资讯

精准传达 • 有效沟通

从品牌网站建设到网络营销策划,从策略到执行的一站式服务

Satori指纹识别原理及dhcp分析是怎样的

这期内容当中小编将会给大家带来有关Satori指纹识别原理及dhcp分析是怎样的,文章内容丰富且以专业的角度为大家分析和叙述,阅读完这篇文章希望大家可以有所收获。Satori是被动识别中的一款独树一帜的软件,和ettercap等软件不同,它专门采用dhcp进行识别。本文通过对satori进行测试、读源码对其识别机制进行简单的分析,并在最后一部分对Satori开发者的paper进行了解读。

为站前等地区用户提供了全套网页设计制作服务,及站前网站建设行业解决方案。主营业务为成都网站设计、网站制作、站前网站设计,以传统方式定制建设网站,并提供域名空间备案等一条龙服务,秉承以专业、用心的态度为用户提供真诚的服务。我们深信只要达到每一位用户的要求,就会得到认可,从而选择与我们长期合作。这样,我们也可以走得更远!

解压后有如下几个文件

Satori指纹识别原理及dhcp分析是怎样的

其中,dhcp.xml和tcp.xml在下文会详细分析,p0f.fp,p0fa.fp是和p0f的指纹库相同的,稍微了解即可,如下所示。 P0f.fp是分析syn指纹

Satori指纹识别原理及dhcp分析是怎样的

P0fa.fp是分析synack的指纹

Satori指纹识别原理及dhcp分析是怎样的

运行测试一下

Satori指纹识别原理及dhcp分析是怎样的

1和149都是win7,但是没有非常精确地识别出来 因为我命令里加了-d,所以会打印出指纹,猜想应该是根据收到的数据包对比指纹库,然后给出结果

Satori指纹识别原理及dhcp分析是怎样的

以192.168.96.1为例

Satori指纹识别原理及dhcp分析是怎样的

[12] 表明可能属于该系统的权重,值越大,越有可能 该数字来源于dhcp.xml中给出的特征及权重 在dhcp.xml中找到vista的指纹

Satori指纹识别原理及dhcp分析是怎样的

结合上一张截图,第一条

Satori指纹识别原理及dhcp分析是怎样的

,权重为5 第二条

Satori指纹识别原理及dhcp分析是怎样的

,权重为5 第三条

Satori指纹识别原理及dhcp分析是怎样的

,权重为2 5+5+2=12;所以192.168.96.1为vista的权重为12 在试一下windows2000,验证一下猜想 Windows2000的指纹如图

Satori指纹识别原理及dhcp分析是怎样的

它所有特征中只匹配

Satori指纹识别原理及dhcp分析是怎样的

Satori指纹识别原理及dhcp分析是怎样的

权重加起来是7 我又测了一台centos

Satori指纹识别原理及dhcp分析是怎样的

Satori没有猜测出可能是什么系统 我手动在指纹库中匹配,也没有找到

结合抓包分析

Satori指纹识别原理及dhcp分析是怎样的

以192.168.96.1为例 在探测时,输出的是

Satori指纹识别原理及dhcp分析是怎样的

对应satori.pcap第一个包

Satori指纹识别原理及dhcp分析是怎样的

Option分别是53,61,12,60,55,255(末尾,可忽略) 命中指纹库中的

Satori指纹识别原理及dhcp分析是怎样的

Satori指纹识别原理及dhcp分析是怎样的

Option55展开,分别是1,15,3,6,44,46,47,31,33,121,249,43,252 命中指纹库中的

Satori指纹识别原理及dhcp分析是怎样的

Option60展开 Vendorclass identifier为MSFT5.0

Satori指纹识别原理及dhcp分析是怎样的

命中指纹库

Satori指纹识别原理及dhcp分析是怎样的

所以vista的权重为5+5+2=12 结合DHCP协议分析: DHCP一共有8种报文,分别为DHCPDiscover、DHCPOffer、DHCPRequest、DHCPACK、DHCPNAK、DHCPRelease、DHCPDecline、DHCPInform。各种类型报文的基本功能如下:

Satori指纹识别原理及dhcp分析是怎样的

以这次抓到的流量来看,有三种报文,分别是DHCPRqeuest,DHCP ACK,DHCP Inform. 只分析DHCPInform的option

Satori指纹识别原理及dhcp分析是怎样的

53表示报文类型 RFC2132(https://tools.ietf.org/html/rfc2132?spm=a2c4e.11153940.blogcont491032.62.60a34540ToTPN5)可以看到type为8表示inform

Satori指纹识别原理及dhcp分析是怎样的

Satori指纹识别原理及dhcp分析是怎样的

61(RFC2132)是客户端ID,DHCP客户端使用此选项指定其唯一标识符,可以包含硬件类型和硬件地址

Satori指纹识别原理及dhcp分析是怎样的

Satori指纹识别原理及dhcp分析是怎样的

12(RFC2132)表示hostname,指定客户端名称

Satori指纹识别原理及dhcp分析是怎样的

Satori指纹识别原理及dhcp分析是怎样的

60被用来选择性地标识DHCP客户端的供应商类型和配置

Satori指纹识别原理及dhcp分析是怎样的

Satori指纹识别原理及dhcp分析是怎样的

这里存在如下对应关系 MSFT5.0 <--> windows dhcpcd4.0.1 <--> 安卓2.2 dhcpcd4.0.15 <--> 安卓3.0 dhcpcd-5.2.10<--> 安卓4.0 dhcpcd-5.2.10:Linux-3.0.13:armv7l:MT6577<--> 小米手机 dhcpcd-5.5.6<--> 安卓4.2 udhcp1.19.4 <--> 极路由或其它路由器 55被用来请求指定配置参数的值。请求的参数列表指定为n个八位字节,其中每个八位字节是RFC2312中定义的有效DHCP选项代码

Satori指纹识别原理及dhcp分析是怎样的

Satori指纹识别原理及dhcp分析是怎样的

255表示有效信息的结束

Satori指纹识别原理及dhcp分析是怎样的

Satori指纹识别原理及dhcp分析是怎样的

开发Satori的人写了篇paper介绍如何通过dhcp数据包被动识别os指纹(http://chatteronthewire.org/papers.htm,chatter-dhcp.pdf),这部分是我根据paper写出理解后的笔记: 对于被动指纹识别而言,DHCP的一个优点就是它是广播包,当一个dhcp客户端要加入时,他们会向所有人发送广播(所以在wireshark抓到的包中目的地址是255.255.255.255)。 作者首先介绍了最麻烦的方案: 利用捕获中显示的数据包的实际时间,每个DHCP数据包之间的差异,数据包的类型,存储在SecondsElapsed字段中的值以及该数据包集合上的TransactionID等等来区分操作系统,如windows95和windows98等版本的比较

Satori指纹识别原理及dhcp分析是怎样的

Satori指纹识别原理及dhcp分析是怎样的

Satori指纹识别原理及dhcp分析是怎样的

Satori指纹识别原理及dhcp分析是怎样的

Satori指纹识别原理及dhcp分析是怎样的

Satori指纹识别原理及dhcp分析是怎样的

再介绍了简单的方案: 通过options识别操作系统。

Satori指纹识别原理及dhcp分析是怎样的

首先介绍通过option55(Satori最主要的方案): 利用选项55中请求的参数以及请求它们的顺序来识别操作系统 比如window各个版本的差异

Satori指纹识别原理及dhcp分析是怎样的

Fedora和centos的

Satori指纹识别原理及dhcp分析是怎样的

由于很多linux底层dhcp堆栈相同,如下图所示

Satori指纹识别原理及dhcp分析是怎样的

使用option55不足以识别,所以针对linux,作者提出可以加以option51(客户希望的租用时间),option57(告诉DHCP服务器它可以接受的DHCP数据包的大小)辅助。 然后又介绍了通过其他options辅助识别os option61,用作将客户端链接到其租约的唯一标识符 可用于识别MSRRAS服务器

Satori指纹识别原理及dhcp分析是怎样的

上图是一台MSRRAS Server,value等于01+ RAS + ‘ ‘ + MAC + 000000000000 而下图是一台思科的设备

Satori指纹识别原理及dhcp分析是怎样的

Option77是用户类信息,它通常用于帮助识别某种类型的计算机或用户类别 比如下图

Satori指纹识别原理及dhcp分析是怎样的

接着介绍从PXEboot中进行区分

Satori指纹识别原理及dhcp分析是怎样的

相关的option包括: Option93,客户端系统的架构;通过option93可以识别底层硬件

Satori指纹识别原理及dhcp分析是怎样的

Satori指纹识别原理及dhcp分析是怎样的

Option94,客户端网络设备接口

Satori指纹识别原理及dhcp分析是怎样的

最后作者指出,可以利用租约信息来进行识别 可以观察当租约到期时,有多少操作系统实际更新了他们的IP地址,哪些等待直到下次重启来识别。 下面是继续使用ip地址的系统

Satori指纹识别原理及dhcp分析是怎样的

下面是当前已经拥有地址,然后发送dhcprenewel请求的系统

Satori指纹识别原理及dhcp分析是怎样的

上述就是小编为大家分享的Satori指纹识别原理及dhcp分析是怎样的了,如果刚好有类似的疑惑,不妨参照上述分析进行理解。如果想知道更多相关知识,欢迎关注创新互联行业资讯频道。


本文题目:Satori指纹识别原理及dhcp分析是怎样的
文章分享:http://cdkjz.cn/article/jgosep.html
多年建站经验

多一份参考,总有益处

联系快上网,免费获得专属《策划方案》及报价

咨询相关问题或预约面谈,可以通过以下方式与我们联系

大客户专线   成都:13518219792   座机:028-86922220