYN���、FIN���。
URG表示緊急指針字段有效;
ACK置位表示確認(rèn)號(hào)字段有效�;
PSH表示當(dāng)前報(bào)文需要請(qǐng)求推(push)操作;
RST置位表示復(fù)位TCP連接�;
SYN用于建立TCP連接時(shí)同步序號(hào);
FIN用于釋放TCP連接時(shí)標(biāo)識(shí)發(fā)送方比特流結(jié)束����。
源端口(Sequence Number)和目的端口:各為16比特,用于表示應(yīng)用層的連接�。源端口表示產(chǎn)生數(shù)據(jù)包的應(yīng)用層進(jìn)程��,而目的端口則表示數(shù)據(jù)包所要到達(dá)的目的進(jìn)程����。
序列號(hào):為32比特,表示數(shù)據(jù)流中的字節(jié)數(shù)����。序列號(hào)為首字節(jié)在整個(gè)數(shù)據(jù)流中的位置�。初始序列號(hào)隨機(jī)產(chǎn)生���,并在連接建立階段予以同步��。
確認(rèn)號(hào):表示序號(hào)為確認(rèn)號(hào)減去1的數(shù)據(jù)包及其以前的所有數(shù)據(jù)包已經(jīng)正確接收����,也就是說他相當(dāng)于下一個(gè)準(zhǔn)備接收的字節(jié)的序號(hào)�。
頭部信息:4比特,用于指示數(shù)據(jù)起始位置�����。由于TCP包頭中可選項(xiàng)的長(zhǎng)度可變�,因此整個(gè)包頭的長(zhǎng)度不固定。如果沒有附加字段����,則TCP數(shù)據(jù)包基本長(zhǎng)度為20字節(jié)。
窗口:16位��,表示源端主機(jī)在請(qǐng)求接收端等待確認(rèn)之前需要接收的字節(jié)數(shù)��。它用于流量控制��,窗口大小根據(jù)網(wǎng)絡(luò)擁塞情況和資源可用性進(jìn)行增減。
校驗(yàn)位:16位�。用于檢查TCP數(shù)據(jù)包頭和數(shù)據(jù)的一致性。
緊急指針:16位���。當(dāng)URG碼有效時(shí)只向緊急數(shù)據(jù)字節(jié)����。
可選項(xiàng):存在時(shí)表示TCP包頭后還有另外的4字節(jié)數(shù)據(jù)�。TCP常用的選項(xiàng)為最大數(shù)據(jù)包(并非整個(gè)TCP報(bào)文)MSS。每一個(gè)TCP段都包含一個(gè)固定的20字節(jié)的段頭���。TCP段頭由20字節(jié)固定頭和一些可選項(xiàng)組成���。實(shí)際數(shù)據(jù)部分最多可以有65495(65535-20-20=65495)字節(jié)。
ICMP首部格式
icmp首部
對(duì)于上圖中的Data部分��,不同的ICMP類型��,會(huì)拆分成不同的格式���,這里就不一一介紹了。
TTL與TCP窗口大小
下表是幾個(gè)典型的操作系統(tǒng)的TTL和TCP窗口的大小數(shù)值�。
Operating System | Time To Live | TCP Window Size |
Linux (Kernel 2.4 and 2.6) | 64 | 5840 |
Google Linux | 64 | 5720 |
FreeBSD | 64 | 65535 |
Windows XP | 128 | 65535 |
Windows Vista and 7 (Server 2008) | 128 | 8192 |
iOS 12.4 (Cisco Routers) | 255 | 4128 |
產(chǎn)生上表中數(shù)據(jù)差別的主要原因在于RFC文檔對(duì)于TTL和滑動(dòng)窗口大小并沒有明確的規(guī)定�����。另外需要注意的是�,TTL即時(shí)在同一系統(tǒng)下�,也總是變化的,因?yàn)槁酚稍O(shè)備會(huì)修改它的值��。
基于TTL與TCP窗口大小的操作系統(tǒng)探測(cè)需要監(jiān)聽網(wǎng)絡(luò)����,抓取數(shù)據(jù)包進(jìn)行分析,這種方法通常被稱之為被動(dòng)分析���。
FIN探測(cè)
在RFC793中規(guī)定FIN數(shù)據(jù)包被接收后�,主機(jī)不發(fā)送響應(yīng)信息��。但是很多系統(tǒng)由于之前的固有實(shí)現(xiàn)�����,可能會(huì)發(fā)送一個(gè)RESET響應(yīng)�。比如MS Windows, BSDI, CISCO, HP/UX, MVS, 和IRIX。
BOGUS flag 探測(cè)
發(fā)送一個(gè)帶有未定義FLAG的 TCP SYN數(shù)據(jù)包,不同的操作系統(tǒng)會(huì)有不同的響應(yīng)�。比如Linux 2.0.35之前的系統(tǒng)會(huì)在響應(yīng)包中報(bào)告未定義的FLAG。
TCP ISN 抽樣
TCP連接的初始序列號(hào)(ISN)���,是一個(gè)隨機(jī)值�,但是不同的操作系統(tǒng)的隨機(jī)方式不一樣����,還有的操作系統(tǒng)每次的ISN都是相同的。針對(duì)ISN做多次抽樣然后比對(duì)規(guī)律可以識(shí)別操作系統(tǒng)類型���。
IPID 抽樣
IP標(biāo)識(shí)是用來分組數(shù)據(jù)包分片的標(biāo)志位�����,和ISN一樣�����,不同的操作系統(tǒng)初始化和增長(zhǎng)該標(biāo)識(shí)值的方式也不一樣�����。
TCP Timestamp
有的操作系統(tǒng)不支持該特性�����,有的操作系統(tǒng)以不同的更新頻率來更新時(shí)間戳����,還有的操作系統(tǒng)返回0�。
ACK值
在不同場(chǎng)景下,不同的請(qǐng)求���,操作系統(tǒng)對(duì)ACK的值處理方式也不一樣�。比如對(duì)一個(gè)關(guān)閉的端口發(fā)送數(shù)據(jù)包�,有的操作系統(tǒng)ACK+1,有的系統(tǒng)則不變�。
ICMP錯(cuò)誤信息
ICMP錯(cuò)誤信息是操作系統(tǒng)指紋識(shí)別的最重要手段之一,因?yàn)?/span>ICMP本身具有多個(gè)類型�,而錯(cuò)誤信息又是每個(gè)操作系統(tǒng)在小范圍內(nèi)可以自定義的。
DHCP
DHCP本身在RFC歷史上經(jīng)歷了1541����、2131、2132����、4361、4388、4578多個(gè)版本�����,使得應(yīng)用DHCP進(jìn)行操作系統(tǒng)識(shí)別成為可能����。
2.2.3 數(shù)據(jù)包重傳延時(shí)技術(shù)
之所以把數(shù)據(jù)包延時(shí)重傳技術(shù)單獨(dú)拿出來,是因?yàn)橄鄬?duì)于上面說的技術(shù)��,它屬于新技術(shù)�,目前大多數(shù)系統(tǒng)都沒有針對(duì)該方法做有效的防御。但是基于該技術(shù)的工具也不是很成熟�����,這里希望引起讀者的重視或者激發(fā)你對(duì)該技術(shù)的熱情��。
對(duì)于在2.2.2節(jié)中介紹的技術(shù)��,很大程度上受到網(wǎng)絡(luò)環(huán)境���、防火墻���、入侵檢測(cè)系統(tǒng)的影響���。那么數(shù)據(jù)包重傳延時(shí)技術(shù)能解決這些問題嗎?
由于數(shù)據(jù)包丟失���,或者網(wǎng)絡(luò)阻塞,TCP數(shù)據(jù)包重傳屬于正常情況���。為了識(shí)別重復(fù)的數(shù)據(jù)包�����,TCP協(xié)議使用相同的ISN和ACK來確定接收的數(shù)據(jù)包����。
包重傳的延時(shí)由重傳定時(shí)器決定��,但是確定一種合適的延時(shí)算法比較困難��,這是源于以下原因:
確認(rèn)信號(hào)的延遲在實(shí)際網(wǎng)絡(luò)環(huán)境中是可變的���;
傳輸?shù)姆侄位虼_認(rèn)信號(hào)可能丟失���,使得估計(jì)往返時(shí)間有誤�。
TCP采用了自適應(yīng)的重傳算法����,以適應(yīng)互連網(wǎng)絡(luò)中時(shí)延的變化.該算法的基本思想是通過最近的時(shí)延變化來不斷修正原有的時(shí)延樣本,RFC中并沒有明確具體如何執(zhí)行��。
由于不同操作系統(tǒng)會(huì)選擇采用自己的重傳延遲算法��,這就造成了通過分析各系統(tǒng)重發(fā)包的延遲來判斷其操作系統(tǒng)類型的可能性���,如果各操作系統(tǒng)的重傳延遲相互存在各異性���,那么就很容易將它們彼此區(qū)分開來。
由于此種技術(shù)�����,采用標(biāo)準(zhǔn)的TCP數(shù)據(jù)包���,一般情況下可以有效的躲過防火墻和入侵檢測(cè)系統(tǒng)�����。但是目前基于此種技術(shù)的工具還很少��。
2.2.4 使用Nmap進(jìn)行操作系統(tǒng)探測(cè)
一般性探測(cè)
使用Nmap進(jìn)行操作系統(tǒng)識(shí)別最簡(jiǎn)單的方法為使用-O參數(shù)�,如下是我對(duì)內(nèi)網(wǎng)掃描的幾個(gè)數(shù)據(jù)。
上面的命令表示對(duì)192.168.1.1 所在網(wǎng)段的C類255個(gè)ip進(jìn)行操作系統(tǒng)版本探測(cè)�����。
對(duì)192.168.1.1的掃描結(jié)果(1.1是Tp-link路由器):
MAC Address: A8:15:4D:85:4A:30 (Tp-link Technologies Co.)
Device type: general purpose
Running: Linux 2.6.X
OS CPE: cpe:/o:linux:linux_kernel:2.6
OS details: Linux 2.6.23 - 2.6.38
Network Distance: 1 hop
對(duì)192.168.1.101的掃描結(jié)果(實(shí)際為android系統(tǒng)手機(jī)):
MAC Address: 18:DC:56:F0:65:E0 (Yulong Computer Telecommunication Scientific(shenzhen)Co.)
No exact OS matches for host (If you know what OS is running on it, see http:///submit/ ).
TCP/IP fingerprint:
OS:SCAN(V=6.40%E=4%D=12/27%OT=7800%CT=1%CU=39712%PV=Y%DS=1%DC=D%G=Y%M=18DC5
OS:6%TM=52BD035E%P=x86_64-unknown-linux-gnu)SEQ(SP=100%GCD=1%ISR=109%TI=Z%C
OS:I=Z%II=I%TS=7)OPS(O1=M5B4ST11NW6%O2=M5B4ST11NW6%O3=M5B4NNT11NW6%O4=M5B4S
OS:T11NW6%O5=M5B4ST11NW6%O6=M5B4ST11)WIN(W1=7120%W2=7120%W3=7120%W4=7120%W5
OS:=7120%W6=7120)ECN(R=Y%DF=Y%T=40%W=7210%O=M5B4NNSNW6%CC=Y%Q=)T1(R=Y%DF=Y%
OS:T=40%S=O%A=S+%F=AS%RD=0%Q=)T2(R=N)T3(R=N)T4(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=
OS:R%O=%RD=0%Q=)T5(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T
OS:=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=
OS:0%Q=)U1(R=Y%DF=N%T=40%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)IE(
OS:R=Y%DFI=N%T=40%CD=S)
從上面的結(jié)果可以看出���,nmap對(duì)android系統(tǒng)識(shí)別率不高。
對(duì)192.168.1.102的結(jié)果如下(實(shí)際系統(tǒng)為windows 7 sp1):
Device type: general purpose
Running: Microsoft Windows 7
OS CPE: cpe:/o:microsoft:windows_7::- cpe:/o:microsoft:windows_7::sp1
OS details: Microsoft Windows 7 SP0 - SP1
對(duì)192.168.1.106的探測(cè)結(jié)果如下(實(shí)際系統(tǒng)為ios 5.0):
MAC Address: CC:78:5F:82:98:68 (Apple)
Device type: media device|phone
Running: Apple iOS 4.X|5.X|6.X
OS CPE: cpe:/o:apple:iphone_os:4 cpe:/a:apple:apple_tv:4 cpe:/o:apple:iphone_os:5 cpe:/o:apple:iphone_os:6
OS details: Apple Mac OS X 10.8.0 - 10.8.3 (Mountain Lion) or iOS 4.4.2 - 6.1.3 (Darwin 11.0.0 - 12.3.0)
對(duì)192.168.1.106的探測(cè)結(jié)果如下(實(shí)際為蘋果一體機(jī)�����、windows7 sp1):
MAC Address: 7C:C3:A1:A7:EF:8E (Apple)
Too many fingerprints match this host to give specific OS details
對(duì)192.168.1.119的探測(cè)結(jié)果如下(實(shí)際為windows server 2008 r2,vmware虛擬機(jī)):
MAC Address: 00:0C:29:AA:75:3D (VMware)
Device type: general purpose
Running: Microsoft Windows 7|2008
OS CPE: cpe:/o:microsoft:windows_7::- cpe:/o:microsoft:windows_7::sp1 cpe:/o:microsoft:windows_server_2008::sp1 cpe:/o:microsoft:windows_8
OS details: Microsoft Windows 7 SP0 - SP1, Windows Server 2008 SP1, or Windows 8
Network Distance: 1 hop
對(duì)192.168.1.128探測(cè)結(jié)果如下(centOS 6.4��,VMware虛擬機(jī)):
MAC Address: 00:0C:29:FE:DD:13 (VMware)
Device type: general purpose
Running: Linux 3.X
OS CPE: cpe:/o:linux:linux_kernel:3
OS details: Linux 3.0 - 3.9
指定網(wǎng)絡(luò)掃描類型
nmap支持以下掃描類型:
l -sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon
l -sN/sF/sX: TCP Null, FIN, and Xmas
l --scanflags <flags>: Customize TCP scan flags
l -sI <zombie host[:probeport]>: Idlescan
l -sO: IP protocol scan
l -b <ftp relay host>: FTP bounce scan
比如要使用TCP SYN掃描����,可以使用如下的命令:
nmap –sS -O 192.168.1.1/24
設(shè)置掃描條件
采用--osscan-limit這個(gè)選項(xiàng),Nmap只對(duì)滿足“具有打開和關(guān)閉的端口”條件的主機(jī)進(jìn)行操作系統(tǒng)檢測(cè)�����,這樣可以節(jié)約時(shí)間����,特別在使用-P0掃描多個(gè)主機(jī)時(shí)����。這個(gè)選項(xiàng)僅在使用 -O或-A 進(jìn)行操作系統(tǒng)檢測(cè)時(shí)起作用�����。
如:
nmap -sS -O --osscan-limit 192.168.1.119/24
推測(cè)結(jié)果
從上面的掃描示例�,我們也能看出,Nmap默認(rèn)會(huì)對(duì)無法精確匹配的結(jié)果進(jìn)行推測(cè)的����。按官方文檔的說法,使用--osscan-guess; --fuzzy選項(xiàng)�,會(huì)使推測(cè)結(jié)果更有效,實(shí)際測(cè)試沒有任何區(qū)別��。
2.2.5 使用Xprobe2進(jìn)行操作系統(tǒng)探測(cè)
Xprobe2是一款使用ICMP消息進(jìn)行操作系統(tǒng)探測(cè)的軟件���,探測(cè)結(jié)果可以和Nmap互為參照�����。但是該軟件目前公開版本為2005年的版本����,對(duì)老的操作系統(tǒng)探測(cè)結(jié)果較為準(zhǔn)確,新系統(tǒng)則無能為力了���。
下面命令為xprobe2簡(jiǎn)單用法:
結(jié)果如下:
2.2.6 使用p0f進(jìn)行操作系統(tǒng)探測(cè)
p0f是一款被動(dòng)探測(cè)工具��,通過分析網(wǎng)絡(luò)數(shù)據(jù)包來判斷操作系統(tǒng)類型�。目前最新版本為3.06b��。同時(shí)p0f在網(wǎng)絡(luò)分析方面功能強(qiáng)大����,可以用它來分析NAT�����、負(fù)載均衡���、應(yīng)用代理等��。
p0f的命令參數(shù)很簡(jiǎn)單��,基本說明如下:
l -f fname指定指紋數(shù)據(jù)庫 (p0f.fp) 路徑���,不指定則使用默認(rèn)數(shù)據(jù)庫�。
l -i iface 指定監(jiān)聽的網(wǎng)卡���。
l -L 監(jiān)聽所有可用網(wǎng)絡(luò)�����。
l -r fname 讀取由抓包工具抓到的網(wǎng)絡(luò)數(shù)據(jù)包文件���。
l -o fname 附加之前監(jiān)聽的log文件,只有同一網(wǎng)卡的log文件才可以附加合并到本次監(jiān)聽中來��。
l -d 以后臺(tái)進(jìn)程方式運(yùn)行p0f ;
l -u user 以指定用戶身份運(yùn)行程序����,工作目錄會(huì)切換到到當(dāng)前用戶根目錄下���;
l -p 設(shè)置 –i參數(shù)指定的網(wǎng)卡為混雜模式;
l -S num 設(shè)置API并發(fā)數(shù)���,默認(rèn)為20,上限為100�;
l -m c,h 設(shè)置最大網(wǎng)絡(luò)連接數(shù)和同時(shí)追蹤的主機(jī)數(shù) (默認(rèn)值: c = 1,000, h = 10,000).
l -t c,h 設(shè)置連接超時(shí)時(shí)間
下面使用如下命令進(jìn)行測(cè)試:
上面命令的含義為監(jiān)聽網(wǎng)卡eth0���,并開啟混雜模式。這樣會(huì)監(jiān)聽到每一個(gè)網(wǎng)絡(luò)連接����,部分結(jié)果摘錄如下:
p0f監(jiān)聽結(jié)果1
p0f監(jiān)聽結(jié)果2
在p0f監(jiān)聽結(jié)果2圖中��,檢測(cè)的結(jié)果我windows7或8,對(duì)比下nmap的結(jié)果為windows7����,實(shí)際該機(jī)器系統(tǒng)為 windows7 sp1��。
nmap檢測(cè)結(jié)果
p0f監(jiān)聽結(jié)果3
在p0f監(jiān)聽結(jié)果3圖中,捕獲的數(shù)據(jù)是瀏覽器發(fā)送的請(qǐng)求數(shù)據(jù)����,我們可以看到瀏覽器請(qǐng)求信息中“Windows NT 6.1; WOW64; Trident/7.0; rv:11.0”的字樣,從這段UserAgent中����,可以看出發(fā)出請(qǐng)求的系統(tǒng)為windows7 64位���,IE11�。
2.2.7 使用miranda進(jìn)行操作系統(tǒng)探測(cè)
miranda工具是一個(gè)通過UPNP功能來探測(cè)主機(jī)信息的工具�,并不限于探測(cè)操作系統(tǒng)��。下面我們通過一個(gè)實(shí)例��,演示如何使用miranda�����。
在終端輸入如下命令:
上面的命令是指定打開網(wǎng)卡eth0,返回結(jié)果如下:
miranda提示輸入開啟upnp的主機(jī)�����,現(xiàn)在我們不知道哪臺(tái)主機(jī)開啟了upnp�,輸入命令“msearch”�,會(huì)自動(dòng)搜索upnp主機(jī),
接著我們會(huì)看到掃描到的upnp主機(jī):
按 CTRL +C終止掃描��,輸入host list���。
可以看到搜集的主機(jī)列表���,然后使用host get [index]命令可以查看該主機(jī)的upnp設(shè)備列表��。
使用host info [index]查看主機(jī)詳細(xì)信息。
從上圖信息可以看到���,這是一臺(tái)TP-Link路由器。同樣的方法�,查看一臺(tái)windows 7主機(jī)����。
小結(jié)
本節(jié)大致羅列了操作系統(tǒng)識(shí)別的常用技術(shù)和典型工具。因?yàn)楸緯菍?shí)踐性質(zhì)的�����,所以沒有對(duì)指紋識(shí)別技術(shù)做深入的講解����。
基于數(shù)據(jù)包延時(shí)重傳技術(shù)的工具���,筆者只知道RING和Cron-OS�,但是這兩款工具沒有集成到Kali Linux 中,同時(shí)也很久沒有更新����,故沒有做介紹。
2.3節(jié)--《服務(wù)程序指紋識(shí)別》���。
