26、网络主动探测与德国互联网的国家视角分析

网络主动探测与德国互联网的国家视角分析

1. 主动探测中的异常现象与分析

在网络主动探测中，我们发现了一些有趣的异常现象。当对 IP 地址进行 TCPp 探测时，有 13% 的 IP 在回复时会重置部分预定义地址。为了找出这些异常的来源，我们再次使用 MERLIN 平台对这些目标进行探测。所有的 IGMP 回复都返回了 DVMRP 代码 37.90 和 21.95。接着，我们使用 nmap 工具对相同目标进行探测，试图找出这些代码与特定品牌/操作系统之间的关联。结果发现，代码 37.90 很可能对应 Windows 2003 版本，而 21.95 对应 Windows 2000 版本。另外，还有 2% 的目标呈现出混合了之前描述行为的情况。

对于 RPL 异常，通常 RPL 回复会返回已知信息，但对于某个特定目标，我们观察到了一种特殊行为，可能会引发安全问题。多次使用 UDPp 进行探测时，选项数据每次都会以不同的方式被替换。我们认为这些替换是存储在目标动态缓冲区中的数据包头部。通过这种方式，我们能够收集到远程 MAC 和 IP 地址，这些地址大多来自 ARP 请求。遗憾的是，常见的操作系统指纹识别技术无法获取关于该设备的更多信息。

2. TSp 技术的应用

2.1 反向跟踪路由

反向跟踪路由在 RR 选项无法发现下一跳时，会以两种不同方式利用 TSp。第一种情况，从预收集的拓扑信息中提取候选 IP R，使用 (D|DR) 格式在 ICMPp 探测中预先指定，其中 D 是反向路径上最后发现的跳点。第二种情况，为了避免传输过滤，从选定的 VP 以 (D|R) 格式发送伪造的 ICMPp 探测到作为 S 的 D。如果 S 收到带有 R