远程os探测中的网络协议栈指纹识别技术

《远程os探测中的网络协议栈指纹识别技术 》由会员上传分享，免费在线阅读，更多相关内容在工程资料-天天文库。

1、远程OS探测中的网络协议栈指纹识别技术摘要远程探测计算机系统的OS（操作系统）类型、版本号等信息，是黑客入侵行为的重要步骤，也是网络安全中的一种重要的技术。在探测技术中，有一类是通过网络协议栈指纹来进行的。协议栈指纹是指不同操作系统的网络协议栈存在的细微差别，这些差别可以用来区分不同的操作系统。本文研究和分析了此技术的原理和实践，并提出了防止指纹探测的方法。关键词远程OS探测协议栈指纹TCP/IP协议1引言探测和识别一个计算机系统在运行什么OS是黑客入侵的重要步骤。如果不知道目标系统在运行什么OS，就很难在目标系统上执行操作，也无法判断是否存在安全漏洞，更谈不上攻击。从管理和防范的角度来说，如

2、果能减少被探测时泄漏的信息，就减少了黑客入侵行为的信息来源，使其入侵行为变得相当困难。因此，研究这方面的技术，对于提高系统的安全性和抵抗入侵的能力具有重要的意义。2简单的OS探测技术在早期，黑客经常采用一些简单的探测方法来获取目标系统的信息。如通过tel标题，ftp的标题和STAT命令，通过HTTP服务程序，DNS，SNMP等都可以得到很多有用信息。但是，在长期的入侵和防入侵的斗争中，通过简单的手段即可获得的信息越来越少了。管理员努力地减少通过网络泄漏的信息，有时还修改OS的代码，给出虚假的信息。在这种情况下，简单的方法已经很难奏效了,因此出现了通过网络协议栈指纹来识别OS的技术。3网络协议栈

3、指纹原理常用的网络协议是标准的，因而从理论上讲各个操作系统的协议栈应该是相同的。但是，在实践中，各种操作系统的协议栈的实现存在细微的差异。这些差异称作网络协议栈的“指纹”。对TCP协议族来说，这些差异通常表现在数据包头的标志字段中。如eToLive，即数据包的“存活时间”，表示一个数据包在被丢弃之前可以通过多少跃点(Hop)。不同操作系统的缺省TTL值往往是不同的。常见操作系统的TTL值：address.大多数OS会给出不同的响应信息。个别OS会给出长度为0的回应。对于essageBlockProtocol）来实现打印机的共享。19)网络协议栈指纹实践在实践中，网络协议栈指纹方法通常这样应用：

4、总结各种操作系统网络协议栈的上述细微差异，形成一个指纹数据库。在探测一个系统的时候，通过网络和目标系统进行交互，或者侦听目标系统发往网络的数据包，收集其网络协议栈的行为特点，然后以操作系统指纹数据库为参考，对收集的信息进行分析，从而得出目标系统运行何种OS的结论。20)远程OS探测的防护方法由于协议栈指纹方法是建立在操作系统底层程序差别的基础上的，所以要彻底防护指纹识别是很难的。但是有一些方法可以减少信息泄漏并干扰指纹识别的结果，在很大程度上提高系统的安全性。21)检测和拦截对于主动向主机发送数据包的协议栈指纹识别，可以使用IDS检测到异常包或异常的行为，从而加以记录和拦截。对于通过Sniff

5、er来进行的协议栈指纹识别，这种方法是无效的。22)修改参数一些操作系统的协议栈参数，如缺省SS、MTU等值，是可以修改的。在Solaris和Linux操作系统下，很多TCP/IP协议栈的参数可以通过系统配置程序来修改。在WINDOWS系统中，可以通过对注册表的修改来配置一些协议栈参数。通过修改这些可设置参数的值，可以给指纹识别造成干扰，从而减少真实信息的泄漏。23)修改程序修改参数可以给指纹识别造成一些干扰，但是对于一些协议栈的行为特征，比如数据包序列号的生成方式，是无法通过参数来修改的。对于这些行为特征，可以通过修改系统底层程序来实现，但是这么做通常需要付出较高的开发成本，并可能降低一些网

6、络功能。在实践中，可以综合上述几种防护方法，来达到比较好的安全性。[4]RFC1179:LinePrinterDaemonProtocol,NetcLaughlinIII,1990