远程OS探测中的网络协议栈指纹识别技术.doc

远程OS探测中的网络协议栈指纹识别技术
　　摘要远程探测计算机系统的S〔操作系统〕类型、版本号等信息，是***行为的重要步骤，也是网络平安中的一种重要的技术。在探测技术中，有一类是通过网络协议栈指纹来进展的。协议栈指纹是指不同操作系统的远程OS探测中的网络协议栈指纹识别技术
　　摘要远程探测计算机系统的S〔操作系统〕类型、版本号等信息，是***行为的重要步骤，也是网络平安中的一种重要的技术。在探测技术中，有一类是通过网络协议栈指纹来进展的。协议栈指纹是指不同操作系统的网络协议栈存在的细微差异，这些差异可以用来区分不同的操作系统。本文研究和分析了此技术的原理和理论，并提出了防止指纹探测的方法。
　　组时，不同S的处理方式不同。有些S会用新IP段覆盖旧的IP段，而有些会用旧的IP段覆盖新的IP段。13) SS(最大分段尺寸)不同的S有不同的缺省SS值，对不同的SS值的回应也不同。如，给Linux发送一个SS值很小的包，它一般会把这个值原封不动地返回；其它的系统会返回不同的值。14) SYNFld限度在处理SYNFld的时候，不同的S有不同的特点。假如短时间内收到很多的伪造SYN包，一些S会停顿承受新的连接。有的系统支持扩展的方式来防止SYNfld。15) 主机使用的端口一些S会开放特殊的端口，比方：INDS的137、139,IN2K的445；一些网络设备，如入侵检测系统、防火墙等也开放自己特殊的端口。16) Telnet选项指纹建立Telnet会话时，Sket连接完成后，会收到telnet守候程序发送的一系列telnet选项信息。不同S有不同的Telnet选项排列顺序。17) Http指纹执行Http协议时,不同的ebServer存在差异。而从ebServer往往可以判断S类型。ebServer的差异表达在如下方面：1：根本Http恳求处理HEAD/Http/，不同系统返回信息根本一样，但存在细节差异。如，Apahe返回的头信息里的Server和Date项的排序和其它的效劳器不同。2：DELETE恳求对于DELETE/Http/，Apahe响应"405ethdNtAlled",IIS响应"403Frbidden",Netsape响应"401Unauthrized"。3：非法Http协议版本恳求对于GET/Http/,Apahe响应"400BadRequest",IIS忽略这种恳求,响应信息是K,Netsape响应"505HttpVersinNtSupprted"。4：不正确规那么协议恳求对不规那么协议的恳求,Apahe无视不规那么的协议并返回200"K",IIS响应"400BadRequest",Netsape几乎不返回Http头信息。18) 打印机效劳程序指纹RF1179规定了恳求打印效劳时须遵循的协议。在理论中，假如打印恳求符合RF1179的格式，不同S表现行为一样。但当打印恳求不符合RF1179的格式时，不同S就会表达出差异。如对一个非法格式的恳求，Slaris这样回应：Reply:Invalidprtlrequest(77):xxxxxx而AIX系统这样回应：Reply:0781-201ill-fredFRaddress. 大多数S会给