張 琦

廣東藥學(xué)院醫(yī)藥信息工程學(xué)院，廣東 廣州 510006

0 引言

隨著網(wǎng)絡(luò)技術(shù)的迅猛發(fā)展，今天的Internet已經(jīng)從各個(gè)方面改變著人們的工作與生活方式，它已經(jīng)成為我們生活中必不可少的一部分。但與此同時(shí)，黑客們利用網(wǎng)絡(luò)漏洞大肆攻擊入侵網(wǎng)絡(luò)服務(wù)器與私人計(jì)算機(jī)，使網(wǎng)絡(luò)安全與信息安全問(wèn)題日益嚴(yán)峻。因此，為了更好的保護(hù)網(wǎng)絡(luò)不受黑客的攻擊，就必須對(duì)黑客的攻擊方法、攻擊原理及過(guò)程有深入詳細(xì)的了解。而網(wǎng)絡(luò)掃描是黑客攻擊的第一步，他們利用一些網(wǎng)絡(luò)探測(cè)工具對(duì)遠(yuǎn)程計(jì)算機(jī)進(jìn)行掃描，其目的就是精確地判別出遠(yuǎn)程目標(biāo)主機(jī)的操作系統(tǒng)的類(lèi)型與版本、以及查出正在監(jiān)聽(tīng)的端口等等，從而有針對(duì)性地對(duì)其實(shí)施攻擊。

本文具體分析研究了操作系統(tǒng)指紋識(shí)別工具Nmap與Xprobe的工作原理，以及二者在不同操作系統(tǒng)環(huán)境下探測(cè)遠(yuǎn)程目標(biāo)主機(jī)的能力與準(zhǔn)確性。

1 Nmap的介紹

Nmap是一個(gè)免費(fèi)開(kāi)放的網(wǎng)絡(luò)掃描和嗅探工具包，也叫網(wǎng)絡(luò)映射器(Network Mapper)，其基本功能有3個(gè)：一是探測(cè)一組主機(jī)是否在線(xiàn);其次是掃描主機(jī)端口，嗅探所提供的網(wǎng)絡(luò)服務(wù);三是可以推斷主機(jī)所用的操作系統(tǒng)[1]。通常，網(wǎng)絡(luò)管理員利用Nmap來(lái)進(jìn)行網(wǎng)絡(luò)系統(tǒng)安全的評(píng)估，而黑客則用其掃描網(wǎng)絡(luò)，通過(guò)向遠(yuǎn)程主機(jī)發(fā)送探測(cè)數(shù)據(jù)包，獲取主機(jī)的響應(yīng)，并根據(jù)主機(jī)的端口開(kāi)放情況，得到網(wǎng)絡(luò)的安全狀況，尋找存在漏洞的目標(biāo)主機(jī)，從而實(shí)施下一步的攻擊[2]。

1.1 Nmap的工作原理

Nmap使用TCP/IP協(xié)議棧指紋來(lái)準(zhǔn)確地判斷出目標(biāo)主機(jī)的操作類(lèi)型。首先，Nmap通過(guò)對(duì)目標(biāo)主機(jī)進(jìn)行端口掃描，找出有哪些端口正在目標(biāo)主機(jī)上監(jiān)聽(tīng)。當(dāng)偵測(cè)到目標(biāo)主機(jī)上有多于一個(gè)開(kāi)放的TCP端口、一個(gè)關(guān)閉的TCP端口和一個(gè)關(guān)閉的UDP端口時(shí)，Nmap的探測(cè)能力是最好的。然后，Nmap對(duì)目標(biāo)主機(jī)進(jìn)行一系列測(cè)試(如表1)，利用得出的測(cè)試結(jié)果建立相應(yīng)的目標(biāo)主機(jī)的Nmap指紋。最后，將此Nmap指紋與指紋庫(kù)中指紋進(jìn)行查找匹配，從而得出目標(biāo)主機(jī)的操作系統(tǒng)類(lèi)型。

表1

1.2 Nmap的主要掃描類(lèi)型

常用的掃描類(lèi)型有Ping掃描(Ping Sweeping)、端口掃描(Port Scanning) 、隱蔽掃描(Stealth Scanning)、UDP掃描(UDP Scanning)與操作系統(tǒng)識(shí)別(OS Fingerprinting)等等。無(wú)論是對(duì)內(nèi)網(wǎng)還是外網(wǎng)的掃描，Nmap都是很靈活的，且語(yǔ)法非常簡(jiǎn)單，由Nmap的不同選項(xiàng)和-s標(biāo)志組成，下面的例子(圖1)是一個(gè)對(duì)內(nèi)網(wǎng)進(jìn)行的Ping掃描。

圖1

2 Xprobe的介紹

Xprobe2是基于ICMP棧指紋特征的主動(dòng)探測(cè)遠(yuǎn)程操作系統(tǒng)類(lèi)型的工具，通過(guò)主動(dòng)發(fā)送UDP和ICMP請(qǐng)求報(bào)文到目標(biāo)主機(jī)來(lái)觸發(fā)ICMP消息，根據(jù)ICMP消息中網(wǎng)絡(luò)特征值進(jìn)行基于簽名數(shù)據(jù)庫(kù)的模糊匹配以及合理的推測(cè),通過(guò)模糊矩陣統(tǒng)計(jì)分析來(lái)探測(cè)操作系統(tǒng)，從而確定遠(yuǎn)程操作系統(tǒng)的類(lèi)型[3]。

在Xprobe2探測(cè)過(guò)程中，會(huì)發(fā)送不同類(lèi)型的數(shù)據(jù)包到目標(biāo)主機(jī)上，同時(shí)也會(huì)收到目標(biāo)主機(jī)發(fā)送的響應(yīng)數(shù)據(jù)包。當(dāng)每收到響應(yīng)數(shù)據(jù)包時(shí)，都會(huì)根據(jù)該數(shù)據(jù)包的網(wǎng)絡(luò)特征值進(jìn)行打分，來(lái)預(yù)測(cè)是何種操作系統(tǒng)的可能性。例如，3分代表肯定，2分代表有可能是，1分代表有可能不是，0分代表肯定不是。然后，針對(duì)不同的操作系統(tǒng)類(lèi)型i,將每次測(cè)試的得分?jǐn)?shù)進(jìn)行加和，以總分來(lái)判斷遠(yuǎn)程操作系統(tǒng)的類(lèi)型，其判斷的模糊矩陣(如表2)。在整個(gè)探測(cè)過(guò)程中，Xprobe2將依次進(jìn)行三類(lèi)測(cè)試，分別是探索模塊、信息采集模塊和指紋模塊(如表3)。因此，Xprobe2與Nmap的嚴(yán)格匹配操作系統(tǒng)指紋不同，它會(huì)根據(jù)與簽名數(shù)據(jù)庫(kù)探測(cè)數(shù)據(jù)包的特征值推測(cè)出結(jié)果。

表2

表3

3 實(shí)驗(yàn)過(guò)程

在本次測(cè)試中，主要是比較Nmap與Xprobe在6種不同的操作系統(tǒng)環(huán)境下識(shí)別遠(yuǎn)程主機(jī)指紋的能力。實(shí)驗(yàn)過(guò)程會(huì)在兩個(gè)不同的網(wǎng)絡(luò)環(huán)境分別進(jìn)行，一是在校園網(wǎng)的環(huán)境下，二是在ADSL網(wǎng)絡(luò)環(huán)境下。

首先，第1步是隨機(jī)挑選了300個(gè)網(wǎng)站服務(wù)器用于測(cè)試的目標(biāo)主機(jī)，為了使實(shí)驗(yàn)結(jié)果更具普遍性與精確性，這300個(gè)網(wǎng)站分別分布在世界的各個(gè)國(guó)家，包括中國(guó)、澳洲、新加坡、美國(guó)和加拿大等地區(qū)。另外，所選的300個(gè)網(wǎng)址均可在Netcraft網(wǎng)站上得到相應(yīng)服務(wù)器的詳細(xì)信息。

第2步，選擇實(shí)驗(yàn)室中的一臺(tái)機(jī)器作為測(cè)試的主機(jī)，操作系統(tǒng)是Windows XP SP2，連接的網(wǎng)絡(luò)類(lèi)型是校園網(wǎng)。

由于本實(shí)驗(yàn)?zāi)康氖菍?duì)比Nmap與Xprobe在6種不同的操作系統(tǒng)環(huán)境下識(shí)別遠(yuǎn)程主機(jī)操作系統(tǒng)的能力，因此，在主機(jī)上安裝軟件VMware Workstation。VMware是一款功能強(qiáng)大的桌面虛擬計(jì)算機(jī)軟件，可以提供給用戶(hù)在單一的桌面上同時(shí)運(yùn)行不同的操作系統(tǒng)，而不會(huì)影響到主機(jī)原來(lái)的操作系統(tǒng)，也就是說(shuō)不需要重新開(kāi)機(jī)就能在同一主機(jī)上使用幾個(gè)操作系統(tǒng)，非常地方便。

第3步，在VMware中建立虛擬機(jī)，分別安裝了Linux Redhat、 Mac OS、 Solaris 8、Windows 2000、FreeBSD 與Windows Server 2003這6個(gè)操作系統(tǒng)。

第4步，在每個(gè)操作系統(tǒng)中下載并安裝Nmap[4]與Xprobe2[5]，然后分別對(duì)300個(gè)網(wǎng)站服務(wù)器的操作系統(tǒng)類(lèi)型進(jìn)行探測(cè)。

第五步，收集整理數(shù)據(jù)，將探測(cè)結(jié)果與www.netcraft.com上記錄的信息相比較，從而判斷其結(jié)果是否正確。而Netcraft是目前世界上公認(rèn)的最易用、最即時(shí)、最準(zhǔn)確的反釣魚(yú)產(chǎn)品，提供了全球網(wǎng)站方方面面的數(shù)據(jù)調(diào)研與分析服務(wù)。因此，可以相信Netcraft網(wǎng)站上的數(shù)據(jù)信息是可靠的。

第六步，將主機(jī)連接到ADSL網(wǎng)絡(luò)上，重復(fù)實(shí)驗(yàn)一遍，觀察不同的網(wǎng)絡(luò)連接會(huì)否影響Nmap與Xprobe掃描目標(biāo)主機(jī)操作系統(tǒng)的準(zhǔn)確率。

4 實(shí)驗(yàn)結(jié)果與分析

通過(guò)測(cè)試一所得到的數(shù)據(jù)，分別歸納出Nmap與Xprobe各自在6種不同的操作系統(tǒng)環(huán)境下探測(cè)遠(yuǎn)程主機(jī)操作系統(tǒng)的正確率，如圖2、圖3所示。Nmap在操作系統(tǒng)Linux Redhat與FreeBSD環(huán)境下有較高準(zhǔn)確率，分別是69.66%和69.23%,而在Windows 2000環(huán)境下的正確率則是最低的，識(shí)別正確率乃有9.52%。而Xprobe在Linux Redhat環(huán)境下有最高的正確率，達(dá)85.52%，最低的則是在Solaris 8環(huán)境下，準(zhǔn)確率僅為22.86%。總體來(lái)說(shuō)，Nmap與Xprobe在不同的操作系統(tǒng)環(huán)境下掃描識(shí)別遠(yuǎn)程主機(jī)指紋的能力是不一樣的，例如Nmap在Windows 2000下識(shí)別的能力很弱，準(zhǔn)確率僅為9.52%，而Xprobe在Windows 2000下則有著較高的識(shí)別能力，正確率達(dá)到47.62%,雖然這個(gè)結(jié)果也不是很理想，但由此我們得出，對(duì)于在Windows 2000這個(gè)操作系統(tǒng)下，利用Xprobe指紋識(shí)別工具有較高的準(zhǔn)確性與可信性。

圖2

而由測(cè)試二得出結(jié)果來(lái)看，如圖4、圖5，它們分別比較了Nmap與Xprobe在校園網(wǎng)與ADSL這兩種網(wǎng)絡(luò)下，各自探測(cè)遠(yuǎn)程操作系統(tǒng)的正確率(準(zhǔn)確率1——ADSL，準(zhǔn)確率2——校園網(wǎng))?？偟膩?lái)看，在ADSL網(wǎng)絡(luò)環(huán)境下，Nmap會(huì)取得比在校園網(wǎng)時(shí)更高的準(zhǔn)確率，尤其是在FreeBSD系統(tǒng)下，準(zhǔn)確率增加了11%。而Xprobe在這兩種網(wǎng)絡(luò)環(huán)境中的準(zhǔn)確率差異則并不很大。造成這樣原因可能是由于ADSL的網(wǎng)速比校園網(wǎng)的要穩(wěn)定，在探測(cè)遠(yuǎn)程目標(biāo)主機(jī)時(shí)，不易發(fā)生丟失數(shù)據(jù)包或延時(shí)發(fā)/收數(shù)據(jù)包的情況，所以在ADSL網(wǎng)絡(luò)環(huán)境下會(huì)取得更可靠、更準(zhǔn)確的結(jié)果。

圖3

圖4

圖5

5 結(jié)論

目前，Nmap與Xprobe是很流行的探測(cè)遠(yuǎn)程主機(jī)操作系統(tǒng)的工具，并且被黑客廣泛使用，因此，有必要對(duì)這兩種工具進(jìn)行分析研究，掌握它們的工作原理，以及歸納總結(jié)二者各自的特點(diǎn)。本文一方面分析比較了Nmap與Xprobe這兩個(gè)工具，另一方面通過(guò)實(shí)驗(yàn)測(cè)試，分別比較了這兩個(gè)工具在不同的操作系統(tǒng)環(huán)境下識(shí)別遠(yuǎn)程主機(jī)指紋的能力。希望能為將來(lái)開(kāi)發(fā)遠(yuǎn)程系統(tǒng)指紋技術(shù)提供一些思路與啟發(fā)，設(shè)計(jì)出識(shí)別能力更強(qiáng)，更穩(wěn)定的操作系統(tǒng)指紋識(shí)別工具。

[1]http://baike.baidu.com/view/77455.htm.

[2]唐蕓,周學(xué)君.網(wǎng)絡(luò)掃描技術(shù)與安全防御策略研究[J].計(jì)算機(jī)與數(shù)字工程,2008,36(4):90-93.

[3]馬君亮,何聚厚,馮德民.基于NDIS的Anti-Xprobe2實(shí)現(xiàn)技術(shù)研究[J].航空計(jì)算技術(shù),2006,36(2):67-73.

[4]http://insecure.org/nmap.

[5]http://xprobe.sourceforge.net/.