home *** CD-ROM | disk | FTP | other *** search
/ Steganos Hacker Tools / SHT151.iso / programme / scanner / nmapNTsp1 / Win_2000.exe / nmapNT-src / docs / nmap-fingerprinting-article.txt < prev    next >
Encoding:
Text File  |  2000-05-08  |  29.4 KB  |  619 lines
  1.  
  2.  
  3.      Remote OS detection via TCP/IP Stack FingerPrinting
  4.         by Fyodor <fyodor@dhp.com> (www.insecure.org)
  5.                October 18, 1998
  6.  
  7.  
  8. ABSTRACT
  9.  
  10. This paper discusses how to glean precious information about a host by
  11. querying its TCP/IP stack.  I first present some of the "classical"
  12. methods of determining host OS which do not involve stack
  13. fingerprinting.  Then I describe the current "state of the art" in
  14. stack fingerprinting tools.  Next comes a description of many
  15. techniques for causing the remote host to leak information about
  16. itself.  Finally I detail my (nmap) implementation of this, followed
  17. by a snapshot gained from nmap which discloses what OS is running on
  18. many popular Internet sites.
  19.  
  20.  
  21. REASONS
  22.  
  23. I think the usefulness of determining what OS a system is running is
  24. pretty obvious, so I'll make this section short.  One of the strongest
  25. examples of this usefulness is that many security holes are dependent
  26. on OS version.  Lets say you are doing a penetration test and you find
  27. port 53 open.  If this is a vulnerable version of Bind, you only get
  28. one chance to exploit it since a failed attempt will crash the daemon.
  29. With a good TCP/IP fingerprinter, you will quickly find that this
  30. machine is running 'Solaris 2.51' or 'Linux 2.0.35' and you can adjust
  31. your shellcode accordingly.
  32.  
  33. A worse possibility is someone scanning 500,000 hosts in advance to
  34. see what OS is running and what ports are open.  Then when someone
  35. posts (say) a root hole in Sun's comsat daemon, our little cracker
  36. could grep his list for 'UDP/512' and 'Solaris 2.6' and he immediately
  37. has pages and pages of rootable boxes.  It should be noted that this
  38. is SCRIPT KIDDIE behavior.  You have demonstrated no skill and nobody
  39. is even remotely impressed that you were able to find some vulnerable
  40. .edu that had not patched the hole in time.  Also, people will be even
  41. _less_ impressed if you use your newfound access to deface the
  42. department's web site with a self-aggrandizing rant about how damn
  43. good you are and how stupid the sysadmins must be.
  44.  
  45. Another possible use is for social engineering.  Lets say that you are
  46. scanning your target company and nmap reports a 'Datavoice TxPORT
  47. PRISM 3000 T1 CSU/DSU 6.22/2.06'.  The hacker might now call up as
  48. 'Datavoice support' and discuss some issues about their PRISM 3000.
  49. "We are going to announce a security hole soon, but first we want all
  50. our current customers to install the patch -- I just mailed it to you
  51. ..."  Some naive administrators might assume that only an authorized
  52. engineer from Datavoice would know so much about their CSU/DSU.
  53.  
  54. Another potential use of this capability is evaluation of companies
  55. you may want to do business with.  Before you choose a new ISP, scan
  56. them and see what equipment is in use.  Those "$99/year" deals don't
  57. sound nearly so good when you find out they have crappy routers and
  58. offer PPP services off a bunch of Windows boxes.
  59.  
  60.  
  61. CLASSICAL TECHNIQUES
  62.  
  63. Stack fingerprinting solves the problem of OS identification in a
  64. unique way.  I think this technique holds the most promise, but there
  65. are currently many other solutions.  Sadly, this is still one the most
  66. effective of those techniques:
  67.  
  68. playground~> telnet hpux.u-aizu.ac.jp
  69. Trying 163.143.103.12...
  70. Connected to hpux.u-aizu.ac.jp.
  71. Escape character is '^]'.
  72.  
  73. HP-UX hpux B.10.01 A 9000/715 (ttyp2)
  74.  
  75. login: 
  76.  
  77. There is no point going to all this trouble of fingerprinting if the
  78. machine will blatantly announce to the world exactly what it is
  79. running!  Sadly, many vendors ship _current_ systems with these kind
  80. of banners and many admins do not turn them off.  Just because there
  81. are other ways to figure out what OS is running (such as
  82. fingerprinting), does not mean we should just announce our OS and
  83. architecture to every schmuck who tries to connect.
  84.  
  85. The problems with relying on this technique are that an increasing
  86. number of people are turning banners off, many systems don't give much
  87. information, and it is trivial for someone to "lie" in their banners.
  88. Nevertheless, banner reading is all you get for OS and OS Version
  89. checking if you spend $thousands on the commercial ISS scanner.
  90. Download nmap or queso instead and save your money :).
  91.  
  92. Even if you turn off the banners, many applications will happily give
  93. away this kind of information when asked.  For example lets look at an
  94. FTP server:
  95.  
  96. payfonez> telnet ftp.netscape.com 21
  97. Trying 207.200.74.26...
  98. Connected to ftp.netscape.com.
  99. Escape character is '^]'.
  100. 220 ftp29 FTP server (UNIX(r) System V Release 4.0) ready.
  101. SYST
  102. 215 UNIX Type: L8 Version: SUNOS
  103.  
  104. First of all, it gives us system details in its default banner.  Then
  105. if we give the 'SYST' command it happily feeds back even more information.
  106.  
  107. If anon FTP is supported, we can often download /bin/ls or other
  108. binaries and determine what architecture it was built for.
  109.  
  110. Many other applications are too free with information.  Take web
  111. servers for example:
  112.  
  113. playground> echo 'GET / HTTP/1.0\n' | nc hotbot.com 80 | egrep '^Server:' 
  114. Server: Microsoft-IIS/4.0
  115. playground>
  116.  
  117. Hmmm ... I wonder what OS those lamers are running.
  118.  
  119. Other classic techniques include DNS host info records (rarely
  120. effective) and social engineering.  If the machine is listening on
  121. 161/udp (snmp), you are almost guaranteed a bunch of detailed info
  122. using 'snmpwalk' from the CMU SNMP tools distribution and the 'public'
  123. community name.
  124.  
  125.  
  126. CURRENT FINGERPRINTING PROGRAMS
  127.  
  128.  
  129. Nmap is not the first OS recognition program to use TCP/IP
  130. fingerprinting.  The common IRC spoofer sirc by Johan has included
  131. very rudimentary fingerprinting techniques since version 3 (or
  132. earlier).  It attempts to place a host in the classes "Linux",
  133. "4.4BSD", "Win95", or "Unknown" using a few simple TCP flag tests.
  134.  
  135. Another such program is checkos, released publicly in January of this
  136. year by Shok in Confidence Remains High Issue #7.
  137. The fingerprinting techniques are exactly the same as SIRC, and even
  138. the _code_ is identical in many places.  Checkos was privately
  139. available for a long time prior to the public release, so I have no
  140. idea who swiped code from whom.  But neither seems to credit the
  141. other.  One thing checkos does add is telnet banner checking, which is
  142. useful but has the problems described earlier.  [ Update:  Shok wrote in
  143. to say that chekos was never intended to be public and this is why he 
  144. didn't bother to credit SIRC for some of the code. ]
  145.  
  146. Su1d also wrote an OS checking program.  His is called SS and as of
  147. Version 3.11 it can identify 12 different OS types.  I am somewhat
  148. partial to this one since he credits my nmap program for some of the
  149. networking code :).
  150.  
  151. Then there is queso.  This program is the newest and it is a huge leap
  152. forward from the other programs.  Not only do they introduce a couple
  153. new tests, but they were the first (that I have seen) to move the
  154. OS fingerprints _out_ of the code.  The other scanners included code like:
  155.  
  156. /* from ss */
  157. if ((flagsfour & TH_RST) && (flagsfour & TH_ACK) && (winfour == 0) && 
  158.    (flagsthree & TH_ACK))
  159.        reportos(argv[2],argv[3],"Livingston Portmaster ComOS");
  160.  
  161. Instead, queso moves this into a configuration file which obviously
  162. scales much better and makes adding an OS as easy as appending a few
  163. lines to a fingerprint file.
  164.  
  165. Queso was written by Savage, one of the fine folks at Apostols.org .
  166.  
  167. One problem with all the programs describe above is that they are very
  168. limited in the number of fingerprinting tests which limits the
  169. granularity of answers.  I want to know more than just 'this machine
  170. is OpenBSD, FreeBSD, or NetBSD', I wish to know exactly which of those
  171. it is as well as some idea of the release version number.  In the same
  172. way, I would rather see 'Solaris 2.6' than simply 'Solaris'.  To
  173. achieve this response granularity, I worked on a number of
  174. fingerprinting techniques which are described in the next section.
  175.  
  176. FINGERPRINTING METHODOLOGY
  177.  
  178. There are many, many techniques which can be used to fingerprint
  179. networking stacks.  Basically, you just look for things that differ
  180. among operating systems and write a probe for the difference.  If you
  181. combine enough of these, you can narrow down the OS very tightly.  For
  182. example nmap can reliably distinguish Solaris 2.4 vs. Solaris 2.5-2.51
  183. vs Solaris 2.6.  It can also tell Linux kernel 2.0.30 from 2.0.31-34
  184. or 2.0.35.  Here are some techniques:
  185.  
  186. The FIN probe -- Here we send a FIN packet (or any packet without an
  187.     ACK or SYN flag) to an open port and wait for a response.  The
  188.     correct RFC793 behavior is to NOT respond, but many broken
  189.     implementations such as MS Windows, BSDI, CISCO, HP/UX, MVS, and
  190.     IRIX send a RESET back.  Most current tools utilize this
  191.     technique.
  192.  
  193. The BOGUS flag probe -- Queso is the first scanner I have seen to use
  194.     this clever test.  The idea is to set an undefined TCP "flag" ( 64
  195.     or 128) in the TCP header of a SYN packet.  Linux boxes prior to
  196.     2.0.35 keep the flag set in their response.  I have not found any
  197.     other OS to have this bug.  However, some operating systems seem
  198.     to reset the connection when they get a SYN+BOGUS packet.  This 
  199.     behavior could be useful in identifying them.
  200.             
  201. TCP ISN Sampling -- The idea here is to find patterns in the initial
  202.     sequence numbers chosen by TCP implementations when responding to
  203.     a connection request.  These can be categorized in to many groups
  204.     such as the traditional 64K (many old UNIX boxes), Random
  205.     increments (newer versions of Solaris, IRIX, FreeBSD, Digital
  206.     UNIX, Cray, and many others), True "random" (Linux 2.0.*, OpenVMS,
  207.     newer AIX, etc).  Windows boxes (and a few others) use a "time
  208.     dependent" model where the ISN is incremented by a small fixed
  209.     amount each time period.  Needless to say, this is almost as
  210.     easily defeated as the old 64K behavior.  Of course my favorite
  211.     technique is "constant".  The machines ALWAYS use the exact same
  212.     ISN :).  I've seen this on some 3Com hubs (uses 0x803) and Apple
  213.     LaserWriter printers (uses 0xC7001).
  214.  
  215.     You can also subclass groups such as random incremental by
  216.     computing variances, greatest common divisors, and other functions
  217.     on the set of sequence numbers and the differences between the
  218.     numbers.
  219.  
  220.     It should be noted that ISN generation has important security
  221.     implications.  For more information on this, contact "security
  222.     expert" Tsutomu "Shimmy" Shimomura at SDSC and ask him how he was
  223.     owned.  Nmap is the first program I have seen to use this for OS
  224.     identification.
  225.  
  226. Don't Fragment bit -- Many operating systems are starting to set the
  227.     IP "Don't Fragment" bit on some of the packets they send.  This
  228.     gives various performance benefits (though it can also be annoying
  229.     -- this is why nmap fragmentation scans do not work from Solaris
  230.     boxes).  In any case, not all OS's do this and some do it in
  231.     different cases, so by paying attention to this bit we can glean
  232.     even more information about the target OS.  I haven't seen this
  233.     one before either.
  234.  
  235. TCP Initial Window -- This simply involves checking the window size on
  236.     returned packets.  Older scanners simply used a non-zero window on
  237.     a RST packet to mean "BSD 4.4 derived".  Newer scanners such as
  238.     queso and nmap keep track of the exact window since it is actually
  239.     pretty constant by OS type.  This test actually gives us a lot of
  240.     information, since some operating systems can be uniquely
  241.     identified by the window alone (for example, AIX is the only OS I
  242.     have seen which uses 0x3F25).  In their "completely rewritten"
  243.     TCP stack for NT5, Microsoft uses 0x402E.  Interestingly, that is
  244.     exactly the number used by OpenBSD and FreeBSD.
  245.  
  246. ACK Value -- Although you would think this would be completely
  247.     standard, implementations differ in what value they use for the
  248.     ACK field in some cases.  For example, lets say you send a
  249.     FIN|PSH|URG to a closed TCP port.  Most implementations will set
  250.     the ACK to be the same as your initial sequence number, though
  251.     Windows and some stupid printers will send your seq + 1.  If you
  252.     send a SYN|FIN|URG|PSH to an open port, Windows is very
  253.     inconsistent.  Sometimes it sends back your seq, other times it
  254.     sends S++, and still other times is sends back a seemingly random
  255.     value.  One has to wonder what kind of code MS is writing that
  256.     changes its mind like this.
  257.  
  258. ICMP Error Message Quenching -- Some (smart) operating systems follow
  259.     the RFC 1812 suggestion to limit the rate at which various error
  260.     messages are sent.  For example, the Linux kernel (in
  261.     net/ipv4/icmp.h) limits destination unreachable message generation
  262.     to 80 per 4 seconds, with a 1/4 second penalty if that is
  263.     exceeded.  One way to test this is to send a bunch of packets to
  264.     some random high UDP port and count the number of unreachables
  265.     received.  I have not seen this used before, and in fact I have
  266.     not added this to nmap (except for use in UDP port scanning).
  267.     This test would make the OS detection take a bit longer since you
  268.     need to send a bunch of packets and wait for them to return.  Also
  269.     dealing with the possibility of packets dropped on the network
  270.     would be a pain.
  271.  
  272. ICMP Message Quoting -- The RFCs specify that ICMP error messages
  273.     quote some small amount of an ICMP message that causes various
  274.     errors.  For a port unreachable message, almost all
  275.     implementations send only the required IP header + 8 bytes back.
  276.     However, Solaris sends back a bit more and Linux sends back even
  277.     more than that.  The beauty with this is it allows nmap to
  278.     recognize Linux and Solaris hosts even if they don't have any
  279.     ports listening.
  280.  
  281. ICMP Error message echoing integrity -- I got this idea from something
  282.    Theo De Raadt (lead OpenBSD developer) posted to
  283.    comp.security.unix.  As mentioned before, machines have to send
  284.    back part of your original message along with a port unreachable
  285.    error.  Yet some machines tend to use your headers as 'scratch
  286.    space' during initial processing and so they are a bit warped by
  287.    the time you get them back.  For example, AIX and BSDI send back an
  288.    IP 'total length' field that is 20 bytes too high.  Some BSDI,
  289.    FreeBSD, OpenBSD, ULTRIX, and VAXen fuck up the IP ID that you sent
  290.    them.  While the checksum is going to change due to the changed
  291.    TTL anyway, there are some machines (AIX, FreeBSD, etc.) which send
  292.    back an inconsistent or 0 checksum.  Same thing goes with the UDP
  293.    checksum.  All in all, nmap does nine different tests on the ICMP
  294.    errors to sniff out subtle differences like these.
  295.  
  296. Type of Service -- For the ICMP port unreachable messages I look at
  297.    the type of service (TOS) value of the packet sent back.  Almost
  298.    all implementations use 0 for this ICMP error although Linux uses
  299.    0xC0.  This does not indicate one of the standard TOS values, but instead is
  300.    part of the unused (AFAIK) precedence field.  I do not know why
  301.    this is set, but if they change to 0 we will be able to keep
  302.    identifying the old versions _and_ we will be able to identify
  303.    between old and new.
  304.  
  305. Fragmentation Handling -- This is a favorite technique of Thomas
  306.    H. Ptacek of Secure Networks, Inc (now owned by a bunch of Windows
  307.    users at NAI).  This takes advantage of the fact that different
  308.    implementations often handle overlapping IP fragments differently.
  309.    Some will overwrite the old portions with the new, and in other
  310.    cases the old stuff has precedence.  There are many different
  311.    probes you can use to determine how the packet was reassembled.  I
  312.    did not add this capability since I know of no portable way to send
  313.    IP fragments (in particular, it is a bitch on Solaris).  For more
  314.    information on overlapping fragments, you can read their IDS paper
  315.    (www.secnet.com).
  316.  
  317. TCP Options -- These are truly a gold mine in terms of leaking
  318.     information.  The beauty of these options is that:
  319.     1) They are generally optional (duh!) :) so not all hosts implement
  320.        them.
  321.     2) You know if a host implements them by sending a query with an
  322.        option set. The target generally show support of the option by
  323.        setting it on the reply.
  324.     3) You can stuff a whole bunch of options on one packet to test
  325.        everything at once.
  326.     
  327.     Nmap sends these options along with almost every probe packet: 
  328.  
  329.     Window Scale=10; NOP; Max Segment Size = 265; Timestamp; End of Ops;
  330.  
  331.     When you get your response, you take a look at which options were
  332.     returned and thus are supported.  Some operating systems such as
  333.     recent FreeBSD boxes support all of the above, while others, such
  334.     as Linux 2.0.X support very few.  The latest Linux 2.1.x kernels
  335.     do support all of the above.  On the other hand, they are more
  336.     vulnerable to TCP sequence prediction.  Go figure.
  337.  
  338.     Even if several operating systems support the same set of options,
  339.     you can sometimes distinguish them by the _values_ of the options.
  340.     For example, if you send a small MSS value to a Linux box, it will
  341.     generally echo that MSS back to you.  Other hosts will give you
  342.     different values.
  343.  
  344.     And even if you get the same set of supported options AND the same
  345.     values, you can still differentiate via the _order_ that the
  346.     options are given, and where padding is applied.  For example
  347.     Solaris returns 'NNTNWME' which means:
  348.     <no op><no op><timestamp><no op><window scale><echoed MSS>
  349.  
  350.     While Linux 2.1.122 returns MENNTNW.  Same options, same values,
  351.     but different order!
  352.  
  353.     I have not seen any other OS detection tools utilizes TCP options,
  354.     but it is very useful.
  355.  
  356.     There are a few other useful options I might probe for at some
  357.     point, such as those that support T/TCP and selective
  358.     acknowledgements.
  359.  
  360.  
  361. Exploit Chronology -- Even with all the tests above, nmap is unable to
  362.     distinguish between the TCP stacks of Win95, WinNT, or Win98.
  363.     This is rather surprising, especially since Win98 came out about 4
  364.     years after Win95.  You would think they would have bothered to
  365.     improve the stack in some way (like supporting more TCP options)
  366.     and so we would be able to detect the change and distinguish the
  367.     operating systems.  Unfortunately, this is not the case.  The NT
  368.     stack is apparently the same crappy stack they put into '95.  And
  369.     they didn't bother to upgrade it for '98.
  370.  
  371.     But do not give up hope, for there is a solution.  You can simply
  372.     start with early Windows DOS attacks (Ping of Death, Winnuke, etc)
  373.     and move up a little further to attacks such as Teardrop and Land.
  374.     After each attack, ping them to see whether they have crashed.
  375.     When you finally crash them, you will likely have narrowed what
  376.     they are running down to one service pack or hotfix.
  377.  
  378.     I have not added this functionality to nmap, although I must admit
  379.     it is very tempting :).
  380.  
  381.  
  382. SYN Flood Resistance -- Some operating systems will stop accepting new
  383.     connections if you send too many forged SYN packets at them
  384.     (forging the packets avoids trouble with your kernel resetting the
  385.     connections).  Many operating systems can only handle 8 packets.
  386.     Recent Linux kernels (among other operating systems) allow
  387.     various methods such as SYN cookies to prevent this from being a
  388.     serious problem.  Thus you can learn something about your target
  389.     OS by sending 8 packets from a forged source to an open port and
  390.     then testing whether you can establish a connection to that port
  391.     yourself.  This was not implemented in nmap since some people get
  392.     upset when you SYN flood them.  Even explaining that you were
  393.     simply trying to determine what OS they are running might not help
  394.     calm them.
  395.  
  396. NMAP IMPLEMENTATION AND RESULTS
  397.  
  398. I have created a reference implementation of the OS detection
  399. techniques mentioned above (except those I said were excluded).  I
  400. have added this to my Nmap scanner which has the advantage that it
  401. already _knows_ what ports are open and closed for fingerprinting so
  402. you do not have to tell it.  It is also portable among Linux, *BSD,
  403. and Solaris 2.51 and 2.6, and some other operating systems.
  404.  
  405. The new version of nmap reads a file filled with Fingerprint templates
  406. that follow a simple grammar.  Here is an example:
  407.  
  408. FingerPrint  IRIX 6.2 - 6.4 # Thanks to Lamont Granquist
  409. TSeq(Class=i800)
  410. T1(DF=N%W=C000|EF2A%ACK=S++%Flags=AS%Ops=MNWNNT)
  411. T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=)
  412. T3(Resp=Y%DF=N%W=C000|EF2A%ACK=O%Flags=A%Ops=NNT)
  413. T4(DF=N%W=0%ACK=O%Flags=R%Ops=)
  414. T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=)
  415. T6(DF=N%W=0%ACK=O%Flags=R%Ops=)
  416. T7(DF=N%W=0%ACK=S%Flags=AR%Ops=)
  417. PU(DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)
  418.  
  419. Lets look at the first line (I'm adding '>' quote markers):
  420.  
  421. > FingerPrint  IRIX 6.2 - 6.3 # Thanks to Lamont Granquist
  422.  
  423. This simply says that the fingerprint covers IRIX versions 6.2 through
  424. 6.3 and the comment states that Lamont Granquist kindly sent me the IP
  425. addresses or fingerprints of the IRIX boxes tested.
  426.  
  427. > TSeq(Class=i800)
  428.  
  429. This means that ISN sampling put it in the "i800 class".  This means
  430. that each new sequence number is a multiple of 800 greater than the
  431. last one.
  432.  
  433. > T1(DF=N%W=C000|EF2A%ACK=S++%Flags=AS%Ops=MNWNNT)
  434.  
  435. The test is named T1 (for test1, clever eh?).  In this test we send a
  436. SYN packet with a bunch of TCP options to an open port.  DF=N means
  437. that the "Don't fragment" bit of the response must not be set.
  438. W=C000|EF2A means that the window advertisement we received must
  439. be 0xC000 or EF2A.  ACK=S++ means the acknowledgement we receive must
  440. be our initial sequence number plus 1.  Flags = AS means the ACK and
  441. SYN flags were sent in the response.  Ops = MNWNNT means the options
  442. in the response must be (in this order):
  443.  
  444. <MSS (not echoed)><NOP><Window scale><NOP><NOP><Timestamp>
  445.  
  446. > T2(Resp=Y%DF=N%W=0%ACK=S%Flags=AR%Ops=)
  447.  
  448. Test 2 involves a NULL with the same options to an open port.  Resp=Y
  449. means we must get a response.  Ops= means that there must not be any
  450. options included in the response packet.  If we took out '%Ops='
  451. entirely then any options sent would match.
  452.  
  453. > T3(Resp=Y%DF=N%W=400%ACK=S++%Flags=AS%Ops=M)
  454.  
  455. Test 3 is a SYN|FIN|URG|PSH w/options to an open port.
  456.  
  457. > T4(DF=N%W=0%ACK=O%Flags=R%Ops=)
  458.  
  459. This is an ACK to an open port.  Note that we do not have a Resp=
  460. here.  This means that lack of a response (such as the packet being
  461. dropped on the network or an evil firewall) will not disqualify a
  462. match as long as all the other tests match.  We do this because
  463. virtually any OS will send a response, so a lack of response is
  464. generally an attribute of the network conditions and not the OS
  465. itself.  We put the Resp tag in tests 2 and 3 because some operating
  466. systems _do_ drop those without responding.
  467.  
  468. > T5(DF=N%W=0%ACK=S++%Flags=AR%Ops=)
  469. > T6(DF=N%W=0%ACK=O%Flags=R%Ops=)
  470. > T7(DF=N%W=0%ACK=S%Flags=AR%Ops=)
  471.  
  472. These tests are a SYN, ACK, and FIN|PSH|URG, respectively, to a closed
  473. port.  The same options as always are set.  Of course this is all
  474. probably obvious given the descriptive names 'T5', 'T6', and 'T7' :).
  475.  
  476. > PU(DF=N%TOS=0%IPLEN=38%RIPTL=148%RID=E%RIPCK=E%UCK=E%ULEN=134%DAT=E)
  477.  
  478. This big sucker is the 'port unreachable' message test.  You should
  479. recognize the DF=N by now.  TOS=0 means that IP type of service field
  480. was 0.  The next two fields give the (hex) values of the IP total
  481. length field of the message IP header and the total length given in
  482. the IP header they are echoing back to us.  RID=E means the RID value
  483. we got back in the copy of our original UDP packet was expected (ie
  484. the same as we sent).  RIPCK=E means they didn't fuck up the checksum
  485. (if they did, it would say RIPCK=F).  UCK=E means the UDP checksum is
  486. also correct.  Next comes the UDP length which was 0x134 and DAT=E
  487. means they echoed our UDP data correctly.  Since most implementations
  488. (including this one) do not send any of our UDP data back, they get
  489. DAT=E by default.
  490.  
  491. The version of nmap with this functionality is currently in the 6th
  492. private beta cycle.  It may be out by the time you read this in
  493. Phrack.  Then again, it might not.  See http://www.insecure.org/nmap/
  494. for the latest version.
  495.  
  496. POPULAR SITE SNAPSHOTS
  497.  
  498. Here is the fun result of all our effort.  We can now take random
  499. Internet sites and determine what OS they are using.  A lot of these
  500. people have eliminated telnet banners, etc. to keep this information
  501. private.  But this is of no use with our new fingerprinter!  Also
  502. this is a good way to expose the <your favorite crap OS> users as the
  503. lamers that they are :)!
  504.  
  505. The command used in these examples was: nmap -sS -p 80 -O -v <host>
  506.  
  507. Also note that most of these scans were done on 10/18/98.  Some of
  508. these folks may have upgraded/changed servers since then.
  509.  
  510. Note that I do not like every site on here.  
  511.  
  512. # "Hacker" sites or (in a couple cases) sites that think they are
  513. www.l0pht.com        => OpenBSD 2.2 - 2.4
  514. www.insecure.org     => Linux 2.0.31-34
  515. www.rhino9.ml.org    => Windows 95/NT     # No comment :)
  516. www.technotronic.com => Linux 2.0.31-34
  517. www.nmrc.org         => FreeBSD 2.2.6 - 3.0
  518. www.cultdeadcow.com  => OpenBSD 2.2 - 2.4
  519. www.kevinmitnick.com => Linux 2.0.31-34  # Free Kevin!
  520. www.2600.com         => FreeBSD 2.2.6 - 3.0 Beta
  521. www.antionline.com   => FreeBSD 2.2.6 - 3.0 Beta
  522. www.rootshell.com    => Linux 2.0.35  # Changed to OpenBSD after
  523.                                       # they got owned.
  524.  
  525. # Security vendors, consultants, etc.
  526. www.repsec.com       => Linux 2.0.35
  527. www.iss.net          => Linux 2.0.31-34
  528. www.checkpoint.com   => Solaris 2.5 - 2.51
  529. www.infowar.com      => Win95/NT
  530.  
  531. # Vendor loyalty to their OS
  532. www.li.org           => Linux 2.0.35 # Linux International
  533. www.redhat.com       => Linux 2.0.31-34 # I wonder what distribution :)
  534. www.debian.org       => Linux 2.0.35
  535. www.linux.org        => Linux 2.1.122 - 2.1.126
  536. www.sgi.com          => IRIX 6.2 - 6.4
  537. www.netbsd.org       => NetBSD 1.3X
  538. www.openbsd.org      => Solaris 2.6     # Ahem :)
  539. www.freebsd.org      => FreeBSD 2.2.6-3.0 Beta
  540.  
  541. # Ivy league
  542. www.harvard.edu      => Solaris 2.6
  543. www.yale.edu         => Solaris 2.5 - 2.51
  544. www.caltech.edu      => SunOS 4.1.2-4.1.4  # Hello! This is the 90's :)   
  545. www.stanford.edu     => Solaris 2.6
  546. www.mit.edu          => Solaris 2.5 - 2.51 # Coincidence that so many good
  547.                                            # schools seem to like Sun?
  548.                                            # Perhaps it is the 40%
  549.                                            # .edu discount :)
  550. www.berkeley.edu     => UNIX OSF1 V 4.0,4.0B,4.0D  
  551. www.oxford.edu       => Linux 2.0.33-34  # Rock on!
  552.  
  553. # Lamer sites
  554. www.aol.com          => IRIX 6.2 - 6.4  # No wonder they are so insecure :)
  555. www.happyhacker.org  => OpenBSD 2.2-2.4 # Sick of being owned, Carolyn?
  556.                                         # Even the most secure OS is
  557.                                         # useless in the hands of an
  558.                                         # incompetent admin.
  559.  
  560. # Misc
  561. www.lwn.net          => Linux 2.0.31-34 # This Linux news site rocks!
  562. www.slashdot.org     => Linux 2.1.122 - 2.1.126
  563. www.whitehouse.gov   => IRIX 5.3
  564. sunsite.unc.edu      => Solaris 2.6
  565.  
  566. Notes: In their security white paper, Microsoft said about their lax
  567. security: "this assumption has changed over the years as Windows NT
  568. gains popularity largely because of its security features.".  Hmm,
  569. from where I stand it doesn't look like Windows is very popular among
  570. the security community :).  I only see 2 Windows boxes from the whole
  571. group, and Windows is _easy_ for nmap to distinguish since it is so
  572. broken (standards wise).
  573.  
  574. And of course, there is one more site we must check.  This is the web
  575. site of the ultra-secret Transmeta corporation.  Interestingly the
  576. company was funded largely by Paul Allen of Microsoft, but it employs
  577. Linus Torvalds.  So do they stick with Paul and run NT or do they side
  578. with the rebels and join the Linux revolution?  Let us see:
  579.  
  580. We use the command:
  581. nmap -sS -F -o transmeta.log -v -O www.transmeta.com/24
  582.  
  583. This says SYN scan for known ports (from /etc/services), log the
  584. results to 'transmeta.log', be verbose about it, do an OS scan, and
  585. scan the class 'C' where www.transmeta.com resides.  Here is the gist
  586. of the results:
  587.  
  588. neon-best.transmeta.com (206.184.214.10) => Linux 2.0.33-34
  589. www.transmeta.com (206.184.214.11) => Linux 2.0.30
  590. neosilicon.transmeta.com (206.184.214.14) => Linux 2.0.33-34
  591. ssl.transmeta.com (206.184.214.15) => Linux unknown version
  592. linux.kernel.org (206.184.214.34) => Linux 2.0.35
  593. www.linuxbase.org (206.184.214.35) => Linux 2.0.35 ( possibly the same
  594.                                       machine as above )
  595.  
  596. Well, I think this answers our question pretty clearly :).
  597.  
  598.  
  599. ACKNOWLEDGEMENTS
  600.  
  601. The only reason Nmap is currently able to detect so many different
  602. operating systems is that many people on the private beta team went to
  603. a lot of effort to search out new and exciting boxes to fingerprint!
  604. In particular, Jan Koum, van Hauser, Dmess0r, David O'Brien, James
  605. W. Abendschan, Solar Designer, Chris Wilson, Stuart Stock, Mea Culpa,
  606. Lamont Granquist, Dr. Who, Jordan Ritter, Brett Eldridge, and Pluvius
  607. sent in tons of IP addresses of wacky boxes and/or fingerprints of
  608. machines not reachable through the Internet.
  609.  
  610. Thanks to Richard Stallman for writing GNU Emacs.  This article would
  611. not be so well word-wrapped if I was using vi or cat and ^D.
  612.  
  613. Questions and comments can be sent to fyodor@DHP.com (if that doesn't
  614. work for some reason, use fyodor@insecure.org).  Nmap can be obtained
  615. from http://www.insecure.org/nmap .
  616.  
  617.  
  618.  
  619.