返回
基于tcp_ip的操作系统的探测及防御技术研究

基于tcp_ip的操作系统的探测及防御技术研究

ID:34570946

大小:310.72 KB

页数:5页

时间:2019-03-08

基于tcp_ip的操作系统的探测及防御技术研究_第1页
基于tcp_ip的操作系统的探测及防御技术研究_第2页
基于tcp_ip的操作系统的探测及防御技术研究_第3页
基于tcp_ip的操作系统的探测及防御技术研究_第4页
基于tcp_ip的操作系统的探测及防御技术研究_第5页
资源描述:

《基于tcp_ip的操作系统的探测及防御技术研究》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、万方数据:。!露i圈学术.技术li,蕊霪i颦霉基于TcP/IP的操作系务翼j辫张在峰,嚣(巾北大学,山西霾;摘要:基于TcP/IP协议摄指纹的操作系统探测技术在阿薰网络管理人员则可嘣发现网络漏洞,维护网络的安全。该嚣》检测和基于uDP探测包检测的5种较新的.利用TcP/】P协篓鬻TcP/胪胁议族在实现上的差异完成操作系统的识别。最后g结果显示利用入侵检测系统检测这种探测包效果艮好.簇关键词:操作系统探测:计算机网络,网络安全㈠;jiOperatingSystemDetectionBasedon黧Rese{篓zHANGzaj—fengi

2、f№呦撕㈣耖口,硎日,^Abstract:The0pem噌sygtem曲tec㈣tec⋯昭yw呦ba删thenetworksecurIty.Hacltersattackthetargetuslngthlstechn㈦*,ke印trlenetwo№we¨m曲IsDaper+wewmta№fo¨0Wmg堋‘《t。-§一:ICMPr朗ponsetestandUDPprobPteotThesetechnoJogIegu3e_xj—su7te^t1astwedetectodtheseprobesusmgtnesnonwhIchruIe!Isve

3、rvwe¨-Keywords:0perat:皑SystemPr。be.ComputerNetwom.NetwoH“1概述“、11远程操作系统的探测⋯存网络信息安伞系统,尤其是在攻防和安全评估系统黧中,信息的收集和分析至关重要,而辨识远程操作系统则i是其中不可或缺的一个组成部分。因为各种各样的漏洞依8雾慧附干不同的操作系统之卜,H仃精确地识别出远程操作系统的类犁,才能更有目的件地笈捅漏洞和弱点所在,准确一=地对目标主机进行评估⋯。精确的探测远程操作系统的类ii型,对于攻击者来蜕也是至关重要的。探测到F1标主机操纛誊i作系统的类犁可以:(

4、1)判断目标主机的漏洞,对于打补嚣鬻丁的操作系统,他们本身存存同有的漏洞呵以利用。这雾蚕j是很危险的。(2)充分利用漏洞,即使攻击者在日标主机嚣蠢上发现r漏洲,如果知道了操作系统的版本的话,将更有萋冀雾利于旃洞的开发。因为像缓冲区溢出、格式化字符串等许搿=:辨多攻击方式,需粤擞措特定的操作系统和体系结构来定制sheUcode。(3)对于网络管理有很重要的作用,网络管理18万方数据图1远程操作系统识别技长1.3基于TcP/IP协议栈的指纹查询和识别TcP/IP协议栈的实现,应该是严格遵循RFC相关文档的。fu是.由于不I司厂商对RFC文

5、档的不同理解,RFc文档中存存的可选特性以及少数不遵循RFC文档的行为,造成rTcP/IP协议桂实现的细微差异。通过探测并发现TcP/lP协议栈的细微差异,然后精确地识别出远程操作系统的类型的技术被称为“TCP/IP协议栈指纹识别”(TcP/1Pstackfmgerprmting)技术。现在栈指纹识写U技术已经有了很大的提高,跌剐的精准程度已经相当令人满意,在Nmap4.20及以后版本中发送的数据包有15个,探测结果检测更是多达32项”l。基本上汹盖了TCP/IP协议栈的疗方面面。2TcP/咿指纹探测技术利用TCP/IP协议栈指纹进行

6、远程操作系统的识别过程,其实就是探测TcP/IP协议栈存各个操作系统实现过程中的不同之处。一般来说这些不同之处通常体现在以下几个方面:(I)对TCPISN序号的生成算法方面。以前的TCPIsN算状是顺序增加的,并且是6400(J的倍数。1。现在大多数操作系统的TsN随机增加,fu是仍然可以通过最大公分母、ISN序号增加的速率和预测ISN的难度等方法,推测出iSN增加的细微差别。(2)对IPfD序号生成算法方而。主要检测IPTD的最小增加值,不I司的上层协议是否戈享IPID序号。(3)TcP时间戳选项。讣算TcP时间戳的增长率,通过发送

7、连续的TcP探测包,然后求典平均值得到,这样可以根据时删戳选项将主机划分为频率段,进而划分不同的类型。(4)TCP造项。各个系统的TCP选项排列顺序是不同的,选项实现的多少也有差异。(5)TCP的重传超时时间(RT0),RTO算法在RFC793中,有推荐算法.并在RFc2788中对其做了重新规定,尽管如此,各个实现仍不相同。(6)rP的初始TTL值,TTL值可能为32、64、128、255等,常皑的windows的TTL值为128,Linux的TTL值为64,19i学术.技术li霪ij慝备个系统的实现均不相同。(7)TCrRST中有没

8、有附加麓数据,在RFcll22明确允许在RST数据包中携带相关餮错误信息。(8)对lCMP中返I旦I的IP头部信息是否与发i蓼送的IP头部信息相同。营事实卜这种探测技术还有很多,几是能够反映小同操霪作系统对-I、cP/I

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。