十、操作系統探測 · Nmap 參考指南

## 十、操作系統探測 Nmap 最著名的功能之一是用 TCP/IP 協議棧 fingerprinting 進行遠程操作系統探測。 Nmap 發送一系列 TCP 和 UDP 報文到遠程主機，檢查響應中的每一個比特。在進行一打測試如 TCP ISN 采樣，TCP 選項支持和排序，IPID 采樣，和初始窗口大小檢查之后， Nmap 把結果和數據庫 nmap-os-fingerprints 中超過 1500 個已知的操作系統的 fingerprints 進行比較如果有匹配就打印出操作系統的詳細信息每個 fingerprint 包括一個自由格式的關于 OS 的描述文本和一個分類信息，它提供供應商名稱(如 Sun)，下面的操作系統(如 Solaris)，OS 版本(如 10)，和設備類型(通用設備，路由器，switch，游戲控制臺，等)。如果 Nmap 不能猜出操作系統，并且有些好的已知條件(如至少發現了一個開放端口和一個關閉端口)，Nmap 會提供一個 URL，如果您確知運行的操作系統，您可以把 fingerprint 提交到那個 URL。這樣您就擴大了 Nmap 的操作系統知識庫，從而讓每個 Nmap 用戶都受益。操作系統檢測可以進行其它一些測試，這些測試可以利用處理過程中收集到的信息。例如運行時間檢測，使用 TCP 時間戳選項(RFC 1323) 來估計主機上次重啟的時間，這僅適用于提供這類信息的主機。另一種是 TCP 序列號預測分類，用于測試針對遠程主機建立一個偽造的 TCP 連接的可能難度。這對于利用基于源 IP 地址的可信關系(rlogin，防火墻過濾等) 或者隱含源地址的攻擊非常重要。這一類哄騙攻擊現在很少見，但一些主機仍然存在這方面的漏洞。實際的難度值基于統計采樣，因此可能會有一些波動。通常采用英國的分類較好，如“worthy challenge”或者 “trivial joke”。在詳細模式(-v)下只以普通的方式輸出，如果同時使用 -O，還報告 IPID 序列產生號。很多主機的序列號是“增加”類別，即在每個發送包的 IP 頭中增加 ID 域值，這對一些先進的信息收集和哄騙攻擊來說是個漏洞。 [http://www.insecure.org/nmap/osdetect/](http://www.insecure.org/nmap/osdetect/) 文檔使用多種語言描述了版本檢測的方式、使用和定制。采用下列選項啟用和控制操作系統檢測: `-O` (啟用操作系統檢測) 也可以使用`-A` 來同時啟用操作系統檢測和版本檢測。 `--osscan-limit` (針對指定的目標進行操作系統檢測) 如果發現一個打開和關閉的 TCP 端口時，操作系統檢測會更有效。采用這個選項，Nmap 只對滿足這個條件的主機進行操作系統檢測，這樣可以節約時間，特別在使用-P0 掃描多個主機時。這個選項僅在使用 -O 或-A 進行操作系統檢測時起作用。 `--osscan-guess; --fuzzy` (推測操作系統檢測結果) 當 Nmap 無法確定所檢測的操作系統時，會盡可能地提供最相近的匹配，Nmap 默認進行這種匹配，使用上述任一個選項使得 Nmap 的推測更加有效。