摘要: 对于普通人来说,我们通常会记录电脑的硬件配置, 但不会去记录电脑的软件信息。而在网络安全从业人员看来, 电脑运行了什么操作系统, 是否存在安全漏洞更值得被关注。 办公网络中的设备都安装了哪些操作系统,可以通过TCP/IP堆栈指纹识别技术来探测。这种技术的特点是...
对于普通人来说,我们通常会记录电脑的硬件配置, 但不会去记录电脑的软件信息。而在网络安全从业人员看来, 电脑运行了什么操作系统, 是否存在安全漏洞更值得被关注。
办公网络中的设备都安装了哪些操作系统,可以通过TCP/IP堆栈指纹识别技术来探测。这种技术的特点是操作更加便捷,只需要目标主机联网即可。
TCP/IP协议
TCP/IP堆栈指纹识别技术是基于TCP/IP协议来实现的,主要是TCP/IP四层模型中网络层的IP协议和传输层的TCP协议。操作系统为了实现网络功能,一般由操作系统来实现传输层、网络层、链路层协议, 而由专门的应用软件来支持相关的应用层协议,如安装QQ软件才能支持QQ协议,这样的实现方式为TCP/IP堆栈指纹技术提供了前提。
TCP/IP堆栈指纹识别
大部分公开网络协议都会以RFC文档的形式公布,其中包括了TCP/IP堆栈指纹识别技术所用到TCP协议和IP协议。协议中有些协议值是固定的,如IP协议中的Protocl字段,它表示IP层的有效载荷(即上层数据)是由什么协议构成的。
IP协议的Initial TTL和TCP协议的Window Size这两个字段值在不同操作系统下会存在不同的初始值。
Initial TTL字段和window size字段在不同操作系统的差异
TCP协议和IP协议在不同操作系统中体现的细微差异,可以组合成TCP/IP堆栈的指纹特征,每个指纹都代表着一种操作系统在网络活动上的特征。
实践Nmap
Nmap 是一款用于网络发现和安全审计的网络安全工具,其内部也集成了TCP/IP堆栈指纹特征识别技术,其以公开提交的方式收集了大量的TCP/IP堆栈指纹特征和操作系统的对应关系。如下图所示,利用Nmap工具可以识别出相应的操作系统。
Nmap使用示例
齐安应用
齐安科技的工业安全评估系统中便使用了上述TCP/IP堆栈指纹特征识别技术,并结合了其他技术手段来提高识别的准确率和多样性。
齐安公司工业安全评估系统的资产评估模块,以工业控制系统中各资产为对象进行安全评估,主要包括工业控制设备、网络通信设备、安全防护设备、工作站、服务器等。通过对资产进行安全评估,可以识别出资产的设备厂商名称、版本、型号以及漏洞等相关信息,最终形成整个系统的资产评估结果。
操作系统指纹识别是漏洞扫描及漏洞挖掘的前提,得到了操作系统的详细信息,可以更精准地保护工控系统,减少工控安全事件的发生。