操作系统指纹识别 – 作者:jordanx

对于普通人来说，我们通常会记录电脑的硬件配置， 但不会去记录电脑的软件信息。而在网络安全从业人员看来， 电脑运行了什么操作系统， 是否存在安全漏洞更值得被关注。

办公网络中的设备都安装了哪些操作系统，可以通过TCP/IP堆栈指纹识别技术来探测。这种技术的特点是操作更加便捷，只需要目标主机联网即可。

TCP/IP协议

TCP/IP堆栈指纹识别技术是基于TCP/IP协议来实现的，主要是TCP/IP四层模型中网络层的IP协议和传输层的TCP协议。操作系统为了实现网络功能，一般由操作系统来实现传输层、网络层、链路层协议， 而由专门的应用软件来支持相关的应用层协议，如安装QQ软件才能支持QQ协议，这样的实现方式为TCP/IP堆栈指纹技术提供了前提。

TCP/IP堆栈指纹识别

大部分公开网络协议都会以RFC文档的形式公布，其中包括了TCP/IP堆栈指纹识别技术所用到TCP协议和IP协议。协议中有些协议值是固定的，如IP协议中的Protocl字段，它表示IP层的有效载荷(即上层数据)是由什么协议构成的。

IP协议的Initial TTL和TCP协议的Window Size这两个字段值在不同操作系统下会存在不同的初始值。

Initial TTL字段和window size字段在不同操作系统的差异

TCP协议和IP协议在不同操作系统中体现的细微差异，可以组合成TCP/IP堆栈的指纹特征，每个指纹都代表着一种操作系统在网络活动上的特征。

实践Nmap

Nmap 是一款用于网络发现和安全审计的网络安全工具，其内部也集成了TCP/IP堆栈指纹特征识别技术，其以公开提交的方式收集了大量的TCP/IP堆栈指纹特征和操作系统的对应关系。如下图所示，利用Nmap工具可以识别出相应的操作系统。

Nmap使用示例

齐安应用

齐安科技的工业安全评估系统中便使用了上述TCP/IP堆栈指纹特征识别技术，并结合了其他技术手段来提高识别的准确率和多样性。

齐安公司工业安全评估系统的资产评估模块，以工业控制系统中各资产为对象进行安全评估，主要包括工业控制设备、网络通信设备、安全防护设备、工作站、服务器等。通过对资产进行安全评估，可以识别出资产的设备厂商名称、版本、型号以及漏洞等相关信息，最终形成整个系统的资产评估结果。

操作系统指纹识别是漏洞扫描及漏洞挖掘的前提，得到了操作系统的详细信息，可以更精准地保护工控系统，减少工控安全事件的发生。

来源：freebuf.com 2020-07-28 13:43:40 by: jordanx