本發明提供一種基于SMB協議的操作系統指紋信息安全檢測方法與裝置，所述方法包括：探測確定協議類型；構造SMBv1的結構并實例化所述SMBv1的結構；解析SMBv2消息中的數據，從中提取驗證信息，并構造發送探測主機名和探測主機操作系統的數據包，接收返回的協商數據包，解析SMBv2消息中的數據，從中提取工作組信息、主機名信息和操作系統版本信息。根據本發明的方法，根據不同版本構造合法的探測數據包，實現針對操作系統的指紋探測。

技術領域

本發明涉及網絡安全領域，尤其涉及一種基于SMB協議的操作系統指紋信息安全檢測方法與裝置。

背景技術

網絡資產探測是指追蹤、掌握網絡資產情況的過程，通常包括主機發現、IP地址發現、主機端口探測、操作系統指紋識別、服務識別、網絡架構識別等,是實現網絡安全管理的重要前提,在網絡安全相關工作中具有廣泛的應用價值。一方面，從網絡資產管理的角度看，網絡資產探測能夠為統一軟硬件版本、更新升級軟件和設備等工作提供信息基礎。通過網絡資產探測可以發現舊版本的軟件，根據最新的威脅情報準確地啟動響應措施，避免其存在的漏洞帶來威脅；還可以發現非法資產，為及時分析、處理提供便利，最大限度地降低安全問題帶來的損失。另一方面，攻擊者也可以通過資產探測的方式找出防守方的薄弱點進行針對性的攻擊。

操作系統指紋識別是資產探測的重要內容之一，通常操作系統指紋探測能夠按照一定概率的形式識別出操作版本信息。目前主流的操作系統指紋識別技術有基于TCP/IP協議棧指紋掃描識別技術和基于SMB協議的掃描識別技術。(一)基于TCP/IP協議棧指紋的掃描工具如Nmap，該工具需要在ROOT或者管理員權限下運行，通過修改TCP報文構造原始套接字，對接收到的響應結果進行判斷，概率性識別操作系統的指紋。(二)另一種方法是通過SMB協議進行操作系統指紋探測，該方法需要連接遠程主機的445端口。Zoomeye、Shodan、Censys、FOFA等是公開的全球知名的資產探測平臺，分別從Zoomeye和FOFA平臺查詢開放445端口的主機數量為11,039,833臺和1,481,614臺。目前支持SMB探測的工具有Nmap和Meterpreter等，能夠通過SMB協議探測遠程主機的主機名和詳細的操作系統信息，通過分析發現這些工具普通只支持針對SMBv1協議的探測，而在Windows 2012及以后操作系統中默認不支持SMBv1協議，因此現有的基于SMB協議的探測無法獲取Windows 2012、Windows2016、Windows 2019和Windows10等高版本操作系統的指紋信息。

現有基于協議棧掃描的操作系統指紋識別技術通常需要在系統的最高權限下運行，在操作系統識別上存在概率性，且無法獲取到主機名工作組等信息。現有的基于SMB協議的操作系統指紋探測技術只適用于SMBv1協議，不支持SMBv2協議。

發明內容

為解決上述技術問題，提高資產探測能力，本發明提出了一種基于SMB協議的操作系統指紋信息安全檢測方法與裝置，能夠支持SMBv1、SMBv2協議，實現覆蓋從Windows XP到最新Windows 10的指紋識別。

根據本發明的第一方面，提供一種基于SMB協議的操作系統指紋信息安全檢測方法，所述方法包括以下步驟：

步驟S101：構造SMBv1的協商數據并發送給遠程主機，若協商成功，則確定出遠程主機操作系統支持SMBv1協議，進入步驟S104；否則，進入步驟S102；

步驟S102：構造SMBv2的協商數據并發送給遠程主機，若協商成功，則確定出所述遠程主機操作系統支持SMBv2協議，進入步驟S105；否則，進入步驟S103；

步驟S103：確定出目標服務器開啟端口為異常狀態，方法結束；

步驟S104：構造探測主機名和探測主機操作系統的數據包，構造SMBv1的結構并實例化所述SMBv1的結構，將構造的所述數據包發送至遠程主機的445端口，接收遠程主機返回的數據，按照實例化的SMBv1的結構提取數據，方法結束；