远程OS探测中的网络协议栈指纹识别技术
摘要远程探测计算机系统的S〔操作系统〕类型、版本号等信息,是***行为的重要步骤,也是网络平安中的一种重要的技术。在探测技术中,有一类是通过网络协议栈指纹来进展的。协议栈指纹是指不同操作系统的远程OS探测中的网络协议栈指纹识别技术
摘要远程探测计算机系统的S〔操作系统〕类型、版本号等信息,是***行为的重要步骤,也是网络平安中的一种重要的技术。在探测技术中,有一类是通过网络协议栈指纹来进展的。协议栈指纹是指不同操作系统的网络协议栈存在的细微差异,这些差异可以用来区分不同的操作系统。本文研究和分析了此技术的原理和理论,并提出了防止指纹探测的方法。
组时,不同S的处理方式不同。有些S会用新IP段覆盖旧的IP段,而有些会用旧的IP段覆盖新的IP段。13) SS(最大分段尺寸)不同的S有不同的缺省SS值,对不同的SS值的回应也不同。如,给Linux发送一个SS值很小的包,它一般会把这个值原封不动地返回;其它的系统会返回不同的值。14) SYNFld限度在处理SYNFld的时候,不同的S有不同的特点。假如短时间内收到很多的伪造SYN包,一些S会停顿承受新的连接。有的系统支持扩展的方式来防止SYNfld。15) 主机使用的端口一些S会开放特殊的端口,比方:INDS的137、139,IN2K的445;一些网络设备,如入侵检测系统、防火墙等也开放自己特殊的端口。16) Telnet选项指纹建立Telnet会话时,Sket连接完成后,会收到telnet守候程序发送的一系列telnet选项信息。不同S有不同的Telnet选项排列顺序。17) Http指纹执行Http协议时,不同的ebServer存在差异。而从ebServer往往可以判断S类型。ebServer的差异表达在如下方面:1:根本Http恳求处理HEAD/Http/,不同系统返回信息根本一样,但存在细节差异。如,Apahe返回的头信息里的Server和Date项的排序和其它的效劳器不同。2:DELETE恳求对于DELETE/Http/,Apahe响应"405ethdNtAlled",IIS响应"403Frbidden",Netsape响应"401Unauthrized"。3:非法Http协议版本恳求对于GET/Http/,Apahe响应"400BadRequest",IIS忽略这种恳求,响应信息是K,Netsape响应"505HttpVersinNtSupprted"。4:不正确规那么协议恳求对不规那么协议的恳求,Apahe无视不规那么的协议并返回200"K",IIS响应"400BadRequest",Netsape几乎不返回Http头信息。18) 打印机效劳程序指纹RF1179规定了恳求打印效劳时须遵循的协议。在理论中,假如打印恳求符合RF1179的格式,不同S表现行为一样。但当打印恳求不符合RF1179的格式时,不同S就会表达出差异。如对一个非法格式的恳求,Slaris这样回应:Reply:Invalidprtlrequest(77):xxxxxx而AIX系统这样回应:Reply:0781-201ill-fredFRaddress. 大多数S会给
远程OS探测中的网络协议栈指纹识别技术 来自淘豆网www.taodocs.com转载请标明出处.