计算机应用 | 古代文学 | 市场营销 | 生命科学 | 交通物流 | 财务管理 | 历史学 | 毕业 | 哲学 | 政治 | 财税 | 经济 | 金融 | 审计 | 法学 | 护理学 | 国际经济与贸易
计算机软件 | 新闻传播 | 电子商务 | 土木工程 | 临床医学 | 旅游管理 | 建筑学 | 文学 | 化学 | 数学 | 物理 | 地理 | 理工 | 生命 | 文化 | 企业管理 | 电子信息工程
计算机网络 | 语言文学 | 信息安全 | 工程力学 | 工商管理 | 经济管理 | 计算机 | 机电 | 材料 | 医学 | 药学 | 会计 | 硕士 | 法律 | MBA
现当代文学 | 英美文学 | 通讯工程 | 网络工程 | 行政管理 | 公共管理 | 自动化 | 艺术 | 音乐 | 舞蹈 | 美术 | 本科 | 教育 | 英语 |

远程OS探测中的网络协议栈指纹识别技术

2014-07-23 01:31
导读:计算机论文论文,远程OS探测中的网络协议栈指纹识别技术样式参考,免费教你怎么写,格式要求,科教论文网提供的这篇文章不错: 摘要 远程探测计算机系统的OS(操作系统)类型、版本号等信

摘要 远程探测计算机系统的OS(操作系统)类型、版本号等信息,是黑客入侵行为的重要步骤,也是网络安全中的一种重要的技术。在探测技术中,有一类是通过网络协议栈指纹来进行的。协议栈指纹是指不同操作系统的网络协议栈存在的细微差别,这些差别可以用来区分不同的操作系统。本文研究和分析了此技术的原理和实践,并提出了防止指纹探测的方法。

关键词 远程OS探测 协议栈指纹 TCP/IP协议

1 引言
探测和识别一个计算机系统在运行什么OS是黑客入侵的重要步骤。如果不知道目标系统在运行什么OS,就很难在目标系统上执行操作,也无法判断是否存在安全漏洞,更谈不上攻击。
从管理和防范的角度来说,如果能减少被探测时泄漏的信息,就减少了黑客入侵行为的信息来源,使其入侵行为变得相当困难。因此,研究这方面的技术,对于提高系统的安全性和抵抗入侵的能力具有重要的意义。
2 简单的OS探测技术
在早期,黑客经常采用一些简单的探测方法来获取目标系统的信息。如通过telnet标题,ftp的标题和STAT命令,通过HTTP服务程序,DNS ,SNMP等都可以得到很多有用信息。
但是,在长期的入侵和防入侵的斗争中,通过简单的手段即可获得的信息越来越少了。管理员努力地减少通过网络泄漏的信息,有时还修改OS的代码,给出虚假的信息。在这种情况下,简单的方法已经很难奏效了,因此出现了通过网络协议栈指纹来识别OS的技术。
3 网络协议栈指纹原理
常用的网络协议是标准的,因而从理论上讲各个操作系统的协议栈应该是相同的。但是,在实践中,各种操作系统的协议栈的实现存在细微的差异。这些差异称作网络协议栈的“指纹”。
对TCP协议族来说,这些差异通常表现在数据包头的标志字段中。如window size、ACK序号、TTL等的不同取值。通过对这些差别进行归纳和总结,可以比较准确地识别出远程系统的OS类型。 (科教作文网http://zw.NSEaC.com编辑发布)
由于Internet广泛使用TCP/IP协议族,因此下面的讨论主要围绕TCP/IP来进行。
4 网络协议栈指纹构成
下面列出了不同OS的网络协议栈的差异,这些差异可作为协议栈指纹识别的依据。
1) TTL
TTL:Time To Live,即数据包的“存活时间”,表示一个数据包在被丢弃之前可以通过多少跃点(Hop)。不同操作系统的缺省TTL值往往是不同的。
常见操作系统的TTL值:
Windows 9x/NT/2000 Intel 128
Digital Unix 4.0 Alpha 60
Linux 2.2.x Intel 64
Netware 4.11 Intel 128
AIX 4.3.x IBM/RS6000 60
Cisco 12.0 2514 255
Solaris 8 Intel/Sparc 64

2) DF位
DF(不分段)位识别:不同OS对DF位有不同的处理方式,有些OS设置DF位,有些不设置DF位;还有一些OS在特定场合设置DF位,在其它场合不设置DF位。
3) Window Size
Window Size:TCP接收(发送)窗口大小。它决定了接收信息的机器在收到多少数据包后发送ACK包。
特定操作系统的缺省Window Size基本是常数,例如,AIX 用0x3F25,Windows、OpenBSD 、FreeBSD用0x402E。
一般地,UNIX的Window Size较大。MSWindows,路由器,交换机等的较小。
4) ACK 序号
不同的OS处理ACK序号时是不同的。如果发送一个FIN|PSH|URG的数据包到一个关闭的TCP 端口,大多数OS会把回应ACK包的序号设置为发送的包的初始序号,而Windows 和一些打印机则会发送序号为初始序号加1的ACK包。
5) ICMP地址屏蔽请求
对于ICMP地址屏蔽请求,有些OS会产生相应的应答,有些则不会。会产生应答的系统有OpenVMS, MSWindows, SUN Solaris等。在这些产生应答的系统中,对分片ICMP地址屏蔽请求的应答又存在差别,可以做进一步的区分。
6) 对FIN包的响应
发送一个只有FIN标志位的TCP数据包给一个打开的端口,Linux等系统不响应;有些系统,例如 MS Windows, CISCO, HP/UX等,发回一个RESET。

上一篇:穷举破解EXCEL、WORD文档密码毕业论文 下一篇:没有了