【文章內(nèi)容簡(jiǎn)介】 獲取服務(wù)類型的辦法是根據(jù) RFC1700直接推斷 。 但是下面幾種 情況可能會(huì)使這項(xiàng)工作變得稍微有些麻煩： 252。該主機(jī)將某服務(wù)故意開設(shè)了非標(biāo)準(zhǔn)端口； 252。該主機(jī)開設(shè)了一個(gè) RFC1700中未定義的服務(wù)； 252。該主機(jī)被安臵了后門程序 。 所以有時(shí)候僅憑端口號(hào)來判斷服務(wù)類型是不夠的 ， 可能 需要更多的信息 。 3. 操作系統(tǒng)探測(cè) 利用 TCP/IP堆棧指紋識(shí)別操作系統(tǒng)是近年來發(fā)展迅 速的一類技術(shù)。這類技術(shù)的出現(xiàn)主要基于以下幾個(gè)原因： ?? 每個(gè)操作系統(tǒng)通常都使用自己的 IP棧實(shí)現(xiàn)； ?? TCP/IP規(guī)范并不是被嚴(yán)格地執(zhí)行，每個(gè)不同的實(shí)現(xiàn)將會(huì)擁有自己的特點(diǎn)； ?? 規(guī)范中一些選擇性的特性可能在某些系統(tǒng)中使用，而在其他的一些系統(tǒng)中則沒有使用； ?? 某些系統(tǒng)私自對(duì) IP協(xié)議做了改進(jìn)。目前主要的網(wǎng)絡(luò)堆棧特征探測(cè)技術(shù)有如下幾種： ICMP響應(yīng)分析、 TCP報(bào)文響應(yīng)分析、 TCP報(bào)文延時(shí) 分析、被動(dòng)特征探測(cè)。 （ 1） ICMP響應(yīng)分析 這種方法向目標(biāo)發(fā)送 UDP或者 ICMP報(bào)文，然后分 析目標(biāo)響應(yīng)的 ICMP報(bào)文的內(nèi)容，根據(jù)不同的響應(yīng)特征 來判斷操作系統(tǒng)。 前面已經(jīng)介紹過， ICMP數(shù)據(jù)報(bào)是封裝在 IP數(shù)據(jù)報(bào) 之內(nèi)的，而且這種判斷操作系統(tǒng)的方法也利用了 IP頭 部的字段內(nèi)容，所以在具體說明這種方法使用的技術(shù) 之前，有必要先熟悉一下 IP數(shù)據(jù)報(bào)的頭部。 其中需要注意的是服務(wù)級(jí)別 TOS、總長(zhǎng)度、標(biāo)識(shí)、 DF位、生存期 TTL和校驗(yàn)和字段。 下面分別說明 ICMP響應(yīng)分析方法使用的具體技術(shù)。 ① ICMP差錯(cuò)報(bào)文引用大小。 ICMP的規(guī)則之一是 ICMP差錯(cuò)報(bào)文必須包括生成該差錯(cuò)報(bào)文的數(shù)據(jù)報(bào) IP頭部（包含任何選項(xiàng)），還必須至少包括跟在該 IP頭部后面的前 8個(gè)字節(jié)。 圖顯示了由 UDP數(shù)據(jù)報(bào)引起的 ICMP端口不可到達(dá)差錯(cuò) 報(bào)文。 圖 “ UDP端口不可到達(dá)”差錯(cuò)報(bào)文 3. 操作系統(tǒng)探測(cè) 導(dǎo)致差錯(cuò)的數(shù)據(jù)報(bào)中的 IP頭部要被送回的原因是 IP頭部中包含了協(xié)議字段，使得 ICMP可以知道如何解 釋后面的 8個(gè)字節(jié)（在圖 UDP頭部）。 大多數(shù)操作系統(tǒng)都只返回產(chǎn)生差錯(cuò)的數(shù)據(jù)報(bào)的 IP 頭部后的前 8個(gè)字節(jié)，然而有一些操作系統(tǒng)在這 8個(gè)字 節(jié)之后還返回更多的字節(jié)（這些字節(jié)通常是沒有任何 意義的）。 這樣的系統(tǒng)包括 Linux（內(nèi)核 ）、 SUN Solaris、 HPUX 、 MacOS 、 Nokia系統(tǒng)、 Foundry交換機(jī)和其他一些操作系統(tǒng)或者 網(wǎng)絡(luò)設(shè)備。 ② ICMP差錯(cuò)報(bào)文回顯完整性。 一般而言，在發(fā)送 ICMP差錯(cuò)報(bào)文時(shí)，差錯(cuò)報(bào)文的數(shù)據(jù)部 分，只有產(chǎn)生差錯(cuò)的數(shù)據(jù)報(bào) IP頭部的 TTL字段和 IP頭部校驗(yàn) 和字段會(huì)與初始報(bào)文不同，因?yàn)槌跏紙?bào)文到達(dá)目標(biāo)之前會(huì)經(jīng)過一系列的路由設(shè)備，而每經(jīng)過一個(gè)設(shè)備 TTL都會(huì)減一，相應(yīng)的校驗(yàn)和也要重新計(jì)算。 然而實(shí)際情況是，有些操作系統(tǒng)會(huì)改變產(chǎn)生差錯(cuò)的數(shù)據(jù)報(bào) IP頭部的其他字段的內(nèi)容和 /或后面數(shù)據(jù)的內(nèi)容。 如果用 UDP數(shù)據(jù)報(bào)產(chǎn)生的端口不可到達(dá)差錯(cuò)報(bào)文來進(jìn)行分 析，可以利用的特點(diǎn)包括下面一些內(nèi)容： IP數(shù)據(jù)報(bào)總長(zhǎng)度 AIX BSDI IP棧會(huì)將 產(chǎn)生差錯(cuò)的數(shù)據(jù)報(bào) IP頭部的總長(zhǎng)度字段加上 20，而另一些系統(tǒng)會(huì)將這個(gè)字段的數(shù)值減少 20，更多的系統(tǒng)會(huì)保持這個(gè)字段的內(nèi)容不變。 IP數(shù)據(jù)報(bào)標(biāo)識(shí)（ IPID） FreeBSD 、 OpenVMSs和 ULTRIX等系統(tǒng)的 IP棧不能正確回顯產(chǎn)生差錯(cuò)數(shù)據(jù)報(bào)的 IPID，它們回顯的 IPID的位順序和初始順序不同。其他 更多的系統(tǒng)則能夠正確回顯 IPID字段。 分段標(biāo)志（ 3位）和片偏移有一些系統(tǒng)會(huì)改變產(chǎn)生差 錯(cuò)的數(shù)據(jù)報(bào)頭部中 3位分段標(biāo)志和片偏移字段的位順序， 而另一些系統(tǒng)只能正確回顯。 IP頭部校驗(yàn)和 FreeBSD 、 OpenVMSs和 ULTRIX等 系統(tǒng)會(huì)將產(chǎn)生差錯(cuò)的數(shù)據(jù)報(bào) IP頭部的校驗(yàn)和字段臵為 0， 而大多數(shù)的系統(tǒng)只是將重新計(jì)算的校驗(yàn)和回顯。 UDP頭部校驗(yàn)和 FreeBSD 、 Compaq Tru6 DG UX 、 AIX 、 ULTRIX和 OpenVMS等系統(tǒng) 會(huì)將差錯(cuò)報(bào)文中的 UDP頭部的校驗(yàn)和字段臵為 0。另外的 一些系統(tǒng)則會(huì)保持 UDP校驗(yàn)和不變。 ③ ICMP差錯(cuò)報(bào)文的“優(yōu)先權(quán)”字段。 IP頭部中有一個(gè) 8位的 TOS字段， TOS字段包括一個(gè) 3位的優(yōu) 先權(quán)字段、 4位的 TOS子字段和一位必須臵 0的未用位，如圖 Ipuuee頭部的 TOS字段。 ④ ICMP差錯(cuò)報(bào)文 IP頭部的不分片 （ DF） 位 。 有一些操作系統(tǒng)在發(fā)送 ICMP差錯(cuò)報(bào)文時(shí) ， 會(huì)根據(jù)引起差錯(cuò)的數(shù)據(jù)報(bào)的 IP頭部的 DF位來設(shè)臵差錯(cuò)報(bào)文本身 IP頭部的 DF位 。 Linux 、 ULTRIX 、 Novell Netware 、 HPUX 、Windows98/98SE/ME、 Windows NT4 Server SP Windows 2023 Family等系統(tǒng)則不會(huì)這么做 。 ⑤ ICMP報(bào)文 IP頭部的 TTL字段 。 不同的操作系統(tǒng)在設(shè)臵 ICMP報(bào)文 IP頭部的 TTL字段時(shí)有不同的默認(rèn)值 。 而且一般來講 ， ICMP應(yīng)答報(bào)文和 ICMP查詢報(bào)文的 TTL還不一樣 。 例如 ， Windows 95應(yīng)答報(bào)文和查詢報(bào)文的 TTL都是32Windows 98/98SE/ME/NT4應(yīng)答報(bào)文的 TTL是 12 查詢報(bào)文的 TTL是 32； Windows 2023應(yīng)答報(bào)文和查詢報(bào)文的 TTL都是 128。 ⑥ 使用代碼字段不為 0的 ICMP回顯請(qǐng)求 。 ICMP報(bào)文的種類由第一個(gè)字節(jié) （ 類型字段 ） 和第二個(gè)字節(jié) （ 代碼字段 ） 決定 。 回顯請(qǐng)求的類型字段為 8， 默認(rèn)的代碼字段為 0。 如果把回顯請(qǐng)求的代碼字段設(shè)臵為非 0值 ， 這樣的回顯請(qǐng)求就不是標(biāo)準(zhǔn)的 ICMP報(bào)文了 。 對(duì)于這樣的回顯請(qǐng)求報(bào)文 ，Windows操作系統(tǒng)做出的回顯應(yīng)答 （ 類型為 0） 的代碼字段值為 0， 而其他系統(tǒng)和網(wǎng)絡(luò)設(shè)備做出的回顯應(yīng)答的代碼字段值和它收到的回顯請(qǐng)求中的代碼字段值相同 。 ⑦ TOS子字段回顯 。 RFC1349定義了 ICMP報(bào)文使用 TOS子字段的方法 。 其中 區(qū)分了差錯(cuò)報(bào)文 、 查詢報(bào)文和應(yīng)答報(bào)文的不同使用方法 ，規(guī) 則是： ?差錯(cuò)報(bào)文總是使用默認(rèn)值 0； ?查詢報(bào)文可以在 TOS子字段中使用任何值； ?應(yīng)答報(bào)文應(yīng)該在 TOS子字段中使用造成應(yīng)答的查詢報(bào)文中使用的 TOS值 。 ?? 然而有些操作系統(tǒng) （ 例如 Linux） 在發(fā)送回顯應(yīng)答報(bào)文時(shí)忽視了這項(xiàng)規(guī)定 ， 無論查詢報(bào)文使用何種 TOS值 ， 它的應(yīng)答報(bào)文的 TOS值都是一樣的 。