论文天下|会计论文|管理论文|计算机论文|医药学论文|经济学论文|法学论文|社会学论文|文学论文|教育论文|理科论文|工科论文|艺术论文|哲学论文|文化论文|外语论文|格式论文
论文天下
计算机应用论文  计算机理论论文  计算机网络论文  电子商务论文  软件工程论文  操作系统论文  通信技术论文   
远程OS探测中的网络协议栈指纹识别技术

摘要 远程探测 计算 机系统的S(操作系统)类型、版本号等信息,是黑客入侵行为的重要步骤,也是 网络 安全中的一种重要的技术。在探测技术中,有一类是通过网络协议栈指纹来进行的。协议栈指纹是指不同操作系统的网络协议栈存在的细微差别,这些差别可以用来区分不同的操作系统。本文 研究 和 分析 了此技术的原理和实践,并提出了防止指纹探测的 方法 。

关键词 远程S探测 协议栈指纹 TP/IP协议

1 引言
探测和识别一个计算机系统在运行什么S是黑客入侵的重要步骤。如果不知道目标系统在运行什么S,就很难在目标系统上执行操作,也无法判断是否存在安全漏洞,更谈不上攻击。
从管理和防范的角度来说,如果能减少被探测时泄漏的信息,就减少了黑客入侵行为的信息来源,使其入侵行为变得相当困难。因此,研究这方面的技术,对于提高系统的安全性和抵抗入侵的能力具有重要的意义。
2 简单的S探测技术
在早期,黑客经常采用一些简单的探测方法来获取目标系统的信息。如通过telnet标题,ftp的标题和STAT命令,通过HTTP服务程序,DNS ,SNP等都可以得到很多有用信息。
但是,在长期的入侵和防入侵的斗争中,通过简单的手段即可获得的信息越来越少了。管理员努力地减少通过网络泄漏的信息,有时还修改S的代码,给出虚假的信息。在这种情况下,简单的方法已经很难奏效了,因此出现了通过网络协议栈指纹来识别S的技术。
3 网络协议栈指纹原理
常用的网络协议是标准的,因而从 理论 上讲各个操作系统的协议栈应该是相同的。但是,在实践中,各种操作系统的协议栈的实现存在细微的差异。这些差异称作网络协议栈的“指纹”。
对TP协议族来说,这些差异通常表现在数据包头的标志字段中。如ind size、AK序号、TTL等的不同取值。通过对这些差别进行归纳和 总结 ,可以比较准确地识别出远程系统的S类型。
由于Internet广泛使用TP/IP协议族,因此下面的讨论主要围绕TP/IP来进行。
4 网络协议栈指纹构成
下面列出了不同S的网络协议栈的差异,这些差异可作为协议栈指纹识别的依据。
1) TTL
TTL:Tie T Live,即数据包的“存活时间”,表示一个数据包在被丢弃之前可以通过多少跃点(Hp)。不同操作系统的缺省TTL值往往是不同的。
常见操作系统的TTL值:
inds 9x/NT/2000 Intel 128
Digital Unix 4.0 Alpha 60
Linux 2.2.x Intel 64
Netare 4.11 Intel 128
AIX 4.3.x IB/RS6000 60
is 12.0 2514 255
Slaris 8 Intel/Spar 64

2) DF位
DF(不分段)位识别:不同S对DF位有不同的处理方式,有些S设置DF位,有些不设置DF位;还有一些S在特定场合设置DF位,在其它场合不设置DF位。
3) ind Size
ind Size:TP接收(发送)窗口大小。它决定了接收信息的机器在收到多少数据包后发送AK包。
特定操作系统的缺省ind Size基本是常数,例如,AIX 用0x3F25,inds、penBSD 、FreeBSD用0x402E。
一般地,UNIX的ind Size较大。Sinds,路由器,交换机等的较小。
4) AK 序号
不同的S处理AK序号时是不同的。如果发送一个FIN|PSH|URG的数据包到一个关闭的TP 端口,大多数S会把回应AK包的序号设置为发送的包的初始序号,而inds 和一些打印机则会发送序号为初始序号加1的AK包。
5) IP地址屏蔽请求
对于IP地址屏蔽请求,有些S会产生相应的应答,有些则不会。会产生应答的系统有penVS, Sinds, SUN Slaris等。在这些产生应答的系统中,对分片IP地址屏蔽请求的应答又存在差别,可以做进一步的区分。
6) 对FIN包的响应
发送一个只有FIN标志位的TP数据包给一个打开的端口,Linux等系统不响应;有些系统,例如 S inds, IS, HP/UX等,发回一个RESET。
7) 虚假标记的SYN包
在SYN包的TP头里设置一个未定义的TP 标记,目标系统在响应时,有的会保持这个标记,有的不保持。还有一些系统在收到这样的包的时候会复位连接。

未完...点击下方链接下载完整文档

远程OS探测中的网络协议栈指纹识别技术

摘要 远程探测 计算 机系统的S(操作系统)类型、版本号等信息,是黑客入侵行为的重要步骤,也是 网络 安全中的一种重要的技术。在探测技术中,有一类是通过网络协议栈指纹来进行的。协议栈指纹是指不同操作系统的网络协议栈存在的细微差别,这些差别可以用
  • 上一篇:网络环境中学习者的新特征
  • 下一篇:局域网名称解析优化分析
  • 网络自制剧植入式广告研究
    对技术监督信息化代码建设的思考
    网络电子期刊的许可协议研究
    面向E时代的上海电视大学网上开
    浅析网络安全扫描技术
    基于LonWorks现场总线的机房监控
    关于大学生网络生活方式的现状调
    关于网络交际的本质及其哲学阐释
    网络安全与管理
    计算机网络数据库安全威胁分析与
    浅议政工干部应对突发事件的能力
    网络“知沟”及其与传统媒体环境
    上千李鬼假冒自考网站 官方网站
    关于网络时代的“拟态环境”
    无线传感器网络协作技术综述
    校园网络传媒在高职院校学生思
    校园网络传媒在高职院校学生思
    辩证认识网络传媒在思想政治教
    试论网络传媒中的玄幻小说
    试论网络传媒中的武侠小说
    DTS技术在网络媒体中的应用
    网络媒介在高校德育课对话教学
    数字传媒在广告设计教学实践中
    网络新闻传播中的“把关人”特
    群体性事件中的谣言传播与政府
    | 设为首页 | 加入收藏 | 联系我们 | 论文发表

    Copyright 2006-2020 © 论文天下 All rights reserved 本站所有内容均由SPider自动索引,如有侵权请联系QQ:2486851删除