返回
利用tcp_ip特性阻止对操作系统的探测

利用tcp_ip特性阻止对操作系统的探测

ID:34573574

大小:101.27 KB

页数:4页

时间:2019-03-08

利用tcp_ip特性阻止对操作系统的探测_第1页
利用tcp_ip特性阻止对操作系统的探测_第2页
利用tcp_ip特性阻止对操作系统的探测_第3页
利用tcp_ip特性阻止对操作系统的探测_第4页
资源描述:

《利用tcp_ip特性阻止对操作系统的探测》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、前沿技术本栏目由中蓝韩锐技术有限公司协办Leading-edgeTechnologies利用利用TCP/IPTCP/IP特性特性阻止对操作系统的探测阻止对操作系统的探测华中科技大学计算机学院屈红军李之棠使用了足够多的特征就可以相当精确地探测出远程主机运行的是什摘要对于一个运行在网络上的服务器它所发出的数据包会在不知不觉间泄漏操作系统的信息攻击者会利用这些信息判么操作系统例如目前最常用的扫断操作系统的类型然后实施针对性的攻击本文首先分析TCP/描工具nmap能够正确地探测出大IP协议泄漏主机操作系统信息的过程然后给出具体的措施以阻部

2、分操作系统甚至能精确地区分止操作系统泄漏信息出Linux内核的版本下面介绍一些经常被探测者利用的TCP/IP堆知的技巧并给出实际的防范措施栈特征前言虽然实现某一协议遵循的是同1.TCP初始化序列号众所周知对于系统安全来说一RFC但由于其具体的编码实现当客户端发起连接的时候服防止操作系统信息泄漏对于保护系方式和优化策略的不同加上代码务器收到客户端的SYN包之后将统是至关重要的对于一个攻击者BUG等方面的原因不仅对于一些回应一个包含初始序列号(ISN)的来说在攻击之前首先要做的就是正常的报文不同的操作系统会做SYNACK响应包不同的系

3、统对目标进行扫描并试图找出目的出不同的响应而且每个系统在处其初始序列号的产生方式具有不同主机的操作系统类型获取远程操理一些非正常报文时也并不是完全的规律根据这些规律可以判断操作系统信息对于攻击者来说具有重按照RFC的定义来实现的所有这作系统的类型要的意义因为绝大多数安全漏洞些都使操作系统对报文的响应具有有些比较老的操作系统其都是针对特定操作系统的只有确了某些可以分辨的特征这就是操ISN是固定的很容易受到攻击因知了操作系统的类型才可以实施作系统可被探测的现实基础此在当前已经几乎不存在固定ISN相应的攻击例如攻击者通过扫描操作系统探测

4、的原理就是向目的系统不过即使对于变化的情发现对方的操作系统是IRIX他就的主机发送一些特定的数据报文形也是有规律可循的例如会把目标集中在IRIX操作系统上不同的操作系统对这些报文会有不Windows操作系统使用的是基于时寻找相应的漏洞而依靠一些同的响应通过综合分析目的主机间的方式产生ISN其ISN值会随TCP/IP特征探测器攻击者可以返回的数据报文就可以判断出目着时间的变化而有着相对固定的增很快知道主机运行的操作系统类型的主机的操作系统类型长而UNIX系统(包括最新版本的然后使用相应的漏洞程序和LinuxAIXSolaris等)其

5、ISN能够暴露操作系统shellcode代码达到攻击的目的是随机增加的这就给探测增加了特征的IP堆栈特性有许许多多的TCP/IP应答可难度但是计算机要做到真正的随以在毫无察觉的情况下泄漏操作系TCP/IP的许多特性可以暴露机是不可能的所以还会存在规律统的类型本文将详述这些鲜为人出目标主机的操作系统类型只要人们已经发现通过分析ISN的最20044信息安全与通信保密万方数据前沿技术Leading-edgeTechnologies本栏目由中蓝韩锐技术有限公司协办大公约数和其它一些有迹可循的规据包时会复位连接所以这种方法ICMP错误信息格

6、式如对于一个端律就可以发现一些细微的差别例也可以比较有效地识别出操作系统口不可到达信息几乎所有操作系如已经确认linux-2.4的ISN是随机4.FIN探测统都只回送IP请求头+8字节长度的增加的并且最大公约数小于等于通过发送一个FIN数据包(或任包但Solaris返回的包会稍微长一8ISN的范围介于0x10000和何未设置ACK或SYN标记位的数点Linux则返回更长的包这样0x2D870AA之间通过这些信息就据包)到一个打开的端口并等待回即使操作系统没有监听任何端口可以轻易地辨别出远程操作系统应RFC793定义的标准行为是不探

7、测程序仍然有可能确定Linux和2.TCP初始化窗口响应但诸如MSWindowsSolaris操作系统的主机在连接建立的时候服务器通BSDiCISCOHP/UXMVS和总之有许多ICMP信息可以告的窗口大小有固定的规律一般IRIX等操作系统会回应一个暴露主机的操作系统信息有些扫来讲该窗口随着操作系统类型的RESET包大多数的探测器都使用描程序甚至使用了多达九种不同的不同有较为稳定的数值而且有些了这项技术ICMP错误信息探测技术来区分不操作系统总是使用比较特殊的窗口5.DF标记位同的操作系统值例如MSWindows使用0x402E出

8、于传输性能的考虑许多操7.TCP选项的窗口值AIX使用0x3F25而作系统逐渐开始在它们发送的数据这是收集信息的最有效方法之Linux使用的是0x16A0由于这个包中设置DF(不可分片)位但一因为它们都是可选的因此并不特征比较固定而且易于辨别因此并

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。