使用TCP/IP协议栈指纹进行远程操作系统辨识

概述

本文讨论了如何查询一台主机的tcp/ip协议栈来收集宝贵的信息。首
先，我列举了栈指纹之外的几种“经典的”操作系统辨识方法。然后
我描述了栈指纹工具的“工艺现状”。接下来说明让远程主机泄漏其
信息的一些技术。最后详述了我的实现（nmap），和用它获得的一些
流行网站的操作系统信息。
理由=版权所有热点网络热点下载热点网络学院版权所有=

我认为辨识一个系统所运行os的用处是相当显而易见的，所以这一节
会很短。最有力的例子之一是许多安全漏洞是os相关的。试想你正在
作突破试验并发现53端口是打开的。如果那是易遭攻击的bind版本，
则你只有一次机会利用它因为失败的尝试会杀死守护程序。有了正确
的tcp/ip指纹，你将很快发现它运行的是solaris 2.51或者linux 2.0.35
而因此调整你的外壳代码。

一个比较糟的例子是某人扫描500，000台主机以找出它们运行什么os
和哪些端口是打开的。然后等谁贴（说）有一个root漏洞在sun的comsat
守护程序里，我们的小朋友能从人家的列表中找出 udp/512和solaris 2.6
这两个词，并立即得到了整页整页的可得到root特权的盒子。必须认
识到那是脚本小子（script kiddie）的行为。你证明了你的无能而
且没有人，甚至对方也，对你能找到没有及时修补漏洞而易受攻击的
.edu之事留有印象。人们也_较少_留有印象如果你用你新找到的通路
去破坏政府的web 站，换以一个自大的你如何强大而管理员们如何愚
蠢的话的话。。

另一个用法是社会工学。假如你扫描目标公司而namp报告一个datavoice
txpor tprism 3000 t1 csu/dsu 6.22/2.06。则黑客就以datavoice
support为名打电话并讨论他们prism 3000的一些问题。“我们正要
公布一个安全漏洞，但希望我们现在的客户先安装补丁--我刚刚寄给
你...”一些天真的管理员会假定只有datavoice指定的工程师才会对
他们的csu/dsu知道的如此之多。

这个能力另一个潜在的用途是评价你要交易的公司。在选择一个新isp
前，扫描它们看用的是什么设备。那些“ 99美元/年”的买卖不向听
起来那么好当你发现它们用廉价的路由器并用一堆运行windows 的机
器提供ppp 服务的时候。

经典技术

栈指纹以独特的方式解决os辨识的问题。我想这个技术最有把握，但
现在有许多其他解决方案。遗憾的是，这仍是其中最有效的：

playground~> telnet hpux.u-aizu.ac.jp
trying 163.143.103.12...
connected to hpux.u-aizu.ac.jp.
escape character is ^].

hp-ux hpux b.10.01 a 9000/715 (ttyp2)

没有必要在指纹上费这么大力气，如果机器能大声对世界说明它们运
行的是什么！遗憾的是，许多制造商交付带有这类标志的_现有的_系
统而且许多管理员没有关上它。[译者：原文如此]只是因为还有其他
方法找出运行的os（例如指纹），但不是说我们应该通知每个尝试连
接的笨蛋我们的os和体系结构。

依靠这个技术的问题是越来越多的人把标志关闭，许多系统不给出更
多信息，还有少数在标志中“说谎”。不过，你得到全部就是读标志
方式的os和os版本检查，如果你把上千美元花在商业的iss 扫描器上
的话。下载nmap或queso代替它们可以替你省钱:)。

即使你关闭了标志，当被询问时许多应用程序仍然很高兴给出这类信
息。例如这个ftp服务器：

payfonez> telnet ftp.netscape.com 21
trying 207.200.74.26...
connected to ftp.netscape.com.
escape character is ^].
220 ftp29 ftp server (unix(r) system v release 4.0) ready.
syst
215 unix type: l8 version: sunos

首先，它给出了它默认的系统细节标志。然后如果我们给出syst命
令它愉快地送回更多信息。

如果ftp的anon被支持，我们经常可以下载/bin/ls或其他的二进制文
件而测定它所建造的体系结构。许多其他应用程序对信息太随便了。比如web服务器：

playground> echo get / http/1.0\n | nc hotbot.com 80 | egrep ^server:
server: microsoft-iis/4.0
playground>

hmmm ... 我对这些家伙运行的感到惊讶。

其他经典技术包括dns 主机信息记录（不太有效）和社会工学。如果
它在听161/udp (snmp)，用cmu snmu工具包里的snmpwalk和public
通信名你肯定能获得一大堆信息。

当前指纹问题

nmap不是第一个用tcp/ip指纹辨识os的程序。johan的通用的irc欺骗
程序sirc包括了非常基本的指纹技术从版本3 （或更早）开始。它尝
试把主机分为 "linux","4.4bsd", "win95", 或 "unknown"几类通过
几个简单tcp标志测试。

另一个这样的程序是checkos，作者shok对版本7终于有了信心在今年
一月公开发行。指纹技术和sirc的完全一样，甚至_代码_都有许多同
样之处。checkos 在公开发行前私下流传了很久，所以不知谁偷谁的。
但看起来谁都不信任对方。checkos增加的是telnet 标志检查，有用
但有前面说的问题。[更新：shok写信来说checkos无意公开发行而这
就是为什么他没有找sirc要那些代码的许可。]

su1d也写了一个os检查程序。他称它叫ss其版本3.11可以辨识12个不
同的os类型。我有些偏爱它因为他许可我的nmap程序一些网络代码:)。

然后是queso 。这是最新的而且对其他程序是一个巨大的飞跃。不仅
是因为它们推出了一些新测试，而且它们是首先（就我所见）把os指
纹_移出_代码的。其他扫描的代码象：

/* from ss */
if ((flagsfour & th_rst) && (flagsfour & th_ack) && (winfour == 0) &&
(flagsthree & th_ack))
reportos(argv[2],argv[3],"livingston portmaster comos");

相反，queso 把这些代码移到一个配置文件显然使更易扩展而且使增
加一个os成为在指纹文件中增加几行的简单工作。

queso由savage，apostols.org的高手之一，所写。

以上所述所有问题中的一个问题是只有非常有限数量的指纹测试从而
限制了回答的详细程度。我想知道不仅是这台机器是openbsd, freebsd,
或者netbsd，我想确切知道它到底是那一个还有版本号。同样，我希
望看到solaris 2.6 而不仅仅是solaris。为此，我对一系列指纹
技术进行了研究，它们将在下一节说明。
指纹方法学

有许多许多技术可以用来定义网络栈指纹。基本上，你只要找出操作
系统间的不同并写探测器查明它们。如果你合并足够这些，你可以非
常细致的区分它们。例如nmap可以可靠分辨出solaris 2.4 和solaris 2.5-2.51
以及solaris 2.6。他能分辨linux内核2.0.30到2.0.31-34或or 2.0.35。
这有一些技术：

fin 探测器 -- 这里我们送一个fin包（或任何其他包不带ack 或syn
标记）给一个打开的端口并等待回应。正确的rfc793行为是不
响应，但许多有问题的实现例如 ms windows, bsdi, cisco,
hp/ux,mvs,和irix 发回一个reset。许多现有工具利用这个技
术。

bogus 标记探测器 -- queso 是我见过的第一个用这个聪明技术扫描
器。这个主意是设置一个未定义的tcp "标记"（64或128）在syn
包的tcp头里。linux机器到2.0.35之前在回应中保持这个标记。
我没有发现其他os有这个错误。然而，一些操作系统象是复位
连接当它们得到一个syn+ bogus包的时候。这一行为对辨识它
们有用。

tcp isn 取样 -- 这个主意是找出当响应一个连接请求时由tcp 实现
所选择的初始化序列数式样。这可分为许多组例如传统的64k
（许多老unix机器），随机增量（新版本的solaris, irix, freebsd,
digital unix, cray, 和许多其他的），真“随机”（linux 2.0.*,
openvms,新的aix,等）。windows 机器（和一些其他的）用一
个“时间相关”模型，每过一段时间isn 就被加上一个小的固
定数。不用说，这几乎和老的64k 行为一样容易攻破。当然我
喜欢的技术是"常数"。机器总是使用确切同样的isn :)。我已
经在3com的集线器（用0x803）和apple laserwriter打印机（
用0xc7001 ）上看到了。

你也可以通过例如计算其随机数的变化量，最大公约数，以及
序列数的其他函数和数之间的差异再进一步分组。

要知道isn 的生成和安全息息相关。想了解更多情况，联络在
sdsc的“安全专家”tsutome shimmy shimomura，问他所知道
的。nmap是我所见到的第一个用它来辨识os的程序。

不分段位 -- 许多操作系统开始在送出的一些包中设置ip的"dont fragment"
位。这带来多种性能上的好处（尽管它也可能是讨厌的 -- 这
就是nmap的分段扫描对solaris机器无效的原因）。无论如何，
不是所有的os都这样做而且另一些做的场合不同，所以通过注
意这个位我们甚至能收集目标os的更多信息。在那两个程序中
没见过这个。

tcp 初始化窗口 -- 这只包括了检查返回包的窗口大小。较老的扫描
器简单地用一个非零窗口在rst包中来表示“bsd 4.4 族”。新
一些的如queso 和nmap则保持对窗口的精确跟踪因为它对于特定
os基本是常数。这个测试事实上给出许多信息，因为有些可以被
唯一确定（例如，aix 是所知唯一用0x3f25的）。在它们“完全
重写”的nt5 tcp 栈中，microsoft 用的是0x402e。有趣的是，
这和openbsd 与freebsd 中所用的数字完全一样。

ack 值 -- 尽管你会认为这个会完全标准，不同实现中一些情况下ack
域的值是不同的。例如，如果你送了一个fin|psh|urg 到一个
关闭的tcp 端口。大多数实现会设置ack 为你的初始序列数，
而windows 和一些傻打印机会送给你序列数加1 。若你送一个
syn|fin|urg|psh 到一个打开的端口，windows 会非常古怪。
一些时候它送回序列号，但也有可能送回序列号加1，甚至还
可能送回一个随机数。我们觉得奇怪，不知微软写的是些什么
代码。

icmp 错误信息终结 -- 一些（聪明的）操作系统跟从rfc 1812的建
议限制各种错误信息的发送率。例如，linux 内核（在net/ipv4/icmp.h）
限制目的不可达消息的生成每4 秒钟80个，违反导致一个1/4
秒的处罚。测试的一种办法是发一串包到一些随机的高udp 端
口并计数收到的不可达消息。没见过用它的，而且实际上我也
没有把它加进nmap（除了作为udp 端口扫描用）。这个测试会
让os辨识多花一些时间因为需要送一批包再等它们回来。而且
对付网络丢包会很痛苦。

icmp 消息引用 -- rfc 规定icmp错误消息可以引用一部分引起错误
的源消息。对一个端口不可达消息，几乎所有实现只送回ip请
求头外加8 字节。然而，solaris 送回的稍多，而linux 更多。
这使得nmap甚至在没有对方没有监听端口的情况下认出linux
和solaris 主机。

icmp 错误消息回应完整性 -- 我这个想法来自theo de raadt （openbsd
开发负责人）贴在comp.security.unix的文章。刚刚提到，机
器会把原始消息的一部分和端口不可达错误一起送回。然而一
些机器倾向于在初始化处理时用你的消息头作为“草稿纸”所
以再得到时会有些许的改动。例如，aix 和bsdi送回一个ip“
全长”域在20字节处。一些 bsdi，freebsd，openbsd，ultrix，
和vaxen 改变了你送的ip id 。因为ttl 改变而改变了检查和，
有些机器（aix, freebsd, 等）送回错误的或0 检查和。总之，
nmap作9 种测试在icmp错误上以分辨出这类细微差别。

服务类型 -- 对于icmp端口不可达消息我察看送回包的服务类型(tos)
值。几乎所有实现在这个icmp错误里用0 除了linux 用0xc0。
这不是标准的tos 值，而是一个未使用优先域(afaik) 的一部
分。我不知道为什么如此，但如果他们改成0 我们还能够分辨
旧系统_而且_还能分辨出旧系统和新系统。

分段控制 -- 这是安全网络公司（现在由一帮在nai 的windows 用户
所拥有）的thomas h. ptacek喜爱的技术。它获益于事实即不
同实现经常以不同方式控制覆盖ip段。一些会用新的覆盖旧的
部分，另一些情况中旧的优先。有很多不同可能你可以用来决
定如何重组数据包。我没有加入这一特性因为没有简便的方式
发送ip分段（特别是，在solaris 上是不允许的）。关于覆盖
段的更多信息，可以看ids 的论文(www.secnet.com)

tcp 选项 -- 这简直是泄漏信息的金矿。它的好处在于：
1) 这通常是可选的(哈!):) 所以并非所有实现都支持。
2) 若一个实现发出设置了选项的请求，目标通过设置它在回
应中表示支持。
3) 可以在一个数据包中设置而一次测试所有选项。

nmap发送这些选项的几乎所有可能的包：

window scale=10; nop; max segment size = 265; timestamp; end of ops;

当你得到回应，看看那个选项被送回也就是被支持。一些操作
系统如最近的freebsd 机器支持上面所有的，而其他，如linux 2.0.x
支持的则很少。最近的linux 2.1.x 内核支持上面所有的。另
一方面，它们又有更易受攻击的tcp 序列生成方式。去看看。

即使几个操作系统支持同样的选项集，有时仍可以通过选项的
_值_分辨出它们。例如，如果送一个小的mss值给linux机器，
它会用那个mss 生成一个回答给你。其他主机会给你不同的值。

甚至即使你得到同样的支持选项集和同样得值，你仍可以通过
选项提供的_顺序_和填充字进行辨识，例如solaris返回nntnwme
表示：

而linux 2.2.122返回menntnw。同样的选项，同样的值，但不
同顺序！

没见过其他os检测工具利用tcp 选项，但它非常有用。

因同样原因有其他几个有用的选项我会探测，象那些支持t/tcp
和选择性确认。

开发年代 -- 甚至使用上面所有测试，nmap仍不能从tcp 栈区分win95，
winnt，或win98。这很令人惊讶，尤其是win98 比win95 晚出
现4 年。你可能想它们不得不从某些方面进行改善（象支持更
多的tcp 选项）这样我们可以检测到改变而分辨出它们。不幸
的是，不是这样的。nt的栈显然就是放在95里的蹩脚的东西。
而且到98也没加改动。

但别放弃希望，还有个办法。你可以简单的进行早期的windows
dos 攻击（ping of death, winnuke, 等）而比当时的如teardrop
和land多做一些。就是在每个攻击之后，ping它们看是否垮
掉了。等到你最后crash 掉它们，你就能缩小的某一服务包
或补丁。

这个没加进nmap,尽管我承认它非常诱人:)。

syn洪水限度 -- 一些操作系统会停止新的连接尝试如果你送太多的
伪造syn 给它（伪造包避免你的内核复位连接）。许多操作系
统只能处理8 个包。最近的linux 内核（包括其他操作系统）
允许不同的方式如syn cookie来防止这成为严重问题。所以你
可以试着从伪造地址发8 个包到目标打开的端口再尝试你还能
否建立连接以发现一些信息。这没在nmap中实现因为有人不喜
欢你用syn 洪水，甚至你解释这只是想知道它运行的操作系统
也不能使他们平静。

nmap实现和结果

我已经作了一个上面说的os探测技术的参考实现（除了我说不包括的）。
我把它们加到了我的nmap扫描器这样在分析指纹时它已经知道了什么
端口是打开还是关闭的而不用你再告诉。它也能在linux，*bsd，和
solaris 2.51和2.6，以及其他一些操作系统间移植。

新版的nmap读一个指纹模板文件。下面是语法的例子：

fingerprint irix 6.2 - 6.4 # thanks to lamont granquist
tseq(class=i800)
t1(df=n%w=c000|ef2a%ack=s++%flags=as%ops=mnwnnt)
t2(resp=y%df=n%w=0%ack=s%flags=ar%ops=)
t3(resp=y%df=n%w=c000|ef2a%ack=o%flags=a%ops=nnt)
t4(df=n%w=0%ack=o%flags=r%ops=)
t5(df=n%w=0%ack=s++%flags=ar%ops=)
t6(df=n%w=0%ack=o%flags=r%ops=)
t7(df=n%w=0%ack=s%flags=ar%ops=)
pu(df=n%tos=0%iplen=38%riptl=148%rid=e%ripck=e%uck=e%ulen=134%dat=e)

看第一行（我加了>标记）：

> fingerprint irix 6.2 - 6.3 # thanks to lamont granquist

这简单表明这个指纹覆盖irix版本6.2到6.3而注释表明lamont granquist
友好地送给我测试用irix机器的ip地址或指纹。

> tseq(class=i800)

这表明isn 取样放在"i800组"。这意味着每一个新序列号比前一个大
800的整数倍。

> t1(df=n%w=c000|ef2a%ack=s++%flags=as%ops=mnwnnt)

这个测试叫t1（比test1 聪明吧？）。这个测试我们送一个syn 包带
一组tcp 选项到一个打开的端口。df=n意为回答的"dont fragment"
位必须没有设置。w=c000|ef2a意为收到的窗口特征必须是0xc000 或
ef2a。ack=s++是说响应必须是我们送的序列号加1 。flags=as 意为
ack 和syn 标记在回答中。ops=mnwnnt意为回答的选项必须如此顺序：

> t2(resp=y%df=n%w=0%ack=s%flags=ar%ops=)

测试2 包括一个null及同样选项到一个打开的端口。resp=y表示我们
必须得到一个回答。ops=表示必须没有任何选项包括在回答中。若整
个用%ops=则任何选项都匹配。

> t3(resp=y%df=n%w=400%ack=s++%flags=as%ops=m)

测试3 是一个syn|fin|urg|psh w/options 到一个打开端口。

> t4(df=n%w=0%ack=o%flags=r%ops=)

这是一个到打开端口的ack。注意这儿没有resp=。这意味着缺少回答
（比如包在网络上掉了或被防火墙拦住了）不会妨碍其他测试的匹配。
我们如此是因为实际上所有的os都会回答，所以缺少回答总是网络原
因而不是os本身造成。测试2和3里有resp标记因为有os_确实_丢弃它
们而不回答。

> t5(df=n%w=0%ack=s++%flags=ar%ops=)
> t6(df=n%w=0%ack=o%flags=r%ops=)
> t7(df=n%w=0%ack=s%flags=ar%ops=)

这些测试是syn，ack，和fin|psh|urg，分别地，到一个关闭端口。
总是设置同样的选项。当然这显然给了名字t5, t6, 和 t7 :)。

> pu(df=n%tos=0%iplen=38%riptl=148%rid=e%ripck=e%uck=e%ulen=134%dat=e)

这大家伙是端口不可达消息测试。现在你应该认识df=n了。tos=0 意
为ip服务域类型是0 。下两个域给出（16进制）返回的消息头ip全长
域和ip头中给的全长。rid=e 是说在返回的部分原始包中的rid 值应
和原来的一样（就如我们送出的）。ripck=e 表示没有修改检查和（
改了的话用ripck=f）。uck=e表示udp 检查和也正确。下面的是udp
长度0x134 和dat=e 表示它们正确返回我们的udp 数据。因为大多数
实现（包括这个）不送回任何我们的udp 数据包，它们默认dat=e。

带这个功能的这个版本的nmap正在私下进行第六次beta测试循环。你
读到的时候，也许已经完成，也许没有。访问http://www.insecure.org/nmap/
以得到最新版本。

流行网站快照

下面是我们努力的成果。我们现在可以随机挑选internet网站判断它
使用的os。它们许多修改了telnet标志，等。以使这些信息保密。但
这对我们的新指纹没用！这也是好办法揭露<填上你喜欢的傻os>的用
户是多么的愚蠢。:)

用在这些例子中的命令是：nmap -ss -p 80 -o -v <主机>

也要注意大多数扫描是在98-10-18进行的。那以后一些家伙会升级/
改变了它们的服务器。

注意我并不喜欢这的每个网站。

# "黑客" 网站或(两方都是)自认为是的
www.l0pht.com => openbsd 2.2 - 2.4
www.insecure.org => linux 2.0.31-34
www.rhino9.ml.org => windows 95/nt # 没的说 :)
www.technotronic.com => linux 2.0.31-34
www.nmrc.org => freebsd 2.2.6 - 3.0
www.cultdeadcow.com => openbsd 2.2 - 2.4
www.kevinmitnick.com => linux 2.0.31-34 # free kevin!
www.2600.com => freebsd 2.2.6 - 3.0 beta
www.antionline.com => freebsd 2.2.6 - 3.0 beta
www.rootshell.com => linux 2.0.35 # 改成了 openbsd 在他们得到以后

# 安全提供商，顾问，等
www.repsec.com => linux 2.0.35
www.iss.net => linux 2.0.31-34
www.checkpoint.com => solaris 2.5 - 2.51
www.infowar.com => win95/nt

# os制造商
www.li.org => linux 2.0.35 # linux 国际版
www.redhat.com => linux 2.0.31-34 # 我奇怪它们发行什么 :)
www.debian.org => linux 2.0.35
www.linux.org => linux 2.1.122 - 2.1.126
www.sgi.com => irix 6.2 - 6.4
www.netbsd.org => netbsd 1.3x
www.openbsd.org => solaris 2.6 # 啊嗨 :)
www.freebsd.org => freebsd 2.2.6-3.0 beta

# 学联
www.harvard.edu => solaris 2.6
www.yale.edu => solaris 2.5 - 2.51
www.caltech.edu => sunos 4.1.2-4.1.4 # hello! 这是90年代的 :)
www.stanford.edu => solaris 2.6
www.mit.edu => solaris 2.5 - 2.51 # 这么多好学校喜欢sun?
# 大概是给.edu打40%的折扣 :)
www.berkeley.edu => unix osf1 v 4.0,4.0b,4.0d
www.oxford.edu => linux 2.0.33-34 # 好家伙!

# 残疾网站
www.aol.com => irix 6.2 - 6.4 # 不奇怪它们那么不安全 :)
www.happyhacker.org => openbsd 2.2-2.4 # 病态的, carolyn?
# 甚至最安全的os在不合格的管理员手里也没用

# 其他
www.lwn.net => linux 2.0.31-34 # 这是linux新闻网站!
www.slashdot.org => linux 2.1.122 - 2.1.126
www.whitehouse.gov => irix 5.3
sunsite.unc.edu => solaris 2.6

注意：在它们的安全白皮书中，microsoft 说到它们松懈的安全：“
这种假设已经改变在这些年中windows nt获得普及很大程度上是由于
其安全特性”。喔，从我这里看windows 在安全团体中不是很普遍:)。
从中我只看到2 台windows 机器，而且对nmap来说windows 是_ 容易_
分辨的它太破了（一流的聪明）

当然，有更多需要检查的。这是ultra-secret transmeta公司的网站。
有趣的是该公司主要由微软的paul allen建立，而非其雇员linus torvalds。
那么它们是和paul用nt或者投身到linux革命中去呢？我们看看：

我们用命令：
nmap -ss -f -o transmeta.log -v -o www.transmeta.com/24

neon-best.transmeta.com (206.184.214.10) => linux 2.0.33-34
www.transmeta.com (206.184.214.11) => linux 2.0.30
neosilicon.transmeta.com (206.184.214.14) => linux 2.0.33-34
ssl.transmeta.com (206.184.214.15) => linux unknown version
linux.kernel.org (206.184.214.34) => linux 2.0.35
www.linuxbase.org (206.184.214.35) => linux 2.0.35 可能和上面的是同一台机器

（）

下一篇：安全维护 IIS asp 站点的高级技巧

↓相关文章：