Windows系列操作系统网络数据特征.docx
4页
Windows 系列操作系统及软件的网络数据特征一、Windows内含的部分程序网络数据特征Windows (尤其是Windows 2000以后的版本)自身附带了很多服 务,有很多默认是开放的,这些服务都有自己默认的端口另外,W indows 内含的部分程序在和网络发生连接的时候,也会产生有特定 特征的网络数据,根据这些数据,可以对系统及程序版本进行判定远程桌面连接过程中,被控主机默认开放的端口是 TCP 3389 如果以往用该程序进行过远程登录,在建立连接后,会有如下数据特 征:Cookie: mstshash二,后面跟上次成功登录时的用户名利用Windows内嵌的浏览器IE浏览网页,当IE通过HTTP向We b服务器发送GET命令的时候,User-Agent选项会显示客户端IE和 操作系统的版本,比如,在 Windows XP 下用 IE 访问网站: User-Ag ent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;Maxthon)同时,Web服务器返回的应答信息中的Server选项中会 显示服务器所用的Web服务器类型,如访问网站 时,它返回的是: Server: Microsoft-IIS/6.0利用 Outlook Express 发送邮件的时候,邮件头部的 X-Mailer 和X-MimeOLE两个选项会显示OE的版本号,如在Windows XP下用0 E 发送邮件时,邮件头部的这两个选项为: X-Mailer: Microsoft Ou tlook Express 6.00.2900.2180 和 X-MimeOLE: Produced By Micro soft MimeOLE V6.00.2900.2180 。
Windows Time 服务是用来和网络标准时间进行校正的,它用的 协议是NTP,这时,双方所用的端口都是UDP 123Windows 的自动更新功能数据也有一定的特征如果手动启动更 新功能,不同的 Windows 版本会连接到不同的网址,如在 Windows XP 下手动启动 Windows Update, 连接的是:windowsupdate.micros 获得远程主机的 Shell 界面时,也会在网络上明文传输被控主机 的操作系统版本就如在本机,通过cmd命令看到的界面相同,如简 体中文 Windows XP 对应的是: Microsoft Windows XP [版本 5.1.2 600]Windows 本身还有很多自带的工具和服务,它们连接网络时,都 会产生相应的特征数据,在需要的时候可以对它们进行分析 二、常见应用软件的网络数据特征1.网络浏览器类由于 IE 在使用中有不少缺点,因此有不少人上网用的是另外的 软件,比较常见的有Maxthon,Mozilla Firefox, Opera For Windo ws, GreenBrowser, TheWorld Browser,魔王浏览器(MwIE)等。
Maxthon 用的是 IE 的内核,其上网时 User-Agent 与利用 IE 上 网时的相同利用 Mozilla Firefox 浏览网站时,其 User-Agent 选项如下: U ser-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.12) Gecko/20050919 Firefox/1.0.72.FTP 服务器类FTP 服务器类的软件有很多,如 Serv-U FTP Server,RaidenFTP D,Gene6 FTP Server ,Cisco TFTP Server , Titan FTP Server 等,其中 Serv-U FTP Server 是网络上使用比较广泛的一款FTP客户端和FTP服务器建立连接之后,服务器通常会向客户端 发送响应信息,里面有 FTP 服务器的名城及版本信息如下面是一个 Serv-U FTP 服务器发送的响应信息:220-Serv-U FTP Server v6.2 for WinSock ready...,从该信息中可以得到 FTP 服务器的基本信 息3.收发邮件类常用的有 FoxMail,MailMagic,IncrediMail Xe, The Bat!等。
这些软件在发送邮件的时候,通常都会在邮件头部加入软件的信息例如用 FoxMail 发送邮件的时候,邮件头部有一项如下: X-mai ler: Foxmail 5.0 [en]4・P2P类目前 P2P 类的软件种类繁多,除了传统上用于文件共享的软件 外,还出现了基于P2P技术的即时通信软件和网络电视软件前者包括 BT (BitTorrent)系列,eMule (eDonkey)系列等; 后者包括 Skype 和 ppLive,tvants 等像eMule它使用的默认端口 TCP 4662BT所用的端口是TCP 68 81-68885.即时通信类即时通信类软件在国内最常用的是腾讯公司的,在境外常用的是MSN Messgener,ICQ和Yahoo! Messenger这些即时通信软件的 特点都是有中心服务器,在登录阶段都需要连接到服务器关于这些软件的网络数据特征,以往的信号侦察通报中都有做过 详细的分析,这里不再一一列举常用的网络应用软件软远不止这么多,它跟个人上网的习惯和喜 好有比较大的关系但是每款软件在和网络连接的时候,总是有自己 的一些特征,这些通过分析是可以得到的。
