作業系統指紋識別

1 Banner抓取

2 TCP 和 ICMP 常規指紋識別技術

TCP資料報格式

ICMP首部格式

TTL與TCP視窗大小

FIN探測

BOGUS flag 探測

TCP ISN 抽樣

IPID 抽樣

TCP Timestamp

ACK值

ICMP錯誤資訊

DHCP

3 資料包重傳延時技術

4 使用Nmap進行作業系統探測..

一般性探測

指定網路掃描型別.

設定掃描條件

推測結果.

5 使用Xprobe2進行作業系統探測

6 使用p0f進行作業系統探測

7 使用miranda進行作業系統探測

1 作業系統指紋識別

識別目標主機的作業系統，首先，可以幫助我們進一步探測作業系統級別的漏洞從而可以從這一級別進行滲透測試。其次，作業系統和建築在本系統之上的應用一般是成套出現的，例如LAMP或者LNMP。作業系統的版本也有助於我們準確定位服務程式或者軟體的版本，比如windows server 2003 搭載的IIS為6.0，windows server 2008 R2 搭載的是IIS7.5。

作業系統指紋識別技術多種多樣，這裡我簡要介紹我所知道的幾種常用技術，不會具體深入到細節中，若您感興趣可自己查閱資料。

1 Banner抓取

Banner抓取是最基礎、最簡單的指紋識別技術，而且在不需要其他專門的工具的情況下就可以做。操作簡單，通常獲取的資訊也相對準確。

嚴格的講，banner抓取是應用程式指紋識別而不是作業系統指紋識別。Banner資訊並不是作業系統本身的行為，是由應用程式自動返回的，比如apache、exchange。而且很多時候並不會直接返回作業系統資訊，幸運的話，可能會看到服務程式本身的版本資訊，並以此進行推斷。

凡事皆有利弊，越是簡單的方法越容易被防禦，這種方法奏效的成功率也越來越低了。

先來看一個直接Banner抓取的例子。

在上圖中，直接telnet 80埠，在返回的伺服器banner資訊中，看到“Server: Microsoft-HTTPAPI/2.0”的字樣。

在IIS中使用ISAPI擴充套件後，經常會看到這樣的Banner。下表可以幫助我們識別作業系統：

Server Header Value	Windows Server Version
Microsoft-HTTPAPI/2.0	Windows 2003 Sp2, Windows 7, Windows 2008, Windows 2008 R2
Microsoft-HTTPAPI/1.0	Windows 2003

如果沒有ISAPI攔截，我們可能會看到如下圖的資訊，

準確的IIS版本，會幫助我們更準確的判斷作業系統，可以參考下表：

IIS Version	Windows Server Version
IIS 5.0	Windows 2000
IIS 5.1	Windows XP
IIS 6.0	Windows 2003
IIS 7.0	Windows 2008, Windows Vista
IIS 7.5	Windows 2008 R2, Windows 7

對於asp.net站點，通常會看到“X-Powered-By”字樣，會指示.net 版本，但是這對判斷作業系統版本幫助不大。

其他web伺服器如apache、nginx，除非直接輸出作業系統版本，否則根據服務程式版本無法推斷作業系統版本。配置不當的服務可能會輸出如下資訊：

HTTP/1.1 200 OK

Date: Mon, 16 Jun 2003 02:53:29 GMT

Server: Apache/1.3.3 (Unix) (Red Hat/Linux)

Last-Modified: Wed, 07 Oct 1998 11:18:14 GMT

ETag: “1813-49b-361b4df6”

Accept-Ranges: bytes

Content-Length: 1179

Connection: close

Content-Type: text/html

有經驗的管理員都會修改banner或者禁止輸出banner資訊，比如下面的測試：

我們可以看到圖中目標站點並未輸出任何banner資訊。

除了web伺服器程式，很多ftp、smtp服務也會返回banner資訊。在2.3節《服務程式指紋識別》一節中，還會講解Banner抓取，本節就簡要介紹到這裡。

2 TCP 和 ICMP 常規指紋識別技術

正常而言，作業系統對TCP/IP的實現，都是嚴格遵從RFC文件的，因為必須遵從相同的協議才能實現網路通訊。但是在具體實現上還是有略微的差別，這些差別是在協議規範之內所允許的，大多數作業系統指紋識別工具都是基於這些細小的差別進行探測分析的。

如果您不熟悉TCP/IP協議，那麼可以查詢資料或者跳過這一部分，不影響對工具的使用。

為了節省篇幅，不影響實踐學習，我只是簡單列出使用的技術，並未深入。

TCP資料報格式

tcp 頭

中間的標誌位（flags）就是用於協議的一些機制的實現的位元位大家可以看到有6位元，它們依次如下：

 URG、ACK、PSH、RST、SYN、FIN。

 URG表示緊急指標欄位有效；

 ACK置位表示確認號欄位有效；

 PSH表示當前報文需要請求推（push）操作；

 RST置位表示復位TCP連線；

 SYN用於建立TCP連線時同步序號；

 FIN用於釋放TCP連線時標識傳送方位元流結束。

源埠（Sequence Number）和目的埠：各為16位元，用於表示應用層的連線。源埠表示產生資料包的應用層程序，而目的埠則表示資料包所要到達的目的程序。

序列號：為32位元，表示資料流中的位元組數。序列號為首位元組在整個資料流中的位置。初始序列號隨機產生，並在連線建立階段予以同步。

確認號：表示序號為確認號減去1的資料包及其以前的所有資料包已經正確接收，也就是說他相當於下一個準備接收的位元組的序號。

頭部資訊：4位元，用於指示資料起始位置。由於TCP包頭中可選項的長度可變，因此整個包頭的長度不固定。如果沒有附加欄位，則TCP資料包基本長度為20位元組。

視窗：16位，表示源端主機在請求接收端等待確認之前需要接收的位元組數。它用於流量控制，視窗大小根據網路擁塞情況和資源可用性進行增減。

校驗位：16位。用於檢查TCP資料包頭和資料的一致性。

緊急指標：16位。當URG碼有效時只向緊急資料位元組。

可選項：存在時表示TCP包頭後還有另外的4位元組資料。TCP常用的選項為最大資料包（並非整個TCP報文）MSS。每一個TCP段都包含一個固定的20位元組的段頭。TCP段頭由20位元組固定頭和一些可選項組成。實際資料部分最多可以有65495（65535－20－20＝65495）位元組。

ICMP首部格式

icmp首部

對於上圖中的Data部分，不同的ICMP型別，會拆分成不同的格式，這裡就不一一介紹了。

TTL與TCP視窗大小

下表是幾個典型的作業系統的TTL和TCP視窗的大小數值。

Operating System	Time To Live	TCP Window Size
Linux (Kernel 2.4 and 2.6)	64	5840
Google Linux	64	5720
FreeBSD	64	65535
Windows XP	128	65535
Windows Vista and 7 (Server 2008)	128	8192
iOS 12.4 (Cisco Routers)	255	4128

產生上表中資料差別的主要原因在於RFC文件對於TTL和滑動視窗大小並沒有明確的規定。另外需要注意的是，TTL即時在同一系統下，也總是變化的，因為路由裝置會修改它的值。

基於TTL與TCP視窗大小的作業系統探測需要監聽網路，抓取資料包進行分析，這種方法通常被稱之為被動分析。

FIN探測

在RFC793中規定FIN資料包被接收後，主機不傳送響應資訊。但是很多系統由於之前的固有實現，可能會發送一個RESET響應。比如MS Windows, BSDI, CISCO, HP/UX, MVS, 和IRIX。

BOGUS flag 探測

傳送一個帶有未定義FLAG的 TCP SYN資料包，不同的作業系統會有不同的響應。比如Linux 2.0.35之前的系統會在響應包中報告未定義的FLAG。

TCP ISN 抽樣

TCP連線的初始序列號（ISN），是一個隨機值，但是不同的作業系統的隨機方式不一樣，還有的作業系統每次的ISN都是相同的。針對ISN做多次抽樣然後比對規律可以識別作業系統型別。

IPID 抽樣

IP標識是用來分組資料包分片的標誌位，和ISN一樣，不同的作業系統初始化和增長該標識值的方式也不一樣。

TCP Timestamp

有的作業系統不支援該特性，有的作業系統以不同的更新頻率來更新時間戳，還有的作業系統返回0。

ACK值

在不同場景下，不同的請求，作業系統對ACK的值處理方式也不一樣。比如對一個關閉的埠傳送資料包，有的作業系統ACK+1，有的系統則不變。

ICMP錯誤資訊

ICMP錯誤資訊是作業系統指紋識別的最重要手段之一，因為ICMP本身具有多個型別，而錯誤資訊又是每個作業系統在小範圍內可以自定義的。

DHCP

DHCP本身在RFC歷史上經歷了1541、2131、2132、4361、4388、4578多個版本，使得應用DHCP進行作業系統識別成為可能。

3資料包重傳延時技術

之所以把資料包延時重傳技術單獨拿出來，是因為相對於上面說的技術，它屬於新技術，目前大多數系統都沒有針對該方法做有效的防禦。但是基於該技術的工具也不是很成熟，這裡希望引起讀者的重視或者激發你對該技術的熱情。

對於在2.2.2節中介紹的技術，很大程度上受到網路環境、防火牆、入侵檢測系統的影響。那麼資料包重傳延時技術能解決這些問題嗎？

由於資料包丟失，或者網路阻塞，TCP資料包重傳屬於正常情況。為了識別重複的資料包，TCP協議使用相同的ISN和ACK來確定接收的資料包。

包重傳的延時由重傳定時器決定，但是確定一種合適的延時演算法比較困難，這是源於以下原因：

確認訊號的延遲在實際網路環境中是可變的；

傳輸的分段或確認訊號可能丟失，使得估計往返時間有誤。

TCP採用了自適應的重傳演算法，以適應互連網路中時延的變化．該演算法的基本思想是通過最近的時延變化來不斷修正原有的時延樣本，RFC中並沒有明確具體如何執行。

由於不同作業系統會選擇採用自己的重傳延遲演算法，這就造成了通過分析各系統重發包的延遲來判斷其作業系統型別的可能性，如果各作業系統的重傳延遲相互存在各異性，那麼就很容易將它們彼此區分開來。

由於此種技術，採用標準的TCP資料包，一般情況下可以有效的躲過防火牆和入侵檢測系統。但是目前基於此種技術的工具還很少。

4 使用Nmap進行作業系統探測

一般性探測

使用Nmap進行作業系統識別最簡單的方法為使用-O引數，如下是我對內網掃描的幾個資料。

nmap -O 192.168.1.1/24

上面的命令表示對192.168.1.1 所在網段的C類255個ip進行作業系統版本探測。

對192.168.1.1的掃描結果（1.1是Tp-link路由器）：

MAC Address: A8:15:4D:85:4A:30 (Tp-link Technologies Co.)

Device type: general purpose

Running: Linux 2.6.X

OS CPE: cpe:/o:linux:linux_kernel:2.6

OS details: Linux 2.6.23 - 2.6.38

Network Distance: 1 hop

對192.168.1.101的掃描結果（實際為android系統手機）：

MAC Address: 18:DC:56:F0:65:E0 (Yulong Computer Telecommunication Scientific(shenzhen)Co.)

No exact OS matches for host (If you know what OS is running on it, see http://nmap.org/submit/ ).

TCP/IP fingerprint:

OS:SCAN(V=6.40%E=4%D=12/27%OT=7800%CT=1%CU=39712%PV=Y%DS=1%DC=D%G=Y%M=18DC5

OS:6%TM=52BD035E%P=x86_64-unknown-linux-gnu)SEQ(SP=100%GCD=1%ISR=109%TI=Z%C

OS:I=Z%II=I%TS=7)OPS(O1=M5B4ST11NW6%O2=M5B4ST11NW6%O3=M5B4NNT11NW6%O4=M5B4S

OS:T11NW6%O5=M5B4ST11NW6%O6=M5B4ST11)WIN(W1=7120%W2=7120%W3=7120%W4=7120%W5

OS:=7120%W6=7120)ECN(R=Y%DF=Y%T=40%W=7210%O=M5B4NNSNW6%CC=Y%Q=)T1(R=Y%DF=Y%

OS:T=40%S=O%A=S+%F=AS%RD=0%Q=)T2(R=N)T3(R=N)T4(R=Y%DF=Y%T=40%W=0%S=A%A=Z%F=

OS:R%O=%RD=0%Q=)T5(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=0%Q=)T6(R=Y%DF=Y%T

OS:=40%W=0%S=A%A=Z%F=R%O=%RD=0%Q=)T7(R=Y%DF=Y%T=40%W=0%S=Z%A=S+%F=AR%O=%RD=

OS:0%Q=)U1(R=Y%DF=N%T=40%IPL=164%UN=0%RIPL=G%RID=G%RIPCK=G%RUCK=G%RUD=G)IE(

OS:R=Y%DFI=N%T=40%CD=S)

從上面的結果可以看出，nmap對android系統識別率不高。

對192.168.1.102的結果如下（實際系統為windows 7 sp1）：

Device type: general purpose

Running: Microsoft Windows 7

OS CPE: cpe:/o:microsoft:windows_7::- cpe:/o:microsoft:windows_7::sp1

OS details: Microsoft Windows 7 SP0 - SP1

對192.168.1.106的探測結果如下（實際系統為ios 5.0）：

MAC Address: CC:78:5F:82:98:68 (Apple)

Device type: media device|phone

Running: Apple iOS 4.X|5.X|6.X

OS CPE: cpe:/o:apple:iphone_os:4 cpe:/a:apple:apple_tv:4 cpe:/o:apple:iphone_os:5 cpe:/o:apple:iphone_os:6

OS details: Apple Mac OS X 10.8.0 - 10.8.3 (Mountain Lion) or iOS 4.4.2 - 6.1.3 (Darwin 11.0.0 - 12.3.0)

對192.168.1.106的探測結果如下（實際為蘋果一體機、windows7 sp1）：

MAC Address: 7C:C3:A1:A7:EF:8E (Apple)

Too many fingerprints match this host to give specific OS details

對192.168.1.119的探測結果如下（實際為windows server 2008 r2,vmware虛擬機器）：

MAC Address: 00:0C:29:AA:75:3D (VMware)

Device type: general purpose

Running: Microsoft Windows 7|2008

OS CPE: cpe:/o:microsoft:windows_7::- cpe:/o:microsoft:windows_7::sp1 cpe:/o:microsoft:windows_server_2008::sp1 cpe:/o:microsoft:windows_8

OS details: Microsoft Windows 7 SP0 - SP1, Windows Server 2008 SP1, or Windows 8

Network Distance: 1 hop

對192.168.1.128探測結果如下（centOS 6.4，VMware虛擬機器）：

MAC Address: 00:0C:29:FE:DD:13 (VMware)

Device type: general purpose

Running: Linux 3.X

OS CPE: cpe:/o:linux:linux_kernel:3

OS details: Linux 3.0 - 3.9

指定網路掃描型別

nmap支援以下掃描型別：

l -sS/sT/sA/sW/sM: TCP SYN/Connect()/ACK/Window/Maimon

l -sN/sF/sX: TCP Null, FIN, and Xmas

l –scanflags : Customize TCP scan flags

l -sI

5 使用Xprobe2進行作業系統探測

Xprobe2是一款使用ICMP訊息進行作業系統探測的軟體，探測結果可以和Nmap互為參照。但是該軟體目前公開版本為2005年的版本，對老的作業系統探測結果較為準確，新系統則無能為力了。

下面命令為xprobe2簡單用法：

xprobe2 -v www.iprezi.cn

結果如下：

6 使用p0f進行作業系統探測

p0f是一款被動探測工具，通過分析網路資料包來判斷作業系統型別。目前最新版本為3.06b。同時p0f在網路分析方面功能強大，可以用它來分析NAT、負載均衡、應用代理等。

p0f的命令引數很簡單，基本說明如下：

l -f fname指定指紋資料庫 (p0f.fp) 路徑，不指定則使用預設資料庫。

l -i iface 指定監聽的網絡卡。

l -L 監聽所有可用網路。

l -r fname 讀取由抓包工具抓到的網路資料包檔案。

l -o fname 附加之前監聽的log檔案，只有同一網絡卡的log檔案才可以附加合併到本次監聽中來。

l -d 以後臺程序方式執行p0f ;

l -u user 以指定使用者身份執行程式，工作目錄會切換到到當前使用者根目錄下；

l -p 設定 –i引數指定的網絡卡為混雜模式；

l -S num 設定API併發數，預設為20，上限為100；

l -m c,h 設定最大網路連線數和同時追蹤的主機數 (預設值: c = 1,000, h = 10,000).

l -t c,h 設定連線超時時間

下面使用如下命令進行測試：

p0f -i eth0 –p

上面命令的含義為監聽網絡卡eth0，並開啟混雜模式。這樣會監聽到每一個網路連線，部分結果摘錄如下：

p0f監聽結果1

p0f監聽結果2

在p0f監聽結果2圖中，檢測的結果我windows7或8，對比下nmap的結果為windows7，實際該機器系統為 windows7 sp1。

nmap檢測結果

p0f監聽結果3

在p0f監聽結果3圖中，捕獲的資料是瀏覽器傳送的請求資料，我們可以看到瀏覽器請求資訊中“Windows NT 6.1; WOW64; Trident/7.0; rv:11.0”的字樣，從這段UserAgent中，可以看出發出請求的系統為windows7 64位，IE11。

7 使用miranda進行作業系統探測

miranda工具是一個通過UPNP功能來探測主機資訊的工具，並不限於探測作業系統。下面我們通過一個例項，演示如何使用miranda。

在終端輸入如下命令：

miranda -v -i eth0

上面的命令是指定開啟網絡卡eth0，返回結果如下：

miranda提示輸入開啟upnp的主機，現在我們不知道哪臺主機開啟了upnp，輸入命令“msearch”，會自動搜尋upnp主機，

接著我們會看到掃描到的upnp主機：

按 CTRL +C終止掃描，輸入host list。

可以看到蒐集的主機列表，然後使用host get [index]命令可以檢視該主機的upnp裝置列表。

使用host info [index]檢視主機詳細資訊。

從上圖資訊可以看到，這是一臺TP-Link路由器。同樣的方法，檢視一臺windows 7主機。

小結

本節大致羅列了作業系統識別的常用技術和典型工具。因為本書是實踐性質的，所以沒有對指紋識別技術做深入的講解。

基於資料包延時重傳技術的工具，筆者只知道RING和Cron-OS，但是這兩款工具沒有整合到Kali Linux 中，同時也很久沒有更新，故沒有做介紹。