版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、远程OS探测中的网络协议栈指纹识别技术 摘要 远程探测计算机系统的OS(操作系统)类型、版本号等信息,是黑客入侵行为的重要步骤,也是网络安全中的一种重要的技术。在探测技术中,有一类是通过网络协议栈指纹来进行的。协议栈指纹是指不同操作系统的网络协议栈存在的细微差别,这些差别可以用来区分不同的操作系统。本文研究和分析了此技术的原理和实践,并提出了防止指纹探测的方法。要害词 远程OS探测 协议栈指纹 TCP/IP协议 1 引言探测和识别一个计算机系统在运行什么OS是黑客入侵的重要步骤。假如不知道目标系统在运
2、行什么OS,就很难在目标系统上执行操作,也无法判定是否存在安全漏洞,更谈不上攻击。从治理和防范的角度来说,假如能减少被探测时泄漏的信息,就减少了黑客入侵行为的信息来源,使其入侵行为变得相当困难。因此,研究这方面的技术,对于提高系统的安全性和反抗入侵的能力具有重要的意义。2 简单的OS探测技术在早期,黑客经常采用一些简单的探测方法来获取目标系统的信息。如通过telnet标题,ftp的标题和STAT命令,通过HTTP服务程序,DNS ,SNMP等都可以得到很多有用信息。但是,在长期的入侵和防入侵的斗争中,通过简单的手段即可获得的信息越来越少了。治理员努力地减少通过网络泄漏的信息,有时还修改OS的代
3、码,给出虚假的信息。在这种情况下,简单的方法已经很难奏效了,因此出现了通过网络协议栈指纹来识别OS的技术。3 网络协议栈指纹原理常用的网络协议是标准的,因而从理论上讲各个操作系统的协议栈应该是相同的。但是,在实践中,各种操作系统的协议栈的实现存在细微的差异。这些差异称作网络协议栈的“指纹”。对TCP协议族来说,这些差异通常表现在数据包头的标志字段中。如window size、ACK序号、TTL等的不同取值。通过对这些差别进行归纳和总结,可以比较准确地识别出远程系统的OS类型。由于Internet广泛使用TCP/IP协议族,因此下面的讨论主要围绕TC
4、P/IP来进行。4 网络协议栈指纹构成下面列出了不同OS的网络协议栈的差异,这些差异可作为协议栈指纹识别的依据。1) TTLTTL:Time To Live,即数据包的“存活时间”,表示一个数据包在被丢弃之前可以通过多少跃点(Hop)。不同操作系统的缺省TTL值往往是不同的。常见操作系统的TTL值:Windows 9x/NT/2000 Intel 128 Digital Unix 4.0 Alpha 60 Linux 2.2.x Intel
5、60; 64 Netware 4.11 Intel 128 AIX 4.3.x IBM/RS6000 60 Cisco 12.0 2514 255 Solaris 8 Intel/Sparc 64 2) DF位DF(不分段)位识别:不同OS对DF位有不同的处理方式,有些OS设置DF位,有些不设置DF位;还有一些OS在特定场合设置DF位,在其它场合
6、不设置DF位。3) Window SizeWindow Size:TCP接收(发送)窗口大小。它决定了接收信息的机器在收到多少数据包后发送ACK包。特定操作系统的缺省Window Size基本是常数,例如,AIX 用0x3F25,Windows、OpenBSD 、FreeBSD用0x402E。一般地,UNIX的Window Size较大。MSWindows,路由器,交换机等的较小。4) ACK 序号不同的OS处理ACK序号时是不同的。假如发送一个FIN|PSH|URG的数据包到一个关闭的TCP 端口,大
7、多数OS会把回应ACK包的序号设置为发送的包的初始序号,而Windows 和一些打印机则会发送序号为初始序号加1的ACK包。5) ICMP地址屏蔽请求对于ICMP地址屏蔽请求,有些OS会产生相应的应答,有些则不会。会产生应答的系统有OpenVMS, MSWindows, SUN Solaris等。在这些产生应答的系统中,对分片ICMP地址屏蔽请求的应答又存在差别,可以做进一步的区分。6) 对FIN包的响应发送一个只有FIN标志位的TCP数据包给一个打开的端口,Linux等系统不响应;有些系统,例如 MS
8、 Windows, CISCO, HP/UX等,发回一个RESET。7) 虚假标记的SYN包在SYN包的TCP头里设置一个未定义的TCP 标记,目标系统在响应时,有的会保持这个标记,有的不保持。还有一些系统在收到这样的包的时候会复位连接。8) ISN (初始化序列号)不同的OS在选择TCP ISN时采用不同的方法。一些UNIX系统采用传统的64K递增方法,较新的Solaris,IRIX,FreeBSD,Digital Unix,Cray等系统采用随机增量的方法;Linux 2.0,OpenVMS, AI
9、X等系统采用真随机方法。Windows系统采用一种时间相关的模型。还有一些系统使用常数。如,3Com集线器使用0x803,Apple LaserWriter打印机使用0xC7001。9) ICMP 错误信息在发送ICMP错误信息时,不同的OS有不同的行为。RFC 1812建议限制各种错误信息的发送率。有的OS做了限制,而有的没做。10) ICMP 消息引用RFC 规定ICMP错误消息可以引用一部分引起错误的源消息。在处理端口不可达消息时,大多数OS送回IP请求头外加8 字节。Solaris 送回的稍多,
10、Linux 更多。有些OS会把引起错误消息的头做一些改动再发回来。例如,FreeBSD,OpenBSD,ULTRIX,VAXen等会改变头的ID 。这种方法功能很强,甚至可以在目标主机没有打开任何监听端口的情况下就识别出Linux和Solaris 。11) TOS(服务类型)对于ICMP端口不可达消息,送回包的服务类型(TOS)值也是有差别的。大多数OS是0,而Linux 是0xc0。12) 分段重组处理在做IP包的分段重组时,不同OS的处理方式不同。有些OS会用新IP段覆盖旧的IP段,而有些会用旧的I
11、P段覆盖新的IP段。13) MSS(最大分段尺寸)不同的OS有不同的缺省MSS值,对不同的MSS值的回应也不同。如,给Linux发送一个MSS值很小的包,它一般会把这个值原封不动地返回;其它的系统会返回不同的值。14) SYN Flood限度在处理SYN Flood的时候,不同的OS有不同的特点。假如短时间内收到很多的伪造SYN包,一些OS会停止接受新的连接。有的系统支持扩展的方式来防止SYN flood。15) 主机使用的端口一些OS会开放非凡的端口,比如
12、:WINDOWS的137、139,WIN2K的445;一些网络设备,如入侵检测系统、防火墙等也开放自己非凡的端口。16) Telnet选项指纹建立Telnet会话时,Socket连接完成后,会收到telnet守候程序发送的一系列telnet选项信息。不同OS有不同的Telnet选项排列顺序。 17) Http指纹执行Http协议时,不同的Web Server存在差异。而从Web Server往往可以判定OS类型。Web Server的差异体现在如下方面:1:
13、基本Http请求处理HEAD / Http/1.0这样的请求时,不同系统返回信息基本相同,但存在细节差别。如,Apache返回的头信息里的Server和Date项的排序和其它的服务器不同。2:DELETE请求对于DELETE / Http/1.0这样的非法请求,Apache响应"405 Method Not Allowed",IIS响应"403 Forbidden", Netscape响应 "401 Unauthorized"。3:非法Http协议版本请求对于GET / Http/3.0这样的请求,Apache响应"400
14、Bad Request",IIS忽略这种请求,响应信息是OK, Netscape响应"505 Http Version Not Supported"。4: 不正确规则协议请求对不规则协议的请求,Apache忽视不规则的协议并返回200 "OK",IIS响应"400 Bad Request", Netscape几乎不返回Http头信息。18) 打印机服务程序指纹RFC 1179规定了请求打印服务时须遵循的协议。在实践中,假如打印请求符合RFC1179的格式,不同OS表现行为相同。但
15、当打印请求不符合RFC1179的格式时,不同OS就会体现出差别。如对一个非法格式的请求,Solaris这样回应:Reply: Invalid protocol request (77): xxxxxx而AIX系统这样回应: Reply: 0781-201 ill-formed FROM address. 大多数OS会给出不同的响应信息。个别OS会给出长度为0的回应。对于Windows,则是通过专有的SMB协议(Server Message Block Protocol)来实现打印机的共享。19) 网络协议栈指纹实践在实践中,网络协议栈指纹方法通常这
16、样应用:总结各种操作系统网络协议栈的上述细微差异,形成一个指纹数据库。在探测一个系统的时候,通过网络和目标系统进行交互,或者侦听目标系统发往网络的数据包,收集其网络协议栈的行为特点,然后以操作系统指纹数据库为参考,对收集的信息进行分析,从而得出目标系统运行何种OS的结论。20) 远程OS探测的防护方法由于协议栈指纹方法是建立在操作系统底层程序差别的基础上的,所以要彻底防护指纹识别是很难的。但是有一些方法可以减少信息泄漏并干扰指纹识别的结果,在很大程度上提高系统的安全性。21) 检测和拦截对于主动向主机发
17、送数据包的协议栈指纹识别,可以使用IDS检测到异常包或异常的行为,从而加以记录和拦截。对于通过Sniffer来进行的协议栈指纹识别,这种方法是无效的。22) 修改参数一些操作系统的协议栈参数,如缺省WINDOW、MSS、MTU等值,是可以修改的。在Solaris和Linux操作系统下,很多TCP/IP协议栈的参数可以通过系统配置程序来修改。在WINDOWS系统中,可以通过对注册表的修改来配置一些协议栈参数。通过修改这些可设置参数的值,可以给指纹识别造成干扰,从而减少真实信息的泄漏。23) 修改程序修改参
18、数可以给指纹识别造成一些干扰,但是对于一些协议栈的行为特征,比如数据包序列号的生成方式,是无法通过参数来修改的。对于这些行为特征,可以通过修改系统底层程序来实现,但是这么做通常需要付出较高的开发成本,并可能降低一些网络功能。在实践中,可以综合上述几种防护方法,来达到比较好的安全性。 参考文献1 Fyodor,X - Remote ICMP Based OS Fingerprinting Techniques, Phrack Magazine Volume 542 FyodorRemote OS detection via TCP/IP Stack
19、FingerPrinting, Phrack Magazine Volume 83 Lance SpitznerPassive Fingerprinting, focus/ids/articles/pfinger.html4 RFC 1179: Line Printer Daemon Protocol, Network Printing Working Group, L. McLaughlin III, 1990 17) Http指纹执行Http协议时,不同的Web Server存在差异。而从Web S
20、erver往往可以判定OS类型。Web Server的差异体现在如下方面:1:基本Http请求处理HEAD / Http/1.0这样的请求时,不同系统返回信息基本相同,但存在细节差别。如,Apache返回的头信息里的Server和Date项的排序和其它的服务器不同。2:DELETE请求对于DELETE / Http/1.0这样的非法请求,Apache响应"405 Method Not Allowed",IIS响应"403 Forbidden", Netscape响应 "401 Unauthorized"。3:非法Http协议版本请求对
21、于GET / Http/3.0这样的请求,Apache响应"400 Bad Request",IIS忽略这种请求,响应信息是OK, Netscape响应"505 Http Version Not Supported"。4: 不正确规则协议请求对不规则协议的请求,Apache忽视不规则的协议并返回200 "OK",IIS响应"400 Bad Request", Netscape几乎不返回Http头信息。18) 打印机服务程序指纹RFC 1179规定了请求打印服务时须遵循的
22、协议。在实践中,假如打印请求符合RFC1179的格式,不同OS表现行为相同。但当打印请求不符合RFC1179的格式时,不同OS就会体现出差别。如对一个非法格式的请求,Solaris这样回应:Reply: Invalid protocol request (77): xxxxxx而AIX系统这样回应: Reply: 0781-201 ill-formed FROM address. 大多数OS会给出不同的响应信息。个别OS会给出长度为0的回应。对于Windows,则是通过专有的SMB协议(Server Message Block Protocol)来实现打印机的共享。19)
23、; 网络协议栈指纹实践在实践中,网络协议栈指纹方法通常这样应用:总结各种操作系统网络协议栈的上述细微差异,形成一个指纹数据库。在探测一个系统的时候,通过网络和目标系统进行交互,或者侦听目标系统发往网络的数据包,收集其网络协议栈的行为特点,然后以操作系统指纹数据库为参考,对收集的信息进行分析,从而得出目标系统运行何种OS的结论。20) 远程OS探测的防护方法由于协议栈指纹方法是建立在操作系统底层程序差别的基础上的,所以要彻底防护指纹识别是很难的。但是有一些方法可以减少信息泄漏并干扰指纹识别的结果,在很大程度上提高系统的安全性。21) 检测和拦截对于主动向主机发送数据包的协议栈指纹识别,可以使用IDS检测到异常包或异常的行为,从
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 扇贝种贝采购合同(2篇)
- 2024年临时用工合同样本
- 2024年双方个人和企业借款合同
- 2024年合作礼仪规范合同
- 2024年专业建筑工程施工合同文本
- 2024年中央空调订购合同
- 2024年大型工程商混供需合同
- 2024年信贷合同打印版
- 2024年出口商与买家货物交易合同
- 2024年双方保密协议:钢结构交易居间商合同
- 干部人事档案任前审核登记表范表
- 期中阶段测试卷(六)-2024-2025学年语文三年级上册统编版
- 北京市道德与法治初一上学期期中试卷及答案指导(2024年)
- 高校实验室安全基础学习通超星期末考试答案章节答案2024年
- 四川省绵阳市高中2025届高三一诊考试物理试卷含解析
- DZ∕T 0283-2015 地面沉降调查与监测规范(正式版)
- 朗致集团逻辑测评试卷2024
- 《新能源》题库(试题及答案29个)
- (完整版)油罐换底工程施工方案
- 悬吊技术的临床应
- 精益管理与精益服务
评论
0/150
提交评论