我收到了网络管理员的以下消息
校园 nessus 扫描仪的扫描检测到上述设备正在运行 Ubuntu 11.10
是否实际上可以通过远程扫描来检测发行版?
答案1
我不能 100% 确定 nessus 如何获得您正在运行的 Linux 发行版,但一般来说答案是肯定的,如果系统不安全但可以按照从原始安装介质安装的方式运行,它可以找到很多有关您的系统的信息。
Nessus 本质上会攻击默认系统安装中已知的开放端口。无论是 Linux 还是其他 Unix 或 Redmond 最好的操作系统,nessus 都会尝试利用开放端口。
本文件位于nessus 博客可以比我更好地解释操作系统确定操作。
答案2
简短的回答:是的。
ftp、ident 或 webservers 等多种服务会显示操作系统 + 版本。例如,404 站点有时会包含 web 服务器的名称、域名、端口和操作系统。
为了进一步解释您的情况,我们需要有关正在运行的服务和您打开的端口的更多信息。听到您所说的“上述设备”是什么意思也很有趣。
答案3
是的。操作系统有网络指纹。
答案4
许多服务通过通信协议透露有关自身的信息。在某些情况下,这是建立通信的重要部分。鉴于大多数发行版都是基于二进制的,这意味着用户很可能永远不会篡改二进制文件来隐藏有关服务的信息(哎呀,即使发行版是基于源代码的,用户也不会费心)。
编制“已知服务名称”列表并使用 nmap 来识别操作系统非常容易。
我敢打赌,只要对各种操作系统上的 IP/TCP 实现有足够的了解,就可以仅使用来自“安全”服务的 TCP 响应来确定操作系统的内核版本。仔细想想,甚至 ping 响应也可以有签名。
对于致力于此类活动(获取远程主机访问权限)的人来说,识别可行目标是首要且最简单的任务。我从未想过这些事情,通过仔细搜索,很容易找到大量示例,例如:
$ nmap -sV -vv -PN eee.lan
Starting Nmap 6.01 ( http://nmap.org ) at 2013-04-05 23:57 ope
Initiating ARP Ping Scan at 23:57
Scanning eee.lan (10.3.0.7) [1 port]
Initiating SYN Stealth Scan at 23:57
Scanning eee.lan (10.3.0.7) [1000 ports]
Discovered open port 80/tcp on 10.3.0.7
Discovered open port 445/tcp on 10.3.0.7
Discovered open port 139/tcp on 10.3.0.7
Discovered open port 22/tcp on 10.3.0.7
Discovered open port 111/tcp on 10.3.0.7
Initiating Service scan at 23:57
Scanning 5 services on eee.lan (10.3.0.7)
Initiating RPCGrind Scan against eee.lan (10.3.0.7) at 23:57
NSE: Script scanning 10.3.0.7.
Nmap scan report for eee.lan (10.3.0.7)
rDNS record for 10.3.0.7: eee.lan
Scanned at 2013-04-05 23:57:46 ope for 11s
PORT STATE SERVICE VERSION
22/tcp open ssh OpenSSH 5.8p1-hpn13v10lpk (protocol 2.0)
80/tcp open http bozohttpd 20100621
111/tcp open rpcbind (rpcbind V2-4) 2-4 (rpc #100000)
139/tcp open netbios-ssn Samba smbd 3.X (workgroup: MYGROUP)
445/tcp open netbios-ssn Samba smbd 3.X (workgroup: MYGROUP)
MAC Address: 00:26:18:97:B7:0B (Asustek Computer)
Read data files from: C:\Program Files (x86)\Nmap
Nmap done: 1 IP address (1 host up) scanned in 12.42 seconds
Raw packets sent: 1001 (44.028KB) | Rcvd: 1001 (40.048KB)
这里有趣的信息是:OpenSSH 5.8p1-hpn13v10lpk仅凭这一点就能让别人猜出我运行的是什么操作系统。只需搜索“hpn13v10lpk”...