利用TCP_IP特性阻止对操作系统的探测.pdfVIP

前沿技术 本栏目由中蓝韩锐技术有限公司协办 利用 特性 利用 特性 TCP/IP TCP/IP 阻止对操作系统的探测 阻止对操作系统的探测 华中科技大学计算机学院 屈红军 李之棠 使用了足够多的特征 就可以相当 摘 要 对于一个运行在网络上的服务器 它所发出的数据 精确地探测出远程主机运行的是什 包会在不知不觉间泄漏操作系统的信息 攻击者会利用这些信息判 么操作系统 例如 目前最常用的扫 断操作系统的类型 然后实施针对性的攻击 本文首先分析TCP/ 描工具nmap能够正确地探测出大 IP协议泄漏主机操作系统信息的过程 然后给出具体的措施以阻 部分操作系统 甚至能精确地区分 止操作系统泄漏信息 出Linux内核的版本 下面介绍一 些经常被探测者利用的TCP/IP堆 知的技巧 并给出实际的防范措施 栈特征 前 言 虽然实现某一协议遵循的是同 1. TCP初始化序列号 众所周知 对于系统安全来说 一RFC但由于其具体的编码实现 当客户端发起连接的时候 服 防止操作系统信息泄漏对于保护系 方式和优化策略的不同 加上代码 务器收到客户端的SYN包之后 将 统是至关重要的 对于一个攻击者 BUG等方面的原因 不仅对于一些 回应一个包含初始序列号(ISN)的 来说 在攻击之前首先要做的就是 正常的报文 不同的操作系统会做 SYN ACK响应包 不同的系统 对目标进行扫描 并试图找出目的 出不同的响应 而且每个系统在处 其初始序列号的产生方式具有不同 主机的操作系统类型 获取远程操 理一些非正常报文时也并不是完全 的规律 根据这些规律可以判断操 作系统信息对于攻击者来说具有重 按照RFC的定义来实现的 所有这 作系统的类型 要的意义 因为绝大多数安全漏洞 些都使操作系统对报文的响应具有 有些比较老的操作系统 其 都是针对特定操作系统的 只有确 了某些可以分辨的特征 这就是操 ISN是固定的 很容易受到攻击 因 知了操作系统的类型 才可以实施 作系统可被探测的现实基础 此在当前已经几乎不存在固定ISN 相应的攻击 例如攻击者通过扫描 操作系统探测的原理就是向目 的系统 不过 即使对于变化的情 他就 也是有规律可循的 例如 发现对方的操作系统是IRIX 的主机发送一些特定的数据报文 形 会把目标集中在IRIX操作系统上 不同的操作系统对这些报文会有不 Windows操作系统使用的是基于时