遠程os探測中的網(wǎng)絡協(xié)議棧指紋識別

1、遠程os探測中的網(wǎng)絡協(xié)議棧指紋識別    摘要 遠程探測計算機系統(tǒng)的os（操作系統(tǒng)）類型、版本號等信息，是黑客入侵行為的重要步驟，也是網(wǎng)絡安全中的一種重要的技術(shù)。在探測技術(shù)中，有一類是通過網(wǎng)絡協(xié)議棧指紋來進行的。協(xié)議棧指紋是指不同操作系統(tǒng)的網(wǎng)絡協(xié)議棧存在的細微差別，這些差別可以用來區(qū)分不同的操作系統(tǒng)。本文研究和分析了此技術(shù)的原理和實踐，并提出了防止指紋探測的方法。 關(guān)鍵詞  遠程os探測 協(xié)議棧指紋 tcp/ip協(xié)議 1 引言探測和識別一個計算機系統(tǒng)在運行什么os是黑客入侵的重要步驟。如果不知道目標系統(tǒng)在運行什么os，就很難在目標系統(tǒng)上執(zhí)行操作

2、，也無法判斷是否存在安全漏洞，更談不上攻擊。從管理和防范的角度來說，如果能減少被探測時泄漏的信息，就減少了黑客入侵行為的信息來源，使其入侵行為變得相當困難。因此，研究這方面的技術(shù)，對于提高系統(tǒng)的安全性和抵抗入侵的能力具有重要的意義。2  簡單的os探測技術(shù)在早期，黑客經(jīng)常采用一些簡單的探測方法來獲取目標系統(tǒng)的信息。如通過telnet標題，ftp的標題和stat命令，通過http服務程序，dns ，snmp等都可以得到很多有用信息。但是，在長期的入侵和防入侵的斗爭中，通過簡單的手段即可獲得的信息越來越少了。管理員努力地減少通過網(wǎng)絡泄漏的信息，有時還修改os的代碼，給出虛假的信息。在這種

3、情況下，簡單的方法已經(jīng)很難奏效了,因此出現(xiàn)了通過網(wǎng)絡協(xié)議棧指紋來識別os的技術(shù)。3      網(wǎng)絡協(xié)議棧指紋原理常用的網(wǎng)絡協(xié)議是標準的，因而從理論上講各個操作系統(tǒng)的協(xié)議棧應該是相同的。但是，在實踐中，各種操作系統(tǒng)的協(xié)議棧的實現(xiàn)存在細微的差異。這些差異稱作網(wǎng)絡協(xié)議棧的“指紋”。對tcp協(xié)議族來說，這些差異通常表現(xiàn)在數(shù)據(jù)包頭的標志字段中。如window size、ack序號、ttl等的不同取值。通過對這些差別進行歸納和總結(jié)，可以比較準確地識別出遠程系統(tǒng)的os類型。由于internet廣泛使用tcp/ip協(xié)議族，因此下面的討論主要圍繞tcp/ip來進

4、行。4  網(wǎng)絡協(xié)議棧指紋構(gòu)成下面列出了不同os的網(wǎng)絡協(xié)議棧的差異，這些差異可作為協(xié)議棧指紋識別的依據(jù)。1)      ttlttl：time to live，即數(shù)據(jù)包的“存活時間”，表示一個數(shù)據(jù)包在被丟棄之前可以通過多少躍點(hop)。不同操作系統(tǒng)的缺省ttl值往往是不同的。常見操作系統(tǒng)的ttl值：windows 9x/nt/2000 intel      128 digital unix 4.0 alpha      

5、60;     60 linux 2.2.x intel                  64 netware 4.11 intel                  128 aix 4.3.x ibm/rs6000&

6、#160;     60 cisco 12.0 2514                  255 solaris 8 intel/sparc            64 2)      df位df（不分段）位識別：不同os對df

7、位有不同的處理方式，有些os設置df位，有些不設置df位；還有一些os在特定場合設置df位，在其它場合不設置df位。3)      window sizewindow size：tcp接收（發(fā)送）窗口大小。它決定了接收信息的機器在收到多少數(shù)據(jù)包后發(fā)送ack包。特定操作系統(tǒng)的缺省window size基本是常數(shù)，例如，aix 用0x3f25，windows、openbsd 、freebsd用0x402e。一般地，unix的window size較大。mswindows，路由器，交換機等的較小。4)    &

8、#160; ack 序號不同的os處理ack序號時是不同的。如果發(fā)送一個fin|psh|urg的數(shù)據(jù)包到一個關(guān)閉的tcp 端口，大多數(shù)os會把回應ack包的序號設置為發(fā)送的包的初始序號，而windows 和一些打印機則會發(fā)送序號為初始序號加1的ack包。5)      icmp地址屏蔽請求對于icmp地址屏蔽請求，有些os會產(chǎn)生相應的應答，有些則不會。會產(chǎn)生應答的系統(tǒng)有openvms, mswindows, sun solaris等。在這些產(chǎn)生應答的系統(tǒng)中，對分片icmp地址屏蔽請求的應答又存在差別，可以做進一步的區(qū)分。6) 

9、0;    對fin包的響應發(fā)送一個只有fin標志位的tcp數(shù)據(jù)包給一個打開的端口，linux等系統(tǒng)不響應；有些系統(tǒng)，例如 ms windows, cisco, hp/ux等，發(fā)回一個reset。7)      虛假標記的syn包在syn包的tcp頭里設置一個未定義的tcp 標記，目標系統(tǒng)在響應時，有的會保持這個標記，有的不保持。還有一些系統(tǒng)在收到這樣的包的時候會復位連接。8)      isn (初始化序列號)不同的os在選擇tcp isn時采用不同的方法。一些u

10、nix系統(tǒng)采用傳統(tǒng)的64k遞增方法，較新的solaris,irix,freebsd,digital unix,cray等系統(tǒng)采用隨機增量的方法；linux 2.0,openvms, aix等系統(tǒng)采用真隨機方法。windows系統(tǒng)采用一種時間相關(guān)的模型。還有一些系統(tǒng)使用常數(shù)。如，3com集線器使用0x803，apple laserwriter打印機使用0xc7001。9)      icmp 錯誤信息在發(fā)送icmp錯誤信息時，不同的os有不同的行為。rfc 1812建議限制各種錯誤信息的發(fā)送率。有的os做了限制，而有的沒做。10) &#

11、160;    icmp 消息引用rfc 規(guī)定icmp錯誤消息可以引用一部分引起錯誤的源消息。在處理端口不可達消息時，大多數(shù)os送回ip請求頭外加8 字節(jié)。solaris 送回的稍多，linux 更多。有些os會把引起錯誤消息的頭做一些改動再發(fā)回來。例如，freebsd，openbsd，ultrix，vaxen等會改變頭的id 。這種方法功能很強，甚至可以在目標主機沒有打開任何監(jiān)聽端口的情況下就識別出linux和solaris 。11)      tos(服務類型)對于icmp端口不可達消息，送回包的服務類型(to

12、s)值也是有差別的。大多數(shù)os是0，而linux 是0xc0。12)      分段重組處理在做ip包的分段重組時，不同os的處理方式不同。有些os會用新ip段覆蓋舊的ip段，而有些會用舊的ip段覆蓋新的ip段。13)      mss(最大分段尺寸)不同的os有不同的缺省mss值，對不同的mss值的回應也不同。如，給linux發(fā)送一個mss值很小的包，它一般會把這個值原封不動地返回；其它的系統(tǒng)會返回不同的值。14)      syn flood

13、限度在處理syn flood的時候，不同的os有不同的特點。如果短時間內(nèi)收到很多的偽造syn包，一些os會停止接受新的連接。有的系統(tǒng)支持擴展的方式來防止syn flood。15)      主機使用的端口一些os會開放特殊的端口，比如：windows的137、139,win2k的445；一些網(wǎng)絡設備，如入侵檢測系統(tǒng)、防火墻等也開放自己特殊的端口。16)      telnet選項指紋建立telnet會話時，socket連接完成后，會收到telnet守候程序發(fā)送的一系列telnet選項信息。不同o

14、s有不同的telnet選項排列順序。17)      http指紋執(zhí)行http協(xié)議時,不同的web server存在差異。而從web server往往可以判斷os類型。web server的差異體現(xiàn)在如下方面：1：基本http請求處理head / http/1.0這樣的請求時，不同系統(tǒng)返回信息基本相同，但存在細節(jié)差別。如，apache返回的頭信息里的server和date項的排序和其它的服務器不同。2：delete請求對于delete / http/1.0這樣的非法請求，apache響應"405 method not allowed&

15、quot;,iis響應"403 forbidden", netscape響應 "401 unauthorized"。3：非法http協(xié)議版本請求對于get / http/3.0這樣的請求,apache響應"400 bad request",iis忽略這種請求,響應信息是ok, netscape響應"505 http version not supported"。4： 不正確規(guī)則協(xié)議請求對不規(guī)則協(xié)議的請求,apache忽視不規(guī)則的協(xié)議并返回200 "ok",iis響應"400 bad r

16、equest", netscape幾乎不返回http頭信息。18)      打印機服務程序指紋rfc 1179規(guī)定了請求打印服務時須遵循的協(xié)議。在實踐中，如果打印請求符合rfc1179的格式，不同os表現(xiàn)行為相同。但當打印請求不符合rfc1179的格式時，不同os就會體現(xiàn)出差別。如對一個非法格式的請求，solaris這樣回應：reply: invalid protocol request (77): xxxxxx而aix系統(tǒng)這樣回應： reply: 0781-201 ill-formed from address.  大多

17、數(shù)os會給出不同的響應信息。個別os會給出長度為0的回應。對于windows，則是通過專有的smb協(xié)議（server message block protocol）來實現(xiàn)打印機的共享。19)      網(wǎng)絡協(xié)議棧指紋實踐在實踐中，網(wǎng)絡協(xié)議棧指紋方法通常這樣應用：總結(jié)各種操作系統(tǒng)網(wǎng)絡協(xié)議棧的上述細微差異，形成一個指紋數(shù)據(jù)庫。在探測一個系統(tǒng)的時候，通過網(wǎng)絡和目標系統(tǒng)進行交互，或者偵聽目標系統(tǒng)發(fā)往網(wǎng)絡的數(shù)據(jù)包，收集其網(wǎng)絡協(xié)議棧的行為特點，然后以操作系統(tǒng)指紋數(shù)據(jù)庫為參考，對收集的信息進行分析，從而得出目標系統(tǒng)運行何種os的結(jié)論。20) 

18、60;    遠程os探測的防護方法由于協(xié)議棧指紋方法是建立在操作系統(tǒng)底層程序差別的基礎上的，所以要徹底防護指紋識別是很難的。但是有一些方法可以減少信息泄漏并干擾指紋識別的結(jié)果，在很大程度上提高系統(tǒng)的安全性。21)      檢測和攔截對于主動向主機發(fā)送數(shù)據(jù)包的協(xié)議棧指紋識別，可以使用ids檢測到異常包或異常的行為，從而加以記錄和攔截。對于通過sniffer來進行的協(xié)議棧指紋識別，這種方法是無效的。22)      修改參數(shù)一些操作系統(tǒng)的協(xié)議棧參數(shù)，如缺省window、mss、mtu等值，是可以修改的。在solaris和linux操作系統(tǒng)下，很多tcp/ip協(xié)議棧的參數(shù)可以通過系統(tǒng)配置程序來修改。在windows系統(tǒng)中，可以通過對注冊表的修改來配置